Gap analysis
Cargando…
Cargando…
| Control | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| ENS §40 (CAT-QTSP-01) | T01 | Categorización formal de los sistemas QTSA y QERDS en las 5 dimensiones de seguridad: **Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad**. Para servicios cualificados QTSP que sirven AAPP, casi seguro nivel **Alto** en las 5 dimensiones (especialmente Integridad y Trazabilidad). Acta del Responsable de la Seguridad documentando la categorización. | Obligatoria | TBD | TBD | — | — |
| ENS §40 (CAT-QTSP-02) | T01 | Revisión y actualización del Análisis de Riesgos ENS para incorporar los activos QTSP: HSMs cualificados, claves privadas del TSU y del sello QERDS, evidencias QERDS, registros de identificación. Estos activos tienen valoración Alta en las 5 dimensiones por defecto. | Obligatoria | TBD | TBD | — | — |
| ENS §40 (CAT-QTSP-03) | T01 | Actualización de la **Declaración de Aplicabilidad ENS** para reflejar las medidas reforzadas que aplican a los nuevos sistemas QTSP. Coordinación con la SoA de ISO 27001 para evitar incoherencias. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.1 (ORG-01-QTSP) | T01 | Política de seguridad: actualización para mencionar explícitamente los servicios cualificados QTSA y QERDS y su sujeción al marco ENS. Aprobada por el órgano superior y comunicada. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.2 (ORG-02-QTSP) | T01 | Normativa de seguridad específica para QTSA y QERDS: procedimientos operativos del TSU, del sello QERDS, de las ceremonias de clave. Integración con la normativa ENS corporativa existente. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.3 (ORG-03-QTSP) | T01 | Procedimientos de seguridad documentados específicos de QTSP, alineados con ETSI EN 319 401 §7 y otros. Vinculación bidireccional ENS ↔ ETSI. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II org.4 (ORG-04-QTSP) | T01 | Proceso de autorización para los nuevos sistemas QTSP previo a su puesta en producción. El Responsable de la Seguridad debe firmar la autorización con base en el análisis de riesgos actualizado y la conformidad de las medidas ENS Alto. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.7 (INC-QTSP) | T10 | Gestión de incidentes: el procedimiento ENS existente debe incorporar los incidentes específicos del QTSP (compromiso de clave del TSU, drift UTC fuera de umbral, fallo de sello QERDS, intrusión en sala criptográfica) y su escalado coordinado con eIDAS §19.2 (24h) y NIS2 §23 (24h alerta / 72h notif). | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.10 (REG-QTSP) | T10 | Protección de registros de actividad. Para sistemas QTSP en nivel Alto: WORM o equivalente, hash chain firmado, custodia 15 años (Ley 6/2020 §9.3.a) — más estricto que el mínimo ENS general. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.cont.4 (CONT-QTSP) | T10 | Pruebas periódicas del plan de continuidad incluyendo escenarios QTSP: pérdida del TSU primario y conmutación a secundario, recuperación de evidencias QERDS desde backup, ceremonia de recuperación de clave. Frecuencia mínima anual para ENS Alto. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II op.exp.5 (CAMBIOS-QTSP) | T01 | Gestión de cambios sobre infraestructura QTSP: cualquier cambio en TSU, configuración del sello QERDS, política CP/CPS o algoritmos criptográficos debe pasar por gestión de cambios ENS formal + comunicación al supervisor eIDAS (Art. 24.2.a). | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.if.1-7 (FIS-QTSP) | T05 | Protección de instalaciones del datacenter que aloja TSUs y HSMs: refuerzo del control físico ENS Alto (doble factor de acceso, registro de visitas, video-vigilancia). Sala criptográfica con control adicional alineado con ETSI 401 §7.6. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.com.2 (CONF-QTSP) | T04 | Protección de la confidencialidad de las comunicaciones internas del QTSP. Para canales que transportan operaciones críticas (firma del TSU, sello QERDS): cifrado TLS 1.3, claves en HSM. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.info.3 (CIFR-QTSP) | T04 | Cifrado de la información (en tránsito y en reposo). Las claves privadas QTSP NUNCA fuera de HSM cualificado. Coordinado con ETSI 401 §7.5 cripto. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.info.6 (LIMP-QTSP) | T04 | Limpieza de documentos / medios: las evidencias QERDS y los logs operacionales NUNCA se eliminan dentro del plazo de 15 años. Procedimiento de "eliminación segura" se aplica solo a copias intermedias / borradores. | Obligatoria | TBD | TBD | — | — |
| ENS §31 (AUD-QTSP) | T11 | La auditoría ENS bianual (ya programada para Correos como certificado vigente) debe incluir explícitamente en su alcance los nuevos sistemas QTSA y QERDS. Comunicación al auditor ENS de la ampliación de alcance. | Obligatoria | TBD | TBD | — | — |
| ENS §32 (INF-QTSP) | T11 | Informe del estado de seguridad: el informe periódico al CCN debe incorporar métricas de los servicios QTSP (incidentes, drift UTC, peticiones rechazadas, certificados revocados). | Obligatoria | TBD | TBD | — | — |