Gap analysis
Cargando…
Cargando…
CISO + Operaciones · 57 de 53 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §7.5 (REQ-7.5-01) | 401-general-tsp | Aplicar controles adecuados al ciclo de vida de claves, algoritmos y dispositivos criptográficos (referencia a ISO/IEC 27002:2022 §8.24). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-02) | 401-general-tsp | Establecer y aplicar una política/procedimiento de criptografía alineado con la clasificación de activos y el resultado del análisis de riesgos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-03) | 401-general-tsp | La política debe definir tipo/fortaleza/calidad de medidas, protocolos/algoritmos y enfoque completo de gestión de claves (generación, emisión, distribución, almacenamiento, cambio, compromiso, revocación, recuperación, backup, destrucción, logging, fechas de activación). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-04) | 401-general-tsp | Revisar y actualizar la política y procedimientos criptográficos a intervalos planificados, considerando el estado del arte. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.5 (REQ-7.5-05) | 401-general-tsp | Seleccionar y usar técnicas criptográficas adecuadas conforme a estándares reconocidos (referencia a ETSI TS 119 312). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.5.1 OVR-6.5-01 | 421-qtsa-policy | El TSA debe cumplir cualquier obligación adicional indicada en el sello, directamente o por referencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.1 OVR-7.6-01 | 421-qtsa-policy | Aplica EN 319 401 cl. 7.5 (Cryptographic controls) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-01 | 421-qtsa-policy | Generación de claves de firma del TSU en entorno físicamente seguro, por personal en roles de confianza, bajo control dual como mínimo. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-02 | 421-qtsa-policy | Limitar el personal autorizado a la generación de claves a los estrictamente necesarios según prácticas del TSA. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-03 | 421-qtsa-policy | Generar las claves de firma del TSU dentro de dispositivo criptográfico seguro: a) sistema fiable evaluado a EAL 4 o superior según ISO/IEC 15408 con perfil/ST adecuado; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-04 | 421-qtsa-policy | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.2-03 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-05 | 421-qtsa-policy | El algoritmo, longitud y algoritmo de firma para claves del TSU y para los certificados públicos del TSU deberían cumplir ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-06 | 421-qtsa-policy | La clave de firma del TSU no debería importarse a diferentes dispositivos criptográficos seguros. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-07 | 421-qtsa-policy | [CONDITIONAL] Si la misma clave existe en varios dispositivos, todos deben asociarse al mismo certificado público en todos ellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-08 | 421-qtsa-policy | El TSA debe tener una única clave de firma de sellos activa simultáneamente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-01 | 421-qtsa-policy | Mantener integridad y confidencialidad de las claves privadas del TSU con los requisitos siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-02 | 421-qtsa-policy | Mantener y usar la clave privada del TSU dentro de dispositivo criptográfico seguro: a) EAL 4+ según ISO/IEC 15408; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-03 | 421-qtsa-policy | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.3-02 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-04 | 421-qtsa-policy | Si se hace backup de claves privadas del TSU, copia/almacenamiento/recuperación bajo control dual y entorno físico seguro por roles de confianza. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-05 | 421-qtsa-policy | Limitar al mínimo el personal autorizado a operaciones de backup. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-06 | 421-qtsa-policy | Las copias de respaldo deben proteger integridad y confidencialidad mediante el dispositivo criptográfico seguro antes de almacenarse fuera de él. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-01 | 421-qtsa-policy | El TSA debe garantizar integridad y autenticidad de la clave pública (de verificación) del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-02 | 421-qtsa-policy | La clave pública del TSU debe estar disponible a RP en un certificado de clave pública. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-03 | 421-qtsa-policy | El certificado de clave pública del TSU debería ser emitido por una CA operando bajo ETSI EN 319 411-1. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-04 | 421-qtsa-policy | El TSU no emitirá sellos antes de cargar su certificado de verificación en el TSU o su dispositivo criptográfico. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-05 | 421-qtsa-policy | [CONDITIONAL] Al obtener un certificado de verificación, el TSA debería verificar que está correctamente firmado (incl. cadena hasta CA confiable). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.5 TIS-7.6.5-01 | 421-qtsa-policy | El periodo de validez del certificado del TSU no excederá el periodo en que el algoritmo y longitud de clave se consideran adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-01 | 421-qtsa-policy | El hardware de firma de sellos no debe ser manipulado durante el envío. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-02 | 421-qtsa-policy | El hardware de firma no debe ser manipulado mientras está almacenado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-03 | 421-qtsa-policy | Instalación, activación y duplicación de claves de firma del TSU sólo por roles de confianza, control dual y entorno físico seguro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-04 | 421-qtsa-policy | Las claves privadas del TSU en el dispositivo criptográfico deben borrarse al retirarlo, de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-01 | 421-qtsa-policy | El TSA debe definir fecha de expiración para las claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-02 | 421-qtsa-policy | La fecha de expiración de la clave privada del TSU no será posterior al `notAfter` del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-03 | 421-qtsa-policy | La fecha de expiración debería tener en cuenta el "recommended key sizes versus time" de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-04 | 421-qtsa-policy | Para permitir verificación posterior, la validez de la clave privada del TSU será más corta que la del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-05 | 421-qtsa-policy | La fecha de expiración puede definirse al inicializar el dispositivo o mediante la extensión `privateKeyUsagePeriod` en el certificado del TSU. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-06 | 421-qtsa-policy | Las claves privadas del TSU no deben usarse más allá de su fecha de expiración. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-07 | 421-qtsa-policy | Procedimientos operativos/técnicos para que un nuevo par de claves esté disponible cuando una clave privada del TSU esté próxima a expirar. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-08 | 421-qtsa-policy | Las claves privadas expiradas (o cualquier copia) deben destruirse de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-09 | 421-qtsa-policy | El TSA debe especificar la fecha de expiración de las claves del TSU en su política o practice statement, incluyendo procedimientos para cumplir esta cláusula. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.1 | 422-qtsa-protocol | El certificado del TSU debe cumplir ETSI EN 319 412-2 (TSA persona física) o ETSI EN 319 412-3 (TSA persona jurídica), con las modificaciones de las cláusulas siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (a) | 422-qtsa-protocol | El atributo `countryName` debe especificar el país donde el TSA está establecido (no necesariamente el país del TSU). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (b) | 422-qtsa-protocol | Para TSA persona jurídica (o física asociada a jurídica), `organizationName` debe contener el nombre completo registrado del TSA responsable de gestionar el TSU; debería ser el nombre oficialmente registrado. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (c) | 422-qtsa-protocol | El `commonName` especifica un identificador del TSU. Dentro del TSA, `commonName` identifica unívocamente al TSU usado. | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.2 (d) | 422-qtsa-protocol | Para TSA persona física, debería incluirse una instancia del atributo `serialNumber` en el subject. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.3 | 422-qtsa-protocol | La longitud de clave para el algoritmo de firma del certificado del TSU debería ajustarse a cl. 9.3 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.4 (a) | 422-qtsa-protocol | El `extendedKeyUsage` del certificado TSU debe ser el definido en IETF RFC 3161, cl. 2.3 (id-kp-timeStamping, único, marcado crítico). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §6.4 (b) | 422-qtsa-protocol | La extensión `privateKeyUsagePeriod` debería usarse para limitar la validez de la clave de firma del TSU. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §6.5 | 422-qtsa-protocol | La clave pública del TSU y la firma del certificado deberían usar los algoritmos especificados en cl. A.9 de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §9.1 (a) | 422-qtsa-protocol | [CONDITIONAL] Si el token se declara sello cualificado conforme a 910/2014, debería contener la extensión `qcStatements` en el campo `extension` del TST con la sintaxis de IETF RFC 3739, cl. 3.2.6. | Recomendada | TBD | TBD | — | — |
| EN 319 422 §9.1 (b) | 422-qtsa-protocol | [CONDITIONAL] Si la extensión `qcStatements` está presente, debe contener una instancia del statement `esi4-qtstStatement-1` definido en el Anexo B (OID `id-etsi-tsts-EuQCompliance`). | Obligatoria | TBD | TBD | — | — |
| EN 319 422 §9.1 (c) | 422-qtsa-protocol | La extensión `qcStatements` no debe marcarse como crítica. | Obligatoria | TBD | TBD | — | — |
| A.8.24 | 27001-sgsi | Uso de criptografía | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.h (CRYPTO-01) | nis2 | Políticas y procedimientos sobre uso de criptografía y, cuando proceda, de cifrado. Para QTSP, esto se concreta en algoritmos conformes a ETSI TS 119 312, HSMs cualificados, gestión de claves. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.com.2 (CONF-QTSP) | ens-impacto-qtsp | Protección de la confidencialidad de las comunicaciones internas del QTSP. Para canales que transportan operaciones críticas (firma del TSU, sello QERDS): cifrado TLS 1.3, claves en HSM. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.info.3 (CIFR-QTSP) | ens-impacto-qtsp | Cifrado de la información (en tránsito y en reposo). Las claves privadas QTSP NUNCA fuera de HSM cualificado. Coordinado con ETSI 401 §7.5 cripto. | Obligatoria | TBD | TBD | — | — |
| ENS Anexo II mp.info.6 (LIMP-QTSP) | ens-impacto-qtsp | Limpieza de documentos / medios: las evidencias QERDS y los logs operacionales NUNCA se eliminan dentro del plazo de 15 años. Procedimiento de "eliminación segura" se aplica solo a copias intermedias / borradores. | Obligatoria | TBD | TBD | — | — |