Gap analysis
Cargando…
Cargando…
CISO + Legal · 82 de 47 controles esperados
| Control | Norma | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 401 §7.14.1 (REQ-7.14.1-01) | 401-general-tsp | Establecer y aplicar una política de seguridad de la cadena de suministro que regule las relaciones con proveedores directos para mitigar riesgos a redes/SI y comunicarla. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-02) | 401-general-tsp | Definir e implementar procesos para gestionar los riesgos de los productos/servicios de proveedores, incluyendo criterios de selección y contratación. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-03) | 401-general-tsp | La política debe identificar y comunicar el rol del TSP en la cadena. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-04) | 401-general-tsp | Definir criterios de selección de proveedores (prácticas de ciberseguridad, capacidad para cumplir requisitos, calidad/resiliencia ICT, diversificación de origen y resultados de evaluaciones coordinadas). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-05) | 401-general-tsp | Revisar la política y monitorizar a los proveedores a intervalos planificados y tras cambios/incidentes significativos en sus prácticas de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.1 (REQ-7.14.1-06) | 401-general-tsp | Para monitorizar a proveedores: monitorizar SLAs, revisar incidentes, evaluar la necesidad de revisiones no planificadas y analizar riesgos de cambios en productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-01) | 401-general-tsp | Definir e implementar procesos para gestionar los riesgos de seguridad de los productos/servicios ICT a través de la cadena de suministro. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-02) | 401-general-tsp | Definir requisitos de seguridad para la adquisición de productos/servicios ICT. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-03) | 401-general-tsp | Exigir a los proveedores de servicios ICT propagar los requisitos de seguridad a sus subcontratistas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-04) | 401-general-tsp | Exigir a los proveedores de productos ICT propagar prácticas de seguridad a otros proveedores cuyos componentes incorporen. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-05) | 401-general-tsp | Solicitar a los proveedores de productos ICT información sobre los componentes software incluidos. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-06) | 401-general-tsp | Solicitar a los proveedores información sobre las funciones de seguridad implementadas y la configuración requerida para su operación segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-07) | 401-general-tsp | Implementar un proceso de monitorización y métodos aceptables de validación de la conformidad de los productos/servicios ICT con los requisitos de ciberseguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-08) | 401-general-tsp | Implementar un proceso para identificar y documentar los componentes de productos o servicios críticos para mantener la funcionalidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-09) | 401-general-tsp | Obtener garantía de que los componentes críticos y su origen pueden trazarse a través de la cadena de suministro. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-10) | 401-general-tsp | Obtener garantía de que los productos ICT entregados funcionan según lo esperado, sin características inesperadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-11) | 401-general-tsp | Implementar procesos para verificar que los componentes provenientes de proveedores son genuinos y no han sido alterados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-12) | 401-general-tsp | Definir reglas para compartir información sobre la cadena de suministro y posibles incidencias entre el TSP y sus proveedores. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-13) | 401-general-tsp | Implementar procesos específicos para gestionar el ciclo de vida y disponibilidad de los componentes ICT (referencia a ISO/IEC 27002:2022 §5.21). | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-14) | 401-general-tsp | Monitorizar, revisar, evaluar y gestionar regularmente los cambios en las prácticas de seguridad y entrega de los proveedores. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.2 (REQ-7.14.2-15) | 401-general-tsp | Definir, implementar y comunicar políticas específicas sobre el uso de servicios cloud y sobre la gestión de los riesgos de seguridad asociados. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-01) [CONDITIONAL] | 401-general-tsp | Cuando el TSP recurre a otras partes (incluyendo subcontratación o outsourcing) mantiene la responsabilidad global de la conformidad con la política de cadena de suministro, la de seguridad y la del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-02) | 401-general-tsp | Definir la responsabilidad de los outsourcers y asegurar que están obligados a aplicar los controles requeridos por el TSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-03) | 401-general-tsp | Los procesos deben incluir las acciones del TSP, las exigidas al proveedor para iniciar el uso de sus productos/servicios y las exigidas para terminarlo. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-04) | 401-general-tsp | Mantener acuerdos contractuales documentados que clarifiquen las obligaciones de seguridad de cada parte cuando la prestación implique subcontratación, outsourcing u otros acuerdos con terceros. | Obligatoria | TBD | TBD | — | — |
| EN 319 401 §7.14.3 (REQ-7.14.3-05) [CONDITIONAL] | 401-general-tsp | Cuando el TSP utilice un componente de servicio confiable provisto por otra parte, asegurar que el uso de la interfaz cumple con los requisitos especificados por el proveedor del componente. | Obligatoria | TBD | TBD | — | — |
| A.5.19 | 27001-sgsi | Seguridad de la información en relaciones con proveedores | Obligatoria | TBD | TBD | — | — |
| A.5.20 | 27001-sgsi | Abordar la seguridad en acuerdos con proveedores | Obligatoria | TBD | TBD | — | — |
| A.5.21 | 27001-sgsi | Gestión seguridad cadena de suministro de TIC (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.5.22 | 27001-sgsi | Monitorización, revisión y gestión de cambios de servicios de proveedores | Obligatoria | TBD | TBD | — | — |
| A.5.23 | 27001-sgsi | Seguridad para el uso de servicios cloud (NUEVO 2022) | Obligatoria | TBD | TBD | — | — |
| A.5.31 | 27001-sgsi | Requisitos legales, estatutarios, reglamentarios y contractuales | Obligatoria | TBD | TBD | — | — |
| A.5.32 | 27001-sgsi | Derechos de propiedad intelectual | Obligatoria | TBD | TBD | — | — |
| A.5.33 | 27001-sgsi | Protección de registros | Obligatoria | TBD | TBD | — | — |
| A.5.34 | 27001-sgsi | Privacidad y protección de datos personales | Obligatoria | TBD | TBD | — | — |
| A.5.35 | 27001-sgsi | Revisión independiente de la seguridad de la información | Obligatoria | TBD | TBD | — | — |
| A.5.36 | 27001-sgsi | Cumplimiento con políticas, reglas y normas para seguridad información | Obligatoria | TBD | TBD | — | — |
| A.5.37 | 27001-sgsi | Procedimientos operativos documentados | Obligatoria | TBD | TBD | — | — |
| A.8.30 | 27001-sgsi | Desarrollo subcontratado | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.a | eidas-legales | Informar al supervisor de cambios en el servicio + intención de cesar | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.c | eidas-legales | Recursos financieros suficientes / pólizas RC adecuadas | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §9.3.b | eidas-legales | Seguro RC mínimo **1.500.000 € + 500.000 € por servicio adicional** | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.d | eidas-legales | Información clara al usuario antes del contrato (limitaciones incluidas) | Obligatoria | TBD | TBD | — | — |
| eIDAS §24.2.j | eidas-legales | Tratamiento lícito de datos personales (RGPD) | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §18.3.g | eidas-legales | Incumplimiento de 24.2 (b/c/d/e/f/g/h/k) — **infracción grave** | Información | TBD | TBD | — | — |
| Ley 6/2020 §8.1 | eidas-legales | Tratamiento de datos personales conforme a normativa de protección de datos | Obligatoria | TBD | TBD | — | — |
| Ley 6/2020 §10 | eidas-legales | Asumir responsabilidad por personas/subcontratistas en quienes se delegue | Obligatoria | TBD | TBD | — | — |
| RGPD §30 (RAT-01) | rgpd-lopdgdd | Registro de Actividades de Tratamiento (RAT) actualizado y completo: identificación del responsable, finalidades, categorías de interesados y datos, destinatarios, transferencias internacionales, plazos de supresión, medidas de seguridad. El QTSA y el QERDS deben aparecer como actividades específicas, no genéricas. | Obligatoria | TBD | TBD | — | — |
| RGPD §35 + LOPDGDD §28 (EIPD-01) | rgpd-lopdgdd | Evaluación de Impacto en Protección de Datos (EIPD) específica para el QERDS (tratamiento masivo de datos personales en comunicaciones electrónicas; cumple varios criterios de la lista AEPD que obligan a EIPD). | Obligatoria | TBD | TBD | — | — |
| RGPD §36 (EIPD-02) | rgpd-lopdgdd | Si la EIPD identifica riesgo alto residual, consulta previa a la AEPD antes de empezar a operar. Procedimiento documentado para gestionar la consulta y plazos (AEPD responde en 8 semanas, prorrogables 6). | Cond. (si riesgo alto residual) | TBD | TBD | — | — |
| RGPD §6 (BASE-01) | rgpd-lopdgdd | Identificación clara de la base legal para cada tratamiento del QTSP. Para QERDS: ejecución de contrato (art. 6.1.b) con el suscriptor del servicio + obligación legal (art. 6.1.c) por eIDAS. Para identificación: ejecución de contrato + cumplimiento de obligación legal eIDAS. | Obligatoria | TBD | TBD | — | — |
| RGPD §7 + LOPDGDD §6 (CONS-01) | rgpd-lopdgdd | Si en algún tratamiento se usa consentimiento como base legal (típicamente marketing, comunicaciones comerciales sobre el servicio), debe ser específico, informado, otorgado mediante acto afirmativo claro y revocable con la misma facilidad con que se otorgó. | Cond. (si hay tratamientos basados en consentimiento) | TBD | TBD | — | — |
| RGPD §9 + LOPDGDD §9 (CAT-ESP-01) | rgpd-lopdgdd | Si el servicio procesa categorías especiales de datos (salud, datos biométricos en identificación remota cualificada, ideología política/sindical en envíos a entidades específicas), aplican garantías reforzadas. La biometría facial usada en videoidentificación es categoría especial → requiere base legal cualificada (típicamente art. 9.2.g + ley específica). | Cond. (videoidentificación con biometría) | TBD | TBD | — | — |
| RGPD §13-14 (INFO-01) | rgpd-lopdgdd | Información al interesado en el momento de recogida: identidad del responsable, datos de contacto del DPO, finalidad, base legal, destinatarios, plazo de conservación, derechos, posibilidad de reclamación AEPD. Para QERDS, integrada en T&C y en flujo de alta del usuario. | Obligatoria | TBD | TBD | — | — |
| RGPD §15-22 + LOPDGDD §11-18 (DERECHOS-01) | rgpd-lopdgdd | Procedimiento operativo para atender derechos ARCO-POL: Acceso (15), Rectificación (16), Supresión / "derecho al olvido" (17), Limitación del tratamiento (18), Portabilidad (20), Oposición (21), No ser objeto de decisiones automatizadas (22). Plazo máximo 1 mes, prorrogable 2 meses más en casos complejos. | Obligatoria | TBD | TBD | — | — |
| RGPD §17 (SUPR-01) | rgpd-lopdgdd | Tensión entre derecho de supresión y obligación de conservación 15 años (Ley 6/2020 §9.3.a). El QTSP debe documentar que la supresión NO procede para los datos sujetos a obligación legal de conservación, y comunicarlo al usuario fundamentando la negativa. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §11 (DERECHOS-02) | rgpd-lopdgdd | Canales para ejercer derechos: oficinas presenciales (Correos las tiene), web del servicio, email del DPO, sede electrónica. Deben ser equivalentes en agilidad y registro. El ejercicio es gratuito. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §3 (FALLEC-01) | rgpd-lopdgdd | Derechos sobre datos de personas fallecidas: las personas vinculadas pueden ejercerlos salvo prohibición expresa del fallecido. Procedimiento documentado para gestionar solicitudes post-mortem. | Recomendada | TBD | TBD | — | — |
| RGPD §28 (ENC-01) | rgpd-lopdgdd | Contrato de encargado de tratamiento (art. 28) con cada subcontratista crítico que trate datos personales en nombre de Correos: CA cualificada externa, datacenter/cloud, IPSP (videoidentificación), SOC externo, herramientas SaaS. Cláusulas obligatorias mínimas según art. 28.3. | Obligatoria | TBD | TBD | — | — |
| RGPD §28.4 (ENC-02) | rgpd-lopdgdd | Subcontratación: el encargado no puede subcontratar sin autorización previa por escrito del responsable. Si subcontrata, las mismas obligaciones del contrato art. 28 se trasladan al subencargado. Lista actualizada de subencargados accesible. | Obligatoria | TBD | TBD | — | — |
| RGPD §44-49 (TRANSF-01) | rgpd-lopdgdd | Transferencias internacionales de datos: si algún subcontratista trata datos fuera del EEE (ej. cloud US, SaaS US), garantías apropiadas obligatorias (decisión de adecuación, BCR, SCC actualizadas post-Schrems II + TIA — Transfer Impact Assessment). | Cond. (si hay transferencias internacionales) | TBD | TBD | — | — |
| RGPD §26 (CORRESP-01) | rgpd-lopdgdd | Si existe corresponsabilidad de tratamiento (caso típico: Correos + otra AAPP para un servicio compartido), acuerdo de corresponsabilidad documentado que defina obligaciones de cada parte. Información esencial al alcance del interesado. | Cond. (si hay corresponsabilidades) | TBD | TBD | — | — |
| RGPD §33 (BRECHA-01) | rgpd-lopdgdd | Notificación de brecha de datos personales a la AEPD en **72 horas** desde el conocimiento. Procedimiento operativo con plantilla, canal (sede electrónica AEPD), responsable coordinado con CISO (la brecha eIDAS de 24h del art. 19.2 suele coincidir → coordinar). | Obligatoria | TBD | TBD | — | — |
| RGPD §34 (BRECHA-02) | rgpd-lopdgdd | Comunicación de la brecha a los interesados afectados sin dilación cuando exista alto riesgo para sus derechos y libertades. Lenguaje claro, descripción de naturaleza, datos de contacto del DPO, medidas adoptadas, recomendaciones. | Obligatoria (si alto riesgo) | TBD | TBD | — | — |
| RGPD §33.5 (BRECHA-03) | rgpd-lopdgdd | Registro interno de TODAS las brechas, incluso las no notificables. Documenta: hechos, efectos, medidas. La AEPD puede solicitarlo en inspección. | Obligatoria | TBD | TBD | — | — |
| RGPD §5.1.e (CONS-RET-01) | rgpd-lopdgdd | Principio de limitación del plazo de conservación: datos solo durante el tiempo necesario para los fines. Para QTSP los plazos vienen impuestos por Ley 6/2020 §9.3.a (15 años). Plazos por tipo de dato documentados en RAT. | Obligatoria | TBD | TBD | — | — |
| LOPDGDD §32 (BLOQUEO-01) | rgpd-lopdgdd | Concepto español de bloqueo de datos: tras finalización del tratamiento, los datos no se borran inmediatamente sino que se bloquean (acceso restringido, conservados solo para cumplir obligaciones legales o defensa frente a reclamaciones). Procedimiento técnico documentado. | Obligatoria | TBD | TBD | — | — |
| RGPD §25 (PRIV-DESIGN-01) | rgpd-lopdgdd | Privacy by design en el desarrollo del QTSA y QERDS: minimización de datos, pseudonimización por defecto, configuración por defecto que solo procesa datos necesarios. Aplicable a nuevos desarrollos y cambios significativos. | Obligatoria | TBD | TBD | — | — |
| RGPD §25.2 (PRIV-DEFAULT-01) | rgpd-lopdgdd | Por defecto, solo se procesan datos necesarios para cada finalidad específica. Para QERDS: visibilidad del contenido del envío limitada al mínimo personal con necesidad operativa real. | Obligatoria | TBD | TBD | — | — |
| RGPD §83 + LOPDGDD §71-74 (SANC-01) | rgpd-lopdgdd | Conocimiento operativo del régimen sancionador: multas de hasta **20 M€ o 4% facturación anual mundial**. Coordinación con riesgo regulatorio del proyecto QTSP. | Información | TBD | TBD | — | — |
| RGPD §77 + LOPDGDD §63-65 (RECLAM-01) | rgpd-lopdgdd | Procedimiento ante reclamación de un interesado a la AEPD: respuesta a requerimientos AEPD en plazo, atención a inspecciones, posibilidad de procedimiento sancionador. | Obligatoria | TBD | TBD | — | — |
| NIS2 §3 + Anexo I (AMB-01) | nis2 | Identificación formal de Correos como **entidad esencial** bajo NIS2 (Anexo I, sector "infraestructura digital", entidades QTSP). Independiente del tamaño — los QTSPs siempre son esenciales (Art. 3.1.f). | Obligatoria | TBD | TBD | — | — |
| NIS2 §3.4 (REG-01) | nis2 | Registro de Correos como entidad esencial ante la autoridad nacional competente (España: previsiblemente CNI/CCN o autoridad designada en la ley de transposición). Incluye datos de contacto, IPs, dominios, ámbito territorial de prestación. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.d (SUPPLY-01) | nis2 | **Seguridad de la cadena de suministro**. Énfasis particular de NIS2: el QTSP debe evaluar la postura de seguridad de sus proveedores (cloud, datacenter, CA externa, IPSP, hardware crypto). Inventario de proveedores críticos con su evaluación de riesgo. | Obligatoria | TBD | TBD | — | — |
| NIS2 §21.2.e (ACQ-01) | nis2 | Seguridad en adquisición, desarrollo y mantenimiento de sistemas de información, incluyendo gestión y notificación de vulnerabilidades. Procedimiento de gestión de parches con SLAs por severidad. | Obligatoria | TBD | TBD | — | — |
| NIS2 §32 (SUPER-01) | nis2 | Sujeción a las medidas de supervisión "ex ante" propias de las entidades esenciales: inspecciones in situ, auditorías de seguridad por terceros, solicitudes de información, escaneos de seguridad. Procedimiento interno para responder. | Obligatoria | TBD | TBD | — | — |
| NIS2 §32.5 (SUPER-02) | nis2 | La autoridad competente puede ordenar adoptar medidas correctivas, hacer pública la no conformidad, designar un funcionario de supervisión, suspender certificados o autorizaciones. Coordinación interna para gestionar requerimientos. | Obligatoria | TBD | TBD | — | — |
| NIS2 §34 (SANC-01) | nis2 | Régimen sancionador: hasta **10.000.000 € o 2% del volumen de negocios anual mundial total** (el mayor) para entidades esenciales. Coordinación con el equipo legal sobre exposición real. | Información | TBD | TBD | — | — |
| NIS2 §29 (COOP-01) | nis2 | Participación activa en intercambios voluntarios de información sobre ciberamenazas con otras entidades del sector (otros QTSPs, operadores críticos). Sumarse a Information Sharing and Analysis Centres (ISACs) sectoriales. | Recomendada | TBD | TBD | — | — |
| NIS2 §27 (CSIRT) | nis2 | Relación con el CSIRT competente: canal seguro de comunicación establecido (PGP), persona/equipo de contacto designada, conocimiento de los procedimientos de notificación del CSIRT. Para España: CCN-CERT (sector público) e INCIBE-CERT (sector privado/empresarial). | Obligatoria | TBD | TBD | — | — |
| ENS §31 (AUD-QTSP) | ens-impacto-qtsp | La auditoría ENS bianual (ya programada para Correos como certificado vigente) debe incluir explícitamente en su alcance los nuevos sistemas QTSA y QERDS. Comunicación al auditor ENS de la ampliación de alcance. | Obligatoria | TBD | TBD | — | — |
| ENS §32 (INF-QTSP) | ens-impacto-qtsp | Informe del estado de seguridad: el informe periódico al CCN debe incorporar métricas de los servicios QTSP (incidentes, drift UTC, peticiones rechazadas, certificados revocados). | Obligatoria | TBD | TBD | — | — |