Auditoria y asesoramiento proveedor de confianza, requisitos clave

Proveedor de confianza

Auditoria y asesoramiento proveedor de confianza, requisitos clave

El modelo que regula los requisitos y obligaciones de los prestadores de servicios de confianza está regulado por el reglamento eIDAS estableciendo determinadas obligaciones aplicables a los prestadores en función de los servicios cualificados o no de confianza a los que opte.

Obligaciones comunes que auditamos a todos los prestadores de servicios de confianza

En nuestras auditorias y asesoramiento debemos tener siempre en cuenta algunos de los puntos a auditar comunes a todos los prestadores de servicios de confianza y son:

  1. Cumplimiento del RGPD y el uso de seudónimos:
    1. Verificar que el proveedor cumple con el Reglamento General de Protección de Datos (RGPD) en lo que respecta al tratamiento de datos personales.
    2. Evaluar si se utilizan seudónimos para proteger la identidad de los usuarios y cómo se gestionan.
    3. Asegurarse de que se cumplan las obligaciones de notificación de brechas de seguridad de datos según lo establecido en el RGPD.
  2. Accesibilidad del servicio por personas discapacitadas:
    1. Evaluar si el proveedor cumple con los requisitos de accesibilidad establecidos en el Real Decreto Legislativo 1/2013 de 29 de noviembre.
    2. Verificar que el servicio es accesible para personas con discapacidades visuales, auditivas o de otro tipo, y que se siguen las pautas de accesibilidad web.
  3. Notificación de incidentes y medidas de seguridad:
    1. Asegurarse de que el proveedor cuenta con procedimientos sólidos para notificar incidentes de seguridad, de acuerdo con el artículo 19.1 del reglamento eIDAS.
    2. Evaluar si se siguen las normas técnicas establecidas en las normas ETSI EN 319 401, 411 y 421 para garantizar la seguridad de los servicios de confianza electrónica.
  4. Publicación veraz según el artículo 9.1.a) de la LSEC:
    1. Verificar que el proveedor publica información veraz y precisa sobre sus servicios, precios y políticas.
    2. Asegurarse de que se cumplan los requisitos de transparencia y claridad en la información proporcionada a los usuarios.
  5. No almacenamiento de la copia de claves excepto en el caso de operar en nombre del titular:
    1. Evaluar si el proveedor cumple con la prohibición de almacenar copias de las claves de los usuarios, a menos que se opere en nombre del titular del certificado.
    2. Asegurarse de que se sigan los procedimientos adecuados para el manejo de claves criptográficas, incluyendo su generación segura y el respeto de la confidencialidad.

Por otro lado tenemos que tener en cuenta obligaciones concretas de los prestadores de servicios cualificados de confianza:

  1. Información al organismo de supervisión según artículo 24.2 de eIDAS sobre cualquier cambio en la prestación de servicios.
    1. Verificar que el proveedor cumple con el requisito del artículo 24.2 de eIDAS de informar al organismo de supervisión sobre cualquier cambio en la prestación de servicios de confianza electrónica.
    2. Evaluar la eficacia de los procesos y procedimientos establecidos para la notificación oportuna y precisa de cambios en los servicios.
  2. Características concretas del personal y de los subcontratistas según articulo 24.2 del reglamento de eIDAS incluyendo planes de formación según normas ISO27002, ETSI EN 391 401 y otros como ETSI EN 319 411-1
    1. Revisar las cualificaciones y competencias del personal y subcontratistas del proveedor, asegurándose de que cumplan con las características requeridas por el artículo 24.2 de eIDAS.
    2. Evaluar la existencia de planes de formación de acuerdo con normas relevantes como ISO 27002, ETSI EN 319 401 y otras aplicables para garantizar que el personal esté adecuadamente capacitado en seguridad de la información y tecnología.
  3. Requisitos de solvencia según artículo 24.2 del prestador del servicio.
    1. Comprobar que el proveedor cumple con los requisitos de solvencia establecidos en el artículo 24.2 de eIDAS, lo que implica tener la capacidad financiera y los recursos necesarios para ofrecer servicios de confianza electrónica de manera sostenible.
    2. Evaluar las políticas financieras y la capacidad del proveedor para cumplir con sus compromisos.
  4. Información clara y veraz a posibles clientes del servicio según artículo 24.2 de eIDAS
    1. Verificar que el proveedor proporciona información clara y veraz a posibles clientes de servicios de confianza electrónica, de acuerdo con el artículo 24.2 de eIDAS.
    2. Revisar el contenido de la información proporcionada, como términos y condiciones, tarifas, descripciones de servicios y requisitos para los usuarios.
  5. Uso de sistemas fiables, controles contra la falsificación y robo de datos según artículo 24.2 de eIDAS, artículo 19.1 de eIDAS y 24.2.g de eIDAS
    1. Evaluar el uso de sistemas fiables para la prestación de servicios de confianza electrónica, incluyendo controles de seguridad técnicos y organizativos.
    2. Asegurarse de que se implementen medidas de seguridad contra la falsificación y el robo de datos, cumpliendo con el artículo 19.1 y el artículo 24.2.g de eIDAS.
  6. Uso de criptografía asimétrica o simétrica.
    1. Evaluar qué tipo de criptografía se utiliza en la prestación de servicios de confianza electrónica y asegurarse de que sea adecuada para garantizar la confidencialidad e integridad de los datos.
    2. Verificar que los sistemas de cifrado cumplen con los estándares de seguridad.
  7. Políticas de retención de información según articulo 24.2 de eIDAS t ley 2/2015 de 5 de octubre de reforma de la LEC
    1. Examinar las políticas de retención de información para garantizar que cumplan con los requisitos del artículo 24.2 de eIDAS y la Ley 2/2015 de Reforma de la LEC.
    2. Asegurarse de que se retiene la información durante el tiempo necesario y se elimina de manera segura cuando ya no es requerida.
  8. Notificación de cese del servicio según artículo 24.2.a de eIDAS, articulo 24.2.i de eIDAS y otros.
    1. Evaluar los procedimientos y políticas para la notificación de cese del servicio, cumpliendo con el artículo 24.2.a y el artículo 24.2.i de eIDAS y otras regulaciones aplicables.
    2. Verificar que se notifica de manera oportuna a las partes interesadas y se siguen los procedimientos establecidos para garantizar una transición sin problemas.

Conclusión

Optar a ser proveedor de confianza, ya sea cualificado o no, requiere de un equipo técnico legal que le asesore y le audite para cumplir con los requisitos necesarios, en función del tipo de servicio que preste. Cuente con nuestro equipo técnico legal para ello y contacte con nosotros sin ningún compromiso, le asesoraremos y le recomendaremos la mejor forma de llevar a cabo su objetivo.

proveedordeconfianza@luisvilanova.es