El Centre Criptològic Nacional
(CCN-CERT) ha publicat un nou document en el qual es recullen les obligacions dels prestadors de serveis a les entitats públiques , quan tals serveis estiguin subjectes al compliment de l'Esquema Nacional de Seguretat (ENS). Aquest abstract es troba disponible en la secció dedicada al Consell de Certificació de l'Esquema Nacional de Seguretat (CoCENS) del seu portal.
Totes les organitzacions, ja siguin públiques o privades, que presten serveis a les entitats del sector públic, han de tenir en compte una sèrie de obligacions quan aquestes estiguin subjectes al compliment de el Reial decret 3/2010, de 8 de gener, pel qual es regula l'ENS. En aquest sentit, ja que l'entitat del sector públic a la qual es proveeixen els serveis és la responsable última dels riscos que afectin a la informació tractada i els serveis prestats, ha d'exigir al proveïdor la informació i l'execució de les accions necessàries perquè l'entitat pugui complir els seus objectius.
Aquestes obligacions, desenvolupades en el present abstract, són les següents:
- Descripció de serveis i modalitat.
- Informació sobre l'arquitectura de seguretat.
- Ubicació de la informació.
- Mesures de seguretat implementades.
- Compliment de la normativa vigent de protecció de dades.
- Incidents de seguretat.
- Portabilitat de la informació.
- Cadena de subcontractació i els seus canvis.
- Capacitat i dimensionament del sistema.
- Seguiment dels Acords de Nivell de Servei (SLA).
El document inclou, a més, una sèrie de recomanacions addicionals sobre continuïtat dels serveis prestats pel prestador, anàlisi i explotació de registres (logs) i la realització de controls periòdics.
