O Centro Criptolóxico Nacional, CCN, publicou a listado de 47 empresas que, ata o momento, obtiveron o Certificado de Conformidade co Esquema Nacional de Seguridade, ENS. Este certificado, de obrigado cumprimento nos casos de sistemas de categoría MEDIA e ALTA, foi expedido por algunha das entidades certificadoras que están acreditadas pola ENAC (Entidade Nacional de Acreditación).
O distintivo confirma que o sistema certificado ha implantado as medidas de seguridade requiridas, entre elas unha auditoría formal que ditamina o grao de cumprimento co ENS.
Tal e como recolle guíaa Guía CCN-STIC 809 , cuando las organizaciones del sector privado presten servicios o provean soluciones a las entidades públicas, deben exhibir la Certificación de Conformidad otorgada por el ENS. De esta forma se exhibe el compromiso de la entidad en cuestión con la seguridad de los sistemas de la información que trata o los servicios que presta.
Además, las entidades acreditadas que han expedido estas certificaciones proporcionan servicios externalizados certificados en el ENS para sistemas de información de categoría Media y Alta, de aplicación obligatoria en estos sistemas, tal y como recoge el propio Esquema.
A listaxe de empresas está dispoñible no portal do CCN-CERT con expresión dos sistemas de información certificados, os servizos sustentados ou soportados e as datas de expedición e expiración das citadas certificacións.
Comunicación das certificacións ao CCN
As entidades de certificación do ENS que concedesen certificacións de conformidade a empresas públicas ou privadas deberán comunicarllo a CCN nun prazo máximo de sete días, a través do seguinte correo electrónico: certificacións809ens@ccn-cert.cni.es, onde se achegará o documento electrónico de conformidade co ENS, incluíndo a firma dixital da entidade certificadora que se encargou.
Dicha comunicación es igualmente exigible cuando se trate de suspensiones o retiradas de certificados de conformidad previos.
O CCN manterá na páxina web do CCN-CERT una relación de las entidades, públicas o privadas, que hayan realizado la comunicación anterior, con expresión de los sistemas de información certificados, los servicios sustentados o soportados en tales sistemas y las fechas de expedición y expiración de las certificaciones (las certificaciones tienen una validez de dos años).