O Centro Criptolóxico Nacional (CCN-CERT) publicou un novo documento no que se recollen as obrigas dos prestadores de servizos ás entidades públicas , cuando tales servicios estén sujetos al cumplimiento del Esquema Nacional de Seguridad (ENS). Este abstract se encuentra disponible en la sección dedicada al Consejo de Certificación del Esquema Nacional de Seguridad (CoCENS) de su portal.
Todas as organizacións, xa sexan públicas ou privadas, que prestan servizos ás entidades do sector público, han de ter en conta unha serie de obrigas cando estas estean suxeitas ao cumprimento de o Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o ENS. Neste sentido, posto que a entidade do sector público á que se provén os servizos é a responsable última dos riscos que afecten á información tratada e os servizos prestados, debe esixir ao provedor a información e a execución das accións necesarias para que a entidade poida cumprir os seus obxectivos.
Estas obrigas, desenvolvidas no presente abstract, son as seguintes:
- Descrición de servizos e modalidade.
- Información sobre a arquitectura de seguridade.
- Localización da información.
- Medidas de seguridade implementadas.
- Cumprimento da normativa vixente de protección de datos.
- Incidentes de seguridade.
- Portabilidade da información.
- Cadea de subcontratación e os seus cambios.
- Capacidade e dimensionamento do sistema.
- Seguimento dos Acordos de Nivel de Servizo (SLA).
O documento inclúe, ademais, unha serie de recomendacións adicionais sobre continuidade dos servizos prestados polo fornecedor, análise e explotación de rexistros (logs) e a realización de controis periódicos.