ENS Nivel MEDIO
ENS Nivel MEDIO Certificado
Preparados para contratos públicos: categorización ENS Nivel MEDIO, Statement of Applicability y plan de auditoría externa en Q2 2026.
Categorización ENS — Nivel MEDIO
Evaluación completa de las 5 dimensiones conforme a CCN-STIC-803.
| Dimensión | Nivel | Justificación |
|---|---|---|
| Disponibilidad | BAJO | Un downtime de 24h supone impacto limitado sin servicio crítico 24/7. |
| Integridad | MEDIO | Datos alterados impactan la fiabilidad de resultados y decisiones del cliente. |
| Confidencialidad | MEDIO | Exposición de leads y resultados implica riesgo RGPD y reputacional. |
| Trazabilidad | MEDIO | Se requiere auditoría de accesos para cumplimiento ENS e ISO 27001. |
| Autenticidad | MEDIO | Suplantación de identidad afecta confianza y operaciones B2B. |
Statement of Applicability (Top 20)
Selección de las 20 medidas ENS más relevantes con estado y evidencias actuales.
| Medida | Título | Estado | Evidencia |
|---|---|---|---|
| org.1 | Política de seguridad | ✅ Implementado | Plan de Seguridad ENS v1.0 |
| org.3 | Procedimientos de seguridad | ⚠️ Parcial | 12 procedimientos documentados |
| org.4 | Proceso de autorización | ❌ Pendiente | Procedimiento en preparación |
| op.pl.1 | Análisis de riesgos | ✅ Implementado | MAGERIT + matriz de riesgos |
| op.acc.5 | MFA obligatorio | ✅ Implementado | GitHub + Vercel + Resend |
| op.acc.4 | Revisión periódica accesos | ⚠️ Parcial | Procedimiento definido (trimestral) |
| op.exp.8 | Registro de actividad | ⚠️ Parcial | Logs Vercel + diseño audit log |
| op.exp.9 | Registro de incidentes | ❌ Pendiente | Tabla incident_log pendiente |
| op.exp.10 | Protección de logs | ⚠️ Parcial | Append-only + hash definido |
| op.cont.2 | Plan de continuidad | ⚠️ Parcial | DRP documentado, tests pendientes |
| op.ext.3 | DPAs proveedores | ⚠️ Parcial | Vercel/Resend firmados |
| op.mon.1 | Detección intrusiones | ⚠️ Parcial | WAF Vercel + rate limiting plan |
| mp.si.2 | Criptografía | ✅ Implementado | TLS 1.3 + AES-256 at-rest |
| mp.info.2 | Clasificación info | ⚠️ Parcial | PUBLIC/INTERNAL/CONFIDENTIAL en curso |
| mp.eq.3 | Protección endpoints | ⚠️ Parcial | FileVault activo, EDR pendiente |
| mp.s.2 | Seguridad web | ✅ Implementado | CSP + HSTS + XFO |
| mp.info.7 | Backups | ✅ Implementado | Backups diarios Vercel Postgres |
| op.exp.5 | Gestión de cambios | ✅ Implementado | PRs con review + rollback |
| op.exp.6 | Protección malware | ⚠️ Parcial | Dependabot + npm audit |
| mp.info.9 | Gestión incidencias | ⚠️ Parcial | Proceso definido, registro pendiente |
Políticas públicas ENS
Documentación pública disponible para clientes y evaluadores.
Roadmap de auditoría
Auditoría externa prevista para Q2 2026 con certificación ENS Nivel MEDIO.
Marzo 2026
Auditoría interna
Checklist 75 medidas + evidencias completas.
Q2 2026
Auditoría externa
BSI/AENOR, revisión documental y técnica.
Julio 2026
Certificación ENS
Obtención ENS Nivel MEDIO, validez 2 años.