Certificados TLS de servidor
Tráfico web seguro a gran escala
Inventario de certificados
Descubrir y rastrear todos los certificados
Certificados DevOps
Automatizar para pipelines CI/CD
Cifrado de correo electrónico
S/MIME para correo electrónico empresarial
Desde eIDAS hasta NIS2, DORA hasta GDPR, las regulaciones europeas y globales exigen cada vez más que las organizaciones implementen controles criptográficos sólidos. PKI está en el corazón de cumplir con estos requisitos.
El cumplimiento normativo ya no es un ejercicio de marcar casillas. Para las organizaciones que operan en Europa y más allá, un creciente cuerpo de legislación ahora exige explícitamente controles criptográficos sólidos, verificación de identidad y mecanismos de protección de datos. La infraestructura de clave pública (PKI) se sitúa en el centro de los tres.
Los certificados digitales permiten comunicaciones cifradas, identidades autenticadas, y firmas digitales verificables. Estas son las capacidades exactas que los reguladores exigen cuando hablan de "medidas técnicas apropiadas" o "seguridad de última generación." Sin una PKI bien gestionada, cumplir con las obligaciones de cumplimiento se vuelve significativamente más difícil y, en algunos casos, imposible.
Este capítulo asigna las regulaciones más importantes a requisitos específicos de PKI, ayudándote a comprender no solo lo que dice la ley, sino cómo tu infraestructura de certificados debe soportarla. Ya sea que seas un CISO construyendo una hoja de ruta de cumplimiento o un arquitecto de PKI diseñando para la auditabilidad, las secciones a continuación te brindan un marco práctico para trabajar. Para una perspectiva estratégica más amplia, consulta nuestro capítulo sobre construir una estrategia CLM.
La regulación eIDAS (identificación electrónica, autenticación y servicios de confianza) es el marco de la Unión Europea' para la identidad digital y los servicios de confianza. La eIDAS 2.0 revisada, adoptada en 2024, amplía significativamente su alcance e introduce la billetera de identidad digital europea.
eIDAS define Certificados cualificados como el nivel más alto de garantía para certificados digitales. Deben ser emitidos por Proveedores de Servicios de Confianza cualificados (QTSP) que son auditados y supervisados por autoridades nacionales. Estos certificados tienen peso legal equivalente a firmas manuscritas en todos los estados miembros de la UE.
Organizaciones (no solo individuos) pueden usar Sellos Electrónicos Cualificados para garantizar el origen e integridad de los documentos. Esto requiere una infraestructura PKI capaz de emitir y gestionar certificados de sello que cumplan con los estrictos estándares técnicos definidos en las normas ETSI.
eIDAS 2.0 reintroduce Certificados de Autenticación de Sitio Web Cualificados (QWACs), que requieren que los navegadores los reconozcan. Para las organizaciones, esto significa gestionar un tipo de certificado distinto con requisitos específicos de emisión y renovación junto a los certificados TLS estándar.
Para los equipos PKI, eIDAS 2.0 significa apoyar múltiples tipos de certificados (firmas cualificadas, sellos y QWACs) de QTSP aprobados, mientras se mantiene la trazabilidad completa de la emisión, uso y revocación. Su políticas de certificado deben abordar explícitamente los requisitos de eIDAS.
El Directiva NIS2 (Red y Seguridad de la Información) es el marco de ciberseguridad actualizado de la UE, aplicable desde octubre de 2024. Amplía drásticamente el alcance de las organizaciones que deben cumplir, abarcando entidades esenciales e importantes en 18 sectores.
NIS2 requiere "estado del arte" cifrado para comunicaciones de red. Los certificados TLS, gestionados adecuadamente y renovados rápidamente, son el mecanismo principal para lograr esto. Las organizaciones deben demostrar que tienen controles en marcha para evitar certificados caducados o mal configurados.
La directiva exige que las organizaciones evalúen y gestionen los riesgos de su cadena de suministro. Esto incluye verificar la integridad del software y actualizaciones mediante certificados de firma de código, y autenticar conexiones de terceros con TLS mutuo.
NIS2 impone plazos estrictos para la notificación de incidentes (24 horas para la notificación inicial). Una interrupción o compromiso relacionado con certificados califica como un incidente reportable. Tener una visibilidad completa de su inventario de certificados reduce tanto el riesgo como el tiempo de respuesta.
El artículo 21 enumera medidas de seguridad mínimas, incluyendo criptografía, control de acceso y gestión de activos. Un PKI bien gobernado con gestión centralizada del ciclo de vida de los certificados aborda directamente varios elementos de esta lista.
El Ley de Resiliencia Operacional Digital (DORA) apunta a entidades financieras: bancos, compañías de seguros, firmas de inversión y sus proveedores críticos de servicios TIC. Aplicable desde enero de 2025, DORA establece un estándar alto para la resiliencia operativa digital.
DORA requiere marcos de gestión de riesgos TIC integrales que incluyan controles criptográficos. Las entidades financieras deben identificar, clasificar y proteger todos los activos TIC, lo que incluye cada certificado digital desplegado en su infraestructura.
DORA exige pruebas regulares de los sistemas TIC, incluido el test de penetración guiado por amenazas (TLPT). La infraestructura de certificados debe ser lo suficientemente resiliente para soportar ataques simulados, y las organizaciones deben demostrar que pueden rotar rápidamente los certificados comprometidos.
Las entidades financieras deben gestionar los riesgos de los proveedores de TIC de terceros, incluidas las Autoridades de Certificación. Esto implica mantener la supervisión de qué AC emiten certificados para su organización, garantizar salvaguardas contractuales y contar con estrategias de salida si una AC se ve comprometida o cesa sus operaciones.
The General Data Protection Regulation is Europe's landmark data protection law. While GDPR does not prescribe specific technologies, Article 32 requires organizations to implement "appropriate technical and organisational measures" to ensure a level of security appropriate to the risk. Encryption is explicitly named as one such measure.
Los certificados TLS protegen los datos personales a medida que se trasladan entre sistemas. Cada punto final de API, aplicación web y servicio interno que maneja datos personales debe usar TLS configurado correctamente. Un certificado expirado en un punto final de procesamiento de datos no es solo un problema operativo; es una brecha de cumplimiento del GDPR.
El GDPR fomenta la seudonimización como medida de protección. Los certificados de cliente pueden autenticar a los usuarios sin exponer identificadores personales en los registros de la aplicación, apoyando los principios de minimización de datos mientras se mantiene una fuerte garantía de identidad.
Si una compromisión de certificado conduce a un acceso no autorizado a datos personales, se aplica el requisito de notificación de brecha de 72 horas de GDPR's. Mantener un inventario completo de certificados y monitorear anomalías reduce la probabilidad de tales incidentes y acelera la respuesta cuando ocurren.
Más allá de las regulaciones, varios estándares y marcos de la industria establecen expectativas para los controles criptográficos y la gestión de certificados. Cumplir con estos estándares a menudo es un requisito previo para hacer negocios en sectores específicos.
La norma internacional para sistemas de gestión de seguridad de la información (ISMS). Los controles del Anexo A cubren explícitamente la gestión de claves criptográficas (A.10), exigiendo a las organizaciones definir políticas para el uso, la protección y la vida útil de las claves y certificados criptográficos.
La Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) requiere un cifrado fuerte para los datos del titular de la tarjeta en tránsito (Requisito 4) y prácticas robustas de gestión de claves (Requisitos 3.5-3.7). Cada certificado que protege los datos de pago debe ser rastreado, rotado según el programa y emitido por una autoridad certificadora de confianza.
Las auditorías SOC 2 evalúan los controles relevantes para la seguridad, disponibilidad, integridad del procesamiento, confidencialidad y privacidad. Los controles de cifrado, incluidas las prácticas de gestión de certificados, son un área de enfoque común. Los auditores preguntarán cómo se inventarían, renuevan y revocan los certificados.
El Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) proporciona recomendaciones para la gestión de claves. Aunque no es una regulación en Europa, muchas organizaciones hacen referencia a las directrices del NIST al diseñar su arquitectura PKI y las políticas del ciclo de vida de los certificados.
Cumplir con los requisitos regulatorios no consiste en añadir cumplimiento a una PKI existente después del hecho. Requiere decisiones de diseño deliberadas y prácticas operativas que hacen que la auditabilidad y el control sean inherentes a la forma en que se gestionan los certificados.
No puedes demostrar cumplimiento sobre activos que no sabes que existen. Un inventario de certificados integral y continuamente actualizado inventario de certificados es la base. Cada certificado, sin importar la CA emisora o la ubicación de despliegue, debe ser descubierto, catalogado y monitoreado.
Definir políticas de certificados que codifican los requisitos regulatorios: longitudes mínimas de clave, algoritmos aprobados, períodos máximos de validez, convenciones de nomenclatura y CAs permitidos. Luego impónlos automáticamente para que no se puedan emitir certificados no conformes.
Cada operación de certificado (emisión, renovación, revocación, cambio de política) debe registrarse con marcas de tiempo, identidades de usuario y cadenas de aprobación. Estos registros de auditoría son lo que presentas a los reguladores y auditores. Los paneles de informes automatizados reducen la carga de producir evidencia bajo demanda.
Manual processes introduce human error and create compliance gaps. Automating certificate enrollment, renewal, and deployment through protocols like ACME, SCEP, and EST ensures that certificates are always current, correctly configured, and issued according to policy.
Regulations evolve, and so do cryptographic standards. A compliance-ready PKI must be able to rapidly migrate to new algorithms (for example, post-quantum cryptography) without disrupting operations. This means avoiding hard-coded algorithm choices and maintaining flexibility in your certificate templates.
Motor de políticas consciente de la regulación: Evertrust CLM le permite definir políticas de certificados mapeadas a regulaciones específicas (eIDAS, NIS2, DORA, GDPR). Las solicitudes de certificados no conformes se bloquean automáticamente antes de su emisión.
Registros de auditoría completos: Cada operación de certificado se registra con contexto completo: quién la solicitó, quién la aprobó, qué política se aplicó y cuándo se implementó. Exporte informes de auditoría en formatos listos para la revisión regulatoria.
Gobernanza Multi-CA: Gestionar certificados de CAs públicas, CAs privadas y QTSPs en una única plataforma. Evertrust PKI impone políticas consistentes sin importar la autoridad emisora, brindándole una visibilidad unificada de cumplimiento.
Paneles de cumplimiento: Paneles en tiempo real muestran su postura de cumplimiento de un vistazo: certificados que se acercan a su vencimiento, violaciones de políticas, algoritmos débiles en uso y brechas de cobertura en toda su infraestructura.
