NORMATIVA CCSS 8.

1
CryptoCurrency Security Standard

Cómo iniciar una auditoría del CCSS

Los sistemas certificados por el CCSS han sido evaluados y auditados de forma independiente según 41
controles del Estándar de Seguridad de Criptomonedas. Los sistemas que obtienen las designaciones de
Nivel 1, Nivel 2 o Nivel 3 han demostrado ser robustos, resilientes y estar basados en las mejores prácticas.
Obtenga más información sobre el CCSS y cómo obtener la certificación de su(s) sistema(s) a
continuación.

El primer paso para ser auditado es seleccionar un CCSSA. Puede buscar nuestros CCSSA certificados
actualmente aquí. Las entidades se ponen en contacto y negocian con el CCSSA de su elección. Tenga
en cuenta que, si bien estas personas han demostrado su conocimiento del CCSS, C4 no avala ningún
CCSSA específico. Es fundamental que las entidades sigan las mejores prácticas para seleccionar un
auditor.

Todas las auditorías del CCSS abarcan un período previo a su finalización y evaluarán la eficacia operativa
del control durante dicho período. Las auditorías están diseñadas para realizarse al menos una vez al año
y abarcar los 12 meses anteriores. Todas las auditorías realizadas por las CCSSA son revisadas por un
revisor par del CCSSA antes de que C4 certifique a una entidad. Cualquier controversia derivada del
proceso de revisión par será arbitrada por el Comité Directivo del CCSS.

El CCSSA es responsable de garantizar que todos los datos relacionados con la auditoría se transmitan
y almacenen de forma segura durante la vigencia del Certificado de Cumplimiento (CoC) y según lo exija
la ley en la jurisdicción de la auditoría. C4 no revisará la documentación de pruebas fuera del Informe
Resumido de Cumplimiento (SRoC). El comité directivo del CCSS revisará la documentación probatoria
en caso de controversia en la revisión por pares.

*La versión de texto de esta imagen se puede encontrar en la Guía del Auditor.
 ¿Qué es un Auditor de Estándares de Seguridad
de Criptomonedas (CCSSA)?
Un Auditor de Estándares de Seguridad de Criptomonedas es un experto en los CCSS. Los CCSSA
pueden aplicar el estándar CCSS a cualquier sistema de información que utilice criptomonedas, calculando
una calificación para el sistema según los CCSS.

Los CCSSA deben evitar cualquier posible conflicto de intereses. Esto puede incluir empleos actuales o
anteriores, relaciones familiares, intereses financieros (como tokens o acciones) o cualquier otro asunto
que pueda constituir un conflicto de intereses.

Gestión de activos criptográficos

Aspecto 1.01.1.2
Requisito
1.01 Generación de claves/semillas
1.01.1.2 En los casos en que un agente
Objetivo del aspecto
automatizado haga uso de una clave/semilla
Este aspecto abarca la generación de claves y criptográfica, se requiere que el administrador de
semillas criptográficas que se utilizarán en un ese sistema genere la clave/semilla en un sistema
activo digital y un protocolo blockchain. La creación fuera de línea adecuado con suficiente entropía,
segura de claves y semillas criptográficas requiere transfiera esta clave/semilla de manera segura al
dos aspectos: confidencialidad y números dispositivo de destino y luego la elimine de manera
impredecibles. La confidencialidad es necesaria segura utilizando técnicas de desinfección de datos
para garantizar que las claves o semillas recién que cumplan con CCSS para proteger la
creadas no sean leídas ni copiadas por terceros. confidencialidad de la clave/semilla.
Se requieren números no deterministas e
Razón fundamental
impredecibles para garantizar que la clave recién
creada no pueda ser adivinada ni determinada por Este es un intento de proteger la confidencialidad
terceros. Cada uno de los objetivos mencionados de la clave para cualquier sistema que utilice un
garantiza que las claves o semillas se creen de agente de firma automatizado.
forma confidencial e inapreciable.
Control de aspecto
Control de aspecto
1.01.1 Clave/semilla creada por el operador
1.01.1 Clave/semilla creada por el operador
Nivel II
Nivel I 1.01.1.3
1.01.1.1 Requisito
Requisito
1.01.1.3 Se genera, publica y valida una firma
1.01.1.1 Las claves criptográficas y semillas digital para el software de creación de claves
son creadas por el actor que las utilizará. antes de cada ejecución.

Razón fundamental Razón fundamental

Esto intenta proteger la confidencialidad de la Esto garantiza que el software no haya sido
clave. Cualquier sistema que requiera que un actor alterado.
transfiera una clave o semilla a otro actor después
de generarla no alcanzará el Nivel I, con la NO HAY REQUISITOS ADICIONALES PARA EL
excepción de la configuración inicial de un agente NIVEL II O III
de firma automatizado.
Control de aspecto 1.01.3 Cumplimiento de DRBG

1.01.2 Se valida la metodología de creación Nivel II

NO SE REQUIERE NADA PARA EL NIVEL II
Nivel I Control de aspecto
NO SE REQUIERE NADA PARA EL NIVEL I
Control de aspecto 1.01.3 Cumplimiento de DRBG

1.01.2 Se valida la metodología de creación Nivel III

1.01.3.1
Nivel II Requisito
1.01.2.1
Requisito 1.01.3.1 La clave o semilla se genera mediante 1)
un generador de bits aleatorios determinista
1.01.2.1 La metodología de generación de claves (DRBG) conforme a la norma NIST SP 800-90A, y
o semillas se valida antes de su uso. El software se ha sembrado con al menos dos fuentes de
no incluye funciones que restrinjan los valores que entropía criptográficamente seguras, combinadas
se pueden usar. El software no incluye funciones de forma criptográficamente segura (p. ej.,
que almacenen o transmitan datos a otro actor, a SHA256[FactorIndiscutible1 +
menos que dicha función mejore la seguridad (por FactorIndiscutible2]), o 2) un generador de bits
ejemplo, los DRBG). aleatorios no determinista (NRBG) o un generador
de números aleatorios verdaderos (TRNG) que
Razón fundamental
supera las pruebas estadísticas estándar de la
Las características que restringen la entropía de la industria para determinar su aleatoriedad, como
generación de semillas y no protegen la DIEHARD, Crypt-X o NIST STS. Se ha demostrado
transmisión de datos dan como resultado una que el DRBG Dual_EC es vulnerable, por lo que no
menor seguridad. debe utilizarse.

1.01.2.2 Razón fundamental

Requisito
NIST SP 800-90A es una recomendación que
1.01.2.2 En los casos en que se crean claves o garantiza que los números generados
semillas sin el uso de software (por ejemplo, dados, determinísticamente sigan una distribución
una baraja de cartas u otra fuente de entropía no aleatoria con respecto a una semilla determinista.
digital), la metodología de creación debe validarse Por lo tanto, la capacidad de determinar estos
para garantizar que no haya determinismo (por números aleatorios se reduce a la capacidad de
ejemplo, no hay dados ponderados, cada carta de descubrir la semilla del DRBG.
la baraja es única).
1.01.3.2
Razón fundamental Requisito

Las características que restringen la entropía de la 1.01.3.2 El proceso de generación de

generación de semillas resultan en una menor claves/semillas se ha documentado, incluyendo un
seguridad. libro de ejecución detallado que muestra todos los
pasos realizados y aprobados por las diferentes
NO HAY REQUISITOS ADICIONALES PARA EL partes, y que cada procedimiento se realizó y
NIVEL III verificó. La documentación muestra una clara
Control de aspecto segregación de funciones y/o la presencia de un
tercero independiente para supervisar y validar los
1.01.3 Cumplimiento de DRBG
procedimientos.
Nivel I
Razón fundamental
NO SE REQUIERE NADA PARA EL NIVEL I
Control de aspecto
La documentación y aprobación del proceso de
generación de claves/semillas garantiza la
coherencia del proceso y la segregación de 1.02.1.1
funciones y/o la presencia de un tercero Requisito
independiente para observar y validar los
procedimientos evita que una persona manipule el No requerido para el nivel I
proceso.
Razón fundamental
Control de aspecto
No requerido para el nivel I
1.01.4 Fondo de entropía
Control de aspecto
Nivel I
1.02.1 Múltiples claves para firmar
1.01.4.1
Requisito
Nivel II
1.02.1.2
1.01.4.1 Las claves y semillas criptográficas se
Requisito
crean en un sistema con suficiente entropía para
garantizar que las claves no se creen con ningún 1.02.1.1 Cualquier dirección generada por una
sesgo hacia un rango reducido de valores u otras billetera debe requerir un mínimo de dos firmas
propiedades deterministas. (comúnmente conocidas como billeteras multifirma)
para poder gastar fondos, donde un actor
Razón fundamental
independiente posee cada clave de firma. Los
Se trata de crear semillas de forma irrepetible y no actores pueden ser humanos o sistemas (es decir,
adivinable. dos humanos, dos sistemas o un humano y un
sistema), pero deben ser entidades independientes
NO HAY REQUISITOS ADICIONALES PARA EL que administren su propia clave para la billetera.
NIVEL II O III
Aspecto Razón fundamental

1.02 Creación de billetera Requerir 2 o más firmas en una billetera aumenta

la integridad de los fondos al reducir el riesgo de
Objetivo del aspecto
robo asociado con una clave o un titular de clave
Este aspecto abarca la creación de billeteras o comprometido.
direcciones que pueden recibir activos digitales.
Control de aspecto
Las billeteras se crean mediante metodologías de
firma de claves que pueden requerir la firma de una 1.02.1 Múltiples claves para firmar
sola clave, de varias claves o un número mínimo
de firmas de varias claves. Además, las billeteras NO HAY REQUISITOS ADICIONALES PARA EL
pueden crearse individualmente (comúnmente NIVEL III
conocidas como billeteras JBOK o "Just a Bunch Control de aspecto
Of Keys") o de forma determinista, lo que permite
1.02.2 Clave redundante para recuperación
la creación de un conjunto de direcciones/pares de
claves a partir de una única semilla maestra. La NO HAY REQUISITOS ADICIONALES PARA EL
seguridad en la creación de billeteras se basa en NIVEL I
su integridad frente a diversos riesgos, como la Control de aspecto
pérdida, el robo o la vulneración de una clave, y en
la confidencialidad de la billetera, que dificultaría 1.02.2 Clave redundante para recuperación
su asociación con un actor específico.
Nivel II
1.02.2.1
Control de aspecto
Requisito
1.02.1 Múltiples claves para firmar
1.02.2.1 Se asignan claves redundantes a cada
Nivel I billetera para fines de recuperación.
Razón fundamental Control de aspecto

Esto garantiza que los fondos sigan disponibles en 1.02.4 Distribución organizativa de claves
caso de que una de las claves principales se vuelva
inaccesible por cualquier motivo. Un método común NO HAY REQUISITOS ADICIONALES PARA EL
para lograr este objetivo es crear una billetera que NIVEL II
Control de aspecto
requiera dos de tres firmas posibles para gastar
fondos (es decir, que exista una clave redundante). 1.02.4 Distribución organizativa de claves
Control de aspecto Nivel III
1.02.4.1
1.02.2 Clave redundante para recuperación Requisito

NO HAY REQUISITOS ADICIONALES PARA EL 1.02.4.1 Cualquier clave que tenga autoridad de
NIVEL III firma en una sola billetera debe ser almacenada
Control de aspecto
por múltiples entidades organizacionales/unidades
1.02.3 Distribución geográfica de las claves comerciales.

NO HAY REQUISITOS ADICIONALES PARA EL Razón fundamental

NIVEL I
Control de aspecto Al otorgar claves a unidades de negocio y
entidades legales independientes (como abogados,
1.02.3 Distribución geográfica de las claves contadores u otras empresas), los riesgos legales
que puedan afectar su negocio no necesariamente
Nivel II afectarán sus fondos. Cabe destacar que esto no
1.02.3.1 infringe el requisito de Generación de
Requisito
Claves/Semillas de Nivel I, ya que las
1.02.3.1 Cualquier clave que tenga autoridad de organizaciones independientes no cumplen con la
firma en una sola billetera debe almacenarse en definición de actor.
diferentes ubicaciones.
Control de aspecto
Razón fundamental
1.02.5 Política documentada de creación de
Al separar las claves de la billetera en múltiples billeteras
ubicaciones, los riesgos asociados con
NO HAY REQUISITOS ADICIONALES PARA EL
interrupciones localizadas del negocio (por NIVEL I
ejemplo, incendios, inundaciones, terremotos, Control de aspecto
robos) no afectan la capacidad de la organización
para gastar fondos. 1.02.5 Política documentada de creación de
billeteras
Control de aspecto
Nivel II
1.02.3 Distribución geográfica de las claves 1.02.5.1
Requisito
NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL III 1.02.5.1 La organización cuenta con una política
Control de aspecto de custodia documentada que detalla las políticas
y procedimientos internos de la empresa y cubre
1.02.4 Distribución organizativa de claves
las áreas relevantes de la creación de billeteras.
NO HAY REQUISITOS ADICIONALES PARA EL
Razón fundamental
NIVEL I
Una política de custodia documentada proporciona
una consistencia transparente y limita los errores.
Control de aspecto Una copia de seguridad de la clave/semilla reduce
el riesgo de pérdida de la clave/semilla.
1.02.5 Política documentada de creación de
billeteras Control de aspecto

NO HAY REQUISITOS ADICIONALES PARA EL 1.03.2 Existe una clave de respaldo

NIVEL III
Aspecto Nivel II
1.03.2.2
1.03 Almacenamiento de claves Requisito
Objetivo del aspecto 1.03.2.2 Debe existir una copia de seguridad de al
menos tantas claves como sean necesarias para
Al separar las claves de la billetera en múltiples
gastar fondos.
ubicaciones, los riesgos asociados con
interrupciones localizadas del negocio (por Razón fundamental
ejemplo, incendios, inundaciones, terremotos,
robos) no afectan la capacidad de la organización Una copia de seguridad de tantas claves/semillas
para gastar fondos. como sean necesarias para gastar fondos reduce
el riesgo de imposibilidad de acceder a los activos.
Control de aspecto Por ejemplo, en una configuración de firma 2 de 3,
donde se requieren dos de tres claves para gastar
1.03.1 Las claves primarias se almacenan
fondos, deben existir copias de seguridad de al
cifradas
menos dos de estas claves. En una configuración
Nivel I 5 de 9, deben existir copias de seguridad de al
1.03.1.1 menos cinco claves.
Requisito
Control de aspecto
1.03.1.1 Las claves y/o semillas criptográficas
deben almacenarse mediante el uso de un cifrado 1.03.2 Existe una clave de respaldo
fuerte cuando no estén en uso.
NO HAY REQUISITOS ADICIONALES PARA EL
Razón fundamental NIVEL III
Control de aspecto
Un cifrado fuerte proporciona seguridad clave.
1.03.3 La clave de respaldo tiene protección
Control de aspecto ambiental

1.03.1 Las claves primarias se almacenan Nivel I

cifradas 1.03.3.1
Requisito
NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL II O III 1.03.3.1 La copia de seguridad debe estar
Control de aspecto protegida contra riesgos ambientales como
incendios, inundaciones y otros casos fortuitos.
1.03.2 Existe una clave de respaldo
Razón fundamental
Nivel I
1.03.2.1 La protección contra riesgos ambientales reduce la
Requisito probabilidad de pérdida de claves o semillas. Los
métodos comunes para lograrlo incluyen una bolsa
1.03.2.1 Debe existir una copia de seguridad de la estanca para protección contra inundaciones y una
clave/semilla criptográfica. Esta copia de seguridad caja fuerte o caja de fuego para protección contra
puede ser de cualquier formato (por ejemplo, en incendios. Los mecanismos específicos de
papel o digital). protección ambiental pueden variar según el tipo
de medio utilizado para el respaldo.
Razón fundamental
Control de aspecto Requisito

1.03.3 La clave de respaldo tiene protección 1.03.4.1 La copia de seguridad debe estar
ambiental protegida por controles de acceso que impidan que
personas no autorizadas accedan a ella.
Nivel II
1.03.3.2 Razón fundamental
Requisito
La protección con control de acceso reduce el
1.03.3.2 La clave/semilla de respaldo debe riesgo de uso no autorizado de la llave de respaldo.
almacenarse en una ubicación geográficamente Por ejemplo, cajas fuertes, cajas de seguridad o
separada de la ubicación de uso de la clave/semilla cajones cerrados donde solo el operador posee la
principal. Por ejemplo, si la clave principal se llave o combinación de la cerradura.
guarda en una oficina, la clave de respaldo podría
estar en custodia con un tercero de confianza. Control de aspecto

Razón fundamental 1.03.4 La clave de respaldo tiene acceso

controlado
Reduce aún más el riesgo de pérdida de
claves/semillas de respaldo. NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL II O III
Control de aspecto Control de aspecto

1.03.3 La clave de respaldo tiene protección 1.03.5 La llave de respaldo tiene sello de
ambiental seguridad

Nivel III NO HAY REQUISITOS ADICIONALES PARA EL

1.03.3.3 NIVEL I
Requisito Control de aspecto

1.03.3.3 Las copias de seguridad son resistentes a 1.03.5 La llave de respaldo tiene sello de
pulsos electromagnéticos que podrían inducir seguridad
corrientes en la electrónica y dañar los datos
almacenados en ella. Nivel II
1.03.5.1
Razón fundamental Requisito

La resistencia a dispositivos externos impide la 1.03.5.1 La copia de seguridad debe emplear algún
alteración de los datos y reduce el riesgo de tipo de mecanismo de evidencia de manipulación
manipulación de claves de respaldo o semillas. que permita a un operador determinar si se ha
Una metodología común para protegerse contra accedido a ella.
este riesgo consiste en almacenar una semilla o
Razón fundamental
clave en papel, madera, metal o en otro soporte no
digital, o bien colocar el soporte digital dentro de Reduce el riesgo de vulneración de la clave de
una bolsa de Faraday sellada, diseñada para respaldo/semilla. Un método seguro para lograrlo
proteger el contenido de interferencias consiste en una bolsa con precinto de seguridad
electromagnéticas. numerada en serie; sin embargo, los sobres de
papel debidamente sellados con firmas
Control de aspecto
manuscritas sobre el sello también podrían ser
1.03.4 La clave de respaldo tiene acceso suficientes, siempre que los sobres utilizados
controlado puedan revelar evidencia de manipulación.

Nivel I
1.03.4.1
Control de aspecto Control de aspecto

1.03.5 La llave de respaldo tiene sello de 1.04.1 El acceso a la clave requiere

seguridad usuario/contraseña/factor n

NO HAY REQUISITOS ADICIONALES PARA EL Nivel I

NIVEL III 1.04.1.1
Control de aspecto Requisito

1.03.6 La clave de respaldo está cifrada 1.04.1.1 El acceso a la clave/semilla primaria

requiere un identificador (por ejemplo, nombre de
NO HAY REQUISITOS ADICIONALES PARA EL usuario, correo electrónico, GUID, etc.) y al menos
NIVEL I O II 2 (dos) otros factores de autenticación, lo que
Control de aspecto
restringe el acceso al operador autorizado.
1.03.6 La clave de respaldo está cifrada
Razón fundamental
Nivel III
1.03.6.1 La autenticación multifactor restringe el acceso y,
Requisito por lo tanto, aumenta la seguridad. Entre los
factores de autenticación adicionales se incluyen
1.03.6.1 Las copias de seguridad de claves y/o los tokens de Google Authenticator, las firmas
semillas criptográficas deben almacenarse con el digitales de una clave privada, la verificación de
uso de un cifrado fuerte cuando no estén en uso identidad presencial, la posesión de una clave
que sea al menos igual a la seguridad prescrita física o un token, o una organización que pueda
para claves/semillas criptográficas anteriormente. certificar remotamente la autenticidad del titular de
la clave.
Razón fundamental
Control de aspecto
Almacenar copias de seguridad con un cifrado
fuerte aumenta la seguridad. 1.04.1 El acceso a la clave requiere
usuario/contraseña/factor n
Aspecto
NO HAY REQUISITOS ADICIONALES PARA EL
1.04 Uso de las claves NIVEL II
Control de aspecto
Objetivo del aspecto
1.04.1 El acceso a la clave requiere
Este aspecto abarca el uso de claves criptográficas
usuario/contraseña/factor n
y/o semillas para garantizar su uso seguro,
minimizando así los riesgos para la Nivel III
confidencialidad de las claves privadas y la 1.04.1.2
integridad de los fondos. Esta sección no abarca el Requisito
uso de copias de seguridad de claves, que solo se
utilizan en caso de pérdida, daño o inaccesibilidad 1.04.1.2 El acceso a la clave/semilla requiere un
de la clave principal. El uso de claves conlleva identificador (por ejemplo, nombre de usuario,
diversos riesgos que pueden provocar la pérdida correo electrónico, GUID) y al menos otros 3 (tres)
de fondos, como vulnerabilidades de firmas sucias factores de autenticación.
(es decir, valores "R" reutilizados), la posibilidad de
Razón fundamental
que malware copie o modifique claves, y la
presencia de usuarios internos maliciosos que Los factores adicionales de autenticación
utilizan su acceso autorizado para realizar restringen el acceso y aumentan la seguridad. Al
transacciones no autorizadas. igual que el requisito de dos factores adicionales
en el Nivel I, los otros tres factores de autenticación
en el Nivel III pueden adoptar cualquier forma que
confirme la identidad de un usuario autorizado.
Control de aspecto NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL II O III
1.04.2 Las claves solo se utilizan en un entorno Control de aspecto
confiable
1.04.4 Verificaciones de identificación del
Nivel I operador
1.04.2.1
Requisito Nivel I
1.04.4.1
1.04.2.1 Todas las claves/semillas solo se Requisito
utilizan en entornos confiables.
1.04.4.1 Todos los poseedores de claves/semillas
Razón fundamental (individuos y organizaciones) han sido sometidos
a una verificación de identidad para garantizar que
Esto disminuye el riesgo de que el malware realice son quienes dicen ser.
copias no autorizadas, además de mitigar el riesgo
de almacenar (incluso accidentalmente) una clave Razón fundamental
en un equipo, lo que podría permitir que otro
usuario o intruso la recupere. Un entorno de Esto reduce los riesgos asociados con ataques de
confianza eficaz evita que personas no autorizadas suplantación de identidad e ingeniería social que
accedan a claves privadas, contraseñas u otra pueden resultar en el acceso a fondos de la
información confidencial. organización o de los clientes.

Control de aspecto Control de aspecto

1.04.2 Las claves solo se utilizan en un entorno 1.04.4 Verificaciones de identificación del
confiable operador

NO HAY REQUISITOS ADICIONALES PARA EL NO HAY REQUISITOS ADICIONALES PARA EL

NIVEL II O III NIVEL II O III
Control de aspecto Control de aspecto

1.04.3 Verificaciones de referencias del 1.04.5 Verificación de antecedentes del

operador operador

Nivel I NO HAY REQUISITOS ADICIONALES PARA EL

1.04.3.1 NIVEL I
Requisito Control de aspecto

1.04.3.1 A todos los poseedores de claves/semillas 1.04.5 Verificación de antecedentes del

se les han verificado sus referencias antes de operador
confiarles la custodia de una de las claves/semillas
NO HAY REQUISITOS ADICIONALES PARA EL
de la organización. NIVEL II
Control de aspecto
Razón fundamental
1.04.5 Verificación de antecedentes del
Esto ayuda a garantizar que la persona diga la
operador
verdad sobre su pasado y que no haya sido
despedida de su empleo anterior por razones que Nivel III
representarían un riesgo para la organización. 1.04.5.1
Requisito
Control de aspecto
1.04.5.1 Todos los titulares de claves/semillas
1.04.3 Verificaciones de referencias del individuales han sido sometidos a verificaciones de
operador antecedentes por parte de personal policial o
empresas de investigación.
Razón fundamental billetera se utilice en dispositivos dedicados reduce
estos riesgos, aumentando así la seguridad.
Esto verifica que cada titular de clave/semilla es
quien dice ser y no tiene evidencia en su pasado Control de aspecto
de acciones que representarían un riesgo para la
organización si tuviera autoridad para firmar fondos 1.04.7 No se utilizan dos claves en un
de la organización o de los usuarios. dispositivo

Control de aspecto NO HAY REQUISITOS ADICIONALES PARA EL

NIVEL II O III
1.04.6 Los gastos se verifican antes de firmar Control de aspecto

NO HAY REQUISITOS ADICIONALES PARA EL 1.04.8 Cumplimiento de DRBG

NIVEL I
Control de aspecto Nivel I
1.04.8.1
1.04.6 Los gastos se verifican antes de firmar Requisito

Nivel II 1.04.8.1 Las firmas digitales deben utilizar un valor

1.04.6.1 'k' que nunca se repita.
Requisito
Razón fundamental
1.04.6.1 La verificación de los destinos y montos
de los fondos se realiza a través de Canales de Esto permite crear semillas de forma indiscutible e
Comunicación Aprobados antes del uso de la irrepetible. Esto se puede lograr mediante un
clave/semilla. generador de bits aleatorios determinista (DRBG)
compatible con NIST SP 800-90A o un esquema
Razón fundamental determinista compatible con RFC 6979. Una
implementación común es utilizar el generador de
Esto verifica que los destinos y los montos de los números pseudoaleatorios (PRNG) que ofrecen
fondos sean precisos antes de enviarlos. los sistemas operativos más populares o un
esquema compatible con RFC 6979.
Control de aspecto
Control de aspecto
1.04.6 Los gastos se verifican antes de firmar
1.04.8 Cumplimiento de DRBG
NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL III NO HAY REQUISITOS ADICIONALES PARA EL
Control de aspecto NIVEL II O III
Aspecto
1.04.7 No se utilizan dos claves en un
dispositivo
1.05 Política de compromiso clave
Nivel I Objetivo del aspecto
1.04.7.1
Requisito Este aspecto abarca la existencia y el uso de un
protocolo que dicta las acciones que deben
1.04.7.1 Nunca pueden existir dos claves tomarse en caso de que se considere que una
maestras/semillas de la misma billetera multifirma clave/semilla criptográfica o su operador/titular ha
en el mismo dispositivo. sido comprometida. Las organizaciones deben
estar preparadas para afrontar una situación en la
Razón fundamental
que una clave privada, incluso potencialmente, se
Colocar dos claves de la misma billetera en un conozca, determine o destruya. Las políticas y los
mismo dispositivo expone las claves a fugas de procedimientos adecuados para gestionar estos
información por parte de un operador o software eventos reducen los riesgos asociados con la
malicioso. Garantizar que cada clave de una pérdida de fondos y la divulgación de secretos
comerciales, y aumentan la disponibilidad del
sistema de información para sus usuarios. Control de aspecto
Ejemplos de cuándo se invocaría un KCP incluyen
la identificación de la manipulación de un sello de 1.05.1 KCP existe
seguridad colocado en el material de la clave, la
Nivel II
aparente desaparición de un operador cuyos
1.05.1.3
familiares y amigos más cercanos no pueden Requisito
identificar su paradero, o la recepción de una
comunicación que indique de forma creíble que un 1.05.1.3 Se documenta un Protocolo de
operador o una clave corren el riesgo de ser Compromiso de Clave que detalla: cada
comprometidos. La ejecución de los Protocolos de clasificación específica de clave utilizada en todo
Compromiso de Clave debe utilizar Canales de el sistema; un plan detallado para tratar su
Comunicación Aprobados para garantizar que los compromiso que incluye el uso de Canales de
mensajes de KCP solo sean enviados/recibidos Comunicación Aprobados durante la ejecución;
por actores autenticados. identidades de actores a través de roles (no
nombres) e incluye actores secundarios en caso
Control de aspecto de que algún actor principal no esté disponible para
llevar a cabo el KCP.
1.05.1 KCP existe
Razón fundamental
Nivel I
1.05.1.1
Esto reduce aún más los riesgos asociados con la
Requisito
pérdida de fondos y la divulgación de secretos
1.05.1.1 Existe un inventario de todas las comerciales.
claves/semillas y la organización tiene
Control de aspecto
conocimiento de qué claves son críticas para el
funcionamiento exitoso del sistema de información. 1.05.1 KCP existe
Razón fundamental NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL III
Esto reduce los riesgos asociados con la pérdida Control de aspecto
de fondos y la divulgación de secretos comerciales.
1.05.2 Entrenamiento y ensayos de KCP
Control de aspecto
NO HAY REQUISITOS ADICIONALES PARA EL
1.05.1 KCP existe NIVEL I
Control de aspecto
1.05.1.2
Requisito 1.05.2 Entrenamiento y ensayos de KCP

1.05.1.2 Si bien no existen documentos formales NO HAY REQUISITOS ADICIONALES PARA EL

de KCP, hay un miembro del personal que puede NIVEL II
orientar a los operadores en los procedimientos Control de aspecto
necesarios para regenerar claves criptográficas,
1.05.2 Entrenamiento y ensayos de KCP
regenerar billeteras de criptomonedas y enviar
fondos a estas billeteras recién generadas en caso Nivel III
de que algún operador o claves se vean 1.05.2.1
comprometidos. Requisito

Razón fundamental 1.05.2.1 El Protocolo de Compromiso de Claves se

prueba periódicamente para confirmar la viabilidad
Esto reduce los riesgos asociados con la pérdida de los procedimientos y garantizar que el personal
de fondos y la divulgación de secretos comerciales. esté capacitado para usarlos en caso de una
vulneración. Existen registros de las pruebas
realizadas que detallan todos los comentarios. Las
mejoras identificadas durante las pruebas se Razón fundamental
incorporan al protocolo para garantizar que se
mantenga siempre el protocolo más eficaz y Esto reduce los riesgos asociados con la posesión
eficiente. A medida que se realizan cambios en el de claves no revocadas.
sistema de información, el Protocolo de
Control de aspecto
Compromiso de Claves se revisa para garantizar
su actualización con cualquier nueva clase de 1.06.1 Procedimientos de
clave. concesión/revocación/lista de verificación
Razón fundamental Nivel II
1.06.1.2
Esto garantiza que cualquier clave potencialmente Requisito
comprometida se gestione de forma rápida y
eficiente. La regularidad de las pruebas puede 1.06.1.2 La organización mantiene listas de
basarse en la clasificación de las claves, como se verificación que abarcan todas las tareas que
indica en la sección 1.05.1.2. deben completarse cuando el personal deja su
puesto o asume funciones de titular de claves
Aspecto dentro de la organización. Estas listas de
verificación han sido revisadas por personal
1.06 Políticas y procedimientos de cualificado para garantizar que se apliquen los
concesión/revocación de llaves principios de mínimo privilegio al sistema de
Objetivo del aspecto información, así como el acceso necesario cuando
sea necesario.
Este aspecto abarca las políticas y procedimientos
relativos a la concesión y revocación del acceso a Razón fundamental
claves criptográficas o semillas que almacenan
Esto reduce los riesgos asociados con la pérdida
fondos de la organización o del usuario final. El
de privilegios y la posesión de claves no revocadas.
personal suele tener mayor acceso a un sistema
de información para acceder a su información, Control de aspecto
invocar acciones con privilegios restringidos y
representar a la organización ante el público. Una 1.06.1 Procedimientos de
gestión inadecuada de la incorporación y la salida concesión/revocación/lista de verificación
del personal conlleva el riesgo de que persistan
cuentas con privilegios al dejar el personal, así NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL III
como de que las claves no revocadas conserven la
Control de aspecto
autorización de firma para ciertas transacciones.
1.06.2 Solicitudes realizadas a través del Canal
Control de aspecto
de Comunicación Aprobado
1.06.1 Procedimientos de
NO HAY REQUISITOS ADICIONALES PARA EL
concesión/revocación/lista de verificación NIVEL I
Control de aspecto
Nivel I
1.06.1.1 1.06.2 Solicitudes realizadas a través del Canal
Requisito
de Comunicación Aprobado
1.06.1.1 Existe conocimiento sobre cómo gestionar
Nivel II
los roles al incorporar o dar de baja personal de 1.06.2.1
puestos clave dentro de la organización. Un Requisito
miembro del personal con conocimiento del
sistema puede garantizar que se otorguen o 1.06.2.1 Todas las solicitudes de concesión o
revoquen los permisos al personal afectado de revocación de claves se realizan a través de
forma adecuada. canales de comunicación aprobados.
Razón fundamental identidades y garantizan que se completen los
procesos de concesión/revocación.
Esto proporciona un alto nivel de confianza en las
identidades de las partes que se comunican. Categoría

Control de aspecto Operaciones

Aspecto
1.06.2 Solicitudes realizadas a través del Canal
de Comunicación Aprobado
2.01 Pruebas/Auditorías de
Nivel III seguridad
Requisito Objetivo del aspecto
No hay requisitos adicionales para el Nivel III Este aspecto abarca las revisiones de terceros de
los sistemas de seguridad, los controles técnicos y
Razón fundamental
las políticas que protegen el sistema de información
No requerido para el Nivel III de todo tipo de riesgo, así como las pruebas de
vulnerabilidad y penetración diseñadas para
Control de aspecto identificar soluciones a los controles existentes.
Independientemente de las habilidades técnicas,
1.06.3 Conceder/Revocar pista de auditoría los conocimientos y la experiencia del personal
que desarrolla y mantiene un sistema de
NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL I información, se ha demostrado que las revisiones
Control de aspecto de terceros suelen identificar riesgos y deficiencias
de control que el personal pasó por alto o
1.06.3 Conceder/Revocar pista de auditoría subestimó. Por las mismas razones que las
empresas de desarrollo requieren que las pruebas
Nivel II de un producto sean realizadas por personas
Requisito
diferentes a las que lo desarrollan, la seguridad de
No requerido para el nivel II un sistema de criptomonedas debe ser evaluada
por personas diferentes a las que implementan.
Razón fundamental Los terceros ofrecen un punto de vista diferente,
son independientes de los controles técnicos y
No requerido para el nivel II pueden ser objetivos sin riesgo de represalias.

Control de aspecto Control de aspecto

1.06.3 Conceder/Revocar pista de auditoría 2.01.1 Auditoría de seguridad

Nivel III Nivel I

1.06.3.1 2.01.1.1
Requisito Requisito

1.06.3.1 Las listas de verificación de la 2.01.1.2 Un tercero independiente cualificado ha

organización incluyen información de auditoría que realizado una evaluación de seguridad periódica
registra la identidad del miembro del personal que que incluye pruebas de vulnerabilidad y
realiza las operaciones de concesión/revocación. penetración. La documentación demuestra que la
Cada entrada en el registro de auditoría está organización ha evaluado el riesgo de todas las
certificada por el miembro del personal que realizó preocupaciones planteadas en la evaluación y las
dicha tarea. ha abordado.

Razón fundamental Razón fundamental

La documentación de las listas de verificación y el Disponer de este conocimiento durante las etapas
registro de auditoría verifican aún más las de diseño e implementación ayuda a garantizar el
cumplimiento de las mejores prácticas para todos los riesgos planteados por la auditoría, que
minimizar el riesgo. Ejemplos de evidencia de este la organización los ha abordado y que se han
conocimiento podrían ser verificar si el eliminado las vulnerabilidades conocidas del
desarrollador ha asistido a alguna capacitación sistema. Las auditorías continuas se programan
sobre seguridad de activos digitales, incluyendo la con una frecuencia anual (como mínimo).
codificación de contratos inteligentes, si
corresponde; solicitarle que describa lo aprendido Razón fundamental
en la capacitación; y verificar que la entidad
Las auditorías de seguridad, además de las
evaluada cuente con políticas y estándares de
pruebas periódicas de vulnerabilidad y penetración,
codificación seguros.
no solo reducen el riesgo de deficiencias
Control de aspecto desconocidas en la seguridad, sino que también
reducen el costo total de la misma, ya que cada
2.01.1 Auditoría de seguridad auditoría se basa en los resultados de la anterior,
lo que permite una evaluación más enfocada y
Nivel II rentable. Las pruebas de vulnerabilidad y
2.01.1.2 penetración disminuyen los riesgos asociados con
Requisito
la ceguera institucional y brindan confianza en los
2.01.1.2 Un tercero independiente cualificado ha controles y procedimientos de la organización.
realizado una evaluación de seguridad periódica Realizarlas periódicamente aumenta la seguridad.
que incluye pruebas de vulnerabilidad y
Aspecto
penetración. La documentación demuestra que la
organización ha evaluado el riesgo de todas las
preocupaciones planteadas en la evaluación y las
2.02 Política de saneamiento de
ha abordado. datos
Objetivo del aspecto
Razón fundamental
Este aspecto abarca la eliminación de claves
Las auditorías de seguridad, además de las criptográficas de medios digitales. Debido a la
pruebas periódicas de vulnerabilidad y penetración, forma en que los sistemas de archivos asignan
no solo reducen el riesgo de deficiencias datos en medios digitales, se pueden emplear
desconocidas en la seguridad, sino que también técnicas forenses digitales para leer datos antiguos
reducen el costo total de la seguridad, ya que cada previamente eliminados. La desinfección adecuada
auditoría se basa en los resultados de la anterior, de los medios digitales garantiza la correcta
lo que permite una evaluación más enfocada y eliminación de todas las claves, eliminando así el
rentable. Las pruebas de vulnerabilidad y riesgo de fuga de información de dispositivos fuera
penetración disminuyen los riesgos asociados con de servicio, como servidores, discos duros y
la ceguera institucional y brindan confianza en los dispositivos de almacenamiento extraíbles.
controles y procedimientos de la organización.
Control de aspecto
Control de aspecto
2.02.1 DSP existe
2.01.1 Auditoría de seguridad
Nivel I
Nivel III 2.02.1.1
2.01.1.3 Requisito
Requisito
2.02.1.1 El personal de la organización es
2.01.1.3 Una auditoría de seguridad regular, similar consciente de cómo persisten los datos en los
a SOC2, ISAE3402 o ISO-27001, que incluye medios digitales tras su eliminación. También tiene
pruebas de vulnerabilidad, pruebas de penetración acceso a herramientas que realizan la eliminación
y auditoría de código (si corresponde), ha sido segura de datos y sabe cuándo utilizarlas para
realizada por un tercero independiente cualificado. destruir permanentemente cualquier copia
La documentación demuestra que se han evaluado transitoria de las claves criptográficas que pueda
requerirse durante el mantenimiento del sistema Nivel III
de información. 2.02.2.1
Requisito
Razón fundamental
2.02.2.1 Se mantiene un registro de auditoría para
Conocer por qué es importante la desinfección cada medio desinfectado, de acuerdo con la
digital y cómo llevarla a cabo reduce el riesgo de recomendación NIST 800-88. Estos documentos
fuga de información. de auditoría identifican al miembro del personal
que realizó la desinfección, los identificadores
Control de aspecto específicos del medio desinfectado, la herramienta
y configuración utilizadas para realizar la
2.02.1 DSP existe
desinfección, y toda la información pertinente.
Nivel II
Razón fundamental
2.02.1.2
Requisito
Un registro de auditoría proporciona evidencia de
2.02.1.2 Existe una política detallada, conforme a que se está realizando la desinfección de los
la norma NIST 800-88, que describe los requisitos medios.
para la desinfección de medios digitales que
Aspecto
contienen o han contenido claves de
criptomonedas. Todo el personal con acceso a Objetivo del aspecto
ellas lee y comprende la política. Los documentos
de procedimiento describen los procesos que Control de aspecto
requieren desinfección.
Nivel I
Razón fundamental 2.03.1.1
Requisito
La implementación de una política detallada de
saneamiento digital reduce los errores y el riesgo Razón fundamental
de fuga de información.
Control de aspecto
Control de aspecto
Nivel II
2.03.1.2
2.02.1 DSP existe
Requisito
NO HAY REQUISITOS ADICIONALES PARA EL
Razón fundamental
NIVEL III
Control de aspecto
Control de aspecto
2.02.2 Registro de auditoría de la desinfección
Nivel III
de todos los medios 2.03.1.3
Requisito
NO HAY REQUISITOS ADICIONALES PARA EL
NIVEL I Razón fundamental
Control de aspecto
Aspecto
2.02.2 Registro de auditoría de la desinfección
de todos los medios
2.03 Registros de auditoría
NO HAY REQUISITOS ADICIONALES PARA EL Objetivo del aspecto
NIVEL II
Control de aspecto Este aspecto abarca el mantenimiento de los
registros de auditoría del sistema de información,
2.02.2 Registro de auditoría de la desinfección que proporcionan un registro de todos los cambios
de todos los medios en la información del sistema. En caso de
comportamientos inesperados o incidentes de
seguridad, los registros de auditoría son una Control de aspecto
herramienta sumamente valiosa que ayuda a los
investigadores a comprender cómo se produjeron 2.03.1 Registros de auditoría de aplicaciones
los síntomas inesperados y cómo resolver las
NO HAY REQUISITOS ADICIONALES PARA EL
inconsistencias para restablecer la consistencia del
NIVEL III
sistema de información. El mantenimiento de Control de aspecto
registros de auditoría reduce significativamente los
riesgos asociados con la conciencia operativa y 2.03.2 Copia de seguridad de los registros de
aumenta la capacidad del sistema de información auditoría
para corregir cualquier inexactitud.
NO HAY REQUISITOS ADICIONALES PARA EL
Control de aspecto NIVEL I
Control de aspecto
2.03.1 Registros de auditoría de aplicaciones
2.03.2 Copia de seguridad de los registros de
Nivel I auditoría
2.03.1.1
Requisito Nivel II
2.03.2.1
2.03.1.1 Existen registros de auditoría para un Requisito
subconjunto de acciones que se realizan dentro del
sistema de información. 2.03.2.1 Además de registrar todas las acciones
realizadas dentro del sistema, esta información de
Razón fundamental auditoría se respalda periódicamente en un
servidor separado.
Los registros de auditoría reducen los riesgos
asociados con la conciencia operativa y aumentan Razón fundamental
la capacidad del sistema de información para
corregir cualquier inexactitud. Por ejemplo, registrar Esta acción ayuda a preservar información de
la información de auditoría de todos los retiros y investigación valiosa en caso de que el registro de
depósitos realizados en el sistema. auditoría se altere o destruya durante un ataque al
sistema de información.
Control de aspecto
Control de aspecto
2.03.1 Registros de auditoría de aplicaciones
2.03.2 Copia de seguridad de los registros de
Nivel II auditoría
2.03.1.2
Requisito Nivel III
2.03.1.3
2.03.1.2 Se registran todas las acciones de todos Requisito
los usuarios. Los registros de auditoría se
conservan durante al menos un año en un entorno 2.03.2.2 Además de registrar todas las acciones
de confianza. realizadas dentro del sistema, esta información de
auditoría se respalda continuamente en un servidor
Razón fundamental separado.

Estos registros proporcionan una ayuda importante Razón fundamental

a las investigaciones sobre comportamiento
inesperado del sistema de información y pueden Esta acción ayuda a preservar aún más
ayudar a identificar actores maliciosos y sistemas información de investigación valiosa en caso de
o personas responsables. que el registro de auditoría se altere o destruya
durante un ataque al sistema de información.