La Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI), que entró en vigor el 29 de abril de 2024, crea nuevas normas de ciberseguridad para los productos conectables de consumo en el Reino Unido. Entre sus requisitos clave está la Declaración de Cumplimiento, un documento que fabricantes, importadores y distribuidores deben preparar para demostrar su adhesión a las disposiciones de la Ley.
Si le resulta difícil comprender las complejidades de la Declaración de Cumplimiento de la Ley PSTI, este artículo presenta una explicación sencilla de lo que se requiere, lo que le permitirá crear un documento de cumplimiento con facilidad.
Una declaración de conformidad PSTI del Reino Unido es un documento que certifica que sus productos conectables de consumo cumplen los requisitos de seguridad descritos en la Ley de Seguridad de Productos e Infraestructura de Telecomunicaciones de 2022. La Ley PSTI establece normas legales para la fabricación, importación y distribución de dispositivos conectables a Internet (a veces conocidos como Internet de las cosas o dispositivos IoT) en el Reino Unido. Su objetivo es mejorar la ciberseguridad y proteger los datos de los consumidores.
Más información sobre los requisitos y el ámbito de aplicación de la Ley PSTI del Reino Unido: Ley PSTI del Reino Unido: Guía de cumplimiento para fabricantes
Aunque el cumplimiento funciona sobre la base de una autodeclaración sin el requisito legal de pruebas, auditorías o certificaciones de terceros, todos los productos cubiertos por la Ley deben incluir una Declaración de Cumplimiento. Este documento garantiza a clientes y reguladores que su producto cumple las normas de la Ley en materia de contraseñas seguras, transparencia de las actualizaciones de seguridad y divulgación de vulnerabilidades.
El incumplimiento de la Ley puede dar lugar a medidas coercitivas, multas de hasta 10 millones de libras esterlinas o el 4% de los ingresos mundiales, y a la retirada y exposición pública de los productos que no la cumplan.
La Ley PSTI exige que se incluyan detalles específicos en la Declaración de Conformidad de cada producto conectable de consumo para verificar el cumplimiento de las normas legales de seguridad. He aquí los elementos esenciales:
Identificación y descripción del producto:
El nombre y el modelo del producto.
Una descripción de las principales características del producto y de sus posibilidades de conexión.
Medidas de seguridad aplicadas:
Visión general de los requisitos de seguridad implementados, incluyendo:
Política de contraseñas por defecto: Cómo se gestionan las contraseñas por defecto fáciles de adivinar.
Política de actualización de firmware y software: Medidas de seguridad y protocolos implantados para salvaguardar las actualizaciones.
Otras medidas de protección (por ejemplo, cifrado de datos, seguridad de la red).
Periodo de actualización de seguridad:
Duración de las actualizaciones de seguridad.
Información clara y transparente sobre dónde pueden encontrar los consumidores detalles sobre las actualizaciones de seguridad.
Política de divulgación de vulnerabilidades:
El punto de contacto para informar sobre vulnerabilidades de seguridad.
Una descripción de cómo se abordarán los problemas notificados y se proporcionarán actualizaciones al notificador.
Verificación del cumplimiento:
Declaración de que, en opinión del fabricante, el producto cumple los requisitos de seguridad de la Ley PSTI.
Firma o autorización del fabricante confirmando la conformidad.
Mantenimiento de registros:
Garantía de que el fabricante conservará los registros de conformidad durante 10 años o según se requiera.
Cualquier otra documentación que respalde el cumplimiento, como resultados de pruebas o verificación externa.
La inclusión de estos elementos garantiza que la Declaración de Conformidad sea exhaustiva y satisfaga los requisitos de documentación de la Ley PSTI.
La creación de una Declaración de Conformidad con la Ley PSTI implica una serie de pasos cuidadosamente planificados. Siga esta guía para asegurarse de que su documento cumple todos los requisitos de la Ley PSTI:
Recopilar detalles del producto e información de seguridad:
Reúna los detalles indicados en la sección anterior, incluida la información sobre la identificación del producto, las medidas de seguridad aplicadas, etc.
Redactar la declaración de acuerdo con las especificaciones de la Ley PSTI:
Estructure el documento para que incluya cada uno de los elementos requeridos: identificación del producto, medidas de seguridad, periodo de actualización y contacto para la divulgación.
Declare que el producto cumple los requisitos de seguridad de la Ley PSTI basándose en su evaluación.
Incluya una firma o autorización de un representante responsable del fabricante.
Revisar y verificar:
Compruebe la exactitud e integridad de cada sección con respecto a los requisitos de la Ley PSTI.
Realice una revisión interna exhaustiva para asegurarse de que todos los detalles coinciden con las funciones de seguridad de su producto y de que están presentes todos los datos necesarios.
Solicite la opinión de sus equipos técnicos, jurídicos y de cumplimiento—o de un experto externo como QIMA/CCLab—para asegurarse de que el documento cumple las normas legales.
Finalizar y formatear:
Finalice el documento en un formato claro y profesional que sea fácil de leer y comprender.
Asegúrese de que la información de contacto para la notificación de vulnerabilidades de seguridad aparece en un lugar destacado.
Guarde la Declaración de Conformidad a efectos de registro e incluya una copia con cada producto.
Presentar o publicar:
Adjunte la Declaración de Conformidad a los productos que se distribuyen o venden, y póngala a disposición del público si es necesario.
Considere la posibilidad de mantener una copia digital accesible a través de su sitio web para referencia de los consumidores.
Aunque no es un requisito legal, la consulta a expertos externos puede agilizar el proceso de la Declaración de Cumplimiento al identificar lagunas de seguridad, orientar la documentación y garantizar el cumplimiento de los requisitos de la Ley PSTI.
QIMA, a través del laboratorio acreditado de ensayos de ciberseguridad de CCLab, ofrece evaluaciones, pruebas, certificación y consultoría para ayudar a los fabricantes, importadores y distribuidores a demostrar eficazmente el cumplimiento de la Parte 1, los requisitos de seguridad de los productos, de la Ley PSTI. Le guiamos en cada paso del cumplimiento de la PSTI para que pueda vender sus productos en el mercado británico con total tranquilidad. Trabaje con nosotros para garantizar el cumplimiento, evitar retiradas y proteger la reputación de su marca.
Más información sobre nuestros servicios de ciberseguridad o póngase en contacto hoy mismo.
Related Articles