[
  {
    "categoria": "documental",
    "numero": 1,
    "punto": "Politica de clasificacion de incidentes escrita y firmada por la direccion (matriz severidad hacia reporte DORA y NIS2)",
    "prioridad": "Critica",
    "evidencia_requerida": "Documento PDF firmado por COMEX + matriz severidad/reporte versionada"
  },
  {
    "categoria": "documental",
    "numero": 2,
    "punto": "Procedimiento de notificacion DORA 4 horas documentado, validado por la direccion juridica, actualizado anualmente",
    "prioridad": "Critica",
    "evidencia_requerida": "Runbook DORA + visto bueno de la direccion juridica + registro de revision anual"
  },
  {
    "categoria": "documental",
    "numero": 3,
    "punto": "Procedimiento de notificacion NIS2 24 horas documentado, alineado con el portal nacional (MonEspaceNIS2, BSI, ACN)",
    "prioridad": "Critica",
    "evidencia_requerida": "Runbook NIS2 + mapeo de portal por jurisdiccion + cuentas de usuarios"
  },
  {
    "categoria": "documental",
    "numero": 4,
    "punto": "DPA RGPD firmado con el proveedor de status page, incluyendo la lista de subcontratistas",
    "prioridad": "Alta",
    "evidencia_requerida": "DPA refrendado + anexo de subcontratistas actualizado"
  },
  {
    "categoria": "documental",
    "numero": 5,
    "punto": "Registro de proveedores ICT actualizado, conforme a DORA Articulo 28 apartado 3",
    "prioridad": "Critica",
    "evidencia_requerida": "Registro Excel/SaaS + campo CIFA + fecha de ultima revision"
  },
  {
    "categoria": "documental",
    "numero": 6,
    "punto": "Estrategia de salida del proveedor de status page probada anualmente y documentada",
    "prioridad": "Alta",
    "evidencia_requerida": "Plan de salida + acta de la prueba anual"
  },
  {
    "categoria": "documental",
    "numero": 7,
    "punto": "Plan de comunicacion de crisis validado por el COMEX (roles, mensajes tipo, canales)",
    "prioridad": "Alta",
    "evidencia_requerida": "Documento firmado por COMEX + RACI + plantillas de comunicacion"
  },
  {
    "categoria": "tecnico",
    "numero": 8,
    "punto": "Status page alojada fuera de la infraestructura aplicativa, con prueba de independencia probada",
    "prioridad": "Critica",
    "evidencia_requerida": "Diagrama de arquitectura + resultado del test de aislamiento (chaos test)"
  },
  {
    "categoria": "tecnico",
    "numero": 9,
    "punto": "Marca temporal RFC 3339 UTC en todas partes, sin excepcion (interfaz, API, exportaciones)",
    "prioridad": "Critica",
    "evidencia_requerida": "Captura de interfaz + payload API + exportacion JSON/RSS fechada UTC"
  },
  {
    "categoria": "tecnico",
    "numero": 10,
    "punto": "Severidad codificada en 4 niveles minimo (operational, degraded, partial outage, major outage)",
    "prioridad": "Alta",
    "evidencia_requerida": "Documentacion de producto + capturas de estados + tabla de correspondencia interna"
  },
  {
    "categoria": "tecnico",
    "numero": 11,
    "punto": "Exportacion estructurada disponible en JSON, RSS y Atom, completada por ICS para mantenimiento",
    "prioridad": "Alta",
    "evidencia_requerida": "URLs publicas de los feeds + ejemplos de payload archivados"
  },
  {
    "categoria": "tecnico",
    "numero": 12,
    "punto": "Audit trail visible en cada actualizacion, identificando al autor (rol minimo)",
    "prioridad": "Critica",
    "evidencia_requerida": "Captura de interfaz + extracto de log de auditoria + politica de roles"
  },
  {
    "categoria": "tecnico",
    "numero": 13,
    "punto": "Versionado de las actualizaciones de incidentes, jamas sobrescritura retroactiva",
    "prioridad": "Critica",
    "evidencia_requerida": "Demostracion de historial de un incidente + politica de modificacion"
  },
  {
    "categoria": "tecnico",
    "numero": 14,
    "punto": "Monitoreo multirregional en al menos 4 zonas (UE, US, APAC, UK)",
    "prioridad": "Alta",
    "evidencia_requerida": "Lista de sondas por region + informe de cobertura mensual"
  },
  {
    "categoria": "tecnico",
    "numero": 15,
    "punto": "Notificaciones multicanal operativas: email, webhook, RSS, SMS opcional",
    "prioridad": "Media",
    "evidencia_requerida": "Lista de canales activados + test de envio trimestral"
  },
  {
    "categoria": "tecnico",
    "numero": 16,
    "punto": "Archivado inmutable WORM o registro firmado durante al menos 6 anos",
    "prioridad": "Critica",
    "evidencia_requerida": "Estrategia de archivado + prueba de inmutabilidad (hash, S3 Object Lock, Glacier)"
  },
  {
    "categoria": "tecnico",
    "numero": 17,
    "punto": "Seguridad del dominio status: DNSSEC activo, HTTPS estricto, HSTS, CAA, test HSTS validado",
    "prioridad": "Alta",
    "evidencia_requerida": "Informe DNSSEC + captura HSTS preload + registro CAA + escaneo TLS"
  },
  {
    "categoria": "organizativo",
    "numero": 18,
    "punto": "Rol DORA Incident Notifier designado por escrito, con backup (equivalente CSSF eDesk role)",
    "prioridad": "Critica",
    "evidencia_requerida": "Carta de nombramiento + backup + extracto de organigrama"
  },
  {
    "categoria": "organizativo",
    "numero": 19,
    "punto": "Guardia 24/7 en el canal status page, con rotacion documentada y calendario anual",
    "prioridad": "Critica",
    "evidencia_requerida": "Calendario de guardia + herramienta de paging + politica de rotacion"
  },
  {
    "categoria": "organizativo",
    "numero": 20,
    "punto": "Drill 4 horas trimestral en forma de tabletop exercise, seguido de un post-mortem del drill",
    "prioridad": "Alta",
    "evidencia_requerida": "Acta del drill + plan de accion + post-mortem firmado"
  },
  {
    "categoria": "organizativo",
    "numero": 21,
    "punto": "Mapeo documentado de las autoridades nacionales por jurisdiccion (ACPR / BaFin / ACN / CSSF / Banca d'Italia + CSIRT NIS2 + CNIL/AEPD y equivalentes RGPD)",
    "prioridad": "Alta",
    "evidencia_requerida": "Tabla de correspondencia + URLs y contactos oficiales por pais"
  },
  {
    "categoria": "organizativo",
    "numero": 22,
    "punto": "KPI delay-to-publish seguido en continuo, con objetivo inferior a 15 minutos",
    "prioridad": "Alta",
    "evidencia_requerida": "Dashboard interno + informe mensual + umbrales de alerta"
  },
  {
    "categoria": "organizativo",
    "numero": 23,
    "punto": "Comunicaciones a clientes pre-redactadas por escenario, validadas por DPO y direccion juridica",
    "prioridad": "Media",
    "evidencia_requerida": "Biblioteca de mensajes tipo + visto bueno DPO + visto bueno direccion juridica"
  },
  {
    "categoria": "organizativo",
    "numero": 24,
    "punto": "Formacion anual de los equipos SRE y comunicacion sobre las obligaciones DORA y NIS2",
    "prioridad": "Alta",
    "evidencia_requerida": "Plan de formacion + lista de asistencia + hoja de evaluacion"
  },
  {
    "categoria": "organizativo",
    "numero": 25,
    "punto": "Revision anual COMEX y consejo de administracion sobre los incidentes graves (DORA Articulo 17)",
    "prioridad": "Critica",
    "evidencia_requerida": "Acta COMEX + deliberacion del consejo + indicadores de incidentes"
  }
]