De la "A+" a la "D". Confidencialidad, integridad y disponibilidad

Todos los controles incluidos en la guía de calificación están clasificados en 5 niveles, desde la A+ hasta la D, exigiendo ya desde el nivel ‘D’ el cumplimiento de unas medidas básicas de seguridad y correspondiendo el nivel ‘A+’ al mejor conjunto de medidas posibles en cada momento. De esta forma, el nivel ‘A+’ está reservado a aquellos servicios destinados a tratamiento de información extremadamente confidencial (como secretos industriales o nacionales) o con requisitos muy exigentes de disponibilidad (como infraestructuras críticas).

Para alcanzar un determinado nivel es necesario cumplir con todos los controles exigidos para el mismo, atendiendo a la máxima de que “la seguridad es tan fuerte como el eslabón más débil”. Esto implica que si un servicio cumple con todos los controles necesarios para alcanzar el nivel B, excepto por uno, en el que alcanza los controles para el nivel C, la calificación final será una C.

Disponer del sello LEET Security asegura que el servicio calificado cuenta con un sistema de gestión y medidas de seguridad.

Esta calificación además, no es global, sino que se evalúan las medidas relevantes para las tres dimensiones fundamentales de la seguridad de la información: Confidencialidad, Integridad y Disponibilidad. De esta forma, la calificación otorgada por LEET Security consta de tres letras: La primera indica la fiabilidad del servicio en cuanto a la Confidencialidad, la segunda valora la Integridad y la tercera mide la Disponibilidad, siempre de forma específica para el servicio calificado.

Existen también calificativos adicionales que se corresponden al cumplimiento de normativa específica:

- '+LOPD B/M/A' Indica cumplimiento de las medidas de seguridad LOPD para datos personales de tipo bajo / medio / alto.

- '+PCIDSS' Indica cumplimiento de PCI DSS

- '+ENS B/M/A' Indica cumplimiento de las medidas de seguridad del Esquema Nacional de Seguridad (ENS) para sistemas de criticidad baja / media / alta.

- Próximamente se incorporará también el calificativo '+DPCoC' de cumplimiento con el Código de Conducta europeo para Datos Personales de proveedores cloud.

Podemos encontrarnos también con la calificación inespecífica: PASSED. Ello significa que el servicio en cuestión cuando menos supera todas las medidas correspondientes al nivel D en las tres dimensiones, si bien, el proveedor no desea mostrar los niveles de forma explícita. En este caso, el informe ejecutivo de los niveles correspondientes puede ser consultado en el apartado de Servicios calificados, asociado al número de registro correspondiente, o accediendo al mísmo haciendo click sobre el sello mostrado en el sitio web del proveedor del servicio.