¿Qué es un QTSP?
Un proveedor de servicios de confianza cualificado (QTSP) es una organización evaluada y certificada por un organismo supervisor nacional para proporcionar servicios de confianza bajo el reglamento eIDAS. Los QTSPs deben cumplir exigentes requisitos técnicos, organizativos y de seguridad que van mucho más allá de lo requerido a los proveedores no cualificados. Sus servicios gozan del más alto nivel de presunción legal en todos los estados miembros de la UE. Este estatus se registra públicamente en la Lista de confianza de la UE y es verificable por cualquiera.
El proceso de auditoría y certificación
Para convertirse en QTSP, un proveedor debe someterse a una evaluación de conformidad por un organismo acreditado (CAB). Esta evaluación examina las políticas del proveedor, seguridad física, gestión de claves, verificación del personal, recuperación ante desastres y procedimientos operativos. El CAB emite un informe de evaluación de conformidad que se presenta al organismo supervisor nacional. Si se aprueba, el proveedor se incluye en la Lista de confianza de la UE.
Estándares técnicos
Los QTSPs para sellado de tiempo deben cumplir con ETSI EN 319 421 (requisitos de política y seguridad para TSPs que emiten sellos de tiempo) y ETSI EN 319 422 (protocolo y perfil de sellado de tiempo). Deben usar fuentes de tiempo trazables a UTC con vinculación criptográfica y emplear HSMs certificados al menos en Common Criteria EAL 4+ o FIPS 140-2 Nivel 3. Estos estándares garantizan la integridad técnica e interoperabilidad de los sellos de tiempo cualificados.
Obligaciones continuas
La cualificación no es un logro único. Los QTSPs deben someterse a auditorías de vigilancia regulares (típicamente cada 24 meses), mantener registros de eventos detallados, notificar infracciones de seguridad a su organismo supervisor en 24 horas y mantener su infraestructura al día con los estándares en evolución. El incumplimiento puede resultar en la suspensión o revocación del estatus cualificado.