Qu'est-ce qu'un QTSP ?
Un prestataire de services de confiance qualifié (QTSP) est une organisation évaluée et certifiée par un organisme de surveillance national pour fournir des services de confiance dans le cadre du règlement eIDAS. Les QTSP doivent répondre à des exigences techniques, organisationnelles et de sécurité strictes. Leurs services bénéficient du plus haut niveau de présomption juridique dans tous les États membres de l'UE.
Le processus d'audit et de certification
Pour devenir QTSP, un prestataire doit subir une évaluation de conformité par un organisme accrédité (CAB). Cette évaluation examine les politiques du prestataire, la sécurité physique, la gestion des clés, la vérification du personnel, la reprise après sinistre et les procédures opérationnelles.
Normes techniques
Les QTSP pour l'horodatage doivent se conformer aux normes ETSI EN 319 421 et ETSI EN 319 422. Ils doivent utiliser des sources de temps traçables à l'UTC avec liaison cryptographique et employer des HSM certifiés au moins Common Criteria EAL 4+ ou FIPS 140-2 Niveau 3.
Obligations continues
La qualification n'est pas un acquis définitif. Les QTSP doivent subir des audits de surveillance réguliers (généralement tous les 24 mois), maintenir des journaux d'événements détaillés, signaler les violations de sécurité à leur organisme de surveillance dans les 24 heures et maintenir leur infrastructure à jour.