Što je QTSP?
Kvalificirani pružatelj usluga povjerenja (QTSP) je organizacija koju je procijenilo i certificiralo nacionalno nadzorno tijelo za pružanje usluga povjerenja prema uredbi eIDAS. QTSP-ovi moraju ispunjavati stroge tehničke, organizacijske i sigurnosne zahtjeve koji daleko nadilaze ono što se zahtijeva od nekvalificiranih pružatelja. Njihove usluge uživaju najvišu razinu pravne presumpcije u svim državama članicama EU. Taj status javno se bilježi u EU listi povjerenja i svima je dostupan za provjeru.
Proces revizije i certificiranja
Da bi postao QTSP, pružatelj mora proći ocjenu sukladnosti akreditiranog tijela (CAB). Ova ocjena ispituje politike pružatelja, fizičku sigurnost, upravljanje ključevima, provjeru osoblja, oporavak od katastrofe i operativne postupke. CAB izdaje izvješće o ocjeni sukladnosti koje se podnosi nacionalnom nadzornom tijelu. Ako se odobri, pružatelj se upisuje na EU listu povjerenja.
Tehnički standardi
QTSP-ovi za vremensko žigosanje moraju se pridržavati ETSI EN 319 421 (zahtjevi politike i sigurnosti za TSP-ove koji izdaju vremenske žigove) i ETSI EN 319 422 (protokol i profil vremenskog žigosanja). Moraju koristiti izvore vremena sljedive do UTC s kriptografskim vezanjem i koristiti HSM-ove certificirane na najmanje Common Criteria EAL 4+ ili FIPS 140-2 Razina 3. Ti standardi jamče tehnički integritet i interoperabilnost kvalificiranih vremenskih žigova.
Tekuće obveze
Kvalifikacija nije jednokratno postignuće. QTSP-ovi moraju prolaziti redovite nadzorne revizije (obično svakih 24 mjeseca), voditi detaljne zapise događaja, prijaviti sigurnosne povrede svom nadzornom tijelu u roku od 24 sata i održavati infrastrukturu usklađenom s novim standardima. Neusklađenost može rezultirati suspenzijom ili opozvanjem kvalificiranog statusa.