Cos'è un QTSP?
Un prestatore di servizi fiduciari qualificato (QTSP) è un'organizzazione valutata e certificata da un organismo di vigilanza nazionale per fornire servizi fiduciari ai sensi del regolamento eIDAS. I QTSP devono soddisfare rigorosi requisiti tecnici, organizzativi e di sicurezza che vanno ben oltre quanto richiesto ai fornitori non qualificati. I loro servizi godono del più alto livello di presunzione legale in tutti gli stati membri dell'UE. Questo status è registrato pubblicamente nell'Elenco fiduciario UE ed è verificabile da chiunque.
Il processo di audit e certificazione
Per diventare QTSP, un prestatore deve sottoporsi a una valutazione di conformità da parte di un organismo accreditato (CAB). Questa valutazione esamina le politiche del prestatore, la sicurezza fisica, la gestione delle chiavi, il vetting del personale, il ripristino di emergenza e le procedure operative. Il CAB emette un rapporto di valutazione di conformità che viene presentato all'organismo di vigilanza nazionale. Se approvato, il prestatore viene inserito nell'Elenco fiduciario UE.
Standard tecnici
I QTSP per la marcatura temporale devono conformarsi a ETSI EN 319 421 (requisiti di politica e sicurezza per TSP che emettono marche temporali) e ETSI EN 319 422 (protocollo e profilo di marcatura temporale). Devono utilizzare fonti di tempo tracciabili a UTC con vincolo crittografico e impiegare HSM certificati almeno Common Criteria EAL 4+ o FIPS 140-2 Livello 3. Questi standard garantiscono l'integrità tecnica e l'interoperabilità delle marche temporali qualificate.
Obblighi continui
La qualificazione non è un traguardo una tantum. I QTSP devono sottoporsi a regolari audit di sorveglianza (tipicamente ogni 24 mesi), mantenere registri dettagliati degli eventi, segnalare violazioni della sicurezza al proprio organismo di vigilanza entro 24 ore e mantenere la propria infrastruttura aggiornata con gli standard in evoluzione. Il mancato rispetto può comportare la sospensione o la revoca dello status qualificato.