Czym jest QTSP?
Kwalifikowany dostawca usług zaufania (QTSP) to organizacja oceniona i certyfikowana przez krajowy organ nadzoru w celu świadczenia usług zaufania w ramach rozporządzenia eIDAS. QTSP muszą spełniać rygorystyczne wymagania techniczne, organizacyjne i bezpieczeństwa, które znacznie wykraczają poza wymagania stawiane dostawcom niekwalifikowanym. Ich usługi korzystają z najwyższego poziomu domniemania prawnego we wszystkich państwach członkowskich UE. Status ten jest publicznie rejestrowany na Liście zaufania UE i może być weryfikowany przez każdego.
Proces audytu i certyfikacji
Aby zostać QTSP, dostawca musi przejść ocenę zgodności przez akredytowaną jednostkę (CAB). Ta ocena sprawdza polityki dostawcy, bezpieczeństwo fizyczne, zarządzanie kluczami, weryfikację personelu, odtwarzanie po awarii i procedury operacyjne. CAB wydaje raport z oceny zgodności, który jest przekazywany do krajowego organu nadzoru. Po zatwierdzeniu dostawca jest umieszczany na Liście zaufania UE.
Standardy techniczne
QTSP dla znakowania czasem muszą spełniać normy ETSI EN 319 421 (wymagania polityki i bezpieczeństwa dla TSP wydających znaczniki czasu) i ETSI EN 319 422 (protokół i profil znakowania czasem). Muszą używać źródeł czasu śledzonych do UTC z wiązaniem kryptograficznym i stosować HSM certyfikowane co najmniej na CC EAL 4+ lub FIPS 140-2 Poziom 3. Te standardy zapewniają techniczną integralność i interoperacyjność kwalifikowanych znaczników czasu.
Bieżące obowiązki
Kwalifikacja nie jest jednorazowym osiągnięciem. QTSP muszą przechodzić regularne audyty nadzoru (zazwyczaj co 24 miesiące), prowadzić szczegółowe dzienniki zdarzeń, zgłaszać naruszenia bezpieczeństwa swojemu organowi nadzoru w ciągu 24 godzin i aktualizować infrastrukturę zgodnie z ewoluującymi standardami. Niestosowanie się może skutkować zawieszeniem lub cofnięciem statusu kwalifikowanego.