O que é um QTSP?
Um prestador de serviços de confiança qualificado (QTSP) é uma organização avaliada e certificada por um organismo de supervisão nacional para prestar serviços de confiança ao abrigo do regulamento eIDAS. Os QTSPs devem cumprir exigentes requisitos técnicos, organizacionais e de segurança que vão muito além do que é exigido aos prestadores não qualificados. Os seus serviços gozam do mais alto nível de presunção legal em todos os estados-membros da UE. Este estatuto é registado publicamente na Lista de Confiança da UE e pode ser verificado por qualquer pessoa.
Processo de auditoria e certificação
Para se tornar QTSP, um prestador deve submeter-se a uma avaliação de conformidade por um organismo acreditado (CAB). Esta avaliação examina as políticas do prestador, segurança física, gestão de chaves, verificação de pessoal, recuperação de desastres e procedimentos operacionais. O CAB emite um relatório de avaliação de conformidade que é submetido ao organismo de supervisão nacional. Se aprovado, o prestador é incluído na Lista de Confiança da UE.
Normas técnicas
Os QTSPs de carimbos de tempo devem cumprir a ETSI EN 319 421 (requisitos de política e segurança para TSPs que emitem carimbos de tempo) e ETSI EN 319 422 (protocolo e perfil de carimbos de tempo). Devem utilizar fontes de tempo rastreáveis a UTC com vinculação criptográfica e empregar HSMs certificados com pelo menos Common Criteria EAL 4+ ou FIPS 140-2 Nível 3. Estas normas garantem a integridade técnica e a interoperabilidade dos carimbos de tempo qualificados.
Obrigações contínuas
A qualificação não é uma conquista única. Os QTSPs devem submeter-se a auditorias de vigilância regulares (tipicamente a cada 24 meses), manter registos de eventos detalhados, reportar violações de segurança ao seu organismo de supervisão em 24 horas e manter a infraestrutura atualizada com os padrões em evolução. O incumprimento pode resultar na suspensão ou revogação do estatuto qualificado.