¿Qué exige este criterio?
El prestador debe disponer de un procedimiento que identifique de forma inequívoca al emisor antes de procesar el envío. El nivel de aseguramiento de los medios de identificación debe ser proporcional al nivel del servicio ofrecido. Para el servicio no cualificado basta un nivel bajo (usuario/contraseña) pero para el QERDS se exige nivel sustancial o alto (ver REQ-521-7.2-B).

¿Qué hay que revisar al cliente?

• Procedimiento documentado de identificación del emisor (descripción técnica del mecanismo).
• Registro de cada acto de identificación vinculado al envío concreto.
• Nivel de aseguramiento declarado en el ERDS-PS para el emisor.
• Integración con el IDP o mecanismo de autenticación (Cl@ve, certificado, etc.).
• Gestión de los casos de fallo de identificación (qué ocurre si el IDP no está disponible).

Preguntas clave para las entrevistas

• ¿Cómo se identifica el emisor en el servicio actual? ¿Usuario/contraseña, certificado, IDP externo?
• ¿Qué nivel de aseguramiento (bajo/sustancial/alto) corresponde al mecanismo actual?
• ¿Se registra en la evidencia el método de identificación usado en cada envío?
• ¿Qué ocurre si el servicio de autenticación (IDP) está caído? ¿Se puede enviar igualmente?

¿Por qué es esencial para QERDS y TSA?
La identificación del emisor es una de las cuatro presunciones del artículo 43.1 de eIDAS. Si no está debidamente acreditada y registrada en la evidencia, el valor probatorio del servicio decae. El CAB verifica tanto el procedimiento como que el mecanismo técnico lo implementa correctamente.

Evidencia que demostraría conformidad

• Procedimiento de identificación del emisor (documento).
• Ejemplo de evidencia que incluye el identificador del emisor verificado.
• Especificación técnica de la integración con el IDP.
• Registro de incidentes de autenticación fallida (si los hay).