ETSI-EN-319-521

REQ-521-7.5-B

§7.5 Firma cualificada de evidencias – QERDS
NC Alta
Texto del requisito

Las evidencias del servicio CUALIFICADO deben estar firmadas o selladas con un sello electrónico CUALIFICADO del prestador, no con firma avanzada simple.

¿Qué pide este criterio y por qué?

¿Qué exige este criterio?
Cada evidencia emitida por el servicio QERDS debe llevar el sello electrónico cualificado del prestador. Esto implica: (1) certificado cualificado de sello del prestador emitido por una CA cualificada inscrita en la lista de confianza europea (Trusted List); (2) creación del sello con un QSCD (HSM certificado); (3) formato XAdES, CAdES o PAdES con perfil cualificado; (4) verificable con herramientas estándar. Una firma avanzada (AdES) sin certificado cualificado NO cumple este requisito.

¿Qué hay que revisar al cliente?

  • Certificado cualificado de sello del prestador: CA emisora, número de serie, fecha de caducidad.
  • Verificación de que la CA emisora está en la lista de confianza europea (LOTL).
  • HSM o QSCD usado para la creación del sello (modelo, certificación, certificado FIPS/CC).
  • Formato de sello aplicado (XAdES, CAdES, PAdES) y nivel (B, T, LT, LTA).
  • Proceso de renovación del certificado de sello antes de su caducidad.
  • Verificabilidad de la firma en herramientas estándar (DSS, Acrobat, etc.).

Preguntas clave para las entrevistas

  • ¿Qué CA emitió el certificado cualificado de sello del prestador QERDS? ¿Está en la LOTL europea?
  • ¿En qué HSM o QSCD está alojada la clave privada del sello? ¿Tiene certificación FIPS 140-2 L3 o equivalente?
  • ¿En qué formato y nivel (XAdES-LT, CAdES-LTA, etc.) se aplica el sello a las evidencias?
  • ¿Cuándo caduca el certificado de sello vigente y hay proceso automatizado de renovación?

¿Por qué es esencial para QERDS y TSA?
El sello cualificado del prestador es lo que convierte la evidencia en un documento con presunción legal de autenticidad e integridad bajo eIDAS art. 35. Sin él, las evidencias son documentos privados sin presunción. Es el corazón criptográfico del QERDS y uno de los puntos más detalladamente verificados en el CAR.

Evidencia que demostraría conformidad

  • Certificado cualificado de sello del prestador (copia o referencia al número de serie).
  • Verificación del certificado en la LOTL europea.
  • Certificación del HSM/QSCD donde reside la clave privada.
  • Ejemplo de evidencia firmada + verificación con herramienta estándar (captura).
  • Procedimiento de renovación del certificado de sello.
Evidencia esperada

Sello cualificado del prestador aplicado + QSCD certificado + formato XAdES/CAdES/PAdES + CA en LOTL + proceso de renovación.

Volver
Evidencias vinculadas 0

Aún no hay evidencias vinculadas.

Subir nueva evidencia
Por defecto, la evidencia se analiza con Claude (Anthropic) para emitir un dictamen consultivo de cobertura del control. El dictamen es orientativo: el CAB sigue siendo la autoridad sobre la conformidad real.
Aplicabilidad
Aplica
Información del requisito
Última actualización
2026-05-03 18:31
Marco
ETSI EN 319 521 – ERDS / QERDS
Versión
v1.1.1 (2019-02)
Referencia bibliográfica
ETSI EN 319 521 V1.1.1 (2019-02). Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Electronic Registered Delivery Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319500_319599/319521/