¿Qué exige este criterio?
El TSP debe: (1) definir las competencias requeridas para cada rol del servicio cualificado; (2) verificar que el personal asignado cumple esas competencias (formación, experiencia, certificaciones); (3) realizar verificación de antecedentes para el personal con acceso a sistemas críticos; (4) mantener un plan de formación continua; (5) documentar la habilitación de cada persona para su rol.

¿Qué hay que revisar al cliente?

• Matriz de competencias para los roles del servicio cualificado.
• Verificación de antecedentes del personal con acceso crítico (doble control).
• Plan de formación continua en normativa eIDAS, ETSI y operación del servicio.
• Expedientes individuales con la evidencia de cumplimiento de competencias.
• Proceso de habilitación/deshabilitación de personal.

Preguntas clave para las entrevistas

• ¿Hay una matriz de competencias requeridas para los roles del servicio QERDS?
• ¿Se hace verificación de antecedentes al personal con acceso al HSM o a los sistemas críticos?
• ¿Hay un plan de formación en normativa eIDAS/ETSI para el equipo técnico?
• ¿Qué proceso sigue la empresa cuando un empleado con rol crítico abandona la organización?

¿Por qué es esencial para QERDS y TSA?
El personal es el eslabón más débil en la seguridad. Un técnico sin la formación adecuada puede cometer errores que comprometan la cualificación. La verificación de antecedentes es especialmente crítica para el personal con acceso a HSM y claves criptográficas.

Evidencia que demostraría conformidad

• Matriz de competencias por rol (documento).
• Expedientes de personal con evidencia de habilitación.
• Plan de formación vigente.
• Proceso de verificación de antecedentes.