¿Qué exige este criterio?
El TSPS es el documento central de la TSA, equivalente al ERDS-PS para el QERDS. Debe describir: (1) identificación del prestador y del servicio; (2) la Time-Stamping Policy que implementa; (3) descripción del hardware HSM donde reside la clave TSU; (4) fuente de tiempo usada y precisión; (5) procedimientos de operación; (6) controles de seguridad; (7) plan de continuidad. Debe publicarse con su OID y control de versiones.

¿Qué hay que revisar al cliente?

• Existencia del documento TSPS (nombre, versión, fecha de aprobación).
• Publicación en el repositorio del TSP (URL pública).
• OID del TSPS incluido en los tokens emitidos.
• Cobertura de todos los apartados exigidos por EN 319 421 §7.1.
• Control de versiones e histórico de cambios.
• Aprobación formal por la Dirección.

Preguntas clave para las entrevistas

• ¿Está el TSPS publicado en el repositorio del prestador? ¿En qué URL?
• ¿Qué OID tiene asignado el TSPS y se incluye en los tokens RFC 3161 emitidos?
• ¿Quién aprobó la versión vigente y cuándo?
• ¿Cuándo está prevista la próxima revisión del TSPS?

¿Por qué es esencial para QERDS y TSA?
Sin TSPS, el CAB no puede auditar el servicio TSA. Es el equivalente de la DPC de una CA: el marco contractual y técnico del servicio. Su ausencia bloquea la auditoría completa.

Evidencia que demostraría conformidad

• Documento TSPS (versión vigente, firmado).
• URL de publicación en el repositorio del TSP.
• OID asignado y tabla de asignación.
• Acta de aprobación por la Dirección.