¿Qué exige este criterio?
La Time-Stamping Policy define: (1) el alcance del servicio (qué datos acepta para sellar, qué no); (2) la precisión de tiempo garantizada (típicamente ≤1 segundo respecto a UTC); (3) los algoritmos usados; (4) el periodo de validez de la TSU; (5) las obligaciones de la TSA y de los suscriptores; (6) la política de renovación y archivado. El OID de la política debe ser único bajo el espacio de nombres del TSP e incluirse en cada token emitido.

¿Qué hay que revisar al cliente?

• Documento de Time-Stamping Policy (distinto del TSPS o sección del mismo).
• OID asignado y publicado.
• Precisión de tiempo declarada y método de garantía.
• Algoritmos declarados en la política y alineación con TS 119 312.
• Periodo de validez de la TSU declarado.

Preguntas clave para las entrevistas

• ¿La Time-Stamping Policy es un documento propio o está integrada en el TSPS?
• ¿Cuál es la precisión de tiempo declarada (en segundos)?
• ¿El OID de la política aparece en los tokens RFC 3161 emitidos?
• ¿Hay una política diferenciada para el servicio cualificado y el no cualificado?

¿Por qué es esencial para QERDS y TSA?
La Time-Stamping Policy es lo que el verificador consulta cuando lee el OID del token para entender qué garantías ofrece ese token. Sin ella, el OID es un identificador vacío y el token pierde su valor declarativo.

Evidencia que demostraría conformidad

• Documento de Time-Stamping Policy (versión vigente).
• OID asignado (tabla o registro).
• Verificación de que el OID aparece en un token de muestra.