¿Qué exige este criterio?
RFC 3161 §2.4 define el campo policyId en el TSTInfo. Este campo debe contener el OID de la Time-Stamping Policy bajo la que se emite el token. La presencia de este campo permite al verificador conocer las garantías del token sin depender del TSP. Debe verificarse que la implementación técnica del TSA siempre incluye este campo correctamente.

¿Qué hay que revisar al cliente?

• Verificación técnica de que el campo policyId está presente en tokens de muestra.
• Coherencia entre el OID en el token y el OID publicado en la política.
• Proceso de validación en la build que garantice que nunca se emiten tokens sin policyId.

Preguntas clave para las entrevistas

• ¿Se puede verificar con OpenSSL o similar que el campo policyId contiene el OID correcto?
• ¿Hay tests automáticos que verifiquen que los tokens generados incluyen el policyId?
• ¿El OID apunta a un documento accesible públicamente?

¿Por qué es esencial para QERDS y TSA?
El policyId es la firma de identidad del token: le dice al mundo qué política lo rige. Un token sin policyId correcto es una no-conformidad de bajo nivel fácil de detectar pero que evidencia fallos en el proceso de emisión.

Evidencia que demostraría conformidad

• Verificación de tokens de muestra con OpenSSL (captura con el OID visible).
• Test automático de validación del campo policyId.