¿Qué exige este criterio?
La generación de la clave de la TSU es la operación más crítica de todo el ciclo de vida. Debe realizarse: (1) dentro del HSM certificado, sin que la clave privada salga nunca en claro; (2) bajo ceremonia formal con al menos 2 custodios presentes y sus identidades verificadas; (3) con acta de ceremonia detallada y firmada por los custodios; (4) con logs del HSM que registren la operación; (5) con cámara o grabación si la política interna lo permite. El procedimiento de ceremonia debe estar documentado antes de ejecutarse.

¿Qué hay que revisar al cliente?

• Procedimiento documentado de la ceremonia de generación de claves TSU.
• Actas firmadas de la última ceremonia de generación.
• Logs del HSM correspondientes a la generación.
• Identidad de los custodios y su habilitación para el rol.
• Condición del HSM en el momento de la ceremonia (no comprometido, sellos intactos).
• Número de custodios participantes y quórum requerido.

Preguntas clave para las entrevistas

• ¿Cuándo se realizó la última ceremonia de generación de claves TSU? ¿Hay acta?
• ¿Cuántos custodios participaron y cuál era el quórum mínimo exigido?
• ¿Los logs del HSM están disponibles para el período de la ceremonia?
• ¿Se verificó visualmente la integridad física del HSM (sellos, estado) antes de la ceremonia?

¿Por qué es esencial para QERDS y TSA?
La clave TSU es la raíz de confianza de TODOS los tokens emitidos por el servicio. Si su generación no fue auditable y demostrable, el auditor CAB puede cuestionar la legitimidad de toda la cadena de confianza. Es el primer punto de la auditoría técnica de una TSA.

Evidencia que demostraría conformidad

• Procedimiento de ceremonia de generación de claves (documento previo).
• Acta de la última ceremonia (firmada por custodios).
• Extracto de logs del HSM de la operación de generación.
• Certificado del HSM y verificación de integridad previa a la ceremonia.