¿Qué exige este criterio?
El HSM que aloja la clave privada de la TSU debe tener certificación de seguridad reconocida: FIPS 140-2 Nivel 3 o superior, o CC EAL 4+ o superior. El alcance de la certificación debe cubrir explícitamente las operaciones de firma RSA/ECDSA utilizadas. La clave debe ser no-exportable (flag en el HSM). Debe implementarse doble control para cualquier operación que acceda directamente a la clave.

¿Qué hay que revisar al cliente?

• Modelo y fabricante del HSM donde reside la clave TSU.
• Certificación del HSM: FIPS 140-2/3 nivel, CC EAL nivel, fecha de certificación.
• Alcance de la certificación: ¿cubre las operaciones de firma usadas por la TSA?
• Configuración de no-exportación de la clave (flag de atributo).
• Control de acceso al HSM: doble control, logs de acceso.
• Contratos de mantenimiento y actualizaciones del fabricante.

Preguntas clave para las entrevistas

• ¿Qué modelo de HSM se usa para la TSA? ¿Cuál es su certificación exacta (FIPS 140-x nivel y)?
• ¿El certificado del HSM está vigente o ha caducado?
• ¿Está configurada la clave TSU como no-exportable en el HSM?
• ¿Quién tiene acceso físico y lógico al HSM? ¿Se aplica doble control?

¿Por qué es esencial para QERDS y TSA?
La certificación del HSM es el control de seguridad criptográfica más importante de la TSA. Un HSM sin la certificación adecuada no cumple EN 319 421 ni los requisitos de QSCD de eIDAS. Sin él, la cualificación TSA no es posible.

Evidencia que demostraría conformidad

• Certificado de conformidad del HSM (FIPS o CC, vigente).
• Especificación técnica del HSM con el alcance de la certificación.
• Configuración de no-exportación de la clave (logs de atributos del HSM).
• Control de acceso al HSM (procedimiento y registros de acceso).