¿Qué exige este criterio?
El proceso de rekey de la TSU es una operación crítica que debe planificarse con suficiente antelación (mínimo 60 días antes de la expiración). Implica: (1) generación de la nueva clave en el HSM bajo ceremonia; (2) solicitud y obtención del nuevo certificado de la TSU a la CA; (3) configuración del TSA para usar la nueva clave sin ventana de caída; (4) publicación de la nueva cadena de certificados; (5) actualización del TSPS. Debe ensayarse previamente.

¿Qué hay que revisar al cliente?

• Procedimiento de rekey documentado paso a paso.
• Antelación mínima para iniciar el rekey antes de la expiración.
• Registros de ensayos previos del proceso de rekey.
• Tiempo estimado de ejecución y ventana de mantenimiento planificada.
• Proceso de comunicación a clientes del nuevo certificado TSU.

Preguntas clave para las entrevistas

• ¿Cuándo fue el último rekey de la TSU? ¿Hay acta?
• ¿El proceso de rekey se ha ensayado en un entorno de pruebas antes de ejecutarlo en producción?
• ¿Cuánto tiempo tardó el último rekey en completarse?
• ¿El rekey puede ejecutarse sin ventana de mantenimiento o requiere parada del servicio?

¿Por qué es esencial para QERDS y TSA?
Un rekey mal ejecutado puede causar una caída del servicio TSA que paraliza la generación de evidencias QERDS. Un rekey omitido deja el servicio con una clave caducada, que es una no-conformidad grave. El procedimiento debe ser probado, no solo documentado.

Evidencia que demostraría conformidad

• Procedimiento de rekey documentado.
• Registro del último rekey ejecutado (fecha, duración, incidencias).
• Evidencia de ensayo previo en entorno de pruebas.