¿Qué exige este criterio?
La destrucción de la clave TSU al final de su vida útil debe ser: (1) irreversible (no solo desactivación o archivado); (2) ejecutada dentro del HSM mediante el comando de destrucción del fabricante; (3) documentada con acta firmada por los custodios; (4) registrada en los logs del HSM. Una clave 'jubilada' pero no destruida es un riesgo: podría usarse para emitir tokens con fechas anteriores.

¿Qué hay que revisar al cliente?

• Procedimiento de destrucción de claves TSU al final del ciclo.
• Actas de destrucción de claves anteriores (si las hay).
• Logs del HSM correspondientes a la destrucción.
• Verificación de que la clave destruida no puede recuperarse.

Preguntas clave para las entrevistas

• ¿Cómo se destruye la clave privada TSU al final de su vida? ¿Hay procedimiento documentado?
• ¿El HSM genera un log irrefutable de la destrucción de la clave?
• ¿Se ha destruido alguna clave TSU anterior? ¿Hay acta?
• ¿La destrucción es irreversible o es una desactivación que podría revertirse?

¿Por qué es esencial para QERDS y TSA?
Una clave 'jubilada' pero existente podría usarse para generar tokens con fechas anteriores a la destrucción, creando evidencias falsas. La destrucción irrefutable cierra ese vector de ataque.

Evidencia que demostraría conformidad

• Procedimiento de destrucción de claves TSU.
• Actas de destrucción (si claves anteriores fueron destruidas).
• Extracto de logs del HSM de la operación de destrucción.