¿Qué exige este criterio?
La verificación debe documentarse: (1) nombre y URL del TSP externo; (2) consulta documentada en la LOTL europea (EU Trusted List / Trust List Browser de la CE); (3) confirmación de que el servicio específico (time-stamping cualificado) está incluido como servicio cualificado activo (no suspendido ni retirado); (4) proceso de re-verificación periódica (al menos anualmente) para confirmar que la cualificación se mantiene.

¿Qué hay que revisar al cliente?

• Nombre del TSA externo contratado.
• Verificación documentada en la LOTL europea (captura o export).
• Estado del servicio en la LOTL: activo y cualificado.
• Proceso de re-verificación periódica.
• Cláusula contractual que exige al proveedor mantener la cualificación.

Preguntas clave para las entrevistas

• ¿Qué TSA externa está usando o va a usar el prestador para el servicio QERDS?
• ¿Se ha verificado en la LOTL europea que ese TSA está actualmente cualificado?
• ¿El contrato exige al TSA externo notificar al prestador si pierde la cualificación?
• ¿Con qué frecuencia se verifica que el TSA externo sigue estando en la LOTL?

¿Por qué es esencial para QERDS y TSA?
Una TSA 'externa' que no esté en la LOTL como cualificada no aporta el nivel de garantía requerido por eIDAS art. 44.1.e. El error es fácil de cometer y tiene consecuencias graves: los tokens no tendrían presunción de exactitud temporal.

Evidencia que demostraría conformidad

• Verificación documentada del TSA externo en la LOTL (captura con fecha).
• Cláusula contractual sobre mantenimiento de la cualificación.
• Proceso de re-verificación periódica documentado.