¿Qué exige este criterio?
El contrato con el TSA externo debe incluir explícitamente: (1) obligación de mantenerse cualificado bajo eIDAS durante toda la vigencia; (2) SLA de disponibilidad alineado con el del servicio QERDS; (3) notificación inmediata de cualquier incidente que afecte a la cualificación o a la disponibilidad; (4) derecho de auditoría del prestador o de un auditor designado; (5) plan de contingencia ante cese del proveedor (período mínimo de continuidad, entrega de claves públicas históricas). Un contrato comercial genérico sin estas cláusulas no es suficiente.

¿Qué hay que revisar al cliente?

• Existencia de cláusulas eIDAS en el contrato (sección o addendum específico).
• SLA contractual de disponibilidad: ¿alineado con el SLA del QERDS?
• Cláusula de notificación de incidentes: plazo y destinatario.
• Cláusula de derecho de auditoría.
• Plan de contingencia ante cese del proveedor incluido o referenciado.
• Revisión legal del contrato.

Preguntas clave para las entrevistas

• ¿El contrato con la TSA externa tiene cláusulas específicas sobre eIDAS y cualificación?
• ¿El SLA del TSA externo es igual o mejor que el del servicio QERDS?
• ¿Hay una cláusula que obliga al TSA externo a notificar al prestador si pierde la cualificación?
• ¿Puedel prestador auditar al TSA externo o a su certificador?

¿Por qué es esencial para QERDS y TSA?
El prestador sigue siendo el responsable ante sus usuarios aunque el sello de tiempo lo emita un tercero. Sin las cláusulas adecuadas, El prestador no puede exigir al externo que cumpla los requisitos que eIDAS le impone indirectamente.

Evidencia que demostraría conformidad

• Contrato con la TSA externa (al menos las cláusulas relevantes).
• SLA contractual documentado.
• Revisión legal del contrato.