¿Qué exige este criterio?
EN 319 422 §6 define el perfil del TSTInfo dentro del token RFC 3161. Campos obligatorios: version=1, policy (OID), messageImprint (algoritmo+hash), serialNumber (único, no predecible), genTime (tiempo en GeneralizedTime con segundos y zona Z), tsa (GeneralName del TSA). El campo accuracy, aunque opcional, es muy recomendable para declarar la precisión. El token completo se encapsula en un CMS SignedData.

¿Qué hay que revisar al cliente?

• Tokens de muestra analizados con OpenSSL: verificar todos los campos del TSTInfo.
• Presencia del campo version=1.
• Presencia del campo policy con OID correcto.
• Presencia del campo genTime en formato correcto (GeneralizedTime Z).
• Presencia del campo tsa con el nombre del TSP.
• Tests automáticos que validan el perfil de cada token emitido.

Preguntas clave para las entrevistas

• ¿Se validan automáticamente los tokens generados contra el perfil EN 319 422?
• ¿El campo genTime usa GeneralizedTime con zona Z (UTC)?
• ¿El campo tsa incluye el nombre correcto del TSP?
• ¿Hay logs de errores de generación de tokens que puedan indicar problemas de perfil?

¿Por qué es esencial para QERDS y TSA?
El perfil del token es la especificación técnica del producto del TSA. Un token fuera del perfil puede ser rechazado por herramientas de verificación estándar (eIDAS DSS, Adobe). Tener tests automáticos que validan el perfil de cada token es la mejor forma de garantizar conformidad continua.

Evidencia que demostraría conformidad

• Análisis de token de muestra con OpenSSL (captura mostrando todos los campos).
• Tests automáticos de validación del perfil.
• Especificación técnica del generador de tokens.