¿Qué exige este criterio?
El campo policy del TSTInfo debe contener el OID de la Time-Stamping Policy vigente. Este OID debe: (1) ser único bajo el espacio de nombres del TSP; (2) estar publicado en el TSPS y en la política; (3) ser trazable a un documento accesible públicamente. El verificador usa este OID para conocer las garantías del token sin consultar al TSP.

¿Qué hay que revisar al cliente?

• Campo policy presente en todos los tokens.
• OID correcto y trazable a la política publicada.
• URL de la política accesible (no devuelve 404).
• Proceso de actualización del OID si cambia la política.

Preguntas clave para las entrevistas

• ¿El campo policy está presente en todos los tokens emitidos?
• ¿El OID apunta a un documento accesible públicamente?
• ¿Qué pasa cuando se actualiza la política? ¿Se emite un nuevo OID?

¿Por qué es esencial para QERDS y TSA?
El campo policy es la firma de identidad del token: comunica al verificador las garantías bajo las que fue emitido. Sin él, el token es anónimo criptográficamente pero sin contexto de política. Es un campo obligatorio que el CAB verificará en los tokens de muestra.

Evidencia que demostraría conformidad

• Token de muestra con campo policy presente (captura OpenSSL).
• OID y URL de la política publicada.
• Verificación de que la URL de la política está accesible.