¿Qué exige este criterio?
TS 119 312 §6 publica tablas con los periodos máximos de uso de cada algoritmo. Ejemplos orientativos (verificar con la versión vigente): RSA-3072: recomendado hasta 2030+; ECDSA P-256: hasta 2030+; SHA-256: hasta 2030+. Las claves que superen esos periodos deben rotarse. La política de rotación debe referenciarse a estas tablas y contemplar la rotación anticipada si el algoritmo es comprometido antes del plazo.

¿Qué hay que revisar al cliente?

• Política de rotación de claves referenciada a TS 119 312.
• Fechas de expiración de las claves activas vs. periodos de TS 119 312.
• Calendario de próximas rotaciones planificadas.
• Proceso de rotación anticipada ante compromiso de algoritmo.

Preguntas clave para las entrevistas

• ¿La política de rotación de claves referencia explícitamente las tablas de TS 119 312?
• ¿Hay alguna clave que ya supere el periodo máximo recomendado?
• ¿Hay un calendario con las próximas rotaciones planificadas?
• ¿Qué proceso activa la rotación anticipada si un algoritmo es comprometido?

¿Por qué es esencial para QERDS y TSA?
Las tablas de periodos de TS 119 312 son el criterio objetivo que usa el auditor para evaluar la política de rotación. Sin referencias a esas tablas, la política es arbitraria. Con referencias, es objetivamente verificable.

Evidencia que demostraría conformidad

• Política de rotación referenciada a TS 119 312.
• Inventario de claves activas con fechas de generación y expiración.
• Calendario de próximas rotaciones.