¿Qué exige este criterio?
La fase in situ del CAR requiere: (1) entrevistas con el responsable del servicio, el responsable de seguridad, el operador de la TSA, el administrador del HSM; (2) observación de operaciones (emisión de tokens, generación de evidencias, acceso al HSM); (3) revisión técnica de sistemas (configuración del TSA, HSM, logs, arquitectura); (4) visita a las instalaciones físicas (CPD, sala del HSM). El TSP debe planificar la logística y disponer al personal clave durante las fechas de la auditoría.

¿Qué hay que revisar al cliente?

• Planificación de la auditoría in situ: fechas, días necesarios, personal clave disponible.
• Disponibilidad del responsable del servicio para entrevistas.
• Disponibilidad del administrador del HSM para demostración técnica.
• Acceso al CPD y a la sala del HSM para el auditor.
• Documentación técnica disponible durante la auditoría.

Preguntas clave para las entrevistas

• ¿Están disponibles el responsable del servicio y el administrador del HSM en las fechas de auditoría?
• ¿El auditor tendrá acceso físico al CPD y a la sala del HSM?
• ¿Hay alguna restricción de acceso o confidencialidad que pueda limitar la auditoría?
• ¿Cuántos días de auditoría in situ se han planificado?

¿Por qué es esencial para QERDS y TSA?
La auditoría in situ es el momento en que el auditor verifica que la realidad coincide con la documentación. Si el personal clave no está disponible o el acceso a los sistemas está limitado, el auditor puede emitir una NC por imposibilidad de verificar. La planificación logística de la auditoría es tan importante como la preparación documental.

Evidencia que demostraría conformidad

• Plan de auditoría acordado con el CAB (fechas, días, agenda).
• Disponibilidad confirmada del personal clave.
• Autorización de acceso al CPD para el auditor.