¿Qué exige este criterio?
Un organigrama específico del servicio cualificado con cada rol nombrado, su descripción de funciones, sus responsabilidades concretas y a quién reporta. Debe identificarse el responsable global del servicio (TSP responsible/manager), el responsable de seguridad, el operativo y el auditor. La matriz RACI debe cubrir los procesos críticos.

¿Qué hay que revisar al cliente?

• Organigrama propio del servicio cualificado (no solo el corporativo general).
• Descripción de puesto de cada rol crítico (responsabilidades, dependencias jerárquicas).
• Matriz RACI sobre los procesos críticos (operación, gestión de claves, gestión de evidencias, gestión de incidentes, auditoría).
• Asignación nominal: qué persona ocupa cada rol crítico hoy.
• Procedimiento de sustitución y cobertura cuando un rol clave queda vacante.

Preguntas clave para las entrevistas

• ¿Quién es el responsable último del servicio cualificado?
• ¿Qué rol específico tiene asignada la responsabilidad ante el supervisor (notificación, auditoría)?
• ¿Cómo se cubre el servicio si uno de los roles críticos no está disponible (vacaciones, baja)?
• ¿Se ha asignado nominalmente cada rol o existen cargos vacantes?

¿Por qué es esencial para QERDS y TSA?
El art. 24.1.b eIDAS exige personal cualificado con responsabilidades claras. Una organización difusa imposibilita la auditoría: el CAB necesita saber a quién entrevistar para cada control. Para QERDS y TSA es especialmente importante el rol del responsable de seguridad y el de auditor interno (segregados).

Evidencia que demostraría conformidad

• Organigrama del servicio firmado.
• Descripciones de puesto.
• Matriz RACI sobre procesos del servicio.
• Acta de asignación de responsables.