¿Qué exige este criterio?
Política criptográfica documentada que especifique, para cada uso del servicio (firma de evidencias, sello de tiempo, cifrado en tránsito, cifrado en reposo, autenticación), los algoritmos aceptables, las longitudes mínimas de clave y los periodos de validez. Debe estar alineada con ETSI TS 119 312 vigente y prever el plan de transición ante debilitamiento de algoritmos.

¿Qué hay que revisar al cliente?

• Documento de política criptográfica firmado.
• Tablas de algoritmos aceptables por uso (alineación con TS 119 312).
• Periodos de validez de las claves criptográficas según algoritmo.
• Procedimiento de revisión y actualización de la política.
• Coherencia con la realidad técnica de los sistemas.

Preguntas clave para las entrevistas

• ¿Aceptáis SHA-1 en algún subsistema actualmente? ¿Y RSA-1024?
• ¿Cómo se gestiona la transición ante un nuevo aviso de debilidad?
• ¿Qué periodos de validez se aplican a la clave del prestador?
• ¿La política se ha actualizado tras la última versión de TS 119 312?

¿Por qué es esencial para QERDS y TSA?
Una política criptográfica inconsistente es donde más fácilmente entran algoritmos deprecados (SHA-1 residual, RSA-1024 olvidado). El auditor lo detecta inmediatamente y suele ser un hallazgo bloqueante. Para QERDS y TSA todo el valor probatorio descansa en la robustez criptográfica.

Evidencia que demostraría conformidad

• Política criptográfica firmada.
• Tabla de algoritmos por uso.
• Inventario de algoritmos efectivamente desplegados.