¿Qué exige este criterio?
Procedimiento de doble (o múltiple) control para operaciones sensibles sobre claves: ningún individuo puede ejecutar solo una generación, backup, restore o destrucción. Custodios identificados nominalmente, presentes físicamente o autenticados independientemente, con autorización registrada en el HSM. Cada operación documentada en acta firmada por todos los intervinientes.

¿Qué hay que revisar al cliente?

• Procedimiento de doble control documentado.
• Listado de custodios identificados nominalmente.
• Tarjetas o secretos M-of-N configurados en el HSM.
• Actas de las operaciones realizadas con doble control (firmadas por todos).
• Logs del HSM mostrando autenticación múltiple.

Preguntas clave para las entrevistas

• ¿Cuántos custodios participan en una ceremonia de generación de clave?
• ¿Qué quórum (M-of-N) está configurado en el HSM?
• ¿Existe acta de la última operación crítica con todos los custodios firmados?
• ¿Cómo se reemplaza a un custodio si abandona la organización?

¿Por qué es esencial para QERDS y TSA?
Sin doble control, una persona maliciosa con acceso al HSM puede comprometer todo el servicio. El art. 24.1.b/.e eIDAS exige fiabilidad demostrable. La auditoría CAR puede asistir a una ceremonia para verificar que el procedimiento es real, no solo escrito.

Evidencia que demostraría conformidad

• Procedimiento de doble control.
• Listado de custodios.
• Configuración M-of-N en HSM.
• Actas firmadas por los custodios.
• Logs HSM correspondientes.