¿Qué exige este criterio?
La auditoría de conformidad (CAR) es la principal obligación periódica del PSC cualificado. Implica: (1) contratar un CAB acreditado bajo EN 319 403-1/-2; (2) preparar toda la documentación requerida (ERDS-PS, análisis de riesgos, evidencias, logs, etc.); (3) cooperar con el auditor durante la auditoría (entrevistas, acceso a sistemas); (4) recibir el CAR en los plazos acordados; (5) presentar el CAR al supervisor en máximo 3 días hábiles desde su recepción; (6) implementar las acciones correctoras de las no-conformidades identificadas en el plazo acordado con el CAB.

¿Qué hay que revisar al cliente?

• Planificación de la primera auditoría CAR: CAB seleccionado, fecha prevista.
• Acreditación del CAB bajo EN 319 403-1/-2 (verificación en ENISA o acreditador nacional).
• Estado de preparación para la auditoría: documentación disponible, sistemas accesibles.
• Proceso de seguimiento de no-conformidades del CAR.
• Calendario de auditorías futuras (bienal).
• Procedimiento de entrega del CAR al supervisor en ≤3 días hábiles.

Preguntas clave para las entrevistas

• ¿Se ha seleccionado ya el CAB para la primera auditoría de cualificación? ¿Está acreditado bajo EN 319 403?
• ¿Cuál es la fecha prevista para la primera auditoría CAR?
• ¿Está toda la documentación requerida por el CAB preparada y actualizada?
• ¿Hay un proceso de seguimiento de las no-conformidades identificadas en las auditorías?

¿Por qué es esencial para QERDS y TSA?
La auditoría CAR es la puerta de entrada a la cualificación. Sin el CAR, el supervisor no puede incluir el servicio en la Trusted List y el servicio no puede ser QERDS. La primera auditoría es el hito más crítico del proyecto. Todos los demás requisitos de este catálogo preparan para superar esa auditoría.

Evidencia que demostraría conformidad

• Contrato con el CAB o propuesta aceptada.
• Acreditación del CAB bajo EN 319 403 (documento o verificación en ENISA).
• Planificación de la auditoría (fechas, alcance).
• Último CAR (si ya se ha realizado auditoría previa).