Catálogo de controles para cualificación QERDS y TSA
28 controles agrupados por marco normativo
28 controles coinciden con los filtros aplicados.
ETSI-EN-319-421
ETSI EN 319 421 – Policy and Security Requirements for TSA
Referencia bibliográfica
ETSI EN 319 421 V1.2.1 (2023-04). Electronic Signatures and Infrastructures (ESI); Policy and Security Requirements for Trust Service Providers issuing Time-Stamps. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319421/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-421-6-RA | §6 Risk assessment específico TSA | El TSA debe realizar un análisis de riesgos específico considerando las amenazas propias del sellado de tiempo: compromiso de clave TSU, desincronización, supla… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-A | §7.1 TSA Practice Statement (TSPS) | El TSA debe disponer de una Declaración de Prácticas (TSA Practice Statement / TSPS) específica, publicada y aprobada formalmente, con OID asignado. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-B | §7.1 Time-Stamping Policy | El TSA debe definir y publicar una Time-Stamping Policy (política de sellado de tiempo) con OID propio que el TSPS implementa. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-C | §7.1 OID de la política en los tokens | El OID de la Time-Stamping Policy debe incluirse en el campo policyId de cada token RFC 3161 emitido, vinculando el token a sus garantías declaradas. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.1-D | §7.1 Disclosure Statement de la TSA | El TSA debe publicar un Disclosure Statement accesible al usuario con el resumen de las condiciones del servicio en lenguaje comprensible. | NC | Media | Cond. | — | 0 |
| REQ-421-7.2-A | §7.2 Generación de claves de la TSU | Las claves de la Time-Stamping Unit (TSU) deben generarse dentro del HSM, bajo una ceremonia formal con doble control y custodios identificados, con acta firmad… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-B | §7.2 Protección de la clave privada TSU en HSM certificado | La clave privada de la TSU debe permanecer protegida en HSM certificado conforme a FIPS 140-2/3 nivel 3+ o CC EAL4+ y nunca exportarse en claro. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-C | §7.2 Certificado de la TSU emitido por CA cualificada | La clave pública de la TSU debe estar embebida en un certificado emitido por una CA cualificada inscrita en la LOTL europea, formando una cadena de confianza pú… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-D | §7.2 Periodo de validez de la clave TSU y rotación | El periodo de validez de la clave TSU debe ser inferior al periodo de uso seguro del algoritmo conforme TS 119 312, con política de rotación documentada. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-E | §7.2 Rekeying de la TSU sin interrupción del servicio | Antes de la expiración de la clave de la TSU debe ejecutarse un proceso de rekey que renueve la clave y su certificado sin interrupción del servicio. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-F | §7.2 Destrucción irreversible de la clave TSU al final del ciclo | Al finalizar el ciclo de vida la clave privada de la TSU debe destruirse de forma irreversible dentro del HSM y el hecho debe documentarse con acta y logs. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.2-G | §7.2 Plan de respuesta ante compromiso de clave TSU | El TSA debe disponer de un procedimiento de respuesta ante el compromiso real o sospechado de la clave privada de la TSU, incluyendo revocación, comunicación y … | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-A | §7.3 Emisión de tokens conforme EN 319 422 y RFC 3161 | El TSA debe emitir tokens de sellado de tiempo conformes al perfil definido por EN 319 422 y RFC 3161, con todos los campos obligatorios presentes. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-B | §7.3 Sincronización del reloj TSU con UTC (precisión ≤1 s) | El reloj de la TSU debe estar sincronizado con UTC con una precisión mejor o igual a 1 segundo, mediante mecanismos auditables y trazables a una fuente reconoci… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-C | §7.3 Parada automática ante desviación fuera de tolerancia | Si el reloj de la TSU se desvía más allá de la precisión declarada, el TSA debe detener automáticamente la emisión de tokens hasta restablecer la sincronización… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-D | §7.3 Algoritmos de hash y firma en tokens conforme TS 119 312 | Los algoritmos de hash y firma usados en los tokens deben ser los aprobados por ETSI TS 119 312 vigente, eliminando los deprecados. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.3-E | §7.3 Re-firma de tokens para preservación a largo plazo | Para preservación a largo plazo, los tokens deben poder re-firmarse con nuevos sellos de tiempo antes de la expiración del algoritmo o de la clave TSU. | NC | Media | Cond. | — | 0 |
| REQ-421-7.4-A | §7.4 Calibración periódica del reloj TSU | El TSA debe calibrar el reloj de la TSU con la frecuencia necesaria para mantener la precisión declarada, usando metodología trazable, con registros. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.5-A | §7.5 Endpoint de la TSA conforme RFC 3161 | El endpoint HTTP/HTTPS del servicio TSA debe implementarse conforme RFC 3161 §3.4 con los Content-Types correctos y publicado en el TSPS. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-A | §7.6 SLA de disponibilidad declarado y medido | El TSA cualificado debe declarar en el TSPS un nivel de disponibilidad del servicio y mantener métricas reales de cumplimiento. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-B | §7.6 Plan de continuidad específico TSA | El TSA debe disponer de un plan de continuidad (BCP) específico con arquitectura redundante, claves replicadas en HSM secundario y pruebas anuales documentadas. | NC | Alta | Cond. | — | 0 |
| REQ-421-7.6-C | §7.6 Registro de eventos de la TSA | El TSA debe registrar todos los eventos relevantes (emisión de tokens, errores, alertas NTP, accesos al HSM) y conservarlos durante el periodo establecido con i… | NC | Alta | Cond. | — | 0 |
| REQ-421-7.7-A | §7.7 Roles específicos de la TSA con segregación | El TSA debe identificar los roles específicos del servicio (Security Officer, System Administrator, System Operator, System Auditor) con segregación incompatibl… | NC | Alta | Cond. | — | 0 |
| REQ-421-8-A | §8 Plan de terminación específico TSA | El TSA debe disponer de un Plan de Terminación específico que prevea las actuaciones en caso de cese, incluyendo la conservación de los registros necesarios par… | NC | Alta | Cond. | — | 0 |
| REQ-421-DECIDE | Decisión arquitectónica: TSA propia vs. externa | El TSP debe decidir formalmente y documentar si cualifica una TSA propia o utiliza una TSA externa cualificada, con análisis de coste, beneficio, riesgo y plazo… | NC | Alta | Sí | — | 0 |
| REQ-421-EXT-A | TSA externa – Verificación de cualificación en LOTL | Si el prestador utiliza una TSA externa, debe verificarse que la TSA está incluida en una Trusted List europea como TSA cualificada para los servicios contratad… | NC | Alta | Cond. | — | 0 |
| REQ-421-EXT-B | TSA externa – Contrato con cláusulas específicas eIDAS | El contrato con la TSA externa debe incluir cláusulas específicas: obligaciones eIDAS, SLA alineado con el QERDS, notificación de incidentes, derechos de audito… | NC | Alta | Cond. | — | 0 |
| REQ-421-EXT-C | TSA externa – TSA secundaria como backup | Cuando se use TSA externa, debe preverse un TSA secundaria cualificada como backup con configuración de failover automático o manual probada. | NC | Alta | Cond. | — | 0 |