Catálogo de controles para cualificación QERDS y TSA
31 controles agrupados por marco normativo
31 controles coinciden con los filtros aplicados.
ETSI-EN-319-521
ETSI EN 319 521 – ERDS / QERDS
Referencia bibliográfica
ETSI EN 319 521 V1.1.1 (2019-02). Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Electronic Registered Delivery Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319500_319599/319521/
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-521-6.1-A | §6 Risk assessment – ERDS | El ERDS Provider debe identificar y evaluar los riesgos específicos del servicio de entrega electrónica certificada, incluyendo riesgos de no-entrega, suplantac… | NC | Alta | Sí | — | 0 |
| REQ-521-7.1-A | §7.1 ERDS Practice Statement | El ERDS Provider debe disponer de una Declaración de Prácticas del Servicio de Entrega (ERDS Practice Statement / ERDS-PS) específica que detalle cómo se presta… | NC | Alta | Sí | — | 0 |
| REQ-521-7.1-B | §7.1 ERDS Disclosure Statement | El ERDS Provider debe publicar una Disclosure Statement con el resumen de las condiciones del servicio destinado a usuarios y partes confiantes, accesible en ca… | NC | Media | Sí | — | 0 |
| REQ-521-7.1-C | §7.1 Términos y condiciones del ERDS | Los términos y condiciones del servicio deben estar adaptados al servicio QERDS, cubriendo alcance, niveles de servicio, responsabilidades, limitaciones y efect… | NC | Media | Sí | — | 0 |
| REQ-521-7.10-A | §7.10 Archivo de registros operativos del ERDS | El ERDS Provider debe archivar los registros operativos (logs de acceso, identificación, generación de evidencias) durante el periodo establecido, mínimo el exi… | NC | Media | Sí | — | 0 |
| REQ-521-7.11-A | §7.11 Procedimiento de quejas y reclamaciones | El ERDS Provider debe disponer de un procedimiento formal de gestión de quejas y reclamaciones accesible, con plazos de respuesta definidos y publicados. | NC | Media | Sí | — | 0 |
| REQ-521-7.11-B | §7.11 Atención al cliente con SLA definido | El ERDS Provider debe disponer de un canal de atención al cliente para incidencias operativas del servicio QERDS, con tiempos de respuesta y resolución definido… | NC | Media | Sí | — | 0 |
| REQ-521-7.2-A | §7.2 Identificación del emisor – ERDS general | El ERDS Provider debe identificar al emisor mediante medios apropiados al nivel de aseguramiento del servicio antes de aceptar el envío. | NC | Alta | Sí | — | 0 |
| REQ-521-7.2-B | §7.2 Identificación cualificada del emisor – QERDS | Para servicios CUALIFICADOS (QERDS), el emisor debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502 antes de… | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-A | §7.3 Identificación del destinatario – ERDS general | El ERDS Provider debe identificar al destinatario ANTES de entregar el contenido, con nivel proporcional al servicio. | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-B | §7.3 Identificación cualificada del destinatario – QERDS | Para servicios CUALIFICADOS (QERDS), el destinatario debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502 AN… | NC | Alta | Sí | — | 0 |
| REQ-521-7.3-C | §7.3 Trato no discriminatorio de destinatarios | El ERDS Provider debe aplicar los criterios de aceptación de destinatarios de forma objetiva y no discriminatoria, y publicar dichos criterios. | NC | Media | Sí | — | 0 |
| REQ-521-7.4-A | §7.4 Integridad del contenido transmitido | El ERDS debe garantizar la integridad del contenido transmitido entre emisor y destinatario mediante mecanismos criptográficos, de forma que cualquier alteració… | NC | Alta | Sí | — | 0 |
| REQ-521-7.4-B | §7.4 Confidencialidad del contenido | El ERDS debe proteger la confidencialidad del contenido durante la transmisión y en reposo, cuando así lo exija el nivel de servicio contratado. | NC | Media | Sí | — | 0 |
| REQ-521-7.4-C | §7.4 Detección de modificaciones verificable por terceros | Cualquier alteración del contenido debe ser verificable por el destinatario y por terceros de forma independiente, usando los mecanismos y claves publicadas por… | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-A | §7.5 Catálogo de evidencias del servicio | El ERDS Provider debe disponer de un catálogo formal de todos los tipos de evidencias generadas en cada hito del flujo (envío, entrega, aceptación, rechazo, no-… | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-B | §7.5 Firma cualificada de evidencias – QERDS | Las evidencias del servicio CUALIFICADO deben estar firmadas o selladas con un sello electrónico CUALIFICADO del prestador, no con firma avanzada simple. | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-C | §7.5 Sellado de tiempo cualificado de evidencias | Las evidencias deben llevar un sello de tiempo CUALIFICADO (RFC 3161 emitido por TSA cualificada) que acredite el momento exacto de su generación. | NC | Alta | Sí | — | 0 |
| REQ-521-7.5-D | §7.5 Estructura semántica conforme EN 319 522-2 | El contenido semántico de las evidencias debe ajustarse al esquema definido por EN 319 522-2 (ERDS Semantic Contents) para garantizar la interoperabilidad. | NC | Media | Sí | — | 0 |
| REQ-521-7.5-E | §7.5 Formato técnico conforme EN 319 522-3 | Las evidencias deben generarse en uno de los formatos técnicos estandarizados por EN 319 522-3 (XML, ASN.1), no en formato propietario. | NC | Media | Sí | — | 0 |
| REQ-521-7.6-A | §7.6 Validación de evidencias por terceros | Las evidencias generadas deben poder ser validadas de forma independiente por terceros mediante procedimientos publicados y herramientas accesibles, sin depende… | NC | Media | Sí | — | 0 |
| REQ-521-7.7-A | §7.7 Sellado de tiempo en todos los hitos del flujo | El servicio QERDS debe incorporar sellado de tiempo cualificado en TODOS los hitos relevantes del flujo (envío, identificación del destinatario, apertura del co… | NC | Alta | Sí | — | 0 |
| REQ-521-7.8-A | §7.8 Preservación a largo plazo de evidencias (LTV/LTA) | Las evidencias deben preservarse durante el periodo legalmente exigible mediante técnicas de preservación a largo plazo (LTV, LTA) que mantengan su verificabili… | NC | Alta | Sí | — | 0 |
| REQ-521-7.8-B | §7.8 Verificación periódica de integridad del archivo | El TSP debe verificar periódicamente la integridad de las evidencias preservadas mediante comprobación de hash o firma, con alertas automáticas en caso de anoma… | NC | Alta | Sí | — | 0 |
| REQ-521-7.9-A | §7.9 Plan de terminación específico ERDS | El ERDS Provider debe disponer de un Plan de Terminación específico para el servicio QERDS que asegure la continuidad del acceso a las evidencias preservadas tr… | NC | Alta | Sí | — | 0 |
| REQ-521-ACCEPT-A | Registro de aceptación expresa o tácita por el destinatario | El servicio debe registrar de forma inequívoca el momento en que el destinatario acepta (o rechaza, o expira el plazo) la comunicación, generando la evidencia c… | NC | Alta | Sí | — | 0 |
| REQ-521-FRAUD-A | Detección y prevención de fraude y suplantación de identidad | El TSP debe disponer de controles operativos para detectar y prevenir el fraude y la suplantación de identidad en el servicio QERDS. | NC | Alta | Sí | — | 0 |
| REQ-521-IMPL-A | Seguimiento de Reglamentos de Ejecución QERDS | El servicio QERDS debe adaptarse a los Reglamentos de Ejecución de la Comisión Europea específicos para el servicio, con seguimiento normativo continuo. | NC | Alta | Sí | — | 0 |
| REQ-521-INTEROP-A | eIDAS art. 44.2 – Interoperabilidad QERDS | El servicio QERDS debe ser técnicamente interoperable con otros QERDS de la UE conforme a los estándares de interoperabilidad establecidos (EN 319 522-1/4). | NC | Media | Sí | — | 0 |
| REQ-521-LEVELS-A | Declaración de niveles de servicio ERDS | El TSP debe declarar y ofrecer claramente los niveles del servicio (cualificado / no cualificado), las variantes disponibles (con/sin confidencialidad) y las ga… | NC | Media | Sí | — | 0 |
| REQ-521-NOPICK-A | Gestión de no-recogida y expiración de plazo | El servicio debe gestionar correctamente los casos de no-recogida o expiración del plazo, generando evidencia formal sellada y comunicando el resultado al emiso… | NC | Media | Sí | — | 0 |