Catálogo de controles para cualificación QERDS y TSA
34 controles agrupados por marco normativo
34 controles coinciden con los filtros aplicados.
eIDAS-910-2014
Reglamento (UE) 910/2014 – eIDAS
Referencia bibliográfica
Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014. DOUE L 257, 28.8.2014. https://eur-lex.europa.eu/eli/reg/2014/910/oj
| Código | Cláusula | Control | Nivel | Crit. | Aplica | Responsable | Evid. |
|---|---|---|---|---|---|---|---|
| REQ-EIDAS-13 | Art. 13 – Responsabilidad y carga de la prueba | El TSP es responsable de los daños y perjuicios causados intencionada o negligentemente. Para los TSP cualificados se invierte la carga de la prueba: el TSP deb… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-14 | Art. 14 – Aspectos internacionales | Cuando el servicio se preste a usuarios fuera de la UE deben respetarse las obligaciones aplicables. Los servicios de terceros países pueden reconocerse mediant… | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-15 | Art. 15 – Accesibilidad para personas con discapacidad | Cuando sea técnicamente viable, los servicios de confianza y los productos de usuario final deben ser accesibles para las personas con discapacidad. | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-17 | Art. 17 – Canal formal con el organismo de supervisión | El TSP está sujeto a la supervisión del organismo nacional designado (en España, el MINECO/Secretaría de Estado de Digitalización). Debe mantener un canal forma… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-19-1 | Art. 19.1 – Medidas técnicas y organizativas adecuadas | El TSP debe adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad de los sistemas y servicios. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-19-2 | Art. 19.2 – Notificación de violaciones de seguridad en 24h | El TSP debe notificar al supervisor cualquier violación de seguridad o pérdida de integridad significativa SIN DILACIÓN INDEBIDA y a más tardar EN 24 HORAS. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-20-1 | Art. 20.1 – Auditoría bienal por CAB y entrega del CAR | El TSP cualificado debe ser auditado al menos cada 24 meses por un CAB acreditado. Debe presentar el CAR al supervisor en un plazo de 3 días hábiles tras recibi… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-20-2 | Art. 20.2 – Auditorías ad-hoc del supervisor | El supervisor puede solicitar auditorías ad-hoc adicionales al TSP cualificado. El TSP debe cooperar plenamente y sin dilación. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-21-1 | Art. 21.1 – Notificación previa al inicio del servicio cualificado | Antes de prestar un servicio cualificado el TSP debe presentar al supervisor: (a) notificación de la intención de prestar el servicio y (b) el CAR del CAB. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-21-2 | Art. 21.2 – Verificación por el supervisor (≤3 meses) | El supervisor verifica el cumplimiento en un plazo máximo de 3 meses desde la notificación. El TSP debe responder a cualquier requerimiento adicional. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-22 | Art. 22 – Inclusión en la Trusted List (TSL) | El servicio cualificado debe incluirse en la Lista de Confianza nacional (TSL) publicada por el supervisor. Sin inclusión en TSL el servicio NO es jurídicamente… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-23 | Art. 23 – Uso de la etiqueta de confianza UE | Tras la inclusión en TSL el TSP cualificado puede (y debe) usar la etiqueta de confianza UE conforme al Reglamento de Ejecución (UE) 2015/806. | NC | Baja | Sí | — | 0 |
| REQ-EIDAS-24-1A | Art. 24.1.a – Verificación de identidad de los clientes | El TSP cualificado debe verificar la identidad de las personas físicas o jurídicas a las que presta servicio, ya sea en persona o a distancia con medios equival… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1B | Art. 24.1.b – Personal cualificado y competente | El personal del TSP debe poseer los conocimientos, fiabilidad, experiencia y cualificaciones necesarias para los servicios que prestan. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-1C | Art. 24.1.c – Recursos financieros suficientes o seguro | El TSP cualificado debe disponer de recursos financieros suficientes y/o un seguro de responsabilidad civil adecuado para cubrir los daños potenciales. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1D | Art. 24.1.d – Información precontractual a los clientes | Antes de la relación contractual, el TSP debe informar a sus clientes en términos claros y comprensibles sobre las condiciones del servicio, incluyendo limitaci… | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-1E | Art. 24.1.e – Sistemas y productos fiables y certificados | El TSP cualificado debe utilizar sistemas y productos fiables que estén protegidos contra manipulación y garanticen la seguridad técnica de los servicios. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1F | Art. 24.1.f – Sistemas de almacenamiento robustos | Debe usar sistemas de almacenamiento que garanticen disponibilidad, durabilidad e integridad de los datos y las evidencias. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1G | Art. 24.1.g – Medidas contra falsificación y robo | El TSP debe tomar medidas adecuadas para prevenir la falsificación y el robo de los datos, las evidencias y las claves criptográficas. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1H | Art. 24.1.h – Registro y conservación de información | El TSP cualificado debe registrar y mantener accesible toda la información necesaria incluso después del cese del servicio. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1I | Art. 24.1.i – Plan de cese del TSP | El TSP cualificado debe disponer de un plan de cese actualizado que garantice la continuidad del servicio a los usuarios y la conservación de la información. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-24-1J | Art. 24.1.j – Tratamiento de datos personales conforme RGPD | El tratamiento de datos personales por el TSP cualificado debe realizarse conforme al Reglamento (UE) 2016/679 (RGPD). | NC | Media | Sí | — | 0 |
| REQ-EIDAS-24-2 | Art. 24.2 – Verificación remota de identidad por medios equivalentes | Cuando la verificación de identidad se realice a distancia, debe usarse uno de los medios reconocidos del art. 24.2 (notificado, certificado cualificado, o equi… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-41 | Art. 41 – Presunción legal del sello cualificado de tiempo | Un sello cualificado de tiempo electrónico tendrá presunción de exactitud de la fecha y hora indicadas y de la integridad de los datos vinculados. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-42-1 | Art. 42.1 – Requisitos técnicos del sello cualificado de tiempo | Un sello cualificado de tiempo debe: (a) vincular fecha y hora al documento de manera que se evite modificación no detectable; (b) basarse en UTC vinculado a un… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-42-2 | Art. 42.2 – Reconocimiento mutuo del sello de tiempo | Un sello cualificado de tiempo emitido en un Estado miembro es reconocido como sello cualificado en todos los demás Estados miembros. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-43-1 | Art. 43.1 – Cuatro presunciones del servicio QERDS | Los datos enviados/recibidos a través de un servicio QERDS gozan de presunción de: (a) integridad de los datos; (b) envío por emisor identificado con exactitud;… | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-43-2 | Art. 43.2 – Distinción clara entre servicio cualificado y no cualificado | Los datos enviados/recibidos a través de un servicio NO cualificado no gozan de las presunciones del art. 43.1. La distinción debe ser clara para los usuarios. | NC | Media | Sí | — | 0 |
| REQ-EIDAS-44-1A | Art. 44.1.a – Cualificación del prestador QERDS | El servicio QERDS debe ser prestado por un PSC cualificado formalmente inscrito en la Trusted List como prestador de QERDS. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1B | Art. 44.1.b – Identificación del emisor nivel sustancial/alto | El emisor del QERDS debe identificarse con un nivel de aseguramiento SUSTANCIAL o ALTO conforme al Reglamento (UE) 2015/1502. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1C | Art. 44.1.c – Identificación del destinatario nivel sustancial/alto antes de la entrega | El destinatario del QERDS debe identificarse con nivel SUSTANCIAL o ALTO ANTES de que se produzca la entrega del contenido. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1D | Art. 44.1.d – Protección de integridad con firma/sello cualificado | El envío y la recepción de datos están protegidos con firma electrónica avanzada o sello electrónico avanzado del PSC cualificado. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-1E | Art. 44.1.e – Sello cualificado de tiempo en todos los hitos | La fecha y hora del envío y de la entrega se indican mediante un sello cualificado de tiempo emitido por una TSA cualificada. | NC | Alta | Sí | — | 0 |
| REQ-EIDAS-44-2 | Art. 44.2 – Interoperabilidad técnica entre QERDS de la UE | Cuando los datos se envíen entre dos PSC cualificados de entrega, los servicios deben ser interoperables conforme a los actos de ejecución que la Comisión adopt… | NC | Media | Sí | — | 0 |