Decisiones de alcance

3 abiertas · 0 cerradas · al cerrar se actualiza la aplicabilidad de las normas afectadas

Estas decisiones cierran el alcance normativo del proyecto QTSP de Correos. Cada decisión bloquea / desbloquea una o más matrices de gap analysis. Al cerrar una decisión desde aquí, la aplicabilidad (y, en algunos casos, el status) de las normas afectadas se actualiza automáticamente. Puedes reabrir cualquier decisión si el contexto cambia — los cambios no son destructivos sobre los controles ya cargados.

1.2

Modalidad QERDS

¿En qué modalidades ofrecerá Correos el servicio QERDS?

Abierta

Define si la matriz ETSI EN 319 532 (REM — Registered Electronic Mail) entra en alcance. Si Correos ofrece QERDS sólo vía web/API, REM queda fuera. Si ofrece email certificado (estilo PEC), se activan ~50 controles adicionales sobre transporte SMTP.

Opciones

Solo web/API

Inclinación natural — Correos ya opera DEPP/eDelivery. No añade normativa adicional.

532-qerds-remNo aplica (sin REM en alcance)

Solo REM (email certificado)

Estilo PEC italiana. Activa ETSI EN 319 532 (4 partes) con sus controles sobre transporte SMTP, bounces e interoperabilidad REM.

532-qerds-remObligatoria (REM en alcance)

Web/API + REM

Modalidad mixta. ETSI EN 319 532 entra igualmente en alcance para la parte REM.

532-qerds-remObligatoria (modalidad mixta con REM)

Notas (opcional)

Normas afectadas: 532-qerds-rem

Al cerrar, se actualizará la aplicabilidad de las normas afectadas.

1.3

Identificación de usuarios QERDS

¿Cómo identificará Correos a los remitentes y destinatarios del servicio QERDS?

Abierta

Define si la matriz ETSI EN 319 461 (identificación remota) entra en alcance. eIDAS art. 44.1.b/c exige alto nivel de fiabilidad — la forma de demostrarlo depende del método elegido.

Opciones

Solo identificación presencial

Identificación únicamente en oficinas postales (~2.400 en España). ETSI EN 319 461 no aplica — la matriz vuelve a template (no se cargan los 287 controles).

461-identidadNo aplica (solo identificación presencial)

Solo identificación remota

Videoidentificación / DNIe + NFC / Cl@ve. Activa ETSI EN 319 461 con sus 287 controles.

461-identidadObligatoria (identificación remota)

Mixta (presencial + remota)

ETSI EN 319 461 entra en alcance para la parte remota; la presencial sigue siendo válida en paralelo.

461-identidadObligatoria (identificación mixta)

Notas (opcional)

Normas afectadas: 461-identidad

Al cerrar, se actualizará la aplicabilidad de las normas afectadas.

1.4

CA para certificados del TSU y del sello QERDS

¿De dónde vendrán los certificados que firmarán el TST del QTSA y sellarán las evidencias del QERDS?

Abierta

Correos no es QTSP a fecha de hoy y no dispone de certificados cualificados emitidos a su nombre. Para alcanzar la cualificación de QTSA + QERDS necesita certificados que cumplan eIDAS Art. 28 como sustrato técnico. ETSI EN 319 421 §6.2.2 admite dos vías: (a) que esos certs los emita un QTSP cualificado externo (opción B, vendor cualificado en TSL), o (b) que los emita una CA interna del propio Correos que cumpla EN 319 411-1 (opción A, NCP/NCP+; NO es necesario 411-2 ni estar en TSL como QTSP-emisor-de-certs).

Opciones

A — CA interna propia de Correos, reforzada a EN 319 411-1

Montar una CA interna propia de Correos y reforzarla contra ETSI EN 319 411-1 (políticas NCP / NCP+). La CA NO entra en TSL como QTSP-emisor-de-certs (basta cumplir 411-1, no 411-2). Activa la matriz 411-1-ca-interna (~50 controles sobre operación de CA: ceremonias de clave, registro, revocación, continuidad) y la matriz 412-cert-profile (54 controles sobre perfil X.509 del TSU + sello QERDS). Implica más esfuerzo operativo e inversión inicial (HSMs, equipo de operación, CP/CPS propios), pero da control total e independencia del proveedor.

411-1-ca-internaObligatoria (CA interna opción A) — pendiente extraer controles del PDF 412-cert-profileObligatoria (CA interna opción A) — perfil X.509 del TSU y del sello QERDS

B — Contratar a un QTSP externo cualificado

Seleccionar y contratar a un QTSP externo cualificado en TSL (FNMT, Camerfirma, ANCERT, Firmaprofesional, etc.) para que emita los certificados del TSU y del sello QERDS a nombre de Correos. La CA sigue siendo responsabilidad regulatoria del tercero. Trabajo a realizar: 1) tender / selección de proveedor, 2) verificar que su CP/CPS contempla emitir certificados destinados a operar QTSA + QERDS, 3) contrato con cláusulas eIDAS-conformes (cubierto en EN 319 401 §7.13 cadena de suministro y en WP-11 administrativo). No añade matrices al gap analysis; el perfil de cert queda cubierto por el control agregado EN 319 422 §6.1. Tiempo a producción más corto (semanas vs meses) y menor inversión inicial, a costa de vendor lock-in.

411-1-ca-internaNo aplica (CA cualificada externa de tercero — opción B)412-cert-profileNo aplica al desglose — perfil X.509 cubierto por agregado EN 319 422 §6.1

Notas (opcional)

Normas afectadas: 411-1-ca-interna, 412-cert-profile

Al cerrar, se actualizará la aplicabilidad de las normas afectadas.