ETSI EN 319 411-1 — Requisitos generales para TSPs que emiten certificados

Condicional (CA interna opción A) · matriz condicional pendiente de activación

Matriz pendiente de activación

Esta matriz no se incluye en el gap analysis activo (1.172 controles) hasta que se cierre la decisión correspondiente del Discovery.

Condición de activación:Discovery decisión 1.4 = CA interna no cualificada con refuerzo a EN 319 411
PDF aplicable:Referencias normativas/no-aplicables-qtsa-qerds/ETSI 319 411-1.pdf

Briefing para auditor

Qué es esta norma

ETSI EN 319 411-1 establece los requisitos generales para los proveedores de servicios de confianza (TSP) que emiten certificados digitales. Cubre tanto certificados cualificados como no cualificados, con políticas de referencia como NCP (Normalized Certificate Policy) y NCP+ (versión reforzada con almacenamiento de clave en dispositivo seguro). Define controles sobre todo el ciclo de vida de una CA: gobierno, gestión de claves, generación y emisión de certificados, revocación, conservación de registros, continuidad y cese.

Cuándo se activa para Correos

Esta matriz se activa solo si Correos opta por la opción A de la decisión D-1.4 del Discovery: mantener una CA interna no cualificada propia y reforzarla a los controles equivalentes de EN 319 411-1. En ese escenario, la CA emite los certificados internos del TSU (QTSA) y del sello para evidencias QERDS, sin entrar ella misma en la TSL como cualificada, pero demostrando al CAB que opera con controles equivalentes a una CA cualificada.

Si Correos elige la opción B (CA cualificada externa de un tercero, situación actual confirmada), esta norma no aplica — la CA es responsabilidad del proveedor externo y se cubre vía cláusulas contractuales en EN 319 401 §7.13 (cadena de suministro) y WP-11 administrativo.

Qué exige a alto nivel

Si se activase, EN 319 411-1 añade aproximadamente 50 controles auditables sobre operación de CA: ceremonia de generación de claves raíz e intermedias, gestión del HSM de la CA, validación de identidad de solicitantes de certificado, procedimiento de revocación, publicación de CRL/OCSP, retención de registros, plan de cese de la CA, política y prácticas (CP/CPS) publicadas, y seguridad operacional específica del entorno de CA. Muchos de estos controles se solapan con los del SGSI general (EN 319 401) pero con mayor exigencia por la criticidad de la actividad.

Qué pasaría al activarla

Al activarse, esta matriz pasaría de status "template" a "active". Sería necesario extraer los controles concretos del PDF de ETSI EN 319 411-1 (mover el PDF de Referencias normativas/no-aplicables/ a aplicables/) y poblarla siguiendo el patrón de las matrices existentes. El esfuerzo añadido para el proyecto sería significativo: típicamente 4-6 semanas adicionales de gap analysis y 2-3 meses de ejecución de WPs de CA.