Gap analysis — ETSI EN 319 412 (Certificate Profiles)

Norma: ETSI EN 319 412 (multi-part). Partes incluidas en esta matriz:

• EN 319 412-1 V1.6.1 (2025-06) — Overview and common data structures (semantics identifiers y estructuras compartidas).
• EN 319 412-3 V1.3.1 (2023-09) — Certificate profile for certificates issued to legal persons.
• EN 319 412-5 V2.5.1 (2025-06) — QCStatements.

PDFs en Referencias normativas/aplicables/.

Partes excluidas:

• EN 319 412-2 (persona física) — referenciada como sustrato normativo de 412-3 (LEG-4.1-1 dice "comply with 412-2 with amendments") pero sin controles propios en este alcance: Correos no emite certificados cualificados a personas físicas en el ámbito de la auditoría QTSA + QERDS. PDF disponible en aplicables/ como material de lectura.
• EN 319 412-4 (QWAC, web site certificates) — fuera de alcance: el CAB no incluye servicio de emisión de QWACs y los endpoints HTTPS del QERDS no requieren QWAC bajo eIDAS / EN 319 521. PDF mantenido en no-aplicables-qtsa-qerds/.

Aplicabilidad: Condicional — esta matriz solo entra en alcance si Correos decide operar una CA interna propia no cualificada reforzada (Discovery decisión D-1.4 = opción A). Bajo la opción B (CA cualificada externa de tercero) el desglose control-a-control del perfil de certificado es trabajo redundante: la conformidad queda cubierta por el control agregado EN 319 422 §6.1 ("el certificado del TSU debe cumplir 412-2 / 412-3") y la responsabilidad regulatoria recae en el QTSP externo.

Cuando se active, aplica sobre los dos certificados que Correos emitiría a sí mismo desde su CA interna:

• Certificado del TSU (Time-Stamp Unit) del QTSA — debe cumplir 412-1 + 412-3 + 412-5.
• Certificado de sellado del QERDS (sello electrónico cualificado sobre evidencias) — mismo perfil.

Auditoría: tooling de decode ASN.1 (openssl x509 -text, dumpasn1, certigo) sobre el certificado real + verificación campo a campo contra las cláusulas siguientes.

Relación con otras normas:

• EN 319 422 §6.1 ya incluye un control agregado que dice "el certificado del TSU debe cumplir 412-2 / 412-3". Esta matriz lo descompone control-a-control para tener trazabilidad granular ante el CAB.
• EN 319 521 / 522 (QERDS) referencian implícitamente 412-3 + 412-5 para el certificado de sellado de evidencias.
• ETSI TS 119 312 se aplica a los algoritmos y longitudes de clave usadas dentro del certificado (clave pública, firma de la CA emisora).
• eIDAS Art. 28, Anexo I y IV definen los requisitos legales del certificado cualificado que los QCStatements de 412-5 vehiculan técnicamente.

Cómo se rellena esta matriz: ver ../README.md sección "Convenciones". Tema canónico aplicado: T04 (Criptografía y gestión de claves) salvo donde se indique.

---

Cláusula 412-1 §5.1.1 — Semantics identifiers (General)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-1 §5.1.1 (GEN-5.1.1-01)	T04	Los códigos trans-nacionales de país especificados en ISO 3166-1 pueden usarse cuando sea relevante (p. ej. EU para Unión Europea, UN para Naciones Unidas).	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.1 (GEN-5.1.1-02)	T04	El código de país definido por usuario 'XG' puede usarse para identificadores asignados bajo un esquema global.	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.1 (GEN-5.1.1-03)	T04	Los identificadores que usan códigos de país definidos por usuario deben interpretarse en el contexto del emisor del certificado, dado que no hay garantía de que ese identificador sea único entre todos los emisores. Códigos no asignados no deben usarse.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.2 (GEN-5.1.2-01)	T04	La sintaxis del semantics identifier para persona física y jurídica debe ser la definida por el módulo ASN.1 ETSISemanticsIdentifierMod (id-cert-profile 194121, id-mod 0, id-mod-semantics-identifier 0, v2 1).	Obligatoria	TBD	—	TBD	—	—	—

---

Cláusula 412-1 §5.1.4 — Legal person semantics identifier

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-1 §5.1.4 (LEG-5.1.4-01)	T04	La semántica del OID id-etsi-qcs-SemanticsId-Legal debe interpretarse como se define en las cláusulas siguientes.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-02)	T04	Cuando se incluye el legal person semantics identifier, el atributo organizationIdentifier en el campo subject debe contener: (1) 3 chars tipo identidad, (2) 2 chars ISO 3166-1 country code (salvo LEG-5.1.4-04), (3) guion "-", (4) identificador concreto.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-03)	T04	Los 3 caracteres iniciales del tipo de identidad legal deben ser uno de: "VAT" (número IVA), "NTR" (registro mercantil nacional), "PSD" (autorización PSD2 con estructura extendida ETSI TS 119 495), "LEI" (Legal Entity Identifier global, country code 'XG'), o dos chars locales seguidos de ":".	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-04)	T04	Si se usa "VAT" como tipo de identidad legal, el prefijo de país descrito en Directiva 2006/112/EC art. 215 (enmendada por 2020/1756) puede usarse en lugar del código ISO 3166-1.	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-05)	T04	Cuando se proporciona un tipo de identidad definido localmente (dos chars + ":"), el elemento nameRegistrationAuthorities de SemanticsInformation (RFC 3739) debe estar presente y contener al menos un uniformResourceIdentifier generalName.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-06)	T04	El identificador de dos letras que precede al ":" debe ser único en el contexto del uniformResourceIdentifier especificado.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-07)	T04	En el caso de "NTR" con identificador único a nivel nacional, el organizationIdentifier debe usar la estructura LEG-5.1.4-02 con: (a) identificador nacional, o (b) identificador EUID del Business Registers Interconnection System (Reg. UE 2021/1042) compuesto por Business Register Identifier + "." + Business Registration Number.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.4 (LEG-5.1.4-08)	T04	En el caso de "NTR" con identificadores asignados a nivel de subdivisión (estado/provincia) no únicos a nivel nacional, debe usarse la estructura: 3 chars tipo + 2 chars país + "+" + hasta 3 chars ISO 3166-2 subdivisión + "-" + identificador.	Obligatoria	TBD	—	TBD	—	—	—

---

Cláusula 412-1 §5.1.6 — eIDAS eID Legal person semantics identifier

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-1 §5.1.6 (LEG-5.1.6-01) [CONDITIONAL]	T04	Si se usan atributos de identidad electrónica del eIDAS SAML attribute profile para un certificado emitido a persona jurídica, la semántica de id-etsi-qcs-SemanticsId-eIDASLegal debe seguir lo definido en esta cláusula.	Condicional	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.6 (LEG-5.1.6-02) [CONDITIONAL]	T04	Si se incluye el eIDAS legal person semantics identifier, los valores del subject deben cumplir los requisitos de contenido de los atributos correspondientes del eIDAS SAML attribute profile según las reglas siguientes.	Condicional	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.6 (LEG-5.1.6-03) [CONDITIONAL]	T04	Cualquier atributo organizationIdentifier presente en el subject debe cumplir el requisito de contenido especificado para el atributo eIDAS LegalPersonIdentifier.	Condicional	TBD	—	TBD	—	—	—
EN 319 412-1 §5.1.6 (LEG-5.1.6-04) [CONDITIONAL]	T04	Los atributos presentes en el subject son equivalentes a los atributos definidos en Table 5.1.6-1: organizationIdentifier ≡ LegalPersonIdentifier, organizationName ≡ LegalName. Misma información aunque el formato difiera.	Condicional	TBD	—	TBD	—	—	—

---

Cláusula 412-3 §4.1 — Generic requirements (Legal persons)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-3 §4.1 (LEG-4.1-1)	T04	Todos los campos del certificado y las extensiones deben cumplir ETSI EN 319 412-2 con las enmiendas especificadas en 412-3. (412-2 sigue siendo el sustrato base aunque no genere controles propios en esta matriz).	Obligatoria	TBD	—	TBD	—	—	—

---

Cláusula 412-3 §4.2.1 — Subject (campos básicos del certificado de persona jurídica)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-3 §4.2.1 (LEG-4.2.1-1)	T04	La cláusula 4.2.4 de 412-2 no se aplica para certificados de persona jurídica (queda sobrescrita por las reglas LEG-* siguientes).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-2)	T04	El campo subject debe incluir al menos los atributos: countryName, organizationName, organizationIdentifier y commonName, según ITU-T X.520.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-3)	T04	Solo una instancia de cada uno de esos atributos debe estar presente. Atributos adicionales pueden estar presentes.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-4)	T04	El atributo countryName debe especificar el país en el que la persona jurídica está establecida.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-5)	T04	El atributo organizationName debe contener el nombre registrado completo de la persona jurídica.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-6)	T04	El atributo organizationIdentifier debe contener una identificación de la persona jurídica diferente del nombre. (Estructura per 412-1 §5.1.4).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-7)	T04	Los certificados pueden incluir uno o más semantics identifiers según se especifica en 412-1 §5.	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-8)	T04	El valor del atributo commonName debe contener un nombre usado comúnmente por el subject para representarse. No tiene por qué coincidir exactamente con el nombre registrado completo.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.2.1 (LEG-4.2.1-9)	T04	Si están presentes, los tamaños de organizationName, organizationalUnitName y commonName pueden superar el límite del IETF RFC 5280. Otros límites deben declararse en el TSPS / T&C.	Recomendada	TBD	—	TBD	—	—	—

---

Cláusula 412-3 §4.3.1 — Key usage (extensión KeyUsage para sello electrónico)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-3 §4.3.1 (LEG-4.3.1-1)	T04	La cláusula 4.3.2 de 412-2 no se aplica, excepto las partes referenciadas en LEG-4.3.1-2.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.3.1 (LEG-4.3.1-2)	T04	La cláusula 4.3.2 de 412-2, párrafo 1 y la tabla 1 (tipos A-F de KeyUsage), sí se aplican.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.3.1 (LEG-4.3.1-3)	T04	Los certificados usados para validar firmas digitales sobre contenido (documentos, acuerdos, transacciones) que aportan evidencia de origen e integridad deben limitar KeyUsage a tipo A, B o F (tabla 1 de 412-2).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-3 §4.3.1 (LEG-4.3.1-4)	T04	De esos tres tipos, debería usarse el tipo A. Esto aplica a firmas usadas como sellos electrónicos avanzados según Reg. UE 910/2014.	Recomendada	TBD	—	TBD	—	—	—

---

Cláusula 412-5 §4.1 — General requirements (QCStatements)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-5 §4.1 (QCS-4.1-01)	T04	La extensión qcStatements debe ser conforme a la cláusula 3.2.6 de IETF RFC 3739.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.1 (QCS-4.1-02)	T04	La extensión qcStatements no debe marcarse como crítica.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.1 (QCS-4.1-03)	T04	La sintaxis de los statements definidos debe cumplir ASN.1 (ITU-T X.680 a X.683).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.1 (QCS-4.1-04)	T04	El módulo ASN.1 completo del Annex B de 412-5 prevalece sobre las definiciones embebidas en el cuerpo del documento en caso de discrepancia.	Obligatoria	TBD	—	TBD	—	—	—

---

Cláusula 412-5 §4.2 — QCStatements claiming compliance with specific legislation

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-5 §4.2.1 (QCS-4.2.1-01)	T04	Un certificado que incluye esi4-qcStatement-1 declarando que es un certificado cualificado UE según Reg. UE 910/2014 (a) no debe incluir el statement QcCClegislation (esi4-qcStatement-7) y (b) debe cumplir todos los requisitos de la cláusula 5 de 412-5.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.2.4 (QCS-4.2.4-01)	T04	Si el certificado se emite bajo Directiva 1999/93/EC o Reg. UE 910/2014, el statement QcCClegislation (esi4-qcStatement-7) no debe estar presente. (Solo aplica fuera de marco UE).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.2.5 (QCS-4.2.5-01)	T04	El statement QcQSCDlegislation (esi4-qcStatement-9) no puede contener como valor códigos que identifiquen país UE, país EEA, grupo de países UE/EEA, ni el valor "EU". (Solo aplica si el QSCD está certificado fuera de UE/EEA).	Obligatoria	TBD	—	TBD	—	—	—

---

Cláusula 412-5 §4.3 — Generic QCStatements

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-5 §4.3.2 (QCS-4.3.2-01)	T04	El statement QcEuLimitValue (esi4-qcStatement-2, límite de transacción) debe usar códigos de moneda definidos en ISO 4217.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.2 (QCS-4.3.2-02)	T04	Debería usarse la forma alfabética del código de moneda (no la numérica).	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.4 (QCS-4.3.4-01)	T04	El statement QcEuPDS (esi4-qcStatement-5, ubicación de PKI Disclosure Statements) debe usar códigos de idioma según ISO 639-1.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.4 (QCS-4.3.4-02)	T04	Los PDS referenciados deberían estructurarse según el Anexo A de ETSI EN 319 411-1.	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.4 (QCS-4.3.4-03)	T04	Como mínimo, una URL a un PDS proporcionada en este statement debe usar el esquema "https" (https://) según IETF RFC 2818 o documentos posteriores.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.5 (QCS-4.3.5-01)	T04	Un TSP cualificado puede incluir el statement QcIdentMethod (esi4-qcStatement-8) declarando el método de identificación usado bajo eIDAS/eIDAS2 Art. 24.	Recomendada	TBD	—	TBD	—	—	—
EN 319 412-5 §4.3.5 (QCS-4.3.5-02) [CONDITIONAL]	T04	Si el statement QcIdentMethod se incluye, debe contener el valor de OID correspondiente al método de identificación efectivamente usado (id-etsi-qct-eIDAS1-ab/cd, id-etsi-qct-eIDAS2-acd, id-etsi-qct-eIDAS2-b).	Obligatoria si presente	TBD	—	TBD	—	—	—

---

Cláusula 412-5 §5 — Requirements on QCStatements in EU qualified certificates (Tabla 2)

Control ID	Tema	Requisito	Aplicabilidad	Estado	Brecha	Severidad	Owner	Evidencia	WP
EN 319 412-5 §5 (QCS-5-01)	T04	Un certificado cualificado UE debe incluir QCStatements según la Tabla 2 de 412-5 (M = obligatorio, O = opcional, X = prohibido).	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-1	T04	esi4-qcStatement-1 (QcCompliance, §4.2.1) — M: obligatorio en todo certificado cualificado UE. Es el statement que declara que el certificado es cualificado bajo Reg. UE 910/2014.	Obligatoria	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-7	T04	esi4-qcStatement-7 (QcCClegislation, §4.2.4) — X: prohibido en certificado cualificado UE. Solo se usa fuera del marco UE.	Obligatoria (ausencia)	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-4	T04	esi4-qcStatement-4 (QcSSCD, §4.2.2) — O: opcional. Si la clave privada reside en QSCD (Reg. UE 910/2014) o SSCD (Dir. 1999/93/EC), este statement debe estar presente.	Obligatoria si QSCD/SSCD	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-6	T04	esi4-qcStatement-6 (QcType, §4.2.3) — O: opcional con caveat. Si el certificado se emite conforme al Annex III o IV de Reg. UE 910/2014 (sello o autenticación web), el statement debe estar presente para diferenciar el tipo.	Obligatoria si Annex III/IV	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-2	T04	esi4-qcStatement-2 (QcLimitValue, §4.3.2) — O: opcional. Declara límite de valor de transacción.	Opcional	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-3	T04	esi4-qcStatement-3 (QcRetentionPeriod, §4.3.3) — O: opcional. Declara período de retención de información material por la CA tras expiración del certificado.	Opcional	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-5	T04	esi4-qcStatement-5 (QcPDS, §4.3.4) — O: opcional pero con condiciones si está presente: (a) debe proporcionar al menos una URL a PDS en inglés (otros idiomas pueden añadirse con info equivalente), (b) no debe referenciar más de un PDS por idioma.	Obligatoria si presente	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-8	T04	esi4-qcStatement-8 (QcIdentMethod, §4.3.5) — O: opcional. Declara el método de identificación usado para verificar la identidad del titular (eIDAS Art. 24 / eIDAS2 Art. 24.1).	Opcional	TBD	—	TBD	—	—	—
EN 319 412-5 §5 — esi4-qcStatement-9	T04	esi4-qcStatement-9 (QcQSCDlegislation, §4.2.5) — O: opcional. Solo aplica si el QSCD está certificado fuera de UE/EEA.	Opcional (no UE/EEA)	TBD	—	TBD	—	—	—

---

Notas de auditoría

• Tooling recomendado: dado que esta matriz se valida sobre certificados X.509 reales, el método de auditoría habitual es ejecutar un decode ASN.1 sobre el certificado del TSU y sobre el certificado de sellado QERDS, y verificar campo por campo contra cada control. Herramientas: openssl x509 -text, dumpasn1, certigo, o suites de conformidad ETSI.
• Evidencia esperada: copia del certificado del TSU (PEM) y del certificado de sellado QERDS, más el reporte de un test de conformidad automatizado contra el perfil 412-3 + 412-5. Esto se sube a 05-evidencias/.
• Trazabilidad cruzada: el control agregado EN 319 422 §6.1 permanece vigente. Esta matriz NO lo sustituye, lo desglosa. Si el CAB pide trazabilidad granular se navega aquí; si pide solo confirmación de conformidad se usa el agregado.

---

Cómo se activa esta matriz

Esta es una matriz template condicional. Por defecto no se carga en el gap analysis activo. Se activa automáticamente cuando, desde la plataforma psc-audit-web, se cierra la decisión D-1.4 CA para certificados de TSU/QERDS con la opción A (CA interna no cualificada propia).

Mecánica de la activación (automática vía applyNormChanges en src/lib/decisions.ts):

1. Se cambia Norm.status de "template" a "active".
2. Se parsea este .md con parseMatrixFromFile y se insertan los 54 controles en BD.
3. Se aplican los 54 briefings desde prisma/seed/briefings/412-cert-profile.ts (idempotente vía briefingEditedManually).
4. Se revalida la ruta /gap-analysis/412-cert-profile y se invalida la cache para que la UI muestre la matriz completa.

Reversión (cerrar D-1.4 con opción B después de haber cerrado con A): por seguridad no se borran los controles ya creados (podrían tener ediciones del auditor). Solo se actualiza Norm.status y Norm.applicability. La limpieza completa, si se desea, requiere paso manual desde admin (Reseed-Overwrite) o SQL directo.