Gap analysis
Cargando…
Cargando…
| Control | Tema | Requisito | Aplicab. | Estado | Severidad | Owner | WP |
|---|---|---|---|---|---|---|---|
| EN 319 421 §5.1 OVR-5.1-01 | T07 | El TSA puede definir su propia política que mejore la BTSP definida en el documento. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §5.1 OVR-5.1-02 | T07 | [CONDITIONAL] Si el TSA define política propia, ésta debe incorporar o restringir más los requisitos de la BTSP. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.1 OVR-5.1-03 | T07 | [CONDITIONAL] Si la exactitud declarada es mejor de 1 segundo, debe indicarse en el TSA disclosure statement y en cada sello emitido con esa exactitud. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-01 | T07 | Incluir el identificador (OID) de las políticas soportadas en el TSA disclosure statement disponible para suscriptores y RP. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-01A | T07 | Soportar e incluir el identificador BTSP en la política de tiempo y en el disclosure statement como prueba de conformidad. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.2 OVR-5.2-02 | T07 | [CONDITIONAL] Si se usan identificadores adicionales/propios, indicar todos ellos junto con el OID BTSP en la política y disclosure statement. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §5.3.1 OVR-5.3-01 | T07 | La BTSP puede usarse para servicios públicos o dentro de comunidades cerradas. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.1 OVR-6.1-01 | T01 | Aplica EN 319 401 cl. 5 (risk assessment) — sin requisitos adicionales. Ver matriz 401. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-01 | T01 | Aplica EN 319 401 cl. 6.1 (TSPS) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-02 | T01 | El TSPS especificará al menos: a) algoritmo(s) de hash; b) exactitud respecto a UTC; c) limitaciones de uso; d) obligaciones de suscriptores; e) obligaciones de RP; f) cómo verificar el sello y limitaciones de validez; g) reclamaciones de cumplimiento bajo derecho nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-03 | T01 | El TSA debería incluir información sobre disponibilidad del servicio (MTBF, MTTR, recuperación). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-04 | T01 | El disclosure statement puede crearse según plantilla del Anexo B. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-05 | T01 | El disclosure statement puede formar parte del acuerdo con suscriptor/RP. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.2 OVR-6.2-06 | T01 | El disclosure statement puede incluirse en el TSA practice statement si es visible al lector. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §6.3 OVR-6.3-01 | T01 | Aplica EN 319 401 cl. 6.2 (Terms and conditions). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.4 OVR-6.4-01 | T01 | Aplica EN 319 401 cl. 6.3 (Information security policy). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.5.1 OVR-6.5-01 | T04 | El TSA debe cumplir cualquier obligación adicional indicada en el sello, directamente o por referencia. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §6.6 OVR-6.6-01 | T01 | Los términos y condiciones a RP incluirán la obligación de: a) verificar firma del sello y no compromiso de la clave hasta el momento de verificación; b) tener en cuenta limitaciones de uso del sello; c) considerar otras precauciones acordadas. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-01 | T01 | Aplica EN 319 401 cl. 7.1 (Internal organization). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-02 | T01 | El TSA debe ser una entidad legal según ley nacional. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-03 | T01 | El TSA debe contar con sistema(s) de gestión de calidad y seguridad de la información apropiados para el servicio de sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.2 OVR-7.2-04 | T01 | Personal suficiente con educación, formación, conocimientos técnicos y experiencia adecuados al volumen del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.3 OVR-7.3-01 | T01 | Aplica EN 319 401 cl. 7.2 (Personnel security) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.4 OVR-7.4-01 | T01 | Aplica EN 319 401 cl. 7.3 (Asset management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.5 OVR-7.5-01 | T01 | Aplica EN 319 401 cl. 7.4 (Access control) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.1 OVR-7.6-01 | T04 | Aplica EN 319 401 cl. 7.5 (Cryptographic controls) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-01 | T04 | Generación de claves de firma del TSU en entorno físicamente seguro, por personal en roles de confianza, bajo control dual como mínimo. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-02 | T04 | Limitar el personal autorizado a la generación de claves a los estrictamente necesarios según prácticas del TSA. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-03 | T04 | Generar las claves de firma del TSU dentro de dispositivo criptográfico seguro: a) sistema fiable evaluado a EAL 4 o superior según ISO/IEC 15408 con perfil/ST adecuado; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-04 | T04 | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.2-03 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-05 | T04 | El algoritmo, longitud y algoritmo de firma para claves del TSU y para los certificados públicos del TSU deberían cumplir ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-06 | T04 | La clave de firma del TSU no debería importarse a diferentes dispositivos criptográficos seguros. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-07 | T04 | [CONDITIONAL] Si la misma clave existe en varios dispositivos, todos deben asociarse al mismo certificado público en todos ellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.2 TIS-7.6.2-08 | T04 | El TSA debe tener una única clave de firma de sellos activa simultáneamente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-01 | T04 | Mantener integridad y confidencialidad de las claves privadas del TSU con los requisitos siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-02 | T04 | Mantener y usar la clave privada del TSU dentro de dispositivo criptográfico seguro: a) EAL 4+ según ISO/IEC 15408; o b) ISO/IEC 19790, FIPS 140-2 nivel 3 o FIPS 140-3 nivel 3. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-03 | T04 | El dispositivo criptográfico seguro debería estar evaluado conforme a TIS-7.6.3-02 a). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-04 | T04 | Si se hace backup de claves privadas del TSU, copia/almacenamiento/recuperación bajo control dual y entorno físico seguro por roles de confianza. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-05 | T04 | Limitar al mínimo el personal autorizado a operaciones de backup. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.3 TIS-7.6.3-06 | T04 | Las copias de respaldo deben proteger integridad y confidencialidad mediante el dispositivo criptográfico seguro antes de almacenarse fuera de él. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-01 | T04 | El TSA debe garantizar integridad y autenticidad de la clave pública (de verificación) del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-02 | T04 | La clave pública del TSU debe estar disponible a RP en un certificado de clave pública. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-03 | T04 | El certificado de clave pública del TSU debería ser emitido por una CA operando bajo ETSI EN 319 411-1. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-04 | T04 | El TSU no emitirá sellos antes de cargar su certificado de verificación en el TSU o su dispositivo criptográfico. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.4 TIS-7.6.4-05 | T04 | [CONDITIONAL] Al obtener un certificado de verificación, el TSA debería verificar que está correctamente firmado (incl. cadena hasta CA confiable). | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.5 TIS-7.6.5-01 | T04 | El periodo de validez del certificado del TSU no excederá el periodo en que el algoritmo y longitud de clave se consideran adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-01 | T04 | El hardware de firma de sellos no debe ser manipulado durante el envío. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-02 | T04 | El hardware de firma no debe ser manipulado mientras está almacenado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-03 | T04 | Instalación, activación y duplicación de claves de firma del TSU sólo por roles de confianza, control dual y entorno físico seguro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.6 TIS-7.6.6-04 | T04 | Las claves privadas del TSU en el dispositivo criptográfico deben borrarse al retirarlo, de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-01 | T04 | El TSA debe definir fecha de expiración para las claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-02 | T04 | La fecha de expiración de la clave privada del TSU no será posterior al `notAfter` del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-03 | T04 | La fecha de expiración debería tener en cuenta el "recommended key sizes versus time" de ETSI TS 119 312. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-04 | T04 | Para permitir verificación posterior, la validez de la clave privada del TSU será más corta que la del certificado público asociado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-05 | T04 | La fecha de expiración puede definirse al inicializar el dispositivo o mediante la extensión `privateKeyUsagePeriod` en el certificado del TSU. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-06 | T04 | Las claves privadas del TSU no deben usarse más allá de su fecha de expiración. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-07 | T04 | Procedimientos operativos/técnicos para que un nuevo par de claves esté disponible cuando una clave privada del TSU esté próxima a expirar. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-08 | T04 | Las claves privadas expiradas (o cualquier copia) deben destruirse de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.6.7 TIS-7.6.7-09 | T04 | El TSA debe especificar la fecha de expiración de las claves del TSU en su política o practice statement, incluyendo procedimientos para cumplir esta cláusula. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-01 | T07 | Los sellos deben conformar al perfil definido en ETSI EN 319 422. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-02 | T07 | Los sellos deben ser emitidos de manera segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-03 | T07 | Los sellos deben incluir el tiempo correcto. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-04 | T07 | El tiempo del TSU debe ser trazable a al menos un valor de tiempo real distribuido por un laboratorio UTC(k). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-05 | T07 | El tiempo en el sello debe estar sincronizado con UTC (ITU-R TF.460-6) dentro de la exactitud definida en la política. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-06 | T07 | [CONDITIONAL] Si la exactitud se incluye en el sello, el tiempo debe estar sincronizado dentro de esa exactitud. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-07 | T07 | [CONDITIONAL] Si se detecta que el reloj está fuera de la exactitud declarada, no se deben emitir sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-08 | T07 | El sello debe firmarse con una clave generada exclusivamente para ese propósito. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.1 TIS-7.7.1-09 | T07 | El sistema de generación de sellos debe rechazar cualquier intento de emisión cuando se ha alcanzado la fecha de expiración de la clave privada del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-01 | T07 | El reloj del TSU debe sincronizarse con UTC dentro de la exactitud declarada según los requisitos siguientes. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-02 | T07 | Calibrar los relojes del TSU para que no deriven fuera de la exactitud declarada. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-03 | T07 | La exactitud declarada debe ser de 1 segundo o mejor. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-04 | T07 | Proteger el reloj del TSU frente a amenazas que puedan provocar cambios no detectados (manipulación, descargas eléctricas, RF). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-05 | T07 | El TSA debe detectar derivas o saltos del reloj del TSU fuera de sincronización con UTC. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-06 | T07 | [CONDITIONAL] Si se detecta deriva o salto fuera de sincronía con UTC, el TSU debe detener la emisión de sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-07 | T07 | Mantener la sincronización cuando ocurra un segundo intercalar (leap second) notificado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-08 | T07 | El cambio para reflejar el leap second debe ocurrir en el último minuto del día programado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.7.2 TIS-7.7.2-09 | T07 | Mantener registro del momento exacto (dentro de la exactitud declarada) en que ocurrió el cambio referido en TIS-7.7.2-08. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-01 | T01 | Aplica EN 319 401 cl. 7.6 (Physical and environmental security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-02 | T01 | Aplicar controles de acceso al dispositivo criptográfico seguro acordes con cl. 7.6. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-03 | T01 | Operar las instalaciones de gestión del sellado en entorno que protege física y lógicamente el servicio frente a accesos no autorizados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-04 | T01 | Toda entrada al área físicamente segura sujeta a supervisión independiente. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-05 | T01 | Personas no autorizadas deben ir acompañadas en el área segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-06 | T01 | Registrar todas las entradas y salidas del área físicamente segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-07 | T01 | Crear perímetros físicos de seguridad alrededor de la gestión del sellado. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-08 | T01 | Las áreas compartidas con terceros deben quedar fuera del perímetro. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-09 | T01 | Los controles físicos y ambientales protegerán las instalaciones, recursos y soportes del servicio. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-10 | T01 | La política físico-ambiental debe abordar al menos: control de acceso, desastres naturales, fuego, fallos de utilities, colapso, fugas, robo y recuperación de desastres. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-11 | T01 | Controles que impidan la salida no autorizada de equipos, información, soportes y software. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.8 OVR-7.8-12 | T01 | Otras funciones pueden compartir el área segura siempre que el acceso quede limitado al personal autorizado. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-01 | T01 | Aplica EN 319 401 cl. 7.7 (Operation security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.9 OVR-7.9-02 | T01 | Monitorizar la demanda de capacidad y proyectar requisitos futuros para asegurar potencia y almacenamiento adecuados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-01 | T01 | Aplica EN 319 401 cl. 7.8 (Network security) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-02 | T01 | Mantener todos los sistemas TSU en zona segura. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-03 | T01 | Configurar los sistemas TSU eliminando o deshabilitando cuentas, aplicaciones, servicios, protocolos y puertos no usados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.10 OVR-7.10-04 | T01 | Sólo roles de confianza pueden acceder a zonas seguras y de alta seguridad. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.11 OVR-7.11-01 | T01 | Aplica EN 319 401 cl. 7.9 (Incident management) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-01 | T01 | Aplica EN 319 401 cl. 7.10 (Collection of evidence) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-02 | T01 | Registrar todos los eventos del ciclo de vida de claves del TSU. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-03 | T01 | Registrar todos los eventos del ciclo de vida de los certificados del TSU (si aplica). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-04 | T01 | Registrar todos los eventos relativos a sincronización del reloj del TSU con UTC. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-05 | T01 | Los registros incluirán información sobre re-calibraciones o sincronizaciones normales del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.12 OVR-7.12-06 | T01 | Registrar todos los eventos relativos a detección de pérdida de sincronización. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-01 | T01 | Aplica EN 319 401 cl. 7.11 (Business continuity) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-02 | T01 | El plan DRP del TSA debe abordar el compromiso o sospecha de compromiso de claves privadas del TSU o pérdida de calibración del reloj. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-03 | T01 | [CONDITIONAL] En caso de compromiso, sospecha o pérdida de calibración al emitir sellos, el TSA pondrá a disposición de suscriptores y RP una descripción del compromiso ocurrido. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-04 | T01 | [CONDITIONAL] En caso de compromiso de un TSU (p. ej. compromiso de clave), sospecha o pérdida de calibración, el TSU no debe emitir sellos hasta recuperarse del compromiso. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.13 OVR-7.13-05 | T01 | [CONDITIONAL] En caso de compromiso mayor o pérdida de calibración, el TSA pondrá a disposición de suscriptores y RP información que permita identificar los sellos posiblemente afectados (salvo que afecte a privacidad/seguridad). | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-01 | T05 | Aplica EN 319 401 cl. 7.12 (TSP termination) — base. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-02 | T05 | [CONDITIONAL] Al terminar servicios, el TSA debe revocar todos los certificados de TSU no expirados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-03 | T05 | [CONDITIONAL] Al terminar servicios, las claves privadas del TSU (incluidas copias) deben destruirse de forma irrecuperable. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.14 OVR-7.14-04 | T05 | [CONDITIONAL] Al terminar servicios, los TSU terminados no deben generar nuevos pares de claves ni emitir nuevos sellos. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.15 OVR-7.15-01 | T01 | Aplica EN 319 401 cl. 7.13 (Compliance) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §7.16 OVR-7.16-01 | T01 | Aplica EN 319 401 cl. 7.14 (Supply chain) — sin adición. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.1 TIS-8.1-01 | T07 | [CONDITIONAL] Si el sello se declara cualificado conforme a 910/2014, el certificado de verificación del TSU debe emitirse conforme a la política NCP+ definida en ETSI EN 319 411-1. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.1 TIS-8.1-02 | T07 | [CONDITIONAL] Si el sello se declara cualificado, el certificado debería emitirse conforme a una política de certificado adecuada de ETSI EN 319 411-2. | Recomendada | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-01 | T07 | [CONDITIONAL] Un TSU que emita sellos cualificados conforme a 910/2014 no debe emitir sellos no cualificados. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-02 | T07 | [CONDITIONAL] Un TSA que emita sellos cualificados y no cualificados debe usar TSU diferentes identificados por subject names distintos en el certificado público. | Obligatoria | TBD | TBD | — | — |
| EN 319 421 §8.2 TIS-8.2-03 | T07 | [CONDITIONAL] Un TSA que emita sellos cualificados y no cualificados debe usar TSU accesibles a través de puntos de acceso al servicio separados. | Obligatoria | TBD | TBD | — | — |