Glosario
Terminología común para todo el proyecto. Cuando dudes, consulta aquí antes de inventar siglas o traducciones.
Servicios y proveedores
| Sigla / término | Significado | Notas |
|---|---|---|
| TSP | Trust Service Provider — Prestador de Servicios de Confianza | En español: PSC. Genérico, cualificado o no. |
| QTSP | Qualified TSP — Prestador Cualificado de Servicios de Confianza | El que está en la TSL. En español: PSCC (poco usado, lo normal es decir QTSP). |
| CAB | Conformity Assessment Body — Organismo de Evaluación de la Conformidad | Es quien audita al QTSP bajo ETSI EN 319 403-1. Acreditado por ENAC en España. |
| TSL | Trust-Service Status List — Lista de Confianza | Lista nacional de QTSPs publicada por el supervisor. |
| LOTL | List of Trusted Lists | Meta-lista europea que agrega todas las TSLs nacionales. |
| Supervisor | Autoridad supervisora nacional | En España: SETELECO/SEDIA (Ministerio para la Transformación Digital y de la Función Pública). |
Servicios cualificados (alcance del proyecto)
| Sigla | Significado | Norma técnica | Artículo eIDAS |
|---|---|---|---|
| QTSA | Qualified Time-Stamping Authority — Autoridad Cualificada de Sellado de Tiempo | ETSI EN 319 421, 422 | Art. 41-42 |
| QERDS | Qualified Electronic Registered Delivery Service — Servicio Cualificado de Entrega Electrónica Certificada | ETSI EN 319 521, 522 | Art. 43-44 |
| REM | Registered Electronic Mail — Correo Electrónico Certificado | ETSI EN 319 532 | Variante email del QERDS. |
Servicios cualificados fuera del alcance (referencia)
| Sigla | Significado |
|---|---|
| QSig / QESig | Qualified Electronic Signature — Firma Electrónica Cualificada (persona física). |
| QSeal / QESeal | Qualified Electronic Seal — Sello Electrónico Cualificado (persona jurídica). |
| QWAC | Qualified Website Authentication Certificate — Certificado Cualificado de Autenticación Web. |
| QCAdES / QXAdES / QPAdES | Firmas avanzadas con formato CMS / XML / PDF. |
Componentes técnicos
| Sigla | Significado | Notas |
|---|---|---|
| TSU | Time-Stamping Unit | El "motor" que produce sellos de tiempo. Un QTSA puede tener varias TSUs. Cada TSU tiene su par de claves y certificado. |
| TST | Time-Stamp Token | El sello de tiempo en sí (formato RFC 3161 / ETSI EN 319 422). |
| HSM | Hardware Security Module | Dispositivo criptográfico donde se custodian las claves privadas. Para servicio cualificado: certificación CC EAL 4+ o equivalente (EN 419 221-5). |
| PKI | Public Key Infrastructure — Infraestructura de Clave Pública | Conjunto de CA, RA, repositorios y procedimientos. |
| CA | Certificate Authority — Autoridad de Certificación | Quien emite certificados. Puede ser interna del QTSP o tercera. |
| RA | Registration Authority — Autoridad de Registro | Quien valida la identidad antes de emitir certificados. |
| CRL | Certificate Revocation List | Lista de certificados revocados. |
| OCSP | Online Certificate Status Protocol | Consulta online del estado de un certificado. |
| UTC | Coordinated Universal Time | Referencia horaria mundial. Los QTSA deben sincronizarse contra UTC con trazabilidad. |
| NTP / PTP | Network/Precision Time Protocol | Protocolos de sincronización horaria. |
| GNSS | Global Navigation Satellite System (GPS, Galileo, etc.) | Fuente de tiempo confiable usada por QTSAs. |
Documentación normativa del QTSP
| Sigla | Significado | Norma de referencia |
|---|---|---|
| CP | Certificate Policy / Service Policy | EN 319 421 §6 (TSA), EN 319 521 §6 (ERDS). Para QTSA se llama "Time-Stamp Policy" (TSP). |
| CPS | Certification Practice Statement / Service Practice Statement | EN 319 421 §6, EN 319 521 §6. Para QTSA: "TSA Practice Statement" (TSPS). |
| PDS | PKI Disclosure Statement | Resumen público de información esencial para usuarios. ETSI EN 319 411-1 §A. |
| Termination plan | Plan de cese de actividad | Art. 24.2.h eIDAS. Obligatorio. |
| BCP / DRP | Business Continuity Plan / Disaster Recovery Plan | EN 319 401 §7.10. |
| ISMS / SGSI | Information Security Management System / Sistema de Gestión de Seguridad de la Información | ISO/IEC 27001. Requisito implícito de EN 319 401 §7. |
Conceptos QERDS
| Término | Significado |
|---|---|
| Sender / Remitente | Quien envía el mensaje vía QERDS. |
| Recipient / Destinatario | Quien lo recibe. |
| Relying Party / Parte que confía | Quien valida una evidencia QERDS para tomar decisiones (ej. un juez, una administración). |
| Submission Acceptance/Rejection | Evidencia firmada de que el QERDS aceptó/rechazó el envío. |
| Content Consignment | Entrega de contenido al destinatario. |
| Handover / Acceptance / Rejection | Evidencias de aceptación o rechazo por parte del destinatario. |
| ERDS Evidence | Cualquiera de las anteriores; documento firmado con sello cualificado y sellado en tiempo. |
| REM-MD | REM Management Domain — el dominio gestionado por un proveedor REM. |
Conceptos eIDAS
| Término | Significado |
|---|---|
| Notificación previa | Procedimiento del art. 21 eIDAS: el TSP que quiere ser cualificado lo notifica al supervisor + entrega informe del CAB. El supervisor lo evalúa y, si OK, lo añade a la TSL. |
| Conformity Assessment Report (CAR) | El informe del CAB. Documento crítico — si no lo tienes con conclusión positiva, no entras en la TSL. |
| Notificación de incidentes | Art. 19.2 eIDAS: cualquier brecha de seguridad o pérdida de integridad debe comunicarse al supervisor (y a las personas afectadas) en 24 horas. |
| Garantía financiera | Ley 6/2020 (España): el QTSP debe tener cobertura de responsabilidad civil. Importes mínimos definidos por norma. |
| Sello cualificado | Sello electrónico cualificado de persona jurídica. Las evidencias QERDS y los TST se firman con sello cualificado del QTSP (no firma de persona física). |
Acrónimos administrativos (España)
| Sigla | Significado |
|---|---|
| ENAC | Entidad Nacional de Acreditación. Acredita a los CABs en España. |
| SETELECO / SEDIA | Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales. Supervisor de servicios de confianza en España. |
| MINETUR (histórico) | Ministerio de Industria, Energía y Turismo — antecesor del actual ministerio supervisor. |
| AEPD | Agencia Española de Protección de Datos. Relevante para tratamiento de datos personales (RGPD). |
| CCN-CERT | Equipo de respuesta a incidentes del Centro Criptológico Nacional. |
| INCIBE-CERT | Equipo de respuesta a incidentes del INCIBE para sector privado. |
| ENS | Esquema Nacional de Seguridad. No obligatorio para QTSP privados, pero útil de referencia si se trabaja con AAPP. |