Obligaciones del QTSP — checklist por artículo
Extracto literal de las obligaciones de un Prestador Cualificado de Servicios de Confianza (QTSP) que emitan QTSA o QERDS, según el Reglamento (UE) 910/2014 (eIDAS) texto consolidado con eIDAS 2 (Reg. 2024/1183) + Ley 6/2020.
Las cláusulas se citan literalmente del PDF en
Referencias normativas/aplicables/eIDAs.pdf. Cuando una redacción concreta provenga de eIDAS 2, se indica explícitamente.
A. Obligaciones transversales — aplican siempre
Art. 19 — Requisitos de seguridad
| # | Obligación | Notas operativas |
|---|---|---|
| 19.1 | Adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos de seguridad. Las medidas deben ser proporcionales al riesgo. | Requiere análisis de riesgos formal y SGSI (típicamente ISO 27001). Se materializa vía ETSI EN 319 401 §5 y §7. |
| 19.1 | Adoptar medidas para evitar y reducir el impacto de incidentes y para informar a los afectados. | BCP/DRP + procedimiento de comunicación a clientes. |
| 19.2 | Notificar al supervisor cualquier violación de seguridad o pérdida de integridad con impacto significativo en el servicio o en los datos personales. | Plazo: 24 horas desde el conocimiento de la violación. Y, cuando proceda, también a otros organismos relevantes (CSIRT nacional, autoridad de protección de datos) y a la persona afectada. |
| 19.3 | El supervisor remite a ENISA resumen anual de las notificaciones recibidas. | Implica que tu QTSP debe llevar un registro propio de todas las notificaciones para reconstruir histórico ante auditorías. |
Art. 20 — Auditorías de conformidad
| # | Obligación | Notas operativas |
|---|---|---|
| 20.1 | Auditoría por CAB cada 24 meses como máximo. El coste corre a cargo del QTSP. | Auditoría conforme a ETSI EN 319 403-1. CAB acreditado por ENAC en España. |
| 20.1 | Enviar el Conformity Assessment Report (CAR) al supervisor en 3 días hábiles desde su recepción. | Mantener histórico de los CARs como evidencia. |
| 20.2 | El supervisor puede pedir auditoría extraordinaria en cualquier momento. | Coste a cargo del QTSP. |
| 20.3 | Si el supervisor detecta incumplimientos y no se corrigen en plazo → retirada de la cualificación. | Riesgo de salir de la TSL. Procedimiento administrativo con audiencia previa. |
Art. 21 — Inicio de la cualificación
| # | Obligación | Notas operativas |
|---|---|---|
| 21.1 | TSP no cualificado que quiera ser QTSP → notificación previa al supervisor + entrega de CAR de un CAB. | Sin CAR positivo no se entra. |
| 21.2 | El supervisor verifica el cumplimiento y, si OK, concede la cualificación y comunica al organismo de la TSL. | Plazo máximo: 3 meses. Si tarda más, debe motivarlo y dar nuevo plazo. |
| 21.3 | El QTSP no puede empezar a prestar el servicio cualificado hasta que aparezca en la TSL. | Hito de proyecto: el primer envío comercial cualificado va después del alta TSL, no antes. |
Art. 24 — Requisitos para QTSPs
Esta es la cláusula con más obligaciones operativas. Es el "checklist diario" del QTSP.
24.1 — Verificación de identidad al expedir certificados cualificados (no aplica directamente a QTSA/QERDS, pero sí a la verificación de remitentes/destinatarios cuando se les emiten certificados internos).
24.2 — Obligaciones operativas continuadas
| # | Obligación | Notas operativas |
|---|---|---|
| 24.2.a | Informar al supervisor de cualquier cambio en el servicio cualificado y de la intención de cesar la actividad. | Procedimiento administrativo con SETELECO/SEDIA. |
| 24.2.b | Contar con personal y subcontratistas con conocimientos, fiabilidad, experiencia y formación adecuados (incluida formación en seguridad y protección de datos). | Política de RR.HH. + contratos de subcontratación con cláusulas específicas. |
| 24.2.c | Mantener recursos financieros suficientes o pólizas de seguro de responsabilidad civil. | En España, importes mínimos por la Ley 6/2020. |
| 24.2.d | Antes del contrato, informar al usuario de forma clara de las condiciones precisas de uso, limitaciones incluidas. | Materializa en términos y condiciones + PKI Disclosure Statement (PDS). |
| 24.2.e | Usar sistemas y productos fiables protegidos contra alteración, que garanticen seguridad y fiabilidad técnica. | HSM con CC EAL 4+ o equivalente (EN 419 221-5). Hardening de servidores. Inventario versionado. |
| 24.2.f | Usar sistemas fiables para almacenar datos verificablemente: i) acceso público con consentimiento; ii) anotaciones solo por personas autorizadas; iii) autenticidad comprobable. | Logs firmados, separación de funciones, sistemas WORM o equivalente. |
| 24.2.g | Tomar medidas adecuadas contra falsificación y robo de datos. | Cifrado, control de acceso multifactor, monitorización. |
| 24.2.h | Registrar y mantener accesible durante un período apropiado toda la información relevante (incluso tras el cese), para servir como prueba en procedimientos legales. | Conservación de evidencias QERDS y TST a largo plazo (típicamente 15-30 años). Plan de cese debe asegurar custodia de evidencias incluso tras la baja. |
| 24.2.i | Plan de cese actualizado que garantice la continuidad del servicio (verificado por el supervisor según art. 17.4.i). | Documento crítico. Debe definir cómo se entregan datos a otro QTSP o se preservan tras el cese. |
| 24.2.j | Tratamiento lícito de datos personales (RGPD + LOPDGDD). | DPO designado + RAT + análisis de impacto si aplica. |
| 24.2.k | (Solo certificados cualificados — no aplica al alcance QTSA/QERDS puro). | — |
24.3 — Revocación inmediata
- Para QTSPs que emiten certificados cualificados: revocación efectiva en menos de 24 horas desde la solicitud, con publicación inmediata.
- Aplica a las CAs internas que emitan certificados de TSU o certificados de firma de evidencias QERDS si están bajo el dominio del QTSP.
24.4 — Información sobre validez/revocación
- Disponible automáticamente, fiable, gratuita y eficiente para cualquier parte interesada en cualquier momento, incluso después del periodo de validez.
B. Obligaciones específicas de QTSA — Art. 41 + 42
Art. 41 — Efecto jurídico del sello de tiempo cualificado
- 41.1 — No se denegará efecto jurídico ni admisibilidad como prueba a un sello de tiempo aunque no sea cualificado.
- 41.2 — Un sello cualificado disfruta de presunción de exactitud de fecha/hora y de integridad de los datos.
- 41.3 — Reconocimiento mutuo entre Estados miembros.
Art. 42 — Requisitos del sello cualificado de tiempo
| # | Obligación |
|---|---|
| 42.1.a | Vincular fecha/hora a los datos de forma que se elimine razonablemente la posibilidad de modificarlos sin que se detecte. |
| 42.1.b | Basarse en una fuente de información temporal vinculada al UTC (Tiempo Universal Coordinado). |
| 42.1.c | Estar firmado mediante firma o sello electrónico avanzado del QTSP (o método equivalente). |
Nota práctica: estas tres exigencias se desarrollan operativamente en ETSI EN 319 421 (política y seguridad) y ETSI EN 319 422 (formato del TST y protocolo).
C. Obligaciones específicas de QERDS — Art. 43 + 44
Art. 43 — Efecto jurídico del QERDS
- 43.1 — No se denegarán efectos jurídicos ni admisibilidad como prueba aunque no sea cualificado.
- 43.2 — Un servicio cualificado disfruta de presunción de:
- integridad de los datos,
- envío por el remitente identificado,
- recepción por el destinatario identificado,
- exactitud de fecha y hora de envío y recepción.
Art. 44 — Requisitos del QERDS
| # | Obligación |
|---|---|
| 44.1.a | El servicio debe ser prestado por uno o más QTSPs. |
| 44.1.b | Identificación del remitente con alto nivel de fiabilidad. |
| 44.1.c | Identificación del destinatario antes de la entrega de los datos. |
| 44.1.d | El envío y la recepción deben estar protegidos por firma o sello electrónico avanzado de QTSP que impida modificaciones no detectadas. |
| 44.1.e | Indicar claramente al emisor y destinatario cualquier modificación necesaria de los datos a efectos del envío/recepción. |
| 44.1.f | Marcar mediante sello cualificado de tiempo la fecha/hora de envío, recepción y posible modificación. |
| 44.1 (final) | Si los datos pasan entre dos o más QTSPs, los requisitos a-f se aplican a todos. |
Nota práctica: 44.1 se desarrolla operativamente en ETSI EN 319 521 (política QERDS) y ETSI EN 319 522 (protocolo y evidencias).
D. Obligaciones nacionales adicionales — Ley 6/2020 (España)
Resumen aplicable; ver detalle en ley-6-2020-resumen.md:
| Tema | Obligación |
|---|---|
| Garantía financiera | Obligación de seguro de responsabilidad civil con cobertura mínima reglamentariamente fijada. |
| Comunicaciones al supervisor | Notificación de hechos relevantes, modificaciones, cese; siempre por sede electrónica del Ministerio. |
| Lengua | Información al usuario y CP/CPS también en castellano. |
| Conservación | Conservación de información relevante: 15 años desde la finalización de la vigencia, salvo regla más larga. |
| Régimen sancionador | Infracciones leves, graves y muy graves; multas hasta importes establecidos en la Ley. |
E. "Imprescindibles innegociables" — los 12 que sí o sí
Si tuvieras que reducir todo a lo absolutamente bloqueante para entrar en la TSL como QTSA + QERDS:
- ✅ Conformity Assessment Report positivo de un CAB acreditado por ENAC (ETSI EN 319 403-1).
- ✅ HSM CC EAL 4+ (o EN 419 221-5) operativo y bajo control documentado.
- ✅ SGSI ISO/IEC 27001 implantado (no necesariamente certificado, pero sí auditable como conforme).
- ✅ Sincronización UTC trazable documentada (al menos 2 fuentes, GNSS + NTP estratos altos).
- ✅ Política de servicio (CP) y Declaración de prácticas (CPS) publicadas y firmadas con sello cualificado.
- ✅ PKI Disclosure Statement (PDS) público en sede del QTSP.
- ✅ Plan de cese de actividad verificado por el supervisor (art. 24.2.i).
- ✅ Procedimiento de notificación de incidentes en 24 horas documentado y probado.
- ✅ Garantía financiera/seguro RC con importe mínimo (Ley 6/2020).
- ✅ Identificación del remitente y destinatario QERDS con alto nivel de fiabilidad (art. 44.1.b/c).
- ✅ Conservación de evidencias QERDS y TSTs a largo plazo (art. 24.2.h).
- ✅ Notificación previa al supervisor + alta en TSL antes del primer envío comercial cualificado.
Si alguno de estos 12 falla en el momento de la auditoría, el CAR no será positivo y no entras en la TSL.