[PLANTILLA] ERDS Practice Statement (EPS) — Declaración de Prácticas QERDS

Plantilla · practicas-erds.md

[PLANTILLA] ERDS Practice Statement (EPS) — Declaración de Prácticas QERDS

Norma base: ETSI EN 319 521 §6 (la EPS detalla CÓMO el QTSP cumple lo que la ERDS Policy declara).

1. Identificación del documento

CampoValor
NombreERDS Practice Statement de [Nombre del QTSP]
ERDS Policy referenciada[OID]
VersiónTBD
FechaTBD
Aprobado porTBD (sello cualificado)

2. Introducción

Audiencia (clientes, supervisores, CABs).

3. Publicación y repositorio

URL pública.

4. Operación del servicio QERDS

4.1 Organización (ETSI EN 319 521 + 401 §7.1)

Roles, separación de funciones, comité de seguridad.

4.2 Recursos humanos (401 §7.2)

Procedimientos de contratación, formación, NDA.

4.3 Identificación de usuarios

  • Procedimiento detallado de alta de Senders.
  • Procedimiento detallado de identificación de Recipients antes de la entrega.
  • Si remota: integración con proveedor conforme a ETSI EN 319 461.

4.4 Generación y firma de evidencias

  • Componentes de software involucrados.
  • Configuración de la KEY-03 en HSM.
  • Garantía de integración con TSA (KEY-01/02 + TSU).
  • Procedimiento si la TSA no responde.

4.5 Almacenamiento y acceso a evidencias

  • Sistema de almacenamiento (storage WORM, replicación).
  • Procedimiento de acceso del Sender/Recipient.
  • Procedimiento de exportación bajo orden judicial.

4.6 Notificaciones

  • Cómo se notifica al Sender / Recipient (email, SMS, push).
  • SLA de notificación.

4.7 Operaciones (401 §7.7-7.10)

Patching, change management, monitorización, logs firmados.

4.8 Seguridad de red (401 §7.8)

Segmentación, perimetrales, DDoS protection.

4.9 Gestión de incidentes (401 §7.9)

Detección, respuesta, notificación 24h.

4.10 Continuidad (401 §7.11)

RTO/RPO, DR, pruebas anuales.

4.11 Cese (401 §7.12)

Procedimiento — referencia al plan-cese-actividad.md.

4.12 Cumplimiento (401 §7.13)

Auditorías, certificaciones, inspecciones.

4.13 Cadena de suministro

Política de subcontratistas con cláusulas eIDAS-conformes.

4.14 (Si REM) Operación específica REM (ETSI EN 319 532)

  • Servidores SMTP propios.
  • Configuración DNS (DKIM, SPF, DMARC, MTA-STS).
  • Gestión de bounces y NDR.
  • Interoperabilidad con otros QERDS-REM (perfiles 532-4).

4.15 (Si alta remota) Procedimiento detallado ETSI EN 319 461

  • Tecnología de identificación.
  • Pruebas de vida.
  • Almacenamiento de evidencias de identificación.

5. Histórico de versiones

VersiónFechaCambiosAprobador
v0.1TBDBorrador inicial