[PLANTILLA] Time-Stamp Practice Statement (TSPS) — Declaración de Prácticas QTSA
Norma base: ETSI EN 319 421 §6 (la TSPS detalla CÓMO el QTSP cumple lo que la TSP declara). Documento normalmente público (puede haber partes confidenciales por seguridad).
1. Identificación del documento
| Campo | Valor |
|---|---|
| Nombre | TSA Practice Statement de [Nombre del QTSP] |
| TSP referenciada | [OID de la Time-Stamp Policy] |
| Versión | TBD |
| Fecha | TBD |
| Aprobado por | TBD (firmar con sello cualificado) |
2. Introducción
- Visión general de las prácticas operacionales.
- Audiencia: clientes, supervisores, CABs.
3. Publicación y repositorio
- URL pública.
- Documentos referenciados: TSP, PDS.
4. Operación de la TSA (desarrollo de ETSI EN 319 421 §7)
4.1 Organización interna (§7.1)
Organigrama, roles, separación de funciones.
4.2 Recursos humanos (§7.2)
Procedimiento de incorporación, formación, NDA, background checks.
4.3 Gestión de activos (§7.3)
Inventario, clasificación, ciclo de vida.
4.4 Control de acceso (§7.4)
Política, MFA, privilegios, registro de acceso.
4.5 Controles criptográficos (§7.5)
Suites criptográficas usadas, gestión de HSM.
4.6 Gestión de claves del TSU (§7.6 — TIS)
- Generación de claves: ceremonia documentada con doble custodia.
- Backup: HSM offline.
- Activación: solo bajo doble control.
- Destrucción al fin de vida: procedimiento certificado.
4.7 Sellado de tiempo y sincronización (§7.7 — TIS)
- Fuente primaria GNSS, secundaria NTP estrato 1.
- Verificación periódica del drift respecto a UTC.
- Procedimiento ante drift fuera de margen.
- Gestión de leap seconds.
4.8 Seguridad física y ambiental (§7.14)
Controles de acceso físico, CCTV, redundancia eléctrica, climática.
4.9 Seguridad operacional (§7.15)
Patching, gestión de cambios, separación de entornos.
4.10 Seguridad de red (§7.16)
Segmentación, cortafuegos perimetrales, detección de intrusiones.
4.11 Gestión de incidentes (§7.17)
Procedimiento de detección, respuesta y notificación 24h al supervisor.
4.12 Recopilación de evidencias (§7.18)
Logs firmados, retención 15 años, integridad.
4.13 Continuidad del servicio (§7.19)
RTO/RPO, DR site, pruebas anuales.
4.14 Cese del servicio (§7.20)
Procedimiento — referencia al plan-cese-actividad.md.
4.15 Cumplimiento (§7.21)
Auditoría CAB cada 24m, auditoría interna anual.
4.16 Cadena de suministro (§7.16 v3.x — supply chain)
Política de subcontratistas, evaluación de proveedores.
5. Histórico de versiones
| Versión | Fecha | Cambios | Aprobador |
|---|---|---|---|
| v0.1 | TBD | Borrador inicial | — |