obOpen Banking Lab
GlosarioSTETBlogContacto
Seguridad

eIDAS TSP

eIDAS Trust Service Provider

Tercero de confianza cualificado que emite los certificados QWAC y QSealC que cada TPP necesita para identificarse ante los bancos europeos.

Ver también:TPPASPSPNCAACPR

Definición

Un eIDAS TSP (Trust Service Provider) es un tercero de confianza cualificado en el sentido del reglamento eIDAS.

Para la DSP2, su papel es muy concreto: es quien emite los certificados QWAC y QSealC que todo TPP (AISP, PISP, CBPII) necesita para identificarse ante los bancos y firmar sus peticiones.

Por qué un certificado eIDAS para la DSP2

Cuando un TPP llama a la API de un banco, el ASPSP debe verificar dos cosas en unos pocos milisegundos:

  1. ¿Quién eres? El QWAC (Qualified Website Authentication Certificate) autentica al TPP mediante mTLS, en la capa de transporte.
  2. ¿Estás autorizado para este rol? El certificado contiene el número de autorización concedido por la NCA y la lista de roles (PSP_AS, PSP_PI, PSP_AI, PSP_IC).

Para las peticiones firmadas (sobre todo los pagos), el QSealC (Qualified electronic Seal Certificate) añade una firma cualificada en la capa de aplicación (HTTP-signature) — el único medio, en caso de litigio, de probar quién envió qué.

Lo que hace un eIDAS TSP

  • Verifica la autorización del TPP ante la NCA (registro EBA, REGAFI, BaFin).
  • Emite el QWAC y el QSealC, con los roles PSD2 integrados.
  • Renueva los certificados (validez típica de 1 a 2 años).
  • Revoca en caso de retirada de la autorización o de compromiso.
  • Publica sus certificados en una CRL / OCSP consultable en tiempo real.

Lo que un eIDAS TSP no hace

  • No concede la autorización DSP2: eso corresponde a la NCA; el TSP solo constata la autorización.
  • No valida una llamada a la API: es el ASPSP quien verifica el certificado en cada petición.
  • No opera en todas partes sin habilitación: debe figurar en la Trusted List de cada Estado.
  • No es gratuito: desde unos cientos hasta unos miles de euros al año y por certificado.

En el ecosistema PSD2

El TSP es el eslabón de confianza entre la NCA (que certifica la identidad jurídica del TPP) y el ASPSP (que debe reconocerlo técnicamente en cada llamada). Sin un QWAC y un QSealC válidos, ninguna llamada a un banco se completa.

Ejemplos concretos

  • TSP cualificados en Francia: Certigna (DhiMyOtis), Certinomis (Docaposte / La Poste), ChamberSign — todos en la Trusted List francesa publicada por la ANSSI.
  • TSP cualificados en Europa: D-Trust (Bundesdruckerei, DE), Buypass (NO), InfoCert (IT), Trustpro (IE) — más de 200 TSP cualificados en el EEE.
  • Coste y plazos: de 2 a 4 semanas para la primera emisión, unos días para las renovaciones; tarifas de 300 a 2.000 €/año por certificado.
  • Elegir tu TSP: reputación ante los bancos (algunos prefieren TSP locales), plazos de reemisión, soporte para las rotaciones automatizadas, API de emisión (útil para escalar una plataforma multi-TPP).
  • Trusted Lists: para verificar que un TSP está cualificado, consultar la EU LOTL (List of Trusted Lists) mantenida por la Comisión — todo banco serio la utiliza para validar la cadena de certificados.

Ver también: Manual STET

Fuentes

Volver al glosario