توافق eIDAS للشركات الصغيرة والمتوسطة: قائمة التحقق الكاملة 2026

تنظم لائحة eIDAS الأوروبية (الاتحاد الأوروبي رقم 910/2014، وسيتم تعديلها قريباً بموجب eIDAS 2.0) التوقيع الإلكتروني في جميع أنحاء الاتحاد الأوروبي. بالنسبة للشركة الصغيرة أو المتوسطة، التوافق ليس مجرد خانة يجب تحديدها: إنه يضمن أن عقودها قابلة للتطبيق، وأن بيانات التوقيع محمية، وأنها تحمي نفسها من المخاطر القانونية التي قد تكون مكلفة. إليك قائمة التحقق لعام 2026 المكونة من 12 نقطة ملموسة للتحقق من أن شركتك الصغيرة أو المتوسطة متوافقة تماماً مع eIDAS.

النقطة 1: اختيار مستوى التوقيع الصحيح

الانعكاس الأول: قم برسم خريطة لأنواع عقودك وارتبط مستوى الهدف. العقود التجارية القياسية (عروض أسعار، أوامر شراء، اتفاقيات عدم الإفصاح البسيطة): SES كافية. عقود العمل والعقارات واتفاقيات عدم الإفصاح الحساسة والاتفاقيات الإستراتيجية: AES بحد أدنى، ويفضل مع OTP SMS. الأعمال المنظمة (محامي، موثق، العطاءات الحكومية فوق حد معين): QES إلزامي. بدون هذه الخريطة، تخاطرين بنقص الأبعاد (رفض العقد) أو الإفراط في الأبعاد (تكلفة مفرطة).

النقطة 2: التحقق من تأهيل مقدم الخدمة

يجب أن يكون مقدم الخدمة لديك مقدم خدمات موثوق به (QTSP) أو الاعتماد على QTSP لمستويات AES/QES. راجع قائمة خدمات الثقة التي نشرتها ANSSI (eidas.ssi.gouv.fr) وقائمة الثقة الأوروبية (webgate.ec.europa.eu/tl-browser). مقدمو خدمات QTSP الفرنسيون المرجعيون: Certigna و Docaposte و Certinomis و Universign. بالنسبة إلى SES/AES عبر منصة (Certyneo و Yousign وغيرها)، تحقق من توافقهم مع eIDAS موثق بوضوح.

النقطة 3: اختبار مسار التدقيق

وقع ظرفاً اختبارياً واحصل على مسار التدقيق (عادة ملف PDF منفصل). يجب أن يتضمن: هوية البريد الإلكتروني للموقع، الطابع الزمني لكل خطوة (الإرسال والفتح والمصادقة والتوقيع)، عنوان IP، وكيل المستخدم، تجزئة المستند، مصادقة OTP إذا كان AES. إذا كان أي من هذه العناصر مفقوداً، تكون قيمة الإثبات ضعيفة. توفر Certyneo مسار التدقيق كاملاً حتى في الخطة المجانية.

النقطة 4: التحكم في الطابع الزمني

يجب أن يتم إصدار الطابع الزمني بواسطة هيئة الطابع الزمني (TSA) المتوافقة مع RFC 3161. الطابع الزمني الذي يأتي ببساطة من خادم NTP التابع للشركة غير كافي. افتح ملف PDF الموقع في Adobe Reader: علامة التبويب التوقيعات → التفاصيل → الطابع الزمني. يجب أن تراه هناك شهادة TSA صالحة وساعة معتمدة. إذا لم يحتوي ملف PDF على طابع زمني معتمد، فتراجع عن اختيار مقدم الخدمة.

النقطة 5: الأرشفة لمدة 10 سنوات على الأقل

يفرض قانون التجارة (المادة L. 123-22) الحفاظ على المستندات التجارية لمدة 10 سنوات. يفرض قانون العمل 5 سنوات لعقود العمل بعد الإنهاء. يجب أن تحافظ الأرشفة على السلامة (التجزئة والختم) والوصول. المثالي: تنسيق PDF/A (ISO 19005)، تخزين مزدوج (أساسي + نسخة احتياطية خارج الموقع)، خزانة إلكترونية مؤهلة (CFE) للحصول على أقصى إثبات. تقوم Certyneo بالأرشفة لمدة 10 سنوات بشكل افتراضي وتوفر التصدير إلى شركاء CFE.

النقطة 6: التحقق من موقع البيانات

أين يتم استضافة بيانات التوقيع الخاصة بك؟ بالنسبة لشركة فرنسية صغيرة تتعامل مع عقود حساسة، امنح الأولوية للاستضافة في فرنسا أو الاتحاد الأوروبي. اطلب من مقدم الخدمة قائمة الموفرين من الباطن وموقعهم (المادة 28 RGPD). تجنب الحلول الخاضعة لقانون الحوسبة السحابية الأمريكي بشأن العقود الإستراتيجية. يتم استضافة Certyneo في فرنسا، بدون اعتماد على قانون الحوسبة السحابية. انظر مقالتنا حول /blog/cloud-act-signature-electronique.

النقطة 7: التنسيق مع RGPD

التوقيع و RGPD مرتبطان ارتباطاً وثيقاً: يحتوي كل ظرف على بيانات شخصية (الاسم والبريد الإلكتروني وعنوان IP والهاتف). تأكد من أن سجل معالجتك (المادة 30 RGPD) يتضمن التوقيع الإلكتروني، وأن فترات الاحتفاظ متسقة (10 سنوات)، وأن حقوق الأشخاص قابلة للتنفيذ (الوصول والتصحيح والقابلية للنقل). إذا طلبت الكثير من التوقيعات، يُنصح بمسؤول حماية البيانات. انظر مقالتنا /blog/signature-electronique-rgpd.

النقطة 8: تحديد الموقعين مقدماً

بالنسبة إلى AES قوية، الهوية لا تبدأ عند التوقيع: تبدأ عند جمع البيانات. تحقق من رسائل البريد الإلكتروني (لا توجد أسماء مستعارة أو قوائم بريدية) وأرقام الهواتف (لا توجد خطوط مشتركة) واحتفظ بسجل لمصدر الهوية (بطاقة هوية للعقود الثقيلة وKYC العميل الموجود للعقود المستمرة). هذه العناية الواجبة هي التي تجعل قوة الإثبات في حالة النزاع.

النقطة 9: تدريب الفريق

يجب على فريق المبيعات والموارد البشرية والقانون فهم القواعد: لا تجبر الموقع أبداً على استخدام جهاز تابع لجهة أخرى، لا تعيد أبداً إرسال ملف PDF موقع معدل، لا تلصق أبداً صورة توقيع ممسوحة ضوئياً بدلاً من التوقيع الحقيقي. يكفي ساعة واحدة من التدريب لكل فريق لترسيخ الانعكاسات الجيدة. توفر Certyneo دليلاً شاملاً لمشاركته داخلياً (/ressources).

النقطة 10: التحقق من عقود الموفرين

يجب أن تتضمن شروط الخدمة/شروط البيع الخاصة بمقدم خدمات التوقيع ما يلي: الالتزام بالتوافق مع eIDAS وتحديد فترات الأرشفة وتضمين اتفاقية معالجة البيانات من الباطن (المادة 28) وتوثيق الموفرين من الباطن والتخطيط لخطة الرجوع في حالة الإنهاء. اطلب أيضاً SOC 2 Type II أو ما يعادله إذا كنت تتعامل مع كميات كبيرة. بالنسبة إلى Certyneo، هذه المستندات متاحة على /legal و /security.

النقطة 11: الاستعداد لـ eIDAS 2.0 والمحفظة الرقمية EUDI

يدخل الكود eIDAS 2.0 (EU 2024/1183) حيز التنفيذ تدريجياً ويلزم الدول الأعضاء بنشر محفظة EUDI الرقمية قبل نهاية 2026. ستسمح محفظة الهوية الرقمية هذه خاصة بالوصول إلى QES عن بُعد بدون مكتب تسجيل فعلي. استعد شركتك الصغيرة أو المتوسطة: تحقق من أن مقدم الخدمة لديه خريطة طريق محفظة EUDI، واتبع اتصالات ANSSI والمفوضية الأوروبية. انظر /blog/eidas-2-nouveau-reglement-2026.

النقطة 12: التدقيق السنوي

التوافق ليس حالة مكتسبة: إنه نهج مستمر. جدول التدقيق السنوي (داخلي أو خارجي) للتحقق من: التغييرات التنظيمية والتطورات التي يحققها مقدم الخدمة وخريطة محدثة من أنواع العقود والحفظ الفعلي وتدريب الموظفين الجدد. يستغرق التدقيق الخفيف نصف يوم لشركة صغيرة أو متوسطة ويتجنب المفاجآت. ابدأ بإنشاء حساب Certyneo مجاني على certyneo.com/signup لاختبار التوافق العملي، ثم راجع دليل eIDAS الخاص بنا للتعمق (/guide/eidas).