شهادة التوقيع الإلكتروني المؤهلة للشركات: دليل 2026

لماذا أصبحت شهادة التوقيع الإلكتروني المؤهلة ضرورية للشركات

في الوقت الذي تتسارع فيه عملية إلغاء الورقيات للعمليات التعاقدية في جميع القطاعات، تفرض مسألة شهادة التوقيع الإلكتروني المؤهلة نفسها كمسألة إستراتيجية للقسم القانوني وقسم تكنولوجيا المعلومات والإدارة العامة. وفقًا للتقرير السنوي لهيئة ANSSI 2024، قللت أكثر من 78٪ من الشركات الصغيرة والمتوسطة الفرنسية التي اعتمدت التوقيع الإلكتروني المؤهل من فترات التعاقد لديها بأكثر من 60٪. ومع ذلك، يخلط الكثيرون بين التوقيع البسيط والمتقدم والمؤهل — مما قد يعرض أعمالهم القانونية للطعن. تقدم هذه المقالة لك إرشادات خطوة بخطوة لفهم ما هي شهادة التوقيع الإلكتروني المؤهلة، وكيفية الحصول عليها مع احترام إطار RGS وeIDAS، وكيفية نشرها بفعالية داخل مؤسستك.

ما هي شهادة التوقيع الإلكتروني المؤهلة؟

شهادة التوقيع الإلكتروني هي ملف رقمي يصدره جهاز إصدار شهادات يربط هوية شخص طبيعي أو معنوي بمفتاح تشفير عام. وهي تشكل العنصر الرئيسي الذي يسمح لطرف ثالث بالتحقق من أصالة وسلامة التوقيع الرقمي.

يشير التصنيف "المؤهل" إلى تعريف دقيق منبثق من اللائحة الأوروبية eIDAS (رقم 910/2014، المادة 28): يجب أن تصدر الشهادة من قبل موفر خدمات ثقة مؤهل (PSCQ)، مسجل في قائمة الثقة الوطنية (في فرنسا، منشورة من قبل ANSSI). وبالإضافة إلى ذلك، يجب أن تلبي المتطلبات التقنية لمعيار ETSI EN 319 411-2، الذي ينظم سياسات وممارسات الإصدار.

عمليًا، تضمن شهادة مؤهلة:

• التحقق من الهوية للموقع (التحقق الوثائقي وجهًا لوجه أو بوسيلة معادلة معتمدة);
• السلامة للمستند الموقع (أي تعديل لاحق يمكن اكتشافه);
• عدم إمكانية الإنكار (لا يمكن للموقع إنكار أنه وقع الوثيقة).

الفرق بين التوقيع البسيط والمتقدم والمؤهل

تميز لائحة eIDAS بين ثلاثة مستويات من التوقيع الإلكتروني، كل منها مرتبط بمستوى شهادة:

| المستوى | الشهادة المطلوبة | القيمة الإثباتية | الاستخدام النموذجي | |---|---|---|---| | بسيط | غير مطلوبة | ضعيفة | أوامر الشراء المعتادة | | متقدم | شهادة متقدمة (PSCQ) | متوسطة | العقود التجارية بين الشركات | | مؤهل | شهادة مؤهلة (PSCQ مؤهل) | الحد الأقصى، معادل للتوقيع اليدوي | الأعمال الموثقة والمشتريات العامة والعمليات الحساسة للموارد البشرية |

بالنسبة للتوقيع المؤهل — الوحيد الذي يستفيد من الافتراض القانوني لمعادلة التوقيع اليدوي (المادة 1367 من القانون المدني) — تكون شهادة التوقيع المؤهلة إجبارية. للمزيد عن الفروقات بين المستويات، استشر دليلنا الشامل للتوقيع الإلكتروني.

---

إطار RGS: التفاصيل الفرنسية التي يجب معرفتها

في فرنسا، يحدد المعيار العام للأمان (RGS)، الصادر بالمرسوم رقم 2010-112 والمحدث بشكل منتظم من قبل ANSSI، متطلبات الأمان المنطبقة على أنظمة المعلومات للإدارات. بالنسبة للشركات التي تتعاقد مع الكيانات العامة (المشتريات العامة والإجراءات الإلكترونية)، فإن احترام RGS غالبًا ما يكون التزامًا تعاقديًا أو تنظيميًا.

مستويات RGS المنطبقة على الشهادات

يحدد RGS ثلاث نجوم للتأهيل للشهادات:

• RGS* (نجمة واحدة): المستوى الأساسي، مناسب للاستخدامات العادية ذات الحساسية المنخفضة;
• RGS (نجمتان)**: المستوى المتوسط، المطلوب لمعظم الإجراءات الإدارية الإلكترونية;
• RGS (ثلاث نجوم)*: مستوى عالٍ، للأعمال ذات الرهانات القانونية أو المالية الكبيرة.

بالنسبة للمشتريات العامة المعالجة إلكترونيًا عبر ملف المشتري، يفرض المرسوم رقم 2016-360 (المادتان 39 و40) بشكل عام توقيعًا بمستوى RGS على الأقل، مما يعني شهادة بمستوى تأهيل معادل.

التوافق بين RGS وeIDAS

منذ تطبيق لائحة eIDAS، يتعايش المعياران. تُعتبر شهادة مؤهلة بمعنى eIDAS بمثابة الوفاء بمتطلبات RGS** في غالبية الحالات. نشرت ANSSI جداول مراسلات تسمح بضمان التوافق. لذلك ينصح به، للشركات التي تعمل مع الشركاء الخاصين والعام معًا، بأن تفضل شهادة مؤهلة eIDAS صادرة من PSCQ مسجل في قائمة الثقة الفرنسية — وهذا يغطي كلا المعيارين في نفس الوقت.

للتعمق أكثر في اللائحة الأوروبية، يفصل دليلنا eIDAS 2.0 التطورات الرئيسية المخططة وتأثيرها على الشركات الفرنسية.

---

كيفية الحصول على شهادة التوقيع الإلكتروني المؤهلة: عملية خطوة بخطوة

الحصول على شهادة التوقيع الإلكتروني المؤهلة ليس إجراءً بسيطًا: فهو ينطوي على التحقق الصارم من هوية الطالب ومن حيث يتعلق الأمر بشخص معنوي، من تمثيله القانوني. فيما يلي الخطوات الأساسية.

الخطوة 1: تحديد موفر الخدمات الموثوق المؤهل المناسب

في فرنسا، يتم إدراج موفري خدمات الثقة المؤهلة المصرح لهم بإصدار شهادات مؤهلة في قائمة حالة خدمات الثقة (TSL) المنشورة من قبل ANSSI (المتاحة على البوابة esignature.gouv.fr). من بين الجهات الفاعلة الموجودة في هذه القائمة، نجد خاصة جهات الإصدار مثل CertEurope وCertinomis (فرع La Poste) وKeynectis أو موفري خدمات أوروبيين معترف بهم بموجب مبدأ الاعتراف المتبادل eIDAS.

معايير الاختيار المراد فحصها:

• الوجود الفعلي في قائمة الثقة الفرنسية و/أو الأوروبية;
• تنسيق الشهادة المقترحة (برنامج، بطاقة ذكية، سحابة HSM);
• التوافق مع البنية التحتية لتكنولوجيا المعلومات الحالية لديك;
• التسعير والصلاحية (عادة 1 إلى 3 سنوات);
• مستوى الدعم ووقت التسجيل.

الخطوة 2: تجميع ملف التسجيل

بالنسبة للشركة، يتطلب طلب شهادة مؤهلة تقديم وثائق تبرر هوية الحامل (شخص طبيعي) وقدرته على تمثيل الشخص المعنوي. والأوراق المطلوبة عادة هي:

• وثيقة هوية رسمية للحامل (جواز سفر، بطاقة هوية وطنية);
• مستخرج Kbis بعمر أقل من 3 أشهر (أو ما يعادله للجمعيات والمؤسسات العامة);
• تفويض سلطة إذا كان الحامل ليس ممثل الجهة الاعتبارية القانوني;
• نموذج الطلب المحدد من قبل PSCQ المختار.

يجب إجراء التحقق من الهوية وجهًا لوجه أمام مشغل تسجيل (OE) يُفوِّضه PSCQ، أو بواسطة إجراء تحقق عن بعد معتمد (تحديد الهوية عبر الفيديو متوافق مع معيار ETSI TS 119 461).

الخطوة 3: تسليم وتفعيل الشهادة

حسب التنسيق المختار، يتم تسليم الشهادة:

• على جهاز إنشاء توقيع مؤهل (QSCD): مفتاح USB تشفيري أو بطاقة ذكية معتمدة معايير شائعة EAL 4+;
• عبر خدمة توقيع عن بعد (التوقيع الإلكتروني المؤهل عن بُعد — RQES) تُدار من قبل PSCQ، حيث يتم استضافة المفتاح الخاص في وحدة أمان أجهزة (HSM) معتمدة وفقًا لمعيار ETSI EN 419 241.

يعتبر نشر خدمة RQES اليوم الحل الأكثر اعتمادًا من قبل الشركات، لأنه يتجنب الإدارة المادية لدعامات التشفير مع الحفاظ على التوافق المؤهل. قارن حلول التوقيع الإلكتروني لتحديد النموذج الأنسب لسياقك.

الخطوة 4: الدمج في عمليات عملك

بمجرد الحصول على الشهادة، يمر دمجها في التدفقات الوثائقية للشركة عادةً عبر منصة SaaS للتوقيع الإلكتروني. يجب أن تكون متوافقة بشكل ضروري مع معايير ETSI (XAdES و PAdES و CAdES) لضمان القابلية للتشغيل البيني والاستدامة لأدلة رقمية. ستساعدك المقالة المخصصة للتوقيع الإلكتروني في الشركات على هيكلة هذا النشر.

---

التكلفة والصلاحية والتجديد: ما يجب على الشركات توقعه

نطاقات الأسعار في 2026

تختلف أسعار الشهادات المؤهلة بشكل كبير حسب التنسيق والموفر:

• شهادة على دعامة مادية (مفتاح USB/بطاقة): بين 80 € و 250 € بدون ضريبة لكل حامل وكل سنة;
• شهادة مؤهلة سحابية (RQES): بين 40 € و 150 € بدون ضريبة لكل حامل وكل سنة، حسب الأحجام;
• صيغ الشركات: تطبق خصومات كبيرة من 10 حاملين فأكثر، قد تصل إلى 30 إلى 40٪ من السعر الفردي.

يجب وضع هذه التكاليف في الاعتبار مقابل المدخرات التي تولدها: إزالة الطباعة والطوابع البريدية وفترات المعالجة البريدية والنزاعات المتعلقة بالتوقيعات المطعون فيها.

مدة الصلاحية والتجديد

عادة ما يتم تعيين صلاحية شهادة مؤهلة في 1 أو 2 أو 3 سنوات حسب العرض المشترى. عند انتهاء الصلاحية، تبقى المستندات الموقعة سابقًا صالحة (بشرط أن تُحافظ على سلامتها عبر خدمة الطابع الزمني المؤهل)، لكن لا يمكن توقيع أعمال جديدة بالشهادة المنتهية الصلاحية. لذا من الضروري وضع عملية لمراقبة وتجديد استباقي — يفضل أن يكون ذلك قبل 60 يومًا من انتهاء الصلاحية.

الإلغاء وإدارة الحوادث

في حالة الإفصاح عن المفتاح الخاص (فقدان أو سرقة الدعامة أو الاشتباه في الكشف)، يجب إلغاء الشهادة فورًا من قبل PSCQ. ينشر هذا الأخير الإلغاء في قائمة إلغاء شهادته (CRL) أو عبر بروتوكول OCSP، مما يجعل أي توقيع لاحق بهذه الشهادة غير صالح. يجب أن تتضمن سياسة الأمان الداخلية نقطة اتصال مخصصة ووقت تنبيه أقل من 24 ساعة.

---

أفضل الممارسات لنشر ناجح في الشركات

الحوكمة والأدوار الداخلية

يعتمد النشر الناجح على حوكمة واضحة. يُنصح بتعيين:

• مسؤول البنية التحتية للمفاتيح العامة (PKI) من جانب تكنولوجيا المعلومات، المسؤول عن العلاقة مع PSCQ ومتابعة التجديدات;
• مرجع قانوني يصادق على حالات الاستخدام التي تتطلب توقيعًا مؤهلاً (مقابل متقدم);
• إداريون مفوضون حسب القسم لإدارة حاملي التوقيع عمليًا.

التدريب والتغيير التنظيمي

التوقيع الإلكتروني المؤهل وحده لا يكفي: يجب أن يفهم الموظفون كيفية استخدام شهادتهم، ومتى يقومون بتفعيلها، وكيفية التصرف في حالة حدوث حادث. خطة تدريب قصيرة (1 إلى ساعتين) والإجراءات الموثقة تقلل بشكل كبير من أخطاء الاستخدام وتذاكر الدعم.

التدقيق والتتبع

لتلبية التزامات الإثبات، احتفظ بـ سجل تدقيق موثوق بالوقت لكل توقيع يتم تنفيذه: هوية الموقع وبصمة المستند وتاريخ/وقت معتمد ومعرف الشهادة. تشكل هذه البيانات أساس سلسلة الإثبات في حالة النزاع. يتوقع معيار ETSI EN 319 132 (XAdES) صيغ توقيع تتضمن بشكل طبيعي هذه المعلومات.

الإطار القانوني المنطبق على شهادات التوقيع الإلكتروني المؤهلة

القانون المدني والقيمة الإثباتية

بموجب القانون الفرنسي، تضع المادة 1366 من القانون المدني مبدأ معادلة الكتابة الإلكترونية والكتابة الورقية، بشرط أن "تكون هوية الشخص الذي تصدر عنه معروفة بشكل صحيح وتكون مقررة ومحفوظة بطريقة تضمن سلامتها". توضح المادة 1367 الفقرة 2 أن التوقيع الإلكتروني المؤهل يستفيد من افتراض الموثوقية: على الطرف الذي ينكر التوقيع أن يثبت ذلك بطريقة أخرى، مما يعكس عبء الإثبات لصالح الموقع.

لائحة eIDAS رقم 910/2014

تشكل لائحة eIDAS الأوروبية (رقم 910/2014) قابلة للتطبيق المباشر في جميع الدول الأعضاء منذ 1 يوليو 2016 الأساس فوق الوطني. تنص المادة 25(2) على أن "التوقيع الإلكتروني المؤهل له تأثير قانوني مكافئ لتأثير التوقيع اليدوي". تحدد المادتان 28 و29 المتطلبات المنطبقة على الشهادات المؤهلة وأجهزة إنشاء التوقيع المؤهلة (QSCD). يسرد الملحق الأول الذكر الإلزامي لشهادة مؤهلة (معرف الكائن لسياسة OID وهوية PSCQ والمفتاح العام وتاريخ الصلاحية، إلخ.).

تطورات eIDAS 2.0

يقدم لائحة eIDAS 2.0 (لائحة الاتحاد الأوروبي 2024/1183، التي بدأ سريانها في 20 مايو 2024) المحفظة الأوروبية للهوية الرقمية (EUDIW) ويعزز متطلبات إمكانية الوصول إلى خدمات الثقة المؤهلة. يجب على الشركات توقع تكامل آليات التحديث الجديدة هذه بحلول 2026-2027.

معايير ETSI المنطبقة

• ETSI EN 319 411-2: السياسة والممارسات لموفري الخدمات الموثوقين المؤهلين الذين يصدرون شهادات مؤهلة;
• ETSI EN 319 132 (XAdES) وETSI EN 319 122 (CAdES) وETSI EN 319 162 (PAdES): صيغ التوقيع الإلكتروني المتقدم والمؤهل;
• ETSI EN 419 241: متطلبات خوادم التوقيع (RQES).

النظام الأوروبي لحماية البيانات والخصوصية

معالجة البيانات الشخصية في سياق التسجيل (التحقق من الهوية، جمع الوثائق) تخضع للنظام الأوروبي لحماية البيانات رقم 2016/679. يكون PSCQ والشركة العميلة مسؤولين مشتركين عن المعالجة أو في علاقة مسؤول/معالج تبعي حسب الإعداد. يجب توقيع اتفاقية معالجة بيانات (DPA) متوافقة مع المادة 28 من النظام الأوروبي لحماية البيانات. يجب الاحتفاظ ببيانات التسجيل لمدة عمر الشهادة بالإضافة إلى فترة التقادم المنطبقة (5 سنوات في القضايا التعاقدية).

توجيه NIS2 وأمان البنية التحتية

يفرض توجيه NIS2 (2022/2555/UE)، المنقول إلى القانون الفرنسي بموجب القانون رقم 2024-449، على الكيانات الأساسية والمهمة تنفيذ تدابير إدارة المخاطر تشمل أمان سلاسل التوريد الرقمية. يشكل استخدام PSCQ مؤهل مسجل في قائمة الثقة الوطنية ممارسة جيدة معترف بها للوفاء جزئيًا بهذه المتطلبات.

حالات الاستخدام: التوقيع الإلكتروني المؤهل في الممارسة

الحالة 1: مكتب قانوني يدير أعمالاً بقيمة إثباتية عالية

مكتب محاماة متخصص في المسائل التجارية يضم حوالي عشرين شريكًا ومساعدًا يجب عليهم بشكل منتظم التوقيع على أعمال نقل حصص الشركات والبروتوكولات التسويية والوكالات القضائية. حتى الآن، كانت كل عملية تتطلب طباعة وتوقيعًا يدويًا وماسحًا ضوئيًا وإرسالاً بريديًا — أي متوسط تأخير من 4 إلى 7 أيام عمل لكل دورة توقيع. بعد نشر شهادات مؤهلة سحابية (RQES) لكل شريك، تم تقليل هذا التأخير إلى أقل من 4 ساعات للأعمال التي لا تتطلب تدخلاً موثقًا. يقدر المكتب انخفاضًا بنسبة 65٪ في الوقت الإداري المتعلق بإدارة الوثائق، ولم يسجل أي طعن في التوقيع خلال أول 18 شهرًا من الاستخدام. تندرج حلول التوقيع الإلكتروني للمكاتب القانونية التي يقدمها Certyneo بشكل طبيعي في هذا النوع من سير العمل.

الحالة 2: شركة صغيرة ومتوسطة الحجم تتعاقد مع جهات المشتريات العامة

شركة متخصصة في قطاع المعادن، توظف حوالي 120 شخصًا، تشارك بانتظام في عروض أسعار عامة معالجة إلكترونيًا على ملفات المشتري. وهي ملزمة بالتوقيع إلكترونيًا على عروضها وأعمال الالتزام بشهادة بمستوى RGS** كحد أدنى. بعد حصولها على شهادتين مؤهلتين (للمدير العام ومدير تجاري مخول)، تمكنت الشركة الصغيرة والمتوسطة الحجم من إيداع عروضها في الآجال المحددة دون تنقل ولا إرسال بريدي. في سنة واحدة، يمثل هذا حوالي 35 ملف اقتراح عروض أسعار، أي توفير تقديري يبلغ حوالي 15 يوم عمل سنويًا على الإدارة الوثائقية وحدها. يضمن التوافق مع eIDAS للشهادة أيضًا الاعتراف بتوقيعاتها لدى جهات المشتريات الألمانية والبلجيكية، مما يوسع محيطها