Квалифициран хронометраж eIDAS: доказателство за сигурна дата

Електронният хронометраж често се възприема като спомагателна техническа подробност. В действителност той представлява един от основните стълбове на доказателствената стойност на електронно подписан документ. Без него цифровият подпис не казва нищо за момента, в който е поставен — пропуск, който може да се окаже фатален при спорни ситуации. Регламент eIDAS № 910/2014 точно въведе понятието за квалифициран хронометраж, най-високото ниво на удостоверяване на дата, признато във всички държави-членки на Европейския съюз. Тази статия разшифрова този механизъм, неговите технически изисквания, неговата правна обхват и конкретните ситуации, в които той се налага като необходим.

Какво представлява квалифицираният хронометраж според eIDAS?

Определение и нива на хронометраж

Регламент eIDAS отличава две категории електронен хронометраж:

• Простия електронен хронометраж: всички данни в електронна форма, които асоциират дата и час с други данни. Той се ползва от презумция за надеждност, която може да бъде опровергана (Чл. 41 eIDAS).
• Квалифицираният хронометраж: по-високо ниво, издадено от Квалифициран доставчик на услуги за доверие (ҚДУД), вписан в национален списък на доверието под надзор. Той се ползува от презумция за законната точност на дата и час и интегритет на хронометрирани данни (Чл. 42 eIDAS).

Това разграничение е основно: квалифицираният хронометраж се презюмира за точен до противоположно доказателство, което обръща товара на доказването при спор. За повече информация относно различните нива на доверие, предвидени в този текст, консултирайте нашия пълен справочник за регламент eIDAS 2.0.

Техническите изисквания на квалифициран хронометраж

За да бъде квалифициран според eIDAS, хронометражът трябва да отговаря на строги критерии, определени в член 42 на регламента:

1. Да свързва дата и час с данните по начин, който разумно изключва всяка възможност за неоткриваемо изменение.
2. Да се основава на точен източник на време, свързан с Координирано универсално време (UTC), проследим и съответстващ на стандартите ETSI EN 319 421 и EN 319 422.
3. Да бъде подписан с помощта на разширена електронна подпис или разширен електронен печат на квалифициран ҚДУД, или чрез еквивалентен метод.

На практика доставчикът получава криптографски отпечатък (хеш) на документа, поставя върху него подписан времеви печат и връща жетон за хронометраж (timestamp token, TST), съответстващ на протокол RFC 3161. Този процес никога не предава съдържанието на документа на доставчика — само неговия отпечатък —, което гарантира поверителността на данните.

Списъци на доверието и национален надзор

Във Франция ANSSI (Национална агенция за информационна сигурност) е надзорният орган, който поддържа списъка на квалифицираните доставчици. Този списък се публикува в подписан XML формат и се интегрира в европейския списък на доверието (EU Trusted List), достъпен чрез портала eIDAS на Европейската комисия. Всеки доставчик, фигуриращ там, е преминал строго одит за съответствие според стандартите ETSI EN 319 401 (общи изисквания) и ETSI EN 319 421 (профил на политика за квалифицирани TSA).

Когато оценявате решение за електронна подпис за вашето предприятие, проверката дали доставчикът интегрира квалифициран хронометраж — а не просто вътрешен хронометраж — е решаващ критерий за избор.

Защо квалифицираният хронометраж е критичен за доказателството за дата?

Датата в верига на цифрово доказателство

Квалифициран електронен подпис доказва кой е подписал и че документът не е изменен. Но той не доказва кога подписът е поставен, освен ако му е асоцииран квалифициран хронометраж. Това разграничение придобива цялата си важност в няколко сценария:

• Предходство на изобретение: за установяване че патент или ноу-хау е съществувало преди определена дата.
• Спазване на договорен срок: за доказване, че договор е подписан преди изтичането на крайния срок на оферта.
• Дългосрочно доказателствено архивиране: валидността на криптографски подпис може да изтече с остаряването на алгоритмите (феномен на стареене на подписа). Квалифицираният хронометраж би позволил да се „преквалифицира" документът и да се продължи неговата доказателствена стойност.

Стареене на подписи и преквалифициране

Криптографските алгоритми се развиват. Сертификат на подпис, основан на RSA-2048, смятан за сигурен през 2015 г., може да се счита за недостатъчен около 2030 г. с нарастването на мощта на квантовите компютри. Дългосрочното доказателствено архивиране разчита на практиката на преквалифициране: преди предполагаемото изтичане на робустността на алгоритъм, се прилага нов квалифициран хронометраж към целия комплект (документ + подпис + предишен хронометраж), създавайки така непрекъсната верига на доверие.

Този подход е нормализиран в ETSI EN 319 102-2 (процедури за проверка на разширени и квалифицирани подписи) и препоръчан за всеки документ, който трябва да бъде запазен повече от 10 години — нотариални акти, дългосрочни търговски договори, медицински файлове или регулаторни документи.

Европейска интероперабилност и взаимно признание

Един от най-значимите активи на квалифициран хронометраж eIDAS е неговото автоматическо признание във всичките 27 държави-членки (Чл. 41.3 eIDAS). Квалифициран хронометраж, издаден от френски ҚДУД, произвежда същите правни последици в Германия, Испания или Полша. Тази юридическа преносимост е особено ценна за предприятия, работещи на трансграничните европейски пазари, които подписват договори с партньори в няколко страни. За сравнение на различни налични подходи на пазара, нашият сравнител на решения за електронна подпис предлага подробния анализ.

Интегриране на квалифициран хронометраж в поток на електронна подпис

Техническа архитектура на съответстващ процес

В процес на квалифициран електронен подпис (QES), хронометражът се интегрира на няколко нива на подписания документ, според форматите ETSI, определени за подписи с дълго действие:

• Формат XAdES-LTA (XML Advanced Electronic Signatures – Long-Term Archive): за XML документи.
• Формат PAdES-LTA (PDF Advanced Electronic Signatures – Long-Term Archive): за PDF, най-често използваният формат в предприятието.
• Формат CAdES-LTA (CMS Advanced Electronic Signatures – Long-Term Archive): за родови бинарни файлове.

Суфиксът LTA (Long-Term Archive) означава точно нивото, което включва квалифициран хронометраж и необходимите данни за отозване за бъдеща проверка, дори след изтичане на сертификатите.

Ролята на платформата SaaS за подписване

В решение SaaS като Certyneo, интегрирането на квалифициран хронометраж е прозрачно за крайния потребител. Платформата:

1. Генерира криптографския отпечатък на финализирания документ.
2. Изпраща този отпечатък на квалифицирания TSA (Time Stamping Authority) партньор чрез защитена връзка.
3. Получава подписан жетон за хронометраж (TST).
4. Включва TST в PDF/A файла според формат PAdES-LTA.
5. Съхранява целия комплект в защитена архивна среда, която сама е подлежаща на одит.

Потребителят разполага с документ, чиято дата на завършване на подписа е удостоверена и може да бъде проверена от всяка трета страна, без зависимост от инфраструктурата на платформата, която е извършила подписа. Тази автономност на проверката е критерий за отличие, често недооценяван при обществени поръчки. Ако разглеждате смяна на доставчик, нашият справочник за миграция от DocuSign или YouSign към Certyneo детайлизира техническите точки, които трябва да се предвидят.

Проверка и одитност

Всеки документ, интегриращ квалифициран хронометраж PAdES-LTA, може да бъде проверен безплатно чрез инструменти с отворен код (DSS Library на Европейската комисия) или онлайн валидатори, съответстващи на eIDAS. Проверката потвърждава:

• Самоличността на подписващия (квалифициран сертификат).
• Интегритета на документа (нямаше модификация след подписване).
• Удостовереното дата и час (валиден жетон TST, TSA в списъка на доверието).
• Неотозванието на сертификата по момента на подписването.

Тази пълна проследяемост представлява решаващо преимущество за юридически отделения, които редовно трябва да представят документни доказателства в контекста на спорове или регулаторни одити.

Применим правен режим на квалифициран хронометраж

Регламент eIDAS № 910/2014

Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г., известен като регламент eIDAS, представлява правната основа на квалифициран хронометраж в Европа. Неговите ключови разпоредби са:

• Член 3(34): определя електронния хронометраж като „данни в електронна форма, които асоциират други данни в електронна форма с конкретен момент и установяват доказателство, че тези последни данни са съществували в този момент".
• Член 41: предоставя на простите електронни хронометражи презумция за точност, която може да бъде опровергана.
• Член 42: установява условията за квалификация на хронометраж (източник UTC, проследимост, подпис на квалифициран ҚДУД, криптографска връзка с данните).
• Член 42(2): придава на квалифициран хронометраж презумция за законна точност на дата и час и интегритет на асоциирани данни. Тази презумция важи пред всяко съдилище на ЕС без нужда от допълнително доказателство.

Регламент eIDAS 2.0 (Регламент ЕС 2024/1183, който влезе в сила постепенно от 2024 г.) укрепва тези разпоредби, разширявайки рамката до европейски портфейли с цифрова идентичност (EUDIW), без да преразглежда основите на квалифициран хронометраж.

Френския гражданския кодекс — членове 1366 и 1367

По френско право, член 1366 на Гражданския кодекс устанавливает, че „електронният акт има същата доказателствена стойност като актът на хартиен носител, при условие че лицето, от което произлиза, може да бъде надлежно идентифицирано и че е установен и съхранен при такива условия, които да гарантират неговия интегритет". Член 1367 уточнява условията на надежден електронен подпис. Квалифицираният хронометраж пряко участва в удовлетворяването на условието за интегритет и сигурна датация, изисквани от тези текстове.

Освен това декрет № 2017-1416 от 28 септември 2017 г. относно електронния подпис изрично отсилва към регламент eIDAS, за да определи нивата на подпис, допустими пред френските съдилища.

Задължения за съхранение и GDPR

Регламент (ЕС) 2016/679 (GDPR), приложим на всяко обработване на лични данни, налага подходящи технически мерки за сигурност (Чл. 32). Квалифицираният хронометраж, гарантирайки интегритета и датирането на обработваните данни, допринася за съответствието с GDPR в документните потоци, включващи лични данни.

Някои сектори налагат специфични легални периоди на съхранение: 5 години за търговски договори (Чл. L.110-4 на Търговския кодекс), 10 години за акти от гражданския живот, 20 години за някои медицински документи. За тези дългосрочни архивирания, липсата на квалифициран хронометраж и периодично преквалифициране представляват основен юридически риск: документът може да загуби своята доказателствена стойност преди изтичането на легалния период на съхранение.

Справочни стандарти ETSI

• ETSI EN 319 421: политика и требования към сигурност за квалифицирани TSA (Time Stamping Authorities).
• ETSI EN 319 422: профил на жетон за хронометраж.
• ETSI EN 319 102-1/2: процедури за създаване и проверка на разширени и квалифицирани подписи, включително хронометраж.
• ETSI EN 319 132 (XAdES) и EN 319 122 (CAdES): формати на подпис с дълго действие.

Сценарии на употреба: кога е квалифицираният хронометраж решаващ?

Сценарий 1 — Адвокатската фирма по търговско право, управляваща съдебни преписи

Адвокатска фирма по търговско право с около петнадесет сътрудници, специализирана в B2B търговски спорове, използва квалифициран електронен подпис за своите съдебни акти, съглашения за хонорари и чувствителна кореспонденция. В контекста на спор относно датата на приемане на търговска оферта, противникът оспорва, че подписът на неговия клиент да е преди изтичането на определения в офертата срок.

Благодарение на интегрирания в документа PAdES-LTA квалифициран хронометраж, фирмата представя жетон за хронометраж, издаден от ҚДУД, вписан във френския списък на доверието. Удостовереното дата — до секундата — е проверяема независимо от съда и съдебния експерт. Презумпцията по член 42 eIDAS е приложима: товара на противоположното доказателство сега почива върху противника. Делото се решава без противоречива експертиза, което е скъпо, икономисвайки около 15 до 25 дни процес според обичайните оценки за този тип спор.

Сценарий 2 — МСП по промишленост, управляваща портфолио от договори с доставчици

МСП по промишленост, управляваща около 300 договора с доставчици годишно — NDA, общи условия за закупуване, ценови аменди — търси защита на своето документно архивиране в контекста на обновление на своята ERP. Предприятието желае да запази доказателствена стойност на своите договори най-малко 10 години, в съответствие със своите правни задължения и с изисквания на своя застраховател.

Чрез развиване на решение за електронна подпис, интегриращо квалифициран хронометраж и формат PAdES-LTA, МСП автоматично създава архиви с дълготрайна доказателствена стойност. Вътрешен одит, проведен 18 месеца след развитието, разкрива намаление от 40% на времето, посветено на търсене и преконструкция на документи при одитите на доставчици, и почти пълно елиминиране на спорове, свързани с несъгласия за датата на влизане в сила на ценовите аменди. Екипите на човешките ресурси се ползват от същото преимущество за трудови договори и аменди, със засилена съответствие при инспекции на труда.

Сценарий 3 — Здравна установа и архивиране на информирани съгласия на пациенти

Болнична мрежа с междинен размер (около 600 легла) дематериализира своите формуляри за информирано съгласие за хирургични актове и клинични изследвания. Приложимата нормативна база (Чл. L.1111-4 на Кодекса на общественото здравие, Регламент (ЕС) 536/2014 относно клинични изследвания) изисква не само проследяемост на съгласието, но и сигурност в датирането му преди медицинския акт.

Интегрирането на квалифициран хронометраж в потока на подписване на съгласия гарантира, че датата на съгласието е удостоверена и неоспорима, дори при инспекция от органите по здравеопазване (HAS, ANSM) или при медицински спор. За този сектор, решенията за електронна подпис, адаптирани към здравеопазването, трябва непременно да интегрират този квалифициран хронометраж, за да отговорят на специфичните нормативни задължения. Установите, които са развили този тип решение, обикновено констатират намаление от 60 до 70% на времето, посветено на административното управление на съгласия, спрямо хартиен процес, според бенчмарките, публикувани от асоциациите на директорите на здравни установи.

Заключение

Квалифицираният хронометраж eIDAS не е просто цифров печат: това е силна правна презумция, признана в целия Европейски съюз, която превръща датата на електронно подписан документ в доказателство, обвързващо всяко съдилище. Основавайки се на надзирани ҚДУД, строги стандарти ETSI и формати за дълготрайно архивиране (PAdES-LTA), той предлага правна сигурност, която нито вътрешен сървърен хронометраж, нито прост метаданни на файла не могат да достигнат.

За предприятия, които подписват договори, управляват чувствителни папки или трябва да съхранят доказателствени документи в продължение на няколко години, интегрирането на квалифициран хронометраж в своя поток на подписване вече не е опция — това е задължение от добра юридическа практика.

Certyneo интегрира нативно квалифициран хронометраж във всеки квалифициран електронен подпис, издаден на своята платформа. Откройте как да защитите своите доказателствени документи, като стартирате своя безплатен пробен период или като консултирате нашите прозрачни цени.