Осигуряване на електронно подписани документи: ръководство 2026

Въведение

Електронният подпис се е наложил като норма в европейския B2B обмен. Но подписването на документ не е достатъчно: все още трябва да осигурите, архивирате и съхранявате тези електронно подписани документи в съответствие с действащата правна рамка. Във Франция и в Европа задълженията от регламента eIDAS, GDPR и Гражданския кодекс налагат точни изисквания по отношение на интегритета, проследяемостта и сроковете на съхранение. Това ръководство ви обяснява, стъпка по стъпка, как да установите надежна стратегия за архивиране на вашите електронни подписани документи — и защо тази дейност е неразделна от серьозна политика на електронния подпис.

---

Защо осигуряването на подписаните документи е абсолютен приоритет

Рисковете, свързани с лоша съхранение

Електронно подписан документ губи всяка доказателствена стойност, ако е променен, повреден или недостъпен в момента, когато е необходимо да се представи — при спор, одит или данъчна проверка. Конкретните рискове включват:

• Загуба на интегритет: всяка модификация след подписване, дори и мала, обезсилва подписа и следователно правната стойност на документа.
• Изтичане на сертификатите: квалифициран сертификат има ограничен период на валидност (обикновено 1 до 3 години). Ако документът не е надлежно отписан по време или архивиран преди изтичане, неговата бъдеща проверяемост е нарушена.
• Технологична остарялост: форматите на файловете се развиват. PDF документ, подписан през 2018 г. с алгоритъм SHA-1, който сега се счита за уязвим, може да създаде проблеми при валидация на дълги сроки.
• Нарушения на GDPR: подписаните документи често съдържат лични данни (име, фамилия, IP адрес, имейл). Лоша администрация на тези данни излага компанията на санкции на CNIL, които могат да достигнат 4% от световния оборот.

Според проучване на KPMG, публикувано през 2024 г., 34% от французите не имат формализирана политика за електронно архивиране, което ги излага на значителни правни рискове в случай на спор.

Доказателствената стойност: централна проблема

Доказателствената стойност на електронно подписан документ почива на три основни основи:

1. Удостоверяване: подписващият е действително този, за който се издава (проверка на самоличност, квалифициран сертификат).
2. Интегритет: съдържанието не е bilo променено след подписване (криптографски отпечатък, хеш SHA-256 или по-висок).
3. Неотрицание: подписващият не може да отрече подписването (квалифициран отпечатък, пътека на одит).

Тези три основи трябва да бъдат поддържани във времето, което означава активна, а не пасивна стратегия за архивиране.

---

Технически стандарти за осигуряване на вашите подписани документи

Дълготрайни формати за подпис: PAdES, XAdES, CAdES

За гарантиране на трайност на подписан документ стандартите ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES) определят формати на подпис, подходящи за съхранение на дълги сроки. Най-използваният в практиката B2B е формата PAdES (PDF Advanced Electronic Signatures), със своите нива:

• PAdES-B: базисно ниво, подходящо за кратки периоди.
• PAdES-T: добавя квалифициран отпечатък, за да докаже съществуването на документа в определен момент.
• PAdES-LT: интегрира данни за отзиване на сертификатите, позволявайки валидиране без достъп до онлайн услуги.
• PAdES-LTA: най-устойчивото ниво, добавя архивен отпечатък, позволявайки периодични подновявания. Препоръчано за всяка съхранение, преминаваща 3 години.

За архивиране на дълги сроки, нивото PAdES-LTA е препоръчаният стандарт от ANSSI и квалифицирани доставчици на услуги на доверие (QTSP).

Квалифициран отпечатък: основата на архивирането

Квалифициран отпечатък, дефиниран в член 42 на регламент eIDAS, представлява правното доказателство за съществуването на документ в определен момент. Той се издава от квалифицирана Орган за отпечатък (TSA - Time Stamping Authority), вписан в европейския списък на доверието (EU Trust List).

На практика отпечатъкът:

• Криптографски свързва отпечатъка на документа с сертифицирана дата и час.
• Позволява да се докаже, че подписът е бил валиден в момента на неговото създаване, дори ако сертификатът е изтекъл оттогава.
• Е неотменим за осигуряване на приемливостта на документа в съд години след подписване.

Криптирането и контролът на достъпа

Отвъд криптографските аспекти, свързани със самия подпис, физическата и логическата сигурност на архивираните документи е еднакво критична:

• Криптиране при покой: документите трябва да бъдат криптирани на хостинг серверите (минимум AES-256).
• Криптиране при преноса: протоколи TLS 1.3 за всеки трансфер.
• Контрол на достъпа базиран на роли (RBAC): само упълномощени лица могат да имат достъп до архивирани документи.
• Регистрация на достъпа: всеки достъп, преглед или изтегляне трябва да бъдат проследени (неизменни логове).
• Георедундантни резервни копия: минимум две копия на географски отделени места, с редовни тестове за възстановяване.

---

Стратегии за доказуемо електронно архивиране: SAE и дигитален сейф

Система за електронно архивиране (SAE)

Система за електронно архивиране (SAE) е инфраструктура, посветена на дълготрайното съхранение на цифрови документи с гарантия за тяхната интегритет и достъпност. Във Франция, приложимия стандарт е стандарт NF Z42-013 (одобрена ISO 14641), която определя изисквания за дизайн и експлоатация на доказуемо SAE.

Характеристиките на съответното SAE включват:

• План за класификация, структуриран с правила за съхранение по документна категория.
• Отпечатък на интегритет, изчислен при входа и периодично проверен.
• Неизменна регистрация на всички операции.
• Процедури на технологична миграция, за развитие на форматите без загуба на интегритет.
• Сигурен и проверяемо достъпно с силна аутентификация.

Прибягването до SAE, управляван от квалифициран доставчик (тип електронно архивиране с доказателствена стойност - AEVP), позволява на организациите да делегират този сложност, като се ползват от солидни договорни и нормативни гаранции.

Дигиталният сейф: допълнителна решение

Дигиталният сейф е опростена версия на SAE, ориентирана към крайния потребител. Той позволява на всеки подписващ да запази лично, защитено и достъпно копие на своите подписани документи. Този подход е особено полезен за:

• Трудови договори и допълнения (достъпни от служител).
• Общи условия на продажба, приемени електронно.
• Документи за включване на клиент (KYC, мандати SEPA).

Правни сроки за съхранение: кое налага законът

Сроката на съхранение на документите варира в зависимост от тяхната правна природа. Ето основните срокове, които трябва да знаете:

| Тип документ | Минимална правна продължителност | Правна база | |---|---|---| | Търговски договори | 5 години | Чл. L110-4 Търговски кодекс | | Данъчни документи | 6 години | Чл. L102 B LPF | | Трудови договори | 5 години след прекратяване | Трудов кодекс | | Акти със частно право | 5 години (лично действие) | Чл. 2224 Гражданския кодекс | | Счетоводни документи | 10 години | Чл. L123-22 Търговски кодекс | | Здравни данни | Минимум 20 години | Чл. R1112-7 CSP |

Тези сроци трябва да бъдат интегрирани в политиката за архивиране и параметризирани в инструментите за управление на документи.

---

Интегриране на сигурността във вашия работен поток на електронния подпис

Избор на платформа за подпис с вътрешно архивиране

Най-добрата стратегия е да изберете решение за електронна подпис, което нативно интегрира сигурно архивиране, вместо да управлявате два отделни инструмента. Основните критерии за избор са:

• Квалификация eIDAS: платформата трябва да бъде или да разчита на квалифициран доставчик на услуги на доверие (QTSP), вписан в EU Trust List.
• Съответствие на GDPR: хостване на данни в Европейския съюз, наличност на DPA (Data Processing Agreement), възможност за упражняване на правата на физическите лица.
• Сертифицирани формати архивиране: вътрешна поддержка на PAdES-LTA или еквивалент.
• Пълна пътека на одит: всеки етап от процеса на подписване трябва да бъде проследен и експортируем.
• API интеграция: за свързване на платформата с вашата GED (управление на електронни документи) или съществуващ ERP.

За сравнение на наличните решения на пазара, консултирайте нашето сравнение на решенията на електронния подпис.

Пътеката на одита: вашата най-добра защита при спор

Пътеката на одита (или audit trail) е хронологичен и неизменен дневник, проследяващ всички действия, свързани с документ: изпращане, отваряне, подписване, отказ, напомняния. Тя представлява допълнително доказателство на самия подпис.

Доказуема пътека на одита трябва да съдържа:

• Квалифицирани отпечатъци на всяко действие.
• IP адреси и потребителски агенти на подписващите.
• Идентификатори на проверка на самоличност, използвани.
• Метаданни на документа (хеш отпечатък).

При спор, често е пътеката на одита, която прави разликата пред съд, особено когато е използван простой или напреднал подпис (а не квалифициран).

Автоматизиране на напомняния за подновяване и архивиране

Ефективна политика за архивиране е преди всичко автоматизирана политика. Най-добрите практики включват:

• Автоматични предупреждения преди изтичане на сертификатите или отпечатъците.
• Работен поток за подновяване на отпечатък (timestamp renewal) преди криптографските алгоритми да станат остарели.
• Периодични преглеждания на списъка на архивираните документи, с произволна проверка на интегритета.
• Таблица на съответствието, позволяваща да се идентифицират документи, чиито сроци на съхранение се приближават до крайния срок.

Тези автоматизации са достъпни нативно в новото поколение платформи за електронна подпис, както е Certyneo за предприятия.

Приложима правна рамка за осигуряването и архивирането на подписани документи

Сигурното съхранение на электронно подписани документи се вписва в гъста нормативна рамка, чието овладяване е неопходно за всяка организация, която желае да противопостави тези документи на трети лица или да ги представи в съд.

Регламент eIDAS №910/2014 и неговите еволюции

Европейският регламент eIDAS (Електронна идентификация, удостоверяване и услуги на доверие), приложим от 1 юли 2016 г. и в процес на преглед чрез eIDAS 2.0, установява рамката на доверието за услуги на електронна подпис в Европа. Той разграничава три нива на подпис (простой, напреднал, квалифициран) и налага на квалифицирани доставчици на услуги на доверие (QTSP) строги изисквания за сигурност, одит и непрекъснатост на услугата. Член 25 признава презумпцията на неотрицание за квалифициран подпис. Член 42 регламентира услуги на квалифициран отпечатък.

Френския Гражданския кодекс: членове 1366 и 1367

Член 1366 от Гражданския кодекс разпоредя, че "електронният акт има същата доказателствена сила като акта на хартиен носител, с условието че лицето, от което произтича, могло да бъде надлежно идентифицирано и че е установен и съхранен при условия, способни да гарантират интегритета му". Член 1367 уточнява условията на валидност на електронния подпис. Отговорността за съхранението при условия, гарантиращи интегритета, лежи на организацията, която притежава документа.

GDPR №2016/679: защита на личните данни в архивите

Електронно подписаните документи систематично съдържат лични данни (самоличност на подписващия, имейл адрес, IP адрес, понякога поведенчески биометрични данни). GDPR налага правна основа за всяка обработка, ограничение на сроковете на съхранение до необходимото, и прилагане на подходящи технически и организационни мерки (член 32). В случай на нарушение на данни, засягащо архиви на подписани документи, член 33 налага уведомяване на CNIL в 72 часа.

Директива NIS2 (2022/2555/UE)

Прилагана в френското право чрез наредба през 2024 г., директива NIS2 налага на съществени и важни обекти укрепени задължения за кибербезопасност, включително осигуряване на системи за информация, обработващи чувствителни данни. Платформите за архивиране на подписани документи на засегнатите организации попадат в сферата на приложение.

Стандарти ETSI и NF Z42-013

Стандартите ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES) определят форматите на напреднала и квалифицирана електронна подпис, съответстващи на eIDAS. Стандартът NF Z42-013 / ISO 14641 представлява френския референциал за дизайн и експлоатация на система за електронно архивиране с доказателствена стойност. Съответствието с него е силно препоръчано от ANSSI и представлява солидна защита в случай на съдебна оспорване.

Санкции и рискове при несъответствие

Рисковете са множество: недопустимост на документа в съд, санкции на CNIL (до 20 милиона евро или 4% от световния обращаемост за основни нарушения на GDPR), ангажиране на договорна или деликтна отговорност на организацията, и загуба на гаранциите, предложени от доставчика на подпис, ако задълженията за съхранение не са бъди спазени.

Сценарии на използване: как организациите осигуряват своите подписани документи

Сценарий 1 — Адвокатска кантора, управляваща хиляди годишни актове

Адвокатска кантора по корпоративни въпроси със 25 сътрудници обработва средно 3000 актове и договори, подписани електронно годишно (трансакционни протоколи, мандати, акти на цесия). Сблъскана с необходимостта да представи документи, старши 7 години при данъчна проверка на клиент, кантората установява, че няколко подписи вече не са проверяеми: сертификатите са изтекли и никой архивен отпечатък (ниво PAdES-LTA) не е бил приложен.

След интегриране на решение за подпис с вътрешно архивиране в SAE, съответное на NF Z42-013, кантората се ползва от гарантирана проверяемост на 30 години. Времето за търсене и представяне на документ при спор намалява от 4 часа на по-малко от 15 минути. Асоциираните преценяват намаляване на 60% на правния риск, свързан със съхранението на документи. За повече информация относно конкретните нужди на юридическите кантори, консултирайте нашата страница, посветена на электронния подпис за юридически кантори.

Сценарий 2 — Малко и средно предприятие, управляващо договорите на доставчици и клиенти

Малко и средно предприятие в индустрията със 180 служители генерира около 400 договори на доставчици и 250 договора на клиенти, подписани електронно годишно. Неговите документи до сега се съхранява в неешифрирана споделена папка на вътрешния сървър, без пътека на одита, без зернисто управление на достъпа.

След кибинцидент (ransomware), който е шифрирал част от сървъра, няколко текущи договора трябва да бъдат подновени, генерирайки закъснения и разходи, преценени на 40 000 евро. След миграция към SaaS платформа за подпис с интегриран дигитален сейф, суверенен хостинг във Франция и георедундантни резервни копия, МСП премахва този риск. Той също се ползва от автоматични предупреждения за договорни крайни сроки. За оценка на възвращането на инвестицията от такава дейност, използвайте нашия калкулатор ROI на електронния подпис.

Сценарий 3 — Болничен комплекс, управляващ съгласия на пациенти и договори в области на човешкия фактор

Болничен комплекс около 1200 легла трябва да съхранява информирани съгласия на пациенти, подписани електронно, минимум 20 години (член R1112-7 от Кодекса на здравната служба), както и трудовите договори на 2500 служители. Множеството на документи и разнообразието на различни срокове за съхранение правили управлението ръчно невъзможно и рисково.

При внедряване на решение за електронна подпис с модул за архивиране, параметризирано по категория документ, правният отдел на комплекса автоматизира правилата за запазване: 20 години за съгласия, 5 години след прекратяване за договорите в областта на човешкия фактор, 10 години за публични поръчки. Вътрешните одити за съответствие на GDPR разкриват процент на съответствие на документи, преминаващ от 67% до 96% за по-малко от година. За специфичностите на сектора, нашето ръководство за электронния подпис в здравеопазването детайлизира приложимите нормативни ограничения.

Заключение

Осигуряването и съхранението на вашите електронно подписани документи не е периферна техническа опция: тя е правна задължение и стратегическа необходимост за всяка организация, която разчита на електронния подпис в своите бизнес процеси. Между съответствието на eIDAS, изисквания на GDPR, стандартите ETSI и сроковете на съхранение, налагани от Търговския кодекс, сложността е реална — но напълно управляема с подходящите инструменти.

Ключовете на успешна стратегия за архивиране са ясни: дълготрайни формати на подпис (PAdES-LTA), систематичен квалифициран отпечатък, сигурен и суверенен хостинг, автоматизирани правила за съхранение и пълна пътека на одита.

Certyneo нативно интегрира всички тези функции в SaaS платформа, проектирана за B2B екипи. Откройте как да защитите трайно своите подписани документи, като тествате Certyneo безплатно или като изследвате нашите цени.