Електронен подпис: проследяемост и вътрешен одит през 2026 г.

Умножаването на дематериализираните документни потоци излага предприятията на често недооценяван риск: невъзможността да възстановят при спор или проверка пълната верига от събитията около подписването на акт. Но пълната проследяемост на електронния подпис не е просто техническо удобство — това е правното изискване, лост на вътрешния одит и решаващ аргумент пред гражданските и търговските съдилища. Тази статия изследва механизмите на проследяемост, предвидени от рамката eIDAS, тяхното използване в надежден вътрешен одит, добрите практики за съхранение на журналите на събитията и критериите за избор на решение в съответствие с нормативната уредба.

Какво е проследяемост при електронния подпис?

Компонентите на пълната одитна пътека

Одитната пътека (или audit trail) свързана с електронно подписан документ е много повече от простата времева марка. Тя включва всички документирани събития от издаването на документа до архивирането на подписа, включително всяка консултация, отказ, делегиране или междинна валидация. На практика надеждният журнал на събитията записва:

• Проверено удостоверение на подписващия: метод на удостоверяване (OTP SMS, квалифициран сертификат, цифрово самоличност eIDAS), IP адрес, отпечатък на устройството (device fingerprint).

• Квалифицирана времева марка: предоставена от акредитирана Услуга от Доверие (УД), която котва всяко действие във времето неоспоримо според стандарт ETSI EN 319 421.

• Интегритет на документа: криптографски хеш (SHA-256 или SHA-3), изчислен преди и след всяко взаимодействие, позволяващ обнаруживане на всяка промяна.

• Контекстни метаданни: браузър, език, резолюция на екрана, незадължителна геолокация с GDPR съгласие, часова зона.

Тази гранулярност е необходима, за да бъде журналът приемлив доказ пред френските и европейските трибунали. За по-подробна информация за правните основи на тези механизми консултирайте нашия пълен водач по електронния подпис.

Нива на подпис и свързаното ниво на проследяемост

Регламент eIDAS разграничава три нива на подпис — прост (SES), напреднал (AdES) и квалифициран (QES) — и всяко включва различна степен на проследяемост:

| Ниво | Минимална необходима проследяемост | Доказателствена стойност | |---|---|---| | Прост (SES) | Времева марка, IP, имейл | Обикновено предположение | | Напреднал (AdES) | Силно удостоверяване, сертификат, пълна одитна пътека | Силно (обръщане на доказателствената тежест е трудно) | | Квалифициран (QES) | Квалифициран сертификат QSCD + квалифицирана TSA | Еквивалентна на собственоръчния подпис |

Изборът на ниво трябва да се ръководи от анализа на риска, специфичен за всеки документен поток. Нашият сравнител на решенията за електронен подпис помага да идентифицирате подходящото решение за вашия контекст.

Интегриране на проследяемостта в вътрешния одитен инструмент

Картографиране на критичните документни потоци

Преди внедряване на решение за подпис, командата на вътрешния одит трябва да картографира всички чувствителни документни потоци: търговски договори, HR приложения, протоколи от заседания на съвета, преводи на суми, спогодби за конфиденциалност (NDA). За всеки поток трябва да се определи:

• Необходимото ниво на подпис в зависимост от правната стойност и свързания финансов риск.

• Включените участници и техните роли (инициатор, валидатор, подписващ, архивист).

• Продължителност на съхранението на журналите, в съответствие с приложимите давностни срокове (5 години в търговските отношения, 10 години за автентични актове).

• Условия за достъп до одитните журнали, гарантирайки разделяне на функциите.

Тази картографиране е основата на контролния референтен документ, свързан с електронния подпис. Естествено вписва се в по-широка управление на електронния подпис в предприятието.

Използване на журналите на събитията при одитни мисии

При вътрешна одитна мисия журналите на събитията, генерирани от платформата за електронен подпис, позволяват:

• Проверяване на спазването на делегирането на правомощия: кой е подписал какво, с какво ниво на правомощие, на какъв дата?

• Обнаруживане на временни аномалии: договор, подписан извън работното време, от необичайна локация или в аномално кратък период може да разкрие вътрешна измама.

• Потвърждаване на декларациите: в случай на спор, когда подписващ отрича подписването, журналът на одита предоставя противоположното техническо доказателство.

• Хранене на докладите за съответствие: GDPR (регистър на обработките), ISO 27001 (проследяемост на достъпа), отрасли на директивите (DSP2, застрахователен сектор, здравеопазване).

Важна предпазливост: журналите на събитията трябва сами да бъдат интегрални и неменяеми. Добра практика е редовно да ги отмерквате във времето и да ги съхранявате в отделен цифров сейф, отделен от системата в производство, идеално чрез електронен архив със стойност доказателство (AEVP), съответстващ на стандарт NF Z 42-013.

Автоматизиране на одитния доклад чрез API

Модерните платформи за електронен подпис експонират REST API, които позволяват автоматично извличане на данни за проследяемост и тяхното внедряване в инструментите за GRC (Governance, Risk & Compliance) на предприятието (ServiceNow, SAP GRC, IBM OpenPages и др.). Тази автоматизация значително намалява товара на вътрешните одитори и елиминира рисика от човешката грешка при консолидацията на доказателствата. Калкулатор на ROI за електронния подпис на Certyneo илюстрира измеримите печалби от производителност, свързани с това интегриране.

Съхранение и архивиране на доказателствата за подпис

Законни срокове за съхранение и давност

Съхранението на доказателствата за подпис е подчинено на няколко правни режима, които се наслояват:

• Търговско право (чл. L. 123-22 C. com.): счетоводните документи и документи за оправдание трябва да се съхранят 10 години от затварянето на периода.

• Давност на общото право (чл. 2224 C. civ.): 5 години за личните или движимите исковете, начало е денят, в който титулярят е знал или трябвал да знае фактите.

• Работно право: заплатните листи трябва да се съхранят 50 години или до 75-те години на работника.

• Здравни данни: 20 години от последното посещение (чл. R. 1112-7 CSP).

Тези срокове налагат решението за архивиране да гарантира четимостта на форматите в дълъг срок (PDF/A-3, XAdES-LTA за XML подписи) и достъпната до ключовете за дешифриране.

Формати на подписи с дълъг период на живот

Профилите XAdES-LT и XAdES-LTA (Long Term Archival), определени от стандарт ETSI EN 319 132, вграждат в подписания файл всю информация, необходима за отложена валидация: пълна верига от сертификати, отговори OCSP или CRL, времева марка на архива. Тази самостойност на документа е критична, тъй като сертификатите на органите за издаване имат ограничен период на валидност (1 до 3 години) и инфраструктурите PKI се развиват. Без този механизъм подпис, валиден днес, може да стане технически непроверяем през пет години, окончателно компрометирайки неговата доказателствена стойност.

Показатели за зрялост на проследяемостта: оценете вашата позиция

Моделът на зрялост в пет нива

За да помогнем на началниците одит и съответствие да определят своята организация, е полезно да използват градуиран модел на зрялост:

• Ниво 1 — Липсва: подписи по имейл без формализирана одитна пътека.

• Ниво 2 — Начално: базова времева марка, без сертификат, неструктурирани журнали.

• Ниво 3 — Определено: SaaS решение, съответстващо eIDAS, експортируеми журнали, съхранение 5 години.

• Ниво 4 — Управлявано: интегриране GRC, автоматични предупреждения за аномалии, AEVP, съответстващо NF Z 42-013.

• Ниво 5 — Оптимизирано: одитна пътека в реално време, AI за обнаруживане на аномалии, автоматичен доклад GDPR, ежегоден преглед на референтния документ.

Повечето френски МСП се намират между нива 2 и 3 според доклада State of Digital Trust на Adobe (2025). Големите компании на CAC 40 се стремят към ниво 4, привличани от изискванията на техните независими одитори и отрасловите регулатори.

Критерии за избор на решение за проследяемост и одит

При избор или мигриране към нова платформа за подпис, критериите за проследяемост трябва да имат тегло поне толкова, колкото ергономика или цена. Ключевите въпроси за поставяне на доставчика:

• Е ли одитният журнал неменяем (защита срещу промяна от самия издател)?

• Е ли времевата марка предоставена от квалифицирана TSA, вписана в доверителния списък eIDAS (Trust List)?

• Са ли данните за проследяемост хоствани в Европа (суверенитет, GDPR)?

• Са ли журналите експортируеми в открити формати (JSON, XML, CSV) без собствена зависимост?

• Съществува ли API за одит, позволяваща интегриране с съществуващите GRC инструменти?

• Е ли самият доставчик подложен на одит SOC 2 Type II или сертифициран ISO 27001?

Ако разглеждате смяна на решението, нашето ръководство за миграция от DocuSign или YouSign към Certyneo детайлира стъпките за запазване на непрекъснатостта на съществуващите одитни пътеки без документна прекъсване.

Приложима правна рамка за проследяемост на електронните подписи

Гражданския кодекс и доказателствена стойност

Член 1366 на Гражданския кодекс поставя основния принцип: „Електронният документ има същата доказателствена сила като писменият на хартиен носител, при условие че личността, от която произтича, може да бъде надлежно идентифицирана и че е установен и съхранен по условия, които гарантират неговия интегритет." Член 1367 уточнява, че електронният подпис „се състои в използване на надежден процес на идентификация, гарантиращ връзката му с акта, към който е приложен". Тези два члена правят проследяемост и интегритет предпоставки на приемливостта на електронното доказателство.

Регламент eIDAS № 910/2014 и eIDAS 2.0

Европейския регламент eIDAS № 910/2014 установява правната рамка на електронните подписи в Европейския съюз. Член 25 предвижда, че квалифициран електронен подпис (QES) има правен ефект еквивалентен на собственоръчен подпис във всички държави членки. Членове 26 (напреднал подпис) и 27 (трансгранично признаване) налагат точни технически изисквания за удостоверяване и интегритет, които преки се преводят в задължения за проследяемост. Регламент eIDAS 2.0 (Регламент ЕС 2024/1183, влязъл в сила на 20 май 2024) усилва тези изисквания чрез интегриране на европейския портфейл на цифрово самоличност (EUDIW) и разширяване на задълженията на Квалифицирани Услуги от Доверие.

GDPR № 2016/679 и данни за проследяемост

Журналите на одита съдържат персонални данни (IP адреси, самоличности на подписващите, поведенчески метаданни). Те следователно представляват обработка на персонални данни, подложена на GDPR. Основните задължения:

• Правна основа: законен интерес (чл. 6.1.f) или правно задължение (чл. 6.1.c), документирано в регистъра на обработките.

• Минимизиране: събиране само на данни строго необходими за целите на доказателството.

• Продължителност на съхранението: ограничена до приложимите давностни срокове, с автоматично заличаване при крайния срок.

• Сигурност: шифриране на журналите в покой и при преноса, строг контрол на достъпа (чл. 32).

• Трансфери извън ЕС: забранени без адекватни гарантии (типови договорни условия, решение за адекватност).

Стандарти ETSI и архивиране със стойност доказателство

Стандартите ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 102 (процедури за генериране и валидация) определят техническите изисквания на форматите за подписи с дълъг период на живот. Французкия стандарт NF Z 42-013 управлява системите за електронен архив със стойност доказателство (SAEVP). Всяка организация, желаеща журналите й на одита да представляват неоспоримо доказателство в дълъг срок, трябва да гарантира, че нейния доставчик или вътрешния SAE отговаря на тези референтни документи.

NIS 2 и устойчивост на инфраструктурите на доверие

Директива NIS 2 (преместена в френското право чрез закон № 2024-659 от 9 юли 2024) налага на операторите на съществени услуги и на важните единици задължения на управление на рисковете и известяване на инциденти, които експлицитно включват инфраструктурите на доверие, използвани за електронния подпис. Отказ на система за проследяемост на УД може да представлява инцидент, подлежащ на известяване на ANSSI в рамките на 24 часа.

Сценарии на употреба: проследяемост в действие

Сценарий 1 — Индустриална група със средна величина и нейните 1 200 годишни договора с доставчици

Индустриална група от около 3 500 служители, разпределена на шест места във Франция и две в Централна Европа, управлява всяка година повече от 1 200 договора с доставчици (рамкови заявки, спогодби за конфиденциалност, ценови приложения). Преди внедряване на решение за електронен подпис с интегриран одитен трейл, нейния отдел закупи съхранява подписани договори в споделена мрежна папка, без версионирано и без журнал на събитията. При независим одит, поръчан от институционален акционер, одиторът не е могъл да възстанови историята на валидация на 23% от проверяваните договори: невъзможно е да докаже, че подписващия е разполагал с необходимото делегиране на правомощия в момента на подписването.

След внедряване на платформа за напреднал подпис (AdES) с неменяеми одитни журнали, хронометрирани от квалифицирана TSA, групата разполага, за всеки договор, с PDF доклад на одитния трейл, свалящ се с един клик. При следващ одит (18 месеца по-късно), процентът на възстановяване на верижките на валидация е нараснал до 100%, и времето, посветено от одитния екип на събиране на документни доказателства, е намалял с 65%.

Сценарий 2 — Консултантска кабинета по управление (40 консултанта), подложена на GDPR изискванията на своите клиенти

Консултантска кабинета, придружаваща финансови дирекции на големи компании, е редовно одитирана от правни служби на своите клиенти, които изискват доказателство, че писма на мандат и спогодби за конфиденциалност са наистина подписани от упълномощени лица, в договорните срокове. Кабинета е използвала приме подпис по имейл (екранна снимка + PDF), без никакво твърдо доказателствено значение.

Мигрирайки към решение за квалифициран електронен подпис (QES) за най-чувствителните документи и напреднал (AdES) за оперативните задължения, кабинета сега може да предоставя на своите клиенти стандартизиран пакет на доказателствата: сертификат на подпис, доклад на одитния трейл, квалифицирана времева марка и метаданни на удостоверяване. Този пакет позволи спечелване на два тръжа, при които проследяемостта на документа е била експлицитен елиминиращ критерий, представляващ допълнителен оборот на около 180 000 € през първата година.

Сценарий 3 — Болнична групира около 1 100 легла, пред контролите на Сметния съд

Болнична групира, управляваща няколко заведения, трябва да се справя с редовни контроли на региналната сметна палата върху своите публични договори и спогодби за сътрудничество. Електронно подписаните договори трябва да могат да бъдат представени със своята пълна одитна пътека в много кратки срокове (48 до 72 часа при конвокаторност).

Заведението е организирало архив със стойност доказателство (AEVP), съответстващ на стандарт NF Z 42-013, свързана чрез API към своята платформа за подпис. Всеки подписан документ е автоматично внесен в САЕ със своя сдвоен одитен журнал. При контрол, охващащ 340 публични договора, подписани през три периода, всички всички оправдаващи документи могле да бъдат представени за по-малко от 4 часа, в сравнение с две седмици при предходния контрол. Магистратът докладчик експресно отбеляза качеството на устройството за проследяемост в синтезния си доклад.

Заключение

Пълната проследяемост на електронния подпис е престанала да е опция, запазена за големи структури: това е правно изискване, инструмент на вътрешния одит в себе си и фактор за разграничаване при обществени поръчки и проверки преди покупка. Чрез комбиниране на формати на подпис, съответстващи на стандартите ETSI, квалифицирана времева марка, архив със стойност доказателство и интегриране API със своите GRC инструменти, преобразувате всеки подпис в неоспоримо доказателство, незабавно експлоатируемо при каквито и да са контроли или спорове.

Certyneo е бил проектиран от самото начало да отговори на тези изисквания: неменяеми одитни журнали, европейска квалифицирана TSA, суверенен хостинг и документирано интегриране API. Независимо дали стартирате дематериализирането на своя начин или търсите укрепване на зрялостта на своя съществуващ инструмент, нашите екипи са налични да ви съпровождат. Поискайте персонализирана демонстрация на certyneo.com/contact и откройте как да структурирате своята документна проследяемост още днес.