Certificació ISO per a la signatura electrònica: guia 2026
ISO 27001, eIDAS, ETSI… les certificacions dels proveïdors de signatura electrònica s'han convertit en un criteri de selecció incontournable. Descobriu com comparar-les eficaçment.
Équipe éditoriale Certyneo
Redactor — Certyneo · Sobre Certyneo
La signatura electrònica s'ha imposat com a estàndard en la gestió documentaria de les empreses franceses i europees. Però darrere la simplicitat aparent d'un clic de validació s'amaga un ecosistema tècnic i regulatori de gran complexitat. El 2026, la qüestió ja no és "caldria adoptar la signatura electrònica?" sinó "quin proveïdor ofereix les garanties de seguretat i conformitat suficients per al meu context empresarial?". Les certificacions ISO — i en particular l'ISO 27001 — constitueixen una de les respostes més fiables a aquesta qüestió. Aquest article us guia a través de les principals certificacions aplicables als proveïdors de signatura electrònica, el seu abast real i els criteris a utilitzar per a una comparativa rigorosa.
Per què les certificacions ISO són decisives per a la signatura electrònica
La signatura electrònica no es redueix a una funcionalitat aplicativa. Comporta la responsabilitat jurídica de l'empresa signant, la confidencialitat de les dades tractades i la integritat a llarg termini dels documents arxivats. Per aquest motiu, les certificacions obtingudes per un proveïdor no són simples etiquetes comercials: atestiguen un nivell de maduresa segura auditat per una tercera part independent.
ISO 27001: la base incontournable de la seguretat de la informació
L'ISO/IEC 27001 és la norma internacional de referència per als sistemes de gestió de la seguretat de la informació (SGSI). Cobreix la confidencialitat, integritat i disponibilitat de les dades. Per a un proveïdor de signatura electrònica, aquesta certificació significa que la totalitat dels seus processos — de la creació del compte signant a l'arxivament del document signat — està sotmès a controls documentats, regularment auditats per un organisme acreditat (tipus LSTI, Bureau Veritas, BSI, etc.).
Concretament, l'ISO 27001 imposa al proveïdor:
- Un inventari exhaustiu dels actius informacionals i dels riscos associats
- Polítiques de control d'accés estrictes (autenticació forta, gestió de privilegis)
- Procediments de gestió d'incidents i continuïtat d'activitat
- Auditories internes regulars i una revisió de direcció anual
- Una vigilància contínua de vulnerabilitats
La versió en vigor des de 2022 (ISO/IEC 27001:2022) integra 93 mesures de seguretat agrupades en quatre temes: organitzacionals, humans, físics i tecnològics. Un proveïdor certificat en aquesta versió demostra una postura de seguretat actualitzada davant les amenaces contemporànies, especialment els atacs per ransomware i les compromissions de cadena de subministrament.
ISO 27017 i ISO 27018: les extensions cloud indispensables
La gairebé totalitat de les solucions SaaS de signatura electrònica es recolza en infraestructures cloud. En aquest context, dues extensions de la família ISO 27000 mereixen una atenció particular:
ISO/IEC 27017 proporciona directrius específiques per als serveis cloud, cobrint especialment la responsabilitat compartida entre el proveïdor i els seus subcontractants (allotjadors, tercers de confiança). Per a un comprador B2B, verificar que el proveïdor disposa d'aquesta certificació o s'hi ajusta permet validar que les dades emmagatzemades al cloud estan sotmeses als mateixos requisits de seguretat que els entorns on-premise.
ISO/IEC 27018 es dedica específicament a la protecció de dades personals al cloud. Complementa el RGPD definint pràctiques operacionals: prohibició de l'ús de les dades amb fins publicitaris sense consentiment explícit, transparència sobre subcontractants, dret a la portabilitat. Per als DPO i responsables de conformitat, aquesta certificació constitueix una garantia addicional de serietat en el tractament de les dades dels signants.
Per aprofundir el valor jurídic conferit per aquests estàndards en relació amb el dret europeu, consulteu la nostra guia sobre el valor jurídic de la signatura electrònica.
La certificació eIDAS i les normes ETSI: què significa ser "qualificat"
Més enllà de les normes ISO, el marc regulatori europeu imposa les seves pròpies exigències de conformitat per als proveïdors de serveis de confiança (PSC). El reglament eIDAS núm. 910/2014, la revisió del qual eIDAS 2.0 està en procés de transposició, distingeix tres nivells de signatura electrònica: simple, avançada i qualificada.
L'estatus de Proveïdor de Servei de Confiança Qualificat (PSCO)
Per a lliurar signatures electròniques qualificades — l'únic nivell jurídicament equivalent a una signatura manuscrita en tots els Estats membres de la UE — un proveïdor ha d'estar inscrit en la llista de confiança del seu Estat membre (a França, la llista gestionada per l'ANSSI). Aquesta qualificació es basa en una auditoria inicial realitzada per un organisme d'avaluació de la conformitat acreditat (CAB), seguida d'auditories de vigilància regulars.
Les normes tècniques subjacents es publiquen principalment per l'ETSI (Institut Europeu d'Estàndards en Telecomunicacions):
- ETSI EN 319 401: exigències generals per als PSC
- ETSI EN 319 411: política i pràctiques de certificació per a les autoritats de certificació
- ETSI EN 319 132: perfils XAdES per a la signatura XML avançada
- ETSI EN 319 122: perfils CAdES per a la signatura CMS avançada
- ETSI EN 319 162: servei de lliurament electrònic registrat
Un proveïdor certificat segons aquestes normes ETSI assegura la interoperabilitat tècnica de les seves signatures amb la totalitat de les solucions reconegudes en l'espai europeu, que és crucial per a les empreses que operen en diversos países. La nostra guia completa sobre el reglament eIDAS detalla les obligacions associades a cada nivell de qualificació.
SOC 2 Type II: el complement nord-americà a vigilar
Tot que menys comú en l'espai europeu, l'informe SOC 2 Type II (Service Organization Control) emès segons els estàndards AICPA és sovint demandant per les grans empreses, especialment les que tenen filials als Estats Units o sòcis americans. A diferència de l'ISO 27001 (certificació), el SOC 2 és un informe d'auditoria que atesta el compliment dels criteris de serveis de confiança (seguretat, disponibilitat, integritat del tractament, confidencialitat, privacitat) durant un període d'observació generalment de sis a dotze mesos. Per a una comparativa exhaustiva, verificar si el proveïdor disposa d'un SOC 2 Type II recent (menys de dotze mesos) constitueix un senyal fort de maduresa operacional.
Comparar les certificacions dels proveïdors: mètode i criteris
Davant la pluralitat de certificacions disponibles, els compradors B2B han d'adoptar una graella d'anàlisi estructurada en lloc de confiar-se únicament a les afirmacions comercials. La nostra comparativa de solucions de signatura electrònica recenseX les principals plataformes disponibles a França; aquí s'explica com avaluar el seu nivell de certificació.
Les quatre preguntes a fer sistemàticament
1. Quina és la data i l'abast exacte de la certificació? Una certificació ISO 27001 obtinguda fa tres anys i no renovada no ofereix les mateixes garanties que un certificat en vigor. Demaneu sistemàticament el certificat oficial i verifiqueu l'extensió del perímetre auditat: alguns proveïdors certifiquen únicament la seva seu social, excloent els datacenters o els equips de desenvolupament offshore.
2. Qui ha realitzat l'auditoria de certificació? L'organisme certificador ha d'estar acreditat per un membre de l'IAF (Fòrum Internacional d'Acreditació). A França, el COFRAC (Comitè Francès d'Acreditació) és l'organisme competent. Un certificat emès per un organisme no acreditat no té valor contractual o regulatori.
3. El proveïdor publica el seu informe de test de penetració anual? La certificació ISO 27001 exigeix avaluacions regulars de les vulnerabilitats, però no prescriu un format estàndard pels tests de penetració. Un proveïdor madur publica un resum executiu del seu pentest anual realitzat per una tercera part. L'ANSSI recomana recórrer a proveïdors qualificats PASSI (Proveïdor d'Auditoria de la Seguretat dels Sistemes d'Informació) per a aquest tipus de exercici.
4. Quines són les subcontractacions i les certificacions associades? Un proveïdor de signatura electrònica normalment es recolza en un allotjador cloud (AWS, Azure, OVHcloud, etc.) i de vegades en autoritats de certificació terceres. Verifiqueu que aquests subcontractants disposin ells mateixos de certificacions equivalents (ISO 27001, HDS per a dades de salut, SecNumCloud per a dades sensibles). La cadena de confiança només val si cadascun dels seus nusos està auditat.
El cas particular del referent HDS per a dades de salut
Per als establiments sanitaris, EHPAD, mutuelles o asseguradores que gestionen dades mèdiques, la certificació HDS (Allotjador de Dades de Salut) s'afegeix als requisits ISO. Des del decret del 26 de gener de 2018, tot allotjador de dades de salut de caràcter personal ha de ser certificat HDS per un organisme acreditat. Per a un proveïdor de signatura electrònica utilitzat en context mèdic — consentiment al tractament, prescripció desmaterialitzada, informe d'hospitalització — aquesta certificació és una condició sine qua non. Descobriu les especificitats de la signatura electrònica en el sector sanitari per avaluar les vostres obligacions.
L'impacte de les certificacions en la negociació contractual i la diligència deguda
Les certificacions obtingudes per un proveïdor no són únicament arguments comercials: estructuren la relació contractual i la distribució de responsabilitats entre les parts.
Clàusules contractuals a integrar sistemàticament
En negociar un contracte amb un proveïdor de signatura electrònica, diverses clàusules directament relacionades amb les certificacions mereixen una atenció particular:
- Clàusula de manteniment de certificació: el proveïdor s'obliga a mantenir les seves certificacions durant tota la durada del contracte i a notificar immediatament qualsevol retirada o suspensió.
- Clàusula d'auditoria: el client conserva el dret a realitzar o fer realitzar una auditoria de seguretat al proveïdor, en condicions definides (avís previ, perímetre, confidencialitat dels resultats).
- Clàusula de subcontractació: qualsevol modificació de la cadena de subcontractació ha de fer objecte d'una informació prèvia, amb possibilitat de resolució si el nou subcontractant no satisfà els requisits de certificació definits.
- SLA de disponibilitat: per als proveïdors certificats ISO 27001, un compromís de disponibilitat (SLA) del 99,9% mínim sobre base mensual és una expectativa raonable, amb penalitzacions financeres en cas de superació dels llindes d'indisponibilitat.
Aquests aspectes contractuals s'inscriuen en una aproximació més ampla de governança de la signatura electrònica a l'empresa, que detallarem en la nostra guia dedicada.
L'aportació de les certificacions en el marc d'una auditoria RGPD o NIS2
Des de l'entrada en vigor de la directiva NIS2 (transposada al dret francès per la llei del 15 d'abril de 2025), les entitats essencials i importants han de demostrar que els seus proveïdors crítics — incloent-hi els proveïdors de signatura electrònica — satisfan exigències mínimes de ciberseguretat. La certificació ISO 27001 d'un proveïdor constitueix una prova documentada utilitzable durant una auditoria NIS2 o una inspecció de la CNIL. Demostra especialment la implementació de l'article 32 del RGPD, que exigeix mesures tècniques i organitzacionals apropiades per garantir un nivell de seguretat adaptat al risc.
Per a les empreses que desitgin migrar d'una solució menys certificada cap a una plataforma que ofereixi garanties de conformitat superiors, la nostra guia de migració cap a Certyneo detalla les etapes i precaucions a respectar.
Marc legal aplicable a les certificacions dels proveïdors de signatura electrònica
La validesa jurídica d'una signatura electrònica es recolza en una acumulació de textos normatius europeus i nacionals, el coneixement dels quals és indispensable per avaluar correctament les certificacions d'un proveïdor.
Codi Civil, articles 1366 i 1367: Aquests articles constitueixen el fonament del dret francès de la signatura electrònica. L'article 1366 disposa que "l'escrit electrònic té la mateixa força probatòria que l'escrit en suport paper, sota la reserva que pugui ser degudament identificada la persona de la qual emana i que sigui establert i conservat en condicions de naturalesa a garantir-ne la integritat". L'article 1367 precisa que "la signatura necessària per a la perfecció d'un acte jurídic identifica el seu autor" i que, quan és electrònica, "consisteix en l'ús d'un procediment fiable d'identificació garantint el seu vincle amb l'acte al qual s'adjunta". Les certificacions ISO 27001 i les qualificacions eIDAS contribueixen directament a establir aquesta presumpció de fiabilitat.
Reglament eIDAS núm. 910/2014: Aquest reglament europeu, directament aplicable a tots els Estats membres, defineix els tres nivells de signatura electrònica (simple, avançada, qualificada) i imposa als proveïdors de serveis de confiança qualificats sotmetre's a auditories de conformitat segons les normes ETSI. El seu article 24 precisa les exigències aplicables als proveïdors qualificats, especialment l'obligació d'emplear personal qualificat i de mantenir recursos financers suficients. La revisió eIDAS 2.0 (Reglament UE 2024/1183, entrat en aplicació el 20 de maig de 2024) enforteix aquestes exigències introduint la cartella europea d'identitat digital (EUDIW) i ampliant el perímetre dels serveis de confiança reconeguts.
RGPD núm. 2016/679: Els articles 28 (subcontractant), 32 (seguretat del tractament) i 35 (anàlisi d'impacte) són directament concernits quan un proveïdor de signatura electrònica tracta dades personals per compte d'un responsable del tractament. L'article 32 exigeix especialment la pseudonimització i xifratge de les dades de caràcter personal, la capacitat de garantir la confidencialitat, integritat i resiliència dels sistemes. Una certificació ISO 27001 cobrint aquests aspectes permet satisfer parcialment aquesta obligació de demostració.
Directiva NIS2 (UE 2022/2555, transposada per la llei francesa del 15 d'abril de 2025): Imposa a les entitats essencials i importants gestionar els riscos vinculats a la seva cadena de subministrament digital, incloent-hi els seus proveïdors de signatura electrònica. L'article 21 de NIS2 llista mesures mínimes de ciberseguretat de les quals diverses coincideixen directament amb les exigències de l'ISO 27001.
Normes ETSI: Les normes EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 162 defineixen les exigències tècniques per als proveïdors de serveis de confiança qualificats. El seu compliment és auditat per organismes d'avaluació acreditats abans de qualsevol inscripció en les llistes de confiança nacionals.
Responsabilitat en cas de defecte de certificació: Un proveïdor no certificat que pateix una violació de dades comportant la compromissió de signatures electròniques comporta la seva responsabilitat contractual i delictual. Per al client, l'absència de verificació prèvia de les certificacions pot ser retinguda com a falta en la gestió dels riscos cyber, susceptible d'impactar la cobertura assegurada cyber.
Escenaris d'ús: certificacions ISO a la pràctica
Les certificacions ISO no són abstraccions teòriques. Aquí hi ha tres escenaris concrets il·lustrant el seu impacte operacional en contextos empresarials variats.
Escenari 1: Un despatx d'advocats d'afers seleccionant el seu proveïdor de signatura
Un despatx d'advocats d'afers d'una vintena de col·laboradors tracta anualment diversos centenars d'actes sensibles: cessions de participacions, pactes d'associats, acords de confidencialitat. El responsable informàtic ha de justificar la seva elecció de proveïdor davant dels socis i dels clients grans comptes, que exigeixen contractualment que les eines numèriques utilitzades estiguin certificades ISO 27001.
Apoderar-se de la certificació ISO 27001:2022 del proveïdor seleccionat, el despatx pot produir una attestació de conformitat durant les diligències clients. L'auditoria de renovació anual constitueix també un argument durant els concursos, on la seguretat de les dades s'avalua sistemàticament. Resultat constatat en aquest tipus d'estructura: reducció del 60 al 70% del temps dedicat a preguntes de seguretat durant les negociacions comercials, i eliminació de dos incidents relacionats amb signatures no conformes durant un període de divuit mesos.
Escenari 2: Una PME industrial gestionant contractes amb proveïdors internacionalment
Una PME industrial d'aproximadament 150 treballadors gestionant prop de 300 contractes amb proveïdors anuals, dels quals una part significativa amb sòcis alemanys i holandesos, ha de garantir que les seves signatures electròniques són reconegudes en aquests países. La certificació eIDAS del seu proveïdor — inscrit en la llista de confiança francesa i proposant signatures avançades conformes ETSI EN 319 132 — garanteix la interoperabilitat jurídica en l'espai europeu.
En paral·lel, la certificació ISO 27001 del proveïdor és exigida pel departament de compres de diversos dels seus clients grans comptes durant les auditories de proveïdors anuals. L'empresa estima haver evitat dues requalificacions contractuals (pas a signatura manuscrita per no-conformitat) representant un cost evitat d'aproximadament 15.000 a 20.000 euros en terminis i despeses logístiques, durant dotze mesos.
Escenari 3: Una agrupació hospitalària integrant la signatura electrònica en els seus processos de RR.HH. i mèdics
Una agrupació hospitalària d'aproximadament 600 llits desitja desmaterialitzar tant els seus contractes de treball (personal sanitari, interimaris mèdics) com els seus consentiments als tractaments digitals. Dues famílies de certificacions es demostren indispensables: l'ISO 27001 per a la seguretat global del proveïdor, i la certificació HDS (Allotjador de Dades de Salut) per a la part de tractament de dades mèdiques.
L'agrupació selecciona un proveïdor que disposa de les dues certificacions, el que li permet cobrir la totalitat dels seus casos d'ús en un contrate únic complint als requisits de l'Agència de la Imatge en Salut (ANS). El guany de productivitat mesurat en els processos de RR.HH. (contractes d'interimaris mèdics signats en menys de dues hores contra dues a tres dies en versió paper) representa un estalvi estimat del 40% en els costos de gestió administrativa associats, és a dir, un valor anual de l'ordre de 80.000 a 120.000 euros per a un volum de 1.200 contractes signats anualment.
Conclusió
Les certificacions ISO 27001, ISO 27017, ISO 27018 i les qualificacions eIDAS no són simples insígnies mostrades en una pàgina comercial: constitueixen un sòcol de garanties auditades, regularment verificades, que comprometen la responsabilitat del proveïdor i protegeixen jurídicament l'empresa cliente. El 2026, davant la sofisticació creixent de les amenaces cyber i l'endureciment del marc regulatori europeu (NIS2, eIDAS 2.0), triar un proveïdor de signatura electrònica certificat ja no és una opció sinó una exigència de governança.
Per comparar objectivament els proveïdors disponibles en el mercat francès, apoderar-vos dels quatre criteris claus identificats en aquest article: abast exacte de la certificació, acreditació de l'organisme auditor, transparència en la cadena de subcontractació i clàusules contractuals de manteniment. Certyneo respon a la totalitat d'aquestes exigències i us acompanya en la vostra adequació a la conformitat. Contacteu el nostre equip per obtenir una auditoria de la vostra situació actual i descobrir com passar a una signatura electrònica plenament certificada.
Proveu Certyneo gratuïtament
Envieu la vostra primera sobrecoberta de signatura en menys de 5 minuts. 5 sobrecobertess gratuïtes al mes, sense targeta de crèdit.
Aprofundir en el tema
Les nostres guies completes per dominar la signatura electrònica.
Articles recomanats
Aprofundiu els vostres coneixements amb aquests articles relacionats amb el tema.
Comparativa Skribble vs Oodrive: quina solució triar el 20...
Skribble o Oodrive? Descubre el nostre anàlisi expert de les dues plataformes de signatura electrònica per triar la solució més conforme amb les vostres necessitats B2B el 2026.
Signatura electrònica al núvol o on-premise: quina opció el 2026?
Cloud SaaS o desplegament on-premise: l'opció d'allotjament de la vostra solució de signatura electrònica condiciona seguretat, costos i conformitat eIDAS. Descobriu la nostra anàlisi experta.
Signatura electrònica: gratuïta o pagada, què triar el 2026?
Entre ofertes gratuïtes limitades i solucions pagades conformes amb eIDAS, la tria no és trivial per a una PIME. Descobreix el nostre comparatiu per decidir de manera fonamentada.