Signatura electrònica al núvol o on-premise: quina opció el 2026?
Cloud SaaS o desplegament on-premise: l'opció d'allotjament de la vostra solució de signatura electrònica condiciona seguretat, costos i conformitat eIDAS. Descobriu la nostra anàlisi experta.
Équipe éditoriale Certyneo
Redactor — Certyneo · Sobre Certyneo
Introducció
Triar entre una signatura electrònica al núvol i un allotjament on-premise és una de les decisions estratègiques més estructurants per a una DSI o una direcció jurídica el 2026. Si el SaaS ha seït largament els pimes per la seva simplicitat de desplegament, les grans empreses i les organitzacions sotmeses a restriccions regulatòries sectorials encara s'interroguen sobre la pertinència d'un allotjament internalitzat. Aquest comparatiu aprofundit analitza els dos models segons cinc eixos claus: sobirania de dades, seguretat tècnica, conformitat eIDAS, cost total de possessió i agilitat empresarial. Al final d'aquest article, dispondreu d'un marc de decisió operacional per triar l'arquitectura adaptada al vostre context.
Entendre els dos models d'allotjament
La signatura electrònica al núvol (SaaS)
En un model cloud, l'editor opera la totalitat de la infraestructura: servidors, actualització, disponibilitat, còpia de seguretat i seguretat de les dades. L'empresa client accedeix a la solució mitjançant una API o una interfície web, sense cap instal·lació local. Els actors del mercat europeu — inclosos Certyneo — es basen generalment en datacenters certificats ISO 27001 localitzats a la Unió Europea (França, Alemanya, Països Baixos), garantint conformitat amb el RGPD sense esforços suplementaris al costat del client.
Els avantatges són ben coneguts: desplegament en poques hores, escalabilitat immediata, actualitzacions automàtiques que incorporen les evolucions regulatòries (eIDAS 2.0, DSP3, NIS2), i model econòmic a l'ús (OPEX). Segons l'informe Markess by Exaegis 2025, el 78 % de les empreses franceses de menys de 500 empleats privilegien actualment el SaaS per a les seves eines de desmaterialització.
El desplegament on-premise
L'on-premise consisteix a instal·lar la plataforma de signatura electrònica directament als servidors de l'empresa o en un datacenter privat que controleu. Aquest model ofereix control total sobre les dades, els fluxos i les polítiques de seguretat. Es adoptat històricament pels bancs, els asseguradors, els hospitals o les administracions públiques que tracten dades sensibles sotmeses a referentials específics (HDS, SecNumCloud, PGSSI-S).
La contraprestació és una càrrega operacional significativa: l'equip IT ha de gestionar les actualitzacions, els certificats de signatura qualificats, els HSM (Mòduls de Seguretat Hardware), l'alta disponibilitat i la vigilància regulatòria. El cost inicial (CAPEX) és elevat, amb llicències que poden superar 80 000 € per a una instal·lació d'empresa, als quals s'afegeixen els costos d'infraestructura anuals.
Sobirania de dades i conformitat regulatòria
El RGPD i la localització de dades
El reglament eIDAS i les seves implicacions per a les vostres signatures qualificades imposen que els prestadors de serveis de confiança (PSCo) siguin auditats i llistats a les llistes de confiança nacionals. Tant si opteu pel cloud com per l'on-premise, la vostra solució ha de basar-se imprescindiblement en un PSCo qualificat. La veritable qüestió RGPD es refereix a les transferències fora de la UE: un cloud allotjat en un hiperscaler americà (AWS, Azure, GCP) sense clàusules contractuals tipus (SCC) vàlides exposa l'empresa a sancions que poden arribar al 4 % de la facturació mundial.
Les solucions cloud europees com Certyneo responen a aquest requisit de forma nativa, amb servidors localitzats exclusivament a França i un DPA (Acord de Tractament de Dades) conforme a l'article 28 del RGPD proporcionat des de la suscripció.
SecNumCloud i sectors regulats
Per als operadors d'importància vital (OIV) i les organitzacions sotmeses a la doctrina Cloud al centre de la DINUM, la qualificació SecNumCloud de l'ANSSI s'imposa progressivament. El 2026, només alguns actors cloud francesos han obtingut aquesta qualificació (OVHcloud, Outscale). Les organitzacions afectades han de triar, per tant, o bé un cloud qualificat SecNumCloud, o bé mantenir un on-premise conforme al referencial ANSSI RGS v2.
Tenir en compte que NIS2, transposada en dret francés per la llei del 26 de gener de 2025, estén les obligacions de ciberseguretat a més de 15 000 entitats essencials i importants, creant una nova pressió normativa sobre la tria d'arquitectura.
Cost total de possessió: anàlisi comparatiu
L'anàlisi TCO (Cost Total de Possessió) en 5 anys revela sistemàticament un avantatge cloud per a volums inferiors a 50 000 signatures/any. Per a més, l'on-premise pot devenir competitiu si la infraestructura ja existeix. El calculador ROI de Certyneo permet estimar precisament aquest llindar de basculament segons la vostra volumetria i sector.
Un desplegament on-premise típic per a una empresa de 1 000 collaboradors representa:
- Llicència inicial: 60 000 a 120 000 €
- Infraestructura HSM i servidors dedicats: 30 000 a 50 000 €
- Manteniment anual (20 % de la llicència): 12 000 a 24 000 €/any
- Recursos IT interns: 0,5 a 1 ETP dedicat
Front a això, un cloud SaaS de la mateixa capacitat cost généralment 18 000 a 40 000 €/any tot inclòs, amb zero CAPEX.
Seguretat tècnica: avantatges i limitacions de cada model
La seguretat en entorn cloud
Contràriament a un a priori persistent, el cloud d'un editor especialitzat ofereix sovint un nivell de seguretat superior a una infraestructura on-premise d'empresa clàssica. Les raons són estructurals: els editors inverteixen massivament en equips dedicats (SOC 24/7, pen-tests trimestrals, certificacions ISO 27001 i SOC 2 Type II), cosa que està fora de l'abast de la majoria dels DSI interns.
Les bones pràctiques inclouen xifrat AES-256 en repòs i TLS 1.3 en trànsit, autenticació multifactor obligatòria, registre inmutable dels esdeveniments de signatura, i còpies de seguretat geo-redundants. El valor jurídic de la signatura electrònica es basa precisament en aquesta traçabilitat inalterable.
Els riscos propis a l'on-premise
L'on-premise genera riscos específics sovint subestimats:
- Desviació de versió: sense equip dedicat, les actualitzacions criptogràfiques (revocació de certificats, pas a SHA-3) són retardades, exposant l'empresa a signatures tècnicament inválides.
- Gestió dels HSM: un Mòdul de Seguretat Hardware mal configurat o que el firmware no s'actualitza anualment invalida les garanties de no-repudiació.
- Pla de recuperació d'activitat: la disponibilitat (SLA) d'un on-premise intern supera rarament el 99,5 %, contra el 99,95 % per a un cloud SaaS estructurat.
Per a les organitzacions que desitgen combinar sobirania i delegació operacional, el model cloud privat (Cloud Privat dedicat en un datacenter tiers certificat HDS o SecNumCloud) constitueix una via mitja pertinent.
Integració, agilitat i escalabilitat
API i interoperabilitat
Els dos models exposen actualment API REST documentades. No obstant, la velocitat d'actualització és estructuralment diferent: un editor cloud desplegat noves funcionalitats (signatura biomètrica, IA de detecció de frau documentari, suport eIDAS 2.0 Wallet) en poques setmanes, mentre que un on-premise implica un cicle de qualificació interna de 3 a 6 mesos per versió major.
Per integrar la signatura electrònica en un ERP (SAP, Oracle), un SIRH o una GED (OpenText, Alfresco), el cloud ofereix connectors preconstruïts mantinguts per l'editor. El comparatiu complet de les solucions de signatura electrònica detalla les capacitats d'integració dels principals actors del mercat.
Escalabilitat i volumetria
En cloud, l'escalabilitat és gairebé instantània: una campanya de 10 000 signatures simultànies (AG d'accionistes, desplegament RH massiu) és absorbida sense configuració prèvia. En on-premise, el sobredimensionament de la infraestructura ha d'anticipar els pics, generant costos d'immobilització.
Les organitzacions en creixement ràpid o que practiquen cicles estacionals (immobles, assegurances) es beneficien particularment de l'elasticitat cloud. La signatura electrònica en immobles, per exemple, experimenta pics de volumetria relacionats amb cicles del mercat que rendrien un on-premise sobredimensionat permanentment.
Criteris de decisió: quin model per a quin perfil?
Empreses i pimes sense restriccions sectorials específiques
Per a una pime de 10 a 500 empleats sense obligació regulatòria sectorial particular, el cloud SaaS s'imposa sense dubte: desplegament ràpid, cost controlat, conformitat eIDAS i RGPD garantida per l'editor. L'integració en les eines RH existents es facilita pels connectors natius — com il·lustra l'ús de la signatura electrònica per als equips RH que cobreix nòmines, contractes i ruptures convencionals sense infraestructura dedicada.
Grans empreses i sectors regulats
Les empreses que tracten dades de salut (HDS obligatori), dades financeres crítiques o informacions classificades han d'avaluar seriosament l'on-premise o el cloud privat qualificat. La qüestió no és tècnica sinó regulatòria: el referencial aplicable permet o no l'espai per a un cloud públic?
Una arquitectura híbrida — cloud per a les signatures corrents, on-premise per als actes qualificats més sensibles — és adoptada per diversos grans grups francesos des de 2024. Aquest model requereix orquestració rigorosa i passarel·les API sòlides.
Organitzacions públiques i administracions
Des de la circular DINUM 2023-1, les administracions de l'Estat són incitades a privilegiar les oferts cloud qualificades SecNumCloud. L'on-premise resta autoritzat per als sistemes d'informació sensibles (SIS) però ha de respectar el RGS v2 i el PGSSI-S per a les dades de salut. La signatura electrònica per als despatxos jurídics il·lustra com entitats amb forta exigència de traçabilitat troben el seu equilibri entre aquests dos models.
Marc legal aplicable a l'allotjament de la vostra solució de signatura electrònica
La tria entre cloud i on-premise no és neutra en el pla jurídic. Diversos corpus normatius encaixen directament l'arquitectura tècnica de les vostres solucions de signatura.
Codi Civil, articles 1366 i 1367: Aquestes disposicions defineixen la signatura electrònica com un procés fiable d'identificació que garanteix la seva connexió amb l'acte al qual s'adjunta. La fiabilitat del procés es presumeix fins a prova en contrari quan s'utilitza una signatura electrònica qualificada. Aquesta presumpció s'aplica independentment del mode d'allotjament, sempre que el prestador de serveis de confiança (PSCo) estigui qualificat.
Reglament eIDAS n° 910/2014 i eIDAS 2.0 (reglament UE 2024/1183): El reglament eIDAS distingeix tres nivells de signatura (simple, avançada, qualificada). La signatura qualificada requereix obligatòriament la intervenció d'un PSCo inscrit a la llista de confiança nacional (llista de confiança ANSSI per a França). Tant si la vostra solució és cloud com on-premise, ha d'interficionar amb un PSCo qualificat per emetre signatures qualificades. eIDAS 2.0, aplicable des de maig de 2024, introdueix la cartera d'identitat digital europea (EUDIW) i reforça les exigències sobre la gestió dels certificats qualificats.
Reglament RGPD n° 2016/679: L'article 28 imposa la celebració d'un DPA (contracte de subcontractació de dades) amb tot prestador cloud que tracteu dades personals per al vostre compte. L'article 44 prohibeix les transferències de dades fora de la UE sense garanties adequades (clàusules contractuals tipus o regles corporatives vinculants). En on-premise intern, aquesta obligació desapareix però l'empresa es converteix en responsable del tractament a ple dret i ha de documentar les seves mesures tècniques i organitzacionals (MTO) conformement a l'article 32.
Directiva NIS2 (directiva UE 2022/2555), transposada a França per la llei del 26 de gener de 2025: Les entitats essencials i importants (sectors energia, salut, finances, aigua, digital, transport, administració) han d'implementar mesures de ciberseguretat proporcionades, inclosa la gestió dels riscos relacionats amb la cadena de subministrament digital. Un prestador cloud de signatura electrònica constitueix un proveïdor tiers crític al sentit de NIS2: diligència deguda obligatòria, clàusules contractuals específiques i dret d'auditoria.
Normes ETSI EN 319 132 i ETSI EN 319 122: Aquestes normes defineixen els formats de signatura electrònica avançada (XAdES, PAdES, CAdES) acceptats en els mercats públics europeus i els intercanvis B2B. La conformitat amb aquests formats ha de ser verificada independentment de l'arquitectura retinguda.
Referencial General de Seguretat (RGS v2) i HDS: Per a les administracions i els allotjadors de dades de salut, el RGS v2 de l'ANSSI i la certificació HDS (Allotjador de Dades de Salut, decret del 11 de juny de 2018) s'imposen respectivament. Un cloud no certificat HDS està jurídicamente disqualificat per allotjar dades de salut de caràcter personal, fins i tot transitori durant la signatura d'un consentiment del pacient.
Riscos jurídics a anticipar: Una signatura emesa des d'un sistema no conforme pot ser contestada en justícia, especialment si la integritat del document o la identitat del signatari no pot ser provada de manera incontestable. La càrrega de la prova pesa sobre qui invoca la signatura. Una auditoria de conformitat prèvia al desplegament, cloud o on-premise, és altament recomanada.
Escenaris d'ús: cloud o on-premise segons el context empresarial
Escenari 1 — Un grup industrial de mida intermèdia gestionant 15 000 contractes anuals
Una ETI industrial (aproximadament 1 200 collaboradors, 3 llocs de producció a França) ha de desmaterialitzar la totalitat dels seus contractes proveïdors, clients i subcontractistes. Tracta en mitjana 15 000 signatures per any, amb pics en gener (renovació dels contractes-marc) i en setembre (campanyes de compra). Les seves dades industrials són sensibles però no classificades.
Després d'analitzar TCO en 5 anys, la direcció financera conclou que un cloud SaaS europeu certificat ISO 27001 és 40 % menys costós que un desplegament on-premise equivalent (economia d'escala de l'editor vs. 0,7 ETP IT dedicat internament). La DSI reté una solució cloud allotjada a França amb SLA 99,95 % i API REST documentada, integrada directament al seu ERP. Els pics estacionals són absorbits sense cost addicional. Resultat constatat després de 12 mesos: reducció del 65 % en el temps mitjà de signatura dels contractes proveïdors (de 8,3 dies a 2,9 dies), i economia anual estimada en 120 000 € als costos de tractament en paper i seguiment.
Escenari 2 — Un agrupament hospitalari de 1 200 llits sotmès a la certificació HDS
Un agrupament hospitalari públic desitja desmaterialitzar els seus consentiments de pacients, els contractes de metges lliures i els seus mercats públics. Les dades tractades inclouen informacions de salut de caràcter personal, sotmeses a la certificació HDS (Allotjador de Dades de Salut) i al PGSSI-S.
L'on-premise pur es descarta per la complexitat de manteniment dels HSM i l'absència de competències criptogràfiques internament. L'agrupament opta per un cloud privat allotjat en un prestador certificat HDS i qualificat SecNumCloud. La solució de signatura és desplegada en aquest cloud dedicat, amb aïllament de xarxa estricte i registres d'auditoria exportats cap al SIEM intern. El cost és superior al 25 % respecte a un cloud mutualitzat estàndard, però inferior al 35 % respecte a un on-premise complet. Benefici operacional: els 800 consentiments mensuals són tractats en menys de 24 hores contra 5 dies en format paper, amb traçabilitat completa conforme a les exigències de la HAS.
Escenari 3 — Un despatx jurídic de 25 collaboradors integrant la signatura al seu flux de treball quotidià
Un despatx jurídic d'afers de París tracta quotidianament actes de cessió, protocols d'acord i mandats que requereixen una signatura electrònica avançada o qualificada. La confidencialitat de les dades dels clients és una prioritat absoluta, però el despatx no disposa de cap infraestructura IT pròpia.
L'on-premise està exclosió d'emblada per raons de recursos. El despatx opta per un SaaS cloud europeu amb xifrat end-to-end, claus de xifrat controlades pel client (BYOK — Porta les Teves Pròpies Claus), i garantia contractual de no-accés a les dades per l'editor. Aquesta arquitectura anomenada "zero knowledge" satisfà tant les exigències deontològiques del Barri com les obligacions RGPD. L'integració amb el software de gestió de dossiers (via API) redueix el temps de preparació d'un acte signble de 45 minuts a 8 minuts en mitjana, és a dir un guany de productivitat del 82 % en aquesta tasca.
Conclusió
Cloud o on-premise: no hi ha resposta universal, però sí un marc de decisió estructurat. Per a la gran majoria de les empreses franceses — pimes, ETI sense restricció sectorial crítica — el cloud SaaS europeu conforme eIDAS i RGPD ofereix la millor relació entre seguretat, conformitat i cost total de possessió. L'on-premise o el cloud privat qualificat resta pertinent per als sectors regulats (salut, defensa, OIV) on referentials contraignents (HDS, SecNumCloud, RGS v2) imposen control total de la infraestructura.
El 2026, la veritable qüestió no és "cloud o on-premise" sinó "quin nivell de sobirania per a quines dades, amb quin PSCo qualificat?" Certyneo respon a aquestes exigències amb una arquitectura cloud allotjada exclusivament a França, certificada ISO 27001, conforme eIDAS 2.0 i RGPD. Descobriu les nostres ofertes i tarifes a Certyneo o contacteu el nostre equip per a una auditoria gratuïta de la vostra necessitat en signatura electrònica.
Proveu Certyneo gratuïtament
Envieu la vostra primera sobrecoberta de signatura en menys de 5 minuts. 5 sobrecobertess gratuïtes al mes, sense targeta de crèdit.
Aprofundir en el tema
Les nostres guies completes per dominar la signatura electrònica.
Articles recomanats
Aprofundiu els vostres coneixements amb aquests articles relacionats amb el tema.
Signatura electrònica: gratuïta o pagada, què triar el 2026?
Entre ofertes gratuïtes limitades i solucions pagades conformes amb eIDAS, la tria no és trivial per a una PIME. Descobreix el nostre comparatiu per decidir de manera fonamentada.
Comparativa HelloSign vs Certyneo: quin escollir el 2026?
HelloSign i Certyneo es dirigeixen als dos a empreses B2B, però els seus enfocaments difereixen radicalment. Descobreix quin realment respon als teus requisits de conformitat eIDAS i productivitat.
Planificació de chantier digital: la signatura electrònica el 2026
La planificació de chantier digital transforma la gestió de projectes de construcció el 2026. Signatura electrònica, trazabilitat i conformitat reglamentària: una guia completa per als professionals del sector.