Signatura electrònica i norma ISO 27001: guia 2026

La signatura electrònica s'ha imposat com a columna vertebral dels processos contractuals B2B, però la seva validesa jurídica i comercial es fonamenta en un prerequisit sovint subestimat: la robustesa del sistema d'informació que la suporta. És precisament aquí on intervé la norma ISO/IEC 27001, referent internacional de gestió de seguretat de la informació. El 2026, mentre que els ciberataques dirigits a les plataformes de signatura es multipliquen i el reglament eIDAS 2.0 endueix les exigències dels prestataris de confiança, la qüestió de la certificació ISO 27001 ja no és un luxe reservat als grans comptes: es converteix en un criteri de selecció estàndard per a qualsevol desplegament de signatura electrònica en empresa.

Aquest article analitza les sinergies entre ISO 27001 i signatura electrònica, les obligacions concretes que indueix, els riscos d'una no-conformitat i les fases per obtenir o avaluar una certificació en el vostre prestatari SaaS.

Què és la norma ISO 27001 i per què és central per a la signatura electrònica?

Publicada per l'Organització Internacional de Normalització (ISO) i la Comissió Electrotècnica Internacional (IEC), la norma ISO/IEC 27001:2022 (versió revisada l'octubre de 2022) defineix les exigències per establir, implementar, mantenir i millorar contínuament un Sistema de Gestió de la Seguretat de la Informació (SGSI). Cobreix 93 controls repartits en quatre temes: controls organitzacionals, controls de persones, controls físics i controls tecnològics.

Per a la signatura electrònica, aquesta norma té una importància particular perquè aborda directament els tres pilars de la seguretat de la informació:

• Confidencialitat: protecció dels documents signats contra qualsevol accés no autoritzat
• Integritat: garantia que els documents no es modifiquen després de la signatura
• Disponibilitat: accessibilitat de les proves de signatura en cas de possible litigio

Els controls ISO 27001 directament aplicables a la signatura electrònica

Entre els 93 controls de l'annex A de la norma, diversos s'apliquen directament als fluxos de signatura:

Control 5.14 – Transferència d'informació: imposa normes formals per a la transmissió segura dels documents a signar, particularment mitjançant protocols xifrats (TLS 1.3 mínim).

Control 8.24 – Ús de la criptografia: exigeix una política de xiframent documentada que cobreixi els algoritmes utilitzats per a la generació i verificació de signatures electròniques. En la pràctica, això implica l'ús d'algoritmes conformes a les recomanacions de l'ANSSI (RSA-3072 o ECDSA-256 mínim el 2026).

Control 8.12 – Prevenció de fuites de dades (DLP): protegeix les dades personals contingudes en els documents signats, en coherència directa amb les obligacions RGPD.

Control 5.18 – Drets d'accés: garanteix que només les persones autoritzades puguin iniciar, signar o consultar un document a la plataforma.

ISO 27001 vs altres certificacions de seguretat: quina complementarietat?

ISO 27001 no és l'única norma pertinent, però constitueix la base. Es complementa amb:

• SOC 2 Type II (norma americana, sovint exigida per empreses cotitzades al NYSE)
• ISO/IEC 27017 i 27018: extensions específiques per al cloud i a la protecció de dades personals al cloud
• Qualificació eIDAS expedida per organismes acreditats (LSTI a França): obligatòria per als Prestataris de Serveis de Confiança Qualificats (PSCQ)

Un prestatari de signatura electrònica certificat ISO 27001 I qualificat eIDAS ofereix així un nivell màxim de garantia, alineat amb allò que detalla la guia completa del reglament eIDAS 2.0.

Les exigències específiques per als prestataris de signatura electrònica SaaS

Triar un SaaS de signatura electrònica certificat ISO 27001 no significa que la vostra pròpia organització estigui coberta, però condiciona fortament el nivell de risc residual que assumiu.

L'abast de certificació: què s'ha de verificar

En l'avaluació d'un proveïdor, tres preguntes són determinants:

1. L'abast de certificació cobreix el servei de signatura? Un editor pot ser certificat ISO 27001 per a les seves activitats de desenvolupament de software sense que la plataforma de signatura estigui en l'abast. Exigiu el certificat oficial i verifiqueu la declaració d'aplicabilitat (Statement of Applicability).

1. La certificació està actualitzada? ISO 27001 imposa auditories de vigilància anuals i una auditoria de renovació cada tres anys. Un certificat vençut invalida qualsevol garantia.

1. Quin organisme de certificació? A França, els organismes acreditats pel COFRAC (Bureau Veritas, SGS, BSI Group, LRQA...) expeixen certificacions reconegudes. Una autodeclaració de conformitat no té cap valor jurídic.

Gestió d'incidents i continuïtat de servei

ISO 27001 exigeix un Pla de Continuïtat d'Activitat (PCA) i un Pla de Represa d'Activitat (PRA) documentats i provats. Per a una plataforma de signatura electrònica, això es tradueix concretament en:

• Un RTO (Recovery Time Objective) inferior a 4 hores per als entorns de producció
• Un RPO (Recovery Point Objective) inferior a 1 hora, evitant qualsevol pérdua de dades de signatura
• Proves de represa documentades almenys semestralment
• Un procediment de notificació d'incidents de seguretat conforme amb l'article 33 del RGPD (màxim 72 hores)

Aquestes exigències coincideixen amb les de la directiva NIS2, transposada a la legislació francesa per la llei núm. 2024-449 de 21 de maig de 2024, que imposa a les entitats essencials i importants obligacions de notificació d'incidents i mesures de ciberseguretat reforçades.

Com la certificació ISO 27001 reforça el valor probatori de la signatura electrònica

Un punt sovint desconegut pels juristes i compradors: la solidesa jurídica d'una signatura electrònica qualificada depèn parcialment de la cadena de confiança tècnica que la subjecta. Un document signat en una plataforma la seguretat de la qual està compromesa pot veure's contestat el seu valor probatori davant d'un tribunal.

L'integritat de les dades com a fonament jurídic

L'article 1366 del Codi civil estableix que la signatura electrònica té valor de signatura manuscrita «sempre que el seu autor pugui ser deument identificat i que sigui establerta i conservada en condicions de naturalesa que en garanteixin la integritat». Aquesta condició d'integritat és precisament l'objecte central de l'ISO 27001.

En cas de litigio, un prestatari certificat ISO 27001 podrà produir:

• Els registres d'auditoria immutables provant l'històric dels accessos
• Els informes d'auditoria de certificació attestant els controls en lloc
• La política de gestió de claus criptogràfiques conforme amb l'annex A

Aquests elements constitueixen un feix de proves que reforça considerablement la posició de la part que invoca la validesa de la signatura. Per a aprofundir en el valor jurídic dels diferents nivells de signatura, consulteu el nostre comparatiu de solucions de signatura electrònica.

Arxiu probatori i durada de conservació

ISO 27001, combinada amb la norma NF Z42-020 (coffre digital) i les recomanacions de l'ETSI EN 319 162 (servei d'arxiu electrònic qualificat), permet definir una política d'arxiu que garanteix el valor probatori de les signatures en períodes prolongats — fins a 30 anys per a certs contractes comercials.

El control 8.10 – Supressió de la informació de l'ISO 27001 imposa a més procediments documentats per a la destrucció segura de les dades al final del seu cicle de vida, en coherència amb el dret a l'oblit del RGPD (article 17).

Com avaluar i exigir la conformitat ISO 27001 del vostre prestatari de signatura

En el marc d'un procés de compra o renovació de contracte SaaS, aquí hi ha un protocol d'avaluació en quatre etapes.

Etapa 1: Demanar i verificar el certificat oficial

Exigiu el certificat ISO/IEC 27001:2022 (i no la versió 2013, actualment obsoleta des d'octubre de 2025) acompanyat de l'informe d'auditoria de vigilància més recent. Verifiqueu la data de validesa en el registre de l'organisme certificador.

Etapa 2: Analitzar la declaració d'aplicabilitat (SoA)

La Statement of Applicability enumera els controls retinguts i exclosos, amb justificació. Tot control exclòs sense justificació documentada representa un risc residual a avaluar en la vostra anàlisi de riscos de prestataris.

Etapa 3: Integrar les exigències en el contracte

El vostre contracte amb el prestatari ha de comportar:

• Una clàusula de manteniment de la certificació amb obligació de notificació en cas de suspensió
• Un dret d'auditoria o accés als informes d'auditoria de tercers anuals
• SLA de seguretat alineats amb el PCA/PRA del prestatari
• Una clàusula de responsabilitat en cas d'incident de seguretat que afecti la integritat de les signatures

Etapa 4: Efectuar la vostra pròpia anàlisi de riscos

Fins i tot un prestatari certificat no cobreix els vostres riscos interns. ISO 27001 imposa a la vostra pròpia organització una anàlisi de riscos (clàusula 6.1.2) que cobreixi especialment:

• La gestió d'accessos dels col·laboradors a la plataforma de signatura
• La sensibilització contra atacs de phishing dirigits als fluxos de signatura
• La política de gestió de delegacions de signatura

Aquesta aproximació s'integra naturalment en una política global de gestió de la signatura electrònica per als equips de RRHH i jurídics, on els volums de documents procesats exposen a riscos operacionals significatius.

Marc legal aplicable a la signatura electrònica i a l'ISO 27001

La conformitat d'un sistema de signatura electrònica recolza en una superposició normativa que tota empresa B2B ha de dominar.

Codi civil, articles 1366 i 1367: L'article 1366 estableix l'equivalència entre signatura electrònica i manuscrita sota condició d'identificació de l'autor i de garantia d'integritat. L'article 1367 defineix la signatura electrònica com «l'ús d'un procediment fiable d'identificació que garanteix la seva vinculació amb l'acte al qual s'annexiona».

Reglament eIDAS núm. 910/2014 i eIDAS 2.0 (Reglament UE 2024/1183): Aplicable en tots els Estats membres de l'UE, distingeix tres nivells de signatura (simple, avançada, qualificada) i imposa als Prestataris de Serveis de Confiança Qualificats (PSCQ) auditories de conformitat per organismes acreditats. La revisió eIDAS 2.0, en aplicació progressiva des de maig de 2024, reforça les exigències de supervisió i introdueix la cartera d'identitat digital europea (EUDIW).

Reglament RGPD núm. 2016/679: Les dades personals contingudes en els documents signats (identitat del signatari, adreça IP, horodata) constitueixen dades de caràcter personal. El responsable del tractament ha d'assegurar-ne la protecció (article 5), notificar les violacions en 72 hores (article 33) i implementar la protecció by design (article 25). ISO 27001 proporciona el marc tècnic d'implementació.

Directiva NIS2 (Directiva UE 2022/2555), transposada a la legislació francesa per la llei núm. 2024-449 de 21 de maig de 2024: Les entitats essencials i importants — dels quals molts actors B2B — han d'implementar mesures de ciberseguretat proporcionades incloent la gestió de riscos associats als prestataris (article 21). Un prestatari de signatura no certificat ISO 27001 pot constituir un risc tercers en el sentit de NIS2.

Normes ETSI: La sèrie ETSI EN 319 100 defineix les exigències tècniques per a signatures electròniques qualificades (EN 319 132 per a XAdES, EN 319 122 per a CAdES, EN 319 142 per a PAdES). Aquestes normes tècniques presuposen una infraestructura de seguretat conforme als estàndards ISO 27001.

Referent ANSSI: A França, l'Agència Nacional de la Seguretat dels Sistemes d'Informació publica recomanacions sobre els algoritmes criptogràfics (referent RGS — Referent General de Seguretat) la implementació dels quals és facilitada per un SGSI certificat ISO 27001. La qualificació eIDAS dels prestataris francesos és instruïda per l'ANSSI com a autoritat de supervisió nacional.

L'absència de certificació ISO 27001 en un prestatari de signatura exposa l'empresa client a riscos de contestació del valor probatori dels documents signats, a sancions RGPD (fins al 4% del xifra de negocis mundial o 20 M€) i a una imputació de la seva conformitat NIS2.

Escenaris d'ús: ISO 27001 i signatura electrònica en la pràctica

Escenari 1 — Un despatx d'advocats empresarial de 25 col·laboradors

Un despatx especialitzat en fusió i adquisicions tracta anualment més de 600 actes que requereixen una signatura electrònica avançada o qualificada (NDA, protocols d'acord, convenis de cessió). Després d'una auditoria interna que revelava llacunes en la traçabilitat dels accessos a la plataforma de signatura, el despatx decideix acceptar només prestataris certificats ISO/IEC 27001:2022 amb un abast que cobreixi explícitament el servei de signatura.

Resultat: després de migrar a una plataforma certificada, el despatx constata una reducció del 40% del temps dedicat a diligència deguda en seguretat durant les licitacions de clients, i pot produir informes d'auditoria de certificació en 48 hores en cas de sol·licituds dels seus clients grans comptes. La durada mitjana de validació contractual disminueix de 3,2 dies a 1,4 dies.

Escenari 2 — Una empresa industrial que gestiona 1.500 contractes de prestataris per any

Una PIME industrial subcontractista Tier-1 d'un constructor automòbil ha de demostrar al seu donant d'ordres que la totalitat de la seva cadena de signatura electrònica (bons de comanda, contractes-marc, addendes) respon a les exigències ISO 27001 imposades pel referent de compra del grup. La PIME realitza una cartografia dels seus riscos de prestataris segons la clàusula 6.1.2 de la norma i identifica que el seu antic prestatari SaaS no disposava de certificació en vigor.

Després de migrar a una solució certificada i implementar un SGSI intern, la PIME obté la qualificació de prestatari requerida i assegura un contracte-marc de 4 anys. El cost de la certificació (aproximadament de 15.000 a 25.000 € per a una PIME d'aquesta mida segons els despatxos de consultoria especialitzats) s'amortitza en menys de sis mesos respecte al volum contractual assegurat.

Escenari 3 — Un grup hospitalari d'uns 1.200 llits

En el sector sanitari, els establiments de cura es troben subjectes a exigències reforçades: tractament de dades de salut (categoria especial al sentit de l'article 9 del RGPD), certificació HDS (Allotjador de Dades de Salut) i actualment qualificació NIS2 com a entitat essencial. El grup hospitalari implementa la signatura electrònica per als seus contractes de treball, les seves convencions de recerca clínica i els seus mercats públics (aproximadament 900 documents/mes).

Seleccionant un prestatari que cumula certificació ISO 27001, certificació HDS i qualificació PSCQ eIDAS, l'establiment redueix la seva exposició als riscos de no-conformitat RGPD del 60% segons el seu DPO, i es beneficia d'un arxiu probatori garantit 30 anys per als documents mèdics legals. El termini de signatura dels contractes de recerca clínica passa de 12 dies a 3,5 dies en mitjana, alliberant recursos significatius per als equips administratius.

Conclusió

El 2026, la certificació ISO/IEC 27001:2022 ja no és simplement un argument de màrqueting per als prestataris de signatura electrònica: constitueix una base tècnica i jurídica indispensable per garantir la integritat dels documents signats, la conformitat RGPD i NIS2, i el valor probatori dels compromisos contractuals. Per a les empreses B2B, exigir aquesta certificació en el seu proveïdor SaaS s'ha convertit en una obligació de diligència raonable, de la mateixa manera que la verificació de la qualificació eIDAS.

Certyneo està certificat ISO/IEC 27001:2022 amb un abast que cobreix la totalitat de la seva plataforma de signatura electrònica. Els nostres equips us poden acompanyar en l'avaluació de la vostra conformitat actual i la implementació d'un flux de signatura segur adaptat als vostres volums i al vostre sector. Demaneu una demostració gratuïta a Certyneo o exploreu els nostres preus per trobar la fórmula adaptada a la vostra organització.