Σφραγίδα ηλεκτρονική eIDAS: κρίσιμος ρόλος για τους οργανισμούς

Η σφραγίδα ηλεκτρονική προσόν είναι ένας από τους ισχυρότερους — και λιγότερο γνωστούς — μηχανισμούς που εισήχθησαν από τον κανονισμό eIDAS. Σχεδιασμένη αποκλειστικά για νομικά πρόσωπα (επιχειρήσεις, δημόσιοι οργανισμοί, ιατρικά ιδρύματα), εγγυάται την αυθεντικότητα και την ακεραιότητα ενός εγγράφου που εκδίδεται εκ μέρους ενός οργανισμού, ενώ η ηλεκτρονική υπογραφή δεσμεύει την ευθύνη ενός φυσικού προσώπου. Αυτή η θεμελιώδης διάκριση συχνά αγνοείται κατά την υλοποίηση ψηφιακών εγγραφικών διαδικασιών, εκθέτοντας τις επιχειρήσεις σε αποφεύσιμους νομικούς και λειτουργικούς κινδύνους. Σε αυτό το άρθρο, αναλύουμε τον κανονιστικό ορισμό της ηλεκτρονικής σφραγίδας, τα τρία επίπεδα εμπιστοσύνης, τις δομικές διαφορές με την υπογραφή και τα συγκεκριμένα περιβάλλοντα στα οποία γίνεται απαραίτητη.

Κανονιστικός ορισμός της ηλεκτρονικής σφραγίδας eIDAS

Τι λέει ο κανονισμός eIDAS

Ο ευρωπαϊκός κανονισμός αρ. 910/2014 (eIDAS) ορίζει τη σφραγίδα ηλεκτρονική στο άρθρο 3(25) ως « δεδομένα σε ηλεκτρονική μορφή, τα οποία είναι προσαρτημένα ή συνδεδεμένα λογικά σε άλλα δεδομένα σε ηλεκτρονική μορφή για να εγγυηθούν την προέλευση και την ακεραιότητα αυτών ». Η διαφορά με την ηλεκτρονική υπογραφή — ορισμένη στο άρθρο 3(10) — είναι δομική: η σφραγίδα συνδέεται με ένα νομικό πρόσωπο, η υπογραφή με ένα φυσικό πρόσωπο.

Συγκεκριμένα, μια ηλεκτρονική σφραγίδα που τοποθετείται σε μια τιμολόγηση ή ένα πλαίσιο συμφωνίας αποδεικνύει ότι το έγγραφο έχει πραγματικά παραχθεί από τον ίδιο τον οργανισμό, χωρίς τροποποίηση από τη στιγμή της έκδοσής του. Δεν αποδεικνύει ότι ένα συγκεκριμένο άτομο το ενέκρινε, αλλά ότι η νομική οντότητα είναι ο συγγραφέας του.

Τα τρία επίπεδα σφραγίδων eIDAS

Όπως και οι υπογραφές, το eIDAS διακρίνει τρία επίπεδα ηλεκτρονικών σφραγίδων:

• Σφραγίδα ηλεκτρονική απλή : κανένας μηχανισμός ενισχυμένης ταυτοποίησης ; περιορισμένη αποδεικτική αξία.
• Σφραγίδα ηλεκτρονική προηγμένη : συνδεδεμένη με ξεχωριστό τρόπο με το νομικό πρόσωπο δημιουργού, δημιουργημένη από δεδομένα που αυτό το νομικό πρόσωπο μπορεί να χρησιμοποιήσει αποκλειστικά στον έλεγχό του (άρθρο 36 eIDAS). Επιτρέπει τον εντοπισμό οποιασδήποτε μεταγενέστερης τροποποίησης των δεδομένων.
• Σφραγίδα ηλεκτρονική προσόν : δημιουργημένη από μια προσόν συσκευή δημιουργίας ηλεκτρονικής σφραγίδας (QESCD) και βασιζόμενη σε ένα προσόν πιστοποιητικό ηλεκτρονικής σφραγίδας που εκδίδεται από έναν προσόν πάροχο υπηρεσιών εμπιστοσύνης (QTSP) εγγεγραμμένο σε μια λίστα εμπιστοσύνης (Trusted List). Είναι το υψηλότερο επίπεδο, που επωφελείται από νομική υπόθεση ακεραιότητας σε όλα τα κράτη μέλη.

Για περισσότερα σχετικά με την ιεραρχία των επιπέδων εμπιστοσύνης και τη σχέση τους με την υπογραφή, συμβουλευθείτε τον ολοκληρωμένο οδηγό ηλεκτρονικής υπογραφής.

Σφραγίδα προσόν vs υπογραφή προσόν: οι ουσιαστικές διαφορές

Υπογράφον θέμα: νομικό πρόσωπο vs φυσικό πρόσωπο

Αυτή είναι η καρδιακή διάκριση. Η ηλεκτρονική υπογραφή προσόν (QES) μπορεί να τοποθετηθεί μόνο από ένα ταυτοποιημένο φυσικό πρόσωπο, του οποίου η ταυτότητα έχει επαληθευθεί σύμφωνα με αυστηρές διαδικασίες (πρόσωπο με πρόσωπο ή βιντεο-ταυτοποίηση που συμμορφώνεται με PVID στη Γαλλία). Η σφραγίδα ηλεκτρονική προσόν, από την άλλη, συνδέεται με το πιστοποιητικό του νομικού προσώπου: βεβαιώνει ότι ο οργανισμός είναι η πηγή του εγγράφου.

Αυτή η διάκριση έχει μεγάλες πρακτικές συνέπειες:

| Κριτήριο | Υπογραφή προσόν | Σφραγίδα προσόν | |---|---|---| | Κάτοχος | Φυσικό πρόσωπο | Νομικό πρόσωπο | | Σκοπός | Συναίνεση, δέσμευση | Αυθεντικότητα, ακεραιότητα | | Αποδεικτική αξία | Ισοδύναμη με τη χειρόγραφη υπογραφή | Υπόθεση ακεραιότητας | | Τυπική χρήση | Συμβάσεις, Π.Θ., νομικές πράξεις | Τιμολόγηση, πιστοποιητικά, εξαγωγή δεδομένων | | Απαιτούμενο πιστοποιητικό | Προσόν φυσικού προσώπου | Προσόν νομικού προσώπου (QTSP) |

Περιπτώσεις όπου η υπογραφή παραμένει υποχρεωτική

Η σφραγίδα δεν αντικαθιστά την υπογραφή σε όλα τα περιβάλλοντα. Για τις νομικές πράξεις που απαιτούν ρητή συναίνεση ενός προσώπου — σύμβαση εργασίας, πράξη εκχώρησης, μεσολάβηση πώλησης — η ηλεκτρονική υπογραφή (απλή, προηγμένη ή προσόν ανάλογα με την αξία της πράξης) παραμένει ο κατάλληλος μηχανισμός. Για να εμβαθύνετε τις περιπτώσεις χρήσης σε περιβάλλον Π.Θ. ή νομικό, μπορείτε να συμβουλευθείτε τις ειδικές σελίδες μας για την ηλεκτρονική υπογραφή για Π.Θ. και την ηλεκτρονική υπογραφή για δικηγορικές εταιρείες.

Διαλειτουργικότητα και διασυνοριακή αναγνώριση

Ένα από τα κύρια πλεονεκτήματα της προσόν σφραγίδας eIDAS είναι η αυτόματη αναγνώρισή της στα 27 κράτη μέλη της ΕΕ (άρθρο 35 eIDAS). Μια σφραγίδα που εκδίδεται από έναν γαλλικό QTSP εγγεγραμμένο στη Trusted List του κράτους αναγνωρίζεται χωρίς πρόσθετες διατυπώσεις στη Γερμανία, την Ισπανία ή την Πολωνία. Αυτή η φορητότητα είναι στρατηγική για τις βιομηχανικές ομάδες, τα γραφεία ελέγχου ή τις διαδικτυακές αγορές B2B με ευρωπαϊκή διάσταση.

Πώς να αποκτήσετε και να αναπτύξετε μια προσόν ηλεκτρονική σφραγίδα

Το προσόν πιστοποιητικό σφραγίδας: τεχνικό προαπαιτούμενο

Η απόκτηση μιας προσόν σφραγίδας περνά από την παραγγελία ενός προσόν πιστοποιητικού ηλεκτρονικής σφραγίδας από έναν QTSP (Προσόν Παροχέα Υπηρεσιών Εμπιστοσύνης). Στη Γαλλία, το ANSSI δημοσιεύει τη λίστα των προσόων παρόχων. Η διαδικασία περιλαμβάνει:

1. Επαλήθευση της νομικής ταυτότητας του νομικού προσώπου (απόσπασμα Kbis, ιδρυτικό έγγραφο, ταυτοποίηση του εντολέα).
2. Δημιουργία κρυπτογραφικών κλειδιών σε ασφαλή συσκευή υλικού (HSM — Hardware Security Module).
3. Έκδοση του πιστοποιητικού σύμφωνα με το πρότυπο ETSI EN 319 412-3 (πιστοποιητικά για νομικά πρόσωπα).
4. Ενσωμάτωση στη λύση εγγραφών μέσω API ή αποκλειστικού ενοτήτας.

Η διάρκεια ισχύος ενός προσόν πιστοποιητικού σφραγίδας είναι γενικά 1 έως 3 χρόνια, ανανεώσιμη. Το κόστος κυμαίνεται μεταξύ 300 € και 2 000 € ανάλογα με το επίπεδο της υπηρεσίας και τον όγκο των σφραγίδων που προγραμματίζεται.

Ενσωμάτωση σε ένα αυτοματοποιημένο εγγραφικό ροή

Αντίθετα με την υπογραφή που απαιτεί την ενέργεια ενός ατόμου, η σφραγίδα μπορεί να εφαρμοστεί αυτόματα σε μεγάλη κλίμακα μέσω batch ροών εργασίας. Ένα ERP που δημιουργεί 500 τιμολόγια κατά τη διάρκεια της νύχτας μπορεί να καλέσει το API της πλατφόρμας σφραγίδας για να εφαρμόσει μια προσόν σφραγίδα σε κάθε PDF πριν από την αποστολή — χωρίς ανθρώπινη παρέμβαση. Αυτή η αυτοματοποίηση είναι ένας από τους κύριους παράγοντες υιοθέτησης στους τομείς με υψηλό όγκο εγγράφων (ασφάλιση, τιμολόγηση, κανονιστικά αναφορές).

Εάν αξιολογείτε πολλές λύσεις, η σύγκριση των λύσεων ηλεκτρονικής υπογραφής θα σας επιτρέψει να προσδιορίσετε τις πλατφόρμες που υποστηρίζουν εγγενώς τις προσόες σφραγίδες.

Η υποχρεωτική ηλεκτρονική τιμολόγηση: ένας επιταχυντής υιοθέτησης

Η γαλλική μεταρρύθμιση της ηλεκτρονικής τιμολόγησης B2B (προοδευτική ανάπτυξη από το 2026 σύμφωνα με τα τελευταία κείμενα) επιβάλλει ότι οι τιμολόγηση που εκδίδονται πρέπει να αυθεντικοποιούνται και να είναι ακεραία. Η προσόν ηλεκτρονική σφραγίδα είναι ένας από τους αναγνωρισμένους μηχανισμούς για να ικανοποιήσει αυτή την απαίτηση στο πλαίσιο της Οδηγίας 2014/55/ΕΕ. Οι επιχειρήσεις που προαναγγέλουν αυτή την υποχρέωση ενσωματώνοντας ήδη τώρα μια ροή προσόον σφραγίδας εξασφαλίζουν ένα βιώσιμο λειτουργικό και κανονιστικό πλεονέκτημα.

Ασφάλεια, ιχνηλασιμότητα και αρχειοθέτηση σφραγίδων

Χρονοσήμανση προσόον και διατήρηση της απόδειξης

Μια προσόν ηλεκτρονική σφραγίδα αποκτά σημαντικά μεγαλύτερη αποδεικτική αξία όταν συνδυάζεται με έναν προσόον ηλεκτρονικό χρονοσήμανση (άρθρο 41 eIDAS). Αυτός βεβαιώνει την ύπαρξη του εγγράφου σε ένα συγκεκριμένο στιγμιότυπο, το οποίο είναι ζωτικής σημασίας για τα πλαίσια συμφωνίες, τις αναφορές ελέγχου ή τα παραδοτέα έργου που υπόκεινται σε αυστηρές συμβατικές προθεσμίες.

Για διατήρηση μακροχρόνιας (10 έως 30 χρόνια ανάλογα με τους τομείς), συνίσταται η εγκατάσταση μιας πολιτικής αρχειοθέτησης αποδεικτικής αξίας σύμφωνα με το πρότυπο NF Z 42-013, ενσωματώνοντας μηχανισμούς περιοδικής επανασφραγίδας για να αντιταχθεί στη δυσχέρεια των κρυπτογραφικών αλγορίθμων.

Ημερολόγιο ελέγχου και συμμόρφωση RGPD

Κάθε εφαρμογή σφραγίδας πρέπει να καταγραφεί σε ένα αναλλοίωτο ημερολόγιο ελέγχου: ταυτότητα του πιστοποιητικού, χρονοσήμανση, κρυπτογραφικό αποτύπωμα του εγγράφου, αποτέλεσμα της επαλήθευσης. Αυτό το ημερολόγιο αποτελεί τη σπονδυλική στήλη της απόδειξης σε περίπτωση διαφοράς. Από την άποψη RGPD, εάν το σφραγιδωμένο έγγραφο περιέχει προσωπικά δεδομένα (π.χ.: φύλλο μισθοδοσίας, συμβόλαιο πελάτη), ο οργανισμός πρέπει να βεβαιώσει ότι η επεξεργασία καλύπτεται από ένα κατάλληλο νομικό σκοπό και ότι τα δεδομένα δεν διατηρούνται πέρα από τη διάρκεια που είναι απαραίτητη.

Για να εκτιμήσετε την απόδοση επένδυσης μιας τέτοιας αρχιτεκτονικής εγγράφων, ο υπολογιστής ROI ηλεκτρονικής υπογραφής σας δίνει μια προβολή προσαρμοσμένη στον όγκό σας.

Κανονιστικό πλαίσιο που ισχύει στη προσόον ηλεκτρονική σφραγίδα

Κανονισμός eIDAS αρ. 910/2014 και eIDAS 2.0

Ο κανονισμός (ΕΕ) αρ. 910/2014 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (ονόμαζε «eIDAS») αποτελεί το ιδρυτικό κείμενο. Τα άρθρα 35 έως 40 ρυθμίζουν ειδικά τις ηλεκτρονικές σφραγίδες: υπόθεση ακεραιότητας για τις προσόες σφραγίδες (άρθρο 35), απαιτήσεις για προηγμένες σφραγίδες (άρθρο 36) και τερματικό σχέδιο των προσόων συσκευών δημιουργίας σφραγίδας (Παράρτημα II). Ο κανονισμός eIDAS 2.0 (κανονισμός (ΕΕ) 2024/1183, δημοσιευθείς στο ΕΕΕΔ στις 30 Απριλίου 2024) ενισχύει το πλαίσιο ενσωματώνοντας το πορτοφόλι ψηφιακής ταυτότητας της Ευρώπης (EUDIW) και ενοποιεί τις υποχρεώσεις των QTSP.

Γαλλικός Αστικός Κώδικας: άρθρα 1366 και 1367

Σε εσωτερικό δίκαιο, το άρθρο 1366 του Αστικού Κώδικα θέτει την αρχή της ισοδυναμίας μεταξύ της ηλεκτρονικής και της έντυπης τεκμηρίωσης, υπό τον όρο ότι « το πρόσωπο που την εκπορεύεται μπορεί να ταυτοποιηθεί σωστά και ότι έχει καθοριστεί και διατηρηθεί κατά τρόπο που εγγυάται την ακεραιότητά της ». Το άρθρο 1367 διευκρινίζει τις προϋποθέσεις της αξιόπιστης ηλεκτρονικής υπογραφής. Η σφραγίδα, η οποία δεν δεσμεύει ένα φυσικό πρόσωπο, βρίσκει τη δύναμή της στον συνδυασμό αυτών των διατάξεων με τον κανονισμό eIDAS, εφαρμόζοντας την υπόθεση του άρθρου 35 eIDAS απευθείας σε γαλλικό δίκαιο με την επίδραση του κανονισμού της Ευρωπαϊκής Ένωσης με ευθεία ισχύ.

Πρότυπα ETSI που ισχύουν

Πολλά τεχνικά πρότυπα που δημοσιεύτηκαν από το ETSI (European Telecommunications Standards Institute) είναι ευθέως σχετικά:

• ETSI EN 319 102-1 : διαδικασίες δημιουργίας και επαλήθευσης προηγμένων και προσόων σφραγίδων.
• ETSI EN 319 132-1 / -2 : μορφές XAdES που εφαρμόζονται σε σφραγίδες XML.
• ETSI EN 319 122 : μορφή CAdES για σφραγίδες σε έγγραφα CMS.
• ETSI EN 319 412-3 : προφίλ των προσόων πιστοποιητικών για νομικά πρόσωπα.
• ETSI TS 119 511 : απαιτήσεις πολιτικής και ασφάλειας για τα QTSP που διαχειρίζονται προσόα πιστοποιητικά.

Νομική ευθύνη και κίνδυνοι σε περίπτωση απουσίας προσόον σφραγίδας

Η χρήση μιας απλής ή προηγμένης σφραγίδας αντί μιας προσόον σφραγίδας σε περιβάλλον που απαιτεί το υψηλότερο επίπεδο (ευρωπαϊκές δημόσιες συμβάσεις, ρυθμιζόμενες ανταλλαγές EDI, χρηματοοικονομική αναφορά) εκθέτει τον οργανισμό σε:

• Ακυρότητα ή απαράδεκτη ανακοίνωση του εγγράφου σε περίπτωση διασυνοριακής διαφοράς.
• Αυτόματες απορρίψεις από πλατφόρμες δημιουργίας (π.χ.: Chorus Pro για δημόσια τιμολόγηση).
• Κυρώσεις RGPD εάν η απουσία ακεραιότητας εγγράφων οδηγήσει σε παραβίαση δεδομένων (άρθρο 83 RGPD, πρόστιμο έως 4% του παγκόσμιου κύκλου εργασιών).
• Δέσμευση της ευθύνης της διοίκησης σε περίπτωση βλάβης που προκαλείται σε τρίτους από ένα τροποποιημένο έγγραφο που δεν ανιχνεύθηκε.

Συγκεκριμένα σενάρια χρήσης της προσόον ηλεκτρονικής σφραγίδας

Σενάριο 1 — Εκδότης ηλεκτρονικής τιμολόγησης με υψηλό όγκο

Μια ΜΜΕ βιομηχανίας που διαχειρίζεται περίπου 3 000 τιμολόγηση προμηθευτών και πελατών ανά μήνα επιθυμεί να προαναγγέλει την υποχρέωση ηλεκτρονικής τιμολό