Cumplimiento de eIDAS para pymes: la lista de verificación completa para 2026

El reglamento europeo eIDAS (UE n°910/2014, que próximamente será modificado por eIDAS 2.0) regula la firma electrónica en toda la Unión Europea. Para una PYME, cumplir no es sólo una casilla que debe marcar: es la garantía de que sus contratos son ejecutables, que los datos de su firma están protegidos y que se protege contra riesgos legales que pueden resultar costosos. Aquí está la lista de verificación para 2026 en 12 puntos concretos para comprobar que su PYME cumple totalmente con eIDAS.

Punto 1: elige el nivel de firma correcto

Primer reflejo: mapea tus tipos de contrato y asocia un nivel objetivo. Contratos comerciales estándar (cotizaciones, órdenes de compra, NDA simples): SES es suficiente. Contratos de trabajo, arrendamientos, NDA sensibles, acuerdos estratégicos: AES mínimo, preferiblemente con OTP SMS. Actos regulados (abogado, notario, contratos públicos por encima de un umbral): QES obligatoria. Sin este mapeo, corre el riesgo de subestimar (contrato rechazado) o sobredimensionar (coste excesivo).

Punto 2: verifique la calificación del proveedor de servicios

Su proveedor de servicios debe ser un proveedor de servicios confiable (QTSP) o depender de un QTSP para los niveles AES/QES. Consulte la Lista de servicios de confianza publicada por ANSSI (eidas.ssi.gouv.fr) y la Lista europea de confianza (webgate.ec.europa.eu/tl-browser). Los QTSP de referencia franceses: Certigna, Docaposte, Certinomis, Universign. Para SES/AES a través de plataforma (Certyneo, Yousign, etc.), verifique su cumplimiento eIDAS explícitamente documentado.

Punto 3: Pruebe el registro de auditoría

Firme un sobre de prueba y recopile el registro de auditoría (generalmente un PDF separado). Debe contener: identidad y correo electrónico del firmante, marca de tiempo de cada paso (envío, apertura, validación, firma), dirección IP, agente de usuario, hash del documento, validación OTP si AES. Si falta uno de estos elementos, el valor probatorio se debilita. Certyneo proporciona el seguimiento de auditoría completo incluso con un plan gratuito.

Punto 4: controlar la marca de tiempo

La marca de tiempo debe ser emitida por una Autoridad de Sello de Tiempo (TSA) que cumpla con RFC 3161. Una marca de tiempo simplemente de un servidor NTP de la empresa no es suficiente. Abra el PDF firmado en Adobe Reader: pestaña Firmas → Detalles → Marca de tiempo. Debería ver un certificado TSA válido y un reloj certificado allí. Si el PDF no tiene una marca de tiempo certificada, retroceda en la elección del proveedor de servicios.

Punto 5: archivo durante al menos 10 años

El Código de Comercio (artículo L. 123-22) exige 10 años de almacenamiento para los documentos comerciales. El Código del Trabajo impone cinco años para los contratos de trabajo posteriores a la terminación. El archivado debe preservar la integridad (hash, sellado) y el acceso. Ideal: formato PDF/A (ISO 19005), almacenamiento dual (primario + respaldo externo), caja fuerte electrónica calificada (CFE) para máxima prueba. Certyneo archiva 10 años por defecto y ofrece exportación a socios de la CFE.

Punto 6: comprobar la localización de los datos

¿Dónde se alojan los datos de tu firma? Para una PYME francesa que se ocupa de contratos sensibles, elija hosting francés o de la UE. Solicite a su proveedor de servicios la lista de subcontratistas y su ubicación (artículo 28 RGPD). Evite soluciones sujetas a la Ley de Nube de EE. UU. para contratos estratégicos. Certyneo está alojado en Francia, sin dependencia de la Ley de Nube. Consulte nuestro artículo en /blog/cloud-act-signature-electronique.

Punto 7: articular con el RGPD

Firma y RGPD están estrechamente vinculados: cada sobre contiene datos personales (nombre, correo electrónico, IP, teléfono). Asegúrese de que su registro de tratamiento (art. 30 RGPD) incluya la firma electrónica, que los plazos de conservación sean coherentes (10 años) y que se puedan implementar los derechos de las personas (acceso, rectificación, portabilidad). Si solicita muchas firmas, se recomienda un DPO. Consulte nuestro artículo /blog/signature-electronique-rgpd.

Punto 8: identificar a los firmantes en sentido ascendente

Para una AES sólida, la identificación no comienza con la firma: comienza con la recopilación de datos. Verifique los correos electrónicos (sin alias, sin lista de correo), los números de teléfono (sin línea compartida) y realice un seguimiento de la fuente de identificación (ID para contratos importantes, KYC de cliente existente para contratos en curso). Esta debida diligencia hace que las pruebas sean sólidas en caso de disputa.

Punto 9: entrenar a los equipos

Sus equipos de ventas, recursos humanos y asuntos legales deben comprender las reglas: nunca fuerce a un firmante a utilizar un dispositivo de terceros, nunca devuelva un PDF firmado modificado, nunca pegue una imagen de firma escaneada en lugar de una firma real. Una hora de entrenamiento por equipo es suficiente para inculcar buenos reflejos. Certyneo proporciona una guía completa para compartir internamente (/recursos).

Punto 10: comprobar los contratos de los proveedores de servicios

La CGU/CGV del proveedor de servicios de firma debe: iniciar el cumplimiento de eIDAS, especificar los períodos de archivo, incluir un acuerdo de subcontratación del RGPD (art. 28), documentar a los subcontratistas, proporcionar un plan de reversibilidad en caso de cese. Solicite también SOC 2 Tipo II o equivalente si procesa grandes volúmenes. Para Certyneo, estos documentos están disponibles en /legal y /security.

Punto 11: preparar eIDAS 2.0 y el EUDI Wallet

El reglamento eIDAS 2.0 (UE 2024/1183) entra en vigor progresivamente y exige a los Estados miembros que implementen un EUDI Wallet antes de finales de 2026. Este monedero de identidad digital permitirá, en particular, el acceso al QES de forma remota sin una oficina de registro física. Prepara tu PYME: comprueba que tu proveedor de servicios dispone de una hoja de ruta de EUDI Wallet, sigue las comunicaciones de ANSSI y de la Comisión Europea. Véase /blog/eidas-2-nouveau-reglement-2026.

Punto 12: auditar anualmente

El cumplimiento no es un estatus adquirido: es un proceso continuo. Programe una auditoría anual (interna o externa) para verificar: cambios regulatorios, desarrollos de proveedores de servicios, mapeo actualizado de tipos de contratos, retención efectiva, capacitación de nuevos empleados. Una auditoría ligera le lleva medio día a una PYME y le evita muchas sorpresas. Comience creando una cuenta Certyneo gratuita en certyneo.com/signup para probar el cumplimiento en el mundo real, luego consulte nuestra guía eIDAS para profundizar más (/guide/eidas).