Audit Trail Sinadura Elektronikoa: 2026ko Gida

Sarrera: zergatik audit trail sinadura elektronikoarekin elkarbanatua

EIDAS arauaren 2016ko indarrera sartzean eta eIDAS 2.0ra eboluzioan, frogantza digitala gaia zentrala bihurtu da sinadura elektronikoa erabiltzen duten erakuntzarentzat. Audit trail —edo audit pista— sinadura-prozesuko pauso bakoitzaren kronologiko eta aldatuzina izena da. Galdera funtsezko bati erantzuten dio: litigioan, badezakezu frogatu, zalantzarik gabe, zure sinatariak onartzen zuela dokumento hori, une horretan, terminal identifikatu horretatik? Gida honek 2026ko audit trail-aren egitura, legezko betebeharrak eta praktika hobenak azaltzen ditu.

---

Zer da audit trail bat sinadura elektronikoan?

Definizioa eta osagai ezinbestekoak

Audit trail bat (audit pista frantsesez) horodatua, eratua eta kriptografikoki segurua den gertaeren egunkaria da, elektronikoki sinatutako dokumentu baten ziklo osoa bera iruditzen duena. Ez da log-fichero sinplea: frogetan erabili beharreko ebidentzia-artefaktua da auzitegian, arautzailean edo kontu-auditor baten aurrean.

Audit trail baten osagai minimo egokiak honakoak dira:

• Aldeen identitatea: posta elektronikoa, OTPrako telefono zenbakia, sinadura egiterakoan IP helbidea
• Horodatza kalifikatua: eIDAS-ean akorditutako Ziurtatze Autoritate (ZA) batek emandako timestamp-a, ordegaiak bermatzen duena
• Dokumentuaren oinarri kriptografikoa: SHA-256 edo SHA-3 hash kalkulatua sinadura aurretik eta ondoren, integritatea frogatzeko
• Egindako ekintzak: dokumentua irekitzea, ikusitako orriak, kontsultaren iraupena, sinadura kliketa, posible diren uka
• Geolocalizazioa eta testuinguruaren datuak: nabigatzailearen user-agent-a, sistema eragilea, GPS koordenatuak onetsita badaude
• Ziurtatze-kateak: sinatariak eta fidagariaren zerbitzua ematen duten erakundearen X.509 ziurtagiriak (PSCo)

Audit trail sinplearen eta audit trail kalifikatuaren desberdintasuna

Audit trail guztiak ez dira berdintsuak. Sinple audit trail bat (SES maila — Simple Electronic Signature) gertaerak idazten ditu kriptografikoki sendo integritate-ziurtasunik gabe. Baja-balio juridikoa duten agibuetan (jasotze-aitortzeak, barruko txostenak) nahikoa daiteke.

Kalifikatua audit trail bat (QES maila — Qualified Electronic Signature) honakoak integratzen ditu:

• eIDAS arauaren 41. artikulua betez dagoen horodatza kalifikatua
• Egunkaria berera PSCo-ren sinadura kalifikatua duten ziurtagiria
• Luzeko file-zarpenak ETSI EN 319 122 (CAdES) edo ETSI EN 319 132 (XAdES) arauaren arabera

Desberdintzea kritikoa da: bigarren maila bakarrik zenbakia europar auzitegien aurrera, eIDAS-en 25. artikuluaren 2. paragrafoan ustiapen-justifikasionaz.

---

Pista auditoaren frogagabea: zer esan jurisprudentzia

Frogarako kargaren alderantzkaketa

Frantses zuzenbidean, Zibil Kodexuaren 1366. artikuluak sinadura elektronikoaren eta sinadura eskuzkoaren berdintasun-printzipioa planteatzen du, sinatariearen identitatea eta ekintzaren integritatea bermatzen badira. 1367. artikuluak zehazten du sinadura-prozesuen fidagarritasun-garantia. prezumitu egiten dela aurka frogarik ez denean kalifikatua sinadura bat erabiltzen bada.

Honek konkretuki esan nahi du: zure audit trail osoa, horodatua eta kriptografikoki osagarria bada, aurkako partearen zerezia fraude edo aldaketa frogatzea da — eta ez zu autentikotasuna frogatzea. Frogarako kargarenaren alderantzkaketa hori contentziosagun merkaturian edo sozialean abantaila itzela da.

Frantses auzitegiek aukeratutako irizpideak

Frantses jurisdikzioak, zehazki Kasazio Auzitegi-ak bere artxibo garaikidetan (Zibila 1., 2022), pista audit baten balioa hartzen ditu hainbat irizpidez:

1. Trazagarritasun osoa: ekintza bakoitza zehaztua egon behar da denborazko urratzirik gabe
2. Aldatezintasuna: eguzkaria babestu behar da a posteriori aldatzearen aurka (log-aren sinadura PSCo-ren bidez)
3. Hornitzailearen independentzia: kalifikatutako fidagariaren zerbitzua ematen duen erakunde baten (ANSSI-ren akreditua zein TSP) sortzutako audit trail-ak frogarabeta sendoagoa du gauzarik autodatorre batek baino
4. Irakurgarritasuna: dokumentua ulertua egon behar da legeak ez-teknikari batengatik, gertaeren azalpena argian jartzearekin

Audit trail osatugabearen arriskuak

Pista audit-garrantzigabea erakundea hainbat arriskutan jartzen du:

• Frogararen nulutasuna: auzitegiak atzera botatzea ahal du dokumentua sinataria ziurtasunez identitatea ezarri ez delarik
• Litigiaren bueltatzearen ondoriozkaketa: sinataria alegar dezake ez zuela inoiz dokumentua irakurri edo bultzada pean jarduten zuela, zuk hobetu ezintzaz
• Arautegako santxioak: arautzaileagenduen sektore ezagunak (bankua, asegurantza, osasun), audit trail egokiaren falta ACPR edo CNIL-en diruta sortu ditzake
• Hornitzailearen erantzukizuna: zure SaaS hornitzailea ez badira gagatzen pista audit-ak eskatutako arauetara, haren gain burua okertzen ahal duzu, baina merkatuariko kalte zure deya da.

---

Audit trail sendo baten arkitektura teknikoa 2026an

Horodatza kalifikatua eta kriptografikoki integritate

Horodatza kalifikatua (RFC 3161) zehar kaltekoaren oronen suburdintza da. Horodatzearen Autoritatea (TSA — Time Stamping Authority) zinegotziagiren ertzetan den tik-a sortzen du, dokumentuaren oinarri entzutea lotu zesuaren ordegaian zehazten duena millisegundora. 2026an, arauek SHA-3 algoritmoa (256 edo 512 bit) gomendatzen dute gauzatutako gaiak, SHA-256 oraindik aurten-aurteen artxiboan onartua gelditzen bada.

ETSI EN 319 401 araua (PSCo-ren legegintza berezia) eta ETSI EN 319 421 (TSA-ren legegintza) gehieneganaren eskatutako ahalak finkatzen dituzte. Arau hauekin betetzea adera garrantzitsua duten audit trail osoa 27ko Europar batzearen faksiz automatikoki aitorta daiteke.

Luzera-batearenean gordetza eta probagabearena artxibaketa

Audit trail-aren gordetza-iraupen-a sinadura elektronikoarekin loturiko litigioen prezuntio-igaro-arauarekin zuzenean bat egon behar du:

• Merkatuariko kontratua: 5 urte (zuzentza arruntaren presumazioa, zibil-kodexua. 2224. art.)
• Lanaren kontratua: kontratua bukatu ondorengo 5 urtera
• Atearen agiriak: 30 urte (immobiliariaren presumazioa)
• Finantza-dokumentua: 10 urte (merkatu-kodexua. L.123-22 art.)

Behararen luzean irakurgarritasuna bermatzeko, PDF/A-3 (ISO 19005-3) formatua gomendatzen da audit trail-aren entzuitean, WORM (Write Once Read Many) batean hemen edo zibil-satsa batean kontserbatzean. egokitzean (NF Z42-020 araua).

Integrazioa API bidezko merkatuariko lanfluxean

2026an, sinadura elektronikoen soluzio eguean API REST edo webhooks expositzen dituzte audit trail-a badaltzen eman dezakete eta existente-sistemetan integratzen (GED, ERP, SIRH). Proposamen hau hornitzaile bakarraren erabiliaren mendekota askatzen du eta froben portabilitate-egina errazten du.

Tipikoen garaikideko gertaerak API bidez: `document.created`, `signature.invited`, `document.opened`, `signature.completed`, `document.declined`, `document.expired`. Gertaera bakoitzak HMAC sinaduraz eratua haren autentikotasuna egiaztatu dadin.

Merkatu-buruen hainbat gauzaren eta audit-gaitasunez gida, bisi gure soluzio sinadura elektronikoaren alderatzailea zeinekin audit trail-gaitasun bakoitzaren detaleak.

---

Praktika hobenak zure pista auditoaren optimizaziorako enpresak

Sinadura-mailak konfiguratu ardura-maila arabera

Ez dute dokumentu guztiak trazagarritasun-maila berdina behar. Dokumentu-gobernantza politika batek honakoa defini behar du:

| Ekintza mota | Sinadura maila | Audit trail betebeharrak | |---|---|---| | NDA / kalte-itxura | Aurreratua (AES) | IP, posta elektronikoa, OTP, horodatza | | Lana kontratua | Aurreratua (AES) | + identitate-egiaztapen indartsua | | Notarial akta / jabegoa | Kalifikatua (QES) | + TSA kalifikatua, 30 urtez gordetza | | GDPR duintza | Sinplea (SES) | Timestamp, saio-IDa, testuaren bertsioa |

Segmentazio honek kostuen gehiegikeria egin dezake eta bidegabekoa jarduera juridikoa ziurtatu.

Aldatzeak ikastaroak audit-frogarabea

Audit trail-ak balioa ez du talde-aldeak ez badakite bere eguerraitasunik behar dela. Zuzena eta compliance arduradunak prestatu beharko lirateke:

• Jaisten eta interpretatu pista audit txostena
• Egiaztatu dokumentu baten kriptografikoki integritate baliozkotzeko tresna baten bidez (adibideren: eIDAS-en baliozkotzea EC atarian)
• Justizial prozedimendu edo ebatze-arbitra dossieraren probagabea prestatu

RH-ak, sinadura-kontratua eta abenduaren bolumena kudeaturikan, errentagabaren helmugatzea du. Gure gida sinadura elektronikoan RH-entzat sektoriazko espezifikotasunak azaltzen du.

Audita sarri zure hornitzailea

Zure sinadura elektroaren hornitzailea zure GDPR-etan azpikontratatua da (28. art.). Hori dela eta, egiteko duzula — eta betebehardunak — egiaztatzea dutela kontratazio-frogantza aitortzea diogun pista-auditaean. Urtean behin egiaztatu beharreko elementuak:

• ISO 27001 ziurtagira eta/edo PSCo-ren ANSSI-duen kualifikazio
• Datu-gordetzearen politika eta zerbitzaria- kokapena (UE derrigorrezkoa pertsona-datuentzat)
• Jarraikitan-eta-berrabian plan (PCA/PRA) audit trail-etara sartzea beharrean gertatzerakoan
• Enbazte-proben (pentest) eta SOC 2 II motatutako auditoraren txostenak

Gaur egun gutzuz jarangeltzen ez den soluzioa erabiltzen bazabiltza, gure Certyneora migrazioa arketiaren eta agintarako audit pista exisabeen transferentzia-bihurtzarik gabe ahaltzean.

Legezko marketa aplikagarria audit trail-en sinadura elektronikoan

Europar fundazioaren testuak

eIDAS n°910/2014 araua (Electronic IDentification, Authentication and trust Services) Europako sinadura elektronikoaren oinarri arautzailea osatzen du. Honen 25. artikuluak 2. paragrafo kalifikatutako sinadura elektronikoaren efektu juridikoak sinadurak eskatzen ditu, fidagarritasun-presunzioa sortuz zeinekin batera eta bat egiten bada. 41. artikuluak berari arauaren horodatzeari kalifikatu efektua deskribatzen du: data eta ordua zeinekin eta ondorengo integritate-zetatua ontzean.

eIDAS 2.0 berrikusketa (UE 2024/1183 araua, 2026 arte pausuz pausoz aplikagarria) betebeharrak indartzak sartzean europako zibil identitate-zapia (EUDIW) eta zerbitzua identitate-zibil ematean egitea luzatzen du.

Frantses zuzentza-natzionala

Frantses zuzentziatan, zibil-kodexuaren 1366 eta 1367 artikuluak eIDAS-en printzipioak barneratu dituzte. 1366. artikuluak elain elektronikoa eta idatzaleen berdintasun funtzionala dagoen, sinatariaren identitateak eta integritate-bermeak betetzean. 1367. artikuluak kalifikatutako sinaduren fidagarritasun-presunzioa sortu, zuzenean audit trail-ari aplikagarria.

2017ko irailaren 28ko 2017-1416 dekretua sinaduraari buruzko elektronikoa zeinekin zehazten du teknika betakuntzaren baldintzak ETSI arauei atzenean dituzte oposgarri teknika-erreferentziala.

ETSI arauak aplikagarriak

• ETSI EN 319 132 (XAdES) eta ETSI EN 319 122 (CAdES): frogarabeen luzera-zeharkarrien datuak dituzten aurreratutako sinadura-formatuak
• ETSI EN 319 401: fidagaria zerbitzua ematen duten erakundeen legegintza berezia
• ETSI EN 319 421: TSA-ren legegintza eta seguritate-eskatutakoak
• ETSI TS 119 511: sinaduraren gordetze-zerbitzuaren eskatutakoak

GDPR eta datu-babesk audit trail-en

Audit trail-ak pertsona-dateak dituzten datuak ditu GDPR n°2016/679 (IP helbidea, posta elektronikoa, geolocalizazio-datuak) entzutean. Hori dela eta, haren gordetza GDPR printzipioen batez gutxitzea (5. art. 1 c) eta finalitatetan mugaketa (5. art. 1 b). Gordetze-iraupen-a prozesatzearen (30. art.) gora jasotzean dokumentatu beharko da eta ez bildu gehiago zeinen ahal eta adibidea baitu.

Audit trail-ak ukitzen duten datu-urraketan, CNIL-etara 72 orduetan abisutzea derrigorrezkoa (33. art.). NIS2 direktiba (UE 2022/2555 direktiba, Frantsen lege-ordez **2024-449 legearekin) aurrenatik-garrantzitua eta antolatu esenzialari eteten atzizkiaren eskatutako indartzak egiten du, zeinekin audit pista garrantzitua haien sinaduraaren tresnen segurtasuna.

Audit trail-ren erabilera konkreto agiriak

Agiri 1: Akzioen kate-bihurketak kudeatzean abokatuaren bulego

Batzen eta eguneko parte-zenbakia den abokatuaren bulego ezagunak itxura osoa duten gortzak 80 akzioen zati-bihurketak edo akzioen bihurketak izaten ditu 3 eta 8 sinatariekin bakoitza gain europako herrialde sakabanatuta. Sinadura-kalifikatuaren soluzio bat dituztelako audit trail integratua osatzean, operazion bakoitzak posta aldarren beharra zeuden, kontsularen legalizazioak eta koordinazionaren koordina-joera ez du astean 4 asistent juridiko ordu batez ditu.

Kalifikatua auditoriaren soluzio bat dituzten (eIDAS EN 319 421 horodatza, PDF/A-3 gordetza NF Z42-020 zifran), bulegoak %65 gutxitze behargurtzeak itsuatuta (14 egunak 4 eguni gorakoa batez), erlejarita. Zati bihurtzea nola abutsatu zeukean argibidean zalantzari, auzitegian abokatuak auditorea behia bildu autentikotasunak erakutsi egin zuen sinatzaileak zabaltzean denbora 7 minutu 43 segundorako, bistaratua 18 orrialdeak eta klikatzea zona sinadura-sinaduretan OTP baliozkotzean bere telefonorako gordetakoan. Baliozkotzea bihurtzea lehen instantziatan uka egin zuen.

Agiri 2: PME industrialak hornitzaileen kontratu osatzen jartzea

Ehun salariagoa duten PME industrialak 350 hornitzaileen kontratu eta azpikontratu itxuratu dituzte urtean, edozein posta-kontratua (PDF skanneatuaren bidez soilik) ez du izandako horodatze-eza edo pista audit estrukturarikoa ez. Bere kontatu-auditoreen begi-bitartean, kontratua-galdetetikoa ez dute gaitu bezeroaren kontramatzea arbitrajio-formarian eta litigi merkaturian.

Aurreratutako sinadura elektroniko plataforma baten migraziodan (AES) eta automatikoki pista audit-sortzearekin ahaltzean:

• 80% gutxitzea kontratuen tratamendua-denborarekin (5 egunena aurrena egunia batez gorakoa)
• Sendoa pista aurrez funtsezko oinarria, zuzenean ERP-n API webhook bidez integratua
• Kontauen auditoreen auditorea baimenik gabe papergetze-kudean zeharragoa
• 18 hilabete batean hornitzailearen 3 litigi berreskuratzen pista auditorera direla direla pieza zuzenean

Soluzioko guztia (SaaS harpea + formakuntza) 4 hilabetean amortiztua izandako neurketa-produktibitate-emateekin.CalculadoraSI zure sorrera jakiteko ROI sinadura elektronikoaren kalkulagailu-nagusia.

Agiri 3: Ospidale-biltzea paziente-duintzen kontsentimenduak kudeatzean

600 gela ospidale-batzea zein demateriatzea behar izandako ospidale-kontsentimendu-formularioak zeinekin arautegi oso zaila (osasuneko-legia, probagabeak pertsonal arautzaileen esperimentuak, GDPR osasun-datuak). Zerezia: ez dagoela zalantzaririk paziente batek informaturik zeukela eta kontsentimenduak zeukan askatasuna, urratzirik gabe, unearren aurretik.

Audit trail aberasgarria duten sinadurasoluzio baten ezarrera (zeinekin kontsultaren dokuntzaren luzera, dokumentua atzeratu arazteko zehaztua, zihurtzapena identitate-dokumentu numerikoa) CNIL (Kliniko Enparatuen Komisioa) eta auditoreak ANSM (Farmakoen Segurtatze Agentziak) ahaldu auzitu zeuden. Pista audit 30 urtez gordetzen dira, mediku-kartela gordetzearen arauetan zeinekin, zibil-satsa zertifikatuan HDS (Osasun-Datuak Hatzaila). Osasunako sektoreako sinadura elektronikoko spezifikotasunen, bista gure osasunean sinadura elektronikoaren atala.

Amaierako adierazpena

Audit trail sinadura elektronikoaren teknika axila ez da osagaia: haren zutoin juridiko-nagusia da. 2026ko, litigi-digitala intentsifikazioa eta arautegi-eskatutakoen indartze-testuinguruan (eIDAS 2.0, NIS2, GDPR), hotz pista audit osoa izatea, horodatua, kriptografikoki osagarria eta ETSI-arauetan bezerotzen beharrean sinadura-elektron dagoen erakuntzarentzat beharrezkoa da.

Zerezia arguak: frogantze-balioa auditorean, arautegi sektorialen betebeharren adimplimentua, fraude eta gutxitzea baztertzea. Hornitzaile kalifikatua aukeratzea, sinadura-mailak arriskuak arabera konfiguratzen du eta aldatzeak bezeroan gutzuko oinarria praktika egokitako audit-pista estrategia.

Certyneo gauzakin audit trail-etan kalifikatutako hauek daramate sinadura-lanfluxu bakoitzean, luzera-artxibarekin eta API atera bidearekin. Hastearaztea Certyneoan eta aseguratzen dituzu zure sinadura-elektron frogantze-balioa gaur.