Joan eduki nagusira
Certyneo

ISO ziurtagiria elektronikoko sinaturarako: 2026. urteko gidaliburua

ISO 27001, eIDAS, ETSI… elektronikoko sinadura-prestariek lortutako ziurtagiriak hautaketa-irizpide ezinbestekoa bihurtu dira. Ikusi nola alderatu ditzakezun eraginkortasunez.

Équipe éditoriale Certyneo10 min irakurtzea

Équipe éditoriale Certyneo

Redaktore — Certyneo · Certyneo-ri buruz

Elektronikoko sinadura estandar bihurtu da Frantziako eta Europako enpresen dokumentu-kudeaketarako. Baina balidazio-klik baten itxura sinplean, teknika eta erregelamenduko ekosistema konplexua dago. 2026an, galdera ez da "elektronikoko sinadura hartu behar dut?" baizik "zein prestarik segurtasun-eta egokitasun-bermearen garantiak gehiago ditu nire negozio-testuingururako?". ISO ziurtagiriak — bereziki ISO 27001 — galdera horren erantzulanik fidagarrienak dira. Artikulu honek elektronikoko sinadura-prestariei aplikagarri diren ziurtagiri nagusien, haien altzairaren benetako zehaztasuna eta alderaketa zorrotza egiteko irizpideak azaltzen dizkit.

Zergatik dira garrantzitsua ISO ziurtagiriak elektronikoko sinaturarako

Elektronikoko sinadura ez da besterik aplikazio-funtzionalitate gisako gauza. Sinatzailea den enpresen juridiko-ardura, landu diren datuak babestu eta arkibatutako dokumentuen osotasuna gaur egunean. Hortaz, prestarik lortutako ziurtagiriak ez dira merkatu-etiketak besterik: auditoretza independente baten aldetik audituaren segurtasun-maduratze maila egiaztatzen dute.

ISO 27001: informazio-segurtasunaren oinarri ezinbestekoa

ISO/IEC 27001 informazio-segurtasun kudeaketa sistemenaren erreferentzia norma internazionala da (SMSI). Datuak sekretuari, osotasunari eta eskuragarritasunari buruz aritzen da. Elektronikoko sinadura-prestaritik, ziurtagiri honek esan nahi du bere prozesu osoa — sinatzaile kontua sortzetik sinaturatako dokumentu arkibatzeraino — akreditaturiko erakunde batek (LSTI, Bureau Veritas, BSI bezalakoa) airez aritzen den doitutako kontrol sotiletan daude.

Praktikan, ISO 27001 prestariri behartzen dio:

  • Informazio aktibo osoa eta haien arriskuaren katalogoa
  • Sarrera-kontrol hertsiak (autentifikazio bizia, burujabetasun-kudeaketa)
  • Intzidenteen eta jardun-kontinuitatearen kudeaketa prozedura
  • Noizean noizean barne auditoria eta urtaroetako zuzendaritza-araketa
  • Kaltea egiteko ahalemanaren gainean jarraitutako begirada

2022tik indarrean dauden bertsiotik (ISO/IEC 27001:2022) 93 segurtasun-neurri ditugu lau gaian antolatu: antolakuntzakoak, gizakizkoak, fisikoak eta teknologikoak. Bertsio honetan ziurtagiritutako prestaria ransomware erasoak eta horniduraren katea enpresa egoera gaur egunean segurtasun postura aurrelaria erakusten dute.

ISO 27017 eta ISO 27018: ezinbesteko hedapen-hedapen

Elektronikoko sinadura SaaS soluzioen ia totalak hodei-azpiegituretan oinarritzen dira. Testuinguru honetan, ISO 27000 familiararen bi zabalkuntzak jakintzaren arretaren beharra dute:

ISO/IEC 27017 hodei-zerbitzuei neur zehatzak eskaintzen ditu, bertan prestarien eta haien azpisartzainen arteko ardura partzialaren ardura (ostalaria, hirutiar konfiantzazko) barne. B2B erosle batera, prestariak ziurtagiri hau duala edo hori jarraitua egiaztatzeak hodei-datuak ingurune berdinetan segurtasun berdinetan jarri diren bezala egiaztatzea ahalbidetzen dizu.

ISO/IEC 27018 hodeian dauden datu pertsonaleen babesa zehatzki arditzen ditu. RGPDa osatzen du eragiketen praktika zehatzak zehazten: hirugarrenaren datu-erabilerarik ez baimen espliziturik gabe, iragarki-xedean, garbikunea azpisartzeetan, datuaren eroankortasun-eskubidean. DPO eta egokitasun-ardura duten dirigentzientzat, ziurtagiri honek signatarioen datuak tratatzean seriozotasun handiagoa bermatzen du.

Estandal hauen benetako balioa Europako zuzentarauarekin lotzeko, begira gure elektronikoko sinaturaren benetako balioari buruzko gidaliburua.

eIDAS ziurtagiria eta ETSI arauak: zer nahi du "kualifikatua" izatea

ISO arauez harago, Europako erregelamendua bere existitasun-irizpide berak ditu konfiantzazko zerbitzuen prestarientzat (PSCo). eIDAS 910/2014 erregelamendua, zeinaren eIDAS 2.0 berrikusketa abian dago, elektronikoko sinadura hiru mailatara bereizten ditu: sinplea, aurreratua eta kualifikatua.

Kualifikatuaren Zerbitzua Prestari Dagoen Estatus (PSCO)

Elektronikoko sinadura kalifikatu doa eskaini ahal izateko — Estatuko Europar Batasunean sinadura eskuzabalez juridiko berdina — prestaril bere estatu-kideko konfiantzazko zerrendan inskribatzea behar du (Frantzian, ANSSI-ak kudeaturiko zerrenda). Kualifikazio hau akreditaturiko egokitasun-ebaluazio organismo batek (CAB) egindako hasierako auditorioan, eta gero airez egindako jarraitze-auditorioan oinarritzen da.

Azpian dauden norma teknikoak batez ere ETSIak (Europako Telekomunikazio Estandar Institutua) argitaratzen ditu:

  • ETSI EN 319 401: PSCoentzako ohiko irizpideak
  • ETSI EN 319 411: ziurtagiri-autorintatearen politika eta praktika
  • ETSI EN 319 132: XAdES profila XML sinadura aurreratarako
  • ETSI EN 319 122: CAdES profila CMS sinadura aurreratarako
  • ETSI EN 319 162: erregistraturiko elektroniko bidezko bidaltze-zerbitzua

ETSI normeetan ziurtagiritutako prestaria bere sinadura teknika-interoperabilitatea Europako lurralde osoan onartu diren soluzioekin bermatzen du, zein garrantzitsua den hainbat herritan ari diren enpresen aitzinean. Gure eIDAS erregelamenduri buruzko gida osoa kualifikazio maila batzuean loturiko obligazioak azaltzen ditu.

SOC 2 Mota II: iparraldean-amerikar osagaia ikustezko

Europako lurraldeetan ez bada ere arrunta, AICPA estandarren arabera egindako SOC 2 Mota II txostena askotan Estatubako estatu handiko enpresen aldetik eskatzen da, batez ere Estaturren filialak edo amerikar soziak dituztenetan. ISO 27001 (ziurtagiria) ez bezala, SOC 2 txostena auditoriaren txostena da zerbitzuaren kudearen estandarren aintzapenaren erabakia (segurtasun, eskuragarritasun, tratamenduko osotasun, sekretu, pribatutasun) batez ere sei eta hamabost hilabete aniztasun behaketa-periodotan. Alderaketa osagarri aritastarentzat, prestariak SOC 2 Mota II denboran zehar (hamabost hilabetetan gutxiago) gerora erran duen aldetik landra abiadutzatzen da operazio-adinaren seinale indartsua.

Prestarien ziurtagiriak alderatzea: metodoa eta irizpideak

Ziurtagiri anitzen aurrean, B2B erosleak merkatari-argaren soilik fidatzea baino egitura ariketa analisi izatea behar dute. Gure elektronikoko sinadura-soluzioen alderaketa Frantzian dauden plataforma nagusiak zerrenda ditu; hona nola haien ziurtagiri maila ebaluatu.

Sistematikoki egin beharreko lau galera

1. Zein data eta portaera zehatza du ziurtagiriak? Hirutik gorago aurten ISO 27001 ziurtagiria eta ez berritua, indarrean dagoena baino bermerik ez du. Sistemikoki eskatu ziurtagiri ofiziala eta berrikustatu auditoriaren perimetroa: batzuk prestariak bere burua soilik ziurtagiritzen dute, etxeak edo gara-talde itsasontziak bazterturik.

2. Nork egin zuen ziurtagiri auditoria? Ziurtagiri organeak bere burua IAFaren kide batek (International Accreditation Forum) akreditatu beharra du. Frantzian, COFRAC (Frantziako Akreditazio Batzordea) bide eskumena den organea da. Akreditaturiko ez den organoak egindako ziurtagiri ez du kontratuan edo erregelamendu balioa.

3. Prestarik urtaroa sareak auditoria bidezko sareak argitara dituzte? ISO 27001 ziurtagiriak kalte-ebaluazio airez baliotzen ditu, baina ez daude sare-auditoria estandarentzat. Prestari heldua urtean pentest batean egindako eta hirutiar batek egindako exekutiboen laburpena argitaratzen du. ANSIak PASSI kualifikatuak (Informazio Sistema Segurtasun Auditoriaren Prestarien) erabili beharren gomendatzen ditu sailketa mota horrentzat.

4. Zein dira azpisartzen diren eta haien loturiko ziurtagiriak? Elektronikoko sinadura prestaria normalean hodei ostalari batek (AWS, Azure, OVHcloud, etab.) eta batzuetan hirutiar ziurtagiri-autoritateek laguntzen dute. Egiaztatu azpisarte hoiek bere ziurtagiri berdina duten (ISO 27001, HDS osasun-datuentzat, SecNumCloud datu sentigarrientarako). Konfiantzaren kateak balio du baldin eta bere edur mota aztertua ez bada.

HDS erreferentzia berezikoa osasun-datuetarako

Osasun-egoitza, EHPAD, mutualak edo aholkulariak medikuntza-datuak kudeatzean, HDS ziurtagiria (Osasun-Datuen Ostalaria) ISO irizpideari gehituko dute. 2018ko urtaroa 26tik, osasun-datu-datuak kudeatzea akreditaturiko erakunde batek HDS ziurtagirian jarri beharko dute. Elektronikoko sinadura prestaritik medikuntza-testuinguruan erabiltzen badena — osasun konsentimendua, agindua desmaterializatuta, ospitaleko itzulketa kontua — ziurtagiri honek baldintza ezinbestekoa da. Ikertu elektronikoko sinadura osasun-sektorean zure obligazioak ebaluatzeko.

Ziurtagirien eragina kontratugile negoziazioan eta due diligence-n

Prestarik lortutako ziurtagiriak ez dira merkatu argumentu soilak: kontratugile harremana eta ardura-banaketa egituratzaten dute partaidearen artean.

Kontratugile klausulak sistematikoki sartu beharrekoak

Elektronikoko sinadura prestakin kontratua negoziatzen eta, ziurtagiriekin zuzenean loturik dauden honako klaususak jakintzaren aretara eramaten dute:

  • Ziurtagiri mantendiarearen klausiela: prestarik ziurtagiriak kontratu-denboraldia osoan mantentze konpromiso hartzen du eta itzulketa edo suspentzio osoaren berri azkarkortasunean ematen du.
  • Audit-klausiela: bezeroak prestariak auditoria segurtasun bat egiteko edo legea jarraitu beharrak (aukera aurretik, perimetroa, emaitzen sekretak) zehaztuta.
  • Azpisarte-klausiela: azpisarte-katean aldaketa osoa bezeroan aurretiko informazioa jarri beharko du, itzulketa aukera bada azpisarte berria ziurtagiri irizpideak ez badio.
  • Eskuragarritasunaren SLA: ISO 27001 ziurtagiritutako prestarientzat, eskuragarritasun konpromisoa (SLA) 99,9% gutxienez hilekaean oinarri batean itxaropena dela, eskuragarritasun-atalen gainean pentsa duten penalizazioak dituela.

Aspektu kontratugile hauek enpresen elektronikoko sinadura gobernantzaren ikuspuntu zabalago batean sartzen dira, zein gidaliburuan azaltzen diren.

Ziurtagirien ekarpen RGPD edo NIS2 auditoriaren testuinguruan

NIS2 direktibaren sarrera indarrean (Frantziako legearen bidez transposatuak 2025eko apirilaren 15ean), esanahi eta garrantzia handiko entitateek beren kritikoaren prestarik — elektronikoko sinadura-prestariak barne — cybersegurtasun irizpide gutxienekoak betetzea egiazta dezakete. Prestariaren ISO 27001 ziurtagiria NIS2 auditorioan edo CNIL ikustenean erabilgarri dokumentu froga osoa da. Batez ere RGPD-ren 32. artikulua inplementazioa erakustzen ditu, zeinak arriskuari egokitutako segurtasun maila bermatzeko neurri teknika eta antolakuntza egokiak agintzak.

Enpresen segurtasun-gutxiagoko soluzioa besarkatuetara migratzen ari dena osoa osoa, gure Certyneoera migrazioa gida urrats eta zaintza jarduaketa detailatu ditu.

Elektronikoko sinadura-prestarien ziurtagiriei aplikaturiko legezko esparrua

Elektronikoko sinaduraren juridiko balioa Europako eta nazioetako arau normatiboa osoeta osoan oinarritzen da, zeinaren adimendua prestarien ziurtagiriak ondo ebaluatzeko ezinbestekoa den.

Zibil Kodea, 1366 eta 1367 artikuluak: Frantziako elektronikoko sinadura-zuzentarauaren oinarria osatzen dute. 1366 artikulua dioenez "elektronikoko idatziak paperean oinarritutako zuzendarauaren indar frogua berdina du, baldin eta nork idatzia den ondo identifikatu daitekeen eta jasotzea eta gordetzea sakrifizio gizakuntza osotasunari bermatutako modutan". 1367 artikulua den legalezko aktuaren eta zuzendarauen beteiko jaso-sinadura zergatik beharra dute, eta elektronikoa badute, "bere egileak idetifikazioa osatzen duen fidagarritasun osoaren prozezu balioaren erabilpenean osatzen da". ISO 27001 ziurtagiriak eta eIDAS kualifikazio fidagarritasun presuntzio hori egiteko zuzenean laguntzen dute.

eIDAS 910/2014 Erregealamendua: Europako erregelamendua, Estatu-kideen osoan zuzenean aplikagarria, elektronikoko sinadura hiruntz anitsetatzen ditu (sinplea, aurreratua, kualifikatua) eta konfiantzazko zerbitzuen prestariei ETSI normen arabera egiastapenaren auditoriarak legetu beharren agintzak. Bere 24. artikulua kualifikatutako prestarieri aplikagarri obligazioak zehazten ditu, batez ere langabeak kualifikatuak eta nahiko baliabide finantza mantentzea. eIDAS 2.0 berrikusketa (Europar Batasuneko 2024/1183 Erregealamendua, maiatzaren 20ean 2024 aplikazioa sartu da) obligazio hauak indartzen ditu europako identitate-saski digitala (EUDIW) aurkeztuta eta konfiantzazko zerbitzuen perimetroa zabaltu dute.

RGPD 2016/679: 28. artikuluak (azpisartea), 32 (tratamenduaren segurtasuna) eta 35. artikuluak (eragin analisia) zuzenean kontzernituak daude elektronikoko sinadura prestaria bere kontuaren ardura duten datuak landu direnean. 32. artikulua batez ere datuak pseudonymizazio eta zifratzea, sistema konfidentsialitate, osotasun eta erresilientzia bermatzen egitea eskatzen du. ISO 27001 ziurtagiria aspektu hauek hartzen dituela egiazta ditzake.

NIS2 Direktiba (UE 2022/2555, Frantziako legearen bidez transposatuak 2025eko apirilaren 15ean): Garrantzi handiko eta nagusiaren entitateei bere zifren horniduraren kateko arriskua kudeatu behartzea agintzak, elektronikoko sinadura-prestariak barne. 21. artikulua NIS2 cybersegurtasun neurri gutxienekoen argitara ematen ditu, zeinaren batzuk zuzenean ISO 27001 irizpideak ebakitzen dituzte.

ETSI Arauak: EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) eta EN 319 162 kualifikatuto konfiantzazko zerbitzuen prestarientzat obligazioak zehazten dituzte. Haien errespetua akreditaturiko organismo batek nazio-konfiantzazko zerrenda sarrera egin aurretik auditoriaztatzen da.

Ardura ziurtagiri-faltarena: Ziurtagiri gabe prestaria datuak elektronikoko sinadura konpromiso dauzkan kasuetan bere kontratugile eta delituaren ardura sartzen du. Bezerorako, ziurtagirien aurreko egiazkaziaren falta cyber arriskuen kudeaketaren falta gisa artu daiteke, asegurazio cyber-ekitatea eragina izan diezakena.

Erabilpen eszenariak: ISO ziurtagiriak praktikan

ISO ziurtagiriak ez dira teorikoak soilak. Hona hiru eszenario zehatzak haien operazio eragina aldea metier testuinguruen aldean.

Eszenario 1: Negozio-abogatu-bulegia prestarita aukeratzean

Negozio-abogatu-bulegiak hamaboste inguru kolaboratzaileen guztiarekin neurri talaigak: zutikuak parteak, asoziazio pakarakteroak, segi-akordio. Informatikaeko ardura prestarita hautaketa justifikatu beharko du asoziazioei eta kontratugile client handiei, zeinak zenbakiaen tresnak ISO 27001 ziurtagiria duen legea agintzako.

Prestari aukeratua ISO 27001:2022 ziurtagiriaren oinarritzeaz, bulegiak kliente due diligence eta osoak konplaintasun ekitmea egin ahal ditzake. Urtean berritzeko auditoria merkalu deia zezetan argumentua ere osatzen da, segurtasunare estandarren sistematikoki ebaluatu denean. Etxe honetako etxe honetaren kalkulua behaturik: merkalu negoziazioen arriskuen galderia denboren %60 eta %70 artean txikitzea, eta hamazotz hilabetean sinadura ezbereak ez-egokitasun bietan emakume zailetako zuzendaritza.

Eszenario 2: PME industriala kontratugile horniduleak argintzen dituena

PME industriala gizonetako 150 langileetik urtean nahikoa 300 kontratu horniduleak kudeatzean, zeinaren zati nabarmen Alemaniako eta Herbehereetako pazeko bidean, bere elektronikoko sinadura lurralde hauetako onargarria izate deala ziurtatu beharko dute. Bere prestarita eIDAS ziurtagiria — Frantziako konfiantzazko zerrenda inskribatua eta ETSI EN 319 132 sigatu aurrerateak proposatzea — Europako lurraldeetan juridiko interoperabilitate egiten du.

Paralelan, prestarita ISO 27001 ziurtagiria merkatuaren saila askoren urtaroa hornidule auditorietan eskatzen da. Enpresa kontratugile berritzea bi kasuak saihestea kalkulatzen du (sinadura eskuzabala bidetzat ez-egokitastun sinadura) %15 000 eta %20 000 euromako koste ekuituak kostu denbora eta logistika osoan, urtean.

Eszenario 3: Ospitalarian bildumara elektronikoko sinadura zerbitzua diktatu

Ospitalarian 600 oheetarako kontratugile sorkuntza eta medikuntza konsentia desmaterializa gura du. Bi ziurtagiri familiaren gabuak asko ezberdina: ISO 27001 prestariaren osagai segurtasuneko, eta HDS ziurtagiria (Osasun-Datuen Hostalaria) medikuntza-datuen tratamenduaren gaia.

Bildumak ISO 27001 eta HDS ziurtagiriak dituzten prestaria hautatu, zeina osagai bere batean estalkia egilen ahal duen osoan kontratu batean eta ANSren (Osasun Digitalaren Agentzia) eskakizun betetzean. Produktibitate hobetzea RH prozesuetan neurtua (orduetan bidetzat sinaturatutako kontratua bi ordutan, bi tik hiru egun paperean ez), administrazio kudeaketaren kostuen %40 ekonomia adierazten du, urtean %80 000 eta %120 000 euroan hurbil zehaztua, urtean 1.200 sinaturatutako kontratuen bolumenean.

Ondorioa

ISO 27001, ISO 27017, ISO 27018 ziurtagiriak eta eIDAS kualifikazioak ez dira merkatu orrialdean egotzen dauden apalagiriak: audituaren oinarri, airez egiaztatu, prestarita ardura hartzen eta bezeraren enpresentzaketa juridikoa babestu dute. 2026an, cyberkaltean sofistikazio gorakadaren aurrean eta Europako erregelamendua indartzearen aurrean (NIS2, eIDAS 2.0), elektronikoko sinadura prestarita ziurtagiria hautatzeak ez da aukeran baizik gobernantzaren beharra.

Frantziako merktuadakoi prestariak objektiboki alderatzeko, artikulu honetan ondorioz lau irizpideen oinarritzeaz: ziurtagiriaren perimetro osoa, auditeria organomearen akreditazioa, azpisarteko katean argi-gardena eta kontratugile mantendiarearen klaususak. Certyneo irizpide horien osoan bete ditzake eta zure egokitasun-jardukeretan laguntza egiten dituzte. Harremanean gurearekin zure uneko egoera auditoriaren eta deskubertzen nola osagai elektronikoko sinadura osoa ziurtagirira igarotzen den.

Probatu Certyneo doan

Bidali zure lehen sinaduraren enboltura 5 minutu baino gutxiagoan. 5 enboltura doanak hilabete bakoitzean, kreditu-txartelik gabe.

Gaia sakondu

Gure gida osoak sinadura elektronikoa menperatzeko.

Certyneo Komunitatea

Galdera bat sinadura elektronikoaren inguruan?

Batu Certyneo komunitatea: egin zure galderak, partekatu zure erantzunak eta mila erabiltzaile eta gure taldearekiko trukatu.