ETEentzako eIDAS betetzea: 2026ko kontrol-zerrenda osoa

Europako eIDAS arauak (EB n°910/2014, laster eIDAS 2.0k aldatuko duena) sinadura elektronikoa arautzen du Europar Batasun osoan. ETE batentzat, betetzea ez da egiaztatzeko kutxa hutsa: bere kontratuak betearazteko, bere sinadura-datuak babestuta daudela eta garestia izan daitezkeen legezko arriskuetatik babesten duela bermea da. Hona hemen 2026ko kontrol-zerrenda 12 puntu konkretutan zure ETEa eIDAS guztiz betetzen dela egiaztatzeko.

1. puntua: aukeratu sinadura-maila egokia

Lehenengo erreflexua: mapa zure kontratu motak eta lotu helburu-maila bat. Merkataritza-kontratu estandarrak (aurrekontuak, erosketa-aginduak, NDA sinpleak): SES nahikoa da. Lan-kontratuak, errentamenduak, NDA sentikorrak, hitzarmen estrategikoak: AES minimoa, ahal izanez gero OTP SMSarekin. Egintza arautuak (abokatua, notarioa, atalase batetik gorako kontratu publikoak): Nahitaezko QES. Kartografia hori gabe, tamaina txikia (kontratua ukatu) edo gehiegizko (gehiegizko kostua) arriskua duzu.

2. puntua: egiaztatu zerbitzu-hornitzailearen kualifikazioa

Zure zerbitzu-hornitzaileak zerbitzu-hornitzaile fidagarria (QTSP) izan behar du edo AES/QES mailetarako QTSP batean oinarritu behar da. Kontsultatu ANSSIk argitaratutako Konfiantza Zerbitzuen Zerrenda (eidas.ssi.gouv.fr) eta Europako Konfiantzazko Zerrenda (webgate.ec.europa.eu/tl-browser). Frantziako erreferentzia QTSPak: Certigna, Docaposte, Certinomis, Universign. SES/AES plataformaren bidez (Certyneo, Yousign, etab.), egiaztatu esplizituki dokumentatutako eIDAS-en betetzen dela.

3. puntua: Probatu ikuskaritza-traza

Sinatu probako gutun-azal bat eta bildu ikuskaritza-pista (normalean PDF bereizia). Honako hauek eduki behar ditu: sinatzailearen identitatea eta posta elektronikoa, urrats bakoitzaren denbora-zigilua (bidaltzea, irekitzea, baliozkotzea, sinadura), IP helbidea, erabiltzaile-agentea, dokumentuaren hash, OTP baliozkotzea AES bada. Elementu horietako bat falta bada, froga-balioa ahuldu egiten da. Certyneok ikuskaritza-bide osoa eskaintzen du doako plan batean ere.

4. puntua: kontrolatu denbora-zigilua

Denbora-zigilua RFC 3161arekin bat datorren Time Stamp Authority (TSA) batek eman behar du. Enpresa NTP zerbitzari bateko denbora-zigilua ez da nahikoa. Ireki sinatutako PDFa Adobe Reader-en: Sinadurak fitxa → Xehetasunak → Ordu-zigilua. Baliozko TSA ziurtagiria eta erloju ziurtatua ikusi beharko zenuke bertan. PDFak ez badu denbora-zigilu ziurtaturik, atzera egin zerbitzu-hornitzailearen aukeran.

5. puntua: artxiboa gutxienez 10 urtez

Merkataritza Kodeak (L. 123-22 artikulua) 10 urteko biltegiratzea eskatzen du merkataritza dokumentuetarako. Lan Kodeak 5 urte ezartzen ditu amaitu ondorengo lan-kontratuetarako. Artxibatzeak osotasuna (hash, zigilatzea) eta sarbidea gorde behar ditu. Ideala: PDF/A formatua (ISO 19005), biltegiratze bikoitza (lehen + gunez kanpoko babeskopia), seguru elektroniko kualifikatua (CFE) frogarik handiena lortzeko. Certyneok 10 urte artxibatzen ditu berez eta CFEko bazkideei esportazioa eskaintzen die.

6. puntua: egiaztatu datuen kokapena

Non daude zure sinadura datuak ostatatuta? Kontratu sentikorrak jorratzen dituen ETE frantses batentzat, aukeratu Frantziako edo EBko hostinga. Galdetu zure zerbitzu-hornitzaileari azpikontraten zerrenda eta haien kokapena (GDPR 28. artikulua). Saihestu kontratu estrategikoetarako AEBetako Cloud Act-aren menpeko irtenbideak. Certyneo Frantzian dago ostatatuta, Cloud Act menpekotasunik gabe. Ikusi gure artikulua /blog/cloud-act-signature-electronique-n.

7. puntua: GDPRrekin artikulatu

Sinadura eta GDPR oso lotuta daude: gutun-azal bakoitzak datu pertsonalak ditu (izena, posta elektronikoa, IP, telefonoa). Ziurtatu zure tratamendu-erregistroak (GDPR 30. art.) sinadura elektronikoa jasotzen duela, atxikipen-epeak koherenteak direla (10 urte), eta pertsonen eskubideak ezarri daitezkeela (sarbidea, zuzenketa, eramangarritasuna). Sinadura asko eskatzen ari bazara, DPO bat gomendatzen da. Ikusi gure artikulua /blog/signature-electronique-rgpd.

8. puntua: identifikatu sinatzaileak ur gainean

AES sendo baterako, identifikazioa ez da sinatzetik hasten: datu bilketatik hasten da. Egiaztatu mezu elektronikoak (ez aliasik, ez posta zerrendarik), telefono-zenbakiak (ez partekatutako linearik) eta egin identifikazio-iturriaren jarraipena (ID kontratu astunetarako, lehendik dagoen bezeroaren KYC etengabeko kontratuetarako). Diligentzia horrek frogak sendo bihurtzen ditu gatazkaren bat izanez gero.

9. puntua: entrenatu taldeak

Zure salmenta-, HR- eta lege-taldeek arauak ulertu behar dituzte: ez behartu sinatzailea hirugarrenen gailu bat erabiltzera, ez itzuli aldatutako PDF sinatutako bat, ez itsatsi eskaneatutako sinadura-irudi bat benetako sinadura baten ordez. Talde bakoitzeko ordu bat entrenatzea nahikoa da erreflexu onak txertatzeko. Certyneok barne (/baliabideak) partekatzeko gida osoa eskaintzen du.

10. puntua: zerbitzu-hornitzaileen kontratuak egiaztatzea

Sinadura-zerbitzuaren hornitzailearen CGU/CGVk: eIDAS betetzen hasi, artxibatzeko epeak zehaztu, GDPR azpikontratazio-akordioa sartu (28. art.), azpikontratatzaileak dokumentatu, itzulgarritasun-plana uzteko ekitaldian eman. Era berean, eskatu SOC 2 II mota edo baliokidea bolumen handiak prozesatzen badituzu. Certyneorentzat, dokumentu hauek /legal eta /security-en daude eskuragarri.

11. puntua: prestatu eIDAS 2.0 eta EUDI Wallet

eIDAS 2.0 araudia (EB 2024/1183) pixkanaka-pixkanaka indarrean sartzen da eta estatu kideei eskatzen die EUDI Wallet bat hedatzea 2026. urtea amaitu baino lehen. QES bulego honek ezingo du QES-en zorrorako urruneko identitate digitalaren zorrorako sarbiderik emango. Prestatu zure ETEa: egiaztatu zure zerbitzu-hornitzaileak EUDI Wallet bide-orria duela, jarraitu ANSSIren eta Europako Batzordearen komunikazioak. Ikus /blog/eidas-2-nouveau-reglement-2026.

12. puntua: auditoretza urtero

Betetzea ez da lortutako egoera: etengabeko prozesu bat da. Programatu urteko auditoria bat (barnekoa edo kanpokoa) egiaztatzeko: arau-aldaketak, zerbitzu-hornitzaileen garapenak, kontratu moten mapa eguneratua, atxikipen eraginkorra, kontratazio berrien prestakuntza. Auditoria arin batek egun erdia behar du ETE batentzat eta sorpresa asko saihesten ditu. Hasi doako Certyneo kontu bat sortzen certyneo.com/signup helbidean, mundu errealean betetzen den probatzeko, eta begiratu gure eIDAS gida sakonago sakontzeko (/guide/eidas).