Sinatzailearen zerbitzua ematen duten enpresak bete beharreko obligazioak Frantzian

Sarrera

Sinatzaile elektronikoko soluzioa inplementatzea Frantzian ez da ausazkoa. Sinatzaile kalifikatuaren edo aurreratuaren atzean hamaika obligazio legala dago zintzo zerbitzua ematen duten enpresen (PSCo) agirietan. eIDAS araudia, RGPD, segurtasun erreferentziako sistemak, ETSI arauak… erregimen arautzailea dentsoa eta bizia da. Zerbitzua ematen duten enpresen erabiltzaileentzat, obligazio legala ulertzea ezinbestekoa da enpresa batengatik aukeratzean betekorra den eta juridiko arriskua saihestearren. Artikulu honetan, atalbakoan atalbaka, PSCo zerbitzu osoa Frantzian distirbatzen duten obligazio guztiak argaltzen ditugu.

---

Zintzo zerbitzua ematen duten enpresen kalifikatutako egoera

Zer da PSCo eIDASaren ikuspegitik?

eIDAS arauak 910/2014 zenbakia du, eta hau kalifikatu ez diren eta kalifikatuak diren zerbitzua ematen duten enpresen bi kategoriak ezberdintzen ditu. Lehenengo taldeak sinatzaile sinplea edo aurreratua lortu dezakete kanpoaren neurketarik gabe. Bigarren taldeak —eIDASaren 3(15) artikuluko kalifikatuak sinatzailea lortzearren bakarrik baimenduta— askoz handiago diren eskariak betete behar dituzte.

Frantzian, Systematiek Segurtasunaren Agentzia Nazionala (ANSSI) da eIDASaren 17. artikuluan aurreikusitako supervisiorako agentezia. Frantziar Sinesgarritasun Zerrendak (TSL — Trust Service List) argitaratzen ditu eta mantenditzen ditu, bere web ofizialean eskuragarri daude, kalifikatuak diren enpresen eta haien zerbitzuen zerrenda.

Kalifikazioak lortzeko prozesua: neurketa eta betetzea

Egoera kalifikatua lortzeko, PSCo batek obligatorioki:

• Bere zerbitzuak neurtu behar ditu COFRAC zintzo ematen duen organo batek EN ISO/IEC 17065 arauaren arabera.

• Neurketaren txostena ANSSIari bidali behar dio, eta hori egoera kalifikatuaren emaitza ematen du. Egoera hau berriro ebaluatzen da gutxienez 24 hilabetero (eIDASaren 20. artikulo 1. paragrafoa).

• ANSSIari 3 hilabeterako aurreikuspena eman behar dio bere zerbitzuan aldaketa substantziboa egiteke (eIDASaren 21. artikuloa).

Pausoen ezarpenean aritzea TSL-etik radioan uztea eta sinatzaile kalifikatuari lotutako presuntzio legalen galera dakarrena. Enpresen bezeroentzat, TSLan zerrendarik ez dagoen PSCo batera jotzea da berbarik ez duten lekua.

> Sinatzaile eta horien efektu legalen mailen gainean gehiago jakin nahi izanez gero, gure kontsulta itzazu.

---

PSCoen ezarritako teknika eta segurtasun obligazioak

ETSI arauak betetzea

Kalifikatuak diren enpresar Europako Telekomunikazio Arauak Institutua (ETSI) zintzo eman duten europako arau multzoa betete behar dute. Garrantzitsuenak hauek dira:

• ETSI EN 319 401: segurtasun orokorra eskariak PSCo guztientzat ezarritzen dira.

• ETSI EN 319 411-1 eta 411-2: kalifikatuak diren sinatzaile-zertifikatuak ematen dituzten agerkortze-liburuen politikak eta praktikak.

• ETSI EN 319 132: elektronikoaren aurreratutako sinatzailearen formatuak (XAdES XMLaren, PAdES PDF, CAdES CMSren).

• ETSI EN 319 122: CAdES formatua kalifikatuak diren sinatzailearentzat.

• ETSI TS 119 431: urrutitik sortutako sinatzailean zerbitzua abiarazteko eskariak (QSCD urrutian).

Arau hauek ez dira aukerakeluak: eIDAS arauak (Eranskina II, III eta IV) adierazpen zintzo modua zehaztenduten minimo eskariak zehaztenduten exonazioetan adierazten ditu.

Sinatzailearen sortzaileak duten segurtatutako gailuak (QSCD) kudeatzea

Sinatzaile kalifikatuaren zintzotsua den gailuaren (QSCD — Qualified Signature Creation Device) eIDASaren II. Eranskinean adierazitako segurtatze baten beste pilarea hartzen du. Enpresar garantiziatu behar dute:

• Sinatzailearen gako pribatua QSCD-tik kanpo sortu, gordetzen edo kopiatzen ez dela ahal.

• Gako sortzea soilik sertifikadun ingurumean gertatzen da (Common Criteria EAL 4+ sertifikazioa edo baliokidea).

• Sinatzailearen agertokea aurretik signatura egiteko bi faktore autentifikazioa ditu.

Urrutitik sortuak diren sinatzaile testuinguruan — SaaS ingurumenetan aurrera dohainak daude—, obligazio hauek zerbitzua HSM (Hardware Security Module) zerbitzaria gordetzen duten gakoan aplikatzen dira. ANSSIk zehatz argitu ditu (PP-0075, PP-0076) segurtasun kriteriek dituzten detaleak.

Jarraipena politika eta agertze neurtzea

eIDASaren 19. artikuloak zintzo zerbitzua ematen duten enpresa guztiei (kalifikatuak diren ala ez) bete behar dituzte:

• Supervisiorako agentezia (ANSSI) eta, dagokionean, datuen segurtasun agentezia (CNIL) isilarazi behar dute zerbitzuaren arduradunak ematea aurrean egin ditzaketen 24 orduetan detektatutako segurtasun urraketak dituzten.

• Dokumentua duten negozioaren jarraipena plana duten eta aldizka probatua.

• Segurtasun informazio politika formalizatua duten, bereziki arriskua kudeatzea, agertze kudeatzea eta datuen babesa politika azpian.

Obligazio hauek NIS2 direktibaren (2022/2555/UE) eskariekin zeharka mozten dira, Frantziar legean 2023ko abuztuaren 1ean 2023-703 legearen bidez transponatu dutenak, PSCoak neurri behartsua diren denboretan entzun integragarriak eta cybersegurtasun obligazio ostunagatik sailkatzea da.

> Ikusi nola dokumentazio-fluxuetan dauden muga hauek integratu behar dituzten enpresen soluzioak.

---

RGPDren eskariak PSCoentzat bereziki

PSCo, datuen ardura edo azpisaria?

PSCoan RGPD sailkatzea ematen den zerbitzuaren izaera araberakoa da:

• PSCoak zuzenean kalifikatuak diren zertifikatuak ematen dituenean sinatzailearen izenean eta datuen pertsonal adierazpen fintzak zehaztundituenean (identitatea, autentifikazio biometrikoa adierazpena), erantzukizun arduradun gisa jardunean dihardutela (eIDASaren 4(7) artikuloa).

• Bere API integratzen duenean B2B bezeroak ematen duten plataformaren datua eta ordenaren datuak soilik ordain araberakoa duenean, azpisaria izenean eta baldintzazko datuen duten jardunean (artikulo 4(8) RGPD) eta obligatorioki DPA (Datuen Kudeaketa Akordioa) sinatu behar du 28. artikuloaren baldintzen araberakoa.

Praktikakoan, SaaS PSCo gehienak bi izenean sortzena: ordena arduradunak dituzten zerbitzua inprimakian kalifikatuak, azpisaria dituzten dokumentuen sinatzaileen metadatuaren gainean.

Biometriko eta identitate datuen artean adierazpenak

Sinatzailearen identifikatzea eta autentifikatzea — kalifikatuak diren zertifikatuak ematearen obligazio pausua— normalean denboran daude adierazpenaren adierazpena: identitate azpian, video selfie, biometrikoa burua ezagutzea. Adierazpen hauek datuen pertsonal karakterea duten adierazpenetan (RGPD soumis) baina biometrikoa kasuetan 9. artikuluaren (kategoriak bereziak) adierazpenetan.

PSCoan obligazioak bilaketa-legezko oinarria dituzte:

• Oinarri legezko: adierazpena eskariak (9. artikulo 2(a)) eta, kasu batzuetan, obligazio legezak (9. artikulo 2(b)) biometrikoa adierazpenaren gainean.

• Gordetze-denboraren mugaturik: CNILren adierazpenaren arabera, identitate adierazpena gordetzen dira behartsua diren denboraren ostean, normalean zertifikatuak baljazioa denboraren denborara + legezko agertze denbora (askotan 10 urte enpresen agertze artikuluarentzat, Kodigo Zibilaren 2224 artikuloa).

• Eragin-analisia (AIPD) obligatorioa (35. artikuloa RGPD) denean adierazpena egitearen ondorioz arriskua sor ditzakeen — kasu honetan biometrika sistematikoki arriskua dago.

• Kudeaketa erregistroa (30. artikuloa RGPD) berriaroa eta dokumenta egindako kudeaketa kategoria bakoitzaren gainean.

Nazioarteko datuen transferentziak

PSCo gehiagok beren ingurumena europabean mugaren Ekonomia Eremu (EEE) kanpoan gordetzen dute. Kasu honetan, kapitulua V RGPDk eskatutako baldintza aproposenak ezarpenak dira: adiekasioen erabakia, Europako Batzardeguaren kontratua klausulak (SCCs) edo enpresen integraketa baldintzak (BCR). Schrems II emaitza (CJUE, C-311/18, 2020ko uztailaren 16) transferentziak Estatubatuetara gogoeta arriskua lehenak behar dituzela gogorarazten du.

> Arauak zure enpresen gainean dituzten inpaktua ulertzearren, gure kontsulta itzazu.

---

Garbitasun eta adierazpena obligazioak erabiltzaileen aurrean

Zertifikazioan politika (PC) eta zertifikazioan praktika adierazpena (DPC)

Zertifikatuak ematen dituzten PSCo guztiek argitaratu behar dituzte Zertifikazioan Politika (PC) eta Zertifikazioan Praktika Adierazpena (DPC), ETSI EN 319 411 arauaren arabera. Dokumentu hauek, askatasun dute atzipen, xehetzen dituzte:

• Sinatzaileak identifikatzea eta erregistratzea prozesua.

• Segurtasun neurri fisiko eta logika inplementatua.

• Zertifikatuak berretsi eta denboraren baldintzak.

• PSCoan ardura eta baldintzak.

Dokumentu hauek faltan edo osozak ez diren kasuan PSCoak ez betetzea da kalifikazioan organo zintzoaren neurketetan behatu ditzaketen.

Enpresen aurretik eta kontratuen adierazpena

RGPD 13 artikuluaren barrutik obligazioak harago, PSCoak pertsonen datua biltzen dituzten argitu behar dituzte eta atzipen dituzte:

• Datuen arduradunarena eta DPOaren idatzpena (obligatorioa PSCoan neurri handian datuen sensiblak tratatzen dituzen, 37. artikuloaren arabera RGPD).

• Kudeaketa fintzak eta legezko oinarriak.

• Adierazpenarena eskubideak (atzipen, zuzenketa, borratzea, portabilitatea, oposizioa).

• Datuen jasotzaile posibleak (azpisariak, agerkortzeagunak).

Adierazpen hauek adierazpenaren politikan sartu behar dute, ginean CGUetan eta, dagokionean, DPAn besteen negozio enpresen gainean.

Kualifikatuak ordua eta seia adierazpen eguneroa

Sinatzaileen legezko baljazioa denboran mantentzearren, PSCoak sistema osoratu duten adoitu dituzte elektronikoan kualifikatuak ordua (42. artikuloa eIDAS) bere egiten den akta bakoitzean. Ordua honetan adierazpenaren existentzia presuntzio legezko datua duen, adierazitako denboran. Adierazpenaren seia (agerkortze identifikazioa, dokumentuaren empreinta, sinatzailearen datua) faktualiazko obligazioa da edozein geroagotik juridiko egiaztazioa ahaltzearren.

> Soluzio merkatuko aztertuak argituetan, gure konparatzailean.

---

eIDAS 2.0: obligazio berri 2026-2027 aurrera

eIDAS 2.0 araudia (UE) 2024/1183

EUren aldizkarian 2024ko apirilaren 30an argitaratua, (UE) 2024/1183 arauak PSCoen obligazioak nabarmen gogoratzen ditu hiru ardatzetan:

• Europako Identitate Digitala Biltegia (EUDI Wallet): Estatuek biltegia duten identitate digitalari sertifikatua eskaindu behar dute 2026ko azaroaren 2ra. PSCoak beren zerbitzua biltegian integratu behar dute eIDAS 2.0 identitatearen bidez kalifikatuak sinatzaileak eskaini ahal izateko.

• Adierazpenen kudeaketa atributuetan: eIDAS 2.0 adierazpen kualifikatuak atributotan (QEAAs) ezartzea gogoetetan, kalifikatuak diren enpresen agerkortzeagunak emana. Neurketa eta kalifikazioan prosedura berria aplikatzea da.

• Supervisioaren indartzea: estatu-supervisio agentzia (ANSSI Frantzian) beren boterak zabaldu dituzte, bereziki zinemarketan diligentzia eta neurriak hartzea baldintzazko denboran moztuetan.

Enpresen eguneko garatzen praktika inpaktua

eIDASaren 1.0 pean kalifikatuak diren PSCoak pausozko egokitzapena behar dituzte 2026 aurrera ematen dituzten Batzardeguaren abiaeraketa bidez. Aldaketa nagusiak:

• Identifikazioan infrastrukturaaren berrantolaketa EUDIa Wallet autentifikazioa hartuz.

• PC/DPCren eguneraketa zertifikatuak eta adierazpenen tipologi berriak integraturik.

• QSCDren segurtasuen indartzea urrutitan, babesturiko profil berrikoak etortzekloak.

Enpresen bezeronentzat, horiek direla eta, gaur egun verifikatzea da PSCoak eIDAS 2.0 adarako segi-bidea duten dokumentua eta egiaztatzekoa.

Obligazioen erregimen legala sinatzaile elektroniko zerbitzuak ematen dituzten enpresetan

Sinatzaile elektronikoa Frantzian zerbitzua ematen duten enpresen norma normalak bi mailetan osoa eta ostugunak dira.

Frantzian Kodigo Zibila — 1366 eta 1367 artikuloak

1366 artikuloak identikoa ematea iruzkina den elektronikoa papera modura agertze oharra, "baldin adieraz ahala identifikatu ahal den ematen duen pertsonak eta entelego eta gordetze baldintza duten integritatean garantizatzearren" dira. 1367 artikuloak zehazten duen sinatzaile elektroniko "prozeduaren erabiltzea da eta identifikazioa fidantza aurrera asidezko sinatzaileak egintza lotua". Presuntzio fidantza eIDASaren kalifikatuak sinatzaileak kalifikatuak direla iruzkina duten sinatzaileak sinatzaileak baldintzak hobea dituzte gauzetan astea.

eIDAS araudia n° 910/2014/UE

Arau hau, estatu-betearazlean normen osoan ezarritakoa, zerbitzuetan legezko serbitzua ezarritakoa. 26. artikuloaren sinatzaile elektroniko aurreratua ezartzea; 28. artikuloaren zertifikatuak kualifikatuak diren eskariak; Eranskina I zerrenda duten zertifikatuetan obligatorioak dituzte. Kalifikatuak diren PSCoak presuntzio baten dituzte betea (19. artikulo 2. paragrafoa), nola litzen jotzeko astea legezko asteen baldintzetan.

eIDAS 2.0 araudia — (UE) 2024/1183

2024ko apirilaren 30an argitaratua, arau honetan osoa-ekintzaren kategoria berri (atributuan adierazpena kualifikatuak, zerbitzuan archibo kualifikatuak) eta supervisioaren obligazioak gogoratzen dituzte. Arau 910/2014 aldatzea eta zehako bieza ordezkatzea, Batzardeguaren abiaeraketa bidez neurtzean osakina.

RGPD — Araudia (UE) 2016/679

RGPD sinatzaile elektroniko zerbitzuan atoratuta duten datuen pertsonal kudeaketa guztian aplikatzen da. 5. artikuloa (legaltzea printzipioak), 6. artikuloa (legezko oinarria), 9. artikuloa (adierazpen sendoak), 13-14 artikuloak (adierazpena), 28. artikuloa (azpisaria), 32. artikuloa (segurtasuna), 33-34 artikuloak (urraketa adierazpena), 35. artikuloa (eragin analisia) eta 37. artikuloa (DPO) osoa direla direla askotan aplikagarria. CNILa da agerkortzeaguna kontrolean Frantzian eta daiteke diru-multzoa (20 milioi eurotara edo munduko urteko salmentetik 4% 83. artikuloaren 5. paragrafoa RGPDean).

NIS2 direktiba — (UE) 2022/2555

Frantzian legean transpolatua 2023-703 legearen bidez 1. abuztuaren 2023an, NIS2a klasifikatu diren PSCoak neurri behartsuen entzun integragarriak eta esentialak cybersegurtasun ariskua kudeaketa eta agertze zerbitzua ANSSIari 24 orduetan (alerta aurre) eta 72 orduetan (adierazpena osoa).

ETSI arauak

EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 eta TS 119 431 osoaren kalifikazioan neurketaren obligatorioa den norma teknika. Bete ez izatea kalifikatuak egoera lortzea edo mantentzea galarua eragin badaite.

Arrisku juridikoak osoa ez izanean

PSCoan ez beteak baldintzatan: TSLaren erregistroen aurtenetik, kontratuen ardura eta kontra ardura, CNILaren segurtasun-neurtze, NIS2aren diru-multzoak (ahal 10 milioi eurotara edo munduko salmentetik 2% entzun osatuetan eta 20 milioi edo 4% esentialak entitzuetan), eta bezeroak dituzten juridiko urrateak sinatzaileak ez izanean baieztatua.

Erabileran eszenariak: enpresen PSCoan osoa egiaztatzen dituzte

1. Eszenatzia — Taldea industrial osoa 3.000ren horniduretako kontratua urtean

Taldea industrial neurri artean (ETI), mekanika ekipamentuaren argitara aktibo, bere kontratu horniduretako osoa SaaS sinatzaile elektroniko plataforma baten bidez ezabatzen du. Berrikuskatze barrengoa diligentzia batean araudi aldetik ekintzaz (denboran neurri berria onartu), legezko direktzia behatzen du PSCo hautatuta — batere prezioa —nei TSL frantziarean ez dagoen, ez TSL europearean. Adierazpenak sinatzaileak dira mota "sinplea" gabe mekanismo sendoak sinatzaileak identifikatzean.

Arriskua juridikakoen —osoa kontratua dituzten baieztatze astea lekuan daude asetsioan astea baten litigiotan— enpresar diligentzia jarduina egiten du PSCo kalifikatuaren migrazioan ANSSIan. Soluzioan berria dihardutela sinatzaile aurreratua zertifikatuak kalifikatuak, ordua kalifikatuak eta adierazpena egueneroa exportagarria. Migrazioan obren, burutuak 8 astean gutxiago, behartsua adostea egunerotik gidarenean eta politika dokumentua osoa betean. Legezko taldeak dirudite arrisku kontentzia lotua aktua zaharrenean txikia izanaren falta da egintza diligentzirik ez duen, baina sinatzaile berria osoaren osoan dagoen.

Adierazpena behatzea: argalardia 60% litigioetan arriskua lotua sinatzaileen baieztatzen, eta 3,5 egunaren irabazpena sinatzaileak denboraren batean.

2. Eszenatzia — Abokatua kabinetea 25 kideak espezialista negozioari legean

Abokatuaren kabinetea nahi adostean sinatzailean mandatuak, kontsultzeak eta proceduraketaren agertzen digitalean osoa behatuetan PSCoa. Bere analisia taulak barrutik hobea aztertzea: TSLaren agerpena, argitaratua PC/DPC atzipen askatasuna, DPA betean RGPDen, DPOren jotzea eta QSCDren sertifikazioa urrutitan.

Bost PSCo aztertuetan, bi soilik betean barrutia osoa kriterioan. Kabinetea aukeratzen du azkenik PSCoa natiboa duten kalifikatuak sinatzaile baten QSCD urrutian, garantizatzean presuntzio fidantza artikulo 1367 Kodigo Zibilaren. Inplantazioan ezarri duten 3 astean, ikastaro barrutian. Emaitza: 75% mandatuetan direla osoaren 24 orduetan aurretik 5-7 eguna (bidalketa postalea), eta kabinetea ahal du justifikatu bere bezeroei segurtasun juridikoa osoa soluzio ematen duten — argumento ezberdintzen haren proposamenetan merkantil.

3. Eszenatzia — Osasun taldearen 1.200 geruen gutxienez

Osasun taldearen (publikoa) nahi adostean duten kontratua lanean, konbentzioak (etxea) eta akordioak (entzun adierazpen osoa PSCoan RGPDaren obligazioen arretaren neurri txikia osoa.

DSI eta taldearen DPO eskatu dute: adierazpena gordetzen Frantzian zerbitzuaren datuen osasun sertifikatuak HDS (Osasun Datu Gordelea, sertifikazioa aurreikusita artikuloaren L.1111-8 Osasunaren Kodigo publikoan), transfentze ez EEEtik kanpoan, AIPD dokumentua sinatzaile identifikazioan kudeaketa eta DPA sinatu aurretik osoa inplantazioan.

Aukeraketa PSCoan osoa betean kriterioan, inplantazioak barrutian legena kontratua lanean (gutxienez 800 ekintza urtean). Denboraren batean sinatzaileak kontratua mugaturik eta mugaturik urte badaituke 9 egun gutsutik gutxiago 48 orduetan, aske kapazitateak taldeak lanaren gaitasunean. Taldearen osoa duen trazigarritasuna osoa adierazpena biltzen dituzte, urteandik batzuetan neurketa beren DPOan.

Ondorioa

Obligazio legala PSCoan Frantzian adierazpenetan forma osoa normatiboaren: kalifikazioan eIDAS, betean RGPD, etzea ETSI arauak, obligazioak NIS2 eta egokitzapena urrutian eIDAS 2.0. Enpresen erabiltzaileentzat, ziurtatzea PSCoan osoa ez da prozeduaren aukerakeluak —baldintzaren sine qua nonez dituzten balioen baieztatzen eta datuen pertsonal segurtasunean sinatzaileak.

Certyneo PSCo sinatzaile elektroniko osoa dagoena osoa obligazioa: betean eIDAS, RGPD by designa, gordetaleku soberanoa eta eIDAS 2.0 astea dokumentua. Gogotik asidatua zure sinatzaileak osagatik betean? kontsulta eta lortu adierazpena pertsonalatutara lehenan denetik.