Zure sinatutako dokumentuak TLS zifraketak babestea

Zergatik da TLS zifraketa ezinbestekoa zure sinatutako dokumentuentzat

2026an, elektronikoki sinatutako dokumentuen segurtasunea ez da aukera gehiago: bakearen printzipioak eta estrategia garrantzitsua da Europako digital-espazioan jarduten duten enpresa guztientzat. TLS zifraketa (Transport Layer Security) komunikazio modu honen oinarria da, bezeroa eta zerbitzaria lotzen dituen datuak konfidentialak, osoak eta autentifikatuak direla bermatzen du. ANSSIren arabera, Europan dokumentatutako cyberatakaen %74 baino gehiago datu-fluxuak zifratu gabe edo ez-nahikoa seguruekin dituztela jotzen dute. Testuinguru honetan, nola babestea zure sinatutako dokumentuak TLS zifraketa, HTTPS eta eIDAS arautegiaren barruan ezagutzea obligatorio bilakatudu Frantziako eta Europako enpresa batzuen DSI, jurista eta compliance aburuarentzat.

Artikulu honek TLS mekanismoen sakoneko azalpena, sinatza elektroniko kalifikatuarekin duen uztarketa, SaaS plataformetan ezarritako araudiak eta gaur egun aplikatu beharreko praktika onena deskribatzen du zure aktibo dokumentalak babestean.

---

TLS zifraketa ulertzea eta sinatza elektronikoan duen papera

TLS 1.3: gaur egungo truke-segurtasunaren estandarra

TLS protokoloa (Transport Layer Security) SSL-aren hobetutako bertsioa da (Secure Sockets Layer), dagoeneko zaharkitua. TLS 1.3 bertsioa, 2018an IETF-ak argitaratua (RFC 8446), gaur egungo erreferentzia da datu-truke seguru guztientzat. Aurrekoetako hainbat zulotasun kritiko ezabatzen ditu, bereziki BEAST, POODLE eta DROWN erasoak, handshake-ren latentzia murriztuz nola bide bakarra jarraitzen jarraitzen dugun bitartean.

Konkretuki, TLS 1.3 bermatzen du:

• Konfidentzialitatea: transmititutako datuak amaurrenetik bukaerara ziframaituak daude, beraien harrapaketa baliogabea egiten dute.
• Osotasuna: transituan aldatutako mezu oro deruan bekadetsi dira.
• Autentifikazioa: zerbitzaria (eta horren neurrira bezeroa) X.509 zilardunak egiaztatu da.

eIDAS bateragarria den sinatza elektroniko plataformarentzat, TLS 1.3ren erabilera bakarraren — gutxienez TLS 1.2 ANSSI-k onartutako zifratz-multsekin — oinarrizko betebearra da. TLS 1.0 edo 1.1 erabiltzea ENISA-k 2022az geroztik formalki debekatua dago.

HTTPS: TLS zifraketaren ikuspegia bihurtu den geruza

HTTPS ez da beste gauza baino HTTP TLS konexio baten gainean zerbitzatua. Erabiltzaileentzat, nabigatzailearen helbidearen barran ikus diezaiokeen sadilla gune komunikakeera zifratua dagoela esan nahi du. Enpresen aldetik, hau esan nahi du dokumentuak deskargatu, sinatu edo partekatu egiten direla erabiltzailearen nabigatzailearen eta plataformaren zerbitzarien artean modu seguruan.

Hala ere, HTTPS ez da bermatzen dokumentaren segurtasuna erreposuetan (alegia, behin zerbitzariko gordailuan dagoenean). Horregatik, TLS zifraketa osatzea beste zifraketa-maila batez (esaterako AES-256) eta kontrol-mekanismo sendoekin osatzea bihurtu da. sinatza elektroniko-en gida osoan, neurri-multzo hauen osagarriak osagarri koherentea azaltzen dute.

TLS zilardunak eta konfiantza-kateak

TLS zilduna Zilardu Bultegi (CA) identifikatuak ematen da. Muina ziladunaren gakoa publikoa, organisazioaren identitatea eta Bultegiak digitalki sinatua daude. Konfiantza-kateak — errotzetako zilarraren aurrean— gauzatzen dituzten zilarraren eta zilardu urteten— bermatzen du erabiltzailea komunikatzea uste dituen entitatearen benetakoan.

eIDAS aratuegi-ren sentidoan, konfidantzaren zerbitzua emateko beharduak (PSCo) erabilitako TLS zilardunak bete behar dituzte ETSI EN 319 411 araudiekin zehaztutako profilak, bereziki sinatza eta autentifikazioan erabilitakoetarako.

---

TLS zifraketa eta eIDAS bateragarritasuna: arautegia esaten duena

eIDAS-en sinatza-mailak eta haien segurtasun-betebeharrak

eIDAS 910/2014 arautegia, eIDAS 2.0 bitartez indartua deitutakoarekin, hiru sinatza-maila ezberdin bereizten ditu: sinplea, aurreratua eta kalifikatua. Maila bakoitzak segurtasun-betebeharren gehitzea adierazten du:

• Sinatza sinplea: teknologia estandarra zehazturik ez, baina TLS zifraketa oso gomendatua gelditzen da garraioan.
• Sinatza aurreratua: plataformak bermatza behar du dokumentuaren osotasun eta sinatuaren eta sinatzailearen arteko lotura bakarua. TLS 1.3 ia-ezinbestekoa da hemen transmisio-fluxu gutzetan.
• Sinatza kalifikatua: prestatzailea PSCo kalifikatuak izana behar du bere estatu-kidearen konfidantzaren zerrendan inskribatua. Zifraketak-betebeharrak ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) eta EN 319 142 (PAdES) araudiekin zehaztua dituzte. Komunikazio-kanalak zifratua guztiontzat AnssiAren edo ENISA-ren gomendakeak jarraitua behar dituzte.

Enpreak nahi dituztela sinatza elektroniko-ren soluzio konparatzea, truke TLS-en segurtasun-mailak hautaketa-irizpide garrantzitsua, sarritan batere ez-gizatunik egiten duena.

eIDAS 2.0-en laguntza segurtasun-trukean

eIDAS 2.0 arautegia, sartze-mailab aldaketa 2026-2027aren artean luzua, portalean europar nazio-identitate-aurrera (EUDIW) sartzea eta konfidantzaren zerbitzuaren prestatzaileetan (PSCo) betebeharrak indartzearekin datorren. Bereziki inposatzen du:

• Segurtasun-auditori EN ISO/IEC 27001 araudiekin eta ENISA-ren betebehar zehatzekin bateragarri.
• Zifratz-mekanismoetan erabiliak diren argitasuna gehitzea.
• Nazio-kontrolaren autoritateekin auditatu dairtzekeen segurtasun-politika obertua egin.

Aldaketak esan nahi du enpreak erabiltzen dituzten sinatza-plataformak auditatu behar direla beren prestatzailearen TLS azpiegitura eguneratua eta auditua den osoa egiaztatzeko. Hau Certyneoak bermatzen du bere azpiegituran, segurtasun-audit erratian eta ANSSI-ren erreferentziarekin bateragarriekin.

---

Praktika onena zure sinatutako dokumentuak enpresen seguruan aseguratzearen

Zure uneko TLS azpiegiturazko auditoria

Sinatza elektronikozko soluzio seguru baten proiektua eta migratzean, TLS auditoria badira. SSL Laboratorioaren (Qualys) edo testssl.sh-n aplikuak zure plataformaren uneko TLS konfigurazioa baloratzen laguntzen du eta zulotasunak detetatzen: zifratz-multso zahara, modu kontratutako zilardunak, HSTS-en (HTTP Strict Transport Security) ezezarpena, Certificate Transparency (CT logs) salbuespena.

Kontrol-puntu garrantzitsuak honako hauek dira:

• TLS 1.2 edo 1.3 erabilera bakarrean (SSLv3, TLS 1.0 eta 1.1 desaktibatzea).
• Gomendatutako zifratz-multso: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS aktibatua 6 hilabete gutxieneko iraupena eta `includeSubDomains` aukera.
• OCSP Stapling aktibatua zilardu-motzaren gaika-kentzean.
• Perfect Forward Secrecy (PFS) aktibatua giltzaren konpromisuaren eragina mugatzeko.

Zifraketa erreposuan eta trukean: osatu daitezko ohartzearen estrategia

TLS zifraketa datuak garraioan babestzen du. Baina dokumentazio-segurtasunaren estrategia osoak erreposuan dagoen datuak ere estali behar dituzte. Sinatutako dokumentuentzat, honako hauek dira:

• AES-256 zifraketa datenbase edo fitxategi-sistemeetan gordeta dagoen fitxategietan.
• Zifraketa-gakoaren kudeaketa HSM-a (Hardware Security Module) edo FIPS 140-2 zilarduak dituzten KMS zerbitzuaren (Key Management Service) bitartez.
• Ingurunen bereizketa: produkzio-datuak ez dira nahi inoiz garapen edo proba-inguruekin baterago egon.
• Segurtasun-bilaketa: dokumentuaren sarbideak logu inaltzerratu batean erregistratu behar dira, RGPD gomenak beharrean.

Enpreak osotara dokumentuen zenbakia kudeatzen duten aldetik, Certyneoko ROI kalkulatzailea segurtasun-hobetzearenaren etaren eta datuak-zaldutzaren kostuen artean diru-eragina baloratzeko baliokoa du.

Formaketa eta dokumentazio-gobernantzea

Teknologia bakarrik ez du askatzen. Dokumentazio-segurtasunaren politika bat osoik hiru zutabetan oinarritua daude:

1. Elkarlagunduaren formaketa: phishing arriskuean sentsibilizazioa, dokumentuak seguru ez dituzten partekatzea eta sarbide-kudeaketaren praktika onena.
2. Sarbide-gobernantzea: pribilegio txikienaren printzipioa, multi-faktor autentifikazioa (MFA) sinatza-plataformetara sarbidea, sarbide-eskubideen errazengo berrikuspena.
3. Intzidentuen kudeaketa: dokumentuak sinatua konpromisoa dituztela involukratuak diren intzidentuetan erantzun-plana zehaztua, RGPD (72 orduetan) eta NIS2 notifikazio-betebeharen arabera.

HR eta abokatudunek, dokumentu sentibilenak kudeatzenbidean lanean direndunek, lehen preokupaturik dagoen dira. HR-entzako sinatza elektronikoa edo abokatze-bulegoetarako bezalako soluzio dedikaturak natiboki babesen neurri hau osatzen dituzte.

---

NIS2 Arautegia eta sinatza SaaS-plataformaren segurtasuna

NIS2 enpresa-erabiltzeaileari inposatzen diona

NIS2 Arautegia (Network and Information Security 2), 2023ko uztailaren 26an Frantzian ezarritako legean eta 2024ko urrian aplikagarria, cyber-segurtasun-betebeharren perimetroa nabarmen hedatu du. Gaur egun, batez ere kritikoak diren sektoretan (osasuna, finantzak, energia, administrazioa) enpresa-neurri batean nago beren SaaS prestatzaileek segurtasun-estandar altuak betetzea bermatzen dute.

Konkretuki, NIS2 betetzea ezagun dituzte:

• Segurtasun-katearen baloratzea numerikoan, SaaS sinatza-plataformak barne.
• Kontratualki segurtasun-bermatzetak PSCo-ri eskatua (segurtasun-SLA-ak, ISO 27001 zilarduak, audit-txostenak).
• ANSSI-ri intzidentuaren notifikazioa zerbitzua numerikoa kritikoan eragin badute.

Sinatza elektronikozko prestatzailea aukeratzea NIS2 bateragarri

Enpreak NIS2 azpian dauden aldetik, sinatza-plataforma baten aukeraketa ez da zalantzaezko zerbitzua funtzionalera mugatua. Segurtasun-irizpideak honakoak behar dituzte: TLS bertsioa, gakoaren kudeaketa-politika, datuaren kokalekua (nahi hobea Europar Batasunan) eta eskaera batean audit-txostenak emateko ahalmenaren ahalmenak.

Certyneok ISO 27001 zilarduak dituzten datu-zentroetan biltzen ditu bere bezeroaren datu osoa Frantzian kokatuta, TLS 1.3 zifraketa guztiontzat eta AES-256 erreposuan dagoen datuetan. Enpreak DocuSign edo YouSign-etik migratzea bihurtu nahi dutenak, NIS2 betegarriko nahiena delakoaren aldabakoa ditu gehienetan.

Sinatutako dokumentuak seguruan aseguratzearen aplikagarri araubidea

Elektronikoki sinatutako dokumentuak seguruan aseguratzeraak hainbat araubide-tren (normatiboen) multzoaren baten osotasunean sartzena dira.

Frantziar Zibil Kodea: 1366 eta 1367 artikuluak

Zibil-Kodearen 1366. artikulua elektrozibil-escrituaren eta papeltararen betegarritasun-printzipioa ezartzen du, beraren igorleak egokiro identifikatua balitz eta dokumentua hartzean eta gordetzen balitz bete daitezken baldintzetan integritatea bermatua. 1367. artikulua sinatza elektronikoa identifikazio-prozesu fidagarri batean erabiltza deskribatzen du, bere eta bera eta aktua lotiatzean. TLS zifraketa zuzenean kontribuitzon integritatea bermatzen du transituan.

eIDAS 910/2014 Arautegia eta eIDAS 2.0

eIDAS 910/2014 Arautegia Europan sinatza elektronikoen oinarrizko araubidea da. Hiru sinatza-mailak (sinplea, aurreratua, kalifikatua) eta konfidantzaren zerbitzuaren prestatzaileen betebeharrak (PSCo-k) zehaztzen dituzte. Ataskaak I etik IV-ra Arautegieran gako-gabilzaren zehaztapena osagaitza eta ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) eta EN 319 142 (PAdES) araudiek sinatza-formatuak zehaztapena osagaitza. eIDAS 2.0ak, gaur egunean zehar eta datorren, betebeharrak indartzen dituzte europako identitate-diruaren (EUDIW) sarrera eta PSCo betebeharren segurtasun-informatika osotara.

RGPD 2016/679

Datu Pertsonal Babesketaren Araubideak (RGPD) enpreak behar dituzte neurri tekniko eta antolaketa egoki arazua bidez edota datuaren segurtasunean (32. artikulua) bermatzen ditu. Datu pertsonalak dituzten sinatutako dokumentuak zifratua egon behar dituzte trukean (TLS bidez) eta erreposuan (AES-256 edo antzekoarekin). Datura-zaldi eta ikuskeera batera, CNILei eta norduak kezkaturiko pertsonen notifikazioa 72 orduz biltzetara egon behar du (33. artikulua). CNIL-ek zifraketa neurri oinarri gisa ezagutzen du tratamendu-aburuengandik jasoa.

NIS2 Arautegia (2022/2555/UE)

Oktubretik 2024an Frantzian txertatua, NIS2 Arautegia etasen eta garrantzi handiko enpresei segurtasun-informatika beharrean inposatzen dituzte. Komunikazio-kanalaren segurtasun esplizituki estaltzen du (TLS-a barne), intzidentuen kudeaketa eta komunikazio-hornitzaile-kateak segurtasuna. SaaS sinatza elektroniko-ren prestatzaileek beren bezeroak NIS2 azpian dagoen kalifikatzea duten.

ANSSI-ren erreferentziala eta ETSI araudiak

ANSSIk zifratz-parametroetan gomenak argitaratzen ditu (ANSSI-PB-078 gida) baliozko algoritmoa eta gako-luzera zehaztzen. TLS-rentzat, ANSSI-k TLS 1.3 lehentsia gomendatzen du, TLS 1.2 estuasun-multso zilarrarekin eta SSLv3, TLS 1.0 eta TLS 1.1 formalki debekaturik. Gomenda hauek de facto sistema informatiko sentibileetan inposatzen dira eta PSCo kalifikatuak ebaluatu ordain-irizpideetan integratzen dira.

Erabileraren Szenarioak: TLS segurtasuna benetako testuinguruan

Szenario 1: Abokatuki-bulego batak sinatza pribaturean aktua dematizatuak kudeatzea

Hamabost lankide inguru dituen abokatuki-bulegoak hilabetean ehunka mande, adostasun-protokolo eta enpleo-etorpen konbentsioak kudeatzenbidean daude. Sinatza elektroniko-ren soluzio TLS 1.3 batean migratzea, dokumentuak posta elektronikoan zifratua ez zeuden, aburuduegi-dokumentua konpromisoaren eta aktuaren autentifizioen auzitzearen arazoak sortzen.

Sinatza-plataforma SaaS bat TLS 1.3 eta AES-256 zifraketa erreposuan osoan, sinatzaileentzat MFA autentifikazioarekin bikaina hartzean, aburutzearak aktuen trataketaren atzerapena %68 jaitsarekin (batez beste 4,2 egunatik 1,3 egunatik behera) eta dokumentuen seguru ez-garraiaren intzidenteak ezabatzea eduki zuta. Prozesuko etapa bakoitzaren ordu-lekuaren zergatiko-arrazoia gaur jatorritasun jaso daiteke litigio batean.

Szenario 2: PME fabrikari batean hitzarmen-hornitzailea kudeatzea

Eguneean 300 kontrata hornitzaileen inguru kudeatzenbidean dagoen PME fabrikari sektore bateak dokumentu-dispertzioren arazoa zuen: manuara sinatutako kontratak digitalizatua ziren eta zifratua ez ziren zerbitzari barne bilketan gordetzen ziren, osotara sare barne sarbidera. ANSSI 27001-an zilardu-izpilatzea baten balentzia batean osotara diren kontratacioaren auditori baketik %40 dokumentu kontratuak zifratua ez ziren adierazi.

Sinatza elektroniko-ren SaaS soluzio baten migrazioa TLS 1.3 zifraketa eta AES-256 erreposuan, rola-oinarritutako sarbide-kontrol politikarekin osoan, zulotasunez zuzena gidatu dute. Dokumentu-saldu arazoan kaltearen murrizketa estimatua NIST metodoka balioetan, mila askoren batean osotara euroen lehenguaren arrazoia aditu zuta. Kontrata hornitzailearen sinatza-atzerapena 5 egun 24 orduz azpirat jaitsarekin (batez beste) murriztua ziren.

Szenario 3: Klinika pribatu taldearen baten RGPD/NIS2 betegarritasunean

Sei dozena eta erdia ohorekin osoan hainbat azpitik lekuetan besta diren pribatu klini talderak sinatza elektroniko-ren lanaren kontratuak, stageatze-konbekoak eta pazienteen baimendu-formularioak seguruan aseguratzea bezala bezaru eduki. Osasun sektore NIS2-ren azpian esentzia klasifikatuak direnez, komunikazio-kanaletan segurtasun-betebeharrak bereziki okerr dira.

Osasunean sinatza elektroniko-ren soluzio baten hartzea TLS 1.3 zifraketa, HSM gakoen kudeaketarako eta dokumentu-sarbide bakoitzaren enbalitura biltzearen osoan taldeak NIS2 audit-beteberharrak eta RGPD biltzea-jarduna-erregistroa osotara osagaitzean izandu zute. Konformazio-guztutze kostuak hilebete baino gutxiko denboran zerbitzatu dute paperaren zirkuituaren ezabatzean HR-fitxategi gutzetan adierazitako aurreztua oinarrituz, datu-kudeaketa dokumentu bakankaren kostean 15 eta 25 euroaren artean adierazitakoetan SYNTEC Numérique sektore publikoa neurrien arabera osoan adiert zutena.

Itxiera

Zure elektronikoki sinatutako dokumentuak TLS zifraketa bitartez aseguratzeraak ez da teknologia-komfortua galdera bakoitzak: eIDAS arautegia, RGPD, NIS2 direktiba eta ANSSI gomenak datorrean legale obliga dituzte. 2026an, beren dokumentu-fluxuen segurtasunean batere kezkaturiko ez diren enpreak aburuduegi-zeinketa, haien aktuen nulitate arriskua eta partaideen konfidantza-galtza arazoan dituzte.

TLS 1.3 despliegia, AES-256 zifraketa erreposuan osoan, multi-faktor autentifikazioa eta dokumentazio-gobernantzea zintzo batean osotara, dokumentazio-segurtasun estrategiaaren oinarri minima gidatzen dituzte.

Certyneoak segurtasun-neurri hauek osotara SaaS plataforma audituanean eta suberania batean integratzen dituzte. Zure dokumentuen segurtasunaren kontrolari hartzera gaur — aurkitu nuestro oferta tarifa orrirako edo kontaktatu gure aditua audit pertsonalizato batez.