Sinadura elektronikoa eta ISO 27001 araua: 2026ko gidaliburua

Sinadura elektronikoa B2B kontratazio prozesuaren bizkarrezurra bihurtu da, baina haren balore juridikoa eta komertziala aurretik hain balioesten ez den premisa batean oinarritzen da: horren sostengu duen informazio-sistemaren solidotasunean. Hori da ISO/IEC 27001 arauaren eginkizuna, informazioaren seguritate-kudeaketaren nazioarteko erreferentzia. 2026. urtean, sinadura-platformei zuzendutako cyber-erasoak ugaritzen ari diren heinean eta eIDAS 2.0 erregelamendua tresna-emailearen exigentzia gorratzean, ISO 27001 ziurtagiriaren galdera ez da kontua osoa direnen pribilejio besterik ere: kontu handien hautaketa-irizpide standarda bihurtu da enpretan sinadura elektronikoaren enplegua.

Artikulu honetan ISO 27001 eta sinadura elektronikoen arteko sinergiak, hark ekarriko zituen oinarrizko obligazioak, ez-berdinketa ariskua eta zure SaaS tresna-emailean ziurtagiririk lor daiteke edo kalifikatuz nola ebaluatu daitezkeen pausoak analizatzen ditugu.

Zein da ISO 27001 araua eta zergatik da sinadura elektronikoarentzat berehalakoa?

Nazioarteko Normalizazio Erakundeak (ISO) eta Electrotechnical International Commission (IEC) kideek argitaratutako ISO/IEC 27001:2022 araua (2022ko urrian berrikustua) Informazioaren Seguritate-Kudeaketaren Sistemaren (SMSI) ezarrera, enpleguera, mantentzearekin eta etengabe hobekuntzarekin zerikusia duten exigentzia zehazten ditu. 93 kontrola estaltzen ditu lau tematarako sailkatuta: antolaketa-kontrolak, pertsonetarako kontrolak, fisikoak kontrolak eta teknologiako kontrolak.

Sinadura elektronikoarentzat, arau honek garrantzi berezia hartzen du informazioaren seguritearen hiru zutabeak zuzenean heldultz:

• Konfidentzialtasuna: sinatutako dokumentuak baimenik gabe sartzearen kontra babesa
• Integritatea: dokumentuak sinaturaren ondoren ez direla aldatuko bermea
• Erabilgarritasuna: epaiketa batera iritsizean sinadura-froga eskuragarritasuna

ISO 27001 kontrolak zuzenean sinadura elektronikoarentzat aplikagarriak

Arauaren A eranskinaren 93 kontrol artean, batzuk zuzenean sinadura-fluxuei dagozkienak:

5.14 kontrola – Informazioaren transmisioa: sinadutako dokumentuen transmisio segurua formalki araututzen ditu, bereziki chiffratze protokoloen bidez (TLS 1.3 gutxienez).

8.24 kontrola – Kriptografiaren erabileran: dokumentuarentzako chiffratzaileen politika dokumentatu bat exigitzen du sinadura elektronikoen sorrera eta egiaztatzeetan erabilitako algoritmoak estaltzen dutenak. Praktikan, 2026an ANSSIren aholkuak betetzen dituzten algoritmoak erabiltzea adierazten du (RSA-3072 edo ECDSA-256 gutxienez).

8.12 kontrola – Datu-amaleraren prebentzio (DLP): sinatutako dokumentuetan dituzten pertsona-datuen segurua, zuzenean RGPDren obligazioetara (derrigorrean).

5.18 kontrola – Sarbide-eskubideak: baimenak dituzten pertsonak bakarrik dituzte hasiera, sinadura edo dokumentu baten kontsulta egiteko, plataforman baimena.

ISO 27001 vs seguritate-ziurtagiri batzuak: zein duten erabilgarritasuna?

ISO 27001 ez da aukera bakarra, baina oinarri moduan balio du. Osatu egiten da honekin:

• SOC 2 II motakoa (EABetako araua, maizin NYSE-n kotizatutako enpresek exijitua)
• ISO/IEC 27017 eta 27018: hodeian eta hodeiko pertsona-datuaren babesa dituztela zehaztutako zabalpenak
• eIDAS kalifikazioa akreditaturiko organismoak emandakoa (LSTI Frantzian): derrigorrean Qualified Trust Service Providers (QTSP) direnentzat

Sinadura elektronikoaren tresna-emaile bat ISO 27001 zipurtaguridun eta eIDAS kalifikatua bada, salbuespen bikaina duten bermea eskaintzen du, eIDAS 2.0 arauaren gida osoak adierazten duen beste.

Exigentzia zehatza SaaS sinadura elektroniko tresna-emaileentzat

ISO 27001 ziurtagiri duten SaaS sinadura elektronikoaren aukeran ez da zure bereetzat organisazioak estaltzen direla adierazten — baina hau baldintzatzen du gogorra zure arduradun asumitutako arrantza-faktore.

Ziurtagiriaren perimetroa: zein baieztatu behar diren

Tresna-emaile baten ebaluaketan, hiru galdera nagusia dira:

1. Ziurtagiriaren perimetroak sinadura zerbitzua estaltzen du? Editore batek ISO 27001 ziurtagiri eduki dezake bere logikaren garapenerako jardueretan, sinadura plataforma periemetroan sartu gabe. Exijitu ofizial ziurtagiria eta egiaztatu perimetroaren erazagutza (Statement of Applicability).

1. Ziurtagiria eguneratuta dago? ISO 27001 urteko egiaztapen-auditoria eta hiru urtean berritu auditoriari diozte nahi. Bukatu ziurtagiria baliogabetzen dute edo.

1. Zein ziurtagiri-organismo? Frantzian, COFRACek akreditaturiko organismoak (Bureau Veritas, SGS, BSI Group, LRQA…) kode sinetsgarri ziurtagiriak ematen dituzte. Norberaren berdinketa deklarazio ez du eduki juridiko.

Istantzia-kudeaketa eta jarraibide-jarraipena

ISO 27001 derrigorrean dute Aktibitate Jarraipenaren Planoa (AJP) eta Aktibitate Berroraketa Planoa (ABP) dokumentatu eta probatu. Sinadura elektroniko platformarentzat, konkretuki:

• RTO (Berrekuperazioa Denbora Helburua) 4 orduak baino gutxiago, produkzioko inguruneetarako
• RPO (Berrekuperazioa Puntu Helburua) orduetan baino gutxiago, sinadura-datuen galtzeren aldetik ez direla
• Berrekuperazioa proba dokumentatu gutxienez sei hilabeteetan
• Seguritate istantziaren notifikazioareko prozeduran RGPD 33. artikuluarekin bateratuta (gehienez 72 ordu)

Exigentzia hauek NIS2 direktibatik datoz, frantsesezko legearen bidez indartu (2024ko maiatzaren 21ean 2024-449 lege-zenbakia), zein derrigorretan duten antolaketa garrantzitsuak eta garrantzi handiak istantzia-txostenak eta seguritate sendoagoak neurri egiten ditugun.

Nola ISO 27001 ziurtagiriak sinadura elektronikoen frogatzeko ondorio hobetan jasaten

Oraingoan oraingoan ez den lege eta erosketa espezialista baten gaia: sinadura elektronikoaren balore judiziala zenbait aldean dagoenean dago haren seguritate-katean haren teknikoa gauzatzen duena. Dokumenta plataforma eta kudeaketan sinaturik zeuden eta seguritate arriskutzen gauzatua gertatu beharrik dela ziurtagiri froga audientziaren aurean kontestatu ahal izan daiteke.

Datuen integritatea oinarri juridiko moduan

Zibil Kodexaren 1366. artikulua ez den sinadura elektronikoa "sinadura eskuzkoa balioak du, baldin eta bere sortzailea ondo identifikatu ahal badaira eta hori egitu eta gorde daitezkeen baldintzan, integritatea bermatzearren". Integritate horren baldintza ISO 27001ean dago.

Epailean gertaean, ISO 27001 ziurtagiri duen tresna-emaile honek eduki dezake:

• Sarbide-historiari egiaztapen-egunak aldaezinez
• Ziurtagiri auditoria txostenak estaltzen duten kontroletan adieraztea
• Kriptografiko gakoen kudeaketa politika A eranskinera bateratua

Elemento hauek frogatzeak eginda eratzen dute sinadura baliohintza ostidera estutzea oso. Sinadura elektronikoaren mailen baitan balore juridiko desberdinen konparatzeko, kontsultatu gure sinadura elektronikoaren soluzioaren konparazioa.

Liburukeria frogatzekoa eta kontserbazioaren denbora

ISO 27001, NF Z42-020 arunarekin (zenbakitik kutxae) eta ETSI EN 319 162 gomendio (kualifikatua agirilekuko zerbitzua), ezarri ahal dute liburukeriaren politika froga elektroniko ziurtagiriak gutxienez osotara — 30 urteetara beste kontratu batean kontratu merkatarientzat.

8.10 kontrola – Informazioaren desagertze ISO 27001 gainean ditu, bestalde, zabalkuntza segur eginkizun dokumentatuak ezarpenean ziklo-amaituan, RGPD egite-eskubidearekin bat (17. artikulua).

Nola ebaluatu eta derrigorrean bidali zure sinadura-tresna-emailearen ISO 27001 berdinketa

SaaS kontratua erosketaren edo berraztiketan prozesuan, hau da lau urratseko ebaluazio-protocoloa.

Pausoa 1: Ziurtagiria eskaatu eta eguazten

Exijitu ISO/IEC 27001:2022 ziurtagiria (eta ez 2013 bertsioa, 2025eko urrian zaharkitua) bere egiaztapen-auditori txosten erabat berean. Egiaztatu baliotasunarekin ziurtagiri-organismoaren erregistroan.

Pausoa 2: Aplikagarriarena erazagutza-ondorengo aztertuz (SoA)

Statement of Applicability hartu eta kontrol-batukoa zerrenda, justifikazioa dituena. Edozein kontrol baztertzea justifikazio dokumenturik gabe adierazten du zure tresna-emailearen arrantza-analysi batean ebaluatzea den ingurua.

Pausoa 3: Exigentzia tresna-emailearen kontratuan sartzea

Zure tresna-emailea duen kontrata ondorengoaren betebeharrak dituena:

• Ziurtagiriaren mantenimendua eta estaltzen dagoen galdetzeko obligazioa
• Auditoriero-txostenak entzutearren eskubidea edo sarbidea
• Tresna-emailearen AJP/ABP-rekin egindako seguritate-AE
• Sinadura integritatearen eragin arriskuren ondorioz arduraduntasun-klausula

Pausoa 4: Zure berearen arriska-analisia egitea

Ziurtagiri tresna-emaile batek ere ez zaie estaltzen zure barne-arriskuak. ISO 27001 derrigorrean dute zure berearen organisazioak arriska-analisia (6.1.2 klausula) dituen:

• Sinadura-plataformaren laguntza-sarbidea kudeaketa
• Phishing erasoaren sentsibilizazioa sinadura fluxuek bilatutakoa
• Sinadura delegazioaren politika

Praktika honek naturalizki integratzen da enpraren HH taldeen eta juridikoetarako sinadura elektronikoaren kudeaketaren politika osoetan, non dokumentuaren bolumena adierazten duen gaitzaitzean garrantzitsua ahal diren.

Sinadura elektroniko eta ISO 27001ari dagokion legena

Sinadura elektronikoaren sistema baten berdinketa bertatik normatiboa piletan oinarritzen da, zeinak edozein B2B enpresak jabetzea behar duen.

Zibil Kodexaren 1366 eta 1367 artikulua: 1366. artikulua sinadura elektroniko eta estola sinatzearen baliokidetzea ezartzen du identifikazio-baldintza eta integritate-bermearentzat. 1367. artikulua "sinadura elektronikoa gisa defini modu egiaztatu-tresna erabiltzea, bere identifikazioa eta har ditzaketen obrari lotua".

eIDAS 910/2014 erregulamendua eta eIDAS 2.0 (UE 2024/1183 erregulamendua): EBren kide estataletan aplikagarria, hiru sinadura-mailak bereizten ditu (sinplea, urratua, kalifikatua) eta Kalifikatutako Trust Zerbitzuaren Hornituehentzat (PSCQ) auditoria enpleguak xede-akreditaturiko organismoek. eIDAS 2.0 aldaketa, 2024ko maiatzean aplikatzen hasi, estaltzen dute zuzentzailearen exigentzia eta sartu europar zenbakitik identitate-egonaldiak (EUDIW).

RGPD 2016/679 erregulamendua: Sinatutako dokumentuetan dituzten pertsona-dateak (sinatzailearen identitatea, IP-helbidea, ordua) osatzen dute pertsona-dateak. Tratamendurako arduradunak bermatu behar ditu (5. artikulua), 72 orduetan askara egotea (33. artikulua) eta diseinuaren babesean txertatu (25. artikulua). ISO 27001 berdinketa tekniko enpleguarekin.

NIS2 Direktiba (UE 2022/2555 Direktiba), frantsesezko legearen bidez indartu (2024ko maiatzaren 21ean 2024-449 lege-zenbakia): Antolaketa garrantzitsuek eta garrantzidunek — enpresa B2B aktore askok — neurri seguritate-jardunak enpleguak 21. artikulua emanen dituzte. Ziurtagiri ISO 27001 gabeko sinadura-tresna-emaile batek NIS2ren bidez kalifikatu ahal duten hirugarrenaren arriskua.

ETSI normak: ETSI EN 319 100 seriea kalifikatutako sinadura elektronikoen exigentzia teknikoak zehaztzen ditu (EN 319 132 XAdES-entzat, EN 319 122 CAdES-entzat, EN 319 142 PAdES-entzat). Norma teknikoa horiek aurrepainetan dute seguritate-infraestrukturarik ISO 27001 estandarrean bateratua.

ANSSIren Erreferentzia: Frantzian, Sistemaren Seguritate Nazionalaren Agentziak publiko egiten ditu berriak algoritmo kriptografikoen gainean (RGS Erreferentzia — Seguritearen Erreferentzia Orokorra) zein enpleguak errazago egiten dira ISO 27001 ziurtagir sisteman. Tresna-emailearen kalifikazioa frantsesean enplegu-autoritate moduan ANSSI-n.

ISO 27001 ziurtagiririk gabeko sinadura-tresna-emaile batek zure enpraren enpleguak dago arriskuta sinadura balioaren audientzia kontestan, RGPD zigorra (4% munduko diru-sarrera edo 20 M€en artean), eta bere NIS2 berdinketan jokoan jartzen.

Erabileran enplegatzaileak: ISO 27001 eta sinadura elektronikoa praktikatik

Szenarioa 1 — Negozioen abokatuaren bulegoa 25 lagunekoa

Apartamenduko futsioien espezialista bat jartzen du urtean 600 neurtzak sinadura aurratuta edo kalifikatua enpleguak (NDA, akordio-protokoloa, zesio-kontentzioa). Barne auditorioaren ondoren plataformaren sarbidea integritateari galeratzaren ondorioz, bulegoaren deabrua tresna-emaile bakarrik onartzea derrigorrean dituzten ISO/IEC 27001:2022 ziurtagiria eta perimetroa sinadura zerbitzu zuzenean estaltzen duena.

Emaitza: migrazioa ondoren ziurtagir plataformara, bulegoak ikusten du 40% murriztapena epea legean sarbide seguritate zuzendariaren zailtasunetik enpresa-bezeroekin eskarmentuetan, eta 48 ordutan auditoriro auditorialtzen ziurtagir txostenak lor ahal izan dituzte bezeroen eskariaren ondorenean. Kontratuko balioztapena batez besteko epea gutxitzen da 3,2 egunetatik 1,4 eguna.

Szenarioa 2 — Industrialeko enpresa 1 500 hornitzaile-kontrata urtean kudeatzen

Automobilismo eraikitzailearen Tier-1 subkontratasun-enpresa txiki bat erakutsi behar du bere emaitzeari informazio hori osoa (eskarai-ona, kontrata-marko, abenduaren) etza ISO 27001 ondorengo berdinketetan onartutako hornitzaileen erosketa-erreferentziale osoa osatzen dute. Enpresa txikiak kartografiatzen dute bere arriskua-hornitzaileen oraino 6.1.2. klausulan eta identifikatzen dute bere aurreko SaaS tresna-emaile batek ez duela ziurtagiririk kurrente-baliotasunean.

Migra ondoren ziurtagir soluzio eta barne SMSI enplegua, enpresa txikiak lortu tresna-emaile kalifikazioa enplegudunak eta seguratu kontrata-marko 4 urtetan. Ziurtagiriaren kostua (15 000 batean 25 000 € enpresa-txiki honetan buruko aholkulariko gabinete espezializatuaren araberan) amortizatzen da bagetik sei hilabeteen azpian kontrata-bolumenaren begiratu.

Szenarioa 3 — 1 200 ohe-talde ospitalea

Osasunaren sektoran, zaintzeko ezarpenak hobetzean exigentzia: osasunaren datuen kudeaketa (RGPD 9. artikuluko kategoria berezia), HDS ziurtagiria (Osasun Datuen Hornitzailea) eta oraingoan NIS2 kalifikazioa antolaketa garrantzidunen bezala. Talde ospitalea enpleguetan sinadura elektronikoa bere kontratazio lanaldia, bere ikerketa-konplea legepena eta bere merkatu publikoa (gutxienez 900 dokumentu/hilabete).

Tresna-emaile baten aukeran ISO 27001 ziurtagiria, HDS ziurtagiria eta eIDAS PSCQ kalifikazioa beterik, ezarpenak murrizten du RGPD ez-berdinketa arriskua 60% bere DPO araberan, eta onartzen ditu 30 urtetan agirilekutako dokumentuen frogatzea legalak. Ikerketa-legepena kontrata sinatzean epea 12 egun batetik 3,5 egun batez bestean heldua, liberatzen laguntza taldeak administratzailea.

Ondorioa

1. urtean, ISO/IEC 27001:2022 ziurtagiria ez da sinadura elektronikoen tresna-emailearen argudio merkaturren besterik ere: osatu behar dute oinarri teknikoa eta judiziala integritatea sinadura dokumentuen, RGPD eta NIS2 berdinketa, eta kontratazio ostiaren froga balioaren kalitatea ziurtatzera. B2B enpresarientzat, ziurtagiri honek exijitu duten tresna-emailea horrelako SaaS-en eIDAS kalifikazioen egiaztapena bezala osatu dira diligentziaren arduradunari.

Certyneo ISO/IEC 27001:2022 ziurtagiridun bere sinadura elektronikoa plataformaren osotasunaren perimetroarekin. Gure taldeak bidali zaituzteten bat bere berdinketa ebaluaketa eta sinadura seguruaren fluxu ezartzea zure bolumenera eta sektoreari egokia. Eskatu demostrazio librean Certyneoan edo arakatu gure prezioa zure organisazioaren formula aurkitzerik.