TMD vs TMK: alderdi juridikoak eta praktikoak

Sarrera: zergatik bereizi TMD eta TMK?

Europako zintzo digital ekosistemean, Trustmark de Datos (TMD) eta Trustmark de Claves (TMK) nozioak —datuaren elektronikoa eta gako kriptografikoen azpiegiturentzako zintzo markatzeko mekanismoak adierazten dutenak hurrenez hurren— sarritan nahasketa sortzen dute derecho praktikadunengan eta ordenagailuko arduradunengan. Hala ere, haien erregeimen juridikoak, haien altzaira teknikoak eta haien inplikazio praktikoak oinarri-oinarrian desberdinak dira. Artikulu honek bi mekanismo horiek argiaren argian jartzen ditu, haien marko erreglementario errespektiboak aurkezten ditu eta B2B antolakuntza gidatzen ditu haien dokumentu-fluxuentzako egokiena den aukera egitean.

---

Zer da TMD (Trustmark de Datos)?

TMD, edo datetan ezarritako zintzo markatzeko mekanismoa, prozedurak eta atributu kriptografikoen multzo bat adierazten du, datu-setearen edo dokumento elektronikoaren osotasun eta autentikotasuna ziurtatu ahal izateko. Batez ere sello elektroniko kalifikatua mekanismoetan oinarritzen da (qualified electronic seal) eIDAS araudia ulertzen duen moduan.

TMD-ren oinarri teknikoak

Teknikoki, TMD honetara oinarritzen da:

• Hash-funtzio bat (SHA-256, SHA-3) sor-datuetan aplikatua, emprinta digitala bakarra sortuz;

• Sertifikatu digitala, Konfiantza Zerbitzuaren Hornitzaile Kalifikatua (PSCQ) batek emititzen duena, emisioko erakindaren identitatea garantizatuz;

• Denbora-marka elektroniko kalifikatua ETSI EN 319 421 arauan dagokiona, denbora-froga aurkakoa ematen duena.

Hiru elementu hauek konbinatuta TMD-ri balio probatorio altua ematen diote, UEko estatu-kideen asko halakoaren autenaldia den aktuari antza ematen duen balio bat. Gehiago jakiteko ordua-denbora dute dokumentuen balio juridikoarengatik, gure sinadura elektronikoaren gida osoa ikusi ezazu.

TMD-ren erabilera-eremuak pribilegiatu

TMD batez ere egoki da datu-bolumen handiak ziurtatzeko beharra duten egoeretan, identifikaturiko pertsona fisiko batek aktiboki interbentziorik gabe. Batez ere honetan aurkitzen da:

• Kontable eta finantza fluxuen ziurtapena (audit-diarioak, orokorreko balantza);

• Zenbaki pruebaren kontserbazio legala (n Z 42-013 NF arauan dagokion artxibo probatorios);

• Hornitzaile katean elkarzokuntzaren estandarizazioa (EDI) joka.

---

Zer da TMK (Trustmark de Claves)?

TMK, edo gako kriptografikoetan zentratutako zintzo markatzeko mekanismoa, logika desberdin batean sartzen da: ez ditu bera-beretik datuak ziurtatu, baina gako publiko azpiegitura (PKI) eta sinatariak egilea diren gailua ziurtatu. Kalifikatutako Sinadura Sortzeko Gailua (QSCD) nozioekin lotura estua du, eIDAS araudioaren II eranskinean zehaztua bezala.

TMK-ren kriptografia-arkitektura

TMK implika:

• HSM modulu (Hardware Security Module) CC EAL 4+ edo FIPS 140-2 3. mailari sailkatua, gako pribatua ez dela inoiz seguruko gailu utzi garantizatuz;

• Ziurtapenaren politika dokumentatua (CPS – Certification Practice Statement) PSCQk plazaratua;

• Erretzapena errealean (OCSP – Online Certificate Status Protocol) edo CRL mekanismoak (Certificate Revocation List).

TMK-ren solidentasuna oinarritzen da gako sortzea eta biltegiratze gailen segurtasun fisikoan eta logikoan. Eskatutako hauek marko erreglementario osoarekin nola koherentsiatu ulertzen, gure eIDAS 2.0 araudioaren gida erreferentzia ezinbestekoa da.

TMK-ren erabilera-eremuak pribilegiatu

TMK ezarri egiten da identifikaturiko pertsona fisiko bakarraren aldetik juridiko-ardura egiten denean, ziurtasun bidez:

• Balio juridiko altua duten kontratuen sinadura (merkataritza-oinarri cesionak, aldaketako baioak, notariatutako aktuen desmaterializazioa);

• Autentifikazio sendoa administrazio-enpresa portalen prozesuan (arantzelu APIak, Chorus Pro plataformak);

• Ordaimen aginduaren balidazioa finantza-establezimendutan DSP2 suitzapean.

---

Alderdi juridikoak konparatu: TMD vs TMK

TMD eta TMK artean desberdintasun estrukturalena eIDAS araudioari lotura den gunean dago (910/2014 zenbakia) eta bere ondorenari eIDAS 2.0 (araudio UE 2024/1183).

Ardura erregimenaren

| Irizpidea | TMD | TMK | |---|---|---| | Arduradunak | Pertsona morala (antolakuntza) | Identifikaturiko pertsona morala edo morala | | Konfiantza maila | Aurra edo kalifikatua (sigela) | Kalifikatua (sinadura elektroniko kalifikatua) | | Lege-justifikapenak | Datuen osotasuna | Baimena eta sinatariaren identitatea | | Transfronteria artzea | UE-n automatikoaren onartzea | UE-n automatikoaren onartzea (eIDAS 25. art.) |

TMD emisioko erakindaren ardura eragin egiten du: ziurtaturiko datuaren osotasun-arazoa balego, antolakuntza bera erantzule izango da. TMK, ordea, titularra duten gakoaren ardura eragin egiten du — honetan pertsona-boluntaria frogatu behar dena azalean, ziberrean kontsolidatua.

Probario-indarra Frantziako justizia-institutuan

Frantziako derekoan, Zibil Kodexaren 1366. artikulua ernebaletan dago « elektroniko-idazkia paperean duten berberak du balioak, salbu eta baldin printzipio zuzeneko moduan identifikatu ahal denean, eta hartan bere-igorritako pertsona, eta egina egon zein gordetzen diren moduan osotasun-baldintzak garantizatu ahal den ». Formulazio hori bi mekanismo bihoa osoa du, baina irizpide-desberdinetan:

• TMD kalifikatuak babespean duten dokumentu bati osotastasun-justia ematen zaio, frobaren zama alderantzika egiten dena;

• TMK kalifikatu baten bidez sinatutako dokumentu bati, gehiago, atribuzio-justia ematen zaio — sinataria bera froga egiten du sinatu ez zuena, oso zail izanik.

Asymmetry probatorio honek azaltzen du zergatik derecho-dekretutzeak eta derecho bufeteak sinadura elektronikoa erabiltzaien TMK-a hautatu egiten duten lege-forma baldintzan dauden aktuentzat.

Elkarkidetzara eta gegenseitige onartzea

eIDAS 2.0-ak indartu egiten du elkarkidetzara European Digital Identity Wallets (EDIW) bidez, TMK mekanismoak natiboetara integratuko dira, herritarrentzat eta profesionalentzat. TMDak, berriz, gehiago oinarritzen dira konfiantza-zerrendetan (Trusted Lists) estatu-kid bakoitzak plazaratzen dutenak. Frantzia bere hertzea plazaratzen du ANSSSIaren bidez, eta PSCQ kalifikatuak diren guztiak bertan erreferentziatzen dira. Merkatu-soluzionaren alderdi konparatiboa, gure comparatif des solutions de signature électroniquesinadura elektornikoaren sorezionaren alderdia⟧/L3⟧ zure erabaki-elementu konkretuak emango zaizu.

---

Inplikazio praktikoak B2B enpresen

TMD eta TMK aukera dokumentu-motatik neurri

Ohar-betea sinplea da: dokumentuaren risiko juridiko maila erabaki mekanismoa.

• Arrisku-batean dauden dokumentuak (eskatutako zerbitzuak, enpleguak, CGV, NDA konfidentzialdi-hitzarmena estandarra): TMD bat aurrera behar du. Osotasun-babesa sendoa du QSCD-tildutiaren lotuaren gaineko gastu-gehigarririk gabe.

• Arrisku handian dauden dokumentuak (enkargudun-besarketak, mandatuak, cesio-aktuak, 50 000 € gaineko konpromisoak): TMK kalifikatua gomendatu egiten da, zenbait erregulatutako sektoreetan erabakita (banka, asegurua, osasuna).

RR-ekipoa kontratazio-bolumen handiak kudeatzen dituen kasuetan, gure solution de signature électronique pour les RHsinadura-soluzio elektonikaoa RRentzat⟧/L4⟧ dokumentu-motatik egokituako konfiantza-maila natiboetan integratzen du.

Kostoak eta despleguaren eskaladeak

TMD orokorrean kostua-merkeago du desplegutzeko sinatarion kide bakoitza (KYC/AML) indarrean kokapena ez dutelarik. Datu-kudeaketa sistema (GED) edo ERP batean integrazioa API bidez batez beste denbora hartzen du 2 tik 6 astearaino testuinguruaren informatika konplexitate arabera.

TMK, QSCDaren eskatze-aurreduengatik eta identitate-egiaztatzearen prozesugatik, signatario bakoitzarentzat onboarding denbora 3 tik 10 lan-eguneraino eragiten du. Kanpoko agentzeak asko kudeatu behar duten antolakuntzen kasuan, hori aldaketaren gidaketan aurreon kontuan hartzeko kolaborazio-aldea izan daiteke.

Artxibatze eta kontserbazio

Hautatutako mekanismo baten gainetik, denbora erabiltzaile-denbora kontsumiduaren arazo bat Frantziako derekoan sartuta dagoen antolakuntza respetatu behar du denbora kontserbazio-legakoak: 10 urte merkataritza kontratuentzat (Merkataritza Kodexaren L. 110-4 artikulua), 5 urte asoziatu pertsona-datuentzat (RGPD 5. art.). Segurua den artxibo-sistema bat NF Z 42-013 arauan dagokiona garantizatzen du TMD edo TMK-ren balio juridiko osoa aurrera doazenean, teknologia-aldiaren kasuetan ere.

TMD eta TMK-ri aplikagarri den marko legala

eIDAS araudia eta bere bilakaera

TMD eta TMK mekanismoen oinarri erregulatorioa, Europar Parlamentu eta Kontseilua 2014ko uztailaren 23ko araudio (EU) 910/2014 da, eIDAS araudi izena. Testu oinarrizale honek konfiantza-mailaren hierarkia egiteke (sinplea, aurrera, kalifikatua) eta UE-ko konfiantza-zerbitzuaren transfronteria onartzea itzena dute.

2024an, araudio (EU) 2024/1183 (eIDAS 2.0) marko hau nabarmen aldatu du, batik bat:

• European Digital Identity Wallets (EDIW) estatu-kideentzat obligatorioak 2026 baino lehen;

• Konfiantza-zerbitzuaren kategoria berriak, besteak beste atributuen elektroniko-adiskidea kalifikatua;

• PSCQ-rentzako eskatze handituak ziberraren segurtasunean (NIS2 elkarketaren baitan).

Frantziako Zibil Kodexaren 1366. eta 1367. artikuluak

Denbora-deszordinen, Zibil Kodexaren 1366. eta 1367. artikuluak (2016ko otsailaren 10eko 2016-131 zenbakia ordenantza batetik sortuak) idazki elektonikoaren probario-balioaren baldintza jarri dituzte. 1367. artikulua zehazten du sinadura elektroniko kalifikatua (TMK kalifikatuaren eta QSCD bakarraren oinarrian oinarrituta) « ziurtasun sinplearen justia sortzea ». Justia hori alderantzika daiteke, baina frobaren zama sinadura-jasanlearen aldean invertsatzen du.

Aplikagarri ETSI arauak

TMD eta TMK-ren zehatzapen teknikoak ETSI (European Telecommunications Standards Institute) batek arauta daude:

• ETSI EN 319 132: XAdES sinadura elektroniko aurrera;

• ETSI EN 319 122: CAdES sinadura;

• ETSI EN 319 142: PAdES sinadura (PDF);

• ETSI EN 319 421: Ordua-markaren elektroniko kalifikatua politika;

• ETSI EN 319 401: PSCQrentzako oinarrizko eskatze orokorrak.

RGPD eta datuen beka

TMD eta TMK-ren despleguak pertsona-datuak tratamendu dakar (sinatariaren identitatea, sinadura-metadatuak). araudio (EU) 2016/679 (RGPD) arauketa-justifikapenak:

• Oinkusagarri ariketa tratamendurako (kontratua aurrera, 6.1.b artikulua, edo obligazio legala, 6.1.c artikulua);

• Tratamendu-registroa PSCQ-ra eta kanpo-kontratatuak dauden datu-fluxu dokumentatuz;

• Kontratazio-klausulak egokituak PSCQa UE-ean ezarri bada datorren edo baitara barrutiera datorren kasuan.

NIS2 Direktiba eta PKI azpiegituren ziberraren segurtzea

direktiba (EU) 2022/2555 (NIS2), Frantziako derekoan legeak emandako transposizioa 2024ko aprilaren 17ko legearen bidez, PSCQa kalifikatuak ziberra-arrisku kudeaketaren obligazio handituak, incidenteen abisua (ANSSI asmatzaileari 24 ordu-denboran) eta aldia aldiaren auditura. Erabiltzailearen enpresentzat, honek due diligence obligazioa eragin egiten du haien konfiantza-hornitzailea aukeratzean.

Konkretutako erabilera-eszenak

1. Eszenarioa: urtean 300 hornitzaile-kontratua kudeatzen duen PMMa industria

Ehun inguruko enpleguak duen PMM industriala, mekanismo-osagaien fabrikazioan denbora, urtean kontratua inguruko hornitzaileak inguruko 300 (lehenengo materialen erosketak, mantenimenduko zerbitzuak, logistika-kontratua-markoak). Orain arte, dokumenduak postaz edo enkriptatzeko email-ez bidali ziren, sinadura-batean batez bestean 12 tik 18 lan-eguneraino.

20 000 € inguruko kontratuentzat TMD kalifikatua eta enpleguak gainean edo urtean-denboretan TMK kalifikatua despleguaz, PMM sinadura-denboraren1,8 lan-egun batez bestean murriztzen du, dena % 85aren gainetik murriztu izanik. Dokumentu-osotasunaren kontsozioa jasotzen zituzten litigiak, aurten 2 tik 3 enplegu-prozeso hauek zeroraino jaitsi ziren 18 asteraino despleguaren ondoren — mekanismo kalifikatuak lotuta dagoen justia-asumak ausartzen baitute kontestazio-saiakerak.

2. Eszenarioa: 600 ohe inguruko osasun-taldeaketa

Hainbat estabezimendu kudeatu duen osaketalanaren taldeaketa, urtean mila dokumentuak baino gehiago sinatu behar ditu: osasun-praktikarioen kontratua, kliniká-ikerketarako protokoloak, unibertsitarioen eta farmaka laborategien agenteiekdin konbenzioak. Osasunaren sektoreai hainbat erreglamentario-mugarriek behera egiten dute (HDS — Osasun-Datuen Bizitokia, PGSSI-S).

Taldeaketa TMK kalifikatua despleguatzen du praktikarioen sinaduren (haien medikuntza eta juridiko-ardura eragiten dutenean) eta TMD aurrera datuen fluxu-ziurtatzea osasun-estabezimenduetan. Bi mekanismoen konbinazioak astiaren osasun-astigura, zenbakien artxibatze eta gordetzearen kostua murriztea ahaltzatzen du 45 000 € urtean RGPD eta HDS bete-ditzean. Hala ere, merkatu-audituak, aurten 3 astean dokumentazioaren laster-prestaketa eskatzen zuena, 4 egunean murrizten zen automatiko artxibatze-diarioen eskemantzean.

3. Eszenarioa: Enpresa-transakzioen eta akzio-batearenaren kontsulta-bulego

M&Aen espezialista bulego bat, urtean hamalau operazio asmatzailearen bat, LOI (Confidentiality Agreements), hitzarmen-akordio eta akzio-cesio aktua kudeatu behar du. Operazioen balioa 5 M€ tik 80 M€ raino dago. Dokumentuaren autentikotasunaren gainean aukera batean kontesoa transakzioa hiletan blokeatu daiteke.

Transazioaren dokumentuak TMK kalifikatuaren erabilera kontraktuan inposatuz, due diligence fasean, bulego honek dokumentuaren autentikotasun-kontestazioaren arrisku orokorrak ezabatu egiten ditu. Kanpoan-agentziak (batik bat Britaina post-Brexit eta Amerikako ) eIDAS sinadura kalifikatuaren balio-aipuak onartzen dute Europaren derekoa aplikatzailearen klausularen baitan. Dokumentazio-itxieraren denbora batez bestean 22 egunean 8 eguneraino pasa, hau da, % 63ko onena bukaeren denboretan.

Ondorioa

TMD eta TMK ez dira elkartruk erabil daitezkenak: lehenak antolakuntza-mailan datuen osotasuna ziurtatu, bigarrenak sinatariaren ardura indartu egiten du eIDASak aurreikusitako balio-auearekin. Desberdintasun hau ulertzea orain B2B ingurunean dokumentu-politika serio baten aurrerako hitzapena da. Mekanismo-egokiaren hautapena zuzenean dagoko dokumentu-motatik arrisku juridikoak eta aplikagarri den sektore-baldintzak.

Certyneo zure dokumentu-fluxuen arabera TMD eta TMK konbinatzea zintzo digital estrategia batean laguntzean ematen dituzu. Gure plataformak bi mekanismoak kudeatzen ditu, eIDAS 2.0 ekaizpena nativoa du eta zure SI beganean egokituko da. Demandez une démonstration ou comparez nos offres sur la page Tarifs CertyneoIkusi demostrazioa edo konparatu gure berriak Tarif Certyneoren orrian⟧/L5⟧ — gure derecho eta teknika-adituak librea zure egoera auditatzeko.