رفتن به محتوای اصلی
Certyneo

Horodatage qualifié eIDAS : la preuve de date certaine

اختم الزمنی مؤهل eIDAS تاریخ مؤكد و قابل اعتراض برای هر سند امضاء شده الکترونیکی فراهم می‌کند. درک عملکرد آن برای هر سازمانی که می‌خواهد اثبات های دیجیتالی خود را ایمن کند ضروری است.

Équipe éditoriale Certyneo10 دقیقه مطالعه

Équipe éditoriale Certyneo

نویسنده — Certyneo · درباره Certyneo

اختم الزمنی الکترونیکی اغلب به عنوان جزئی تکنیکی فرعی تلقی می‌شود. در واقع، این یکی از ستون‌های ارزش اثباتی سند امضاء شده الکترونیکی است. بدون آن، امضای دیجیتالی چیزی نمی‌گوید درباره زمانی که اعمال شده است — یک کمبود که می‌تواند در صورت اختلاف نظر کشنده باشد. مقررات eIDAS شماره 910/2014 دقیقاً مفهوم اختم الزمنی مؤهل را معرفی کرد، بالاترین سطح گواهی تاریخ در تمام کشورهای عضو اتحادیه اروپا شناخته شده است. این مقاله این مکانیسم، الزامات فنی آن، دامنه حقوقی آن و موقعیت‌های عملی را که در آن ضروری است شرح می‌دهد.

اختم الزمنی مؤهل بر اساس eIDAS چیست؟

تعریف و سطوح اختم الزمنی

مقررات eIDAS دو دسته اختم الزمنی الکترونیکی را متمایز می‌کند:

  • اختم الزمنی الکترونیکی ساده: هر داده‌ای به شکل الکترونیکی که تاریخ و ساعت را با داده‌های دیگر مرتبط می‌کند. از یک فرض قابل شکست قابلیت اعتماد بهره می‌برد (مادهٔ 41 eIDAS).
  • اختم الزمنی مؤهل: سطح بالاتر، صادر شده توسط ارائه‌دهنده خدمات اعتماد مؤهل (PSCQ) ثبت‌شده در یک فهرست اعتماد ملی تحت نظارت. از فرض قانونی دقت تاریخ و ساعت و تمامیت داده‌های اختم‌شده بهره می‌برد (مادهٔ 42 eIDAS).

این تمایز بنیادی است: اختم الزمنی مؤهل تا اثبات خلاف منصب دقیق است، که در صورت اختلاف نظر بار اثبات را معکوس می‌کند. برای اطلاعات بیشتر در مورد سطوح اعتماد مختلف پیش‌بینی شده توسط این متن، به راهنمای کامل مقررات eIDAS 2.0 مراجعه کنید.

الزامات فنی اختم الزمنی مؤهل

برای اینکه اختم الزمنی بر اساس eIDAS مؤهل باشد، باید معیارهای سختی را که در مادهٔ 42 مقررات تعریف شده‌اند برآورده کند:

  1. تاریخ و ساعت را با داده‌ها به گونه‌ای مرتبط کنید که هرگونه امکان تغییر بدون کشف را منطقی به حداقل برسانید.
  2. بر منبع زمانی دقیق استوار باشید که به زمان جهانی هماهنگ (UTC) مرتبط، قابل ردیابی و منطبق با استانداردهای ETSI EN 319 421 و EN 319 422 باشد.
  3. با استفاده از امضای الکترونیکی پیشرفته یا مهر الکترونیکی پیشرفته PSCQ مؤهل امضا شود، یا از طریق روش معادل.

در عمل، ارائه‌دهنده خدمات اثر رمزنگاری (hash) سند را دریافت می‌کند، اختم زمانی امضاء شده را روی آن اعمال می‌کند، و نشانه اختم الزمنی را برمی‌گرداند (timestamp token، TST) منطبق با پروتکل RFC 3161. این فرآیند هرگز محتوای سند را به ارائه‌دهنده منتقل نمی‌کند — فقط اثر آن — که حریم خصوصی داده‌ها را تضمین می‌کند.

فهرست‌های اعتماد و نظارت ملی

در فرانسه، ANSSI (آژانس ملی امنیت سیستم‌های اطلاعاتی) مرجع نظارتی است که فهرست ارائه‌دهندگان مؤهل را حفظ می‌کند. این فهرست به شکل XML امضاء شده منتشر می‌شود و در فهرست اعتماد اروپایی (EU Trusted List) یکپارچه می‌شود که از طریق پورتال eIDAS کمیسیون اروپا قابل دسترس است. هر ارائه‌دهندهٔ موجود در این فهرست تحت حسابرسی دقیق انطباق با استانداردهای ETSI EN 319 401 (الزامات عمومی) و ETSI EN 319 421 (پروفایل سیاست برای TSA‌های مؤهل) قرار گرفته است.

هنگامی که راه‌حل امضای الکترونیکی را برای شرکت خود ارزیابی می‌کنید، تأیید اینکه ارائه‌دهنده اختم الزمنی مؤهل را یکپارچه می‌کند — نه اختم الزمنی داخلی ساده — معیار انتخاب تصمیم‌گیرنده است.

چرا اختم الزمنی مؤهل برای اثبات تاریخ حیاتی است؟

تاریخ در زنجیرهٔ اثبات دیجیتالی

امضای الکترونیکی مؤهل اثبات می‌کند چه کسی امضاء کرده و سند تغییر نیافته است. اما اثبات نمی‌کند کی امضا اعمال شده است، مگر اینکه اختم الزمنی مؤهل به آن مرتبط باشد. این تمایز در چندین سناریو اهمیت کامل پیدا می‌کند:

  • اولویت اختراع: برای اثبات اینکه بیایوان یا دانش موجود بود قبل از تاریخ خاصی.
  • رعایت مهلت قرارداد: برای نشان دادن اینکه قرارداد قبل از تاریخ انقضای پیشنهاد امضاء شد.
  • بایگانی اثباتی مدت‌دار طولانی: اعتبار رمزنگاری امضا می‌تواند با منسوخ شدن الگوریتم‌ها منقضی شود (پدیدهٔ پیری امضا). اختم الزمنی مؤهل امکان «اختم‌کردن مجدد» سند و تمدید ارزش اثباتی آن را فراهم می‌کند.

پیری امضا‌ها و اختم‌کردن مجدد

الگوریتم‌های رمزنگاری تکامل می‌یابند. گواهی امضا بر اساس RSA-2048 که در سال 2015 امن تلقی می‌شد، می‌تواند با افزایش قدرت محاسباتی کوانتومی در افق سال 2030 ناکافی تحت تحقیق قرار گیرد. بایگانی با ارزش اثباتی بر اساس اجرای اختم‌کردن مجدد است: قبل از انقضا فرض‌شدهٔ دوام الگوریتم، اختم الزمنی مؤهل جدید بر روی کل (سند + امضا + اختم قبلی) اعمال می‌شود، بنابراین زنجیرهٔ اعتماد بدون وقفه ایجاد می‌شود.

این روش در ETSI EN 319 102-2 (رویه‌های تأیید امضاهای پیشرفته و مؤهل) نرمال‌شده و برای هر سندی توصیه می‌شود که باید بیش از 10 سال حفظ شود — اسناد notarial، قراردادهای تجاری مدت‌دار یا فایل‌های پزشکی.

تعامل اروپایی و شناخت متقابل

یکی از نقاط قوت اصلی اختم الزمنی مؤهل eIDAS در شناخت خودکار در کل 27 کشور عضو است (مادهٔ 41.3 eIDAS). اختم الزمنی مؤهل صادر شده توسط PSCQ فرانسوی همان اثرات حقوقی را در آلمان، اسپانیا یا لهستان تولید می‌کند. این قابلیت حمل حقوقی به‌ویژه برای شرکت‌هایی که در بازارهای اروپایی فراملی فعالیت می‌کنند و قراردادهایی با شرکای متعدد کشور امضاء می‌کنند مفید است. برای مقایسهٔ روش‌های مختلف موجود در بازار، مقایسهٔ راه‌حل‌های امضای الکترونیکی تحلیل دقیقی فراهم می‌کند.

یکپارچگی اختم الزمنی مؤهل در جریان امضای الکترونیکی

معماری فنی جریان منطبق

در فرآیند امضای الکترونیکی مؤهل (QES)، اختم الزمنی در چندین سطح سند امضا‌شده یکپارچه می‌شود، طبق قالب‌های ETSI برای امضاهای مدت‌دار:

  • قالب XAdES-LTA (امضاهای الکترونیکی پیشرفتهٔ XML – آرشیو مدت‌دار): برای اسناد XML.
  • قالب PAdES-LTA (امضاهای الکترونیکی پیشرفتهٔ PDF – آرشیو مدت‌دار): برای PDF‌ها، رایج‌ترین قالب در شرکت.
  • قالب CAdES-LTA (امضاهای الکترونیکی پیشرفتهٔ CMS – آرشیو مدت‌دار): برای فایل‌های باینری عمومی.

پسوند LTA (آرشیو مدت‌دار) دقیقاً سطح را نشان می‌دهد که اختم الزمنی مؤهل و داده‌های لازم برای تأیید آتی را در بردارد.

نقش پلتفرم SaaS امضا

در راه‌حلی SaaS مثل Certyneo، یکپارچگی اختم الزمنی مؤهل برای کاربر نهایی شفاف است. پلتفرم:

  1. اثر رمزنگاری سند نهایی شده را تولید می‌کند.
  2. این اثر را برای TSA (Time Stamping Authority) مؤهل شریک از طریق اتصال امن ارسال می‌کند.
  3. نشانهٔ اختم الزمنی (TST) امضاء شده را دریافت می‌کند.
  4. TST را در فایل PDF/A طبق قالب PAdES-LTA یکپارچه می‌کند.
  5. کل را در محیط بایگانی ایمن ذخیره می‌کند، خود حسابرسی‌پذیر.

کاربر بنابراین دارای سندی است که تاریخ نهایی شدن امضا گواهی‌شده و بررسی‌پذیر توسط هر شخص ثالث است، بدون وابستگی به زیرساخت پلتفرم که امضا را انجام داده است. این استقلال تأیید معیاری از برتری است که اغلب در فراخوان پیشنهادات کم‌ارزش‌گذاری می‌شود. اگر درنظر دارید از ارائه‌دهندهٔ دیگر تغییر کنید، راهنمای انتقال از DocuSign یا YouSign به Certyneo نکات احتیاط فنی را که باید پیش‌بینی شود تفصیل می‌دهد.

تأیید و حسابرسی

هر سندی که اختم الزمنی مؤهل PAdES-LTA را برگنجاند می‌تواند از طریق ابزارهای متن‌باز رایگان (DSS Library کمیسیون اروپا) یا کاهش‌دهندگان آنلاین منطبق با eIDAS تأیید شود. تأیید تأیید می‌کند:

  • هویت امضاکننده (گواهی مؤهل).
  • تمامیت سند (بدون تغییر پس از امضا).
  • تاریخ و ساعت گواهی‌شده (نشانهٔ TST معتبر، TSA در فهرست اعتماد).
  • عدم ابطال گواهی در زمان امضا.

این قابلیت ردیابی مکمل یک مزیت تعیین‌کننده برای تیم‌های حقوقی است که باید به‌طور منظم مدارک اثباتی را در چارچوب دعاوی یا حسابرسی‌های نظارتی تولید کنند.

چارچوب حقوقی قابل اعمال برای اختم الزمنی مؤهل

مقررات eIDAS شماره 910/2014

مقررات (اتحادیه اروپا) شماره 910/2014 پارلمان اروپایی و شورای آن در 23 ژوئیه 2014، مقررات eIDAS، بنیاد حقوقی اختم الزمنی مؤهل در اروپا است. تدوین‌های کلیدی آن:

  • مادهٔ 3(34): اختم الزمنی الکترونیکی را به عنوان «داده‌هایی به شکل الکترونیکی که داده‌های الکترونیکی دیگری را با لحظهٔ خاصی مرتبط می‌کنند و اثبات می‌کنند این داده‌ها در آن لحظه موجود بودند» تعریف می‌کند.
  • مادهٔ 41: به اختم‌های الکترونیکی ساده فرض دقت قابل شکست اعطا می‌کند.
  • مادهٔ 42: شرایط برای واجد‌شرایط شدن اختم الزمنی (منبع UTC قابل ردیابی، امضای PSCQ مؤهل، پیوند رمزنگاری با داده‌ها) را تعیین می‌کند.
  • مادهٔ 42(2): اختم الزمنی مؤهل را فرض قانونی دقت تاریخ و ساعت و تمامیت داده‌های مرتبط اعطا می‌کند. این فرض در برابر هر دادگاه اتحادیه اروپا بدون نیاز به اثبات اضافی معتبر است.

مقررات eIDAS 2.0 (مقررات اتحادیه اروپا 2024/1183، به‌تدریج از سال 2024 موثر) این تدوین‌ها را با گسترش چارچوب به کیف پول هویت دیجیتالی اروپایی (EUDIW) تقویت می‌کند، بدون زیان به مبانی اختم الزمنی مؤهل.

قانون مدنی فرانسوی — مواد 1366 و 1367

در حقوق فرانسوی، مادهٔ 1366 کد مدنی بیان می‌کند «نوشتار الکترونیکی همان قدرت اثبات نوشتار روی کاغذ دارد، با شرط اینکه شخص صادرکننده آن به‌درستی شناسایی شود و بر اساس شرایطی ایجاد و حفظ شود که طبیعتاً تمامیت آن را تضمین کند». مادهٔ 1367 شرایط امضای الکترونیکی قابل اعتماد را روشن می‌کند. اختم الزمنی مؤهل به‌طور مستقیم در برآوردن شرط تمامیت و تاریخ مؤكد الزام‌شدهٔ این متون سهم دارد.

علاوه بر این، فرمان شماره 2017-1416 مورخ 28 سپتامبر 2017 مربوط به امضای الکترونیکی صراحت به مقررات eIDAS برای تعریف سطوح امضا قابل‌قبول در برابر دادگاه‌های فرانسوی اشاره می‌کند.

الزامات حفاظت و RGPD

مقررات (اتحادیه اروپا) 2016/679 (RGPD) برای هر فرآیند داده‌های شخصی قابل اجرا، تدابیر امنیتی فنی مناسب (مادهٔ 32) را الزام می‌کند. اختم الزمنی مؤهل، با تضمین تمامیت و تاریخ داده‌های پردازش‌شده، به انطباق RGPD در جریان‌های سندی که داده‌های شخصی درگیر است سهم دارد.

بخش‌های خاصی مدت‌های حفاظت قانونی خاصی را الزام می‌کنند: 5 سال برای قراردادهای تجاری (مادهٔ L.110-4 کد تجارت)، 10 سال برای اسناد حیات‌ملت، 20 سال برای برخی سند‌های پزشکی. برای این بایگانی‌های مدت‌دار، فقدان اختم الزمنی مؤهل و اختم‌کردن مجدد دوره‌ای خطری حقوقی عظیم تشکیل می‌دهد: سند می‌تواند ارزش اثباتی خود را قبل از انقضای مدت قانونی حفاظت از دست بدهد.

استانداردهای ETSI مرجع

  • ETSI EN 319 421: سیاست و الزامات امنیتی برای TSA‌های (Time Stamping Authorities) مؤهل.
  • ETSI EN 319 422: پروفایل نشانهٔ اختم الزمنی.
  • ETSI EN 319 102-1/2: رویه‌های ایجاد و تأیید امضاهای پیشرفته و مؤهل، اختم الزمنی را برگنجاننده.
  • ETSI EN 319 132 (XAdES) و EN 319 122 (CAdES): قالب‌های امضا برای بایگانی مدت‌دار.

سناریوهای کاربری: اختم الزمنی مؤهل کی تصمیم‌گیرنده است؟

سناریوی 1 — کابینت حقوقی دعاوی B2B مدیریت فایل‌های دعوی

کابینتی حقوقی متخصص در دعاوی قراردادی B2B با حدود پانزده همکار، امضای الکترونیکی مؤهل را برای اسناد دادرسی، توافق‌های حق الوکالت و نامه‌های حساس خود بکار می‌برد. در زمینهٔ دعوایی مربوط به تاریخ قبول پیشنهاد تجاری، حریف اعتراض می‌کند که امضای کلینت‌اش قبل از انقضای مهلت مشخص‌شدهٔ پیشنهاد نباشد.

با توجه به اختم الزمنی مؤهل یکپارچه‌شده در سند PAdES-LTA، کابینت نشانهٔ اختم الزمنی صادر‌شدهٔ PSCQ در فهرست اعتماد فرانسه تولید می‌کند. تاریخ گواهی‌شده — دقیق تا ثانیه — بطور مستقل توسط قاضی و کارشناس قضایی بررسی‌پذیر است. فرض حقوقی مادهٔ 42 eIDAS اعمال می‌شود: بار اثبات خلاف اکنون بر عهدهٔ حریف است. پرونده بدون کارشناسی متقابل مهری حل می‌شود، حفظ حدود 15 تا 25 روز دادرسی طبق برآورد‌های معمول برای این نوع دعوا.

سناریوی 2 — شرکت کوچک و متوسط صنعتی مدیریت پرتفوی قراردادهای تأمین‌کننده

شرکتی کوچک و متوسط صنعتی مدیریت حدود 300 قرارداد تأمین‌کننده در سال — NDA، شرایط عمومی خرید، متمم‌های تعرفه — بایگانی سندی خود را در زمینهٔ بازسازی ERP ایمن کردن می‌خواهد. شرکت می‌خواهد ارزش اثباتی قراردادهای خود را حداقل برای 10 سال حفظ کند، منطبق بر الزامات قانونی و الزامات بیمه‌گر خود.

با استقرار راه‌حل امضای الکترونیکی یکپارچه‌کننده اختم الزمنی مؤهل و قالب PAdES-LTA، شرکت به‌طور خودکار بایگانی‌های با ارزش اثباتی مدت‌دار تشکیل می‌دهد. حسابرسی داخلی انجام‌شدهٔ 18 ماه پس از استقرار افشا می‌کند کاهش 40 درصدی زمان اختصاص‌یافته برای جستجو و بازسازی سندی در حین حسابرسی‌های تأمین‌کننده، و حذف تقریباً کامل اختلافات مربوط به تاریخ‌نفوذ متمم‌های تعرفه. تیم‌های منابع انسانی از مزیدهٔ برابر برای قراردادهای کار و متمم‌ها بهره‌می‌برند، با انطباق تقویت‌شدهٔ بازرسی‌های کار.

سناریوی 3 — تأسیسهٔ بهداشتی و بایگانی رضایت‌نامه‌های بیمار

گروهی بیمارستانی اندازهٔ متوسط (حدود 600 تخت) فرم‌های رضایت روشن‌شدهٔ خود را برای عمل‌های جراحی و کارآزمایی‌های بالینی دمات‌می‌کند. مقررات قابل‌اجرا (مادهٔ L.1111-4 قانون بهداشت عمومی، مقررات (اتحادیه اروپا) 536/2014 درباره کارآزمایی‌های بالینی) نه‌تنها ردیابی رضایت بلکه تاریخ‌مؤکدی رضایت قبل از عمل پزشکی را الزام می‌کند.

یکپارچگی اختم الزمنی مؤهل در جریان امضای رضایت‌نامه تضمین می‌کند که تاریخ رضایت گواهی‌شده و بدون‌مناقشه است، حتی در صورت بازرسی توسط مرجع‌های بهداشتی (HAS، ANSM) یا دعاوی پزشکی. برای این بخش، راه‌حل‌های امضای الکترونیکی متناسب‌شدهٔ برای بهداشت باید اختم الزمنی مؤهل را الزاماً یکپارچ

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.