تعهدات فراهمکننده امضای الکترونیکی در فرانسه
صلاحیت eIDAS، انطباق RGPD، الزامات ANSSI: فراهمکنندگان امضای الکترونیکی با چارچوب قانونی سختی روبرو هستند. تمامی تعهدات قابل رعایت را کشف کنید.
تیم Certyneo
نویسنده — Certyneo · درباره Certyneo
مقدمه
استقرار راهحل امضای الکترونیکی در فرانسه کار بیتدبیری نیست. پشت هر امضای واجد شرایط یا پیشرفته، دهها تعهد قانونی وجود دارد که بر عهده فراهمکنندگان خدمات اعتماد (PSCo) است. مقررات eIDAS، RGPD، استانداردهای کلی امنیتی، هنجارهای ETSI... چارچوب نظارتی هم متراکم و هم در حال تحول است. برای شرکتهای کاربر، درک این تعهدات قانونی فراهمکننده امضای الکترونیکی فرانسه eIDAS RGPD ضروری است تا بتوانند شریک منطبق را انتخاب کنند و از هرگونه ریسک حقوقی بپرهیزند. این مقاله، بخش به بخش، کل الزامات قابل اعمال برای PSCo های فعالیت در قلمرو فرانسه را تفصیل میدهد.
---
وضعیت فراهمکننده خدمات اعتماد واجد شرایط
PSCo در معنای eIDAS چیست؟
مقررات eIDAS شماره 910/2014 بین دو دسته فراهمکننده تمایز قائل میشود: فراهمکنندگان خدمات اعتماد بدون واجد شرایط و فراهمکنندگان واجد شرایط (PSCQ). اولیها میتوانند خدمات امضای الکترونیکی ساده یا پیشرفته را بدون ممیزی اجباری طرف ثالث ارائه دهند. دومیها — تنها دارای مجوز برای ارائه امضاهای واجد شرایط در معنای ماده 3(15) eIDAS — باید الزامات بسیار سختگیرانهتری را رعایت کنند.
در فرانسه، آژانس ملی امنیت سیستمهای اطلاعات (ANSSI) نقش مرجع نظارتی (« Supervisory Body ») پیشبینیشده در ماده 17 eIDAS را ایفا میکند. آن لیست قابل اعتماد فرانسوی (TSL — Trust Service List) را منتشر و نگهداری میکند، که در سایت رسمی آن قابل دسترس است، فراهمکنندگان واجد شرایط و خدمات آنها را نامبرده است.
رویه صلاحیت: ممیزی و انطباق
برای بهدست آوردن وضعیت واجد شرایط، یک PSCo باید:
- خدمات خود را ممیزی کند توسط یک سازمان ارزیابی انطباق (CAB — Conformity Assessment Body) معتمد توسط COFRAC مطابق هنجار EN ISO/IEC 17065.
- گزارش ممیزی را به ANSSI ارسال کند، که در مورد اعطای وضعیت واجد شرایط رای میدهد. این وضعیت حداقل هر 24 ماه مجدداً ارزیابی میشود (ماده 20 §1 eIDAS).
- ANSSI را از هرگونه تغییر جوهری در خدمات خود مطلع کند در مهلت 3 ماه قبل از تغییر پیشبینیشده (ماده 21 eIDAS).
عدم رعایت این مراحل فراهمکننده را در معرض حذف از TSL و از دست دادن فروضهای حقوقی متصل به امضای واجد شرایط قرار میدهد. برای شرکتهای مشتری، مراجعه به PSCo ای که در TSL نامبرده نشده باشد، معادل عدم بهرهمندی از هیچ فروض حقوقی قابلیت اعتماد است.
> برای اطلاعات بیشتر در مورد سطوح مختلف امضا و اثرات حقوقی آنها، راهنمای جامع مقررات eIDAS 2.0 را مطالعه کنید.
---
تعهدات فنی و امنیتی تحمیلشده بر PSCo
رعایت هنجارهای ETSI
فراهمکنندگان واجد شرایط باید با مجموعهای از هنجارهای اروپایی منتشرشده توسط موسسه استانداردهای مخابرات اروپا (ETSI) انطباق داشته باشند. عمدهترین موارد عبارتند از:
- ETSI EN 319 401: الزامات امنیتی عمومی قابل اعمال برای همه PSCo.
- ETSI EN 319 411-1 و 411-2: سیاستها و شیوههای مراجع گواهینامه ارائهدهنده گواهینامههای امضای واجد شرایط.
- ETSI EN 319 132: قالبهای امضای الکترونیکی پیشرفته (XAdES برای XML، PAdES برای PDF، CAdES برای CMS).
- ETSI EN 319 122: قالب CAdES برای امضاهای واجد شرایط.
- ETSI TS 119 431: الزامات برای خدمات ایجاد امضا از راه دور (QSCD دور).
این هنجارها اختیاری نیستند: مقررات eIDAS (پیوست II، III و IV) به صراحت بر آنها اشاره میکند تا الزامات کمینه گواهینامههای واجد شرایط و وسایل ایجاد امضا را تعریف کند.
مدیریت وسایل ایمن ایجاد امضا (QSCD)
یکی از پایههای امضای واجد شرایط، استفاده از یک وسیله ایمن ایجاد امضا (QSCD — Qualified Signature Creation Device) منطبق با پیوست II eIDAS است. فراهمکننده باید تضمین کند که:
- کلید خصوصی امضاءکننده تنها میتواند در QSCD ایجاد، ذخیره یا کپی شود.
- ایجاد کلید انحصاری در محیط معتمدی انجام میشود (گواهی Common Criteria EAL 4+ یا معادل).
- احراز هویت امضاءکننده قبل از هرگونه عمل امضا بر حداقل دو عامل احراز هویت استوار است.
در بافت امضای از راه دور — که در محیطهای SaaS رو به افزایش است — این الزامات بر سرور HSM (ماژول امنیتی سختافزاری) میزبانی کلیدها اعمال میشود. ANSSI پروفیلهای حفاظت خاصی (PP-0075، PP-0076) منتشر کرده است که معیارهای امنیتی قابل دستیابی را تعریف میکند.
سیاست تداوم و اطلاع رسانی از حادثات
ماده 19 eIDAS تحمیل میکند بر هرگونه فراهمکننده خدمات اعتماد (واجد شرایط یا نه) تا:
- مرجع نظارتی (ANSSI) و در صورت لزوم مرجع حفاظت از دادهها (CNIL) را مطلع کند در عرض 24 ساعت پس از تشخیص نقض امنیت احتمالاً اثرگذار بر قابلیت اعتماد خدمات.
- برنامه تداوم فعالیت مندرج و آزمایششده منظم داشته باشد.
- سیاست امنیت اطلاعات فرمبندیشده داشته باشد، بهطورخاص مدیریت ریسک، مدیریت حادثات و سیاست پشتیبانگیری را پوشش میدهد.
این الزامات تا حدی با الزامات دستورالعمل NIS2 (2022/2555/EU) همپوشانی دارند، که در قانون فرانسوی شماره 2023-703 مورخ 1 اوت 2023 به مقررات داخلی درآمده است، PSCo های اندازه قابل توجه را در میان نهادهای مهم یا اساسی قرار میدهد که در معرض الزامات تقویتشده سایبرامنیتی هستند.
> بیاموزید چگونه امضای الکترونیکی برای مكاتب حقوقی باید این محدودیتها را در گردشهای کاری اسناد خود ادغام کند.
---
تعهدات RGPD مختص PSCo
PSCo، مسئول پردازش یا پردازشکننده؟
صلاحیت RGPD فراهمکننده بستگی به ماهیت خدمت ارائهشده دارد:
- هنگامی که PSCo مستقیماً گواهینامههای واجد شرایط را به نام امضاءکننده صادر میکند و اهداف پردازش دادههای شخصی (هویت، دادههای احراز هویت بیومتریک) را تعیین میکند، به عنوان مسئول پردازش در معنای ماده 4(7) RGPD عمل میکند.
- هنگامی که API خود را در سکوی کارمند B2B قرار میدهد و دادههای شخصی را تنها بر اساس دستورالعمل این کارمند پردازش میکند، نقش پردازشکننده (ماده 4(8) RGPD) را دارا میشود و باید اجباری DPA (توافق پردازش دادهها) منطبق با ماده 28 RGPD را منعقد کند.
در عمل، بیشتر PSCo های SaaS هر دو صفت را دارند: مسئول برای مدیریت زیرساخت گواهینامه خود، پردازشکننده برای پردازش اسناد و ابردادههای امضاءکنندگان.
تعهدات خاص مرتبط با دادههای بیومتریک و هویت
شناسایی و احراز هویت امضاءکننده — مرحله اجباری برای صدور گواهینامه واجد شرایط — اغلب شامل پردازش دادههای حساس است: اسکن شناسنامه، فیلم سلفی، دادههای بیومتریک شناسایی صورت. این دادهها دادههای شخصی تشکیل میدهند که تحت RGPD قرار میگیرند، یا حتی دادههای بیومتریک مندرج در ماده 9 RGPD (دستههای خاصی).
تعهدات PSCo شامل موارد زیر است:
- مبنای قانونی: رضایت صریح (ماده 9§2a) یا در برخی موارد، الزام قانونی (ماده 9§2b) برای پردازش دادههای بیومتریک.
- مدت نگهداری محدود: بر اساس رهنمودهای CNIL، دادههای شناسایی باید برای مدت لازم نگهداری شوند، معمولاً با مدت اعتبار گواهینامه + مدت قانونی اثبات (اغلب 10 سال برای اسناد کاغذی، ماده 2224 قانون مدنی).
- تحلیل اثرات (AIPD) اجباری (ماده 35 RGPD) به محض اینکه پردازش احتمالاً ریسک بالایی را به وجود بیاورد — این کار برای بیومتری سیستماتیک است.
- ثبت پردازش (ماده 30 RGPD) بهروز نگاهداریشده و هر دسته پردازش را مستند کند.
انتقالات بینالمللی دادهها
بسیاری از PSCo اغلب یا تمام زیرساخت خود را بیرون فضای اقتصادی اروپایی (EEE) میزبانی میکنند. در این صورت، تضمینهای متناسب مورد نیاز در فصل V RGPD اجرا میشود: تصمیم کفایت، بندهای قرارداد نمونه (SCCs) کمیسیون اروپا یا قوانین الزامآور شرکت (BCR). حکم Schrems II (CJUE, C-311/18, 16 جولای 2020) یادآوری کرد که انتقالات به ایالات متحده نیاز به تحلیل ریسک کشور قبلی دارند.
> برای درک تأثیر این قوانین بر سازمان خود، راهنمای امضای الکترونیکی در کسبوکار را مطالعه کنید.
---
تعهدات شفافیت و اطلاع رسانی به کاربران
سیاست گواهینامه (PC) و اعلامیه شیوههای گواهینامه (DPC)
هر PSCو صادر کننده گواهینامه موظف است سیاست گواهینامه (PC) و اعلامیه شیوههای گواهینامه (DPC) را منتشر کند، بر اساس هنجار ETSI EN 319 411. این اسناد، آزادانه قابل دسترس، بیان میکنند:
- روشهای شناسایی و ثبتنام امضاءکنندگان.
- اقدامات امنیتی فیزیکی و منطقی اعمالشده.
- شرایط لغو گواهینامه و تأخیرهای مرتبط.
- مسئولیتها و محدودیتهای ضمانت PSCo.
عدم وجود یا عدم تکمیل این اسناد عدمانطباقی محسوب میشود که احتمالاً در حین ممیزی بازوقتسنجی توسط سازمان معتمد مشاهده میشود.
اطلاع رسانی قبل از قرارداد و عقد قرارداد برای کارمندان
فراتر از الزامات تماماً فنی، ماده 13 RGPD فراهمکننده را تحمیل میکند تا به هر فردی که دادههای آنها جمعآوری میشود اطلاع واضح و قابل دسترس فراهم کند درباره:
- هویت مسئول پردازش و تماسهای مسئول حفاظت از دادهها (DPO) (اجباری برای PSCo ای که دادههای حساس را در مقیاس بزرگ پردازش میکند، ماده 37 RGPD).
- اهداف و مبانی قانونی هر پردازش.
- حقوق افراد (دسترسی، تصحیح، حذف، قابلیت انتقال، مخالفت).
- احتمالی دریافتکنندگان دادهها (پردازشکنندگان، مقامات).
این اطلاعات باید در سیاست حفاظت از دادههای شخصی خدمات، در شرایط عمومی و استفاده، و در صورت لزوم، در DPA منعقد با کارمندان حرفهای قرار داشته باشند.
هنگامسنجی واجد شرایط و پیگیرینامه
برای تضمین ارزش اثبات طولانیمدت امضاها، PSCo های جدی بطور سیستماتیک یک هنگامسنجی الکترونیکی واجد شرایط (ماده 42 eIDAS) را با هر عمل امضا میپیوندند. این هنگامسنجی اثبات قانونی فروض وجود داده را در تاریخ مشخصشده ارائه میدهد. حفظ پیگیرینامه (گزارش شناسایی، انگشتنگاری سند، دادههای امضا) تعهد واقعیِ برای امکان هرگونه تأیید قضایی بعدی است.
> راهحلهای بازار را بر اساس این معیارها در مقایسه راهحلهای امضای الکترونیکی مقایسه کنید.
---
eIDAS 2.0: تعهدات جدید در افق 2026-2027
مقررات eIDAS 2.0 (EU) 2024/1183
منتشر شده در روزنامه رسمی EU در 30 آوریل 2024، مقررات (EU) 2024/1183 به نام « eIDAS 2.0 » تعهدات PSCo را به شدت تقویت میکند در اطراف سه محور:
- کیف پول هویت دیجیتال اروپایی (EUDI Wallet): ایالات عضو باید تا 2 نوامبر 2026 یک کیف پول هویت دیجیتال معتمد در دسترس قرار دهند. PSCo باید خدمات خود را با این کیف پول ادغام کنند تا امضاهای واجد شرایط را از طریق هویت eIDAS 2.0 ارائه دهند.
- مدیریت گواهینامههای مشخصات: eIDAS 2.0 گواهینامههای مشخصات واجد شرایط (QEAAs) را معرفی میکند، که توسط فراهمکنندگان واجد شرایط اعتماد اعطا میشوند. روشهای ممیزی و صلاحیتپذیری جدید اعمال خواهند شد.
- تقویت نظارت: مراجع نظارتی ملی (ANSSI برای فرانسه) قوای خود را تقویت میبیند، بهطورخاص توانایی برای انجام ممیزیهای غافلگیری و تحمیل اقدامات اصلاحی اجباری در مهلتهای کوتاهشده.
پیامدهای عملی برای فراهمکنندگان موجود
PSCo های از قبل واجد شرایط در eIDAS 1.0 باید انطباق تدریجی را قبل از مهلتهای تعیینشده توسط اقدامات اجرایی کمیسیون (منتشرشده یا در دسترس انتشار) انجام دهند. تطبیقهای اصلی شامل موارد زیر است:
- بازسازی زیرساخت شناسایی برای حمایت EUDI Wallet به عنوان وسیله احراز هویت.
- بروزرسانی PC/DPC برای ادغام انواع جدید گواهینامه و گواهینامهها.
- تقویت الزامات امنیتی QSCD های دور، با پروفیلهای حفاظت جدید در راه.
برای شرکتهای مشتری، این به معنای تأیید از امروز است که فراهمکننده آنها دارای برنامه راه کمالپذیری eIDAS 2.0 مندرج و قابل تأیید است.
چارچوب قانونی قابل اعمال برای تعهدات فراهمکنندگان امضای الکترونیکی
زنجیره هنجاری قابل اعمال برای فراهمکنندگان امضای الکترونیکی فعال در فرانسه بر روی چندین سطح سلسلهمراتبی مکمل است.
قانون مدنی فرانسه — مواد 1366 و 1367
ماده 1366 قانون مدنی اسناد الکترونیکی را به عنوان حالت اثبات معادل اسناد کاغذی تشخیص میدهد، به شرط اینکه « شخصی که آن را صادر کرده را بتوان به درستی شناسایی کرد و آن به روشی تدوین و حفظ شود که اعتبار آن را تضمین کند ». ماده 1367 تشریح میکند که امضای الکترونیکی « شامل استفاده از رویهای قابل اعتماد برای شناسایی است که وابستگی آن به سند متصل را تضمین کند ». فروض کشش برای امضاهای واجد شرایط در معنای eIDAS، معکوسکردن بار اثبات به نفع امضاءکننده است.
مقررات eIDAS شماره 910/2014/EU
این مقررات، مستقیماً قابل اجرا در تمام ایالات عضو، چارچوب قانونی خدمات اعتماد را تعیین میکند. ماده 26 آن شرایط امضای الکترونیکی پیشرفته را تعریف میکند؛ ماده 28 الزامات گواهینامههای واجد شرایط؛ پیوست I محتوای اجباری این گواهینامهها را تفصیل میدهد. PSCo های واجد شرایط از فروض انطباق با الزامات فنی و حقوقی مقررات بهرهمند میشوند (ماده 19§2)، که این در مورد دعوا مزیت بزرگی تشکیل میدهد.
مقررات eIDAS 2.0 — (EU) 2024/1183
منتشر شده در 30 آوریل 2024، این مقررات ترمیمکننده دستههای خدمات اعتماد جدیدی (گواهینامههای مشخصات واجد شرایط، خدمات بایگانی واجد شرایط) را معرفی میکند و تعهدات نظارتی را تقویت میکند. آن مقررات 910/2014 را به صورت جزئی لغو و جایگزین میکند، با قابلیت اجرایی تدریجی برای اقدامات اجرایی کمیسیون اروپا.
RGPD — مقررات (EU) 2016/679
RGPD برای هرگونه پردازش دادههای شخصی انجامشده در بافت خدمات امضای الکترونیکی اعمال میشود. مواد 5 (اصول قانونی)، 6 (مبنای قانونی)، 9 (دادههای حساس)، 13-14 (اطلاع)، 28 (زیرپیمانکاری)، 32 (امنیت)، 33-34 (اطلاع نقض)، 35 (AIPD) و 37 (DPO) موارد بیشتر اغلب اعمالشده را تشکیل میدهند. CNIL مرجع نظارت مختص در فرانسه است و میتواند جریمه تا 20 میلیون یورو یا 4٪ درآمد سالانه جهانی (ماده 83§5 RGPD) را اعمال کند.
دستورالعمل NIS2 — (EU) 2022/2555
در قان
Certyneo را به صورت رایگان امتحان کنید
اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.
عمیقتر شدن در موضوع
مقالات مرجع در مورد این موضوع.
مقالات پیشنهادی
دانش خود را با این مقالات مرتبط با موضوع تعمیق دهید.
مقایسه HelloSign در مقابل Certyneo: کدام یک را در سال 2026 انتخاب کنیم؟
HelloSign و Certyneo هر دو برای شرکتهای B2B طراحی شدهاند، اما رویکردهای آنها به طور کلی متفاوت است. بیاید بررسی کنیم کدام یک واقعاً نیازهای انطباق eIDAS و بهرهوری شما را برآورده میکند.
برنامهریزی سایت دیجیتال: امضای الکترونیکی در سال ۲۰۲۶
برنامهریزی سایت دیجیتال مدیریت پروژههای ساختمانی را در سال ۲۰۲۶ به طور بنیادی تغییر میدهد. امضای الکترونیکی، ردپایی و انطباق با مقررات: راهنمای جامع برای متخصصان این حوزه.
بازار عمومی ساخت و ساز: امضای الکترونیکی مطابق با قوانین در سال 2026
غیرمستندیسازی بازارهای عمومی ساخت و ساز اکنون یک الزام تنظیمی است. دریافت کنید که چگونه امضای الکترونیکی مطابق با eIDAS مدیریت درخواستهای پیشنهادی شما را تبدیل میکند.