رفتن به محتوای اصلی
Certyneo

تعهدات فراهم‌کننده امضای الکترونیکی در فرانسه

صلاحیت eIDAS، انطباق RGPD، الزامات ANSSI: فراهم‌کنندگان امضای الکترونیکی با چارچوب قانونی سختی روبرو هستند. تمامی تعهدات قابل رعایت را کشف کنید.

تیم Certyneo11 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

مقدمه

استقرار راه‌حل امضای الکترونیکی در فرانسه کار بی‌تدبیری نیست. پشت هر امضای واجد شرایط یا پیشرفته، دهها تعهد قانونی وجود دارد که بر عهده فراهم‌کنندگان خدمات اعتماد (PSCo) است. مقررات eIDAS، RGPD، استانداردهای کلی امنیتی، هنجارهای ETSI... چارچوب نظارتی هم متراکم و هم در حال تحول است. برای شرکت‌های کاربر، درک این تعهدات قانونی فراهم‌کننده امضای الکترونیکی فرانسه eIDAS RGPD ضروری است تا بتوانند شریک منطبق را انتخاب کنند و از هرگونه ریسک حقوقی بپرهیزند. این مقاله، بخش به بخش، کل الزامات قابل اعمال برای PSCo های فعالیت در قلمرو فرانسه را تفصیل می‌دهد.

---

وضعیت فراهم‌کننده خدمات اعتماد واجد شرایط

PSCo در معنای eIDAS چیست؟

مقررات eIDAS شماره 910/2014 بین دو دسته فراهم‌کننده تمایز قائل می‌شود: فراهم‌کنندگان خدمات اعتماد بدون واجد شرایط و فراهم‌کنندگان واجد شرایط (PSCQ). اولی‌ها می‌توانند خدمات امضای الکترونیکی ساده یا پیشرفته را بدون ممیزی اجباری طرف ثالث ارائه دهند. دومی‌ها — تنها دارای مجوز برای ارائه امضاهای واجد شرایط در معنای ماده 3(15) eIDAS — باید الزامات بسیار سختگیرانه‌تری را رعایت کنند.

در فرانسه، آژانس ملی امنیت سیستم‌های اطلاعات (ANSSI) نقش مرجع نظارتی (« Supervisory Body ») پیش‌بینی‌شده در ماده 17 eIDAS را ایفا می‌کند. آن لیست قابل اعتماد فرانسوی (TSL — Trust Service List) را منتشر و نگهداری می‌کند، که در سایت رسمی آن قابل دسترس است، فراهم‌کنندگان واجد شرایط و خدمات آنها را نام‌برده است.

رویه صلاحیت: ممیزی و انطباق

برای به‌دست آوردن وضعیت واجد شرایط، یک PSCo باید:

  • خدمات خود را ممیزی کند توسط یک سازمان ارزیابی انطباق (CAB — Conformity Assessment Body) معتمد توسط COFRAC مطابق هنجار EN ISO/IEC 17065.
  • گزارش ممیزی را به ANSSI ارسال کند، که در مورد اعطای وضعیت واجد شرایط رای می‌دهد. این وضعیت حداقل هر 24 ماه مجدداً ارزیابی می‌شود (ماده 20 §1 eIDAS).
  • ANSSI را از هرگونه تغییر جوهری در خدمات خود مطلع کند در مهلت 3 ماه قبل از تغییر پیش‌بینی‌شده (ماده 21 eIDAS).

عدم رعایت این مراحل فراهم‌کننده را در معرض حذف از TSL و از دست دادن فروضهای حقوقی متصل به امضای واجد شرایط قرار می‌دهد. برای شرکت‌های مشتری، مراجعه به PSCo ای که در TSL نام‌برده نشده باشد، معادل عدم بهره‌مندی از هیچ فروض حقوقی قابلیت اعتماد است.

> برای اطلاعات بیشتر در مورد سطوح مختلف امضا و اثرات حقوقی آنها، راهنمای جامع مقررات eIDAS 2.0 را مطالعه کنید.

---

تعهدات فنی و امنیتی تحمیل‌شده بر PSCo

رعایت هنجارهای ETSI

فراهم‌کنندگان واجد شرایط باید با مجموعه‌ای از هنجارهای اروپایی منتشر‌شده توسط موسسه استانداردهای مخابرات اروپا (ETSI) انطباق داشته باشند. عمده‌ترین موارد عبارتند از:

  • ETSI EN 319 401: الزامات امنیتی عمومی قابل اعمال برای همه PSCo.
  • ETSI EN 319 411-1 و 411-2: سیاست‌ها و شیوه‌های مراجع گواهی‌نامه ارائه‌دهنده گواهی‌نامه‌های امضای واجد شرایط.
  • ETSI EN 319 132: قالب‌های امضای الکترونیکی پیشرفته (XAdES برای XML، PAdES برای PDF، CAdES برای CMS).
  • ETSI EN 319 122: قالب CAdES برای امضاهای واجد شرایط.
  • ETSI TS 119 431: الزامات برای خدمات ایجاد امضا از راه دور (QSCD دور).

این هنجارها اختیاری نیستند: مقررات eIDAS (پیوست II، III و IV) به صراحت بر آنها اشاره می‌کند تا الزامات کمینه گواهی‌نامه‌های واجد شرایط و وسایل ایجاد امضا را تعریف کند.

مدیریت وسایل ایمن ایجاد امضا (QSCD)

یکی از پایه‌های امضای واجد شرایط، استفاده از یک وسیله ایمن ایجاد امضا (QSCD — Qualified Signature Creation Device) منطبق با پیوست II eIDAS است. فراهم‌کننده باید تضمین کند که:

  • کلید خصوصی امضاء‌کننده تنها می‌تواند در QSCD ایجاد، ذخیره یا کپی شود.
  • ایجاد کلید انحصاری در محیط معتمدی انجام می‌شود (گواهی Common Criteria EAL 4+ یا معادل).
  • احراز هویت امضاء‌کننده قبل از هرگونه عمل امضا بر حداقل دو عامل احراز هویت استوار است.

در بافت امضای از راه دور — که در محیط‌های SaaS رو به افزایش است — این الزامات بر سرور HSM (ماژول امنیتی سخت‌افزاری) میزبانی کلیدها اعمال می‌شود. ANSSI پروفیل‌های حفاظت خاصی (PP-0075، PP-0076) منتشر کرده است که معیارهای امنیتی قابل دستیابی را تعریف می‌کند.

سیاست تداوم و اطلاع رسانی از حادثات

ماده 19 eIDAS تحمیل می‌کند بر هرگونه فراهم‌کننده خدمات اعتماد (واجد شرایط یا نه) تا:

  • مرجع نظارتی (ANSSI) و در صورت لزوم مرجع حفاظت از داده‌ها (CNIL) را مطلع کند در عرض 24 ساعت پس از تشخیص نقض امنیت احتمالاً اثرگذار بر قابلیت اعتماد خدمات.
  • برنامه تداوم فعالیت مندرج و آزمایش‌شده منظم داشته باشد.
  • سیاست امنیت اطلاعات فرم‌بندی‌شده داشته باشد، به‌طورخاص مدیریت ریسک، مدیریت حادثات و سیاست پشتیبان‌گیری را پوشش می‌دهد.

این الزامات تا حدی با الزامات دستورالعمل NIS2 (2022/2555/EU) همپوشانی دارند، که در قانون فرانسوی شماره 2023-703 مورخ 1 اوت 2023 به مقررات داخلی درآمده است، PSCo های اندازه قابل توجه را در میان نهادهای مهم یا اساسی قرار می‌دهد که در معرض الزامات تقویت‌شده سایبرامنیتی هستند.

> بیاموزید چگونه امضای الکترونیکی برای مكاتب حقوقی باید این محدودیت‌ها را در گردش‌های کاری اسناد خود ادغام کند.

---

تعهدات RGPD مختص PSCo

PSCo، مسئول پردازش یا پردازش‌کننده؟

صلاحیت RGPD فراهم‌کننده بستگی به ماهیت خدمت ارائه‌شده دارد:

  • هنگامی که PSCo مستقیماً گواهی‌نامه‌های واجد شرایط را به نام امضاء‌کننده صادر می‌کند و اهداف پردازش داده‌های شخصی (هویت، داده‌های احراز هویت بیومتریک) را تعیین می‌کند، به عنوان مسئول پردازش در معنای ماده 4(7) RGPD عمل می‌کند.
  • هنگامی که API خود را در سکوی کارمند B2B قرار می‌دهد و داده‌های شخصی را تنها بر اساس دستورالعمل این کارمند پردازش می‌کند، نقش پردازش‌کننده (ماده 4(8) RGPD) را دارا می‌شود و باید اجباری DPA (توافق پردازش داده‌ها) منطبق با ماده 28 RGPD را منعقد کند.

در عمل، بیشتر PSCo های SaaS هر دو صفت را دارند: مسئول برای مدیریت زیرساخت گواهی‌نامه خود، پردازش‌کننده برای پردازش اسناد و ابرداده‌های امضاء‌کنندگان.

تعهدات خاص مرتبط با داده‌های بیومتریک و هویت

شناسایی و احراز هویت امضاء‌کننده — مرحله اجباری برای صدور گواهی‌نامه واجد شرایط — اغلب شامل پردازش داده‌های حساس است: اسکن شناسنامه، فیلم سلفی، داده‌های بیومتریک شناسایی صورت. این داده‌ها داده‌های شخصی تشکیل می‌دهند که تحت RGPD قرار می‌گیرند، یا حتی داده‌های بیومتریک مندرج در ماده 9 RGPD (دسته‌های خاصی).

تعهدات PSCo شامل موارد زیر است:

  • مبنای قانونی: رضایت صریح (ماده 9§2a) یا در برخی موارد، الزام قانونی (ماده 9§2b) برای پردازش داده‌های بیومتریک.
  • مدت نگهداری محدود: بر اساس رهنمودهای CNIL، داده‌های شناسایی باید برای مدت لازم نگهداری شوند، معمولاً با مدت اعتبار گواهی‌نامه + مدت قانونی اثبات (اغلب 10 سال برای اسناد کاغذی، ماده 2224 قانون مدنی).
  • تحلیل اثرات (AIPD) اجباری (ماده 35 RGPD) به محض اینکه پردازش احتمالاً ریسک بالایی را به وجود بیاورد — این کار برای بیومتری سیستماتیک است.
  • ثبت پردازش (ماده 30 RGPD) به‌روز نگاه‌داری‌شده و هر دسته پردازش را مستند کند.

انتقالات بین‌المللی داده‌ها

بسیاری از PSCo اغلب یا تمام زیرساخت خود را بیرون فضای اقتصادی اروپایی (EEE) میزبانی می‌کنند. در این صورت، تضمین‌های متناسب مورد نیاز در فصل V RGPD اجرا می‌شود: تصمیم کفایت، بند‌های قرارداد نمونه (SCCs) کمیسیون اروپا یا قوانین الزام‌آور شرکت (BCR). حکم Schrems II (CJUE, C-311/18, 16 جولای 2020) یادآوری کرد که انتقالات به ایالات متحده نیاز به تحلیل ریسک کشور قبلی دارند.

> برای درک تأثیر این قوانین بر سازمان خود، راهنمای امضای الکترونیکی در کسب‌وکار را مطالعه کنید.

---

تعهدات شفافیت و اطلاع رسانی به کاربران

سیاست گواهی‌نامه (PC) و اعلامیه شیوه‌های گواهی‌نامه (DPC)

هر PSCو صادر کننده گواهی‌نامه موظف است سیاست گواهی‌نامه (PC) و اعلامیه شیوه‌های گواهی‌نامه (DPC) را منتشر کند، بر اساس هنجار ETSI EN 319 411. این اسناد، آزادانه قابل دسترس، بیان می‌کنند:

  • روش‌های شناسایی و ثبت‌نام امضاء‌کنندگان.
  • اقدامات امنیتی فیزیکی و منطقی اعمال‌شده.
  • شرایط لغو گواهی‌نامه و تأخیرهای مرتبط.
  • مسئولیت‌ها و محدودیت‌های ضمانت PSCo.

عدم وجود یا عدم تکمیل این اسناد عدم‌انطباقی محسوب می‌شود که احتمالاً در حین ممیزی بازوقت‌سنجی توسط سازمان معتمد مشاهده می‌شود.

اطلاع رسانی قبل از قرارداد و عقد قرارداد برای کارمندان

فراتر از الزامات تماماً فنی، ماده 13 RGPD فراهم‌کننده را تحمیل می‌کند تا به هر فردی که داده‌های آنها جمع‌آوری می‌شود اطلاع واضح و قابل دسترس فراهم کند درباره:

  • هویت مسئول پردازش و تماس‌های مسئول حفاظت از داده‌ها (DPO) (اجباری برای PSCo ای که داده‌های حساس را در مقیاس بزرگ پردازش می‌کند، ماده 37 RGPD).
  • اهداف و مبانی قانونی هر پردازش.
  • حقوق افراد (دسترسی، تصحیح، حذف، قابلیت انتقال، مخالفت).
  • احتمالی دریافت‌کنندگان داده‌ها (پردازش‌کنندگان، مقامات).

این اطلاعات باید در سیاست حفاظت از داده‌های شخصی خدمات، در شرایط عمومی و استفاده، و در صورت لزوم، در DPA منعقد با کارمندان حرفه‌ای قرار داشته باشند.

هنگام‌سنجی واجد شرایط و پیگیری‌نامه

برای تضمین ارزش اثبات طولانی‌مدت امضاها، PSCo های جدی بطور سیستماتیک یک هنگام‌سنجی الکترونیکی واجد شرایط (ماده 42 eIDAS) را با هر عمل امضا می‌پیوندند. این هنگام‌سنجی اثبات قانونی فروض وجود داده را در تاریخ مشخص‌شده ارائه می‌دهد. حفظ پیگیری‌نامه (گزارش شناسایی، انگشت‌نگاری سند، داده‌های امضا) تعهد واقعیِ برای امکان هرگونه تأیید قضایی بعدی است.

> راه‌حل‌های بازار را بر اساس این معیارها در مقایسه راه‌حل‌های امضای الکترونیکی مقایسه کنید.

---

eIDAS 2.0: تعهدات جدید در افق 2026-2027

مقررات eIDAS 2.0 (EU) 2024/1183

منتشر شده در روزنامه رسمی EU در 30 آوریل 2024، مقررات (EU) 2024/1183 به نام « eIDAS 2.0 » تعهدات PSCo را به شدت تقویت می‌کند در اطراف سه محور:

  • کیف پول هویت دیجیتال اروپایی (EUDI Wallet): ایالات عضو باید تا 2 نوامبر 2026 یک کیف پول هویت دیجیتال معتمد در دسترس قرار دهند. PSCo باید خدمات خود را با این کیف پول ادغام کنند تا امضاهای واجد شرایط را از طریق هویت eIDAS 2.0 ارائه دهند.
  • مدیریت گواهی‌نامه‌های مشخصات: eIDAS 2.0 گواهی‌نامه‌های مشخصات واجد شرایط (QEAAs) را معرفی می‌کند، که توسط فراهم‌کنندگان واجد شرایط اعتماد اعطا می‌شوند. روش‌های ممیزی و صلاحیت‌پذیری جدید اعمال خواهند شد.
  • تقویت نظارت: مراجع نظارتی ملی (ANSSI برای فرانسه) قوای خود را تقویت می‌بیند، به‌طورخاص توانایی برای انجام ممیزی‌های غافلگیری و تحمیل اقدامات اصلاحی اجباری در مهلت‌های کوتاه‌شده.

پیامدهای عملی برای فراهم‌کنندگان موجود

PSCo های از قبل واجد شرایط در eIDAS 1.0 باید انطباق تدریجی را قبل از مهلت‌های تعیین‌شده توسط اقدامات اجرایی کمیسیون (منتشر‌شده یا در دسترس انتشار) انجام دهند. تطبیق‌های اصلی شامل موارد زیر است:

  • بازسازی زیرساخت شناسایی برای حمایت EUDI Wallet به عنوان وسیله احراز هویت.
  • بروزرسانی PC/DPC برای ادغام انواع جدید گواهی‌نامه و گواهی‌نامه‌ها.
  • تقویت الزامات امنیتی QSCD های دور، با پروفیل‌های حفاظت جدید در راه.

برای شرکت‌های مشتری، این به معنای تأیید از امروز است که فراهم‌کننده آنها دارای برنامه راه کمال‌پذیری eIDAS 2.0 مندرج و قابل تأیید است.

چارچوب قانونی قابل اعمال برای تعهدات فراهم‌کنندگان امضای الکترونیکی

زنجیره هنجاری قابل اعمال برای فراهم‌کنندگان امضای الکترونیکی فعال در فرانسه بر روی چندین سطح سلسله‌مراتبی مکمل است.

قانون مدنی فرانسه — مواد 1366 و 1367

ماده 1366 قانون مدنی اسناد الکترونیکی را به عنوان حالت اثبات معادل اسناد کاغذی تشخیص می‌دهد، به شرط اینکه « شخصی که آن را صادر کرده را بتوان به درستی شناسایی کرد و آن به روشی تدوین و حفظ شود که اعتبار آن را تضمین کند ». ماده 1367 تشریح می‌کند که امضای الکترونیکی « شامل استفاده از رویه‌ای قابل اعتماد برای شناسایی است که وابستگی آن به سند متصل را تضمین کند ». فروض کشش برای امضاهای واجد شرایط در معنای eIDAS، معکوس‌کردن بار اثبات به نفع امضاء‌کننده است.

مقررات eIDAS شماره 910/2014/EU

این مقررات، مستقیماً قابل اجرا در تمام ایالات عضو، چارچوب قانونی خدمات اعتماد را تعیین می‌کند. ماده 26 آن شرایط امضای الکترونیکی پیشرفته را تعریف می‌کند؛ ماده 28 الزامات گواهی‌نامه‌های واجد شرایط؛ پیوست I محتوای اجباری این گواهی‌نامه‌ها را تفصیل می‌دهد. PSCo های واجد شرایط از فروض انطباق با الزامات فنی و حقوقی مقررات بهره‌مند می‌شوند (ماده 19§2)، که این در مورد دعوا مزیت بزرگی تشکیل می‌دهد.

مقررات eIDAS 2.0 — (EU) 2024/1183

منتشر شده در 30 آوریل 2024، این مقررات ترمیم‌کننده دسته‌های خدمات اعتماد جدیدی (گواهی‌نامه‌های مشخصات واجد شرایط، خدمات بایگانی واجد شرایط) را معرفی می‌کند و تعهدات نظارتی را تقویت می‌کند. آن مقررات 910/2014 را به صورت جزئی لغو و جایگزین می‌کند، با قابلیت اجرایی تدریجی برای اقدامات اجرایی کمیسیون اروپا.

RGPD — مقررات (EU) 2016/679

RGPD برای هرگونه پردازش داده‌های شخصی انجام‌شده در بافت خدمات امضای الکترونیکی اعمال می‌شود. مواد 5 (اصول قانونی)، 6 (مبنای قانونی)، 9 (داده‌های حساس)، 13-14 (اطلاع)، 28 (زیرپیمانکاری)، 32 (امنیت)، 33-34 (اطلاع نقض)، 35 (AIPD) و 37 (DPO) موارد بیشتر اغلب اعمال‌شده را تشکیل می‌دهند. CNIL مرجع نظارت مختص در فرانسه است و می‌تواند جریمه تا 20 میلیون یورو یا 4٪ درآمد سالانه جهانی (ماده 83§5 RGPD) را اعمال کند.

دستورالعمل NIS2 — (EU) 2022/2555

در قان

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

مقالات مرجع در مورد این موضوع.

تصدیق eIDAS 2 برای تامین‌کننده امضای الکترونیکی 2026مقررات eIDAS 2 الزامات جدیدی را برای تامین‌کنندگان خدمات اعتماد تحمیل می‌کند. مسیر تصدیق کامل را برای حفظ انطباق در 2026 کشف کنید.امضای الکترونیکی منابع انسانی و RGPD: راهنمای جامع 2026بین eIDAS، RGPD و مدیریت داده‌های شخصی کارمندان، امضای الکترونیکی اسناد منابع انسانی شما تابع قوانین سخت‌گیرانه است. بیاموزید چگونه در انطباق با قوانین باقی بمانید.انطباق eIDAS برای SME ها: چک لیست کامل 2026چگونه می توان اطمینان حاصل کرد که یک SME با مقررات eIDAS در سال 2026 مطابقت دارد؟ چک لیست 12 نقطه ای: سطوح امضا، ارائه دهنده خدمات، بایگانی، GDPR.امضای الکترونیکی قرارداد کارCDI، CDD، کار مطالعه: همه چیزهایی که برای امضای قرارداد کار به صورت الکترونیکی و کاملاً قانونی باید بدانید.نسخه پزشکی و امضای الکترونیکی 2026دیجیتالی‌سازی نسخه‌های پزشکی در فرانسه تسریع یافته است. کشف کنید که چگونه امضای الکترونیکی نسخه‌های پزشکی شما را ایمن می‌سازد و در عین حال چارچوب قانونی eIDAS و الزامات DMP را رعایت می‌کند.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.