رفتن به محتوای اصلی
Certyneo

TMD در مقابل TMK: تفاوت‌های حقوقی و عملی

TMD و TMK دو مکانیسم اعتماد دیجیتالی با رژیم‌های حقوقی متمایز هستند. تفاوت‌های عملی آن‌ها را کشف کنید تا انتخاب درست را انجام دهید.

تیم Certyneo10 دقیقه مطالعه

تیم Certyneo

نویسنده — Certyneo · درباره Certyneo

مقدمه: چرا TMD و TMK را متمایز کنیم؟

در اکوسیستم اعتماد دیجیتالی اروپایی، مفاهیم نشان‌ اعتماد داده‌ها (TMD) و نشان‌ اعتماد کلیدها (TMK) — که به ترتیب مکانیسم‌های علامت‌گذاری اعتماد برای داده‌های الکترونیکی و برای زیرساخت‌های کلید رمزنگاری را نشان می‌دهند — اغلب سردرگمی در میان متخصصان حقوق و مسئولان فناوری اطلاعات ایجاد می‌کنند. با این حال، رژیم‌های حقوقی، محدوده‌های فنی و پیامدهای عملی آن‌ها به‌طور بنیادی متفاوت است. این مقاله این دو مکانیسم را روشن می‌کند، چارچوب تنظیمی مربوطه را ارائه می‌دهد و سازمان‌های B2B را در انتخاب مناسب‌ترین راه برای جریان‌های سند خود راهنمایی می‌کند.

---

TMD (نشان‌ اعتماد داده‌ها) چیست؟

TMD، یا مکانیسم علامت‌گذاری اعتماد اعمال‌شده بر روی داده‌ها، مجموعه‌ای از روش‌ها و ویژگی‌های رمزنگاری را نشان می‌دهد که امکان تصدیق یکپارچگی و صحت مجموعه‌ای از داده‌ها یا یک سند الکترونیکی را فراهم می‌کند. این عمدتاً بر مکانیسم‌های مهر الکترونیکی واجد‌شرایط (qualified electronic seal) بر اساس مقررات eIDAS تکیه می‌کند.

مبانی فنی TMD

از لحاظ فنی، TMD بر موارد زیر تکیه می‌کند:

  • یک تابع هش (SHA-256، SHA-3) اعمال‌شده بر روی داده‌های منبع، تولید یک اثر انگشت دیجیتالی منحصر به‌فرد؛
  • یک گواهی دیجیتالی صادر‌شده توسط یک ارائه‌دهنده خدمات اعتماد واجد‌شرایط (PSCQ)، که هویت نهاد صادرکننده را تضمین می‌کند؛
  • یک مهرزمانی الکترونیکی واجد‌شرایط مطابق با استاندارد ETSI EN 319 421، که اثبات زمانی قابل‌استناد را فراهم می‌کند.

این سه عنصر ترکیب‌شده به TMD ارزش اثباتی بالایی می‌دهند، معادل اسناد رسمی در بسیاری از کشورهای عضو اتحادیه اروپا. برای اطلاعات بیشتر درباره ارزش حقوقی اسناد دارای مهرزمانی، راهنمای جامع امضای الکترونیکی را ببینید.

حوزه‌های کاربردی اولویت‌دار TMD

TMD به‌ویژه برای شرایطی مناسب است که در آن سازمان نیاز به تصدیق یکپارچگی حجم‌های بزرگی از داده‌ها بدون نیاز به مشارکت فعال فرد حقیقی شناسایی‌شده دارد. این به‌ویژه در موارد زیر یافت می‌شود:

  • تصدیق جریان‌های حسابداری و مالی (روزنامچه‌های حسابرسی، ترازنامه‌های کلی)؛
  • حفاظت قانونی از شواهد دیجیتالی (بایگانی اثباتی مطابق NF Z 42-013)؛
  • تبادل EDI بین شرکای تجاری در زنجیره‌های تامین.

---

TMK (نشان‌ اعتماد کلیدها) چیست؟

TMK، یا مکانیسم علامت‌گذاری اعتماد متمرکز بر کلیدهای رمزنگاری، در منطق متفاوتی قرار دارد: این نه داده‌های خود را، بلکه زیرساخت‌های کلید عمومی (PKI) و ابزارهای ایجاد امضا مورد استفاده توسط امضاکنندگان را تصدیق می‌کند. این ارتباط نزدیک با مفاهیم ماژول ایجاد امضای واجد‌شرایط (QSCD) تعریف‌شده در پیوست II مقررات eIDAS دارد.

معماری رمزنگاری TMK

TMK شامل موارد زیر است:

  • یک ماژول HSM (Hardware Security Module) دارای گواهی CC EAL 4+ یا FIPS 140-2 سطح 3، که تضمین می‌کند کلیدهای خصوصی هرگز دستگاه ایمن را ترک نکنند؛
  • یک سیاست گواهی‌دهی مستند‌شده (CPS – Certification Practice Statement) منتشرشده توسط PSCQ؛
  • مکانیسم‌های لغو در زمان واقعی از طریق OCSP (Online Certificate Status Protocol) یا CRL (Certificate Revocation List).

استحکام TMK بنابراین بر امنیت فیزیکی و منطقی ابزارهای تولید و ذخیره‌سازی کلیدها تکیه می‌کند. برای درک نحوه‌ی تناسب این الزامات با چارچوب تنظیمی جامع، راهنمای مقررات eIDAS 2.0 یک منبع ضروری است.

حوزه‌های کاربردی اولویت‌دار TMK

TMK در سناریوهایی که پاسخگویی حقوقی یک فرد حقیقی شناسایی‌شده باید به‌طور قطعی درگیر شود، الزام‌آور است:

  • امضای قراردادهای با ارزش حقوقی بالا (واگذاری صناعی، اجاره‌نامه‌های تجاری، اسناد رسمی الکترونیکی)؛
  • فرآیندهای احراز هویت قوی در درگاه‌های دولتی-تجاری (API گمرکی، پلتفرم‌های Chorus Pro)؛
  • تصدیق دستورات پرداخت در مؤسسات مالی تابع DSP2.

---

مقایسه حقوقی: TMD در مقابل TMK

تفاوت ساختار‌دهنده‌ترین بین TMD و TMK در پیوند حقوقی آن‌ها در مقررات eIDAS (شماره 910/2014) و جانشین آن eIDAS 2.0 (مقررات اتحادیه 2024/1183) نهفته است.

رژیم مسئولیت

| معیار | TMD | TMK | |---|---|---| | نهاد مسئول | شخص حقوقی (سازمان) | شخص حقوقی یا فرد حقیقی شناسایی‌شده | | سطح اعتماد | پیشرفته یا واجد‌شرایط (مهر) | واجد‌شرایط (امضای الکترونیکی واجد‌شرایط) | | فرض حقوقی | یکپارچگی داده‌ها | رضایت و هویت امضاکننده | | دامنه فراملی | تشخیص خودکار اتحادیه اروپا | تشخیص خودکار اتحادیه اروپا (ماده 25 eIDAS) |

TMD مسئولیت نهاد صادرکننده را درگیر می‌کند: اگر یکپارچگی داده‌های تصدیق‌شده به‌خطر بیفتد، سازمان باید در پاسخ باشد. TMK، از سوی دیگر، مسئولیت فردی دارنده کلید را درگیر می‌کند — این آن را برای هر اقدامی که در آن اراده شخصی باید بدون ابهام اثبات شود، ابزار ضروری می‌سازد.

نیروی اثباتی در مقابل قضاوت‌های فرانسوی

در حقوق فرانسه، ماده 1366 قانون مدنی بیان می‌کند که «نوشتار الکترونیکی همان نیروی اثباتی نوشتار بر روی کاغذ را دارد، مشروط بر اینکه هویت شخصی که از آن ناشی می‌شود به‌درستی شناسایی شود و به‌گونه‌ای تنظیم و حفظ شود که یکپارچگی آن را تضمین کند». این فرموله‌بندی هر دو مکانیسم را پوشش می‌دهد، اما با تفاوت‌های مهم:

  • یک سند محافظت‌شده توسط TMD واجد‌شرایط از فرض یکپارچگی بهره می‌برد که بار اثبات را برعکس می‌کند؛
  • یک سند امضا‌شده از طریق TMK واجد‌شرایط علاوه بر این از فرض انتساب بهره می‌برد — امضاکننده خود باید اثبات کند که امضا نکرده، که بسیار دشوار است.

این نابرابری اثباتی توضیح می‌دهد که چرا متخصصان حقوق و کنسولخانه‌های حقوقی با امضای الکترونیکی TMK را برای اسنادی که تابع شرط شکل حقوقی هستند ترجیح می‌دهند.

بین‌الملی‌پذیری و تشخیص متقابل

eIDAS 2.0 بین‌الملی‌پذیری را از طریق European Digital Identity Wallets (EDIW) تقویت می‌کند، که مکانیسم‌های TMK را برای شهروندان و متخصصان یکپارچه خواهند کرد. TMD، بیشتر بر فهرست‌های اعتماد ملی (Trusted Lists) منتشرشده توسط هر کشور عضو تکیه می‌کند. فرانسه این فهرست را از طریق ANSSI منتشر می‌کند و هر PSCQ واجد‌شرایط در آن ثبت‌شده است. برای تحلیل مقایسه‌ای راه‌حل‌های بازار، مقایسه راه‌حل‌های امضای الکترونیکی عناصر تصمیم‌گیری ملموس را برای شما ارائه می‌دهد.

---

آثار عملی برای شرکت‌های B2B

انتخاب بین TMD و TMK بر اساس نوع سند

قاعده طلایی ساده است: سطح ریسک حقوقی سند، مکانیسم مورد استقرار را تعیین می‌کند.

  • اسناد با ریسک متوسط (سفارش‌های خرید، پیشنهادات قیمت، شرایط عمومی، توافق‌نامه‌های محرمانگی استاندارد): یک TMD با مهر پیشرفته معمولاً کافی است. این حفاظت قوی از یکپارچگی را بدون هزینه اضافی مرتبط با صلاح‌دید QSCD فراهم می‌کند.
  • اسناد با ریسک بالا (قراردادهای کار، وکالت‌نامه‌ها، اسناد واگذاری، تعهدات مالی بیش از 50,000 یورو): TMK واجد‌شرایط توصیه می‌شود، یا حتی توسط برخی بخش‌های تنظیم‌شده اجباری است (بانکداری، بیمه، سلامت).

برای تیم‌های منابع انسانی که حجم بزرگی از قراردادهای کار را مدیریت می‌کنند، راه‌حل امضای الکترونیکی برای منابع انسانی به طور ذاتی سطح اعتماد مناسب برای هر نوع سند را یکپارچه می‌کند.

هزینه‌ها و زمان‌های استقرار

TMD معمولاً کم‌هزینه‌تر برای استقرار است زیرا نیاز به فرآیند تشخیص هویت قوی (KYC/AML) برای هر امضاکننده ندارد. یکپارچه‌سازی آن از طریق API در سیستم مدیریت اسناد (GED) یا ERP به‌طور میانگین 2 تا 6 هفته طول می‌کشد بسته به پیچیدگی محیط IT.

TMK، به دلیل الزامات QSCD و فرآیند تصدیق هویت، شامل فرآیند آغاز‌سازی 3 تا 10 روز کاری برای هر امضاکننده است. برای سازمان‌هایی که تعداد بسیاری از شرکای بیرونی را مدیریت می‌کنند، این می‌تواند یک عامل ترمز قابل‌توجهی در مدیریت تغییر باشد.

بایگانی و حفاظت

صرف‌نظر از مکانیسم انتخاب‌شده، هر سازمانی تابع حقوق فرانسه باید مدت‌زمان حفاظت قانونی را رعایت کند: 10 سال برای قراردادهای تجاری (ماده L. 110-4 قانون تجارت)، 5 سال برای داده‌های شخصی مرتبط (ماده 5 RGPD). یک سیستم بایگانی اثباتی مطابق با استاندارد NF Z 42-013 تضمین می‌کند که ارزش حقوقی TMD یا TMK در طول زمان، حتی در صورت مهاجرت تکنولوژی، حفظ شود.

چارچوب قانونی قابل‌اعمال برای TMD و TMK

مقررات eIDAS و تکامل آن

پایه‌ی تنظیمی مکانیسم‌های TMD و TMK توسط مقررات (اتحادیه) شماره 910/2014 پارلمان اروپایی و شورای اتحادیه اروپا در تاریخ 23 جولای 2014 تشکیل می‌شود، که مقررات eIDAS نامیده می‌شود. این متن بنیادگذار سلسله‌مراتب سطح‌های اعتماد (ساده، پیشرفته، واجد‌شرایط) را تعریف می‌کند و شرایط تشخیص فراملی خدمات اعتماد در سراسر اتحادیه اروپا را مشخص می‌کند.

در 2024، مقررات (اتحادیه) 2024/1183 (eIDAS 2.0) این چارچوب را به‌طور قابل‌توجهی اصلاح کرده است، به‌ویژه معرفی:

  • European Digital Identity Wallets (EDIW) اجباری برای کشورهای عضو قبل از 2026؛
  • دسته‌های جدید خدمات اعتماد، از جمله تصدیق‌نامه‌های الکترونیکی از صفات واجد‌شرایط؛
  • الزامات تقویت‌شده برای PSCQ در زمینه امنیت سایبری (تراز‌سازی NIS2).

قانون مدنی فرانسه: مواد 1366 و 1367

در حقوق داخلی، مواد 1366 و 1367 قانون مدنی (ناشی از مرسوم شماره 2016-131 مورخ 10 فوریه 2016) شرایط ارزش اثباتی نوشتار الکترونیکی را تعریف می‌کنند. ماده 1367 تصریح می‌کند که امضای الکترونیکی واجد‌شرایط (مبتنی بر TMK واجد‌شرایط و QSCD) «فرض ساده قابل‌اعتماد‌بودن را ایجاد می‌کند». این فرض قابل‌نقض است، اما بار اثبات را به نفع ذی‌نفع امضا معکوس می‌کند.

استانداردهای ETSI قابل‌اعمال

مشخصات فنی TMD و TMK توسط ETSI (موسسه استانداردهای مخابرات اروپایی) نرمال‌سازی شده‌اند:

  • ETSI EN 319 132: امضای الکترونیکی پیشرفته XAdES؛
  • ETSI EN 319 122: امضای CAdES؛
  • ETSI EN 319 142: امضای PAdES (PDF)؛
  • ETSI EN 319 421: خط‌مشی مهرزمانی الکترونیکی واجد‌شرایط؛
  • ETSI EN 319 401: الزامات عمومی برای PSCQ.

RGPD و حفاظت از داده‌ها

استقرار TMD و TMK شامل پردازش داده‌های شخصی (هویت امضاکننده، فراداده‌های امضا) است. مقررات (اتحادیه) 2016/679 (RGPD) الزامات زیر را تحمیل می‌کند:

  • یک مبنای حقوقی صریح برای پردازش (اجرای قرارداد، ماده 6.1.b، یا تعهد قانونی، ماده 6.1.c)؛
  • یک ثبت پردازش‌ها مستند‌کننده جریان داده‌ها به سمت PSCQ؛
  • بندهای قراردادی مناسب اگر PSCQ در خارج از اتحادیه اروپا تاسیس شده باشد یا از زیرمقاول‌های خارج‌از اروپا استفاده کند.

دستورالعمل NIS2 و امنیت سایبری زیرساخت‌های PKI

دستورالعمل (اتحادیه) 2022/2555 (NIS2)، منعکس‌شده در حقوق فرانسه توسط قانون مورخ 17 آوریل 2024، PSCQ واجد‌شرایط را تابع الزامات تقویت‌شده مدیریت ریسک سایبری، اطلاع‌دهی حوادث (مهلت 24 ساعت برای اطلاع اولیه به ANSSI) و حسابرسی تناوبی می‌سازد. برای شرکت‌های کاربر، این منجر به الزام احتیاط دقیق افزایش‌یافته هنگام انتخاب ارائه‌دهنده خدمات اعتماد خود می‌شود.

سناریوهای کاربردی ملموس

سناریو 1: یک تولید‌کننده کوچک و متوسط صنعتی که سالانه 300 قرارداد تامین‌کننده را مدیریت می‌کند

یک تولید‌کننده کوچک و متوسط صنعتی تقریباً صد کارمند، تخصصی‌یافته در ساخت اجزاء مکانیکی، سالانه حدود 300 قرارداد تامین‌کننده را مدیریت می‌کند (خریدهای مواد خام، خدمات نگهداری، قراردادهای چارچوب لجستیکی). تاکنون، این اسناد از طریق پست یا ایمیل ناامن منتقل می‌شدند، با مدت زمان متوسط امضا 12 تا 18 روز کاری.

با استقرار مکانیسم TMD واجد‌شرایط برای قراردادهای دارای ارزش کمتر از 20,000 یورو و TMK واجد‌شرایط برای تعهدات بیشتر یا چند ساله، تولید‌کننده مدت زمان امضا را به میانگین 1.8 روز کاری کاهش می‌دهد، یعنی کاهش بیش از 85 درصد. دعاوی مرتبط با عدم‌اعتبار یکپارچگی سند، که بین 2 تا 3 پرونده اختلاف در سال نمایندگی می‌کردند، در 18 ماه بعد از استقرار به صفر می‌رسند — فرض حقوقی مرتبط با مکانیسم‌های واجد‌شرایط تلاش‌های برای زیرسوال بردن را منع می‌کند.

سناریو 2: یک گروه بیمارستانی تقریباً 600 تختخوابی

یک گروه بیمارستانی دولتی که چندین مؤسسه را مدیریت می‌کند باید سالانه هزاران سند امضا دهد: قراردادهای پزشکان بیمارستانی، پروتکل‌های تحقیقات بالینی، کنوانسیون‌ها با شرکای دانشگاهی و آزمایشگاه‌های داروسازی. بخش سلامت محدودیت‌های تنظیمی خاصی را تحمیل می‌کند (HDS — Hébergement de Données de Santé، PGSSI-S).

گروه یک TMK واجد‌شرایط برای امضاهای پزشکان (درگیر کردن مسئولیت پزشکی و حقوقی آنان) و یک TMD پیشرفته برای تصدیق جریان‌های داده‌های بیماران بین مؤسسات استقرار می‌دهد. ترکیب این دو مکانیسم امکان کاهش هزینه‌های چاپ، اسکن و بایگانی فیزیکی را سالانه 45,000 یورو فراهم می‌کند و در عین حال انطباق RGPD و HDS را تقویت می‌کند. حسابرسی‌های انطباق، که قبلاً نیاز به 3 هفته آمادگی سند داشتند، به 4 روز کاهش می‌یابند به دلیل روزنامچه‌های حسابرسی خودکار.

سناریو 3: یک دفتر مشاوره‌ی ادغام و جذب تحت سطح میانی

دفتری تخصصی‌یافته در M&A که تقریباً ده معامله در سال را همراهی می‌کند، باید نامه‌های نیت (LOI)، توافق‌نامه‌های محرمانگی تقویت‌شده، پروتکل‌های توافق و اسناد واگذاری را مدیریت کند. ارزش معاملات بین 5 میلیون یورو تا 80 میلیون یورو قرار دارد. کمترین اختلاف‌نظر در صحت سند می‌تواند معامله را برای ماه‌ها مسدود کند.

با الزام‌دادن قراردادی استفاده از TMK واجد‌شرایط برای کل اسناد معامله از مرحله due diligence، دفتر ریسک اختلاف‌نظر در قالب رسمی را حذف می‌کند. طرف‌های خارجی (به‌ویژه بریتانیایی و آمریکایی پس از بریگزیت) ارزش اثباتی امضاهای واجد‌شرایط eIDAS را در

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.