Suojaa allekirjoitetut asiakirjat TLS-salauksella

Miksi TLS-salaus on välttämätöntä allekirjoitetuille asiakirjoille

Vuonna 2026 sähköisesti allekirjoitettujen asiakirjojen turvaaminen ei ole enää vaihtoehto, vaan oikeudellinen ja strateginen velvoite jokaiselle Euroopan digitaalisella alueella toimivalle yritykselle. TLS-salaus (Transport Layer Security) muodostaa tämän suojauksen kulmakiven, mikä takaa, että asiakkaan ja palvelimen välillä lähetetyt tiedot säilyvät luottamuksellisina, eheina ja todennettuna. ANSSI:n mukaan yli 74 % dokumentoiduista kyberiskistä Euroopassa kohdistuu salaamattomiin tai riittämättömästi suojattuihin tiedonvirtoihin. Tässä yhteydessä asiakirjojen turvaaminen TLS-salauksella, HTTPS:llä ja eIDAS-asetuksen puitteissa on tullut välttämättömäksi vaatimukseksi ranskalaisten ja eurooppalaisten yritysten IT-johtajille, juridikoille ja vaatimuksenmukaisuuspäälliköille.

Tämä artikkeli käsittelee TLS:n teknisiä mekanismeja, sen yhteyttä pätevään sähköiseen allekirjoitukseen, SaaS-alustoille asetetut säännösten vaatimukset ja parhaita käytäntöjä, joita voit ottaa käyttöön heti asiakirjaresurssien suojaamiseksi.

---

TLS-salauksen ymmärtäminen ja sen rooli sähköisessä allekirjoituksessa

TLS 1.3: nykyinen tietojenvaihdon turvaamisen standardi

TLS-protokolla (Transport Layer Security) on parannettu versio nyt vanhentuneesta SSL:stä (Secure Sockets Layer). Versio TLS 1.3, jonka IETF julkaisi vuonna 2018 (RFC 8446), on nykyään standardi kaikelle turvalliselle tiedonvaihdolle. Se eliminoi useita edeltäjiensä kriittisiä haavoittuvuuksia, erityisesti BEAST-, POODLE- ja DROWN-hyökkäyksiä, samalla vähentäen yhteysviiveellä yhdellä kierroksella suoritettavan kättelyssä.

Käytännössä TLS 1.3 takaa:

• Luottamuksellisuus: lähetetyt tiedot salataan päästä päähän, mikä tekee niiden sieppaamisesta hyödytöntä.
• Eheys: mikä tahansa reitillä muutettu sanoma havaitaan välittömästi.
• Todentaminen: palvelin (ja halutessaan myös asiakas) todentuu X.509-varmenteella.

eIDAS-yhteensopivalle sähköisen allekirjoituksen alustalle TLS 1.3:n yksinomainen käyttö – tai ainakin TLS 1.2 ANSSI:n hyväkseillä salauksilla – on perustava vaatimus. TLS 1.0:n tai 1.1:n käyttö on ENISA:n suosituksilla formaalisti kielletty vuodesta 2022 lähtien.

HTTPS: TLS-salauksen näkyvä kerros

HTTPS on yksinkertaisesti HTTP, joka välitetään TLS-yhteydessä. Käyttäjille selaimen osoitepalkissa näkyvä lukko tarkoittaa, että viestintäkanava on salattu. Yrityksille tämä tarkoittaa, että ladatut, allekirjoitetut tai jaetut asiakirjat siirtyvät turvallisesti käyttäjän selaimen ja alustan palvelimien välillä.

HTTPS ei kuitenkaan takaa asiakirjan turvallisuutta levossa (eli kun se on kerran tallennettu palvelimelle). Siksi TLS-salaus on täydennettävä levossa olevan datan salauksella (esimerkiksi AES-256:lla) ja vahvoilla pääsynhallinnan mekanismeilla. sähköisen allekirjoituksen täydellisessä oppaassa nämä täydentävät suojauskerrokset käsitellään koherenttina kokonaisuutena.

TLS-varmenteet ja luottamuksen ketju

TLS-varmenteen myöntää virallinen varmentava viranomainen (CA). Se sisältää palvelimen julkisen avaimen, organisaation tunnistetiedot ja on digitaalisesti allekirjoitettu CA:lla. Luottamuksen ketju – juurivarmenteesta välivarmenteisiin – takaa, että käyttäjä kommunikoi todella sen yksikön kanssa, jonka hän uskoo olevan.

Luottamuspalvelujen toimittajien (PSCo) osalta eIDAS-asetuksen merkityksessä käytettyjen TLS-varmenteiden on noudatettava ETSI EN 319 411 -normeissa määriteltyjä profiileja, erityisesti allekirjoitus- ja todentamiskäytössä.

---

TLS-salaus ja eIDAS-vaatimuksenmukaisuus: mitä asetus sanoo

eIDAS:n allekirjoitustasot ja niiden turvavaraumukset

Asetus eIDAS n:o 910/2014, vahvistettu eIDAS 2.0:lla, joka on käytössä, erottelee kolme sähköisen allekirjoituksen tasoa: yksinkertainen, laajennettu ja pätevä. Jokainen taso sisältää kasvavat turvavaraukset:

• Yksinkertainen allekirjoitus: ei asetettu teknisiä standardeja, mutta TLS-salaus on vahvasti suositeltava kuljetusvaiheessa.
• Laajennettu allekirjoitus: alustan on taattava asiakirjan eheys ja ainutlaatuinen yhteys allekirjoituksen ja allekirjoittajan välillä. TLS 1.3 on tässä lähes välttämätön välityksen tiedonvirroille.
• Pätevä allekirjoitus: palveluntarjoaja on oltava pätevä PSCo, joka on merkitty luottamuslistalle (Trust List) omassa jäsenvaltiossaan. Salausksen vaatimukset määritetään ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ja EN 319 142 (PAdES) -normeilla. Viestintäkanavien salaus on noudatettava ANSSI:n tai ENISA:n suosituksia.

Yrityksille, jotka haluavat vertailla sähköisen allekirjoituksen ratkaisuja, TLS-vaihdon turvallisuuden taso on ratkaiseva valintakriteeri, jota usein aliarvioidaan.

eIDAS 2.0:n panos viestintöjen turvallisuuteen

Asetus eIDAS 2.0, jonka voimaantulon asteittainen toteutus kestää vuoteen 2026–2027 asti, esittelee Euroopan digitaalisen identiteetin lompakan (EUDIW) ja vahvistaa luottamuspalvelujen toimittajille asetettuja vaatimuksia. Se asettaa erityisesti vaatimukseksi:

• Turvauksena suoritettavat audiit, jotka noudattavat EN ISO/IEC 27001 -normin vaatimuksia ja ENISA:n erityisiä vaatimuksia.
• Suurempaa avoimuutta käytettyjen salausalgoritmien suhteen.
• Turvallisuusperiaatteiden julkaisua, joita kansalliset valvontaviranomaiset voivat auditoida.

Nämä kehityssuunnat tarkoittavat, että allekirjoituspalvelujen käyttävien yritysten on varmistettava, että niiden palveluntarjoaja ylläpitää päivitettyä ja auditoidua TLS-infrastruktuuria. Juuri tämän Certyneo takaa infrastruktuurissaan säännöllisillä turvatarkastuksilla ja ANSSI:n viitejärjestelmien noudattamisella.

---

Parhaat käytännöt asiakirjojen turvaamisen turvaamiseksi yrityksessä

Nykyisen TLS-infrastruktuuri-auditin suorittaminen

Ennen sähköisen allekirjoitusratkaisun käyttöönottoa tai siirtymistä, TLS-auditiitti on välttämätön. Työkalut kuten SSL Labs (Qualys) tai testssl.sh mahdollistavat nykyisen alustan TLS-konfiguraation arvioinnin ja haavoittuvuuksien tunnistamisen: vanhentunut salauskset, vanhenemisaika varmenteet, väärä HSTS:n hallinta (HTTP Strict Transport Security), Certificate Transparency (CT logs) -puute.

Olennaiset tarkastuspisteet ovat:

• TLS 1.2:n tai 1.3:n yksinomainen käyttö (SSLv3, TLS 1.0 ja 1.1 poistettu).
• Suositellut salauskset: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS aktivoitu vähintään 6 kuukauden ajaksi ja `includeSubDomains`-valinnalla.
• OCSP Stapling aktivoitu varmenteiden nopeaa peruutusta varten.
• Perfect Forward Secrecy (PFS) aktivoitu rajoittamaan avaimen kompromissin vaikutusta.

Salaus levossa ja liikkeessä: täydentävä lähestymistapa

TLS-salaus suojaa tietoja liikkeessä. Täydellinen asiakirjasuojausstrategia on kuitenkin katettava myös levossa olevan datan salaus. Allekirjoitetuille asiakirjoille tämä merkitsee:

• AES-256-salaus tiedostoille, joita tallennetaan tietokantaan tai tiedostojärjestelmiin.
• Salausavainten hallinta HSM:n (Hardware Security Module) tai FIPS 140-2-sertifioidun KMS-palvelun (Key Management Service) kautta.
• Ympäristöjen erottaminen: tuotantotiedot eivät saa olla olemassa kehitys- tai testausympäristöissä.
• Turvallinen lokitus: jokainen asiakirjan käyttö on kirjattava muuttumattomasti GDPR-suosituksiin noudattaen.

Korkean asiakirjavolyymin käsittelevät yritykset voivat käyttää Certyneota ROI-laskuria arvioidakseen vahvistetun turvauksen taloudellista vaikutusta verrattuna tietovuodon kustannuksiin.

Koulutus ja asiakirjajohtaminen

Teknologia yksin ei riitä. Tehokas asiakirjasuojausperiaate perustuu kolmeen pilariin:

1. Yhteistyöntekijöiden koulutus: tietoisuus kalastelyriskistä, turvattoman asiakirjojen jakamisen vaaroista ja pääsynhallinnan parhaista käytännöistä.
2. Pääsynhallinnan johtaminen: vähiten oikeus -periaate, monivaiheinen todentaminen (MFA) allekirjoitusalustoille pääsyyn, säännöllinen pääsynoikeuksien tarkistus.
3. Poikkeamien hallinta: palvelun katkeamisen suunnitelma asiakirjoihin liittyville vaarantuneille allekirjoituksille, noudattaen GDPR:n ilmoitusvelvoitteita (72 tuntia) ja NIS2:ta.

HR- ja lakiosastot, jotka käsittelevät arkaluontoisimpia asiakirjoja, ovat ensimmäisiä huolissaan. Erikoistuneet ratkaisut, kuten HR:n sähköinen allekirjoitus tai lakiasiakirjoille, sisältävät näitä suojauskerroksia natiivisti.

---

NIS2-direktiivi ja SaaS-alustojen turvaaminen allekirjoitukselle

Mitä NIS2 edellyttää käyttäjäyrityksiltä

NIS2-direktiivi (Network and Information Security 2), joka on siirretty ranskalaiseen lainsäädäntöön 26. heinäkuuta 2023 annetulla lailla ja on ollut käytössä lokakuusta 2024 alkaen, laajentaa merkittävästi siitä vastuussa olevien yhteisöjen soveltamisalaa. Nyt keskisuurten yritysten kriittisillä aloilla (terveydenhuolto, rahoitus, energia, hallinto) on oltava varmoja, että niiden SaaS-palveluntarjoajat noudattavat korkean tietoturvan vaatimuksia.

Käytännössä NIS2 edellyttää:

• Digitaalisen toimitusketjun turvallisuuden arviointia, mukaan lukien SaaS-alustoilla.
• Sopimusperusteisia turvaustakuita palveluntarjoajilta (turvallisuus-SLA, ISO 27001 -sertifikaatit, auditointiraportit).
• ANSSI:lle ilmoittamista merkittävässä tapauksessa, joka vaikuttaa kriittisiin digitaalipalveluihin.

Vaatimustenmukaisuuden sähköisen allekirjoituksen tarjoajan valitseminen NIS2:ssa

Yrityksille, jotka kuuluvat NIS2:n soveltamisalaan, sähköisen allekirjoitusalustan valinta ei voi rajoittua liiketoiminnallisiin ominaisuuksiin. Turvavaraukset on sisällytettävä: tuettu TLS-versio, salausavainten hallintakäytäntö, tietojen sijainti (mieluiten Euroopan unionissa) ja kyvyt toimittaa auditointirapotteja pyynnöstä.

Certyneo tallentaa kaikki asiakkaidensa tiedot ISO 27001 -sertifioiduissa Ranskassa sijaitsevissa palvelinkeskuksissa TLS 1.3 -salauksella kaikissa vaihdoissa ja AES-256:lla levossa olevan datan osalta. Yrityksille, jotka harkitsevat siirtymistä DocuSignista tai YouSignista, NIS2-vaatimuksenmukaisuus on usein muutospyrkimyksen pääasiallinen laukaisiija.

Sähköisesti allekirjoitettujen asiakirjojen turvaamiseen sovellettava oikeudellinen kehys

Elektronisesti allekirjoitettujen asiakirjojen turvallisuus noudattaa lainsäädäntöjen kokonaisuutta, jonka hallitseminen on välttämätöntä kaikille yrityksille, jotka haluavat olla vaatimuksenmukaisuuden mukaisia vuoteen 2026 mennessä.

Ranskan siviililaki: artikkelit 1366 ja 1367

Ranskan siviililain 1366 artikla asettaa periaatteen elektronisen asiakirjan ja paperisen asiakirjan vastaavuudesta edellyttäen, että henkilö, joka sen lähettää, tunnistetaan asianmukaisesti ja että asiakirja on laadittu ja säilytetty muodoissa, jotka takaavat sen eheyden. Artikla 1367 määrittelee sähköisen allekirjoituksen luotettavaksi tunnistamismenetelmäksi, joka takaa sen yhteyden asiakirjaan. TLS-salaus edistää suoraan tätä eheyden takuuta kuljetusvaiheessa.

Asetus eIDAS n:o 910/2014 ja eIDAS 2.0

Euroopan parlamentin ja neuvoston asetus eIDAS n:o 910/2014 muodostaa sähköisen allekirjoituksen sääntelypohjan Euroopassa. Se määrittelee kolme allekirjoitustasoa (yksinkertainen, laajennettu, pätevä) ja vaatimukset päteville luottamuspalvelujen toimittajille (PSCo). Asetuksen liitteet I–IV määrittelevät tekniset vaatimukset päteville varmenteille. ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ja EN 319 142 (PAdES) -normit täsmentävät sallittuja allekirjoitusmuotoja. eIDAS 2.0 vahvistaa näitä vaatimuksia eurooppalaisen digitaalisen identiteetin lompakolla (EUDIW) ja lisääntyneillä PSCo:n kyberturvallisuusvelvoitteilla.

GDPR n:o 2016/679

Yleinen tietosuoja-asetus velvoittaa yritykset toteuttamaan sopivat tekniset ja organisatoriset toimet henkilötietojen turvallisuuden takaamiseksi (32 artikla). Henkilötietoja sisältävät allekirjoitetut asiakirjat on salattava liikkeessä (TLS:n kautta) ja levossa (AES-256:lla tai vastaavalla). Tietovuodon sattuessa ilmoitus CNIL:lle ja asianomaisille henkilöille on tehtävä 72 tunnin sisällä (33 artikla). CNIL pitää salausta perustoimen odotettavana jokaiselta tietojen käsittelijältä.

NIS2-direktiivi (2022/2555/UE)

NIS2 on siirretty Ranskaan lokakuusta 2024 alkaen ja asettaa olennaisille ja tärkeille yhteisöille vahvistetut kyberturvallisuusvelvoitteet. Se kattaa nimenomaisesti viestintäkanavien turvallisuuden (myös TLS), poikkeamien hallinnan ja digitaalisen toimitusketjun turvallisuuden. Sähköisen allekirjoituksen SaaS-palveluntarjoajat voivat kelpuuttaa kriittisinä toimittajinaan niille asiakkaille, joihin NIS2 soveltuu.

ANSSI-viitemateriaali ja ETSI-normit

ANSSI julkaisee salauskohteita koskevat suositukset (ANSSI-PB-078 -opas) määritellen hyväksyttävät algoritmit ja avainpituudet. TLS:lle ANSSI suosittelee TLS 1.3:a etusijalla, TLS 1.2:ta tiukasti määritetyillä salauksilla ja kieltää muodollisesti SSLv3:a, TLS 1.0:a ja TLS 1.1:ä. Nämä suositukset koskevat tosiasiallisesti herkkiä järjestelmiä ja sisältyvät pätevien palveluntarjoajien arviointikriteereihin eIDAS:ssa.

Käyttötapaukset: TLS-salaus käytännön kontekstissa

Tapaus 1: Asianajotoimisto, joka hallinnoi yksityisellä allekirjoituksella tehtyjä virtuaalisia asiakirjoja

Asianajotoimistoon, jossa on noin viisitoista yhteistyöntekijää, käsittelee kuukausittain useita satoja valtuutuksia, sopimuksia ja sopimuspurkuja. Ennen siirtymistä eIDAS-yhteensopivaan ratkaisuun, jossa on TLS 1.3, asiakirjoja vaihdettiin salaamattomalla sähköpostilla, mikä altisti toimiston asiakirjojen kompromissoinnin ja oikeellisuuden kiistämisen riskeille.

TLS 1.3:n ja AES-256-salauksen levossa olevan datan kanssa SaaS-alustaan siirtymisen jälkeen yhdistettynä monivaiheisen todentamiseen allekirjoittajille, toimisto vähensi asiakirjojen käsittelyaikaa 68 % (4,2 päivästä keskimäärin 1,3 päivään) ja eliminoi epäturvan asiakirjan välitykseen liittyvät poikkeamat. Jokaisen prosessin vaiheen aikaleimaitu jäljitettävyys muodostaa nyt hyväksyttävän todisteen kiistoissa.

Tapaus 2: KMU:n teollisuusala, joka hallinnoi toimittajasopimuita

Valmistusalalla toimiva KMU, joka käsittelee noin 300 toimittajasopimusta vuosittain, kohtasi asiakirjojen hajaantumisen ongelman: käsin allekirjoitettuja sopimuksia digitoitiin ja varastointiin sisäisille palvelimille ilman salausta koko verkon saataville. Turvatarkastus, joka suoritettiin ISO 27001 -sertifikaatin valmistelussa, paljasti, että 40 % sopimusasiakirjoista ei ollut salattu levossa.

Siirtyminen SaaS-ratkaisuun, jonka sähköinen allekirjoitus toimii TLS 1.3:n kanssa liikkeessä ja AES-256:lla levossa, yhdessä rooliin perustuvan pääsynhallinnan kanssa, korjasi nämä haavoittuvuudet. Estimoitu riski dokumenttien vuotamisesta, arvioituna NIST-menetelmillä, edustaa useita kymmeniä tuhansia euroja vuodessa vältettyä riskiä. Toimittajasopimusten allekirjoitusaika lyheni 5 päivästä alle 24 tuntiin keskimäärin.

Tapaus 3: Yksityisten klinikoiden ryhmä ja GDPR/NIS2-vaatimuksenmukaisuus

Yksityisiä klinikoita koskevan ryhmittymän noin 600 vuodeosastoa useilla laitoksilla piti turvata työsuhdesopimusten, harjoittelusopimuksien ja potilaan suostumulomakkeiden sähköinen allekirjoitus. Terveydenhuoltoala luokitellaan NIS2:ssa olennaiseksi kokonaisuudeksi, joten viestintäkanavien turvavaraukset ovat erityisen tiukat.

sähköisen allekirjoituksen terveydenhoidossa ratkaisun omaksuminen, jossa on TLS 1.3, HSM allekirjoitusavaimien hallinnassa ja muuttumaton kirjaus jokaisesta asiakirjan käytöstä, salli ryhmittymiä täyttää NIS2-auditointivaatimukset ja GDPR:n käsittelyreisterin velvoitteita. Vaatimuksenmukaisuuden saavuttamisen kustannukset katettiin alle 8 kuukaudessa HR-asiakirjojen paperisen prosessin poistolla, mikä edustaa arvioitua säästöä 15–25 euroa per käsitelty asiakirja SYNTEC Numérique -sektorin vertailuarvojen mukaan.

Johtopäätös

Sähköisesti allekirjoitettujen asiakirjojen turvaaminen TLS-salauksella ei ole enää teknisen mukavuuden kysymys: se on oikeudellinen velvoite, joka johtuu eIDAS-asetuksesta, GDPR:stä, NIS2-direktiivistä ja ANSSI:n suosituksista. Vuoteen 2026 mennessä yritykset, jotka laiminlyövät asiakirjavirtojen turvallisuutta, altistuvat hallintosakkoille, asiakirjojensa mitätöitymisen riskeille ja yhteistyökumppaneiden luottamuksen menetykselle.

TLS 1.3:n käyttöönotto, yhdessä AES-256-salauksen kanssa levossa, monivaiheisen todentamisen ja tiukan asiakirjajohtamisen kanssa, muodostaa asiakirjasuojausstrategian vähimmäisperustan.

Certyneo sisältää kaikki nämä suojaukset natiivisti auditoituun ja vapauttavaan SaaS-alustaan. Ota asiakirjojen turvallisuus haltuusi tänään – tutustu tarjouksiin hinnoittelusivullamme tai ota yhteyttä asiantuntijoihimme henkilökohtaisen tarkastuksen saamiseksi.