Téigh go dtí an príomhábhar
Certyneo

Oibleagáidí soláthraí sínithe leictreonaí san Fhrainc

Fhéadfadh soláthraí sínithe leictreonaí a bheith i bhfeidhm faoi chreatlach dlíthiúil dian: soiléiriú eIDAS, comhlíonadh RGPD, agus gealltanais ANSSI. Faigh amach gach oibleagáid a chaithfear a chomhlíonadh.

Foireann Certyneo13 nóim léite

Foireann Certyneo

Scríbhneoir — Certyneo · Maidir le Certyneo

Réamhrá

Ní féidir réiteach sínithe leictreonaí a chur i bhfeidhm san Fhrainc gan phleananna. Taobh thiar de gach síniú caolchúiseach nó ardleibhéal tá na ndeichniúr oibleagáidí dlíthiúla ann a thagann ar an soláthraí seirbhísí iontaofa (PSCo). Rialachán eIDAS, RGPD, tacar ginearálta slándála, caighdeáin ETSI… tá an creat rialála go dlúth agus evolúiteach araon. Do na gníomhaireachtaí úsáideora, tuiscint a fháil ar na hoibleagáidí dlíthiúla seo soláthraí sínithe leictreonaí san Fhrainc eIDAS RGPD is riachtanach chun comhpháirtí comhlíonach a roghnú agus gach baol dlíthiúil a sheachaint. Leagann an t-alt seo, roinn ar roinn, síos an raon iomlán de na gealltanais a bhaineann do PSCos ag gníomhú ar fud an chríocha Fraincigh.

---

An stádas soláthraí seirbhísí iontaofa caolchúiseach

Cad is PSCo ann de réir eIDAS?

Cuireann an rialachán eIDAS n° 910/2014 idirdhealú idir dhá chatagóir de soláthraí: na soláthraí seirbhísí iontaofa neamhchaolchúiseach agus an soláthraí caolchúiseach (PSCQ). Is féidir leis an chéad chineál seirbhísí sínithe leictreonaí simplí nó ardleibhéal a thairgint gan scrúdú tríú páirtí oibleagáideach. Tá an tarna cineál — ar an aer amháin a údaraithe deimhniú do shínithe caolchúiseach de réir alt 3(15) d'eIDAS — gníomhaithe a dhéanamh ar riachtanais i bhfad níos stróichte.

San Fhrainc, is é an Ghníomhaireacht Náisiúnta um Thslándáil Chórais Faisnéise (ANSSI) a líoníonn an ról de údarás bhreithiúnachta ("Supervisory Body") leagtha amach san alt 17 de eIDAS. Foilsíonn agus coimeádann sí an liosta iontaofa Fraincigh (TSL — Trust Service List), inrochtana ar a suíomh oifigiúil, a bhailíonn na soláthraí caolchúiseach agus a gcuid seirbhísí.

An nós imeachta caolchúisimh: scrúdú agus comhlíonadh

D'fhonn stádas caolchúiseach a fháil, bíonn orthu PSCo a dhéanamh go bhfuil siad ag:

  • A chuid seirbhísí a scannáil ag corp measúnúcháin comhréireachta (CAB — Conformity Assessment Body) ceadaithe ag COFRAC de réir an chaighdeáin EN ISO/IEC 17065.
  • An tuarascáil scrúdúcháin a shínithe don ANSSI, ar dhéidheannn ar an stádas caolchúiseach. Déantar scrúdú arís ar an stádas seo ar a laghad gach 24 mhí (alt 20 §1 eIDAS).
  • An ANSSI a chur in iúl faoi aon athrú substaintiúil ina chuid seirbhísí taobh istigh de 3 mhí roimh an athrú beartaithe (alt 21 eIDAS).

Cuireann neamhthugbhála na gcéimeanna seo an soláthraí i mbaol a bheith gearraithe de TSL agus cailliú na réimhthuar dlíthiúla atá bainteach leis an tsíniú caolchúiseach. Do na gníomhaireachtaí chliaint, ciallaíonn sé a rá go raibh PSCo ar liosta nach bhfuil ar an TSL nach bhfaigheann aon réimhthuar dlíthiúil ar iontaofacht.

> Le haghaidh níos mó faisnéise ar na leibhéil éagsúla sínithe agus a n-éifeachtaí dlíthiúla, féach ar ár treoir iomlán an rialacháin eIDAS 2.0.

---

Oibleagáidí teicniúla agus slándála a fhormhéadaítear ar PSCos

Comhlíonadh caighdeáin ETSI

Caithfidh soláthraí caolchúiseach comhlíonadh a bheith acu ar shraith caighdeáin Eorpacha a foilsíodh ag an Institiúid Chaighdeáin Cumarsáidí Theileachumarsáide na hEorpa (ETSI). Siad seo a leanas iad an príomh-chinn:

  • ETSI EN 319 401: gealltanais slándála ginearálta ann do gach PSCo.
  • ETSI EN 319 411-1 agus 411-2: polasaithe agus cleachtais na n-údaráis deimhnithe ag soláthar deimhnithe do shínithe caolchúiseach.
  • ETSI EN 319 132: formáidí sínithe leictreonaí ardleibhéal (XAdES i bhvolc XML, PAdES i bhvolc PDF, CAdES i bhvolc CMS).
  • ETSI EN 319 122: formáid CAdES do shínithe caolchúiseach.
  • ETSI TS 119 431: gealltanais do sheirbhísí cruthaithe sínithe i bhfad (QSCD i bhfad).

Ní roghain iad na caighdeáin seo: cuirtear san alt ar ais go soiléir sa rialachán eIDAS (Ábalta II, III agus IV) chun na gealltanais íosbhunúsacha de dheilbhnithe caolchúiseach agus gléas a shainiú.

Bainistiú ar ghléasanna daingean chun sínithe a chruthú (QSCD)

Ceann de na pilléir ar a bhfuil síniú caolchúiseach ná úsáid a bhaint as ghléas daingean chun sínithe a chruthú (QSCD — Qualified Signature Creation Device) i gcomhréireacht le Ábalta II d'eIDAS. Bíonn ar an soláthraí a rá go:

  • Ní féidir eochair dhochta an tsiginatáire a ghin, a stóráil nó a chóipeáil lasmuigh den QSCD.
  • Déantar ginearálacht na heochracha go heisiach i dtimpeallacht deimhnithe (deimhniú Common Criteria EAL 4+ nó comhionann).
  • Bíonn fhéiniúnacht an tsiginatáire ag brath ar dhá fhachtóir fhéiniúcháin ar a laghad.

I gcomhthéacs sínithe i bhfad — ar a bhfuil an-úsáid i dtimpeallachtaí SaaS — is infheidhmithe na gealltanais seo i ngabháltas (HSM — Hardware Security Module) a bhraitheanns na heochracha. D'fhoilsigh an ANSSI próifílí cosanta sonracha (PP-0075, PP-0076) a sainmhíníonn na critéir slándála a bhaint amach.

Polasaí leanúnachais agus fógra a dhéanamh ar thimpistí

Thugann alt 19 de eIDAS orthu gach soláthraí seirbhísí iontaofa (caolchúiseach nó nach ea) a dhéanamh go:

  • An údarás bhreithiúnachta (ANSSI) agus, más cuí, an údarás cosanta sonraí (CNIL), taobh istigh de 24 uair** a chéile tar éis bhreith ar bhealach neamhshláinte slándála ar nós dá mbainfeadh sé ar iontaofacht an tseirbhís.
  • A bhainistiú phlean leanúnachais gníomhaíochta doiciméadach agus trialaite go rialta.
  • A bheith acu ar pholasaí slándála faisnéise formalaithe, a chuimsíonn go háirithe bainistiú ar bhagairt, bainistiú ar timpistí agus polasaí cúltaca.

Is ionchuimsiú páirt ar pháirt iad na gealltanais seo leis na cinn ó threoir NIS2 (2022/2555/UE), arna aistriú i ndlí Fraincigh ag an dlí n° 2023-703 i 1 Lúnasa 2023, a aicmíonn PSCos a bheidh i gceangal shuntasach i measc aonáin thábhachtachariachtanacha faoi fho-oibleagáidí fóranta i gcybersecurity.

> Faigh amach conas a bheidh ar sínithe leictreonaí i gcomhair gabhálainn dlíthiúla na srianta seo a chomhlánú ina n-sreabhadh oibre doiciméadach.

---

Oibleagáidí RGPD ar leith do PSCos

An PSCo, freagrach as stáisiúnú nó frithpháirtí?

Ag brath ar nádúr an tseirbhís tugtha, is amhlaidh an aicmiú RGPD den soláthraí:

  • Nuair a bheidh an PSCo ag soláthar go díreach deimhnithe caolchúiseach ar ar shon an tsiginatáire agus go bhfuil siad ag cinneadh ar na críche an phróiseáil na sonraí pearsanta (aithint, sonraí fhiosófar fhaoine), gníomhaithe siad i gcoirp an fhreagrach as stáisiúnú de réir alt 4(7) RGPD.
  • Nuair a bheidh siad ag comhtháthu a API i gcreat a chliaint B2B agus ag próiseáil na sonraí pearsanta de réir na bhfograisí de an chliaint amháin, bíonn siad sa bhoscar de fhrithpháirtí (alt 4(8) RGPD) agus bíonn oibleagáid orthu go daingean DPA (Data Processing Agreement) i gcomhréireacht le halt 28 RGPD.

Go praiticiúil, is iad formhór na PSCos SaaS a chomhoibríonn an dá ghlacadh: freagrach as bainistiú ar a n-infreastruchtúr deimhnithe féin, frithpháirtí i ndáil le próiseáil na ndoiciméad agus metatá na siginatáirí.

Oibleagáidí ar leith bainteach do sonraí fiosófar agus aithinte

Is minic a bhaineann aithint agus fhéiniúchán an tsiginatáire — céim oibleagáideach chun deimhniú caolchúiseach a soláthar — le próiseáil na sonraí mothúcháin: scan a bheith déanta de dhoiciméad aithinte, féinphictiúr físe, sonraí fhiosófar d'athúsáid aghaidhe. Is iad na sonraí seo na sonraí pearsanta ag baint do RGPD, nó fiú na sonraí fiosófar ag baint d'alt 9 RGPD (catagóirite ar leith).

Cuimsíonn oibleagáidí an PSCo:

  • Bonn dlíthiúil: toiliú soiléir (alt 9§2a) nó, i roinnt cásanna, an oibleagáid dhíreach (alt 9§2b) i ndáil le próiseáil na sonraí fiosófar.
  • Teorainn ar dhíolúine: de réir na dtreorach CNIL, caithfear sonraí aithinte a choimead ar feadh an ama dhíreach riachtanach, go típiciúil ailínithe ar dhíolúine an deimhnithe + ré dhíreach dlíthiúil (go minic 10 mbliana i gcomhair gníomhaireachtaí faoin chóras príobháideach, alt 2224 den Chódex Sibhialtachta).
  • Scrúdú ar thionchar (AIPD) oibleagáideach (alt 35 RGPD) ó thús go dtagraíonn an próiseáil a dhéanamh ar an bhagairt ard — i gceist go tréan maidir leis an fhiosófar.
  • Clár na bpróiseálaithe (alt 30 RGPD) i bhfolúain agus a dhocúmaineadh gach catagóire phróiseála.

Aistrithe idirnáisiúnta sonraí

Tá go leor PSCos ann ar fhostódh siad roinn ar roinn ar a bhfuil a n-infreastruchtúr lasmuigh an Spáis Eacnamaíochta Eorpach (EEE). Sa chás sin, is gá na bharáintí inchuibhiúla a bheadh i dtabhachtaí ag caibidil V RGPD: cinneadh ar inchuibhiúsacht, clausail chonarthacha caighdeánacha (SCCs) den Coimisiún Eorpach nó rialacha gníomhaireachta bhríochta (BCR). Chuimhnigh an bhreithiúnacht Schrems II (CJUE, C-311/18, 16 Iúil 2020) gur bhreithníonn aistrithe i dtreo an Stáit Aontaithe anailís ar bhaol tíre réamhréamhaireach.

> Le haghaidh tuiscint ar an tionchar ar do bharantúchán, féach ar ár treoir ar shínithe leictreonaí i ngníomhaireacht.

---

Oibleagáidí soiléireachta agus faisnéise i dtreo na n-úsáideoirí

Polasaí deimhnithe (PC) agus dearbhú ar an bpolasaí deimhnithe (DPC)

Bíonn ar gach PSCo ag soláthar deimhnithe a fhoilsiú Polasaí Deimhnithe (PC) agus Dearbhú ar an bPolasaí Deimhnithe (DPC), i gcomhréireacht le gnáth ETSI EN 319 411. Tuairisceoidh na doiciméid seo, atá ar oscailt saor, cé a:

  • Nósanna imeachta aithinte agus cláraithe na siginatáirí.
  • Bearta slándála fhisiciúla agus loighciúla a chur i bhfeidhm.
  • Coinníollacha géilliúnach deimhnithe agus fachtóirí bainteach.
  • Freagrachta agus teorainneacha urramúil an PSCo.

Is dochomhréireacht í an easpa nó neamhiomlánacht na doiciméid seo atá ábalta go féadfaí a dheonaigh nuair a bhítear ag scrúdú an chaolchúisimh ag an chorp ceadaithe.

Faisnéis réamhchonarthaí agus chonarthaí chliaint

Taobh amuigh de na hoibleagáidí go fíor-theicniúil, tugann alt 13 RGPD orthu an PSCo a chur ar gach duine a gcuimsítear na sonraí acu faisnéis soiléir agus inrochtana ar:

  • Aithint an fhreagrach as stáisiúnú agus comhorduithe an DPO (oibleagáideach i gcomhair PSCos a phróiseálann ar scála foluain na sonraí mothúcháin, alt 37 RGPD).
  • Críocha agus bonn dlíthiúil gach próiseála.
  • Cearta na ndaoine (rochtain, ceartúchán, scriosadh, iomparú, frithsheasamh).
  • Na bhfoinsí féideartha na sonraí (frithpháirtí, údaráis).

Caithfear na faisnéisí seo a bheith i pholasaí príobháideachta an tseirbhís, i na CGU agus, más cuí, i DPA a dhéan leis na cliaint gníomhaireachta.

Uaimneadh caolchúiseach agus fúitirín dhifríochta

Chun an luach fianaise in fad síar a dhéanamh cinnte, ceanglaíonn na PSCos díongbháilte uaimneadh leictreonach caolchúiseach (alt 42 eIDAS) go sistéamach a chur le gach gníomh sínithe. Ciallaíonn an t-uaimneadh seo a bheith fianaise go dlíthiúil ag glacadh leis i bhfeidhm an fianaise sin ar an dáta a léirítear. Is oibleagáid de dhroim na fírinne an choimeádan na cnampanna anailíse (loganna aithinte, lorg an doiciméid, sonraí an tsínithe) chun aon bhreithiúnacht bhreithiúnachta a cheadú ar bhonn níos faide.

> Cuir i gcomparáid na réitigh ar an mhargadh de réir na gcritéir seo inár dhíolúine na réitigh sínithe leictreonaí.

---

eIDAS 2.0: oibleagáidí nua ar thuin 2026-2027

An rialachán eIDAS 2.0 (AE) 2024/1183

Foilsíodh i nJournal Oifigiúil an AE ar 30 Aibreán 2024, ar an rialachán (AE) 2024/1183 ar a dtugtar « eIDAS 2.0 » ag daingniú ar bhonn suntasach oibleagáidí na PSCos timpeall ar thrí hais:

  • An Sparán Aithinte Dhigitigh Eorpaigh (EUDI Wallet): caithfidh Ballstáit sparán aithinte dhigitigh certaithe a chur ar fáil ar an 2 Samhain 2026 faoin sprioc. Beidh ar PSCos a seirbhís a chomhtháthu leis an tsparán seo chun sínithe caolchúiseach a thairgint trí aithint eIDAS 2.0.
  • Bainistiú ar dheimhnithe ionaduithe: tugann eIDAS 2.0 isteach deimhnithe ionaduithe caolchúiseach (QEAAs), soláthartha ag soláthraí caolchúiseach deimhnithe. Tagann nósanna imeachta úra scrúdúcháin agus caolchúisimh i bhfeidhm.
  • Treisiú an bhreithiúnachta: fhéachann údaráis náisiúnta bhreithiúnachta (ANSSI i gcomhair na Fraince) fhéarchomhacht méadaithe, go háirithe an tochas a dhiallúint scrúduithe gasta agus a chur i bhfeidhm bearta ceartúcháin bhríochta i dtréimsí gearraithe.

Impleachtaí praiticiúla do sholáthraí reatha

Caithfidh PSCos atá ó cheana caolchúisithe faoi eIDAS 1.0 a dhéanamh cothrom comhréireacht chéimniochta sular sroicheas siad na hocáidí ar bhunú na Coimisiún (foilsíonn nó atá fhairsingithe seo). Cuimsíonn na príomh-athruithe:

  • Athshárú an infreastruchtúir aithinte chun EUDI Wallet a thacú mar bhealach fhéiniúcháin.
  • Nuashonrú na PC/DPC chun na gcineálacha deimhnithe agus deimhnithe nua a chomhtháthu.
  • Treisiú na gealltanas slándála na QSCD i bhfad, le próifílí cosanta nua ag teacht.

I gcomhair na gcliaint gníomhaireachta, ciallaíonn sé a sheiceáil ó inniu go raibh roadmap comhréireachta eIDAS 2.0 doiciméadach agus deimhnithe ag a soláthraí.

Creat dlíthiúil a chur i bhfeidhm ar oibleagáidí na soláthraí sínithe leictreonaí

Múnlú an ghealltanas rialachán ar oibleagáidí na soláthraí sínithe leictreonaí ag gníomhú san Fhrainc ar roinnt leibhéil bharrfheachtais ag glacadh páirt.

Cód Sibhialtachta Fraincigh — Ailt 1366 agus 1367

Aithníonn alt 1366 den Chódex Sibhialtachta an scriobhinn leictreonach mar mhodh fianaise arna bhreithníonn ar an phóstpháipéar, ar choinníoll go « is féidir an duine ó bhraitheanns sé a aithint go cuibhiúil agus go bheidh sé leagtha síos agus coimeádta i gcoinníollacha ar nós arna ndeimhníodh an tslándála ar bhonn a tháochta ». Soiléireann alt 1367 gur ar bhunú an phróisis iontaofa aithinte « sínithe leictreonaí coibhneasta ar an bhunú seo ». Faigheann sínithe caolchúiseach de réir eIDAS réimhthuar ar iontaofacht , a chaithfhidh an dualgas fianaise ar shon an tsiginatáire.

Rialachán eIDAS n° 910/2014/AE

Tugann an rialachán seo, ar an aer go díreach i ngach Ballstáit, an creat dlíthiúil i dtaca le seirbhísí iontaofa. Sainmhíníonn a alt 26 coinníollacha sínithe leictreonaí ardleibhéal; alt 28 a gealltanais deimhnithe caolchúiseach; bhí a Ábalta I detal ar an inneachar oibleagáideach a bhaineann leis na deimhnithe. Bhraitheanns PSCos caolchúisithe ar réimthuar ar chomhréireacht ar ghealltanais theicniúla agus dhíreach an rialacháin (alt 19§2), ar chúis go raibh sin i bhfabhar i gcás agóid.

Rialachán eIDAS 2.0 — (AE) 2024/1183

Foilsíodh ar 30 Aibreán 2024, tugann an rialachán mionathrú seo catagóirite nua de sheirbhísí iontaofa (deimhnithe ionaduithe caolchúiseach, seirbhísí cartlannúcháin caolchúiseach) agus ag tréisiú na hoibleagáidí bhreithiúnachta. Cuirfidh sé ar chúl agus a thógálann páirt ar bhonn an rialacháin 910/2014, le húsáid chéimniochta i bhfeidhm de réir achtacháin fheidhmiúcháin an Choimisiún Eorpaigh.

RGPD — Rialachán (AE) 2016/679

Baineann an RGPD do gach próiseáil a bhraitheanns na sonraí pearsanta a bheidh in achréidimh i gcreat sheirbhís sínithe leictreonaí. Cuimsíonn ailt 5 (bunphrionsabail), 6 (bonn dlíthiúil), 9 (sonraí mothúcháin), 13-14 (faisnéis), 28 (frithpháirtí), 32 (slándála), 33-34 (fógra ar bhealach neamhshláinte), 35 (AIPD) agus 37 (DPO) na fochinn ar a bhfuil an-bhaint acu i gceist go minic. Is í an CNIL an údarás iniúchóireachta fónann ag baint do na Francaigh agus is féidir a chur fíneálacha suas go dtí 20 milliún euro nó 4% ar an omnéarachas domhanda ualanúil (alt 83§5 RGPD).

Treoir NIS2 — (AE) 2022/2555

Ag aistriú i ndlí na Fraince ag an dlí n° 2023-703 i 1 Lúnasa 2023, aicmíonn NIS2 PSCos thuaidh i measc aonáin thábhachtacha nó riachtanacha faoi oibleagáidí fóranta bainistiú ar bhagairt sibear agus fógra ar thimpistí don ANSSI faoi 24 uair (fógra dhobhronach) ansin 72 uair (fógra iomlán).

Caighdeáin ETSI

Cuimsíonn an raon ar an iomlán de caighdeáin EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 agus TS 119 431 an tagartha theicniúil oibleagáideach i ndáil le scrúdú caolchúisimh. Ciallaíonn neamhthugbhála orthu an neamhábaltacht a bhaint chun a fháil nó a choimead an stádas caolchúiseach.

Bagairtí dlíthiúla sa chás nach bhfuil i gcomhréireacht

Braitheanns soláthraí neamhchomhréireach ar: gearradh de TSL na Fraince, forscaoileadh ar freagrach agus ar dhíreach lasmuigh de chonarthaí, cinnte CNIL, dílsiúcháin NIS2 ar féidir a bhaint suas go dtí 10 milliún euro nó 2% ar an omnéarachas domhanda i gcomhair aonáin thábhachtacha agus 20 milliún nó 4% ar an omnéarachas i gcomhair aonáin riachtanacha, ag roghain chúirteanna na gcliaint ar chaill siad bán as a thaobh ar bhunú ar shínithe neamhbhailí go dlíthiúil.

Leithéidanna úsáide: ar dhóchúil na gníomhaireachtaí a fhíorú ar chomhréireacht a soláthraí

Léithéid 1 — Grúpa tionscal ag bainisteoireacht 3 000 conarthaí soláthraí in aghaidh an bhliain

Grúpa tionscal meánmheánacha (ETI),

Triail Certyneo saor in aisce

Seol do chéad bhosca síniú níos lú ná 5 nóiméad. 5 bhosca saor in aisce gach mí, gan bhanka-chárta.

Dul níos doimhne sa téama

Ár dtreorracha iomlán chun síniú leictreonach a shealbhú.