TMD vs TMK : difríochtaí dlíthiúla agus praiticiúla

Réamhrá : cén fáth a dhíchur TMD agus TMK ?

I réimse an ghréasáin muiníne dhigitálach Eorpach, is minic a bhíonn mearbhall ar ghnáthdhuine an dlí agus ar bhainisteorí ríomhaireachta maidir le coincheapa Trustmark de Données (TMD) agus Trustmark de Clés (TMK) — a shainmhíníonn siad faoi seach na meicníochtaí marcála muiníne do shonraí leictreacha agus do bhonneagair eochair dhomhanda cripteolaíochta. A bheag nó a mhór, tá a scéimeanna dlíthiúla, a raon teicniúil agus a impleachtaí praiticiúla difriúil ó bhonnsa. Soiléiríonn an t-alt seo an dá ghléas seo, agus cuireann sé an fráma rialála faoi seach ar láithreán agus treorú ar eagraíochtaí B2B chun an rogha is oiriúnaí a fhail dá sruthanna doiciméadacha.

---

Cad é TMD (Trustmark de Données)?

Is éard atá in TMD, nó meicníocht marcála muiníne a chuirtear i bhfeidhm ar shonraí, ná sraith nósanna fheidhmithe agus ionaid chripteolaíochta ar féidir leo aontacht agus fíordheimhniú tacar sonraí nó doiciméid leictreachais a chinntiú. Braitheann sé go príomha ar mheicníochtaí seaile leictreachais cáilithe (qualified electronic seal) de réir rialachán eIDAS.

Bunúsacha theicniúla an TMD

Go teicniúil, braitheann TMD ar:

• Feidhm dhót gheal (SHA-256, SHA-3) a chuirtear i bhfeidhm ar shonraí foinse, agus ghealadh dhigitálach uathúil á giniúint;

• Tháirgead dhigitálach arna eisiúint ag Soláthraí Seirbhísí Muiníne Cáilithe (PSCQ), ag a bhaint go bhfuil fíorúchán ar dhréachtaí an tsoláthraí;

• Uairead leictreachais cáilithe de réir caighdeán ETSI EN 319 421, agus fianaise am-bhunaithe ag soláthar a bheidh achomharcach.

Tugann na trí ghné seo go bhFéadfaidh an TMD a bheith ag soláthar fíorúchán fíoruachtartha ard agus is féidir é a thuiscint go bhfuil sé i gcomhréir le gníomhartha fíoruachtacha in a lán Stáit Bhallstát den Aontas Eorpach. Chun níos faide ar an bhfíorúchán dlíthiúil doiciméad a bhíonn ann le horaiste, féach ar ár treoir iomlán maidir le síniú leictreach.

Limistéir fheidhmíochta a bhí níos fearr do TMD

Tá TMD oiriúnach go háirithe in imlínte inar chóir d'eagraíochta fianaise a ghinealadh ar aontacht méid mór sonraí gan gá d'idirghníomhú gníomhach a bheith ag duine nádúrtha den bhraistint. Feictear é go háirithe i:

• Fíorúchán sruthanna cuntasaíochta agus airgeadais (leabhair taifead, baileanna ginearálta);

• Caomhnú dlíthiúil fíorbhunus dhigitálach (stóradh fianaise a rialachta NF Z 42-013);

• Comhroinnt EDI idir phartaithe tráchtála i ngréasáin soláthair.

---

Cad é TMK (Trustmark de Clés)?

Is TMK, nó meicníocht marcála muiníne bhunaithe ar eochair dhomhanda cripteolaíochta, an córas difriúil: ní raibh sé ag fíorú na sonraí féin ach na bonneagair eochair poiblí (PKI) agus na gléasanna cruthúchán síniú a bhreisithíonn síniú. Tá baint dhíreach aici le coincheapa Ghléas Cruthúchán Sínithe Cáilithe (QSCD) a shainmhíníonn an Iarscríbhinn II de rialachán eIDAS.

Ailtireacht chripteolaíochta an TMK

Impleann TMK:

• Modúl HSM (Hardware Security Module) fíormhaoinithe CC EAL 4+ nó FIPS 140-2 leibhéal 3, a bhaint go bhfuil eochracha príobháideacha nach imíonn as an ngléas slán;

• Polasaí fíorúcháin doiciméadaithe (CPS – Certification Practice Statement) foilsithe ag an PSCQ;

• Meicníochtaí aisghairm am-réalta tríd OCSP (Online Certificate Status Protocol) nó CRL (Certificate Revocation List).

Braitheann socrú an TMK dá bhrí sin ar thslándáil fhisiceach agus loighciúil na ngléasanna gin agus stór eochair. Chun a thuiscint conas a dhéanann an riachtanais seo a réiteach le fráma rialála gach rud, tá ár treoir ar rialachán eIDAS 2.0 ina dthagarcan riachtanach.

Limistéir fheidhmíochta a bhí níos fearr do TMK

Marcann an TMK in scéalanna inar bheidh gá do dlíthiúlacht neamhshéanta duine nádúrtha a bheith dlite go cinnte:

• Síniú conarthaí le hardluach dlíthiúil (díolacháin ghréasáin tráchtála, bailíochtaí tráchtála, gníomhartha notarithe dídhlínithe);

• Próisis fíordheimhniú láidir i bportáil riaracháin-eagraíochta (API custaim, ardáin Chorus Pro);

• Bailíochtú orduithe íoc i stáidreamh airgeadais faoi réim DSP2.

---

Comparáid dhlíthiúil: TMD vs TMK

Is é an difreálach is struchtúraí idir TMD agus TMK ná a ceangal dlíthiúil laistigh de rialachán eIDAS (Uimh. 910/2014) agus a chomhshlánaitheoir eIDAS 2.0 (rialachán AE 2024/1183).

Scéim freagrachta

| Critéir | TMD | TMK | |---|---|---| | Eintiteas freagairt | Duine dlíthiúil (eagraíochta) | Duine nádúrtha nó dlíthiúil shainaitheanta | | Leibhéal muiníne | Foluain nó cáilithe (seaile) | Cáilithe (síniú leictreach cáilithe) | | Glacadh dlíthiúil | Aontacht sonraí | Toil agus aitheantas an tsínítheora | | Fréamh thrasfhrontuir | Gealadh uachdaránach AE | Gealadh uachdaránach AE (alt 25 eIDAS) |

Cuireann TMD freagracht an tsoláthraí i gcontúirt: má bhí aontacht na sonraí deimhnithe go damhachtaithe, caithfidh an eagraíochta freagairt a thabhairt. Ar an láimh eile, cuireann TMK freagracht dhílis an tiomnaithe eochair i gcontúirt — agus déanann sin an uirlis ríachtanach ar son gach gníomhartha inar bheidh gá do thoil dhúshlánach a bheith cruthaithe gan imní.

Neart fíorbhunus os comhair na gcúirteanna Fraincíse

I ndlí Fraincíse, socraíonn alt 1366 an Chód Sibhialta go bhfuil « an scríobhinn leictreach ag an spréacharnach céanna fíorbhunus agus an scríobhinn ar thaca páipéir, faoi réim gur féidir a bhaint a fhiosrú go cuí an duine as ar tháinig sé agus go raibh sé bunaithe agus caomhnaithe i gcoinníollacha ar chóir leo a bheith ann chun a aontacht a ghealadh ». Cuimsítear an dá mheicníocht sa cháilítchríoch seo, ach tá nuáimsí tábhachtach i gceist:

• Doiciméad a bhí cosanta ag TMD cáilithe bhaint de glacadh aontachta agus ag aisiompú an ualach an fhíorbhunus;

• Doiciméad sínithe trí TMK cáilithe baint de, ar bharr, glacadh imputabilitee — caithfidh an sínítheora féin a thaispeáint nach raibh síniú curtha dó, go bhfuil sé go héachtach deacair.

Míníonn an mí-chothromóid fíorbhunus seo cén fáth a bhíonn dlíodóirí agus oifigí dlíthiúla ag úsáid síniú leictreach ag soláthair don TMK ar ghnéithe a bhí faoi réim i nidh dlíthiúil.

Idir-inoibritheacht agus gealadh dhúbhailte

Treiseann eIDAS 2.0 an idir-inoibritheacht tríd Ghréasáin Aitheantas Dhigitálach Eorpach (EDIW), agus roghnófar siad go nádúrtha na meicníochtaí TMK do bhroistíoch agus do dhomhanda gníomhfhostúcháin. Ar an láimh eile, braitheann na TMD níos fearr ar an liostai muiníne náisiúnta (Trusted Lists) foilsithe ag gach Ballstát. Foilsítear an ceann Fraincíse ag an ANSSI, agus tá gach PSCQ cáilithe ar a liosta. Chun anailís dhíreach ar thuaslagáin an chlabairt, tabhair dúinn comparáid na réiteach sínithe leictreach agus tabharfaidh sí duit eilimintí sonracha an chinnidh.

---

Impleachtaí praiticiúla d'eagraíochtaí B2B

Roghnaigh idir TMD agus TMK de réir an chineál doiciméid

Tá an riail órga simplí: an leibhéal contúirt dlíthiúil an doiciméid a dhíréir an meicníocht a bhí le cur i bhfeidhm.

• Doiciméid le contúirt measartha (orduithe socrúchán, táiriff, CGV, comhaontuithe rúnda NDA caighdeánach): tá TMD le seaile foluain go leor i ndáiríre. Cuireann sé ar chosaint láidir na haontachta gan costas breise a bheith bainteach le cáilíochtú QSCD.

• Doiciméid le contúirt ard (conarthaí fostúcháin, mandátaí, gníomhartha díolacháin, gealltanais airgeadais os cionn 50 000 €): moltar TMK cáilithe, nó go bhfuil sé dícheallú ag roinnt limistéir rialála (banc, árachas, sláinte).

Do na fóirne RH a bhíonn ag bainistiú méideanna mór conarthaí fostúcháin, tá an réiteach sínithe leictreach do RH ag baint de go nádúrtha leibhéal muiníne oiriúnach do gach cineál doiciméid.

Costanna agus sochar an chur i bhfeidhm

De ghnáth tá TMD níos ísle chun a bhí i bhfeidhm de bharr nach bhfuil gá do phróiseas aitheantas láidir (KYC/AML) do gach sínítheora. Cuirtear isteach é trí API i gcóras bainistíochta doiciméid (GED) nó ERP i gcionn 2 go 6 seachtain ar an bhás ar chastacht an timpeallacht IT.

Ar an láimh eile, mar gheall ar riachtanais QSCD agus ar phróiseas fíorúcháin aitheantas, bíonn gá do fhilleadh onboarding de 3 go 10 lá oibre do gach sínítheora. Ar son eagraíochtaí ag bainistiú a lán phárt-ranna seachtrach, d'fhéadfadh sé seo a bheith ina chúis frithchosúil a rithreabadh go réamhlíonraithe.

Stóradh agus caomhnú

Neamhspleách ar an meicníocht a roghnaítear, caithfidh gach eagraíochta faoi réim an dlí Fraincíse a bheith ag fáil réitigh ar fadanna caomhnú dlíthiúla: 10 mbliana ar ghnáth-chonarthaí tráchtála (alt L. 110-4 an Chód Tráchtála), 5 mbliana ar shonraí dhúshlánach a bheith bainteach (RGPD alt 5). Soláthraíonn córas stóradh fíorbhunus a bhí cóir don caighdeán NF Z 42-013 go bhfuil an fíorúchán dlíthiúil TMD nó TMK caomhnaithe san am, fiú i gcas aistrithe theicniúil.

Fráma dlíthiúil a chuirtear i bhfeidhm ar TMD agus TMK

Rialachán eIDAS agus a fholuain

Is é an bonn-reachtúil na meicníochtaí TMD agus TMK an rialachán (AE) Uimh. 910/2014 ó Pharlaimint Eorpach agus Comhairle an Aontais ó 23 Iúil 2014, ar a dtugtar rialachán eIDAS. Socrú fionn-eolais seo agus leibhéal léine muiníne (simplí, foluain, cáilithe) agus a dhoicheall na coinníollacha gealadh thrasfhrontuir na seirbhísí muiníne laistigh den Aontas Eorpach.

I 2024, tá rialachán (AE) 2024/1183 (eIDAS 2.0) go substaintiúil a athbhreithniú ar an fráma seo, ag tabhairt isteach go háirithe:

• Na Gréasáin Aitheantas Dhigitálach Eorpach (EDIW) dhícheallú do Stáit Bhallstát roimh 2026;

• Catagóirí nua seirbhísí muiníne, lena n-áirítear fíortheachtais leictreach d'ionaid chóir cáilithe;

• Riachtanais fhorleathaithe ar na PSCQ i leith slándáil cyber (comhalign NIS2).

Cód Sibhialta Fraincíse : alt 1366 agus 1367

I ndlí inmhéanach, socrú na n-alt 1366 agus 1367 an Chód Sibhialta (as orduithe Uimh. 2016-131 ó 10 Feabhra 2016) na coinníollacha an bhfíorúchán dlíthiúil an doiciméad leictreach. Socrúíonn alt 1367 go bhfuil síniú leictreach cáilithe (ag brath ar TMK cáilithe agus QSCD) « ag cruthú an gealadh simplí de réadúlachta ». Tá an gealadh seo a thionscail, ach tá an ualach fíorbhunus á aisiompú ar thairbhe an duine a fhuair an síniú.

Caighdeáin ETSI a chuirtear i bhfeidhm

Déantar na sonraí theicniúla TMD agus TMK a chaighdeánu ag ETSI (Institiúid Caighdeáin Teileacumarsáide Eorpach):

• ETSI EN 319 132 : síniú leictreach foluain XAdES;

• ETSI EN 319 122 : síniú CAdES;

• ETSI EN 319 142 : síniú PAdES (PDF);

• ETSI EN 319 421 : polasaí oraiste leictreach cáilithe;

• ETSI EN 319 401 : riachtanais ghinearálta ar na PSCQ.

RGPD agus cosaint shonraí

Impleann cur i bhfeidhm TMD agus TMK an próiseáil shonraí pearsanta (aitheantas an tsínítheora, metadhonnán sínithe). Cuireann an rialachán (AE) 2016/679 (RGPD) i gceist:

• A bhonnúlacht dlíthiúil dhréachtúil ar an próiseáil (feidhm conarthaí, alt 6.1.b, nó oibleagáid dlíthiúil, alt 6.1.c);

• A chláir shonraí dhonnán a dhocúmaint ar na sruthanna sonraí go na PSCQ;

• Clauses conarthaí oiriúnach má tá an PSCQ bunaithe lasmuigh d'AE nó ag baint a bhreisithírí seachtrach lasmuigh d'Eoraip.

Treoir NIS2 agus slándáil cyber bonneagair PKI

Socrú na treoir (AE) 2022/2555 (NIS2), dílonraithe i ndlí Fraincíse ag an Dlí ó 17 Aibreán 2024, na PSCQ cáilithe i gceist le riachtanais fhorleathaithe ar bhainistiú an chontúirt cyber, ar thuairisciú gearradh (tréimhse 24 uair chun an tuairisciú tosaigh a chur chuig ANSSI) agus ar iniúchadh tréimhsiúil. Do na heagraíochtaí úsáideora, aistrítear sé seo go dícheallú dícheallú a bheith ann agus an deimhnitheoir muiníne a roghnú.

Scéalanna úsáide nó-dhunnadithe

Scéal 1 : SME tionsclaíochta ag bainistiú 300 conarthaí fhonnadóra in aghaidh an bhliain

Deirtear gur SME tionsclaíochta ar bheirt agus céad salainn, speisialaithe i ndéanamh páirt meicniúla, ag bainistiú go bliantúil timpeall ar 300 conarthaí fhonnadóra (ceannach ábhair ainmhíochta, seirbhísí cothabháil, conarthaí-fhrámaí logistíochta). Go dtí sin, bhog na doiciméid seo trí dhíolacháin phost nó r-phost neamhbhunaithe, le fadanna sínithe meánbhreisíonn de 12 go 18 lá oibre.

Ag cur i bhfeidhm meicníocht TMD cáilithe ar ghnáth-chonarthaí le luach níos ísle ná 20 000 € agus TMK cáilithe ar ghealltanais os cionn nó fada-théarmach, laghdaíonn an SME a shéim sínithe go 1,8 lá oibre ar an meán, ar an bhás ar laighdú de níos mó ná 85 %. Cuireann an t-aonad ar doiciméid i gceistthe go concrético, ar ionadh 2 go 3 comhaid i gceistthe ar an mbliain, ligean ar nialas thar na 18 mí ina dhiaidh sin an cur i bhfeidhm — an gealadh dlíthiúil a bhaineann leis na meicníochtaí cáilithe ag foluain an conradh.

Scéal 2 : grúpa ospidéal tuairim ar 600 leaba

Baineann grúpa ospidéal poiblí ag bainistiú a lán stáidramh dhícheallú líofacht doiciméid gach bliain : conarthaí cleachtóirí ospidéal, prótacal taighde clíneach, coinbhinsiúin le párt-ranna acadúla agus saotharlanna druga. Cuireann an limistéir an tsláinte coinníollacha rialála ar leith i gceist (HDS — Hostaonn na Sonraí Sláinte, PGSSI-S).

Cuireann an grúpa TMK cáilithe i bhfeidhm ar shínithe cleachtóirí (ag gabhála dá bhfreagracht leighis agus dlíthiúil) agus TMD foluain ar chinntiú na sruthanna sonraí othair idir stáidramh. Ceangal an dá mheicníocht ag bhaint ligean ar chostanna clóphriontáil, digitúcháin agus stóradh fhisiceach a laghdú de 45 000 € in aghaidh an bhliain agus ar thréine a chur ar chóir RGPD agus HDS. An iniúchóidh ar chóir, ar réamh bhliain ag iarraidh 3 seachtain ullmhúcháin doiciméad, a laghdú go 4 lá trí iniúchóidh logáiste-ór.

Scéal 3 : oifig comhairle ar fheilmeascadh-fhilleadh de mhéid meánbhreisíonn

Socraítear ar oifig ar speisialtóireacht i M&A ag bacadh le tuairim ar 10 n-oibríochtaí in aghaidh an bhliain ag bainistiú litir dhiacháil (LOI), comhaontuithe rúnda treisthe, prótacal comhaontú agus gníomhartha díolacháin. Seasann luach an n-oibríochtaí idir 5 M€ agus 80 M€. D'fhéadfadh an t-aonad ar doiciméid ar an bhith a bheith ag foluain ar an tránsachtas ar chúpla míosa.

Ag cur i bhfeidhm go bhfuil conarthaí ag soláthair an úsáid ar TMK cáilithe ar gach doiciméad na tránsachtas ó bhunús an taighe dhúdhlíonithe, cuirtear an oifig in oiriúint ar an chontúirt ar doiciméid ar an ghealadh fhoirmiúil. An gcuid bhraistíonn tráchtála (go háirithe Breatain agus Meiriceá i ndiaidh Brexit) aithnítear an bhfíorúchán dlíthiúil na sínithe cáilithe eIDAS i réim an chláus ar dhroichead dlíthiúla eorpach. Seasann an t-am meánbhreisíonn an dúnú doiciméad ó 22 lá go 8 lá, ar an bhás ar bharráil de 63 % ar na fadanna fíoruchtaithe.

Críoch

Is iad TMD agus TMK nach bhfuil iomlánachomhar : deimhníonn an chéad aontacht na sonraí ar scála an eagraíochta, agus cuireann an dara freagracht dhílis an tsínítheora i gcontúirt le neart an fhíorbhunus is airde a bhí leagtha amach ag eIDAS. Tá an idirdhealú seo a thuiscint ina riachtanas inbhuanaithe anois ar son gach polasaí doiciméid i timpeallacht B2B. Cinnítear an rogha an meicníochta oiriúnach go díreach ar an leibhéal contúirt dlíthiúil gach cineál doiciméid agus ar na coinníollacha rialála a chuirtear i bhfeidhm go socrúchánach.

Tabhair dúinn feidhm i gceist ar a bhí i rith straitéis muiníne dhigitálach a dhéanamh ar ThMD agus TMK de réir a chuid sruthanna doiciméid i ndáiríre. Glacann an phlataform iomlán ar an dá mheicníocht, ag baint go bhfuil riachtanais eIDAS 2.0 agus ag foluain ar do SI atá ann. Iarr ar léiriú nó comparáid ar ár thairiscintí ar an leathanach Praghas Certyneo — tá ár saineolaithe dlíthiúla agus teicniúla ar fáil chun a bhit d'iniúchadh gur saor ar an choinníoll.