Firma electrónica e norma ISO 27001: guía 2026

A firma electrónica impuxose como columna vertebral dos procesos contractuais B2B, pero o seu valor xurídico e comercial repousase nun prerrequisito frecuentemente subestimado: a robustez do sistema de información que a soporta. É precisamente alí que intervén a norma ISO/IEC 27001, referencial internacional de xestión da seguridade da información. En 2026, mentres que os ciberataques dirixidos ás plataformas de firma se multiplican e o regulamento eIDAS 2.0 endurece as exixencias dos prestadores de confianza, a cuestión da certificación ISO 27001 xa non é un luxo reservado aos grandes comptes: convértese nun criterio de selección estándar para calquera despregamento de firma electrónica en empresa.

Este artigo analiza as sinerxias entre ISO 27001 e firma electrónica, as obrigacións concretas que induce, os riscos dunha non-conformidade e os pasos para obter ou avaliar unha certificación no seu prestador SaaS.

Que é a norma ISO 27001 e por que é central para a firma electrónica?

Publicada pola Organización internacional de normalización (ISO) e a Comisión electrotécnica internacional (IEC), a norma ISO/IEC 27001:2022 (versión revisada en outubro de 2022) define as exixencias para establecer, implementar, manter e mellorar continuamente un Sistema de Xestión da Seguridade da Información (SXSI). Cobre 93 controles repartidos en catro temas: controles organizacionais, controles das persoas, controles físicos e controles tecnolóxicos.

Para a firma electrónica, esta norma reviste unha importancia particular porque aborda directamente os tres pilares da seguridade da información:

• Confidencialidade: protección dos documentos asinados contra calquera acceso non autorizado
• Integridade: garantía de que os documentos non son alterados tras asinatura
• Dispoñibilidade: accesibilidade das probas de firma ante un eventual litixio

Os controles ISO 27001 directamente aplicables á firma electrónica

Entre os 93 controles do anexo A da norma, varios aplícanse directamente aos workflows de firma:

Control 5.14 – Transferencia de información: impón regras formais para a transmisión segura dos documentos a asiñar, nomeadamente mediante protocolos cifrados (TLS 1.3 mínimo).

Control 8.24 – Utilización da criptografía: esixe unha política de cifrado documentada cobrindo os algoritmos utilizados para a xeración e verificación das firmas electrónicas. Na práctica, isto implica a utilización de algoritmos conformes ás recomendacións do ANSSI (RSA-3072 ou ECDSA-256 mínimo en 2026).

Control 8.12 – Prevención de fugas de datos (DLP): protexe os datos personais contidos nos documentos asinados, en coherencia directa coas obrigacións RGPD.

Control 5.18 – Dereitos de acceso: garante que só as persoas habilitadas poidan iniciar, asiñar ou consultar un documento na plataforma.

ISO 27001 vs outras certificacións de seguridade: que complementariedade?

ISO 27001 non é a única norma pertinente, pero constitúe a base. Complétase con:

• SOC 2 Type II (norma estadounidense, frecuentemente esixida polas empresas cotizadas no NYSE)
• ISO/IEC 27017 e 27018: extensións específicas para a nube e a protección dos datos personais na nube
• Cualificación eIDAS entregada por organismos acreditados (LSTI en Francia): obrigatoria para os Prestadores de Servizos de Confianza Cualificados (PSCQ)

Un prestador de firma electrónica certificado ISO 27001 E cualificado eIDAS ofrece así un nivel de garantía máximo, aliñado con o que detalla o guía completo do regulamento eIDAS 2.0.

As exixencias específicas para os prestadores de firma electrónica SaaS

Escoller un SaaS de firma electrónica certificado ISO 27001 non significa que a túa propia organización estea cuberta — pero condiciona fortemente o nivel de risco residual que asumiches.

O perímetro de certificación: o que hai que verificar

Na avaliación dun fornecedor, tres cuestións son determinantes:

1. O perímetro de certificación cobre o servizo de firma? Un editor pode estar certificado ISO 27001 polas súas actividades de desenvolvemento de software sen que a plataforma de firma estea no perímetro. Esixe o certificado oficial e verifica a declaración de perímetro (Statement of Applicability).

1. A certificación está ao día? ISO 27001 impón auditorías de vixilancia anuais e unha auditoría de renovación cada tres anos. Un certificado expirado invalida calquera garantía.

1. Que organismo de certificación? En Francia, os organismos acreditados polo COFRAC (Bureau Veritas, SGS, BSI Group, LRQA…) entregan certificacións recoñecidas. Unha auto-declaración de conformidade non ten ningún valor xurídico.

Xestión de incidentes e continuidade de servizo

O ISO 27001 esixe un Plan de Continuidade de Actividade (PCA) e un Plan de Recuperación de Actividade (PRA) documentados e probados. Para unha plataforma de firma electrónica, isto tradúcese concretamente en:

• Un RTO (Recovery Time Objective) inferior a 4 horas para os ambientes de produción
• Un RPO (Recovery Point Objective) inferior a 1 hora, evitando calquera perda de datos de firma
• Probas de recuperación documentadas polo menos semestralmente
• Un procedemento de notificación dos incidentes de seguridade conforme ao artigo 33 do RGPD (72 horas máximo)

Estas exixencias coinciden coas da directiva NIS2, transposta en dereito francés pola lei nº2024-449 do 21 de maio de 2024, que impón ás entidades esenciais e importantes obrigacións de informe de incidentes e medidas de ciberseguridade reforzadas.

Como a certificación ISO 27001 refuerza o valor probatorio da firma electrónica

Un punto frecuentemente descoñecido dos xuristas e dos compradores: a solidez xurídica dunha firma electrónica cualificada depende en parte da cadea de confianza técnica que a subordena. Un documento asinado nunha plataforma cuxo seguridade estea comprometida pode ver contestado o seu valor probatorio ante un tribunal.

A integridade dos datos como fundamento xurídico

O artigo 1366 do Código civil establece que a firma electrónica ten valor de firma manuscrita « á condición de que o seu autor poida ser doidamente identificado e que sexa establecida e conservada en condicións de natureza a garantir a súa integridade ». Esta condición de integridade é precisamente o obxecto central do ISO 27001.

En caso de litixio, un fornecedor certificado ISO 27001 poderá producir:

• Os rexistros de auditoría inmutables probando o historial dos accesos
• Os informes de auditoría de certificación atestiguando os controles en lugar
• A política de xestión das chaves criptográficas conforme ao anexo A

Estes elementos constitúen un feixe de probas que refuerza considerablemente a posición da parte que invoca a validez da firma. Para ir máis alá sobre o valor xurídico dos diferentes niveis de firma, consulta o noso comparativo das solucións de firma electrónica.

Arquivo probatorio e duración de conservación

ISO 27001, combinada coa norma NF Z42-020 (caixa forte dixital) e ás recomendacións do ETSI EN 319 162 (servizo de arquivo electrónico cualificado), permite definir unha política de arquivo que garante o valor probatorio das firmas en duracions longas — ata 30 anos para certos contratos comerciais.

O control 8.10 – Supresión das informacións do ISO 27001 impón ademais procedementos documentados para a destrucción segura dos datos ao fin do ciclo de vida, en coherencia co dereito ao borrado do RGPD (artigo 17).

Como avaliar e esixir a conformidade ISO 27001 do seu prestador de firma

No marco dun proceso de compra ou renovación de contrato SaaS, aquí está un protocolo de avaliación en catro etapas.

Etapa 1: Solicitar e verificar o certificado oficial

Esixe o certificado ISO/IEC 27001:2022 (e non a versión 2013, agora obsoleta desde outubro de 2025) acompañado do informe de auditoría de vixilancia máis recente. Verifica a data de validez no rexistro do organismo certificador.

Etapa 2: Analizar a declaración de aplicabilidade (SoA)

A Statement of Applicability lista os controles retidos e excluídos, con xustificación. Calquera control excluído sen xustificación documentada representa un risco residual a avaliar na túa análise de riscos fornecedor.

Etapa 3: Integrar as exixencias no contrato

O teu contrato co prestador debe compoñer:

• Unha cláusula de mantemento da certificación coa obriga de notificación en caso de suspensión
• Un dereito de auditoría ou un acceso aos informes de auditoría de terceiros anuais
• SLAs de seguridade aliñados co PCA/PRA do prestador
• Unha cláusula de responsabilidade en caso de incidente de seguridade afectando a integridade das firmas

Etapa 4: Efectuar a túa propia análise de riscos

Incluso un prestador certificado non cobre os túos riscos internos. O ISO 27001 impón á túa propia organización unha análise de riscos (cláusula 6.1.2) cobrindo nomeadamente:

• A xestión dos accesos dos colaboradores á plataforma de firma
• A sensibilización ante ataques de phishing dirixidos aos workflows de firma
• A política de xestión das delegacións de firma

Esta aproximación intégrase naturalmente nunha política global de xestión da firma electrónica para os equipos RH e xurídicos, onde os volumes de documentos tratados expoñen a riscos operacionais significativos.

Marco legal aplicable á firma electrónica e ao ISO 27001

A conformidade dun sistema de firma electrónica repousase nunha acumulación normativa que calquera empresa B2B debe dominar.

Código civil, artigos 1366 e 1367: O artigo 1366 presenta a equivalencia entre firma electrónica e manuscrita baixo condición de identificación do autor e de garantía de integridade. O artigo 1367 define a firma electrónica como « o uso dun procedemento fiable de identificación garantindo a súa conexión co acto ao que se adxunta ».

Regulamento eIDAS nº910/2014 e eIDAS 2.0 (Regulamento UE 2024/1183): Aplicable en todos os Estados membros da UE, distingue tres niveis de firma (simple, avanzada, cualificada) e impón aos Prestadores de Servizos de Confianza Cualificados (PSCQ) auditorías de conformidade por organismos acreditados. A revisión eIDAS 2.0, entrada en aplicación progresiva desde maio de 2024, refuerza as exixencias de supervisión e introduce a cartera de identidade dixital europea (EUDIW).

Regulamento RGPD nº2016/679: Os datos personais contidos nos documentos asinados (identidade do asinante, enderezo IP, horodataxe) constitúen datos de carácter persoal. O responsable do tratamento debe asegurar a súa protección (artigo 5), notificar as violacións en 72 horas (artigo 33) e implementar a protección by design (artigo 25). O ISO 27001 fornece o marco técnico de implementación de conformidade.

Directiva NIS2 (Directiva UE 2022/2555), transposta en dereito francés pola lei nº2024-449 do 21 de maio de 2024: As entidades esenciais e importantes — de moitas que actores B2B — deben implementar medidas de ciberseguridade proporcionadas incluíndo a xestión dos riscos ligados aos fornecedores (artigo 21). Un prestador de firma non certificado ISO 27001 pode constituír un risco terceiro ao senso de NIS2.

Normas ETSI: A serie ETSI EN 319 100 define as exixencias técnicas para as firmas electrónicas cualificadas (EN 319 132 para XAdES, EN 319 122 para CAdES, EN 319 142 para PAdES). Estas normas técnicas presuponen unha infraestrutura de seguridade conforme aos estándares ISO 27001.

Referencial ANSSI: En Francia, a Axencia nacional de seguridade dos sistemas de información publica recomendacións sobre algoritmos criptográficos (referencial RGS — Referencial Xeral de Seguridade) cuxa implementación é facilitada por un SXSI certificado ISO 27001. A cualificación eIDAS dos prestadores franceses é instruída polo ANSSI como autoridade de supervisión nacional.

A ausencia de certificación ISO 27001 nun prestador de firma expón a empresa cliente a riscos de contestación do valor probatorio dos documentos asinados, a sancións RGPD (ata 4 % do chiffre d'affaires mundial ou 20 M€) e a unha posta en causa da súa conformidade NIS2.

Escenarios de uso: ISO 27001 e firma electrónica na práctica

Escenario 1 — Un despacho de avogados de negocios de 25 colaboradores

Un despacho especializado en fusións-adquisicións trata anualmente máis de 600 actos requirindo unha firma electrónica avanzada ou cualificada (NDA, protocolos de acordo, convencións de cesión). A consecuencia dunha auditoría interna revelando lacunas na trazabilidade dos accesos á plataforma de firma, o despacho decide non aceptar máis que prestadores certificados ISO/IEC 27001:2022 cun perímetro cubindo explicitamente o servizo de firma.

Resultado: tras migración cara a unha plataforma certificada, o despacho constata unha redución do 40 % do tempo consagrado ás due diligences seguridade na chamada de ofertas de clientes, e pode producir informes de auditoría de certificación en 48 horas ante solicitudes dos seus clientes grandes comptes. A duración media de validación contractual diminúe de 3,2 días a 1,4 día.

Escenario 2 — Unha empresa industrial xestionando 1 500 contratos fornecedores por ano

Unha PEME industrial subcontratista Tier-1 dun construtor automóbil debe demostrar ao seu doador de orde que o conxunto da súa cadea de firma electrónica (bons de encargo, contratos-marco, avenencias) responde ás exixencias ISO 27001 impostas polo referencial de compra do grupo. A PEME realiza unha cartografía dos seus riscos fornecedores segundo a cláusula 6.1.2 da norma e identifica que o seu antigo prestador SaaS non posúe certificación en curso de validez.

Tras migración cara a unha solución certificada e implementación dun SXSI interno, a PEME obtén a cualificación fornecedor requirida e asegura un contrato-marco de 4 anos. O custo da certificación (aproximadamente 15 000 a 25 000 € para unha PEME deste tamaño segundo os despachos de asesoría especializados) está amortizado en menos de seis meses respecto ao volume contractual asegurado.

Escenario 3 — Un grupo hospitalario de aproximadamente 1 200 camas

No sector da saúde, os establecementos de asistencia están sometidos a exixencias reforzadas: tratamento de datos de saúde (categoría especial ao senso do artigo 9 do RGPD), certificación HDS (Aloxador de Datos de Saúde) e agora cualificación NIS2 como entidade esencial. O grupo hospitalario desprega a firma electrónica para os seus contratos de traballo, as súas convencións de investigación clínica e os seus mercados públicos (aproximadamente 900 documentos/mes).

Ao seleccionar un prestador acumulando certificación ISO 27001, certificación HDS e cualificación PSCQ eIDAS, o establecemento reduce a súa exposición aos riscos de non-conformidade RGPD do 60 % segundo o seu DPO, e benefíciase dun arquivo probatorio garantido 30 anos para os documentos médicos legais. O prazo de firma dos contratos de investigación clínica pasa de 12 días a 3,5 días en media, liberando recursos significativos para os equipos administrativos.

Conclusión

En 2026, a certificación ISO/IEC 27001:2022 xa non é un simple argumento de marketing para os prestadores de firma electrónica: constitúe un zócalo técnico e xurídico imprescindible para garantir a integridade dos documentos asinados, a conformidade RGPD e NIS2, e o valor probatorio dos compromisos contractuais. Para as empresas B2B, esixir esta certificación no seu fornecedor SaaS convertéuse nunha obriga de diligencia razonable, o mesmo que a verificación da cualificación eIDAS.

Certyneo está certificado ISO/IEC 27001:2022 cun perímetro cobrindo a integridade da súa plataforma de firma electrónica. Os nosos equipos pódente acompañar na avaliación da túa conformidade actual e a implementación dun workflow de firma segura adaptado aos teus volumes e ao teu sector. Solicita unha demostración gratuíta en Certyneo ou explora os nosos prezos para atopar a fórmula adaptada á túa organización.