דלג לתוכן ראשי
Certyneo

הסמכה ISO לחתימה אלקטרונית: מדריך 2026

ISO 27001, eIDAS, ETSI… הסמכות של ספקי החתימה האלקטרונית הפכו לקריטריון בחירה בלתי נמנע. גלה כיצד להשוות ביניהן בצורה יעילה.

Équipe éditoriale Certyneo10 דקות קריאה

Équipe éditoriale Certyneo

כותב — Certyneo · אודות Certyneo

A glass object with a blue background

החתימה האלקטרונית הפכה לסטנדרט בניהול מסמכים של חברות בצרפת ובאירופה. אך מאחורי הפשטות הלכאורית של לחיצת כפתור אימות מסתתרת אקוסיסטמה טכנית וכללית המורכבת מאוד. ב-2026, השאלה כבר לא "האם צריך לאמץ חתימה אלקטרונית?" אלא "איזה ספק מציע הבטחות של ביטחון ותאימות מספיקות לתחום העסקי שלי?". הסמכות ISO — ובמיוחד ISO 27001 — מהווות אחת התשובות האמינות ביותר לשאלה זו. מאמר זה מנחה אותך דרך ההסמכות העיקריות החלות על ספקי חתימה אלקטרונית, ההיקף שלהן בפועל והקריטריונים שיש להשתמש בהם להשוואה קפדנית.

מדוע הסמכות ISO הן קרוטיות לחתימה אלקטרונית

החתימה האלקטרונית לא מצטמצמת לפונקציונליות של אפליקציה. היא מחייבת את האחריות המשפטית של החברה החותמת, את הסודיות של הנתונים המעובדים ואת השלמות לטווח ארוך של המסמכים המאוחסנים. לכן, ההסמכות שהשיגה ספק אינן תוויות שיווק פשוטות: הן מעידות על רמת בגרות ביטחונית שנבדקה על ידי צד שלישי עצמאי.

ISO 27001: הבסיס הלא נמנע של ביטחון המידע

ISO/IEC 27001 היא התקן הבינלאומי המובילה למערכות ניהול ביטחון מידע (SMSI). היא מכסה סודיות, שלמות וזמינות של נתונים. עבור ספק חתימה אלקטרונית, הסמכה זו פירושה שכל התהליכים שלו — מיצירת חשבון החותם ועד אחסון המסמך החתום — כפופים לבקרות מתועדות, שנבדקות באופן קבוע על ידי ארגון מוסמך (סוג LSTI, Bureau Veritas, BSI וכו').

למעשה, ISO 27001 מטילה על הספק:

  • מערכת יתירה של נכסים מידע וסיכונים קשורים
  • מדיניות בקרת גישה קפדנית (אימות חזק, ניהול הרשאות)
  • הליכים לניהול תקריות וזמינות עסקית
  • ביקורות פנימיות קבועות וסקירת ניהול שנתית
  • ניטור מתמשך של חולשות

הגרסה בתוקף משנת 2022 (ISO/IEC 27001:2022) משלבת 93 אמצעי ביטחון מקובצים בארבעה נושאים: ארגוניים, אנושיים, פיזיים וטכנולוגיים. ספק מסמך על גרסה זו מוכיח עמדת ביטחון עדכנית מול איומים עכשוויים, בעיקר התקפות ransomware וסכנות בשרשרת אספקה.

ISO 27017 ו-ISO 27018: הסיומות בענן ההכרחיות

כמעט כל הפתרונות SaaS של חתימה אלקטרונית מתבססים על תשתיות ענן. בהקשר זה, שתי הרחבות של משפחת ISO 27000 ראויות לתשומת לב מיוחדת:

ISO/IEC 27017 מספק הנחיות ספציפיות לשירותי ענן, וכיסוי בפרט אחריות משותפת בין הספק לתת-קבלנים שלו (מארחים, צדדי שלישיים בעלי אמון). עבור קונה B2B, אימות שהספק מחזיק בהסמכה זו או עומד בהתאמה מאפשר לאמת שנתונים המאוחסנים בענן כפופים לדרישות ביטחון זהות לסביבות on-premise.

ISO/IEC 27018 עוסק במיוחד בהגנה על נתונים אישיים בענן. היא משלימה את GDPR על ידי הגדרת פרקטיקות תפעוליות: איסור על שימוש בנתונים למטרות פרסומיות ללא הסכמה מפורשת, שקיפות על תת-קבלנים, זכות ניידות. עבור DPOs ובעלי אחריות תאימות, הסמכה זו מהווה ערובה נוספת של רצינות בטיפול בנתונים של החתמים.

כדי להעמיק את הערך המשפטי שניתן על ידי סטנדרטים אלה בקשר לחוק אירופי, עיין בצייר מדריך על ערך משפטי של חתימה אלקטרונית.

הסמכה eIDAS והנורמות ETSI: משמעות "מוקדש"

מעבר לנורמות ISO, הגדר הרגולטורי האירופי מטיל דרישות תאימות משלו על ספקי שירותי אמון (PSCo). תקנון eIDAS מס' 910/2014, שחידוש eIDAS 2.0 שלו בעתיד תהליך אימוץ, מבדיל בין שלוש רמות של חתימה אלקטרונית: פשוטה, מתקדמת ומוקדשת.

מעמד ספק שירות אמון מוקדש (PSCO)

כדי להעניק חתימות אלקטרוניות מוקדשות — הרמה היחידה מבחינה משפטית המקבילה לחתימה ידנית בכל מדינות החברים בעמ"י — ספק חייב להיות רשום ברשימת האמון של המדינה שלו (בצרפת, רשימה מנוהלת על ידי ANSSI). הסמכה זו מתבססת על ביקורת ראשונית המבוצעת על ידי ארגון הערכה ציות מוסמך (CAB), ואחריה ביקורות כיתה קבועות.

הנורמות הטכניות הבסיסיות פורסמו בעיקר על ידי ETSI (מכון הטלקומוניקציות האירופי):

  • ETSI EN 319 401: דרישות כלליות עבור PSCo
  • ETSI EN 319 411: מדיניות ופרקטיקות הסמכה עבור רשויות הסמכה
  • ETSI EN 319 132: פרופילים XAdES לחתימה XML מתקדמת
  • ETSI EN 319 122: פרופילים CAdES לחתימה CMS מתקדמת
  • ETSI EN 319 162: שירות מסירה אלקטרונית רשומה

ספק המסמך על פי נורמות ETSI אלה מבטיח תאימות טכנית של חתימות שלו עם כל הפתרונות המוכרים בחלל אירופי, וזה קריטי עבור חברות הפועלות במספר מדינות. המדריך המלא שלנו על תקנון eIDAS מפרט את ההתחייבויות הקשורות לכל רמת הסמכה.

SOC 2 Type II: התוסף צפון-אמריקני שיש לעקוב אחריו

אף כי לא נפוץ יותר בחלל אירופי, דוח SOC 2 Type II (Service Organization Control) שהונפק על פי תקנים AICPA לעתים קרובות מתבקש על ידי חברות גדולות, במיוחד אלה שיש להן סניפים בארצות הברית או שותפים אמריקניים. בניגוד ל-ISO 27001 (הסמכה), SOC 2 הוא דוח ביקורת המעיד על ציות לקריטריונים של שירותי אמון (ביטחון, זמינות, שלמות עיבוד, סודיות, פרטיות) על פני תקופת התצפית בדרך כלל של שישה עד שנים עשר חודשים. עבור השוואה מקיפה, אימות אם לספק יש דוח SOC 2 Type II עדכני (פחות מ-12 חודשים) מהווה אות חזק של בגרות תפעולית.

השוואת הסמכות של ספקים: שיטה וקריטריונים

מול ריבוי ההסמכות הזמינות, קוני B2B צריכים לאמץ תרשים ניתוח מובנה במקום להסתמך על טענות שיווק בלבד. ההשוואה שלנו בין פתרונות חתימה אלקטרונית מפרטת את הפלטפורמות העיקריות הזמינות בצרפת; כך להעריך את רמת ההסמכה שלהן.

ארבע השאלות שיש לשאול באופן שיטתי

1. מה התאריך והיקף המדויק של ההסמכה? הסמכת ISO 27001 שהתקבלה לפני שלוש שנים ולא חודשה אינה מציעה אותן הבטחות כמו תעודה בתוקף. בקש באופן שיטתי את התעודה הרשמית ובדוק את המהות של הטווח המבוקר: מספר ספקים מסמיכים רק את משרדם הראשי, לא כולל מרכזי נתונים או צוותי פיתוח חוף רחוק.

2. מי ביצע את ביקורת ההסמכה? הגוף המסמיך חייב בעצמו להיות מוסמך על ידי חבר של IAF (פורום ההסמכה הבינלאומי). בצרפת, COFRAC (הוועדה הצרפתית להסמכה) היא הגוף הבעל סמכות. תעודה שהונפקה על ידי גוף לא מוסמך אינה בעלת שום ערך חוזי או כללי.

3. האם הספק מפרסם את דוח בדיקת הפריצה השנתי שלו? ISO 27001 דורש הערכות קבועות של חולשות, אך לא מחייבת פורמט סטנדרטי לבדיקות פריצה. ספק בשלמות מפרסם תקציר של pentest שנתי שלו המבוצע על ידי צד שלישי. ANSSI ממליצה להפנות לספקים מוסמכים PASSI (ספק ביקורת ביטחון מערכות מידע) לסוג תרגיל זה.

4. מה ההשקעות משנה וההסמכות הקשורות? ספק חתימה אלקטרונית בדרך כלל מתבסס על מארח ענן (AWS, Azure, OVHcloud וכו') ולעתים על רשויות הסמכה צד שלישי. אימות שתת-קבלנים אלה חזקים בעצמם בהסמכות שקולות (ISO 27001, HDS לנתונים בריאותיים, SecNumCloud לנתונים רגישים). שרשרת האמון שווה רק אם כל חוליה שלה מבוקרת.

המקרה המיוחד של מערכת HDS לנתונים בריאותיים

עבור מוסדות בריאות, בתי אבות, קופות תחלואה או מבטחים המנהלים נתונים רפואיים, הסמכת HDS (מארח נתוני בריאות) מתווספת לדרישות ISO. מאז הנתון של 26 בינואר 2018, כל מארח של נתוני בריאות אישיים חייב להיות מסמך HDS על ידי גוף מוסמך. עבור ספק חתימה אלקטרונית המשמש בהקשר רפואי — הסכמה לטיפול, מרשם מדיודקי, דוח אישפוז — הסמכה זו היא תנאי הכרחי. גלה את הפרטים של חתימה אלקטרונית בתחום בריאות להערכת התחייבויות שלך.

ההשפעה של הסמכות על משא ומתן חוזי ודיוק בדיקת המטה

ההסמכות שהושגו על ידי ספק אינן רק טיעונים מסחריים: הן מבנים את הקשר החוזי וחלוקת אחריויות בין הצדדים.

סעיפים חוזיים שיש לשלב בשיטתי

בעת משא ומתן של חוזה עם ספק חתימה אלקטרונית, כמה סעיפים הקשורים ישירות להסמכות ראויים לתשומת לב מיוחדת:

  • סעיף שמירת הסמכה: הספק מתחייב לשמור על הסמכות שלו לאורך כל תקופת החוזה ולהודיע באופן מיידי על כל הסרה או השהיה.
  • סעיף ביקורת: הלקוח שומר על זכות לבצע או להביא לביצוע ביקורת ביטחון אצל הספק, בתנאים מוגדרים (התראה מוקדמת, טווח, סודיות תוצאות).
  • סעיף תת-קבלנות: כל שינוי בשרשרת תת-קבלנות חייב לעבור עדכון מראש, עם אפשרות לביטול אם תת-הקבלן החדש אינו עומד בדרישות ההסמכה המוגדרות.
  • SLA זמינות: עבור ספקים המסמיכים ISO 27001, התחייבות זמינות (SLA) של 99.9% לפחות על בסיס חודשי היא ציפייה סבירה, עם קנסות כספיים במקרה של חריגה מסכי אי-זמינות.

היבטים חוזיים אלה הם חלק מגישה רחבה יותר של גדול חתימה אלקטרונית בחברה, שאנו מפרטים במדריך ייעודי שלנו.

תוספת ההסמכות בהקשר של ביקורת GDPR או NIS2

מאז כניסתה לתוקף של הנחיית NIS2 (תומכת בדין צרפתי בחוק מה-15 באפריל 2025), גופים חיוניים וחשובים חייבים להוכיח שספקיות קריטיות שלהם — כולל ספקי חתימה אלקטרונית — עומדים בדרישות מינימום של סייבר. הסמכת ISO 27001 של ספק מהווה הוכחה מתועדת בשימוש בביקורת NIS2 או בביקורה של CNIL. היא מוכיחה בעיקר יישום של סעיף 32 של GDPR, המחייב אמצעים טכניים וארגוניים הולמים להבטיח רמת ביטחון הולמת לסיכון.

עבור חברות המעוניינות לעבור מפתרון פחות מסמך לפלטפורמה המציעה הבטחות תאימות גדולות יותר, המדריך שלנו להעתקה לCertyneo פרטים את השלבים וזהירויות ליידע.

מסגרת כללית החלה על הסמכות של ספקי חתימה אלקטרונית

תקפותו של חתימה אלקטרונית מתבססת על מצטברות של טקסטים נורמטיביים אירופיים וממלכתיים, שהשליטה בהם היא חיונית להערכה נכונה של הסמכות של ספק.

קוד אזרחי, סעיפים 1366 ו-1367: סעיפים אלה מהווים הבסיס של זכות צרפתית של חתימה אלקטרונית. סעיף 1366 קובע כי "כתב אלקטרוני בעל כוח הוכחה זהה לכתב בתמיכה נייר, בתנאי שניתן לזהות כראוי את האדם ממנו זה בא וכי הוא כתוב וענומי בתנאים ההבטיחים את שלמותו". סעיף 1367 מבהיר כי "החתימה הדרושה להשלמת מעשה משפטי מזהה את מחברה" וכי, כאשר היא אלקטרונית, "היא מורכבת משימוש בתהליך אמין של זיהוי המבטיח את קשרה למעשה אליו הוא צמוד". הסמכות ISO 27001 והסמכות eIDAS תורמות ישירות לביסוס הנחה זו של אמינות.

תקנון eIDAS מס' 910/2014: תקנון אירופי זה, החל ישירות בכל מדינות החברים, מגדיר את שלוש רמות החתימה האלקטרונית (פשוטה, מתקדמת, מוקדשת) ומחייב ספקי שירותי אמון לכפוף עצמם לביקורות תאימות על פי נורמות ETSI. סעיף 24 מפרט את הדרישות החלות על ספקים מוקדשים, בעיקר ההתחייבות להעסיק כוח אדם מוקדש ולשמור על משאבים כספיים מספיקים. החידוש eIDAS 2.0 (תקנון EU 2024/1183, שנכנס להשפעה ב-20 במאי 2024) מחזק דרישות אלה על ידי הקדמת תיק זהות דיגיטלי אירופי (EUDIW) ועל ידי הרחבת ההיקף של שירותי אמון המוכרים.

GDPR מס' 2016/679: סעיפים 28 (עובד), 32 (ביטחון עיבוד) ו-35 (ניתוח השפעה) קשורים ישירות כאשר ספק חתימה אלקטרונית מעבד נתונים אישיים בשם אחראי עיבוד. סעיף 32 דורש בעיקר זיוף ושיפור של נתונים אישיים, יכולת להבטיח סודיות, שלמות וגמישות של מערכות. הסמכת ISO 27001 המכסה היבטים אלה מאפשרת לעמוד בחלק מהדרישה זו של הוכחה.

הנחיית NIS2 (EU 2022/2555, המתומכת בחוק הצרפתי מ-15 באפריל 2025): היא מחייבת גופים חיוניים וחשובים לנהל סיכונים הקשורים לשרשרת הרכיבים הדיגיטליים שלהם, כולל ספקי חתימה אלקטרונית שלהם. סעיף 21 של NIS2 מרשים אמצעים מינימום של סייבר שחלק מהם חופפים ישירות לדרישות ISO 27001.

נורמות ETSI: הנורמות EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) ו-EN 319 162 מגדירות דרישות טכניות עבור ספקי שירותי אמון מוקדשים. ציות שלהם מבוקר על ידי ארגונים הערכה מוסמכים לפני כל רישום בתוך רשימות אמון לאומיות.

אחריות בעת חוסר הסמכה: ספק לא מוקדש הסובל מהפרת נתונים המביאה לסכנה של חתימות אלקטרוניות מעורר אחריות חוזית והינוקית. עבור הלקוח, היעדר אימות מוקדם של הסמכות עשוי להיות עמית כטעות בניהול סיכוני סייבר, עשוי להשפיע על כיסוי ביטוח סייבר.

תרחישי שימוש: סמכות ISO בפועל

ההסמכות ISO אינן התייחסויות תיאורטיות. הנה שלושה תרחישים קונקרטיים המדגימים את ההשפעה התפעולית שלהם בהקשרי מטרה שונים.

תרחיש 1: משרדי עורכי דין מעורבים בבחירת ספק חתימה

משרד עורכי דין ממוקד עסקי בן כ-20 עובדים מנהל מאות פעולות רגישות בשנה: מכירות של נתחים, עסקאות אסוציאציה, הסכמי סוד. מנהל ה-IT חייב לנמק בחירה של ספק לעומת חברים ולקוחות גדולים שדורשים חוזה שהכלים הדיגיטליים המשמשים כי מסמכים ISO 27001.

בנימוק ההסמכה ISO 27001:2022 של הספק שנבחר, משרד העורכים יכול לייצר אישור תאימות במהלך due diligences של לקוחות. ביקורת ההחלפה השנתית גם מהווה טיעון בזמן אתה צעות, שם ביטחון נתונים מוערך בשיטתיות. תוצאה שנצפתה בסוג מבנה זה: הפחתה של 60 עד 70% מהזמן המוקדש לשאלות ביטחון במהלך משא ומתן מסחרי, ביטול של שני תקריות הקשורות לחתימות שלא תואמות על פני תקופה של 18 חודשים.

תרחיש 2: חברת יצור קטנה ובינונית המנהלת חוזים ספקים לבין-לאומי

חברת יצור קטנה ובינונית בת כ-150 עובדים המנהלת קרוב ל-300 חוזים ספקים בשנה, שיש בהם חלק משמעותית עם שותפים גרמניים ונידרלנדיים, חייבת לוודא שחתימות אלקטרוניות שלה מוכרות במדינות אלה. הסמכה eIDAS של הספק שלה — רשומה ברשימת האמון הצרפתית והציעה חתימות מתקדמות בהתאם ETSI EN 319 132 — מבטיחה תאימות משפטית בין-אירופית.

במקביל, הסמכת ISO 27001 של הספק נדרשת על ידי המחלקה לקנייה של מספר קוחות גדולים שלה בעת ביקורות ספקים שנתיות. החברה מעריכה שהימנעה משתי הכשרות חוזיות (מעבר לחתימה ידנית לאי-תאימות) המייצגות ערך מונע של בערך 15,000 עד 20,000 יורו בהשהיות ועלויות לוגיסטיות, על 12 חודשים.

תרחיש 3: קבוצת בתי חולים המשלבת חתימה אלקטרונית בתהליכי משאבי אנוש ורפואיים

קבוצת בתי חולים בערך 600 מיטות משאיפה להפחית דיגיטלית הן את חוזים שלה של עבודה (כוח סיעודי, חילופי רפואיים) והן קבלות ההסכמה שלה לטיפול מספרי. שתי משפחות של הסמכות מתגלות כהכרחיות: ISO 27001 לביטחון הכללי של הספק, וההסמכה HDS (מארח נתוני בריאות) לחלק העיבוד של נתונים רפואיים.

הקבוצה בוחרת ספק בעל שתי הסמכות, מה שמאפשר ל

נסו Certyneo בחינם

שלחו את מעטפת החתימה הראשונה שלכם בפחות מ-5 דקות. 5 מעטפות חינם בחודש, ללא כרטיס אשראי.

העמקת הנושא

המדריכים המלאים שלנו לשליטה בחתימה אלקטרונית.

קהילת Certyneo

יש לך שאלה על חתימה אלקטרונית?

הצטרף לקהילת Certyneo: שאל שאלות, שתף תשובות והחלף דעות עם אלפי משתמשים והצוות שלנו.