תאימות eIDAS עבור עסקים קטנים ובינוניים: רשימת התיוג המלאה לשנת 2026
כיצד להבטיח ש-SME עומד בתקנת eIDAS בשנת 2026? רשימת 12 נקודות: רמות חתימה, ספק שירות, ארכיון, GDPR.
Certyneo
כותב — Certyneo · אודות Certyneo
תקנת ה-eIDAS האירופית (EU n°910/2014, שתתוקן בקרוב על ידי eIDAS 2.0) מסדירה חתימות אלקטרוניות בכל האיחוד האירופי. עבור עסקים קטנים ובינוניים, עמידה בדרישות היא לא רק תיבה לבדיקה: זו הערובה שהחוזים שלה ניתנים לאכיפה, שנתוני החתימה שלו מוגנים ושהוא מגן על עצמו מפני סיכונים משפטיים שעלולים לעלות ביוקר. הנה רשימת הבדיקה לשנת 2026 ב-12 נקודות קונקרטיות כדי לבדוק שה-SME שלך תואם באופן מלא ל-eIDAS.
נקודה 1: בחר את רמת החתימה הנכונה
רפלקס ראשון: מפה את סוגי החוזים שלך ושייך רמת יעד. חוזים מסחריים סטנדרטיים (הצעות מחיר, הזמנות רכש, NDAs פשוט): SES מספיק. חוזי העסקה, חוזי שכירות, NDAs רגישים, הסכמים אסטרטגיים: מינימום AES, רצוי עם OTP SMS. מעשים מוסדרים (עורך דין, נוטריון, חוזים ציבוריים מעל רף): QES חובה. ללא מיפוי זה, אתה מסתכן בהפחתת מידות (סירוב לחוזה) או בגודל יתר (עלות מופרזת).
נקודה 2: בדוק את ההסמכה של ספק השירות
ספק השירות שלך חייב להיות ספק שירות מהימן (QTSP) או להסתמך על QTSP עבור רמות AES/QES. עיין ברשימת שירותי האמון שפורסמה על ידי ANSSI (eidas.ssi.gouv.fr) וברשימה האירופית המהימנה (webgate.ec.europa.eu/tl-browser). ה-QTSPs הצרפתי ההתייחסות: Certigna, Docaposte, Certinomis, Universign. עבור SES/AES דרך פלטפורמה (Certyneo, Yousign וכו'), בדוק את התאימות שלהם ל-eIDAS המתועד במפורש.
נקודה 3: בדוק את מסלול הביקורת
חתום על מעטפת בדיקה ואסוף את מסלול הביקורת (בדרך כלל PDF נפרד). זה חייב להכיל: זהות ואימייל של החותם, חותמת זמן של כל שלב (שליחה, פתיחה, אימות, חתימה), כתובת IP, סוכן משתמש, hash של המסמך, אימות OTP אם AES. אם חסר אחד מהמרכיבים הללו, הערך הראייתי נחלש. Certyneo מספקת את נתיב הביקורת המלא אפילו בתוכנית חינמית.
נקודה 4: שליטה בחותמת הזמן
חותמת הזמן חייבת להיות מונפקת על ידי רשות חותמות זמן (TSA) תואמת ל-RFC 3161. חותמת זמן פשוט משרת NTP של החברה אינה מספיקה. פתח את ה-PDF החתום ב-Adobe Reader: כרטיסיית חתימות ← פרטים ← חותמת זמן. אתה אמור לראות שם תעודת TSA תקפה ושעון מוסמך. אם ל-PDF אין חותמת זמן מאושרת, חזור על בחירת ספק השירות.
נקודה 5: ארכיון למשך 10 שנים לפחות
הקוד המסחרי (סעיף L. 123-22) מחייב 10 שנות אחסון עבור מסמכים מסחריים. חוק העבודה מטיל 5 שנים על חוזי עבודה לאחר סיום העבודה. ארכיון חייב לשמור על שלמות (hash, אטימה) וגישה. אידיאלי: פורמט PDF/A (ISO 19005), אחסון כפול (גיבוי ראשוני + מחוץ לאתר), כספת אלקטרונית מוסמכת (CFE) להוכחה מירבית. Certyneo מאחסן 10 שנים כברירת מחדל ומציע ייצוא לשותפי CFE.
נקודה 6: בדוק לוקליזציה של נתונים
היכן מתארחים נתוני החתימה שלך? עבור עסקים קטנים ובינוניים צרפתיים העוסקים בחוזים רגישים, בחר אירוח בצרפתית או באיחוד האירופי. שאל מספק השירות שלך את רשימת קבלני המשנה ומיקומם (סעיף 28 GDPR). הימנע מפתרונות הכפופים לחוק הענן האמריקאי עבור חוזים אסטרטגיים. Certyneo מתארח בצרפת, ללא תלות ב-Cloud Act. עיין במאמר שלנו על /blog/cloud-act-signature-electronique.
נקודה 7: ניסוח עם ה-GDPR
חתימה ו-GDPR קשורות קשר הדוק: כל מעטפה מכילה נתונים אישיים (שם, אימייל, IP, טלפון). ודא שמרשם העיבוד שלך (סעיף 30 GDPR) כולל את החתימה האלקטרונית, שתקופות השמירה עקביות (10 שנים), ושניתן ליישם את הזכויות של יחידים (גישה, תיקון, ניידות). אם אתה מבקש הרבה חתימות, מומלץ DPO. עיין במאמר /blog/signature-electronique-rgpd שלנו.
נקודה 8: זיהוי חותמים במעלה הזרם
עבור AES מוצק, זיהוי לא מתחיל בחתימה: הוא מתחיל באיסוף נתונים. בדוק מיילים (ללא כינויים, ללא רשימת תפוצה), מספרי טלפון (ללא קו משותף), ועקוב אחר מקור הזיהוי (מזהה עבור חוזים כבדים, לקוח קיים KYC עבור חוזים מתמשכים). בדיקת נאותות זו הופכת את הראיות למוצקות במקרה של מחלוקת.
נקודה 9: אימון הקבוצות
צוותי המכירות, משאבי האנוש והמשפטים שלך חייבים להבין את הכללים: לעולם אל תכריח חותם להשתמש במכשיר של צד שלישי, לעולם אל תחזיר PDF חתום שונה, לעולם אל תדביק תמונת חתימה סרוקה במקום חתימה אמיתית. שעת אימון אחת לצוות מספיקה כדי להקנות רפלקסים טובים. Certyneo מספק מדריך שלם לשיתוף פנימי (/משאבים).
נקודה 10: בדוק את החוזים של ספקי השירות
ה-CGU/CGV של ספק שירותי החתימה חייב: ליזום תאימות ל-eIDAS, לציין תקופות ארכיון, לכלול הסכם קבלנות משנה GDPR (סעיף 28), לתעד את תוכנית קבלני המשנה, לספק במקרה של היפוך. בקש גם SOC 2 Type II או שווה ערך אם אתה מעבד נפחים גדולים. עבור Certyneo, מסמכים אלה זמינים ב-/legal ו/security.
נקודה 11: הכן את eIDAS 2.0 ואת ארנק ה-EUDI
תקנת eIDAS 2.0 (EU 2024/1183) נכנסת לתוקף בהדרגה ומחייבת את המדינות החברות לפרוס ארנק EUDI לפני סוף 2026. זהות דיגיטלית זו לא תאפשר רישום פיזי למשרד מרוחק ללא ארנק QES. הכן את ה-SME שלך: בדוק שלספק השירות שלך יש מפת דרכים של ארנק EUDI, עקוב אחר התקשורת של ANSSI והנציבות האירופית. ראה /blog/eidas-2-nouveau-reglement-2026.
נקודה 12: ביקורת מדי שנה
ציות אינו סטטוס נרכש: זה תהליך מתמשך. קבעו ביקורת שנתית (פנימית או חיצונית) לבדיקה: שינויים רגולטוריים, התפתחויות בספקי שירותים, מיפוי עדכני של סוגי חוזים, שימור אפקטיבי, הכשרת מתגייסים חדשים. ביקורת קלה לוקחת חצי יום עבור עסק קטן ובינוני ומונעת הפתעות רבות. התחל ביצירת חשבון Certyneo בחינם בכתובת certyneo.com/signup כדי לבדוק תאימות בעולם האמיתי, ולאחר מכן עיין במדריך ה-eIDAS שלנו כדי לחפור לעומק (/guide/eidas).
נסו Certyneo בחינם
שלחו את מעטפת החתימה הראשונה שלכם בפחות מ-5 דקות. 5 מעטפות חינם בחודש, ללא כרטיס אשראי.
העמקת הנושא
מאמרי עיון בנושא זה.
העמקת הנושא
המדריכים המלאים שלנו לשליטה בחתימה אלקטרונית.
המשיכו לקרוא על Réglementation
העמיקו את הידע שלכם עם מאמרים אלה הקשורים לנושא.
