התחייבויות ספק חתימה אלקטרונית בצרפת

מבוא

פריסת פתרון חתימה אלקטרונית בצרפת אינה חצי מידע. מאחורי כל חתימה מתוקנת או משופרת מסתתרות עשרות התחייבויות משפטיות החלות על ספק שירותי אמון (PSCo). תקנון eIDAS, RGPD, מידע ביטחוני כללי, נורמות ETSI... המסגרת הרגולטורית צפופה ודינמית כאחד. לחברות משתמשות, הבנת התחייבויות המשפטיות של ספק חתימה אלקטרונית בצרפת eIDAS RGPD חיונית על מנת לבחור בשותף תואם להימנע מכל סיכון משפטי. מאמר זה מפרט, סעיף אחרי סעיף, את מלא הדרישות החלות על PSCo הפועלים בשטח הצרפתי.

---

מעמד ספק שירותי אמון מתוקנן

מה הוא PSCo על פי eIDAS?

תקנון eIDAS מס' 910/2014 מבחין בין שתי קטגוריות של ספקים: ספקי שירותי אמון שאינם מתוקננים וספקים מתוקננים (PSCQ). הראשונים עשויים להציע שירותי חתימה אלקטרונית פשוטה או משופרת ללא ביקורת של צד שלישי חובה. השניים — רק מורשים להנפיק חתימות מתוקננות במובן סעיף 3(15) של eIDAS — חייבים לעמוד בדרישות משמעותית יותר קשות.

בצרפת, זוהי הסוכנות הלאומית לביטחון מערכות מידע (ANSSI) אשר ממלאת את תפקיד הגוף המפקח ("Supervisory Body") כמפורט בסעיף 17 של eIDAS. היא מפרסמת וממשיכה ברשימת אמון צרפתית (TSL — Trust Service List), נגישה באתר הרשמי שלה, המפרטת את הספקים המתוקננים והשירותים שלהם.

הנוהל של התיוקנון: ביקורת וציות

על מנת להשיג מעמד מתוקנן, PSCo חייב בהכרח:

• לבחון את שירותיו על ידי גוף הערכת ציות (CAB — Conformity Assessment Body) מוסמך על ידי COFRAC בהתאם לנורמה EN ISO/IEC 17065.

• להגיש את דוח הביקורת ל-ANSSI, אשר מכריע על מתן מעמד מתוקנן. מעמד זה מוערך מחדש לפחות כל 24 חודשים (סעיף 20 §1 eIDAS).

• להודיע ל-ANSSI על כל שינוי מהותי בשירותיו בתוך 3 חודשים לפני השינוי המתוכנן (סעיף 21 eIDAS).

אי-קיום של שלבים אלה חושף את הספק להסרה מה-TSL ולאובדן ההנחות המשפטיות המצורפות לחתימה מתוקננת. לחברות לקוחות, הפנייה ל-PSCo שאינו רשום ב-TSL מסתכמת באי-קבלת כל הנחה משפטית של אמינות.

> לפרטים נוספים על רמות חתימה שונות והשפעותיהן המשפטיות, עיין בשלנו.

---

התחייבויות טכניות וביטחון המוטלות על PSCo

ציות לנורמות ETSI

ספקים מתוקננים חייבים להתאים את עצמם למערכת נורמות אירופאיות מפורסמות על ידי מכון התקנים הטלקומוניקציוני של אירופה (ETSI). העיקריות הן:

• ETSI EN 319 401: דרישות ביטחון כלליות החלות על כל PSCo.

• ETSI EN 319 411-1 ו-411-2: מדיניויות וביצוע של רשויות הסמכה המנפיקות תעודות חתימה מתוקננת.

• ETSI EN 319 132: פורמטים של חתימה אלקטרונית משופרת (XAdES עבור XML, PAdES עבור PDF, CAdES עבור CMS).

• ETSI EN 319 122: פורמט CAdES לחתימות מתוקננות.

• ETSI TS 119 431: דרישות לשירותי יצירת חתימה מרחוק (QSCD מרחוק).

נורמות אלה אינן אופציונליות: תקנון eIDAS (נספח II, III ו-IV) מתייחס אליהן במפורש על מנת להגדיר את הדרישות המינימליות של תעודות מתוקננות והתקנים ליצירת חתימה.

ניהול התקנים מאובטחים ליצירת חתימה (QSCD)

אחד מעמודי התווך של החתימה המתוקננת הוא השימוש בהתקן מאובטח ליצירת חתימה (QSCD — Qualified Signature Creation Device) תואם לנספח II של eIDAS. הספק חייב להבטיח כי:

• מפתח הפרטי של החותם לא יכול להיווצר, להישמר או להיעתק מחוץ ל-QSCD.

• יצירת המפתח מתרחשת אך ורק בסביבה מוסמכת (הסמכת Common Criteria EAL 4+ או שקולה).

• אימות החותם קדום לכל פעולת חתימה מסתמך על שתי פקטורים אימות לפחות.

בהקשר של חתימה מרחוק — הולך וגובר בסביבות SaaS — דרישות אלה חלות על שרת HSM (Hardware Security Module) המארח את המפתחות. ANSSI פרסמה פרופילים של הגנה ספציפיים (PP-0075, PP-0076) המגדירים את קריטריוני הביטחון להשגה.

מדיניות המשכיות והתראת אירועים

סעיף 19 של eIDAS מטיל על כל ספק שירותי אמון (מתוקנן או לא) לשמור על:

• הודעה לרשות המפקחת (ANSSI) ולרשות הגנת הנתונים (CNIL), אם כן, תוך 24 שעות מהגילוי של הפרה של ביטחון העלולה להשפיע על אמינות השירות.

• תוכנית המשכיות עסקית מתועדת וממומנת מדי פעם.

• מדיניות ביטחון מידע פורמלית, המסדירה בעיקר ניהול סיכונים, ניהול אירועים ומדיניות גיבוי.

דרישות אלה חופפות חלקית עם אלה של הנציבות NIS2 (2022/2555/UE), ההנעה לחוק צרפתי על ידי חוק מס' 2023-703 מ-1 באוגוסט 2023, המסווגת PSCo בגודל משמעותי בין ישויות חשובות או חיוניות המוטלות עליהן דרישות מחוזקות של ביטחון סייבר.

> גלה כיצד פתרונות של צריכה צרכתית צריכים לשלב אילוצים אלה בזרימי העבודה שלהם של תיעוד.

---

התחייבויות RGPD ספציפיות ל-PSCo

האם PSCo, אחראי עיבוד או יצרן?

הכלכלה RGPD של הספק תלויה בטבע השירות שנמסר:

• כאשר PSCo מנפיק ישירות תעודות מתוקננות בשם החותם וקובע את הייעודים של עיבוד נתונים אישיים (זהות, נתוני ביומטריה של אימות), הוא פועל כאחראי עיבוד במובן סעיף 4(7) RGPD.

• כאשר הוא משלב את API שלו בפלטפורמה של לקוח B2B ועובד נתונים אישיים רק לפי הוראות של לקוח זה, הוא מכהן כעוהד (סעיף 4(8) RGPD) וחייב בהכרח לחתום DPA (הסכם עיבוד נתונים) תואם לסעיף 28 RGPD.

בפועל, רוב PSCo SaaS מחבר את שתי הכישורים: אחראי לניהול ההנפקה שלהם של תשתית תעודה, יצרן לעיבוד מסמכים ומטא-נתונים של החתמים.

התחייבויות ספציפיות הקשורות לנתוני ביומטריה וזהות

הזיהוי והאימות של החותם — שלב חובה להנפיק תעודה מתוקננת — כרוך לעתים קרובות בעיבוד של נתונים רגישים: סריקה של תעודת זהות, סלפי וידיאו, נתוני ביומטריה של זיהוי פנים. נתונים אלה מהווים נתונים אישיים בכפוף ל-RGPD, או אפילו נתוני ביומטריה כפי שנקבע בסעיף 9 RGPD (קטגוריות מיוחדות).

ההתחייבויות של PSCo כוללות:

• בסיס משפטי: הסכמה מפורשת (סעיף 9§2a) או, במקרים מסוימים, חובה משפטית (סעיף 9§2b) לעיבוד נתוני ביומטריה.

• משך שמירה מוגבל: על פי קווים הנחיה של CNIL, נתוני הזהות צריכים להיות שמור בזמן זה הנחוץ בהחלט, בדרך כלל בשילוב עם משך תוקף התעודה + משך משפטי של הוכחה (לעתים קרובות 10 שנים לפועלים בחתימת פרטיות, סעיף 2224 של הקוד האזרחי).

• ניתוח השפעה (AIPD) חובה (סעיף 35 RGPD) ברגע שהעיבוד עלול להוביל לסיכון גבוה — אשר הוא באופן קבוע במקרה של ביומטריה.

• רישום של עיבודים (סעיף 30 RGPD) מתוחזק עדכני תיעוד כל קטגוריה של עיבוד.

העברות בינלאומיות של נתונים

רבים הם PSCo אשר מאחסנים את כל או חלק מהתשתית שלהם מחוץ ללאזור כלכלי אירופאי (EEE). במקרה זה, הגנות מתאימות כמו נדרש בפרק V RGPD חלות: החלטת הנקיטה, סעיפים חוזיים סוג (SCCs) של הנציבות האירופאית או כללים של חברה מחייבים (BCR). החלטת Schrems II (CJEU, C-311/18, 16 יולי 2020) שמרה כי העברות לארצות הברית דורשות ניתוח סיכון במדינה קדום.

> על מנת להבין את ההשפעה של כללים אלה בארגון שלך, עיין בשלנו.

---

התחייבויות שקיפות ומידע למשתמשים

מדיניות תעודה (PC) והצהרה על נוהלי תעודה (DPC)

כל PSCo המנפיק תעודות מחויב לפרסם את מדיניות תעודה (PC) והצהרה על נוהלי תעודה (DPC), בהתאם לנורמה ETSI EN 319 411. מסמכים אלה, נגישים בחופשיות, מפרטים:

• נוהלים של זהיות וניהול של חתמים.

• אמצעים של ביטחון פיזיים וגיוני מופעלים.

• תנאים של שחרור של תעודות ותקופות קשורות.

• אחריות והגבלות של אחריות של PSCo.

היעדר או אי-שלמות של מסמכים אלה מהווה אי-ציות עלולה להיות מצוינת במהלך ביקורת מחדש התוקנון על ידי הארגון המוסמך.

מידע לפני חוזה וחוזה של לקוחות

מעבר לחובות טכניות בלבד, סעיף 13 RGPD מטיל על PSCo לספק לכל אדם שנתוני עיבוד שלו נאספים מידע ברור וזמין על:

• זהות אחראי העיבוד וקואורדינטות של DPO (חובה לPSCo העובדים בקנה מידה גדול של נתונים רגישים, סעיף 37 RGPD).

• ייעודים והנקיטה משפטית של כל עיבוד.

• זכויות של אנשים (כניסה, תיקון, ביטול, נייד, התנגדות).

• אולי מקבלים של נתונים (יצרנים, רשויות).

מידע זה חייב להיות בתוך מדיניות הפרטיות של השירות, בתוך CGU וגם בתוך DPA שנחתם עם לקוחות מקצועיים.

בדיקה מתוקננת וקבע ביקורת

על מנת להבטיח ערך הוכחה ארוכה טווח של חתימות, PSCo רציניים משייכים באופן שיטתי בדיקה אלקטרונית מתוקננת (סעיף 42 eIDAS) לכל פעולה חתימה. בדיקה זו מהווה הוכחה בהנחה משפטית של קיום הנתונים בתאריך מצוין. שמירה על קבע ביקורת (רישום של הזיהוי, טביעה של המסמך, נתוני החתימה) היא התחייבות על ידי עובדה של הצורך לאפשר כל בדיקה משפטית לנחיתה בעתיד.

> השווה את הפתרונות בשוק על פי קריטריוני אלה בשלנו.

---

eIDAS 2.0: ההתחייבויות החדשות להופיע 2026-2027

תקנון eIDAS 2.0 (UE) 2024/1183

פורסום בעיתון הרשמי של האיחוד האירופי ב-30 באפריל 2024, תקנון (UE) 2024/1183 המכונה "eIDAS 2.0" מחזק באופן משמעותי את התחייבויות PSCo סביב שלוש כיווני:

• ארנק הזהות הדיגיטלית של אירופה (EUDI Wallet): מדינות חברות חייבות להציע ארנק זהות דיגיטלית מוסמך עד 2 בנובמבר 2026. PSCo צריכים לשלב את השירות שלהם עם ארנק זה להציע חתימות מתוקננות דרך זהות eIDAS 2.0.

• ניהול של העדויות של תכונות: eIDAS 2.0 מציג העדויות של תכונות מתוקננות (QEAAs), נמסר על ידי ספקים מתוקננים של עדות. נוהלים חדשים של ביקורת וריוק יחולו.

• חיזוק של הפיקוח: רשויות לאומיות של פיקוח (ANSSI עבור צרפת) מראות כוח מורחב, במיוחד כושר התייעצות ביקורות ולמכור מדדים מחייבים בתקופות קצורות.

השלכות מעשיות לספקים קיימים

PSCo שכבר מתוקנן בחסות eIDAS 1.0 יידרש לעבור עדכון הדרגתי לפני תקופות מוגדרות על ידי מוקדות של ביצוע של הנציבות (מפורסמות או בהליך של פרסום). ההתאמות העיקריות הוא:

• שינוי של התשתית של הזהות תומכת EUDI Wallet כאמצעי אימות.

• עדכון של PC/DPC על מנת לשלב טיפולוגיות חדשות של תעודות והעדויות.

• חיזוק של דרישות של ביטחון של QSCD מרחוק, עם פרופילים חדשים של הגנה בעתיד.

לחברות לקוחות, זה אומר לאמת מהיום כי הספק שלהם יש מפת דרכים של ציות eIDAS 2.0 מתועדת ומוודא.

מסגרת משפטית החלה על התחייבויות של ספקי חתימה אלקטרונית

הקטע הנורמטיבי החל לספקי חתימה אלקטרונית הפועלים בצרפת מתבטא על כמה רמות היררכיות משלימות.

קוד אזרחי צרפתי — סעיפים 1366 ו-1367

סעיף 1366 של הקוד האזרחי מכיר בכתב אלקטרוני כממצא הוכחה שווה ערך לכתב נייר, בתנאי ש"יכול לזהות כראוי את האדם ממנו הוא נובע ושהוא נוסד ונשמר בתנאים של טבע להבטיח את השלמותו". סעיף 1367 מדויק כי חתימה אלקטרונית "מורכבת בשימוש של סדר משמעותי של זיהוי המבטיח את הצמד שלו עם הפעולה אליו הוא מחובר". ההנחה של אמינות להנות לחתימות מתוקננות במובן eIDAS, להיפוך את עומס ההוכחה לטובת החתם.

תקנון eIDAS מס' 910/2014/UE

תקנון זה, של יישום ישיר בכל מדינות חברות, ממסד את המסגרת המשפטית של שירותי אמון. סעיף 26 שלו מגדיר את התנאים של חתימה אלקטרונית משופרת; סעיף 28 דרישות של תעודות מתוקננות; נספח I שלו מפרט את התוכן החובה של תעודות אלה. PSCo מתוקננים נהנים מהנחה של ציות לדרישות הטכניות והמשפטיות של תקנון (סעיף 19§2), אשר מהווה יתרון גדול במקרה של סכסוך.

תקנון eIDAS 2.0 — (UE) 2024/1183

מפורסם ב-30 באפריל 2024, תקנון שינוי זה מציג קטגוריות חדשות של שירותי אמון (העדויות של תכונות מתוקננות, שירותי ארכיון מתוקננות) ומחזק את התחייבויות של פיקוח. הוא בטל ומחליף חלקית את תקנון 910/2014, עם ישימות הדרגתית על פי מוקדות של ביצוע של הנציבות האירופאית.

RGPD — תקנון (UE) 2016/679

RGPD חל על כל עיבוד של נתונים אישיים שווזור בהקשר של שירות של חתימה אלקטרונית. סעיפים 5 (עקרונות של חוקיות), 6 (בסיס משפטי), 9 (נתונים רגישים), 13-14 (מידע), 28 (תת-חוזה), 32 (ביטחון), 33-34 (התראה של הפרה), 35 (AIPD) ו-37 (DPO) להוות את ההוראות תכופות ביותר של יישום. CNIL היא רשות הפיקוח הכשירה בצרפת ויכולה להטיל כופר עד 20 מיליון יורו או 4% של סיבוב עסקי כללי שנתי (סעיף 83§5 RGPD).

הנציבות NIS2 — (UE) 2022/2555

הרציקה בחוק צרפתי על ידי חוק מס' 2023-703 מ-1 באוגוסט 2023, NIS2 סיווג PSCo משמעותי בין ישויות חשובות או חיוניות המוטלות עליהן התחייבויות של ניהול סיכון סייבר והתראה של אירועים לANSSI תוך 24 שעות (התראה מוקדמת) ואח"כ 72 שעות (התראה שלמה).

נורמות ETSI

פחות הנורמות EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ו-TS 119 431 משכנע הייחוס הטכני חובה לביקורת של התוקנון. אי-כיבודו יוביל להיעדר כושר להשיג או לשמור על מעמד מתוקנן.

סיכונים משפטיים במקרה של אי-ציות

ספק שלא תואם חשוף: הסרה מה-TSL הצרפתית, תביעה של אחריותו החוזיתית וחוץ-חוזיתית, סנקציות מנהליות של CNIL, כופר NIS2 שיכולה להשיג 10 מיליון יורו או 2% של CA כללי לישויות חשובות ו-20 מיליון או 4% של CA לישויות חיוניות, כמו כן לעוררי משפטי של לקוחות שנפגעו בגלל חתימות שלא תקף משפטיים.

תרחישים של שימוש: כיצד חברות מוודות את הציות של הספק שלהם

תרחיש 1 — קבוצת תעשייה מנהלת 3,000 חוזים של ספקים בשנה

קבוצת תעשייה בגודל בינוני (ETI), פעיל בייצור של ציוד מכני, dematerializes את כלל החוזים של ספקים דרך פלטפורמה SaaS של חתימה אלקטרונית. במהלך ביקורת פנימית שהטילה אחרי התפתחות רגולטורית, הנהלה משפטית מבחין שהספק שנבחר — בחיוביות על קריטריון של מחיר — לא תואם ה-TSL הצרפתית, ולא כל TSL אירופאית. החתימות שהוענקו הן של סוג "פשוט" ללא קופץ של זהוי חזק של החותם.

מול סיכון משפטי — כלל החוזים שנחתם יכול לראות את הערך ההוכחה שלו המערער במקרה של סכסוך — החברה משתתפת בהנדסה לעבר PSCo מתוקנן ANSSI. הפתרון החדש משלב חתימה משופרת עם תעודה מתוקננת, בדיקה מתוקננת והקבע ביקורת יצא. תעלומה הנדסה, שהוצאה פחות מ-8 שבועות, מאפשר לבטח בחזרה כל פעולת חתימה חדשה ולהקים מדיניות תיעוד תואמת. הצוותים המשפטיים אומדים כי הסיכון תביעה קשור לחוזים קדומים נשאר שוליים בגלל ביצוע שלהם ללא תחרות, אך כל חתימה חדשה כעת מסודרת.

תוצאה נצפית: הפחתה של 60% של סכסוכים פוטנציאליים הקשור לאותיות של חתימות, וכסף של 3.5 ימים של עיכוב ממוצע של חתימה על חוזים מורכבים הודות לאוטומציה של זרימת עבודה של אישור.

תרחיש 2 — חזק של עורכי דין של 25 משתתפים התמחויותיות בדין של עסקים

חזק של עורכי דין השאיפה דיגיטליסט את החתימה של פקידים, ייעוצ