דלג לתוכן ראשי
Certyneo

התחייבויות ספק חתימה אלקטרונית בצרפת

הסמכה eIDAS, עמידה בחוקי RGPD, דרישות ANSSI: ספקי חתימה אלקטרונית מתמודדים עם מסגרת חוקית דורשנית. גלה את כל התחייבויות שיש לעמוד בהן.

צוות Certyneo11 דקות קריאה

צוות Certyneo

כותב — Certyneo · אודות Certyneo

מבוא

הפריסה של פתרון חתימה אלקטרונית בצרפת אינה דבר שאפשר לאולתו. מאחורי כל חתימה מוסמכת או מתקדמת מתחבאות עשרות התחייבויות חוקיות השקולות על ספק שירותי אמון (PSCo). תקנות eIDAS, RGPD, קביעי ציבור בנושא אבטחה, נורמות ETSI... המסגרת הרגולטורית צפופה וגם מתפתחת כל הזמן. עבור חברות משתמשות, הבנת התחייבויות החוקיות ספק חתימה אלקטרונית בצרפת eIDAS RGPD היא חיונית כדי לבחור בשותף תואם ולהימנע מסיכון משפטי כלשהו. מאמר זה מפרט, חלק אחרי חלק, את כל הדרישות החלות על PSCo הפועלים בשטח הצרפתי.

---

מעמד ספק שירותי אמון מוסמך

מה זה PSCo במובן eIDAS?

תקנות eIDAS מס' 910/2014 מבחינות בין שתי קטגוריות של ספקים: ספקי שירותי אמון לא מוסמכים וספקים מוסמכים (PSCQ). הראשונים יכולים להציע שירותי חתימה אלקטרונית פשוטה או מתקדמת ללא ביקורת צד שלישי חובה. השניים — היחידים המורשים להנפיק חתימות מוסמכות במובן סעיף 3(15) של eIDAS — חייבים לעמוד בדרישות זו כל כך הרבה יותר קשות.

בצרפת, זה הסוכנות הלאומית לאבטחת מערכות מידע (ANSSI) שמילאת את תפקיד הרשות למעקב (« Supervisory Body ») כפי שנקבע בסעיף 17 של eIDAS. היא מפרסמת וקיימת את רשימת האמון הצרפתית (TSL — Trust Service List), הזמינה באתר שלה הרשמי, המציינת את הספקים המוסמכים ואת שירותיהם.

הליך ההסמכה: ביקורת ועמידה בנורמות

כדי להשיג מעמד מוסמך, PSCo חייב בהכרח:

  • לבצע ביקורת של שירותיו על ידי גוף הערכה של עמידה בנורמות (CAB — Conformity Assessment Body) מוסמך על ידי COFRAC בהתאם לנורמה EN ISO/IEC 17065.
  • להגיש את דוח הביקורת ל-ANSSI, המחליט על מתן המעמד המוסמך. מעמד זה מוערך מחדש לפחות כל 24 חודשים (סעיף 20 §1 eIDAS).
  • להודיע ל-ANSSI על כל שינוי מהותי בשירותיו בתוך תקופה של 3 חודשים לפני השינוי המתוכנן (סעיף 21 eIDAS).

אי-קיום של שלבים אלה חושף את הספק לשלילה מ-TSL ולאובדן התברות החוקיות הקשורות לחתימה מוסמכת. עבור חברות בנות קליינט, שימוש בـ PSCo שלא רשום ב-TSL שקול להעדר כל הנחת קיום משפטית של אמינות.

> כדי ללמוד עוד על רמות החתימה השונות והשפעותיהן המשפטיות, עיין בקובץ הנושא שלנו מדריך מלא לתקנות eIDAS 2.0.

---

התחייבויות טכניות ואבטחה המוטלות על PSCo

עמידה בנורמות ETSI

ספקים מוסמכים חייבים לעמוד בקבוצה של נורמות אירופיות שפורסמו על ידי הקבע הטלקומוניקציה האירופית לנורמות (ETSI). העיקריות שבהן הן:

  • ETSI EN 319 401: דרישות אבטחה כלליות החלות על כל PSCo.
  • ETSI EN 319 411-1 ו-411-2: מדיניות ונוהלים של רשויות הסמכה המנפיקות אישורי חתימה מוסמכים.
  • ETSI EN 319 132: פורמטים של חתימה אלקטרונית מתקדמת (XAdES עבור XML, PAdES עבור PDF, CAdES עבור CMS).
  • ETSI EN 319 122: פורמט CAdES עבור חתימות מוסמכות.
  • ETSI TS 119 431: דרישות עבור שירותי יצירת חתימה מרחוק (QSCD מרחוק).

נורמות אלו אינן אופציונליות: תקנות eIDAS (נספח II, III ו-IV) מכוונות אליהן במפורש כדי להגדיר את הדרישות המינימליות של אישורים מוסמכים והתקנים ליצירת חתימה.

ניהול התקנים מאובטחים ליצירת חתימה (QSCD)

אחד העמודים של החתימה המוסמכת הוא השימוש בـ התקן מאובטח ליצירת חתימה (QSCD — Qualified Signature Creation Device) המתאים לנספח II של eIDAS. הספק חייב להבטיח כי:

  • מפתח פרטי של החותם לא יכול להיווצר, להיאחסן או להעתק מחוץ ל-QSCD.
  • יצירת המפתח מתקיימת אך ורק בסביבה מוסמכת (סמכות Common Criteria EAL 4+ או שקולה).
  • אימות החותם קודם לכל פעולת חתימה מסתמך על לפחות שני גורמים של אימות.

בהקשר של חתימה מרחוק — נפוצה יותר ויותר בסביבות SaaS — התחייבויות אלו חלות על שרת ה-HSM (Hardware Security Module) המעניק מקום לשמפתחות. ANSSI פרסמה פרופילים הגנה ספציפיים (PP-0075, PP-0076) המגדירים את קריטריונים האבטחה שיש להשיג.

מדיניות המשכיות וודעה על אירועים בטיחותיים

סעיף 19 של eIDAS גוזר על כל ספק שירותי אמון (מוסמך או לא) את הוראות הבאות:

  • לודע לרשות הממונה (ANSSI) ואולי גם לרשות הגנת הנתונים (CNIL), תוך 24 שעות ממנו גילוי הפרה בטיחותית עלולה להשפיע על אמינות השירות.
  • ניהול תוכנית המשכיות עסקית תיעודית ומנוסה באופן קבוע.
  • קיום מדיניות אבטחת מידע רשומה, הכוללת בעיקר ניהול סיכונים, ניהול אירועים ומדיניות הגיבוי.

התחייבויות אלו חופפות בחלקן עם אלה של הוראת NIS2 (2022/2555/EU), המועברת לדין צרפתי על ידי חוק מס' 2023-703 מ-1 באוגוסט 2023, הממיינת PSCo בגודל משמעותי בקרב ישויות חשובות או חיוניות הנתונות להתחייבויות מחוזקות של סייבר-אבטחה.

> גלה כיצד חתימה אלקטרונית למשרדי משפטיים צריכה לשלב אילוצים אלה ב-workflows התיעודיים שלהם.

---

התחייבויות RGPD ספציפיות ל-PSCo

ה-PSCo, אחראי עיבוד או עיבוד משני?

הסיווג RGPD של הספק תלוי בטבע השירות המסופק:

  • כאשר ה-PSCo מסלק באופן ישיר אישורים מוסמכים בשם החותם ויוזם את מטרות עיבוד נתונים אישיים (זהות, נתונים ביומטריים של אימות), הוא פועל בתור אחראי עיבוד במובן סעיף 4(7) RGPD.
  • כאשר הוא משלב את API שלו בתוך הפלטפורמה של לקוח B2B ועובד נתונים אישיים בהתאם להוראות בלבד של לקוח זה, הוא לובש את תפקיד המעבד (סעיף 4(8) RGPD) והוא חייב בהכרח לחתום על DPA (Data Processing Agreement) המתאים לסעיף 28 RGPD.

בפועל, רוב ה-PSCo ממסוג SaaS מצטברים את שתי התפקידים: אחראי להנהלת ההנהלה של תשתיתם שלהם של הסמכה, משני לעיבוד המסמכים והמטא-נתונים של החותמים.

התחייבויות ספציפיות הקשורות לנתונים ביומטריים ודו"ח הזהות

ההזדהות והאימות של החותם — שלב חובה להנפקת אישור מוסמך — משתמע לעתים קרובות בעיבוד של נתונים רגישים: סקן של כרטיס זהות, סלפי וידאו, נתונים ביומטריים של הכרה פנים. נתונים אלו מהווים נתונים אישיים הנתונים ל-RGPD, או אפילו נתונים ביומטריים שנמצאים בסעיף 9 RGPD (קטגוריות מיוחדות).

ההתחייבויות של ה-PSCo כוללות:

  • בסיס חוקי: הסכמה מפורשת (סעיף 9§2a) או, במקרים מסוימים, התחייבות חוקית (סעיף 9§2b) עבור עיבוד נתונים ביומטריים.
  • משך של שמירה מוגבל: על פי הנחיות CNIL, נתוני הזדהות חייבים להישמר את הזמן הדרוש בהחלט, בדרך כלל מתואם למשך של תוקף האישור + משך חוקי של הוכחה (לעתים קרובות 10 שנים עבור מסמכים בחתימה פרטית, סעיף 2224 של הקוד האזרחי).
  • ניתוח השפעה (AIPD) חובה (סעיף 35 RGPD) ברגע שעיבוד עלול להיות בעל סיכון גבוה — וזה בשיטתיות במקרה של ביומטריה.
  • רישום עיבודים (סעיף 30 RGPD) מעודכן ותיעוד כל קטגוריה של עיבוד.

העברות בינלאומיות של נתונים

רבים הם ה-PSCo המארחים את כל או חלק מתשתיתם מחוץ למרחב כלכלי אירופי (EEE). במקרה זה, הגנות מתאימות המתבקשות בפרק V של RGPD מטילות את עצמן: החלטת הולמות, סעיפי החוזה סטנדרטיים (SCCs) של הנציבות האירופית או כללי חברה מחייבים (BCR). המשפט Schrems II (CJUE, C-311/18, 16 בינואר 2020) הזכיר כי העברות לארצות הברית דורשות ניתוח סיכון מוקדם של מדינה.

> כדי להבין את ההשפעה של כללים אלה על הארגון שלך, קרא את הקובץ שלנו על חתימה אלקטרונית בחברה.

---

התחייבויות של שקיפות והשכלה לשם כל משתמש

מדיניות הסמכה (PC) והצהרה של נוהלי הסמכה (DPC)

כל PSCo המנפיק אישורים נתון לעמידה במדיניות הסמכה (PC) ובהצהרה של נוהלי הסמכה (DPC), בהתאם לנורמה ETSI EN 319 411. מסמכים אלו, זמינים בחופשיות, מפרטים:

  • ההליכים של הזדהות וההרשמה של החותמים.
  • האמצעים של אבטחה פיזית ולוגית שהופעלו.
  • התנאים של שלילה של אישורים וההשהיות הקשורות.
  • אחריויות והגבלות של אחריות של ה-PSCo.

ההעדר או חוסר השלמות של מסמכים אלו מהווה אי-עמידה עלול להיות מחודשת במהלך ביקורת ההסמכה המחודשת על ידי הגוף המוסמך.

הודעה מראש חוזית וחוזית של לקוחות

מעבר להתחייבויות טכניות בלבד, סעיף 13 RGPD גוזר על ה-PSCo לסמוך לכל אדם שנתוניו נאספים דיווח ברור וזמין על:

  • הזהות של אחראי עיבוד ופרטי התמודדות של ה-DPO (חובה עבור PSCo המעבדים בקנה מידה רחב של נתונים רגישים, סעיף 37 RGPD).
  • המטרות וההצדקות החוקיות של כל עיבוד.
  • זכויות של אנשים (גישה, תיקון, מחיקה, נגישות, התנגדות).
  • הנמענים של הנתונים (מעבדים תתי, רשויות).

מידע זה חייב להופיע במדיניות הפרטיות של השירות, בתנאי הקבוצה ובתנאים כלליים וגם, לעת עתה, ב-DPA שנחתם עם לקוחות מקצועיים.

חתימת זמן מוסמכת וקורי אודיט

כדי להבטיח את הערך של הוכחה לטווח ארוך של חתימות, PSCo הרציניים משיקים בשיטתיות חתימת זמן אלקטרונית מוסמכת (סעיף 42 eIDAS) לכל מעשה חתום. חתימת זמן זו מהווה ראיה משפטית המניחה בהנחה את קיומה של הנתונים בתאריך שהצביע עליו. השמירה של קורה של אודיט (רישום של הזדהות, טביעה של המסמך, נתונים של החתימה) היא התחייבות עובדתית המאפשרת כל אימות שיפוטי בהמשך.

> השוו את הפתרונות של השוק על פי קריטריונים אלה ב-השוואה של פתרונות חתימה אלקטרונית.

---

eIDAS 2.0: התחייבויות חדשות בסמוך ל-2026-2027

תקנות eIDAS 2.0 (EU) 2024/1183

פורסמה בעיתון הרשמי של ה-EU ב-30 באפריל 2024, תקנות (EU) 2024/1183 בשם « eIDAS 2.0 » משדרגות משמעותית את התחייבויות של PSCo סביב שלוש צירים:

  • ארנק הזהות הנומרית האירופית (EUDI Wallet): מדינות חברות חייבות להכניס לרשות ארנק של זהות נומרית מוסמך בתאריך 2 בנובמבר 2026. PSCo תצטרכו לשלב את שירותם עם ארנק זה כדי להציע חתימות מוסמכות דרך זהות eIDAS 2.0.
  • ניהול של הצהרות של תכונות: eIDAS 2.0 מציג הצהרות של תכונות מוסמכות (QEAAs), מסולקות על ידי ספקים מוסמכים של הצהרות. הליכים חדשים של ביקורת והסמכה יחלים.
  • התחזוקה של הפיקוח: רשויות לאומיות של פיקוח (ANSSI עבור צרפת) ראו את הסמכויות שלהם הוגדלה, במיוחד היכולת לטרוף ביקורות פתאומיות ולהטיל צעדים תיקוניים מחייבים בתקופות מקוצרות.

השלכות מעשיות עבור ספקים נוכחיים

PSCo מוסמכים כבר בהוראות eIDAS 1.0 יצטרכו לבצע עדכון מדורג של עמידה בנורמות לפני התאריכים שנקבעו על ידי המעשים של הוצאה לפועל של הנציבות (מפורסמים או במהלך הפרסום). התאמות ראשוניות נוגעות:

  • שיתוק מחדש של תשתית ההזדהות לתמיכה בـ EUDI Wallet בתור אמצעי של אימות.
  • עדכון של PC/DPC כדי לשלב את הטיפולוגיות החדשות של אישורים והצהרות.
  • משדרוג של דרישות אבטחה של QSCD מרחוק, עם פרופילים הגנה חדשים הבאים.

עבור חברות קליינט, זה אומר לאמת כבר היום כי הספק שלהם קיים roadmap של עמידה בנורמות eIDAS 2.0 תיעודי ובר אימות.

מסגרת חוקית החלה על התחייבויות ספקים של חתימה אלקטרונית

הרשת הנורמטיבית החלה על ספקים של חתימה אלקטרונית הפועלים בצרפת מתארגנת על מספר רמות היררכיות משלימות.

קוד אזרחי צרפתי — סעיפים 1366 ו-1367

סעיף 1366 של הקוד האזרחי מכיר בכתב אלקטרוני בתור אמצעי של ראיה שקול לכתב נייר, בתנאי ש-« יכול להיות מוקד זהוי כדורגן של אדם מי שהוא משוחרר וכי הוא הונפק ושומר בתנאים של אופי כדי להבטיח את השלמות שלו ». סעיף 1367 מסייע כי החתימה אלקטרונית « מורכבת מן השימוש של תהליך אמין של זהוי מבטיחה הקשר שלו עם הפעולה שאליה היא מצורפת ». הנחת קיום של אמינות נהנית מחתימות מוסמכות במובן eIDAS, משתנה את עומס הנימוק לטובת החותם.

תקנות eIDAS מס' 910/2014/EU

תקנות אלו, של יישום ישיר בכל המדינות החברות, קבע את המסגרת החוקית של שירותי אמון. סעיף 26 שלו מגדיר את התנאים של חתימה אלקטרונית מתקדמת; סעיף 28 את דרישות של אישורים מוסמכים; נספח I שלו מפרט את התוכן החובה של אישורים אלו. PSCo מוסמכים נהנים מהנחת קיום של עמידה בנורמות להוראות טכניות וחוקיות של התקנות (סעיף 19§2), אשר מהווה יתרון עיקרי במקרה של משפט.

תקנות eIDAS 2.0 — (EU) 2024/1183

פורסמה ב-30 באפריל 2024, תקנות תיקוני זו מציגה קטגוריות חדשות של שירותי אמון (הצהרות של תכונות מוסמכות, שירותי ארכיון מוסמכים) ומשדרגת את התחייבויות של פיקוח. היא גוררת וחלקית מחליפה את תקנות 910/2014, עם יישומיות מדורגת לפי המעשים של הוצאה לפועל של הנציבות האירופית.

RGPD — תקנות (EU) 2016/679

ה-RGPD חל לכל עיבוד של נתונים אישיים שהורכבו בתוך מסגרת של שירות של חתימה אלקטרונית. סעיפים 5 (עקרונות של חוקיות), 6 (בסיס חוקי), 9 (נתונים רגישים), 13-14 (הודעה), 28 (תת-עיבוד), 32 (אבטחה), 33-34 (ודעה של הפרה), 35 (AIPD) ו-37 (DPO) מהווים את הפסקאות שנפוצו ביותר. ה-CNIL היא הרשות של פיקוח מוכשרת בצרפת וזה יכול להטיל קנסות עד 20 מיליון יורו או 4% מהוא שנתי של בחירה עולמית (סעיף 83§5 RGPD).

הוראה NIS2 — (EU) 2022/2555

עברה לדין צרפתי על ידי חוק מס' 2023-703 מ-1 באוגוסט 2023, NIS2 סווגים PSCo משמעותיים בקרב היישויות חשובות או חיוניות הנתונות להתחייבויות משודרגות של ניהול סיכונים cyber וודעה של אירועים ל-ANSSI תוך 24 שעות (התרעה מוקדמת) לאחר מכן 72 שעות (ודעה שלם).

נורמות ETSI

כל קבוצת הנורמות EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 וTS 119 431 מהווה את ההתייחסות הטכנית החובה עבור ביקורת של הסמכה. אי-קיום שלהם מביא את חוסר היכולת להשיג או לשמור על מעמד מוסמך.

סיכונים משפטיים במקרה של אי-עמידה בנורמות

ספק לא תואם חשוף לשלילה של TSL הצרפתית, התחייבות של אחריות חוזית וחוקית, סנקציות של CNIL, קנסות NIS2 יכולים להגיע ל10 מיליון יורו או 2% מ-CA עולמי עבור יישויות חשובות ו20 מיליון או 4% מ-CA עבור יישויות חיוניות, וגם קושי שיפוטי של לקוחות סובלים נזק בגלל חתימות לא תקפות בחוקים.

סקרי שימוש: כיצד חברות מאמתות עמידה בנורמות של שלהם PSCo

סקר 1 — קבוצה של יצור הנוצר 3,000 חוזים של ספק בשנה

קבוצה של יצור בגודל ביניים (ETI), פעילה בהנחה של ציוד מכני, חזרה את כל חוזיו של ספק דרך פלטפורמה SaaS של חתימה אלקטרונית. בזמן ביקורת פנימית שהופעלה בעקבות התפתחות רגולטורית, נקודת משפטית מ

נסו Certyneo בחינם

שלחו את מעטפת החתימה הראשונה שלכם בפחות מ-5 דקות. 5 מעטפות חינם בחודש, ללא כרטיס אשראי.

העמקת הנושא

המדריכים המלאים שלנו לשליטה בחתימה אלקטרונית.