אבטחת מסמכים חתומים אלקטרונית: מדריך 2026

מבוא

החתימה האלקטרונית הפכה לנורמה בהחלפות B2B אירופיות. אולם חתימה על מסמך לא מספיקה: עדיין יש צורך לאבטח, לשמור בארכיון ולשמור מסמכים חתומים אלקטרונית בהתאם לתקנות המשפטיות בחוק. בצרפת ובאירופה, החובות הנובעות מהתקנון eIDAS, RGPD וקוד אזרחי כופים דרישות ברורות לגבי שלמות, עקיבות וטווח שמירה. מדריך זה מסביר לך, שלב אחר שלב, כיצד להטמיע אסטרטגיית שמירה בארכיון עבור המסמכים האלקטרוניים החתומים שלך — ומדוע גישה זו קשורה בעמקות לשיטת חתימה אלקטרונית רצינית.

---

מדוע אבטחת המסמכים החתומים היא עדיפות מוחלטת

הסיכונים הקשורים לשמירה גרועה

מסמך חתום אלקטרונית מאבד כל ערך הוכחה אם הוא משתנה, מחוסל או אינו נגיש בזמן שייצורו נדרש — במהלך סכסוך משפטי, ביקורת או בדיקה פיסקלית. הסיכונים המעשיים כוללים:

• איבוד שלמות: כל שינוי לאחר חתימה, אפילו מינורי, מבטל את החתימה וכך את הערך המשפטי של המסמך.
• פקיעת תעודות: לתעודה מוסמכת יש תוחלת חיים מוגבלת (בדרך כלל 1 עד 3 שנים). אם המסמך אינו מתויג בזמן או שמור בארכיון כראוי לפני פקיעה, היכולת לאימות שלו בעתיד נפגמת.
• התיישנות טכנולוגית: פורמטים של קבצים משתנים. מסמך PDF חתום ב-2018 עם אלגוריתם SHA-1, שנחשב כעת לפגיע, יכול לגרום לבעיות אימות בטווח הארוך.
• הפרות RGPD: מסמכים חתומים מכילים לעתים קרובות נתונים אישיים (שם, שם משפחה, כתובת IP, דוא"ל). ניהול גרוע של נתונים אלה חושף את החברה להחלטות CNIL שיכולות להגיע ל-4% מהוכנסות ברחבי העולם.

על פי מחקר KPMG שפורסם ב-2024, 34% מהחברות הצרפתיות אין להן שיטה מיוחדת של שמירה בארכיון אלקטרונית, וחוקיות עצמן לסיכונים משפטיים משמעותיים במקרה של סכסוך.

הערך המוכח: סוגיה מרכזית

הערך המוכח של מסמך חתום אלקטרונית מסתמך על שלוש עמודים יסוד:

1. אימות: חותם הוא בעצם זה שהוא טוען שהוא (אימות זהות, תעודה מוסמכת).
2. שלמות: התוכן לא שונה מאז החתימה (חתימה קריפטוגרפית, SHA-256 או גבוה יותר).
3. אי-הכחשה: החותם לא יכול להכחיש שחתם (חתימת זמן מוסמכת, שביל ביקורת).

שלוש העמודות הללו חייבות להיות ניתנות לשמירה בזמן, מה שמרמז על אסטרטגיית שמירה בארכיון פעילה ולא פסיבית.

---

התקנים הטכניים לאבטחת המסמכים החתומים שלך

פורמטי החתימה לטווח ארוך: PAdES, XAdES, CAdES

כדי להבטיח קיימות של מסמך חתום, התקנים ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ו-ETSI EN 319 142 (PAdES) מגדירים פורמטי חתימה המתאימים לשמירה למשך זמן ארוך. הנפוץ ביותר בשיטה B2B בפועל הוא פורמט PAdES (חתימות אלקטרוניות PDF מתקדמות), עם הרמות שלו:

• PAdES-B: רמה בסיסית, מתאימה לטווחים קצרים.
• PAdES-T: מוסיף חתימת זמן מוסמכת כדי להוכיח את קיומו של המסמך בזמן T.
• PAdES-LT: משלבת נתוני ביטול תעודות, המאפשרים אימות ללא גישה לשירותים מקוונים.
• PAdES-LTA: הרמה החזקה ביותר, מוסיפה חתימת זמן של ארכיון המאפשרת חידושים תקופתיים. מומלץ לשמירה הוא על פני 3 שנים.

לשמירה בארכיון למשך זמן ארוך, הרמה PAdES-LTA היא ההתייחסות המומלצת על ידי ANSSI וספקי שירותי אמון מוסמכים (QTSP).

חתימת זמן מוסמכת: מפתח הקשת של הארכיון

חתימת זמן מוסמכת, המוגדרת בסעיף 42 של התקנון eIDAS, מהווה הוכחה משפטית לקיומו של מסמך בנקודת זמן ספציפית. זה מונפק על ידי רשות חתימת זמן מוסמכת (TSA - Time Stamping Authority) שנרשמה ברשימת האמון האירופית (EU Trust List).

למעשה, חתימת הזמן:

• קושרת בצורה קריפטוגרפית את חתימת המסמך לתאריך ושעה מאומתים.
• מאפשרת להוכיח שהחתימה הייתה תקפה בזמן יצירתה, גם אם התעודה פקעה מאז.
• חיונית להבטיח קבילות המסמך בבית משפט שנים לאחר החתימה שלו.

הצפנה ובקרת גישה

מעבר להיבטים קריפטוגרפיים הקשורים לחתימה עצמה, הניחור הפיזי והלוגי של המסמכים המאוחסנים חשוב באותה מידה:

• הצפנה במנוחה: מסמכים חייבים להיות מוצפנים בשרתי האירוח (AES-256 מינימום).
• הצפנה בתחבורה: פרוטוקולי TLS 1.3 להעברה כלשהי.
• בקרת גישה מבוססת תפקיד (RBAC): רק אנשים מורשים יכולים לגשת למסמכים המאוחסנים בארכיון.
• רישום של גישות: כל גישה, הצפייה או הורדה חייבת להיות מתועדת (logs בלתי שניתנים לשינוי).
• גיבויים גיאו-עדונים: לפחות שתי עותקים באתרים מופרדים גיאוגרפיים, עם בדיקות שחזור רגילות.

---

אסטרטגיות שמירה בארכיון אלקטרונית מוכחת: SAE וכספת דיגיטלית

מערכת שמירה בארכיון אלקטרונית (SAE)

מערכת שמירה בארכיון אלקטרונית (SAE) היא תשתית ייעודית לשמירה לטווח ארוך של מסמכים דיגיטליים עם הבטחה לשלמות וגישה שלהם. בצרפת, ההתייחסות החלה היא התקן NF Z42-013 (מאושר ISO 14641), המגדיר דרישות לתכנון והפעלה של SAE מוכח.

המאפיינים של SAE תואם כוללים:

• תוכנית סיווג מובנית עם כללי שמירה לפי קטגוריה דוקומנטרית.
• חתימת שלמות שחושבה על הכניסה ומאומתת מעת לעת.
• רישום בלתי משתנה של כל הפעולות.
• הליכי הגירה טכנולוגית להתפתחות פורמטים ללא אובדן שלמות.
• גישה מאובטחת וניתנת לביקורת עם אימות חזק.

הפניה ל-SAE מנוהל על ידי ספק מוסמך (סוג שמירה בארכיון אלקטרונית ערך מוכח - AEVP) מאפשרת לחברות להפיץ מורכבות זו תוך שהם נהנים מהבטחות חוזיות וניהוליות חזקות.

הכספת דיגיטלית: פתרון משלים

הכספת הדיגיטלית היא גרסה פשוטה של SAE, מכוונת משתמש סופי. זה מאפשר לכל חותם לשמור עותק אישי, מאובטח וגישה אליו, של המסמכים החתומים שלו. גישה זו רלוונטית במיוחד ל:

• חוזי עבודה ותיקים (נגישים על ידי עובד).
• תנאים כללים של מכירה שיקבלו אלקטרונית.
• מסמכי onboarding הלקוח (KYC, הנדסות SEPA).

משך שמירה משפטי: מה החוק כופה

משך השמירה של מסמכים משתנה בהתאם לאופיה המשפטי. להלן העיקריות:

| סוג מסמך | משך מינימלי משפטי | בסיס משפטי | |---|---|---| | חוזים מסחריים | 5 שנים | אמנות. L110-4 קוד מסחר | | מסמכים פיסקליים | 6 שנים | אמנות. L102 B LPF | | חוזי עבודה | 5 שנים לאחר סיום | קוד עבודה | | מעשים בהנחת יד פרטית | 5 שנים (פעולה אישית) | אמנות. 2224 קוד אזרחי | | מסמכים חשבונאיים | 10 שנים | אמנות. L123-22 קוד מסחר | | נתוני בריאות | 20 שנים מינימום | אמנות. R1112-7 CSP |

משכים אלה חייבים להיות משולבים בשיטת הארכיון ופרמטרים בכלי ניהול מסמכים.

---

שלבי חתימה אלקטרונית עם אבטחה

בחירת פלטפורמה חתימה עם ארכיון מקורי

האסטרטגיה הטובה ביותר היא לבחור פתרון חתימה אלקטרונית המשלבת שמירה בארכיון מאובטחת באופן כלל, במקום לנהל שני כלים נפרדים. קריטריוני הבחירה החיוניים הם:

• כשירות eIDAS: הפלטפורמה חייבת להיות או לסמוך על ספק שירותי אמון מוסמך (QTSP) שנרשם ברשימת האמון של האיחוד האירופי.
• ציות RGPD: אירוח נתונים באיחוד האירופי, DPA (הסכם עיבוד נתונים) זמין, אפשרות לממש את זכויות האנשים.
• פורמטי ארכיון מוסמכים: תמיכה מקורית של PAdES-LTA או שווה ערך.
• שביל ביקורת מלא: כל שלב של תהליך החתימה חייב להיות מתועד וניתן לייצוא.
• API של שילוב: כדי לחבר את הפלטפורמה אל ה-GED (ניהול מסמכים אלקטרוני) או ERP הקיים שלך.

כדי להשוות פתרונות זמינים בשוק, עיין ב-השוואה של פתרונות חתימה אלקטרונית.

שביל הביקורת: ההגנה הטובה ביותר שלך במקרה של סכסוך

שביל הביקורת (או audit trail) הוא יומן כרונולוגי ובלתי משתנה המתרחש בכל הפעולות הקשורות למסמך: שליחה, פתיחה, חתימה, סירוב, תזכורות. היא מהווה הוכחה משלימה לחתימה עצמה.

שביל ביקורת מוכח חייב לכלול:

• החתימות הזמן המוסמכות של כל פעולה.
• כתובות IP וסוכני משתמשים של חותמים.
• מזהים של אימות זהות בשימוש.
• מטאדטה של מסמך (hash fingerprint).

במקרה של סכסוך, לעתים קרובות שביל הביקורת הוא זה שעושה הבדל בפני בית משפט, בעיקר כאשר חתימה פשוטה או מתקדמת (ולא מוסמכת) שימשה.

אוטומציה של תזכורות חידוש ושמירה בארכיון

שיטה יעילה של שמירה בארכיון היא קודם כל שיטה מיטומטית. הנוהלים הטובים ביותר כוללים:

• התראות אוטומטיות לפני פקיעה של תעודות או חתימות זמן.
• זרימת עבודה של חידוש חתימת זמן (timestamp renewal) לפני שהם אלגוריתמים קריפטוגרפיים הם לא יעילים.
• בדיקות תקופתיות של רשימת המסמכים המאוחסנים בארכיון, עם אימות שלמות אקראי.
• לוח מחוונים של ציות המאפשר זיהוי מסמכים שאת משך השמירה שלהם הם מתקרבים לסיום משפטי.

אוטומציות אלה זמינות כברירת מחדל בפלטפורמות חתימה אלקטרונית של דור חדש, כמו Certyneo לחברות.

מסגרת משפטית החלה על אבטחה וארכיון של מסמכים חתומים

שמירה מאובטחת של מסמכים חתומים אלקטרונית נכללת במסגרת רגולטורית צפופה, ששליטה בה חיונית לכל ארגון המעוניין להתנגד למסמכים אלו לצדדים שלישיים או להציגם בבית משפט.

התקנון eIDAS מס' 910/2014 והתפתחויותיו

התקנון האירופי eIDAS (אימות זהות אלקטרוני, אימות ושירותי אמון), החל מ-1 ביולי 2016 ובתהליך תיקון דרך eIDAS 2.0, קובע את מסגרת האמון לשירותי חתימה אלקטרונית באירופה. זה מייחד שלוש רמות של חתימה (פשוטה, מתקדמת, מוסמכת) ומטיל על ספקי שירותי אמון מוסמכים (QTSP) דרישות קשות של אבטחה, ביקורת והמשךיות שירות. סעיף 25 מכיר בהנחה של אי-הכחשה לחתימה מוסמכת. סעיף 42 מוסדר את שירותי חתימת זמן מוסמכת.

קוד אזרחי צרפתי: סעיפים 1366 ו-1367

סעיף 1366 של קוד אזרחי קובע כי "כתב אלקטרוני יש את אותו כח ההוכחה כמו כתיבה על תמיכה נייר, בכפוף לכך שניתן לזהות כראוי את האדם ממנו הוא מקורו וכי הוא מבוסס ושמור בתנאים של אופי כדי להבטיח את השלמות שלו". סעיף 1367 משקיף את תנאי התוקף של חתימה אלקטרונית. אחריות השמירה בתנאים המובטחים לשלמות הנוטלת על הארגון המחזיק במסמך.

RGPD מס' 2016/679: הגנה על נתונים אישיים בארכיונים

מסמכים חתומים אלקטרונית מכילים באופן שיטתי נתונים אישיים (זהות החותם, כתובת דוא"ל, כתובת IP, לעתים נתונים ביומטריים התנהגותיים). ה-RGPD כופה בסיס משפטי לכל טיפול, הגבלה של משך השמירה לצורך בלבד, והטמעת אמצעים טכניים וארגוניים מתאימים (סעיף 32). במקרה של הפרת נתונים המשפיעה על ארכיונים של מסמכים חתומים, סעיף 33 כופה הודעה ל-CNIL תוך 72 שעות.

Directive NIS2 (2022/2555/UE)

מועברת לחוק צרפתי על ידי צו ב-2024, הנושא NIS2 כופה על ישויות חיוניות וחשובות חובות מחוזקות של אבטחה קיברנטית, כולל אבטחת מערכות מידע העוסקות בנתונים רגישים. פלטפורמות של שמירה בארכיון של מסמכים חתומים של ארגונים מעורבים נכנסות לטווח היישום.

תקנים ETSI ו-NF Z42-013

התקנים ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ו-ETSI EN 319 142 (PAdES) מגדירים פורמטי חתימה אלקטרונית מתקדמת ומוסמכת בהתאם eIDAS. התקן NF Z42-013 / ISO 14641 מהווה את ההתייחסות הצרפתית לתכנון והפעלה של מערכת שמירה בארכיון אלקטרונית עם ערך מוכח. ציות שלו מומלץ בחוזקה על ידי ANSSI וממונה הגנה חזקה במקרה של ערעור שיפוטי.

עונשים וסיכונים במקרה של חוסר ציות

הסיכונים הם מרובים: אי-קבילות של המסמך בבית משפט, עונשי CNIL (עד 20 מיליון יורו או 4% מה-CA עולמי להפרות RGPD גדולות), מעורבות אחריות חוזית או delict של הארגון, והפסד של הבטחות שנים על ידי ספק החתימה אם אלחובות השמירה לא נשמרו.

תרחישי שימוש: כיצד ארגונים מאובטחים את המסמכים החתומים שלהם

תרחיש 1 — משרד עורכי דין המנהל אלפי מעשים שנתיים

משרד עורכי דין עסקיים בעל 25 שותפים עושה בממוצע 3,000 מעשים וחוזים חתומים אלקטרונית בשנה (פרוטוקולים של פשרה, הנדסות, מעשי הקצאה). מתוך הצורך לייצר מסמכים בעלי 7 שנים במהלך בדיקה פיסקלית של לקוח, המשרד גילה כי חתימות מרובות אינן עוד ניתנות לאימות: התעודות פקעו וללא חתימת זמן ארכיון (רמה PAdES-LTA) נוצרו.

לאחר שילוב של פתרון חתימה עם ארכיון מקורי ב-SAE בהתאם NF Z42-013, המשרד נהנה מאימות מובטח על 30 שנים. זמן החיפוש וההפקה של מסמך במהלך סכסוך יורד מ-4 שעות לפחות מ-15 דקות. השותפים מעריכים הפחתה של 60% בסיכון משפטי הקשור לשמירה דוקומנטרית. כדי ללמוד על צרכים ספציפיים של משרדי משפטיים, עיין בעמוד ייעודי שלנו ל-חתימה אלקטרונית לבחירות משפטיים.

תרחיש 2 — חברה קטנה בתעשיית ניהול חוזים ספקים ולקוחות

חברת תעשייה קטנה בעלת 180 עובדים מייצרת בערך 400 חוזים ספקים ו-250 חוזים לקוחות חתומים אלקטרונית בשנה. מסמכיו עד כאן הוחסנו בתיקייה משותפת שלא הוצפנה בשרת פנימי, ללא שביל ביקורת, ללא בקרת גישה דקיקה.

בעקבות תקרית סייבר (ransomware) שהצפינה חלק מהשרת, כמה חוזים בתחזוקה היו צריכים להיות re-signed, יצרו עיכובים וליקויים המוערכים ב-40,000 €. לאחר הגירה לפלטפורמה SaaS של חתימה עם כספת דיגיטלית משולבת, אירוח כריעה בצרפת וגיבויים גיאו-עדונים, החברה מעבירה סיכון זה. היא נהנית גם מהתראות אוטומטיות על תאריכי סיום חוזיות. כדי להעריך את ההחזר על השקעה של גישה כזו, השתמש ב-מחשבון ROI חתימה אלקטרונית.

תרחיש 3 — קבוצת בית חולים המנהל הסכמות חולים וחוזים HR

קבוצת בית חולים בעלת בערך 1,200 מיטות חייבת לשמור הסכמות בהירות של חולים חתומות אלקטרונית למשך 20 שנים מינימום (סעיף R1112-7 של קוד בריאות הציבור), כמו גם חוזי עבודה של 2,500 סוכניו שלה. הריבוי של מסמכים ומספר התאריכים של שמירה שונה הפכה את הניהול ידני בלתי אפשרי ומסוכן.

בהטמעת פתרון חתימה אלקטרונית עם מודול ארכיון פרמטרי לפי קטגוריה דוקומנטרית, השירות המשפטי של הקבוצה מטימזציה של כללי שמירה: 20 שנים לעמות הסכמות, 5 שנים לאחר סיום לחוזי HR, 10 שנים לשווקים ציבוריים. ביקורות פנימיות של ציות RGPD חושפות שיעור ציות דוקומנטרי עולה מ-67% ל-96% בפחות מנתון אחד. לפרטים של המגזר, המדריך שלנו על חתימה אלקטרונית בבריאות מפרט את הצוקי הרגולטוריים החלים.

סיכום

אבטחת ושמירה של המסמכים החתומים אלקטרונית