Zaštitite svoje potpisane dokumente šifrovanjem TLS

Zašto je šifrovanje TLS neophodno za vaše elektronički potpisane dokumente

Godine 2026, osiguranje elektronički potpisanih dokumenata više nije opcija: to je pravna i strateška obaveza za svako poduzeće koje posluje u europskom digitalnom prostoru. Šifrovanje TLS (Transport Layer Security) predstavlja temeljni dio ove zaštite, osiguravajući da podaci preneseni između klijenta i servera ostaju povjerljivi, cjeloviti i autentificirani. Prema ANSSI-ju, više od 74% dokumentiranih kibernetičkih napada u Europi ciljaju nešifrirane ili nedovoljno osigurane tokove podataka. U tom kontekstu, razumijevanje kako zaštititi svoje dokumente potpisane šifrovanjem TLS, HTTPS-om i u okviru uredbe eIDAS postalo je obvezno za IT direktore, pravnike i odgovorne za usklađenost franvuskih i europskih poduzeća.

Ovaj članak istražuje tehničke mehanizme TLS-a, njegovu povezanost s kvalificiranom elektroničkom potpisom, regulatorne zahtjeve namijenjene SaaS platformama, te najbolje prakse koje treba primjenjivati odmah kako bi se zaštitili vaši dokumentarni resursi.

---

Razumijevanje šifrovanja TLS i njegova uloga u elektroničkoj potpisanoj

TLS 1.3: trenutni standard zaštite komunikacije

Protokol TLS (Transport Layer Security) je poboljšana verzija SSL-a (Secure Sockets Layer), sada zastarjelog. Verzija TLS 1.3, objavljena 2018. godine od strane IETF-a (RFC 8446), je danas referenca za svaku sigurnu razmjenu podataka. Uklanja nekoliko kritičnih ranjivosti svojih prethodnika, posebno BEAST, POODLE i DROWN napade, istovremeno smanjujući latenciju konekcije zahvaljujući handshake-u u jednom povratnom kodu.

Konkretno, TLS 1.3 jamči:

• Povjerljivost: preneseni podaci šifrirani su end-to-end, čineći njihov presretanje neupotrebljivim.
• Cjelovitost: svaka poruka promijenjena tijekom prijenosa detektira se odmah.
• Autentifikacija: server (i opciono klijent) autentificiran je X.509 certifikatom.

Za elektroničku potpisanu platformu usklađenu s eIDAS-om, isključiva upotreba TLS 1.3 — ili najmanje TLS 1.2 s kriptografskim skupovima odobrenim od ANSSI-ja — je osnovna zahtjev. Korištenje TLS 1.0 ili 1.1 formalno je zabranjeno preporukama ENISE-a od 2022. godine.

HTTPS: vidljivi sloj TLS šifrovanja

HTTPS nije ništa drugo nego HTTP proslijeđen preko TLS konekcije. Za korisnike, vidljivi lokot u adresi preglednika znači da je kanal komunikacije šifriran. Za poduzeća, to znači da dokumenti preuzeti, potpisani ili dijeljeni prolaze sigurno između preglednika korisnika i poslužitelja platforme.

Međutim, HTTPS ne jamči sigurnost dokumenta u mirovanju (tj. nakon što se pohrani na server). Zato TLS šifrovanje mora biti dopunjeno šifrovanjem podataka u mirovanju (npr. AES-256) i mehanizmima čvrste kontrole pristupa. U okviru kompletan vodič za elektroničku potpisanu, ta komplementarna sigurnosna sloja razmatraju se kao koherentan skup.

TLS certifikati i lanac povjerenja

TLS certifikat izdaje Urad za certifikaciju (CA) koji je priznat. Sadrži javni ključ servera, identitet organizacije i digitalno je potpisana od strane CA-a. Lanac povjerenja — od root certifikata do međuprocesa — osigurava da korisnik komunicira s entitetom za koji misli da komunicira.

Za pružatelje usluga povjerenja (PSCo) prema uredbi eIDAS, TLS certifikati korišteni moraju biti u skladu s profilima definiranim normama ETSI EN 319 411, posebno za certifikate korištene u potpisanoj i autentifikaciji.

---

TLS šifrovanje i usklađenost eIDAS-om: što kažu propisi

Razine potpisane eIDAS-a i njihovi sigurnosni zahtjevi

Uredba eIDAS br. 910/2014, pojačana s eIDAS 2.0 koji je u fazi primjene, razlikuje tri razine elektroničke potpisane: jednostavna, napredna i kvalificirana. Svaka razina podrazumijeva rastuće sigurnosne zahtjeve:

• Jednostavna potpisana: nikakav tehnički standard nije nametnut, ali se TLS šifrovanje snažno preporučuje za transport.
• Napredna potpisana: platforma mora osigurati cjelovitost dokumenta i jedinstvenu vezu između potpisane i potpisnika. TLS 1.3 je ovdje gotovo neophodno za tokove prijenosa.
• Kvalificirana potpisana: pružatelj mora biti kvalificirani PSCo upisani na listi povjerenja (Trust List) svoje države članice. Kriptografski zahtjevi definirani su normama ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES). Šifrovanje kanala komunikacije mora biti u skladu s preporukama ANSSI-ja ili ENISE-a.

Za poduzeća koja trebaju usporediti rješenja elektroničke potpisane, sigurnosna razina razmjene TLS-a je kriterij odabira koji je često potcijen.

Doprinos eIDAS 2.0 sigurnosti komunikacije

Uredba eIDAS 2.0, čije stupanje na snagu postupno teče do 2026.-2027. godine, uvodi europski digitalni novčanik za identitet (EUDIW) i ojačava zahtjeve na pružatelje usluga povjerenja. Posebno nametne:

• Sigurnosne revizije u skladu s normama EN ISO/IEC 27001 i specifičnim zahtjevima ENISE-a.
• Povećanu transparentnost u kriptografskim mehanizmima korištenim.
• Objavljivanje sigurnosnih politika koje mogu provjeravati nacionalne regulatorne vlasti.

Ova napredovanja znače da poduzeća koja koriste platforme za potpisanu moraju osigurati da njihov pružatelj održava ažuranu i revidianu infrastrukturu TLS-a. To je upravo ono što Certyneo jamči u svojoj infrastrukturi, s redovitim sigurnosnim revizijama i usklađenošću s referencijalima ANSSI-ja.

---

Najbolje prakse za zaštitu vaših dokumenata potpisanih u poduzeću

Revizija vaše trenutne TLS infrastrukture

Prije primjene ili migracije prema rješenju sigurne elektroničke potpisane, TLS revizija je neophodna. Alati poput SSL Labs (Qualys) ili testssl.sh omogućuju procjenu TLS konfiguracije vaše trenutne platforme i identificiranje ranjivosti: zastarjeli kriptografski skupovi, ekspirirani certifikati, loša upravljanja HSTS-om (HTTP Strict Transport Security), nedostatak Certificate Transparency (CT logs).

Ključne kontrolne točke su:

• Isključiva upotreba TLS 1.2 ili 1.3 (onemogućavanje SSLv3, TLS 1.0 i 1.1).
• Preporučeni kriptografski skupovi: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS aktiviran s minimalnom trajanjem od 6 mjeseci i opcijom `includeSubDomains`.
• OCSP Stapling aktiviran za brzu revokaciju certifikata.
• Perfect Forward Secrecy (PFS) aktiviran za ograničavanje utjecaja kompromisa ključa.

Šifrovanje u mirovanju i tijekom prijenosa: komplementarni pristup

TLS šifrovanje štiti podatke tijekom prijenosa. Ali kompletan dokumenataran sigurnosni pristup mora pokrivati i podatke u mirovanju. Za potpisane dokumente, to podrazumijeva:

• AES-256 šifrovanje datoteka pohranjena u bazi podataka ili sustavima datoteka.
• Upravljanja ključevima šifrovanja putem HSM-a (Hardware Security Module) ili KMS-a (Key Management Service) certificirani FIPS 140-2.
• Razdvajanje okruženja: produkcijski podaci nikada ne smiju koegzistirati s okruženjima razvoja ili testiranja.
• Osigurana evidentacija: svaki pristup dokumentu mora biti evidentiran na nepromijenljiv način, u skladu s preporukama GDPR-a.

Za poduzeća koja upravljaju visokim volumenom dokumenata, Certyneo-ov ROI kalkulator omogućuje procjenu financijskog utjecaja ojačane sigurnosti u odnosu na troškove curenja podataka.

Obuka i upravljanje dokumentima

Tehnologija sama nije dovoljna. Učinkovita politika sigurnosti dokumenata temelji se na tri stupa:

1. Obuka suradnika: osvijetljenje o rizicima od phishinga, neosigurane dijeljenja dokumenata, i dobrih praksi upravljanja pristupima.
2. Upravljanja pristupima: princip najmanje privilegije, višefaktorska autentifikacija (MFA) za pristup platformama potpisane, redovita provjera prava pristupa.
3. Upravljanja incidentima: definiranje plana odgovora na incidente koji uključuju potpisane dokumente koji su kompromitirani, u skladu s obavezama obavijesti prema GDPR-u (72 sata) i NIS2.

HR i pravne timove, koji se bave najosjetljivijim dokumentima, su prvi dotaknut. Specijalizirana rješenja kao što je elektronička potpisana za HR ili za odvjetničke kancelarije izvorski integriraju ta sloja zaštite.

---

Direktiva NIS2 i sigurnost SaaS platformi za potpisanu

Što NIS2 nametne korisničkim poduzećima

Direktiva NIS2 (Network and Information Security 2), transponirana u francusko pravo Zakonom od 26. srpnja 2023. i primjenjiva od listopada 2024., značajno proširuje opseg subjekata podložnih obavezama kibernetičke sigurnosti. Sada srednje velike tvrtke u kritičnim sektorima (zdravstvo, financije, energetika, administracija) moraju osigurati da njihovi SaaS pružatelji poštuju visoke sigurnosne standarde.

Konkretno, NIS2 nametne:

• Procjenu sigurnosti digitalnog lanca opskrbe, uključujući SaaS platforme za potpisanu.
• Ugovornu zahtjevnost sigurnosnih jamstava od pružatelja (sigurnosni SLA, ISO 27001 certifikacije, revizijski izvještaji).
• Obavijest ANSSI-ja u slučaju značajnog incidenta koji utječe na kritične digitalne usluge.

Odabir pružatelja elektroničke potpisane usklađenog s NIS2-om

Za poduzeća podložna NIS2-u, odabir platforme za potpisanu više se ne može ograničiti na poslovne funkcionalnosti. Sigurnosni kriteriji moraju uključivati: verziju TLS-a koju podržava, politiku upravljanja ključevima, lokaciju podataka (idealno u Europskoj uniji), i sposobnost pružanja revizijskih izvještaja na zahtjev.

Certyneo pohranjuje sve podatke svojih klijenata u datacentre certificirane ISO 27001 smještene u Francuskoj, s TLS 1.3 šifrovanjem na svim razmjenama i AES-256 za podatke u mirovanju. Za poduzeća koja razmišljaju o migraciji s DocuSign-a ili YouSign-a, usklađenost NIS2-a često predstavlja jedan od primarnih pokretača procesa promjene.

Pravni okvir primjenjiv na zaštitu elektronički potpisanih dokumenata

Osiguranje elektronički potpisanih dokumenata uključuje se u skup normativnih tekstova čije je razumijevanje neophodno za svako poduzeće koje želi biti usklađeno godine 2026.

Francuski građanski zakoniك članci 1366 i 1367

Članak 1366 Francuskog građanskog zakona postavlja opći princip ekvivalencije između elektroničkog pisma i papirnate pisane reči, pod uvjetom da osoba čijoj emaciji dolazi bude odgovarajuće identificirana i da dokument bude uspostavljen i čuvan u uvjetima koja jamče njegovu cjelovitost. Članak 1367 definira elektroničku potpisanu kao upotrebu pouzdane procedure identifikacije koja jamči njenu vezu s činom kojem se pridružuje. TLS šifrovanje izravno pridonosi toj garanciji cjelovitosti tijekom prijenosa.

Uredba eIDAS br. 910/2014 i eIDAS 2.0

Uredba eIDAS br. 910/2014 Europskog parlamenta predstavlja regulatornu osnovu za elektroničku potpisanu u Europi. Definira tri razine potpisane (jednostavna, napredna, kvalificirana) i zahtjeve primjenjive na pružatelje kvalificiranih usluga povjerenja (PSCo). Prilozi I do IV uredbe detaljiziraju tehničke zahtjeve za kvalificirane certifikate. Norme ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) preciziraju dozvoljene formate potpisane. eIDAS 2.0, koji je u primjeni, ojačava te zahtjeve uvođenjem europskog digitalnog novčanika za identitet (EUDIW) i povećanih obaveza u kibernetičkoj sigurnosti za PSCo-je.

GDPR br. 2016/679

Opća uredba o zaštiti podataka nametće poduzećima da primjene odgovarajuće tehničke i organizacijske mjere za osiguranje sigurnosti osobnih podataka (članak 32). Dokumenati potpisani koji sadrže osobne podatke moraju biti šifrirani tijekom prijenosa (putem TLS-a) i u mirovanju (putem AES-256 ili ekvivalenta). U slučaju povrede podataka, obavijest CNIL-u i osobama u pitanju mora doći u roku od 72 sata (članak 33). CNIL smatra šifrovanje kao osnovnu mjeru koju očekuje od svakog odgovornog za obradu.

Direktiva NIS2 (2022/2555/EU)

Transponirana u Francusku od listopada 2024., direktiva NIS2 nametće bitnim i važnim entitetima ojačane obaveze kibernetičke sigurnosti. Eksplicitno pokriva sigurnost kanala komunikacije (uključujući TLS), upravljanja incidentima, i sigurnost lanca digitalne opskrbe. SaaS pružatelji elektroničke potpisane mogućno će biti kvalificirani kao kritični dobavljači za svoje klijente podložne NIS2-u.

ANSSI referecijalni i ETSI norme

ANSSI objavljuje preporuke vezane uz kriptografske parametre (ANSSI-PB-078 vodič) koji preciziraju dopuštene algoritme i duljine ključeva. Za TLS, ANSSI preporučuje TLS 1.3 u prioritetu, TLS 1.2 s strogo definiranim kriptografskim skupovima, i formalno zabranjuje SSLv3, TLS 1.0 i TLS 1.1. Te preporuke de facto se nameću osjetljivim informacijskim sustavima i integriraju se u kriterije procjene kvalificiranih pružatelja eIDAS-a.

Scenariji korištenja: TLS zaštita u stvarnom kontekstu

Scenarij 1: Odvjetničke kancelarije koje upravljaju činovima pod privatnom potpisom dematerijaliziranog

Odvjetničke kancelarije koje grupiraju petnaestak suradnika obrađuju svaki mjesec nekoliko stotina mandatea, protokola dogovora i konvencija o konvencionalnim prekidima. Prije migracije na rješenje potpisane usklađeno s eIDAS-om s TLS 1.3, dokumenti su razmjenjivani nešifriranom poštom, izlažući kancelariju rizicima od kompromisa i osporavanja autentičnosti činova.

Nakon primjene SaaS platforme integrirajuće TLS 1.3 i AES-256 šifrovanje u mirovanju, spojene s MFA autentifikacijom za potpisnike, kancelarija je smanjila vrijeme obrade činova za 68% (od prosječno 4,2 dana na 1,3 dan) i eliminirala incidente vezane uz neosiguranu transmisiju dokumenata. Praćenost svake faze procesa postaje sada dokazana prihvatljiva u slučaju spora.

Scenarij 2: Mala industrijska tvrtka koja upravlja svojim dobavljačkim ugovorima

Mala tvrtka u manufakturnom sektoru koja obrađuje otprilike 300 ugovora s dobavljačima godišnje suočila se s problemom rasute dokumentacije: ručno potpisani ugovori su digitalizirani i pohranjeni na internim serverima bez šifrovanja, dostupni cijeloj internoj mreži. Sigurnosni pregled proveden u pripremi za ISO 27001 certifikaciju otkrio je da 40% ugovornih dokumenata nije bilo šifriranu u mirovanju.

Migracija na SaaS rješenje za elektroničku potpisanu s TLS 1.3 šifrovanjem tijekom prijenosa i AES-256 u mirovanju, propraćena politikom kontrole pristupa temeljene na ulogama, omogućila je ispravljanje tih ranjivosti. Procijenjeni dobitak u smanjenju rizika od curenja dokumenata, vrjednovano prema NIST metodama kalkulacije, predstavlja nekoliko desetaka tisuća eura godišnjeg rizika izbježenoga. Vrijeme potpisane dobavljačkih ugovora je smanjeno s 5 dana na manje od 24 sata u prosjeku.

Scenarij 3: Skupina privatnih klinika i usklađenost s GDPR-om/NIS2-om

Grupa privatnih klinika koja grupira otprilike 600 kreveta raspoređenih na nekoliko ustanova trebala je osigurati elektroničku potpisanu ugovora o zapošljavanju, konvencija o staži i obrazaca pristanka pacijenta. Zdravstveni sektor je klasificiran kao bitna entiteta prema NIS2-u, pa su zahtjevi za sigurnost na kanalima prijenosa posebno strogi.

Prihvaćanje elektroničke potpisane rješenja u zdravstvu integrirajuće TLS 1.3, HSM za upravljanje ključevima potpisane, i nepromijenljivu evidentaciju svakog pristupa dokumentu omogućila je grupi da zadovolji zahtjeve NIS2 revizije i GDPR obaveze registra aktivnosti obrade. Trošak usklađivanja amortizan je u roku od manje od 8 mjeseci zahvaljujući eliminaciji papirnate kružne tokove za HR datoteke, što predstavlja procijenjenu uštedu između 15 i 25 eura po obrađenom dokumentu prema industrijskim referentnim vrijednostima koje je objavilo SYNTEC Numérique.

Zaključak

Zaštita vaših elektronički potpisanih dokumenata s TLS šifrovanjem nije više stvar tehnološke pogodnosti: to je pravna obaveza koja proizlazi iz uredbe eIDAS, GDPR-a, direktive NIS2 i preporuka ANSSI-ja. Godine 2026, poduzeća koja zanemaruju sigurnost svojih dokumentarnih tokova izlažu se upravnim sankcijama, riziku od nultosti svojih činova i gubitku povjerenja svojih partnera.

Primjena TLS 1.3, kombinirana s AES-256 šifrovanjem u mirovanju, višefaktorskom autentifikacijom i strogim upravljanjem dokumentima, predstavlja minimalnu osnovu učinkovite dokumentarne sigurnosne strategije.

Certyneo izvorski integrira sve te zaštite u SaaS platformi koja je auditirana i suverena. Preuzmi kontrolu sigurnosti svojih dokumenata već danas — istraži naša ponuda na stranici cijena ili kontaktiraj naše stručnjake za personalizirani pregled.