Ugrás a fő tartalomra
Certyneo

ISO tanúsítás az elektronikus aláíráshoz: 2026-os útmutató

ISO 27001, eIDAS, ETSI… az elektronikus aláírás-szolgáltatók tanúsításai nélkülözhetetlen kiválasztási kritériumokká váltak. Ismerje meg, hogyan lehet ezeket hatékonyan összehasonlítani.

Équipe éditoriale Certyneo12 perces olvasmány

Équipe éditoriale Certyneo

Szerző — Certyneo · A Certyneoról

Az elektronikus aláírás a francia és európai vállalatok dokumentumkezelésének standardjává vált. De a validációs kattintás látszólagos egyszerűsége mögött egy nagy összetettségű műszaki és szabályozási ökoszisztéma rejtőzik. 2026-ban a kérdés már nem az, hogy „fel kell-e használni az elektronikus aláírást?", hanem hogy „melyik szolgáltató nyújt megfelelő biztonsági és megfelelőségi garanciákat az én üzleti kontextusomban?". Az ISO tanúsítások — különösen az ISO 27001 — az erre a kérdésre adható legmegbízhatóbb válaszok közé tartoznak. Ez a cikk végigvezeti Önt az elektronikus aláírás-szolgáltatókra alkalmazható fő tanúsításokon, azok valódi hatókörén és az objektív összehasonlításhoz szükséges kritériumokon.

Miért döntőek az ISO tanúsítások az elektronikus aláíráshoz

Az elektronikus aláírás nem csupán egy alkalmazási funkció. Az aláíró vállalat jogi felelősségét, a feldolgozott adatok bizalmasságát és az archivált dokumentumok hosszú távú integritását érinti. Ezért egy szolgáltató által szerzett tanúsítások nem csupán marketing címkék: egy független harmadik fél által auditált biztonsági szint érésének tanúsítványai.

ISO 27001: az információbiztonság feloldhatatlan alapja

Az ISO/IEC 27001 az információbiztonság-menedzsment rendszerek (ISMS) nemzetközi referencianormája. Az adatok bizalmasságát, integritását és rendelkezésre állását öleli fel. Az elektronikus aláírás-szolgáltató számára ez a tanúsítás azt jelenti, hogy az összes folyamata — az aláíró fiók létrehozásától az aláírt dokumentum archiválásáig — dokumentált ellenőrzéseknek van alávetve, amelyeket egy akkreditált szervezet (pl. LSTI, Bureau Veritas, BSI stb.) rendszeresen auditál.

Gyakorlatban az ISO 27001 a szolgáltatóra kényszerít:

  • Az információs eszközök és azok társított kockázatainak teljes körű leltárát
  • Szigorú hozzáférés-vezérlési szabályzatokat (erős hitelesítés, jogosultságkezelés)
  • Incidenskezelési és üzletmenet-folytonossági eljárásokat
  • Rendszeres belső auditokat és éves vezetői felülvizsgálatot
  • A sebezhetőségek folyamatos megfigyelését

A 2022 óta érvényes verzió (ISO/IEC 27001:2022) 93 biztonsági intézkedést tartalmaz, négy témakörbe csoportosítva: szervezeti, emberi, fizikai és technológiai. Az erre a verzióra tanúsított szolgáltató korszerű biztonsági álláspontot mutat a kortárs fenyegetésekkel szemben, különösen a ransomware-támadások és az ellátási lánc kompromisszumainak tekintetében.

ISO 27017 és ISO 27018: a nélkülözhetetlen felhő-kiterjesztések

A szinte valamennyi SaaS elektronikus aláírás-megoldás felhőinfrastruktúrán alapul. Ebben a kontextusban az ISO 27000 családból származó két kiterjesztés érdemel figyelmet:

ISO/IEC 27017 a felhőszolgáltatásokra vonatkozó konkrét irányelveket nyújt, amely jellemzően a szolgáltató és alvállalkozóinak közötti megosztott felelősséget is öleli fel (üzemeltetők, harmadik féltől származó megbízottak). A B2B vásárlók számára e tanúsítás meglétének ellenőrzése vagy annak betartása lehetővé teszi annak megerősítését, hogy a felhőben tárolt adatok ugyanazoknak az on-premise környezetekéhez hasonló biztonsági követelményeknek vannak alávetve.

ISO/IEC 27018 kifejezetten az adatok személyes adatainak felhőben való védelméről szól. Kiegészíti a GDPR-t az operatív gyakorlatok meghatározásával: a személyes adatok reklámozási célú felhasználásának tilalma kifejezett hozzájárulás nélkül, az alvállalkozókra vonatkozó átláthatóság, az adathordozhatóság joga. Az adatvédelmi tisztviselőknek és a megfelelőségi vezetőknek e tanúsítás az aláírók adatainak kezelésében nyújtott komolyság további ígérete.

E standardok jogvédelmi értékének az európai joggal való kapcsolatáról részletesebb információért lásd az elektronikus aláírás jogvédelmi értékéről szóló útmutatónkat.

Az eIDAS tanúsítás és az ETSI normák: mit jelent az „minősített" státusz

Az ISO normák mellett az európai szabályozási keretrendszer a megbízható szolgáltatások nyújtóinál (TSP) saját megfelelőségi követelményeket ír elő. Az eIDAS 910/2014 rendelet, amelynek eIDAS 2.0 revíziója jelenleg átültetés alatt áll, az elektronikus aláírásnak három szintjét különbözteti meg: egyszerű, fejlett és minősített.

A minősített megbízható szolgáltatások nyújtójának (QSTP) státusza

Ahhoz, hogy minősített elektronikus aláírásokat — az egyetlen szint, amely jogilag egyenértékű az EU összes tagállamában a kézírásos aláírással — egy szolgáltató nyújtson, annak nemzetközi megbízható listáján kell szerepelnie (Franciaországban az ANSSI által kezelt lista). Ez a minősítés egy akkreditált megfelelőség-értékelési szervezet (CAB) által végzett kezdeti auditáláson, majd rendszeres felügyeleti auditáláson alapul.

Az alapul fekvő műszaki normák elsősorban az ETSI (Európai Telekommunikációs Szabványügyi Intézet) által kerülnek közzétételre:

  • ETSI EN 319 401: általános követelmények a TSP-khez
  • ETSI EN 319 411: tanúsítási politika és gyakorlat a hitelesítésszolgáltatók számára
  • ETSI EN 319 132: XAdES profilok fejlett XML aláíráshoz
  • ETSI EN 319 122: CAdES profilok fejlett CMS aláíráshoz
  • ETSI EN 319 162: regisztrált elektronikus kézbesítési szolgáltatás

Az ezek szerint tanúsított szolgáltató biztosítja aláírásainak műszaki interoperabilitását az európai terület összes elismert megoldásával, amely kulcsfontosságú a több országban működő vállalatok számára. Az eIDAS rendeletről szóló teljes útmutatónk részletezi az egyes minősítési szintekhez kapcsolódó kötelezettségeket.

SOC 2 2. típus: az észak-amerikai kiegészítés, amelyre figyelni kell

Bár kevésbé elterjedt az európai térségben, az AICPA szabványok szerint kibocsátott SOC 2 2. típusú jelentést gyakran kérik nagy vállalatok, különösen azok, amelyeknek amerikai leányvállalatai vagy amerikai partneraik vannak. Az ISO 27001 (tanúsítási) eltérően, a SOC 2 egy auditjelentés, amely az AICPA megbízhatósági szolgáltatások kritériumainak (biztonság, rendelkezésre állás, feldolgozás integritása, bizalmasság, adatvédelem) teljesítésérõl tanúsít egy általában hat-tizenkét hónapos megfigyelési időszakban. A teljes körű összehasonlításhoz annak ellenőrzése, hogy a szolgáltató rendelkezik-e a közelmúltbeli SOC 2 2. típusú jelentéssel (kevesebb mint tizenkét hónapja), az operatív érettség erős jelét képezi.

A szolgáltatók tanúsításainak összehasonlítása: módszer és kritériumok

Az elérhető tanúsítások sokfélesége előtt a B2B vásárlóknak strukturált elemzési rácsot kell alkalmazniuk, nem pedig pusztán marketing-állításokra hagyatkozniuk. Az elektronikus aláírás-megoldások összehasonlítása Franciaországban elérhető fő platformokat felsorol; így értékelheti azok tanúsítási szintjét.

A négy szisztematikusan feltevendő kérdés

1. Mi az aláírás tanúsításának pontos dátuma és hatóköre? Egy három évvel ezelőtt szerzett és meg nem újított ISO 27001 tanúsítás nem nyújt ugyanolyan garanciákat, mint egy érvényes tanúsítvány. Szisztematikusan kérje a hivatalos tanúsítványt, és ellenőrizze az auditált terület hatókörét: egyes szolgáltatók csak az irodájukat tanúsíttatják, az adatközpontokat vagy az offshore fejlesztő csapatokat kizárva.

2. Ki végezte az auditálási tanúsítást? A tanúsító szervezetnek magának is akkreditáltnak kell lennie az IAF (Nemzetközi Akkreditációs Fórum) tagja által. Franciaországban a COFRAC (Franciaországi Akkreditációs Bizottság) a kompetens szervezet. Egy nem akkreditált szervezet által kibocsátott tanúsítvány szerződési vagy szabályozási értékkel nem rendelkezik.

3. A szolgáltató közzéteszi-e éves behatolásvizsgálati jelentését? Az ISO 27001 tanúsítás sebezhetőségi értékeléseket ír elő, de nem írja elő a behatolási tesztek standardfomatumát. Az érett szolgáltató közzéteszi harmadik fél által végzett éves pentest-ből készült vezetői összefoglalót. Az ANSSI azt ajánlja, hogy e típusú gyakorlathoz PASSI-ként minősített szolgáltatókat (Információs Rendszerek Biztonsági Auditási Szolgáltató) vegyenek igénybe.

4. Melyek az alvállalkozások és a hozzájuk kapcsolódó tanúsítások? Az elektronikus aláírás-szolgáltató általában egy felhő-üzembentartóra (AWS, Azure, OVHcloud stb.) és néha harmadik féltől származó hitelesítésszolgáltatóra támaszkodik. Ellenőrizze, hogy ezek az alvállalkozók maguk is rendelkeznek-e egyenértékű tanúsításokkal (ISO 27001, HDS az egészségügyi adatokhoz, SecNumCloud az érzékeny adatokhoz). A bizalom lánca csak akkor értékes, ha annak minden láncszemét auditálják.

A HDS referenciakeret speciális esete az egészségügyi adatok tekintetében

Az egészségügyi intézmények, idősotthonok, biztosítók vagy személyi adatokat kezelő biztosítók számára a HDS tanúsítás (Egészségügyi Adatok Üzemeltetője) az ISO követelmények mellé kerül. 2018. január 26-i rendelet óta az egészségügyi személyes adatokat kezelő bármely üzemeltetőt egy akkreditált szervezet által tanúsított HDS-nek kell lennie. Az olyan kontextusban használt elektronikus aláírás-szolgáltató, mint a kezelésbe való beleegyezés, elektronikusan felírt receptek, kórházi zárójelentések — e tanúsítás feltétlenül szükséges. Az elektronikus aláírás az egészségügyi szektorban szóló ismertető feltárja az irányított kötelezettségeket.

A tanúsítások hatása a szerződéses tárgyalásokra és a kellő gondosságra

Az elektronikus aláírás-szolgáltató által szerzett tanúsítások nem csupán kereskedelmi argumentumok: strukturálják a szerződési viszonyt és a felek közötti felelősségosztást.

Szisztematikusan figyelembe veendő szerződési záradékok

Az elektronikus aláírás-szolgáltatóval kötött szerződés tárgyalásakor számos, közvetlenül a tanúsításokhoz kapcsolódó záradék érdemel figyelmet:

  • Tanúsítás fenntartási záradéka: a szolgáltató vállal, hogy tanúsításait a szerződés teljes időtartama alatt fenntartja, és azonnali értesítésre kötelezi magát bármilyen visszavonás vagy felfüggesztés esetén.
  • Audit záradéka: az ügyfél biztonsági auditot végezhet vagy végeztethet a szolgáltatónál, meghatározott feltételek mellett (előzetes értesítés, hatókör, az eredmények bizalmassága).
  • Alvállalkozás záradéka: az alvállalkozási lánc bármilyen módosítása előzetes értesítés tárgyát képezi, a szerződés felmondásának lehetőségével, ha az új alvállalkozó nem felel meg a megállapított tanúsítási követelményeknek.
  • Rendelkezésre állási SLA: az ISO 27001 tanúsított szolgáltatók tekintetében az 99,9%-os minimum rendelkezésre állási kötelezettség (SLA) havi alapon ésszerű elvárás, pénzügyi szankciókkal az indisponibilitási küszöbök túllépése esetén.

E szerződési szempontok egy tágabb, az elektronikus aláírás vállalati irányításáról szóló útmutató részét képezik, amelyet dedikált útmutatóban részletezünk.

A tanúsítások hozzájárulása egy GDPR vagy NIS2 auditban

Az NIS2 irányelv hatálybalépése óta (amely a 2025. április 15-i francia törvénnyel került átültetésre), az alapvető és fontos entitásoknak bizonyítaniuk kell, hogy kritikus szolgáltatóik — többek között elektronikus aláírás-szolgáltatóik — teljesítik a kibervédelmi minimumkövetelményeket. Az elektronikus aláírás-szolgáltató ISO 27001 tanúsítása dokumentált bizonyító eszközként használható egy NIS2 auditban vagy CNIL-ellenőrzésben. Így igazolható a GDPR 32. cikkének alkalmazása, amely a kockázatnak megfelelő szintű biztonsági technikai és szervezeti intézkedéseket előír.

Azok a vállalatok, amelyek egy kevésbé tanúsított megoldásból egy felső szintű megfelelőségi garanciákat kínáló platformra szeretnének migrálni, az Certyneoba történő migrációs útmutató ismerteti a követendő lépéseket és óvintézkedéseket.

Az elektronikus aláírás-szolgáltatók tanúsításaira alkalmazandó jogi keret

Az elektronikus aláírás jogvédelmi érvényessége az európai és nemzeti normatív szövegek rétegzettségén alapul, amely a szolgáltató tanúsításainak helyes értékeléséhez nélkülözhetetlen.

Polgári Törvénykönyv, 1366-1367. cikkek: Ezek a cikkek képezik a francia elektronikus aláírás jogának alapját. Az 1366. cikk előírja, hogy „az elektronikus írás ugyanolyan bizonyító erővel rendelkezik, mint a papíros írás, feltéve, hogy az abból eredeztetett személy megfelelően azonosítható, és az integritásának biztosítására alkalmas feltételek között jön létre és kezel". Az 1367. cikk tisztázza, hogy „az elektronikus aláírás azonosítja annak szerzőjét", és hogy „ha elektronikus, abból áll egy olyan megbízható eljárás alkalmazása, amely az okirattal való kapcsolatát garantálja". Az ISO 27001 tanúsítások és az eIDAS minősítések közvetlenül hozzájárulnak e megbízhatósági feltételezés megállapításához.

eIDAS 910/2014 rendelet: Ez az európai rendelet közvetlenül alkalmazandó az összes tagállamban, meghatározza az elektronikus aláírás három szintjét (egyszerű, fejlett, minősített), és megbízható szolgáltatások nyújtóira kényszerít az ETSI normák szerinti megfelelőség-auditálást. A 24. cikk meghatározza a minősített szolgáltatókat terhelő követelményeket, különösen a kvalifikált munkaerő alkalmazottságát és megfelelő pénzügyi erőforrások fenntartásának kötelezettségét. Az eIDAS 2.0 revíziója (2024/1183 EU Rendelet, 2024. május 20-án lépett hatályba) élesíti e követelményeket az Európai Digitális Azonosság Tárca (EUDIW) bevezetésével és a minősített megbízható szolgáltatások körének bővítésével.

GDPR 2016/679: A 28. cikk (feldolgozó), 32. cikk (feldolgozás biztonsága) és 35. cikk (hatásvizsgálat) közvetlenül érdekelt, amikor az elektronikus aláírás-szolgáltató személyes adatokat dolgoz fel egy adatkezelő megbízottjaként. A 32. cikk különösen előírja a személyes adatok álnevezését és titkosítását, a rendszerek bizalmassága, integritása és rugalmassága biztosítását. Az ISO 27001 tanúsítás ezen aspektusokat fedezi, és részlegesen teljesíteni tudja ezt a bizonyítási kötelezettséget.

NIS2 irányelv (2022/2555 EU, amely a 2025. április 15-i francia törvénnyel átültettetett): Kötelezteti az alapvető és fontos entitásokat digitális ellátási lánc-kockázatok kezelésére, beleértve elektronikus aláírás-szolgáltatóikat. A NIS2 21. cikke felsorol olyan minimális kibervédelmi intézkedéseket, amelyek számos tekintetben az ISO 27001 követelményeivel fedik egymást.

ETSI normák: Az EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) és EN 319 162 meghatározza a minősített megbízható szolgáltatások technikai követelményeit. Azok betartása akkreditált szervezetek által kerül auditálásra a nemzeti megbízható listákon való felsorolás előtt.

Felelősség a tanúsítás hiánya esetén: Egy nem tanúsított szolgáltató, amely adatvédelmi sérülésben részesül, amely az elektronikus aláírások kompromisszumához vezet, szerződési és deliktuális felelősséget vállal. Az ügyfél számára a tanúsítások előzetes ellenőrzésének elmulasztása megbízhat a kiberfenntartási kockázatkezelésben, amely befolyásolhatja a kiberbiztosítást.

Használati esetek: ISO tanúsítások a gyakorlatban

Az ISO tanúsítások nem elméleti absztrakciók. Íme három konkrét eset, amely az azok hatásának a különféle üzleti kontextusban gyakorlati bemutatása.

Eset 1: Az ügyvédi társaság választ választ az elektronikus aláírás-szolgáltatójára

Egy üzleti ügyvédi társaság 20 körüli munkatárssal évente több száz érzékeny okiratot kezel: részleteket, társulási megállapodásokat, titoktartási megállapodásokat. Az informatikai vezető az aláírása választottjánál az aláíró és a nagykomerciális ügyfeleik által szerződésben kötelezően megkövetelt digitális eszközök ISO 27001 tanúsításáról kell számot adnia.

Az adott szolgáltató ISO 27001:2022 tanúsítása alapján az iroda összeállíthatja megfelelőségi nyilatkozatát az ügyfélközvetítést végzőknek. Az éves megújítási audit a kereskedelmi tárgyalásokra is erős érv, ahol a biztonsági szakterület szisztematikusan értékelt. Az ilyen szervezetekben megfigyelt eredmény: az értékesítési tárgyalásokra fordított biztonsági időszükséglet 60-70%-os csökkenése és a hétéves és félév alatt felmerült nem megfelelő aláírással kapcsolatos két incidens kiküszöbölése.

Eset 2: Egy KKV-vállalat nemzetközi szállítói szerződések kezelésével

Egy KKV-vállalat 150 körüli munkatárssal éves szinten körülbelül 300 szállítói szerződést kezel, amelyből jelentős rész német és holland partnerekkel való, garantálja, hogy elektronikus aláírásai e nemzetekben jogi érvények. Szolgáltatójának eIDAS tanúsítása — amely a francia megbízható listán szerepel, és az ETSI EN 319 132 szabvány szerinti fejlett aláírásokat kínál — biztosítja az európai térségben a jogi interoperabilitást.

Párhuzamosan a szolgáltató ISO 27001 tanúsítása számos nagy kereskedelmi ügyfele beszerzési osztályának követelménye az éves szállítói auditokkor. Az észlelt megtakarítás körülbelül 15 000 és 20 000 eurós szerződési célmeghatározás elkerülése (átállás kézi aláírásra) között mozog, amely 12 hónapon belül több késleltetésből és logisztikai költségből adódik.

Eset 3: Egy kórházcsoport az elektronikus aláírást integrál HR és orvosi folyamataiba

Egy kb. 600 ágyas kórházcsoport szeretné dematerializálni munkaviszony-szerződéseit (szellemi dolgozók, járulékos orvosi személyzet) és digitális egészségügyi kezelési beleegyezéseit. Két tanúsítási család bizonyul szükségesnek: az ISO 27001 a szolgáltató teljes biztonságáért, és a HDS tanúsítás (Egészségügyi Adatok Üzemeltetője) az orvosi adatok kezelésére.

A csoport egy szolgáltatót választ, amely mindkét tanúsítássel rendelkezik, amely lehetővé teszi az összes használati esete egyetlen szerződésben való lefedését, miközben teljesíti a Digitális Egészségügyi Ügynökség (ANS) követelményeit. Az HR-folyamatok által mért produktivitási nyereség (járulékos orvosi szerződések kevesebb mint 2 órán belül aláírva, szemben a papír-alapú 2-3 nappal) az adminisztratív kezelési költségek körülbelül 40%-os megtakarítását jelenti, körülbelül 80 000-120 000 eurós éves értékkel egy év alatt aláírt 1200 szerződés után.

Következtetés

Az ISO 27001, ISO 27017, ISO 27018 tanúsítások és az eIDAS minősítések nem csupán marketing oldalakon megjelenő jelvények: auditált garanciák alapja, amelyeket rendszeresen ellenőriznek, amely a szolgáltató és az ügyfél-vállalat felelősségét kötelezővé teszi. 2026-ban a kiberfenyegetések fokozódó kifinomultsága és az európai szabályozási keret szigorodása (NIS2, eIDAS 2.0) szempontjából az elektronikus aláírás-szolgáltató tanúsított kiválasztása már nem opció, hanem irányítási követelmény.

Az francia piacon elérhető szolgáltatók objektív összehasonlításához támaszkodjon az e cikkben azonosított négy kulcskritériumra: a tanúsítás pontos hatóköre, az auditszervezet akkreditációja, az alvállalkozási lánc átláthatósága és a tanúsítás fenntartásához szükséges szerződési záradékok. A Certyneo megfelel ezen követelmények minden aspektusának, és végigkísér az Ön megfelelőségi szabályozás teljesítésében. Lépjen kapcsolatba csapatunkkal az aktuális helyzetrõl szóló audithoz, és fedezze fel, hogyan térhet át egy teljes körűen tanúsított elektronikus aláírásra.

Próbálja ki ingyen a Certyneót

Küldje el első aláírási borítékát 5 perc alatt. 5 ingyenes boríték havonta, bankkártya nélkül.

Mélyebbre ásva a témában

Átfogó útmutatóink az elektronikus aláírás elsajátításához.

Certyneo közösség

Kérdése van az elektronikus aláírásról?

Csatlakozzon a Certyneo közösséghez: tegyen fel kérdéseket, ossza meg válaszait és cseréljen tapasztalatot több ezer felhasználóval és csapatunkkal.