Elektronikus aláírásokkal ellátott dokumentumok biztosítása: útmutató 2026

Bevezetés

Az elektronikus aláírás az európai B2B-kapcsolatokban használt normává vált. De egy dokumentum aláírása nem elég: még szükséges az elektronikus aláírásokkal ellátott dokumentumok biztosítása, archiválása és megőrzése az érvényes jogi kereten belül. Franciaországban és Európában az eIDAS rendeletből, a GDPR-ból és a Polgári törvénytárból eredő kötelezettségek pontos követelményeket írnak elő az integritás, nyomon követhetőség és megőrzési időtartam vonatkozásában. Ez az útmutató lépésről lépésre bemutatja, hogyan lehet megfelelő archiválási stratégiát megvalósítani az elektronikus aláírásokkal ellátott dokumentumokhoz — és miért elengedhetetlen ez a megközelítés a komolyan vett elektronikus aláírási politika számára.

---

Miért az aláírt dokumentumok biztosítása abszolút prioritás

A rossz megőrzéshez kapcsolódó kockázatok

Az elektronikus aláírásokkal ellátott dokumentum minden bizonyító értékét elveszíti, ha módosul, megsérül vagy hozzáférhetetlen lesz abban a pillanatban, amikor elővezetése szükséges — jogvita, audit vagy adóellenőrzés során. A konkrét kockázatok közé tartoznak:

• Az integritás elvesztése: az aláírás utáni bármilyen módosítás, még ha kisebb is, érvényteleníti az aláírást és így a dokumentum jogi értékét.
• A tanúsítványok lejárata: egy minősített tanúsítvány eltérő élettartammal rendelkezik (általában 1-3 év). Ha a dokumentum nem időbélyegzett vagy nem archiválva az expirálás előtt megfelelően, jövőbeli ellenőrzésképessége veszélybe kerül.
• Technológiai elavulás: a fájlformátumok fejlődnek. Egy 2018-ban SHA-1 algoritmussal aláírt PDF-dokumentum, amely most sebezhetőnek számít, hosszú távon validálási problémákat okozhat.
• GDPR-megsértések: az aláírt dokumentumok gyakran személyes adatokat tartalmaznak (név, vezetéknév, IP-cím, e-mail). Ezek rossz kezelése az CNIL által a globális bevétel 4%-áig terjedő szankciók veszélyét jelenti.

A 2024-ben közzétett KPMG-tanulmány szerint a francia vállalkozások 34%-a nem rendelkezik formalizált elektronikus archiválási politikával, így jelentős jogi kockázatnak van kitéve vitás esetben.

A bizonyító értékesség: központi kérdés

Az elektronikus aláírásokkal ellátott dokumentum bizonyító értékesége három alapvető pillérre épül:

1. Hitelesség: az aláíró az, akinek lenni állít (identitásellenőrzés, minősített tanúsítvány).
2. Integritás: a tartalom az aláírás óta nem módosult (kriptográfiai ujjlenyomat, SHA-256 vagy magasabb hashelés).
3. Nem-megtagadás: az aláíró nem tagadhatja meg az aláírást (minősített időbélyegzés, ellenőrzési nyomvonal).

Ezeket a három pillért időben fenn kell tartani, ami aktív és nem passzív archiválási stratégiát igényel.

---

Műszaki normák az aláírt dokumentumok biztosításához

Hosszú távú aláírási formátumok: PAdES, XAdES, CAdES

Az aláírt dokumentum tartósságának garantálása érdekében az ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) és ETSI EN 319 142 (PAdES) normák az hosszú távú megőrzésre alkalmas aláírási formátumokat definiálnak. A gyakorlatban a leggyakrabban használt formátum B2B alkalmazásban a PAdES (PDF Advanced Electronic Signatures), amely a következő szintekkel rendelkezik:

• PAdES-B: alapszint, rövid időtartamra alkalmas.
• PAdES-T: minősített időbélyegzést ad hozzá az adott pillanatra történő dokumentumlétezés igazolásához.
• PAdES-LT: a tanúsítványok visszavonási adatait integrálja, lehetővé téve az online szolgáltatások nélküli validálást.
• PAdES-LTA: a legrobosztusabb szint, archiválási időbélyegzést ad hozzá, lehetővé téve a periódikus megújításokat. 3 évnél hosszabb megőrzés esetén ajánlott.

A hosszú távú archiváláshoz az PAdES-LTA szint az ajánlott referencia az ANSSI és a minősített bizalmi szolgáltatások nyújtói (QTSP) szerint.

A minősített időbélyegzés: az archiválás sarokkövészentje

A minősített időbélyegzés, amely az eIDAS rendelet 42. cikkében van meghatározva, jogi bizonyítékot jelent egy dokumentum egy pontos időpillanatban történő létezéséhez. Ezt egy minősített Időbélyegzési Hatóság (TSA - Time Stamping Authority) állítja ki, amely az európai bizalmi listán (EU Trust List) szerepel.

Gyakorlatilag az időbélyegzés:

• Kriptográfiailag köti az dokumentum ujjlenyomatát egy igazolt dátumhoz és időhöz.
• Lehetővé teszi annak bizonyítását, hogy az aláírás az aláíráskor érvényes volt, még ha a tanúsítvány azóta lejárt is.
• Elengedhetetlen ahhoz, hogy az év után ugyanaz a dokumentum bíróság előtt elfogadható legyen.

A titkosítás és a hozzáférés-szabályozás

Az aláíráshoz kapcsolódó kriptográfiai szempontok mellett az archiválva tartott dokumentumok fizikai és logikai biztonsítása ugyancsak kritikus:

• Titkosítás nyugalmi állapotban: a dokumentumoknak az üzemeltetési szervereken titkosítottnak kell lenniük (AES-256 minimum).
• Átvitelben titkosítás: TLS 1.3 protokoll minden átvitelhez.
• Szerepalapú hozzáférés-szabályozás (RBAC): csak az erre jogosult személyek férhessenek hozzá az archiválva tartott dokumentumokhoz.
• Hozzáférési naplózás: minden hozzáférés, megtekintés vagy letöltés nyomon követendő (nem módosítható naplók).
• Geo-redundáns biztonsági másolatok: legalább két másolat geográfiailag eltérő helyeken, rendszeres helyreállítási tesztekkel.

---

Jogi archiválási stratégiák: SAE és digitális széf

Az Elektronikus Archiválási Rendszer (SAE)

Az Elektronikus Archiválási Rendszer (SAE) egy az elektronikus dokumentumok hosszú távú megőrzésére dedikált infrastruktúra, amely garantálja azok integritásához és hozzáférhetőségéhez. Franciaországban az alkalmazandó referencia az NF Z42-013 norma (ISO 14641 homologizálva), amely egy bizonyítékértékű SAE tervezésének és üzemeltetésének követelményeit határozza meg.

A megfelelő SAE jellemzői közé tartoznak:

• Egy strukturált osztályozási terv megőrzési szabályokkal dokumentumkategóriánként.
• Az integritási ujjlenyomat, amely az bemenetnél számítva és periodikusan ellenőrizve.
• Az összes művelet nem módosítható naplózása.
• A technológiai migrációs eljárások a formátumok fejlesztéséhez az integritás elvesztése nélkül.
• Biztonságos és ellenőrizhető hozzáférés erős hitelesítéssel.

A minősített szolgáltató által kezelt SAE igénybevétele (például Bizonyítékértékű Elektronikus Archiválás - AEVP) lehetővé teszi a vállalkozások számára, hogy ezt az összetettséget kiszervezik, miközben szilárd szerződéses és szabályozási garanciákat élveznek.

A digitális széf: kiegészítő megoldás

A digitális széf az SAE egyszerűbb változata, végfelhasználó-orientált. Lehetővé teszi, hogy minden aláíró az aláírt dokumentumok másolatát biztonságosan és hozzáférhetően megőrizze. Ez a megközelítés különösen hasznos:

• Munkaszerződések és módosítások (az alkalmazott által hozzáférhető).
• Elektronikusan elfogadott általános értékesítési feltételek.
• Ügyfél-bevezetési dokumentumok (KYC, SEPA megbízások).

Jogi megőrzési időtartamok: amit a törvény előír

A dokumentumok megőrzési időtartama jogi jellegüktől függően változik. Íme a legfontosabb határidők:

| Dokumentum típusa | Minimális jogi megőrzési időtartam | Jogi alap | |---|---|---| | Kereskedelmi szerződések | 5 év | Kereskedelmi Törvény Art. L110-4 | | Adózási dokumentumok | 6 év | Art. L102 B LPF | | Munkaszerződések | 5 év a munkaviszony után | Munkatörvény | | Magánönsegélyzés alatt levő okiratok | 5 év (személyes kereseti jog) | Polgári törvénytár Art. 2224 | | Számviteli dokumentumok | 10 év | Kereskedelmi Törvény Art. L123-22 | | Egészségügyi adatok | Legalább 20 év | Közegészségügyi törvény Art. R1112-7 |

Ezeket az időtartamokat az archiválási politikában kell integrálni és a dokumentumkezelő eszközökben paraméterezni.

---

A biztosítás integrálása az elektronikus aláírási munkafolyamatba

Válasszon aláírási platformot beépített archiválással

A legjobb stratégia olyan elektronikus aláírási megoldás kiválasztása, amely natívan integrálja a biztonságos archiválást, nem pedig két különálló eszköz kezelése. A választás alapvető kritériumai:

• eIDAS-minősítés: a platformnak egy minősített bizalmi szolgáltatások nyújtójára (QTSP) kell alapulnia, amely az EU Trust List-en szerepel.
• GDPR-megfelelőség: az adatok az Európai Unióban való tárolása, DPA (Adatfeldolgozási Megállapodás) elérhetősége, az egyéni jogok gyakorlásának lehetősége.
• Tanúsított archiválási formátumok: PAdES-LTA vagy azzal egyenértékű natív támogatása.
• Teljes ellenőrzési nyomvonal: az aláírási eljárás minden lépése nyomon követendő és exportálható.
• Integrációs API: a platform meglévő dokumentumkezeléshez (GED) vagy ERP-hez való csatlakozásához.

Az elérhető piaci megoldások összehasonlítására lásd az elektronikus aláírási megoldások összehasonlítóját.

Az ellenőrzési nyomvonal: legjobb védelme egy vita esetén

Az ellenőrzési nyomvonal (audit trail) egy kronológikus és nem módosítható napló, amely egy dokumentumhoz kapcsolódó összes műveletet rögzít: küldés, megnyitás, aláírás, megtagadás, emlékeztetők. Ez az aláíráshoz képest kiegészítő bizonyítékot jelent.

Egy bizonyítékértékű ellenőrzési nyomvonalnak tartalmaznia kell:

• Az egyes műveletek minősített időbélyegzéseit.
• Az aláírók IP-címeit és felhasználói ügynökeit.
• Az identitásellenőrzéshez használt azonosítókat.
• A dokumentum metaadatait (ujjlenyomat-hash).

Egy vita esetén, különösen az egyszerű vagy fejlett (nem minősített) aláírás alkalmazásakor, gyakran az ellenőrzési nyomvonal a különbség a bíróság előtt.

Az emlékeztetők és archiválás megújítások automatizálása

Egy hatékony archiválási politika mindenekelőtt egy automatizált politika. A bevált gyakorlatok közé tartoznak:

• Automatikus figyelmeztetések a tanúsítványok vagy időbélyegzések lejárata előtt.
• Az időbélyegzés-megújítási munkafolyamat (timestamp renewal) az előtt, hogy a kriptográfiai algoritmusok elavultak legyenek.
• Az archiválva tartott dokumentumok időszakos felülvizsgálata, az integritás véletlenszerű ellenőrzésével.
• Megfelelőségi irányítópult, amely azonosítja azokat a dokumentumokat, amelyekben a megőrzési időtartam a jogi határidő felé közeledik.

Ezek az automatizációk a következő generációs elektronikus aláírási platformokban natívan elérhetők, mint például Certyneo vállalkozások számára.

Az aláírt dokumentumok biztosításánál és archiválásánál alkalmazandó jogi keret

Az elektronikus aláírásokkal ellátott dokumentumok biztonságos megőrzése egy sűrű szabályozási keretbe kerül, amelynek ismerete elengedhetetlen olyan szervezetek számára, amely ezeket a dokumentumokat harmadik félekkel szemben kívánnak alkalmazni vagy azokat bíróság előtt elővezetni.

Az eIDAS n°910/2014 rendelet és annak fejlődése

Az eIDAS (Electronic IDentification, Authentication and trust Services) európai rendelet, amely 2016. július 1-től alkalmazandó, és az eIDAS 2.0-n keresztül felülvizsgálat alatt áll, az elektronikus aláírási szolgáltatások megbízhatósági keretét estabelece Európában. Három aláírási szintet különböztet meg (egyszerű, fejlett, minősített), és a minősített bizalmi szolgáltatások nyújtóira (QTSP) szigorú biztonsági, audit- és folytonossági követelményeket ír elő. A 25. cikk a nem-megtagadásra vonatkozó feltételezést ismeri el minősített aláírások esetében. A 42. cikk szabályozza a minősített időbélyegzési szolgáltatásokat.

Francia Polgári törvénytár: 1366. és 1367. cikkek

A Polgári törvénytár 1366. cikke kimondja, hogy az "elektronikus irat ugyanolyan bizonyító erővel bír, mint a papír alapú irat, azzal a feltétellel, hogy megfelelően azonosítható legyen a személyazonosság, akitől származik, és hogy olyan körülmények között jött létre és őrzik meg, amelyek az integritás garantálása érdekében szükségesek". Az 1367. cikk az elektronikus aláírás érvényességi feltételeit pontosítja. A dokumentum megőrzésének felelőssége olyan körülmények között, amelyek az integritást garantálják, annak a szervezetnek, amely a dokumentumot birtokolja.

GDPR n°2016/679: személyes adatok védelme az archívumokban

Az elektronikus aláírásokkal ellátott dokumentumok szisztematikusan személyes adatokat tartalmaznak (az aláíró azonosítása, e-mail-cím, IP-cím, néha viselkedési biometrikus adatok). A GDPR az egyes feldolgozásokhoz jogi alapot ír elő, korlátozza az adatok megőrzésének időtartamát a szükségesre, és megfelelő technikai és szervezési intézkedések megvalósítását követeli meg (32. cikk). Az aláírt dokumentumok archiválumaira kiható adatsérülés esetén a 33. cikk 72 órán belüli CNIL-hoz történő bejelentést írja elő.

NIS2 direktíva (2022/2555/UE)

A direktíva 2024-ben a francia jogba történő transzverzióval az alapvető és fontos szervezetekre erősített kiberbiztonsági kötelezettségeket ír elő, beleértve az érzékeny adatokat feldolgozó információs rendszerek biztosítását. Az érintett szervezeteknek az aláírt dokumentumok archiválási platformjai az alkalmazási terület alá esnek.

ETSI normák és NF Z42-013

Az ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) és ETSI EN 319 142 (PAdES) normák az eIDAS-nak megfelelő haladó és minősített elektronikus aláírás formátumait definiálják. Az NF Z42-013 / ISO 14641 norma a bizonyítékértékű elektronikus archiválási rendszer tervezésének és üzemeltetésének francia referenciájánál szolgál. Betartása az ANSSI által erősen ajánlott, és szilárd védelmet jelent a bírósági kifogás esetén.

Szankciók és kockázatok az meg nem felelés esetén

A kockázatok sokrétűek: a dokumentum bíróság előtti be nem fogadhatósága, CNIL szankciók (legfeljebb 20 millió euró vagy a globális forgalom 4%-a a GDPR-megsértések esetén), a szervezet szerződéses vagy deliktális felelőssége, és az aláírás szolgáltatójának garanciáinak elvesztése, ha a megőrzési kötelezettségek nem teljesültek.

Felhasználási eset: hogyan biztosítanak szervezetek aláírt dokumentumokat

Eset 1 — Egy ügyvédi iroda évente több ezer okiratot kezel

Egy 25 közreműködővel rendelkező nagy üzletag iroda évente átlagosan 3 000 elektronikus aláírással ellátott okiratot és szerződést kezel (tranzakciós protokollok, meghatalmazások, átruházási okiratok). Miután egy ügyfél adóellenőrzése során 7 éves dokumentumok elővezetésével szembesül, az iroda azt tapasztalja, hogy több aláírás már nem ellenőrizhető: a tanúsítványok lejártak, és semmilyen archív időbélyegzés (PAdES-LTA szint) nem volt alkalmazva.

Miután natív archiválással rendelkező aláírási megoldást integrált az NF Z42-013 szerint megfelelő SAE-be, az iroda 30 év ellenőrzésképességét élvezi. A dokumentum keresésére és elővezetésére fordított idő egy vita esetén 4 órából kevesebb, mint 15 percre csökken. Az ügyvédek 60%-os csökkenést becsülnek a dokumentumkezeléshez kapcsolódó jogi kockázat tekintetében. A jogi irodák specifikus szükségleteiről további információ az ügyvédi irodák elektronikus aláírásáról szóló oldal.

Eset 2 — Egy KKV ipari szervezet szállító és ügyfélszerződéseket kezel

Egy 180 alkalmazottal rendelkező KKV ipari szervezet évente körülbelül 400 szállítói szerződést és 250 ügyfélszerződést aláír elektronikusan. Eddig a dokumentumok egy nem titkosított, közzétett mappában voltak tárolva, belső szerveren, naplózás nélkül, szemcsés hozzáféréss-szabályozás nélkül.

Egy kiberbiztonsági incidens (ransomware) után, amely a szerver egy részét titkosította, több folyamatban lévő szerződést újra kellett aláírni, amely körülbelül 40 000 € költségeket és késéseket okozott. Az aláírási platformra történő migrálás után, beépített digitális széffal, Franciaország szuverén üzemeltetésével és geo-redundáns biztonsági másolatokkal a KKV ezt a kockázatot kiküszöböli. Emellett automatikus figyelmeztetéseket is kap a szerződéses időpontokról. Az ilyen megközelítés beruházási megtérülésének becsléséhez használja az elektronikus aláírás ROI-kalkulátor.

Eset 3 — Egy kórházi csoportcsoport betegbeleegyezéseket és munkaerő-szerződéseket kezel

Egy körülbelül 1 200 ágyas kórházi csoport a betegek által elektronikusan aláírt tájékoztatott beleegyezéseket legalább 20 évig (a közegészségügyi törvény R1112-7 cikke) kell megőriznie, valamint az 2 500 ügynökének munkaszerződéseit. A dokumentumok sokasága és az eltérő megőrzési időtartamok a manuális kezelést lehetetlen és kockázatos tették.

Az elektronikus aláírási megoldás telepítésével, paraméterezhetősége archiválási modulál dokumentumkategóriánként, a csoport jogi szolgálata automatizálja a visszatartási szabályokat: 20 év a beleegyezésekhez, 5 év post-ruptura a munkaerő-szerződésekhez, 10 év a nyilvános beszerzésekhez. A belső GDPR-megfelelőségi audit a dokumentumok megfelelőségi aránya 67%-ról 96%-ra nő egy év alatt. Az iparág specifikus vonásairól az elektronikus aláírás az egészségügyben szóló útmutató részletezi az alkalmazandó szabályozási korlátozásokat.

Következtetés

Az elektronikus aláírásokkal ellátott dokumentumok biztosítása és megőrzése nem egy járulékos technikai opció: ez egy jogi kötelezettség és stratégiai parancs minden olyan szervezet számára, amely az elektronikus aláírásra támaszkodik az üzleti folyamataiban. Az eIDAS-megfelelőség, a GDPR-követelmények, az ETSI normák és az Kereskedelmi törvény által előírt megőrzési időtartamok között a komplexitás valós — de teljesen irányítható a megfelelő eszközökkel.

Az eredményes archiválási stratégia kulcsai világosak: hosszú távú aláírási formátumok (PAdES-LTA), szisztematikus minősített időbélyegzés, biztonságos és szuverén üzemeltetés, automatizált megőrzési szabályok és teljes ellenőrzési nyomvonal.

A Certyneo natívan integrál mindezeket a B2B-csapatok számára tervezett SaaS platformba. Fedezze fel, hogyan lehet tartósan megvédeni az aláírt dokumentumokat a Certyneo ingyenes kipróbálásával vagy az árképzés felfedezésével.