TMD vs TMK: jogi és gyakorlati eltérések

Bevezetés: miért kell megkülönböztetni a TMD-t és TMK-t?

Az európai digitális bizalmi ökoszisztémában a Trustmark de Données (TMD) és a Trustmark de Clés (TMK) — amelyek az elektronikus adatok és a kriptográfiai kulcsinfrastruktúrák bizalmassági jelölési mechanizmusait jelölik — gyakran zavart okoznak a jogi szakemberek és az informatikai vezetők körében. Azonban jogi szabályozásuk, technikai hatókörük és gyakorlati következményeik alapvetően különböznek egymástól. Ez a cikk tisztázza e két eszközt, bemutatja azok jogi kereteit, és útmutatóul szolgál a szervezeteknek az ihre dokumentumforgalmukhoz legmegfelelőbb választásban.

---

Mi a TMD (Trustmark de Données)?

A TMD, vagyis az adatokra alkalmazott bizalmassági jelölési mechanizmus, azon eljárások és kriptográfiai attribútumok összessége, amelyek lehetővé teszik az elektronikus dokumentum vagy adathalmaz integritásának és hitelességének tanúsítását. Elsősorban az eIDAS-rendelet szerinti minősített elektronikus pecsét (qualified electronic seal) mechanizmusaira támaszkodik.

A TMD technikai alapjai

Technikailag a TMD a következőkre épül:

• Egy hash-függvény (SHA-256, SHA-3), amely az adatforrásra alkalmazva egyedi digitális ujjlenyomatot hoz létre;

• Egy digitális tanúsítvány, amelyet egy Qualified Trust Service Provider (QTSP) bocsát ki, garantálva a kibocsátó szervezet identitását;

• Egy minősített elektronikus időbélyeg, amely az ETSI EN 319 421 szabvány szerint készül, időbeli bizonyítékot nyújtva.

E három elem kombinálva magas bizonyító értéket biztosít a TMD-nek, amely az EU számos tagállamában az autentikus okirathoz hasonlít. A dátummal ellátott dokumentumok jogi értékéről további információkért tekintse meg elektronikus aláírásokról szóló teljes útmutatónkat.

A TMD előnyös alkalmazási területei

A TMD különösen akkor alkalmas, ha a szervezetnek nagy adatmennyiségek integritásának tanúsítására van szüksége anélkül, hogy egy azonosított természetes személy aktív közreműködésére lenne szükség. Jellemzően a következőkben fordul elő:

• Számviteli és pénzügyi folyamatok tanúsítása (naplók, főkönyv-egyenletek);

• Digitális bizonyítékok jogi tárolása (megfelelő NF Z 42-013 szerinti bizonyítékarchívum);

• EDI-cserék kereskedelmi partnerek között az ellátási láncokban.

---

Mi a TMK (Trustmark de Clés)?

A TMK, vagyis a kulcsokra összpontosított bizalmassági jelölési mechanizmus, más logika szerint működik: nem maguknak az adatoknak, hanem a nyilvános kulcsú infrastruktúráknak (PKI) és a signatárok aláíráskezelő eszközeinek biztonságát tanúsítja. Szorosan kapcsolódik a szabályozott Qualified Signature Creation Device (QSCD) fogalmához, amely az eIDAS-rendelet II. mellékletében van meghatározva.

A TMK kriptográfiai architektúrája

A TMK a következőket foglalja magában:

• Egy HSM modul (Hardware Security Module), amely CC EAL 4+ vagy FIPS 140-2 3. szint szerint tanúsított, garantálva, hogy a privát kulcsok soha nem hagyják el a biztonságos eszközt;

• Egy tanúsítási irányelv (CPS – Certification Practice Statement), amelyet a QTSP közzétesz;

• Valós idejű visszavonási mechanizmusok az OCSP (Online Certificate Status Protocol) vagy CRL (Certificate Revocation List) segítségével.

A TMK szilárdságához szükséges a kulcsgenerálás és tárolás eszközeinek fizikai és logikai biztonsága. E követelmények világszabályzati kerethez való illeszkedésének megértéséhez az eIDAS 2.0-ról szóló útmutatónk alapvető referenciaként szolgál.

A TMK előnyös alkalmazási területei

A TMK szükséges olyan forgatókönyvekben, ahol az azonosított természetes személy jogi felelőssége egyértelműen megállapítható:

• Magas jogi értékű szerződések aláírása (üzletági cesszió, kereskedelmi bérletek, dematerializált közjegyzői okiratok);

• Erős hitelesítési folyamatok a közigazgatási-üzleti portálokon (vámapi, Chorus Pro platformok);

• Fizetési megbízások érvényesítése a DSP2-nek alávetett pénzügyi intézményekben.

---

Jogi összehasonlítás: TMD vs TMK

A TMD és TMK közötti legfontosabb jogi különbség az eIDAS-rendelet (910/2014. rendelet) és utódja, az eIDAS 2.0 (2024/1183. EU-rendelet) szerinti jogi alapítása.

Felelősségi rezsim

| Kritérium | TMD | TMK | |---|---|---| | Felelős entitás | Jogi személy (szervezet) | Azonosított természetes vagy jogi személy | | Bizalom szintje | Haladó vagy minősített (pecsét) | Minősített (elektronikus aláírás) | | Jogi vélelem | Adatok integritása | A signatár beleegyezése és identitása | | Határ nélküli hatása | EU-ban automatikus elismerés | EU-ban automatikus elismerés (eIDAS 25. cikk) |

A TMD az adatkibocsájtó szervezet felelősségét vonja maga után: ha a tanúsított adatok integritása megsérül, a szervezetnek kell értékét viselnie. A TMK viszont a kulcstulajdonos egyéni felelősségét jelenti — így az aláírás személyes akaratát kell bizonyítottnak tekinteni.

Bizonyító erő a francia bíróságok előtt

A francia jogban az 1366. cikk a Polgári Törvénykönyben rögzíti: „az elektronikus írás ugyanolyan bizonyító erővel bír, mint a papíralapú írás, feltéve, hogy megállapítható a forrásául szolgáló személy azonossága, és hogy az okirat integritása garantálható módon hozták létre és tárolták". Ez a szövegezés mindkét mechanizmust lefedi, de fontos árnyalatokkal:

• A minősített TMD-vel védett dokumentum élvez egy integritásvédelmi vélelmezetet, amely megfordítja a bizonyítási terhet;

• A minősített TMK-val aláírt dokumentum ezenkívül szerzőségi vélelmezetet kap — az aláírás személyének magának kell bebizonyítania, hogy nem írta alá, ami rendkívül nehéz.

E aszimmetria magyarázza meg, miért részesítik előnyben az elektronikus aláírást alkalmazó jogi szakemberek és ügyvédi irodák a TMK-t a forma jogi feltételét képviselő okiratok esetében.

Interoperabilitás és kölcsönös elismerés

Az eIDAS 2.0 az European Digital Identity Wallets (EDIW) révén erősíti az interoperabilitást, amelyek natív módon integrálnak majd TMK-mechanizmusokat a polgároknak és a szakembereknek. A TMD-k viszont jobban az nemzeti bizalmi listák (Trusted Lists) jelöléseire támaszkodnak, amelyeket az egyes államok közzétesznek. Franciaország az ANSSI révén teszi ezt közzé, és minden minősített QTSP be van írva. A piaci megoldások összehasonlított elemzéséhez elektronikus aláírási megoldások összehasonlítása ad konkrét döntéshozatali információkat.

---

Gyakorlati vonatkozások a B2B vállalkozásoknak

TMD és TMK közötti választás a dokumentum típusa alapján

Az aranyarany szabály egyszerű: a dokumentum jogi kockázati szintje határozza meg az alkalmazandó mechanizmust.

• Közepes kockázatú dokumentumok (megrendelések, árajánlatok, általános szerződési feltételek, standard NDA titoktartási megállapodások): általában elegendő a TMD haladó szintű pecséttel. Robosztus adatintegritás-védelmet nyújt, anélkül hogy a QSCD-minősítéshez kapcsolódó többletköltségek volnának.

• Magas kockázatú dokumentumok (munkaszerződések, meghatalmazások, cesszió-okiratok, 50 000 € feletti pénzügyi kötelezettségek): a minősített TMK ajánlott, sőt egyes szabályozott szektorokban (banki, biztosítás, egészségügy) kötelező.

A nagy számú munkaszerződéses dokumentumot kezelő HR-csapaták számára HR-hez szóló elektronikus aláírási megoldásunk natív módon integrálja a dokumentumtípushoz alkalmazkodó bizalmi szintet.

Költségek és telepítési időtartamok

A TMD általában olcsóbban telepíthető, mivel nem igényel erős azonosítási folyamatot (KYC/AML) minden signatárhoz. Az API-n keresztüli integrálása dokumentumkezelő (GED) vagy ERP-rendszerbe átlagosan 2-6 hét alatt valósul meg az IT-környezet összetettsége függvényében.

A TMK az QSCD-követelmények és az identitásellenőrzési folyamatok miatt 3-10 munkanapok közötti onboarding-időt igényel signatáronként. Az olyan szervezetek esetében, amelyek sok külső partnerrel dolgoznak, ez jelentős súrlódási tényezőt jelenthet a változásmenedzsmentben.

Archívum és megőrzés

A választott mechanizmustól függetlenül minden francia jog alá tartozó szervezetnek be kell tartania a jogi megőrzési időtartamot: 10 év a kereskedelmi szerződések esetében (Kereskedelmi Törvénykönv. L. 110-4. cikk), 5 év a társított személyes adatok tekintetében (GDPR 5. cikk). Az NF Z 42-013 szabvány szerinti bizonyítékarchívum-rendszer garantálja, hogy a TMD vagy TMK jogi értéke megmarad az idővel, még technológiai migrálás esetén sem.

A TMD-re és TMK-ra alkalmazandó jogi keret

Az eIDAS-rendelet és fejlődése

A TMD és TMK mechanizmusok jogi alapját az Európai Parlament és Tanács 910/2014. számú, 2014. július 23-i rendeletéről szóló eIDAS-rendelet képezi. Ez az alapító szöveg meghatározza a bizalmi szintek (egyszerű, haladó, minősített) hierarchiáját és az EU-n belüli bizalmassági szolgáltatások kölcsönös elismerésének feltételeit.

2024-ben az 2024/1183. EU-rendelet (eIDAS 2.0) lényegesen felülvizsgálta ezt a keretet, bemutatva különösen:

• Az European Digital Identity Wallets (EDIW) kötelezően az államok számára 2026 előtt;

• Új bizalmassági szolgáltatás-kategóriákat, például az elektronikus minősített attribútum-tanúsítványokat;

• A QTSP-kre nézve megerősített követelményeket a kiberbiztonsággal (NIS2 illeszkedés).

A francia Polgári Törvénykönyv: 1366. és 1367. cikkely

A belföldi jogban a Polgári Törvénykönv 1366. és 1367. cikkely (az 2016. február 10-i 2016-131. rendeletből) az elektronikus írás bizonyító értékének feltételeit rögzítik. Az 1367. cikk pontosítja, hogy a minősített elektronikus aláírás (minősített TMK-ra és QSCD-re alapuló) „megbízhatóságot vélelmez". Ez a vélelem megfordítható, de megfordítja a bizonyítási terhet az aláírás kedvezményezettjének javára.

Alkalmazandó ETSI-szabványok

A TMD és TMK technikai specifikációit az ETSI (European Telecommunications Standards Institute) szabványosítja:

• ETSI EN 319 132: haladó elektronikus aláírás XAdES;

• ETSI EN 319 122: CAdES aláírás;

• ETSI EN 319 142: PAdES aláírás (PDF);

• ETSI EN 319 421: minősített elektronikus időbélyeg irányelv;

• ETSI EN 319 401: általános követelmények a QTSP-khez.

GDPR és személyes adatok védelme

A TMD és TMK telepítése személyes adatok feldolgozását jelenti (signatár identitása, aláírás metaadatai). Az 2016/679. EU-rendelet (GDPR) előírja:

• Explicit jogi alapot a feldolgozáshoz (szerződés teljesítése, 6.1.b cikk, vagy jogi kötelezettség, 6.1.c cikk);

• A feldolgozási nyilvántartást a QTSP-felé irányított adatforgalmat dokumentálva;

• Szerződéses kikötéseket azokban az esetekben, ahol a QTSP az EU-n kívül helyezkedik el vagy EU-n kívüli alvállalkozókat használ.

NIS2-irányelv és az infrastrukturális PKI kiberbiztonsága

A 2022/2555. EU-irányelv (NIS2), amelyet Franciaországban 2024. április 17-i törvénnyel ültetnek át, megerősített kockázatkezelési, incidensi bejelentési (24 órás kezdeti bejelentési határidő az ANSSI-nek) és időszakos auditálási kötelezettségeknek veti alá a minősített QTSP-ket. A felhasználó szervezetek számára ez a bizalmassági szolgáltató kiválasztásakor fokozott due diligence kötelezettségét jelenti.

Konkrét felhasználási forgatókönyvek

1. forgatókönyv: egy évi 300 szállítási szerződést kezelő kis- és középvállalat

Egy százfős szállítói ipari KKV, amely mechanikus alkatrészek gyártására szakosodott, évi körülbelül 300 szállítói szerződést kezel (nyersanyag-beszerzés, karbantartási szolgáltatások, logisztikai keretmegállapodások). Eddig ezek a dokumentumok postai úton vagy nem biztonságos emailon keresztül közlekedtek, átlagosan 12-18 munkanapos aláírási késedelmekkel.

A KKV egy 20 000 € alatti szerződésekhez minősített TMD-mechanizmust és nagyobb illetve többéves kötelezettségekhez minősített TMK-t telepít. Az aláírási határidők átlagosan 1,8 munkanapra csökkennek, amely több mint 85%-os csökkentés. Az adatintegritás vitatottságával kapcsolatos viták, amely évente 2-3 pereszakot jelentett, a telepítés utáni 18 hónapban nullára csökkennek — a minősített mechanizmusokhoz kapcsolódó jogi vélelmezet eltántorít a megkérdőjelezésektől.

2. forgatókönyv: körülbelül 600 ágyas szervezeti kórházcsoport

Több intézményt kezelő közalkalmazotti kórházcsoport évi több ezer dokumentumot kell aláíratnia: gyakorló orvosok szerződéseit, klinikai kutatási protokollokat, egyetemi partnerekkel és gyógyszergyárakkal megkötött egyezségeket. Az egészségügyi szektor speciális szabályozási kötelmeket ír elő (HDS — Santé Données Hébergement, PGSSI-S).

A csoportcsoport minősített TMK-t telepít az orvos-aláírásokhoz (amely orvosi és jogi felelősségüket vonja maga után) és haladó TMD-t az intézmények közötti betegadatok áramlásának tanúsítására. A két mechanizmus kombinálása lehetővé teszi a nyomtatás, szkenneléselési archívum költségeinek csökkentését évi 45 000 €-val a GDPR és HDS-megfelelőség megerősítésével párhuzamosan. A megfelelőségi audiток, amely korábban 3 hét előkészítést igényelt, 4 napos auditálási dokumentumra csökken az automatizált naplózásnak köszönhetően.

3. forgatókönyv: középméretű M&A-tanácsadó iroda

Egy olyan tanácsadó iroda, amely évente körülbelül tíz M&A-ügylet elkészítésében vesz részt, szándéknyilatkozatokat (LOI), megerősített titoktartási megállapodásokat, megállapodási protokollokat és cesszió-okiratokat kezel. Az ügyletek értéke 5 M€ és 80 M€ között van. Az okirat hitelességének legkisebb vitatása hónapokra blokkolhatja az ügylet lezárulását.

Az iroda szerződésben előírja a minősített TMK használatát az összes ügyletdokumentumra, a due diligence-fázistól kezdve. A külföldi partnerek (különösen brit és amerikai post-Brexit) elismerik az eIDAS-hoz megfelelő aláírások jogi értékét az európai jogra alkalmazandó záradékok keretében. Az okirati zárás átlagos időtartama 22 napról 8 napra csökken, amely 63%-os nyereség a véglegesítési időszakban.

Következtetés

A TMD és TMK nem felcserélhetőek: az első az adatok integritásának tanúsítása az szervezet szintjén, a második az aláírásékori egyéni felelősségvállalása az eIDAS által előírt maximális jogi erővel. E megkülönböztetés megértése ma már előfeltétele minden komoly B2B-dokumentumkezelési politikának. A megfelelő mechanizmus kiválasztása közvetlenül az egyes dokumentumtípusokra vonatkozó jogi kockázatszinttől és az alkalmazandó szektoriális korlátozásoktól függ.

A Certyneo támogatja Önt egy olyan digitális bizalmi stratégia megvalósításában, amely a TMD és TMK kombinálásán alapul az Ön dokumentumforgalmához. Platformunk mindkét mechanizmust kezeli, integrálja az eIDAS 2.0 követelményeit, és alkalmazkodik meglévő IT-rendszeréhez. Kérjen bemutatót vagy hasonlítsa össze ajánlatainkat a Certyneo árazási oldalán — jogi és műszaki szakértőink ingyenes helyzetmegfigyelésre szolgálnak.