Kepatuhan eIDAS untuk UKM: daftar periksa lengkap tahun 2026

Peraturan eIDAS Eropa (EU n°910/2014, yang akan segera diubah dengan eIDAS 2.0) mengatur tanda tangan elektronik di seluruh Uni Eropa. Bagi UKM, kepatuhan bukan sekadar hal yang perlu diperhatikan: kepatuhan merupakan jaminan bahwa kontrak mereka dapat ditegakkan, bahwa data tanda tangan mereka dilindungi, dan bahwa mereka melindungi diri dari risiko hukum yang dapat merugikan. Berikut adalah checklist tahun 2026 dalam 12 poin konkrit untuk memastikan UKM Anda sepenuhnya mematuhi eIDAS.

Poin 1: pilih level tanda tangan yang tepat

Refleks pertama: petakan jenis kontrak Anda dan kaitkan level target. Kontrak komersial standar (penawaran harga, pesanan pembelian, NDA sederhana): SES sudah cukup. Kontrak kerja, sewa, NDA sensitif, perjanjian strategis: minimum AES, sebaiknya dengan SMS OTP. Tindakan yang diatur (pengacara, notaris, kontrak publik di atas ambang batas): Wajib QES. Tanpa pemetaan ini, Anda berisiko melakukan undersizing (menolak kontrak) atau oversizing (biaya berlebihan).

Poin 2: periksa kualifikasi penyedia layanan

Penyedia layanan Anda harus merupakan penyedia layanan tepercaya (QTSP) atau mengandalkan QTSP untuk level AES/QES. Lihat Daftar Layanan Kepercayaan yang diterbitkan oleh ANSSI (eidas.ssi.gouv.fr) dan Daftar Tepercaya Eropa (webgate.ec.europa.eu/tl-browser). QTSP referensi Perancis: Certigna, Docaposte, Certinomis, Universign. Untuk SES/AES melalui platform (Certyneo, Yousign, dll.), periksa kepatuhan eIDAS yang didokumentasikan secara eksplisit.

Poin 3: Menguji jejak audit

Menandatangani amplop tes dan mengumpulkan jejak audit (biasanya PDF terpisah). Itu harus berisi: identitas dan email penandatangan, stempel waktu setiap langkah (pengiriman, pembukaan, validasi, tanda tangan), alamat IP, agen pengguna, hash dokumen, validasi OTP jika AES. Jika salah satu unsur tersebut hilang maka nilai pembuktiannya melemah. Certyneo menyediakan jejak audit lengkap bahkan dengan paket gratis.

Poin 4: mengontrol stempel waktu

Stempel waktu harus dikeluarkan oleh Otoritas Stempel Waktu (TSA) yang mematuhi RFC 3161. Stempel waktu hanya dari server NTP perusahaan saja tidak cukup. Buka PDF yang ditandatangani di Adobe Reader: tab Tanda Tangan → Detail → Stempel Waktu. Anda akan melihat sertifikat TSA yang valid dan jam bersertifikat di sana. Jika PDF tidak memiliki stempel waktu bersertifikat, mundurlah dari pilihan penyedia layanan.

Butir 5: arsip paling sedikit 10 tahun

Kitab Undang-undang Hukum Dagang (pasal L. 123-22) mewajibkan penyimpanan dokumen komersial selama 10 tahun. Kode Ketenagakerjaan menetapkan 5 tahun untuk kontrak kerja pasca pemutusan hubungan kerja. Pengarsipan harus menjaga integritas (hash, penyegelan) dan akses. Ideal: Format PDF/A (ISO 19005), penyimpanan ganda (cadangan utama + di luar lokasi), brankas elektronik berkualifikasi (CFE) untuk pembuktian maksimal. Certyneo mengarsipkan 10 tahun secara default dan menawarkan ekspor ke mitra CFE.

Poin 6: periksa lokalisasi data

Di mana data tanda tangan Anda dihosting? Untuk UKM Perancis yang berurusan dengan kontrak sensitif, pilih hosting Perancis atau UE. Tanyakan kepada penyedia layanan Anda daftar subkontraktor dan lokasinya (pasal 28 GDPR). Hindari solusi yang tunduk pada US Cloud Act untuk kontrak strategis. Certyneo dihosting di Prancis, tanpa ketergantungan Cloud Act. Lihat artikel kami di /blog/cloud-act-signature-electronique.

Poin 7: sesuai dengan GDPR

Tanda tangan dan GDPR terkait erat: setiap amplop berisi data pribadi (nama, email, IP, telepon). Pastikan daftar pemrosesan Anda (pasal 30 GDPR) menyertakan tanda tangan elektronik, periode penyimpanannya konsisten (10 tahun), dan hak individu dapat diterapkan (akses, perbaikan, portabilitas). Jika Anda meminta banyak tanda tangan, disarankan DPO. Lihat artikel kami /blog/signature-electronique-rgpd.

Poin 8: mengidentifikasi pihak-pihak yang menandatangani di bagian hulu

Untuk AES yang solid, identifikasi tidak dimulai dengan penandatanganan: identifikasi dimulai dengan pengumpulan data. Periksa email (tanpa alias, tanpa milis), nomor telepon (tanpa saluran bersama), dan pantau sumber identifikasi (ID untuk kontrak berat, KYC pelanggan lama untuk kontrak yang sedang berjalan). Uji tuntas ini menjadikan bukti kuat jika terjadi perselisihan.

Poin 9: latih tim

Tim penjualan, SDM, dan hukum Anda harus memahami aturannya: jangan pernah memaksa penandatangan untuk menggunakan perangkat pihak ketiga, jangan pernah mengembalikan PDF yang telah ditandatangani dan telah dimodifikasi, jangan pernah menempelkan gambar tanda tangan yang dipindai sebagai pengganti tanda tangan asli. Latihan satu jam per tim sudah cukup untuk menanamkan refleks yang baik. Certyneo memberikan panduan lengkap untuk dibagikan secara internal (/sumber daya).

Poin 10: memeriksa kontrak penyedia layanan

CGU/CGV penyedia layanan tanda tangan harus: memulai kepatuhan eIDAS, menentukan periode pengarsipan, menyertakan perjanjian subkontraktor GDPR (pasal 28), mendokumentasikan subkontraktor, memberikan rencana reversibilitas jika terjadi penghentian. Minta juga SOC 2 Tipe II atau setara jika Anda memproses volume besar. Untuk Certyneo, dokumen-dokumen ini tersedia di /legal dan /security.

Poin 11: menyiapkan eIDAS 2.0 dan Dompet EUDI

Peraturan eIDAS 2.0 (EU 2024/1183) mulai berlaku secara bertahap dan mewajibkan Negara-negara Anggota untuk menerapkan Dompet EUDI sebelum akhir tahun 2026. Dompet identitas digital ini terutama akan memungkinkan akses ke QES dari jarak jauh tanpa kantor pendaftaran fisik. Persiapkan UKM Anda: periksa apakah penyedia layanan Anda memiliki peta jalan EUDI Wallet, ikuti komunikasi dari ANSSI dan Komisi Eropa. Lihat /blog/eidas-2-nouveau-reglement-2026.

Butir 12: audit setiap tahun

Kepatuhan bukanlah status yang diperoleh: melainkan proses yang berkelanjutan. Jadwalkan audit tahunan (internal atau eksternal) untuk memeriksa: perubahan peraturan, perkembangan penyedia layanan, pemetaan jenis kontrak terkini, retensi efektif, pelatihan karyawan baru. Audit ringan membutuhkan waktu setengah hari bagi UKM dan menghindari banyak kejutan. Mulailah dengan membuat akun Certyneo gratis di certyneo.com/signup untuk menguji kepatuhan di dunia nyata, lalu lihat panduan eIDAS kami untuk menggali lebih dalam (/guide/eidas).