ISO-vottun fyrir rafræna undirskrift: leiðbeiningar 2026
ISO 27001, eIDAS, ETSI… vottun þjónustuveitenda rafrænar undirskriftar hefur orðið óumflýjanlegur úrvalskriteríumur. Finndu út hvernig á að bera þau saman á skilvirkan hátt.
Équipe éditoriale Certyneo
Höfundur — Certyneo · Um Certyneo

Rafræn undirskrift hefur orðið staðall í skjalavörslu fyrirtækja í Frakklandi og Evrópu. En á bak við augljósa einfalda smellinn á staðfestingu felst mjög flókið tæknilegt og eftirlitskerfi. Árið 2026 er spurningin ekki lengur „ætti ég að nota rafræna undirskrift?" heldur „hvaða þjónustuveitandi veitir nægilega öryggis- og samræmisvottun fyrir mitt viðskiptaflækju?". ISO-vottun — og sérstaklega ISO 27001 — er ein áreiðanlegasta svarið við þessari spurningu. Þessi grein myndar þig um helstu vottun sem gildir fyrir þjónustuveitendur rafrænar undirskriftar, raunverulega umfang þeirra og viðmið til að nota til ítarlegrar samanburðar.
Hvers vegna ISO-vottun er ákvarðandi fyrir rafræna undirskrift
Rafræn undirskrift takmarkast ekki við forritsaðgerð. Hún hvílir á lagalegri ábyrgð undirritandi fyrirtækis, leyndar gagna sem meðhöndlun og langtíma heilleika geymdra skjala. Þess vegna eru vottanir sem þjónustuveitandi fær ekki einfalt markaðsmerki: þær staðfesta þroska á öryggissvæði sem þriðji aðili hefur endurskoðað.
ISO 27001: óumflýjanlegur grundvöllur upplýsingaöryggis
ISO/IEC 27001 er alþjóðlegur staðall fyrir stjórnkerfi upplýsingaöryggis (SMSI). Hún nær yfir leyndarmagn, heilleika og framboð gagna. Fyrir þjónustuveitanda rafrænar undirskriftar þýðir þessi vottun að allt ferli hans — frá stofnun undirritanda reiknings til geymslu undirritaðs skjals — er háð skjöluðum stöðvum sem endurskóðuð eru reglulega af viðurkenndum aðila (tegund LSTI, Bureau Veritas, BSI, osfrv.).
Raunhæft, ISO 27001 felur heimildum:
- Tæmandi skrá yfir upplýsingaeignir og tengda áhættu
- Strangar aðgangsstjórnunarreglur (sterk auðkenning, forréttindastjórnun)
- Verklag fyrir tilvik stjórnun og framtíðarstarfsemi
- Reglulegir innri úttektir og árleg umsjón endurskoðun
- Stöðug vöktun á veikleikum
Útgáfan sem hefur verið gild síðan 2022 (ISO/IEC 27001:2022) inniheldur 93 öryggisaðgerðir flokkaðar í fjóra þætti: skipulagslega, mannlega, eðlilega og tæknilega. Þjónustuveitandi sem hefur vottun á þessari útgáfu sýnir nútímalega öryggisafstöðu gegn samtíðarógnum, sérstaklega skaðabótaárásum og samskiptabundnum samsetningum.
ISO 27017 og ISO 27018: nauðsynlegir skýjir viðaukar
Næstum öll SaaS-lausnir rafrænar undirskriftar styðjast á skýjum tölvukerfi. Í þessu samhengi er þarfnast sérstakrar athygli á tveimur viðaukum ISO 27000 fjölskyldunnar:
ISO/IEC 27017 veitir sérstakar leiðbeiningar fyrir skýjaþjónustu, sem nær yfir meðal annars sameiginlega ábyrgð milli þjónustuveitanda og hans undirverktaka (hýsandi, traustir aðilar). Fyrir B2B kaupanda tryggir staðfesting á að þjónustuveitandi hefur þessa vottun eða fylgir henni að gögn geymd í skýjunum séu háð sömu öryggiskröfum og eldri umhverfi.
ISO/IEC 27018 fjallar sérstaklega um vernd persónuupplýsinga í skýjum. Hún bætir GDPR við með því að skilgreina starfrænar aðferðir: bann við notkun gagna til auglýsingasetningar án skýrs samþykkis, gagnsæi um undirverktaka, réttur til flutnings. Fyrir DPO og samræmisábyrgðarmenn myndar þessi vottun viðbótarrökstöð um alvöru meðhöndlunar á gögnum undirritenda.
Til að dýpka löglega gildi sem þessir staðlar veita í tengslum við evrópska löggjöf, skoðaðu okkar leiðbeiningar um löglegt gildi rafrænar undirskriftar.
eIDAS-vottun og ETSI-staðlar: hvað þýðir það að vera „hæfur"
Fyrir utan ISO-staðla setur evrópsk eftirlitsréttur sínar eigin samræmiskröfur fyrir traustveitendur (PSCo). Reglugerð eIDAS nr. 910/2014, þar sem endurskoðun eIDAS 2.0 er í gangi, aðgreinir þrjú stig rafrænar undirskriftar: einföld, framúrkölluð og hæf.
Staðan sem hæfur traustveitandi þjónusta (PSCO)
Til að afhenda hæfar rafrænar undirskriftir — það eina stig sem er löglega jafngilt handriti undirskrift í öllum EU-aðildarríkjum — verður þjónustuveitandi að vera skráður á trauststnæmilista aðildarríkis hans (í Frakklandi, lista sem stjórnar ANSSI). Þessi hæfi byggir á upphaflegri úttekt sem stjórnsýslustofnun sem hefur viðurkenningu (CAB) framkvæmdi, síðan reglulegum eftirlitsúttektum.
Aðal tæknilegu staðlarnir eru fyrst og fremst birtir af ETSI (European Telecommunications Standards Institute):
- ETSI EN 319 401: almennar kröfur fyrir PSCo
- ETSI EN 319 411: stefna og aðferðir fyrir vottunaraðila
- ETSI EN 319 132: XAdES prófílar fyrir framúrkölluða XML undirskrift
- ETSI EN 319 122: CAdES prófílar fyrir framúrkölluða CMS undirskrift
- ETSI EN 319 162: skráð rafræn afhendingaþjónusta
Þjónustuveitandi sem er vottaður samkvæmt þessum ETSI stöðlum tryggir tæknilega samhæfni á milli undirskrifta hans og allra viðurkenndra lausna innan evrópska svæðisins, sem er mikilvægt fyrir fyrirtæki sem starfa í mörgum löndum. Okkar ítarleg leiðbeiningar um eIDAS reglugerðina sýna fram á skyldur tengdar hverju vottunarstigi.
SOC 2 Type II: Norður-amerískan viðbót til að vakta
Þótt það sé sjaldgæfara innan evrópska svæðisins er SOC 2 Type II skýrslunni (Service Organization Control) sem gefin er út samkvæmt AICPA stöðlum oft beðið um stór fyrirtæki, sérstaklega þau sem eru með útibú í Bandaríkjunum eða bandaríska samstarfsaðila. Ólíkt ISO 27001 (vottun), er SOC 2 endurskoðunarskýrsla sem staðfestir virðingu við traustþjónustuviðmið (öryggi, framboð, heilleika undirbúnings, leyndarmagn, persónuvernd) á skoðunarfresti sem almennt er sex til tólf mánuðir. Til að gera tæmandi samanburð, gakktu úr skugga um að þjónustuveitandi hafi nýlegt SOC 2 Type II (innan tólf mánaða) sem sterk merki um rekstrar þroska.
Samanburður á vottunum þjónustuveitenda: aðferð og viðmið
Í ljósi fjölbreytni vottunar sem til eru þurfa B2B kaupendur að taka upp skipulagða greiningarramma frekar en að treysta á eingöngu markaðsfullyrðingar. Okkar samanburður á rafrænum undirskriftarlausnum telur helstu kerfi sem fáanleg eru í Frakklandi; hér er hvernig á að meta vottunarflokk þeirra.
Fjórar spurningar sem ætti að spyrja kerfisbundið
1. Hver er nákvæm dagsetning og umfang vottunarinnar? ISO 27001 vottun sem fengist fyrir þremur árum og ekki endurnýjuð veitir ekki sömu tryggingar og gilt skírteini. Biddu kerfisbundið um opinbera vottun og staðfestu umfang endurskoðaðs verksvæðis: sumir þjónustuveitendur votta eingöngu aðalskrifstofu sína og útiloka gagnaver eða erlenda þróunarteymi.
2. Hver framkvæmdi vottunarúttektina? Vottunaraðili verður sjálfur að vera viðurkenndur af IAF meðlimi (International Accreditation Forum). Í Frakklandi er COFRAC (Comité Français d'Accréditation) hinn tilgreindi aðili. Skírteini sem gefið er út af viðurkenndum aðila hefur engu gildi samningslega eða eftirlitssamkvæmt.
3. Birtir þjónustuveitandi árleg inngangsprófunarskýrslu sína? ISO 27001 vottun krefst reglulegra veikleikamats, en ávísun ekki staðlaðs sniðs fyrir inngangsprófanir. Þjónustuveitandi með þroska birtir samantekt á árlegri penetración hans framkvæmdum af þriðja aðila. ANSSI mælir með því að nota þjónustuveitendur sem eru PASSI hæfir (Prestataire d'Audit de la Sécurité des Systèmes d'Information) fyrir slík æfingar.
4. Hverjar eru undirverktakanir og tilheyrandi vottanir? Þjónustuveitandi rafrænar undirskriftar byggir almennt á skýjaverð (AWS, Azure, OVHcloud, osfrv.) og stundum á þriðju aðila vottunaraðila. Staðfestu að þessir undirverktakar búi sjálfir yfir sambærilegum vottunum (ISO 27001, HDS fyrir heilbrigðisgögn, SecNumCloud fyrir viðkvæm gögn). Trauststöðin er aðeins jafngöð og hver hlekkur hennar er endurskoðaður.
Sérstaklingur HDS framboð fyrir heilbrigðisgögn
Fyrir heilbrigðisstofnanir, EHPAD, gagnkvæma félög eða vátryggjendur sem meðhöndla læknsgögn, HDS vottun (Hébergeur de Données de Santé) bætast við ISO kröfur. Frá tilskipun 26. janúar 2018 verður hver geymsluaðili heilbrigðisgagna með persónulegum eiginleikum að vera HDS vottaður af viðurkenndum aðila. Fyrir þjónustuveitanda rafrænar undirskriftar sem notaður er í læknisfræðilegum tilgangi — samþykki á umönnun, rafrænni lyfseðli, innlagnir — er þessi vottun nauðsynleg skilyrði. Finndu sérsækni rafrænar undirskriftar innan heilbrigðisgeirans til að meta skyldur þínar.
Áhrif vottunar á samningaviðræður og áreiðanleikakannanir
Vottun sem þjónustuveitandi hefur fengið er ekki eingöngu markaðsfyrirtæki: hún skipulagir sambandssamning og skiptingu ábyrgðar milli aðila.
Samningsákvæði sem ætti að fella inn kerfisbundið
Við samningaviðræður um samning við þjónustuveitanda rafrænar undirskriftar er nokkrum ákvæðum beint tengdum vottunum verðugt að athuga:
- Viðhaldsklausa fyrir vottun: þjónustuveitandi skuldbindur sig til að halda vottunum sínum meðan á samningagildistíma stendur og tilkynnir tafarlaust um endurkall eða stöðvun.
- Endurskoðunarklausa: viðskiptavinur heldur réttinum til að framkvæma eða fá framkvæmda öryggisúttekt hjá þjónustuveitanda, undir skilgreindum skilyrðum (fyrirvari, umfang, trúnaðarkennt að niðurstöðum).
- Undirverktklausa: allar breytingar á undirverktakerfi verða að fara fram með fyrirfram tilkynningu, með möguleika á uppsögn ef nýi undirverktaki fullnægir ekki skilgreindum vottunarskyldum.
- SLA framboðs: fyrir þjónustuveitendur sem eru ISO 27001 vottaðir er skuldbinding um framboð (SLA) að lágmarki 99,9% á mánaðarlegum grunni með fjársektum ef framboðsmörk er farið yfir.
Þessi samningsatriði eru hluti af breiðari stjórnunar rafrænar undirskriftar í fyrirtæki, sem við sýnum fram á í sérstakri leiðbeiningu okkar um stjórnun rafrænar undirskriftar í fyrirtæki.
Framlag vottunar innan GDPR eða NIS2 endurskoðunar
Frá inngangi NIS2 tilskipunar (sem lokið var í frönsku rétt með lögum frá 15. apríl 2025) verða nauðsynlegar og mikilvægar einingar að sýna fram á að mikilvægir þjónustuveitendur þeirra — þar með talið þjónustuveitendur rafrænar undirskriftar — fullnægi lágmarkskröfum um netörygggi. ISO 27001 vottun þjónustuveitanda myndar skjalfesta sönnun sem nota má við NIS2 eða CNIL úttekt. Hún sýnir fram á sérstaklega innleiðingu 32. greinar GDPR, sem krefst viðeigandi tæknilegra og skipulagslegra ráðstafana til að tryggja öryggisstig sem byggist á áhættu.
Fyrir fyrirtæki sem vilja flytja úr lausn með minni vottun yfir í vettvang sem veitir betri samræmisþrunga, sýnir okkar leiðbeiningar fyrir flutning til Certyneo skref og varúðarráðstafanir sem þarf að virða.
Lagarammi sem gildir um vottunaraðila rafrænar undirskriftar
Lagalegur gildi rafrænar undirskriftar byggir á yfirstig normatívra texta innan Evrópu og þjóðlanda, sem stjórnun er nauðsynleg til að meta rétt vottun þjónustuveitanda.
Borgaralegir dómar, 1366. og 1367. greinar: Þessar greinar mynda grundvöll franskra réttar rafrænar undirskriftar. 1366. grein segir að "rafræn skjalföng hefur sömu sönnunarafl og pappírskjal, með fyrirvara um að auðkenning aðila sem henni berst sé hægt að framkvæma og að hún sé stofnuð og geymd við aðstæður sem eiga að tryggja heilleika hennar". 1367. grein tilgreinir að "undirskrift sem nauðsynleg er fyrir fullmotu rettslegrar atburðarásar auðkennir höfund hennar" og að, þegar hún er rafræn, "felst hún í notkun áreiðanlegrar auðkenningaraðferðar sem tryggir tengsl hennar við aðgerðina sem hún fylgir". ISO 27001 vottun og eIDAS hæfi stuðla beint að því að koma á þessari áreiðanleika forsendu.
Reglugerð eIDAS nr. 910/2014: Þessi evrópsk reglugerð, sem er beint gildandi í öllum aðildarríkjum, skilgreinir þrjú stig rafrænar undirskriftar (einföld, framúrkölluð, hæf) og skyldar traustveitendur til að gangast við samræmi samkvæmt ETSI stöðlum. 24. grein hennar tilgreinir kröfur sem gilda fyrir hæfa veitendur, þar með talið skyldu til að nota hæfðan starfsfólk og halda úti fullnægjandi fjármagni. Endurskoðun eIDAS 2.0 (Reglugerð ESB 2024/1183, í gildi frá 20. maí 2024) herðir þessar kröfur með því að innleiða evrópska stafræna auðkenningu (EUDIW) og útvíkka umfang viðurkenndra traustveitenda.
GDPR nr. 2016/679: 28. (undirverktaka), 32. (gagnavörsluörygggi) og 35. greinum (áhættumat) varðar beint þegar þjónustuveitandi rafrænar undirskriftar meðhöndlar persónuupplýsingar fyrir hönd ábyrgðaraðila. 32. grein krefst sérstaklega gerðafléttunar og dulmáls persónuupplýsinga, getu til að tryggja trúnað, heilleika og seiglu kerfa. ISO 27001 vottun sem nær yfir þessa þætti gerir kleift að fullnægja að hluta til þessari sannandi skyldu.
NIS2 tilskipun (ESB 2022/2555, flutt yfir með franskum lögum frá 15. apríl 2025): Hún skyldar nauðsynlega og mikilvæga einingu til að stýra áhættu sem tengist stafrænum birgjakeðju hennar, þar með talið þjónustuveitendur rafrænar undirskriftar. 21. grein NIS2 listar lágmarks netöryggistæki sem margar skipta mynda beint endurtöku ISO 27001 krafna.
ETSI staðlar: EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) og EN 319 162 skilgreina tæknilegar kröfur fyrir hæfa traustveitendur. Eftirfylgni við þær er endurskoðuð af viðurkenndum aðilum áður en þær eru skráðar á þjóðlista.
Ábyrgð vegna vottunarskorts: Þjónustuveitandi sem ekki er vottaður og slasast af gagnabroti sem leiðir til samsetningar rafrænar undirskriftar hvílir samningalega og skaðabótaábyrgð. Fyrir viðskiptavininn getur vantar á fyrri sannprófun vottunar verið talin mistök í stjórnun netöryggiáhættu, gæti haft áhrif á tryggingavernd.
Notkunarsendalög: ISO vottun í reynd
ISO vottun er ekki abstrakt hugmynd. Hér eru þrjár raunverulegar tilfellir sem sýna áhrif þeirra á rekstrarnot í ýmsum viðskiptasviðum.
Atburðarás 1: Lögfræðistofu fyrir viðskipti sem velur þjónustuveitanda undirskriftarinnar
Lögfræðistofa fyrir viðskipti með um tuttugu samstarfsmenn meðhöndlar árlega nokkur hundruð viðkvæm skjöl: deilingu hluta, samtryggingar um hluthafa, trúnæmissamkomulag. Tæknistjóri þarf að réttlæta val hans á þjónustuveitanda fyrir félaga og stóra viðskiptavini, sem samningslega krefjast þess að stafrænu verkfærin sem notuð eru séu ISO 27001 vottað.
Með því að reiða sig á ISO 27001:2022 vottun valins þjónustuveitanda getur stofa framleitt samhæfingarvottun við viðskiptavinarefsókni. Árlegri endurnýjun endurskoðun myndar einnig rökstöðu við tilboðsefnir, þar sem örygggi gagna er kerfisbundið metið. Niðurstaðan sem fram kom í þessari tegund framsetningar: minnkun um 60 til 70% af tíma sem vart var um örygggisspurningar við viðskiptasamningaviðræður, og útrýming á tveimur atvikum sem tengdust ósamræmdum undirskriftum á 18 mánaða tímabili.
Atburðarás 2: Lítil og meðalstór iðnaðarfyrirtæki sem stjórnar birgjasáttmálum á alþjóðavettvangi
Lítil og meðalstór iðnaðarfyrirtæki með um 150 starfsmenn sem stjórnar um 300 birgjasáttmálum árlega, þar sem verulegur hluti er með þýskum og hollenskum samstarfsaðilum, verða að tryggja að rafrænar undirskriftir hennar séu viðurkenndar í þessum löndum. eIDAS vottun þjónustuveitanda hennar — skráð á trausta lista Frakklands og sem framúrkölluð undirskrift í samræmi við ETSI EN 319 132 — tryggir lagalega samhæfni innan evrópska svæðisins.
Samhliða því krefjast innkaupadeild nokkurra stórra viðskiptavina hennar ISO 27001 vottunar þjónustuveitandans við árleg birgjaúttektir. Fyrirtækið telur að hafa komið í veg fyrir tvær samningsbundnar endurflokkanir (breyta yfir í handrit undirskrift vegna ósamræmi) sem tákna kostnaðaramframa um 15.000 til 20.000 evra í tíðum og flutningskostnaði, á tólf mánaða tímabili.
Atburðarás 3: Sjúkrahúsflokk sem hnittir rafræna undirskrift inn í HR og læknisstillingu
Sjúkrahúsflokk með um 600 rúm vill gera bæði vinnusamninga sína (heilbrigðisstarfsfólk, tímabundinn læknakunnátta) og samþykkingu fyrir stafræna umönnun dæmigert. Tvær vottunarfjölskyldur komast fram sem nauðsynleg: ISO 27001 fyrir heildarörygggi þjónustuveitanda og HDS vottun (Hébergeur de Données de Santé) fyrir hluta gagna meðhöndlunar.
Flokkunin velur þjónustuveitanda sem búi yfir báðum vottunum, sem gerir honum kleift að ná yfir öll tilvik notkunar hans í einum samningi á meðan fullnægði kröfum Stafrænu stofnunarinnar (ANS). Framleiðni ábati sem mæld er á HR ferlum (undirskrift samningir með tímabundnum læknumum á innan tveggja klukkustunda á móti tveimur til þremur dögum í pappírsútgáfu) gefur framleiðni sparnað um 40% á stjórnkostnaði, fyrir og um 80.000 til 120.000 evra árlegt gildi fyrir magn sem um 1.200 skjöl undirskrifuð á ári.
Niðurstaða
ISO 27001, ISO 27017, ISO 27018 og eIDAS hæfi eru ekki einungis merki sem sýnd eru á markaðssíðu: þau mynda undirstöðu endurskoðaðra trygginga, sem reglulega eru staðfestar, sem hvílast á ábyrgð þjónustuveitanda og vernda lögfræðilega viðskiptavini. Árið 2026, andstætt vaxandi flókni nútíma netógna og herðun evrópska eftirlitsramma (NIS2, eIDAS 2.0), er val á vottaðum þjónustuveitanda rafrænar undirskriftar ekki lengur valkostur heldur stjórnunarkrafa.
Til að bera saman hlutlægt þjónustuveitendur sem til eru á franskum markaði, beittu þér á fjóra lykilviðmiðum sem greind eru hér: nákvæmt umfang vottunar, viðurkenning vottunaraðila, gagnsæi um undirverktketu og samningsákvæði um viðhald. Certyneo fullnægir öllum þessum kröfum og leiðbeinir þér í samræmisvinnu þinni. Hafðu samband við teymið okkar til að fá endurskoðun á núverandi stöðu þinni og uppgötva hvernig á að fara yfir í rafræna undirskrift sem er fullkomlega vottað.
Prófaðu Certyneo ókeypis
Sendu fyrstu undirskriftarkveiku þína á innan við 5 mínútum. 5 ókeypis kveikur á mánuði, engin kreditkort nauðsynleg.
Kanna frekar
Okkar ítarlegir leiðbeiningar til að ná tökum á rafrænni undirskrift.
Ráðlögðar greinar
Dýpkaðu þekkingu þína með þessum tengdum greinum.

Rafrænleg undirritun í fjármálum: Fylgni 2026
Fjármálageiran stendur frammi fyrir vaxandi eftirlitskröfum varðandi rafræna undirritun. Lærðu hvernig á að samræma rekstrarafköst og fylgni eIDAS, DORA og GDPR árið 2026.

Samanburður Skribble vs Oodrive: hvaða lausn á að velja árið 20...
Skribble eða Oodrive? Uppgötvaðu okkar sérfræðigreiningu á tveimur rafrænum undirskriftarkerfum til að velja lausnina sem best hentar þörfum þínum B2B árið 2026.

Rafræn undirritun í skýinu eða á staðnum: hvaða val árið 2026?
Cloud SaaS eða innanhúss dreifing: val þitt á gistingu fyrir rafræna undirritunarlausn hefur áhrif á öryggi, kostnað og samræmi eIDAS. Finndu okkar sérfræðigreiningu.