Rafræn undirskrift: framfærslugeta og innri endurskoðun árið 2026

Margföldun rafrænna skjalaflæða útsetur fyrirtæki fyrir oft vanmötuðu hættu: vanhæfni til að endurbyggja, ef til málaferlis kemur eða við eftirlit, heildarkeðju atburða í kringum undirritun skjals. En full framfærslugeta rafrænar undirskriftar er ekki eingöngu tæknilegt þægindi — það er lagaleg krafa, innri endurskoðunartæki og afgerandi rök fyrir dómstólum borgaralegra og viðskiptamála. Þessi grein kannar framfærslugeta sem lýst er í eIDAS-rammi, notkun hennar í traustustu innri endurskoðunarfyrirkomulagi, bestu starfsvenjur varðandi geymslu atburðabóka og úrvalsskilyrði fyrir samkvæma lausn.

Hvað er framfærslugeta í raffrænum undirskriftum?

Þættir heildarendurskoðunarslóðar

Endurskoðunarslóð (eða audit trail) tengd rafrænni undirritaðri skjali er miklu meira en einföld tímastimpill. Hún samanstendur af öllum skjalsetum atburðum frá útgáfu skjals til geymslu undirskriftar, með öllum skoðunum, synjunum, framförlun eða milliútskýringum. Í rauntíma gæti áreiðanlegur atburðabók:

• Staðfest auðkenning undirritara: aðferð auðkenningar notuð (OTP SMS, viðurkenndur vottorð, eIDAS-stafræn auðkenning), IP-tala, fingraför tækis (device fingerprint).

• Hæfir tímastimpill: veittur af vottuðum Trausttæknifyrirtæki (PSC), festir hverja aðgerð í tíma ótvíræðilega samkvæmt ETSI EN 319 421 staðli.

• Heilindi skjals: dulmálskóði (SHA-256 eða SHA-3) reiknaður fyrir og eftir hverja samskipti, sem gerir kleift að greina allar breytingar.

• Samhengisstigvið: vafri, tungumál, skjáupplausn, valfrjáls landfræði með samþykki GDPR, tímabelti.

Þessi nákvæmni er nauðsynleg til að atburðabókin myndi viðunandi sönnun fyrir dómstólum Frakklands og Evrópu. Til að fá meiri þekkingu um lögfræðilegar undirstöður þessara aðferða, lestu okkar heildstæða handbók um rafrænar undirskriftir.

Undirskriftarstig og tengd framfærslustigunar

Reglugerð eIDAS aðgreinir þrjú stig undirskriftar — einföld (SES), framandi (AdES) og hæf (QES) — og hvert felur í sér mismunandi framfærslugildi:

| Stig | Lágmarks framfærslugeta krafist | Sönnunargeta | |---|---|---| | Einföld (SES) | Tímastimpill, IP, tölvupóstur | Ein einföld forsendu | | Framandi (AdES) | Sterk auðkenning, vottorð, full endurskoðunarslóð | Sterk (viðsnúning sönnunarbyrðar erfitt) | | Hæf (QES) | Hæfur vottorð QSCD + hæfir TSA | Jafngild handritaðri undirskrift |

Val stigsins ætti að leiðast af áhættugreiningu sem er sérkrópuð fyrir hvert skjalaflæði. Okkar samanburð á raffrænum undirskriftarlausnum hjálpar þér að bera kennsl á tilheillandi lausn fyrir þinn stærðarkerfis.

Innleiðing framfærslugetunnar inn í innri endurskoðunarfyrirkomulag

Kortleggja mikilvæg skjalaflæði

Áður en lausn fyrir rafræna undirskrift er gerð virk, verður endurskoðunarhópur að kortleggja öll næm skjalaflæði: viðskiptasamninga, HR-breytingar, stjórnarfundarforrit, millifærslufyrirmæli, yfirlýsingar um trúnað (NDA). Fyrir hvert flæði ættu að skilgreina:

• Undirskriftarstig sem krafist er samkvæmt réttarlegri gildi og tengdri fjárhagslegri áhættu.

• Aðilar sem hlut eiga og hlutverk þeirra (frumkvöðull, samþykkjandi, undirritari, skjólandi).

• Geymslutími atburðabóka, í samræmi við gildandi fyrirskipandi frest (5 ár fyrir viðskiptamál, 10 ár fyrir opinber gerninga).

• Aðgangskilyrði að endurskoðunarslóðum, með gætni á aðskilnaði hlutverka.

Þetta kort myndar undirstöðu innra eftirlitskvíða tengdu raffrænum undirskriftum. Það fellur náttúrulega inn í víðari nálgun stjórnun raffræna undirskrifta í fyrirtæki.

Nýta atburðabækur í endurskoðunarverkefnum

Meðan á innri endurskoðunarverkefni stendur, gera atburðabækur sem mynduð eru af raffrænu undirskriftarkerfi möguleg:

• Framfæra hlíðstæðu við framfærslu valds: hver undirritaði hvað, með hvaða styrki heimildar, á hvaða dagsetningu?

• Greina tímafrávik: samningur undirritaður utan vinnustunda, frá óvenjulegri staðsetningu eða innan óeðlilega stutts tíma getur gefið til kynna innri svik.

• Staðfesta yfirlýsingar: ef umræðu kemur um undirritara sem neitar því að hafa sett undirskrift, gefur endurskoðunarslóð tæknilega andstæðu sönnun.

• Veita regluvarkir og samræmi: GDPR (skrá yfir vinnslu), ISO 27001 (framfærslugeta aðgangs), geiraskilyrði (DSP2, vátryggingageiri, heilbrigðisgæði).

Viðvörunarstaður: atburðabækur sjálfar verða að vera heilar og óbreytilegar. Gild venja er að tímastimpla þær reglulega og geyma þær í aðskildum stafrænum hólfum frá framleiðslukerfi, helst með rafrænri geymslu með sönnunargetu (AEVP) samkvæmt NF Z 42-013 staðli.

Gera endurskoðun sjálfvirka með API

Nútímalegir heimur raffræna undirskrifta sýndu API REST sem gera kleift að draga sjálfvirkt út framfærslugetu og deildu henni inn í GRC-verkfæri fyrirtækis (Governance, Risk & Compliance) (ServiceNow, SAP GRC, IBM OpenPages, o.s.frv.). Þessi sjálfvirkni dregur mjög úr álagi endurskoðenda og eyðir áhættu mannlegra mistaka við handvirka samstillingu sönnunar. ROI-reiknimaður rafræna undirskrifta frá Certyneo sýnir mælanlega framleiðnigækkun tengda þessari samþættingu.

Geymsla og safngeymsla undirskriftasönnunar

Löglegar geymslutímar og fyrirskipandi frestur

Geymsla undirskriftasönnunar hlýðir mörgum lögréttuðum sem fara með hvert annað:

• Viðskiptaréttur (gr. L. 123-22 C. com.): bókhaldssgögn og réttlætingargögn verða að vera geymd 10 ár frá lokun reikningsars.

• Fyrirskipandi frestur almennra réttar (gr. 2224 C. civ.): 5 ár fyrir persónulegar eða hreyfanlegar aðgerðir, byrjunarpunktur á degi sem réttindi höfðu eða hefðu átt að vita þá staðreynd.

• Vinnuréttur: launaseðlar verða að vera geymdir 50 ár eða til 75 ára aldurs starfsmanns.

• Heilbrigðisgögn: 20 ár frá síðustu heimsókn (gr. R. 1112-7 CSP).

Þessir frestur krefjast þess að geymslulausn tryggi lesanleika skráa til langs tíma (PDF/A-3, XAdES-LTA fyrir XML-undirskriftir) og aðgangskost að dulritunarlyklum.

Undirskriftarsnið með långri endingu

Sniðin XAdES-LT og XAdES-LTA (Long Term Archival), skilgreind af ETSI EN 319 132 staðli, setja inn í undirritað skjal allar upplýsingar sem nauðsynlegar eru til að staðfesta seint: fullkompletta vottunarkeðju, OCSP eða CRL svör, skrásettingu endurskoðunar. Þessi sjálfsækkni skjala er mikilvæg vegna þess að vottorð vottunaraðila hafa takmarkaðan gilditíma (1 til 3 ár) og PKI innviðir breytast. Án þessa aðferðar myndu undirskrift sem gildi í dag kunna að verða tæknilega óviðunandi eftir fimm ár, sem myndu trufla óafturkræfan gildisgildi hennar.

Gæðavísar fullorðinsleika: meta stöðu þína

Fullorðinsleiki gerð með fimm stigum

Til að hjálpa stjórnendum endurskoðunar og samræmis að staðsetja stofnun sína er gagnlegt að beita stigaðri fullorðinsleiki:

• Stig 1 — Ekki til staðar: undirskriftir með tölvupósti án formlegrar endurskoðunarslóðar.

• Stig 2 — Þroskamild: grunnur tímastimpill, engin vottorð, óuppbyggð atburðabækur.

• Stig 3 — Skilgreint: SaaS lausn samræmd eIDAS, útflutningarhæf atburðabækur, geymsla 5 ár.

• Stig 4 — Stjórnað: GRC-samþætting, sjálfvirk viðvörun á frávik, AEVP samræmd NF Z 42-013.

• Stig 5 — Fínstillt: rauntímabund endurskoðunarslóð, gervigreind frávikavörn, sjálfvirk GDPR-skýrslugeta, árleg endurskoðun á kvíðum.

Flest SME-fyrirtæki í Frakklandi eru á milli stiga 2 og 3 samkvæmt State of Digital Trust Adobe (2025). Stór CAC 40 fyrirtæki stefna á stig 4, dregin af kröfum framkvæmdastjóra þeirra og eftirlitsstofnana innan geira.

Úrvalsskilyrði fyrir rakvarða og endurskoðunarhæfa lausn

Við val eða flutninga á nýja rafrænu undirskriftarkerfi ættu framfærslukilyrði að vega jafnmikið og mannatöl eða verð. Lykilspurningarnar sem á að spyrja þjónustuaðilans:

• Er endurskoðunarslóðin óbreytanleg (vörn gegn breytingum frá framleiðandanum sjálfum)?

• Er tímastimpill veittur af hæfu TSA á eIDAS-traustalista (Trust List)?

• Eru framfærslugögn geymd í Evrópu (fullveldi, GDPR)?

• Eru atburðabækur útflutningshæf í opin snið (JSON, XML, CSV) án sérlegrar háðrar þess?

• Eru til endurskoðunarAPIs sem gera kleift samþættingu við núverandi GRC-verkfæri?

• Er þjónustuveitandi sjálf háð SOC 2 Type II endurskoðun eða löggiltur ISO 27001?

Ef þú vilt skipta um lausn, sýnir okkar leiðbeiningar um flutninga frá DocuSign eða YouSign yfir í Certyneo skref til að viðhalda samfellu núverandi endurskoðunarslóða án skjalavans.

Gildandi lagaleg ramminn á framfærslu raffræna undirskrifta

Borgaralegur kóði og sönnunargeta

Grein 1366 borgaralegur kóði setur grundvallarregluna: « Rafrænta skrif hefur sömu sönnunargildi og ritmál á pappír, með fyrirvara um að hægt sé að bera kennsl á einstakling sem kemur þaðan og að hún sé stofnuð og geymd við aðstæður sem tryggi heilindi hennar. » Grein 1367 skýrir að undirskrift rafrænta « samanstendur af notkun áreiðanlegrar auðkenningu sem tryggir tengingu hennar við gerninginn sem hún fylgir. » Þessir tveir greinarflokkar gera framfærslu og heilindi til lagalegra aðstöðu sine qua non fyrir viðtökum rafrænna sönnunar.

Reglugerð eIDAS nr. 910/2014 og eIDAS 2.0

Evrópsk reglugerð eIDAS nr. 910/2014 setur fram lagalega ramma raffræna undirskrifta í Evrópusambandinu. Grein 25 hennar áskilur að hæf rafræn undirskrift (QES) sé með sömu lagalegu áhrif og handritun í öllum aðildarríkjum. Greinarflokkar 26 (framandi undirskrift) og 27 (þjóðkirkjuleg viðurkenning) gera strangar tæknilegar kröfur á auðkenningu og heilindi sem skipta sér beint í framfærsluskyldur. eIDAS 2.0 reglugerðin (Evrópsk reglugerð 2024/1183, sem tók gildi 20. maí 2024) styrkir þessar kröfur með því að samþætta Evrópska stafræna auðkenningu (EUDIW) og útvíkka skyldur til vottuðra þjónustuaðila.

GDPR nr. 2016/679 og framfærslugögn

Endurskoðunarslóðir innihalda persónuauðkennanleg gögn (IP-tölur, auðkenning undirritara, hegðunarstærðir). Þau mynda því gagnvinnslu persónuupplýsinga sem falla undir GDPR. Megináskilur:

• Réttarlegur grundvöllur: lögmæt hagsmunir (gr. 6.1.f) eða lagaleg skylda (gr. 6.1.c), skjölun í skrá vinnslu.

• Lágmörkun: safna aðeins gögnum sem nauðsynleg eru fyrir sönnunartilgang.

• Geymslutími: takmarkaður við gildandi fyrirskipandi frest, með sjálfvirkri eyðingu á gjalddaga.

• Öryggi: dulritun atburðabóka við hvíld og umferð, strangt aðgangseftirlit (gr. 32).

• Flutningur utan ESB: óheimil án fullnægjandi trygginga (samningstöl, adekvátaheitarbílagreining).

ETSI staðlar og langvarandi geymsla

ETSI EN 319 132 staðlar (XAdES), ETSI EN 319 122 (CAdES) og ETSI EN 319 102 (myndunar og staðfestir verklag) skilgreina tæknilegar kröfur á snið undirskrifta með longur endingu. Franski NF Z 42-013 staðall stjórnar rafrænum geymslukerfum með sönnunargetu (SAEVP). Allar stofnanir sem vilja að endurskoðunarslóðir myndu óumdeilanlegar sönnunar til langs tíma verða að tryggja að þjónustuaðili þeirra eða innri SAE samræmist þessum gögnum.

NIS 2 og endurkræf á traustkerfum

NIS 2 tilskipunin (innleidd í Frakklandsrétt með lögum nr. 2024-659 frá 9. júlí 2024) gerir skyldur fyrir rekstraraðila nauðsynlegra þjónustu og mikilvægra aðila um áhættustjórnun og tilkynning um atvika sem fela beint í sér traustkerfin sem notuð eru fyrir rafræna undirskrift. Bilun í framfærslukerfi PSC getur verið talin atvik sem þarf að tilkynna ANSSI innan 24 klukkustunda.

Notkun sviðsmyndir: framfærslugeta í verki

Sviðsmynd 1 — Iðnaðarhópur með miðlungs stærð og 1 200 háskólasamningum árlega

Iðnaðarhópur um 3 500 starfsmenn, dreifður á sex staði í Frakklandi og tvo í Mið-Evrópu, stýrir meira en 1 200 birgðasamningum á ári (rammaskuldir, trúnaðarkjör, breytingartillögur). Áður en rafræn undirskriftarlausn með innbyggðu endurskoðunarslóðum var notuð, hafði innkaup hans þjón geymt undirritaða samninga í sameiginlegu netamöppumöppum, án útgáfuyfirtunar eða atburðabóka. Við ytri endurskoðun sem framkvæmd var af hluthafastofnun hét eftirlit ekki endurbyggja villandi staðfestingakeðju 23% samninga sem skoðaðir voru: ómögulegt að sanna að undirritari fengi rétt til framfærslu á þeim tíma undirskriftar.

Eftir fjárfestingu á raffrænu undirskriftarkerfi (AdES) með óbreytanlegum endurskoðunarslóðum tímastimpluðum af hæfu TSA fær hópurinn nú fyrir hvern samning útflutningslegan PDF endurskoðunarslóð með einni smellingu. Við eftirfylgn endurskoðun (18 mánuðir síðar) dróst endurbyggingarhlutfall staðfestingakeðja til 100%, og tími sem endurskoðunarhópur tilbratnað til sönnunargagnasöfnunar dróst um 65%.

Sviðsmynd 2 — Ráðgjafarskrifstofa með 40 ráðgjöfum undir GDPR-kröfum viðskiptavina

Ráðgjafarskrifstofa sem aðstoðar fjármálastjórnanda stórfyrirtækja verða reglulega endurskoðuð af lögfræðideildum viðskiptavina sinna, sem krefjast sönnunar um að verkstað og trúnaðarsamningar séu raunverulega undirritaðir af heimiltum fulltrúum innan samningsfests. Skrifstofan notaði áður einfalda tölvupóst undirskrift (skjáskot + PDF), án áreiðanlegrar sönnunargildi.

Með flutninga á hæfu raffrænu undirskriftarkerfi (QES) fyrir viðkvæmustu gerninga og framandi (AdES) fyrir rekstrarloforð getur skrifstofan nú veitt viðskiptavinum sínum staðlað sönnunarpakka: undirskriftarvottorð, endurskoðunarslóðaskýrslu, hæfulegan tímastimpil og auðkenningu. Þessi pakki hefur gert kleift að vinna tvo tilboðs fyrir lýst fyrir lögmæta framfærslu var skýr útileggingarregla, sem sýndu viðbótarafkomu um 180.000 € á fyrsta ári.

Sviðsmynd 3 — Spítalissamtökin um 1 100 rúm frammi fyrir endurskoðun Reikning Franklands

Spítalissamtök sem stjórna mörgum stofnunum verða að standa frammi fyrir reglubundinni endurskoðun svæðisbundinnar endurskoðunardeildar á opinberum gerningum og samvinnu samningum. Rafrænta undirritaðir samningar verða að geta verið framleiddir með fullri endurskoðunarslóðu innan stuttra frest (48 til 72 klukkustundir ef kallað verður fram).

Stofnunin hefur sett á stofn geymsluarkitektur með sönnunargetu (AEVP) samræmd NF Z 42-013 staðli, tengd í gegnum API við undirskriftarkerfi sín. Hver undirritað skjal er sjálfvirkt flutt í SAE með tengdri endurskoðunarslóðu. Við endurskoðun um 340 opinbera gerninga undirritaðra á þremur bókhaldslokum gátu allar réttlætingargögn verið framleiddar innan minna en 4 klukkustundir, borið saman við tvær vikur við fyrri endurskoðun. Dómari skýrslugjafarinn benti sérstaklega á gæði framfærslustaðsetningar í sameiginlegri skýrslu.

Niðurlausn

Full framfærslugeta rafrænar undirskriftar er ekki lengur valkostur fyrir stór kerfi: það er lagaleg krafa, innri endurskoðunartæki og aðgreiningarveitandi við tilboðskall og áreiðanleika skoðanir. Með því að sameina undirskriftarsnið samræmd ETSI stöðlum, hæfu tímastimpli, sönnunargetu geymslu og API samþættingu við GRC-verkfæri þín umbreytir þú hverri undirskrift í óandfræðanlegrar sönnun, nothæfa strax við hvaða eftirlit eða málarekstur sem er.

Certyneo var hannað frá upphafi til að uppfylla þessar kröfur: óbreytanlegar endurskoðunarslóðir, evrópsk hæfur TSA, fullveldisheimildir og skjalað API-samþættingu. Hvort sem þú byrjar á damamering þinni eða það sem þú leitast til að styrkja fullorðinsleika núverandi tilkomuöks, eru teymi okkar til taks til að leiðbeina þér. Beiðu um persónulega kyningu á certyneo.com/contact og uppgötvaðu hvernig skra framfærslugetu skjals þín frá dag.