TMD vs TMK : réglementarisaðu mismunur og framleg aðferðir

Kynning : Hvers vegna aðgreina TMD og TMK ?

Í vistkerfi stafræns trausts Evrópu vekja hugtökin Traustvörður gagna (TMD) og Traustvörður lykla (TMK) — sem tákna í sömu röð traustveiðar fyrir rafræn gögn og fyrir innviði dulritunarlykla — oft rugling meðal lögfræðinga og IT-stjórnenda. Engu að síður eru réttarlegu regimir þeirra, tæknileg umfang og framleg afleiðingar grundvallarólík. Þessi grein skýrir þessa tvo virkni, sýnir þeirra viðeigandi regluverk og leiðbeinir stærri fyrirtækjum (B2B) við að velja réttasta lausn fyrir skjalalaust flæði þeirra.

---

Hvað er TMD (Traustvörður gagna) ?

TMD, eða traustvörður fyrir gögn, táknar mengi verkferla og dulmálseiginleika sem leyfa að staðfesta heilleika og áreiðanleika gagnasafns eða rafræns skjals. Það byggir fyrst og fremst á hæfðum rafrænum innsiglum (qualified electronic seal) samkvæmt eIDAS reglugerðinni.

Tæknilegar undirstöður TMD

Tæknilega hvílir TMD á :

• Hashfalli (SHA-256, SHA-3) sem er beitt á upprunaleg gögn og myndar einstaka stafræna fingrafar ;

• Stafrænu skírteini gefið út af hæfðum traustsþjónustuveitendum (PSCQ), sem ábyrgist auðkenni útgefandi ;

• Hæfðu rafrænu tímastimpli í samræmi við ETSI EN 319 421 staðalinn, sem veitir tímasanningu.

Þessir þrír þættir sameinaðir gefa TMD háa sönnunargildi, sem jafngildir opinberum skjölum í mörgum ESB-aðildarríkjum. Til að komast dýpra inn í laglegt gildi tímastimpluðra skjala, sjá okkar ítarlega leiðarvísi um rafræna undirritun.

Helstu notkun TMD

TMD hentar sérstaklega vel þegar stofnun þarf að staðfesta heilleika stórra gagnagagna án þess að krefjast virks þátttöku auðkenndra einstaklinga. Það finnst sérstaklega í :

• Staðfestingu á bókhald- og fjárhagsflæmi (endurskoðunarskrár, aðalreikningsskilum) ;

• Löglegu varðveislu stafræna sönnunargagna (hvílir á NF Z 42-013) ;

• Skipti EDI milli viðskiptafélaga í aðfangakeðjum.

---

Hvað er TMK (Traustvörður lykla) ?

TMK, eða traustvörður fyrir dulritunarlykla, fylgir öðru rökfræðilegu kerfi : hann staðfestir ekki gögnin sjálf heldur innviði opinberra lykla (PKI) og tæki til að búa til undirritun sem notandi nota. Hann er nátengdur Hæfðum tækjum til gerð undirskriftar (QSCD) skilgreindur í Viðauka II eIDAS reglugerðarinnar.

Dulritunarkerfí TMK

TMK felur í sér :

• HSM-einingu (Hardware Security Module) sem er staðfest CC EAL 4+ eða FIPS 140-2 stigi 3, sem ábyrgist að einkalyklar yfirgefa aldrei öruggt tæki ;

• Stefnu um vottun sem er skjöluð (CPS – Certification Practice Statement) gefin út af PSCQ ;

• Kerfi til að afturkalla í rauntíma með OCSP (Online Certificate Status Protocol) eða CRL (Certificate Revocation List).

Styrkur TMK byggir því á líkamilegri og rökfræðilegri öryggi tækja sem mynda og geyma lykla. Til að skilja hvernig þessar kröfur samspila við almennt regluverk, er okkar leiðarvísi um eIDAS 2.0 reglugerðina ómissandi tilvísun.

Helstu notkun TMK

TMK er nauðsynleg þegar lagaleg ábyrgð á auðkenndri einstaklingi verður að vera endanlega staðfest :

• Undirritun á samningum með miklu lagalegu gildi (sölu atvinnuréttinda, atvinnuleigu, dómkirkjulegum gerningum) ;

• Ferli um sterka auðkenningu í opinberum og fyrirtækjagáttum (tollaforritum, Chorus Pro-kerfum) ;

• Staðfestingu á greiðslupöntunum í fjármálastofnunum sem eru háðar DSP2.

---

Réttarleg samanburður : TMD vs TMK

Mest skipandi aðgreining milli TMD og TMK er í réttarlegri tengingu innan eIDAS reglugerðarinnar (nr. 910/2014) og hennar arfleifar eIDAS 2.0 (reglugerð ESB 2024/1183).

Reglur um ábyrgð

| Viðmið | TMD | TMK | |---|---|---| | Ábyrgðaraðili | Lögaðili (stofnun) | Auðkennð einstaklingur eða lögaðili | | Traustsstig | Framkomið eða hæft (innsigli) | Hæft (hæf rafræn undirritun) | | Lagaleg forsenda | Heilleika gagna | Samþykki og auðkenni undirritara | | Þverflokkun | Sjálfkrafa viðurkenning ESB | Sjálfkrafa viðurkenning ESB (gr. 25 eIDAS) |

TMD bætir ábyrgð stofnunarinnar : ef heilleika staðfestu gagna eru brotin er stofnunin ábyrg. TMK bætir hins vegar einstaka ábyrgð lykillshafa — sem gerir það til óumflýjanlegs tóls fyrir öll verkefni þar sem persónuleg vilji verður að vera sönnuð án tvíræðni.

Sönnunargildi fyrir frönsku dómstóla

Samkvæmt frönsku lögum, setning 1366 borgaralegra laga : „Rafrænt skjal hefur sama sönnunargildi og pappírsskjöl, með því skilyrði að það sé hægt að auðkenna með vissu þann sem það kemur frá og það var samnað og geymt á þann hátt að heilleika þess sé tryggð". Þessi orðalag felur í sér báða aðferðir, en með mikilvægum mismunum :

• Skjal sem varið er af hæfðum TMD nýtur forsendunnar um heilleika sem snýr sönnunarbyrðinni við ;

• Skjal sem undirritað er með hæfðu TMK nýtur, ennfremur, forsendunnar um eignarrétt — undirritari verður sjálf að sanna að hann hafi ekki undirritað, sem er afar erfitt.

Þessi ójafnvægi sönnunar skýrir hvers vegna lögfræðingar og lögfræðistofa sem nota rafræna undirritun kjósa TMK fyrir gerning sem eru háðir formkröfum.

Samvirkni og gagnkvæm viðurkenning

eIDAS 2.0 styrkir samvinnu með Evrópskum stafrænum auðkenningu (EDIW), sem mun á innfelldum hætti innihalda TMK-kerfi fyrir borgarana og fagfólk. TMD treystir meira á traustslistir ríkja (Trusted Lists) sem hvert ríkisland gefur út. Frakkland gefur sína út af ANSSI, og allir hæfðir PSCQ eru skráðir þar. Fyrir samanburðargreiningu á markaðslausnum okkar samanburð á rafrænum undirritunarlausnum mun gefa þér alríkis ákvarðanir.

---

Framleg áhrif fyrir B2B fyrirtæki

Velja á milli TMD og TMK eftir skjalaflokki

Gyllt regla er einföld : lagaleg áhætta skjalsins fyrir fram aðferðina.

• Skjöl með meðaláhættu (pantanir, verðtilboð, skilmálar, venjuleg þegunarsamkomulag) : TMD með framkomnu innsigli dugar yfirleitt. Það veitir trausta vernd heilleika án aukakostnaðar vegna hæfis QSCD.

• Skjöl með hári áhættu (atvinnu-, umboðs-, sölu- og fjárhagssamningar umfram 50.000 €) : hæft TMK er mælt með, jafnvel skylt, af völdum geirum (banki, tryggingu, heilsu).

Fyrir mannauðsteymi sem stýra miklu magni atvinnu- eða samningsgerningar okkar lausn rafræn undirritun fyrir mannauð inniheldur mjög þægilegt traustsstig fyrir hverja skjalategundir.

Kostnaður og tími innleiðingar

TMD er yfirleitt ódýrari að setja upp þar sem það krefst ekki sterks auðkenniferlis (KYC/AML) fyrir hvern undirritara. Samþætting hans með API í skjalastjórnunarkerfi (GED) eða ERP tekur að meðaltali 2 til 6 vikur eftir flóknara forritunarlandi.

TMK, vegna QSCD-krafa og auðkenningarferlisins, felur í sér 3 til 10 virka daga fyrir hvern undirritara. Fyrir stærri fyrirtæki með marga utanaðkomandi samstarfsaðila getur þetta verið þrengandi þáttur sem þarf að gera grein fyrir við skipulagsmbreytingar.

Skráarkerfi og varðveisla

Óháð völdu aðferðum verða öll fyrirtæki sem eru háð frönsku lögum að virða lagakröfur um varðveislu : 10 ár fyrir viðskiptasamninga (grein L. 110-4 viðskiptalaga), 5 ár fyrir tengd persónaupplýsingu (ALLU gr. 5). Sönnunarkerfi sem er fylgt eftir NF Z 42-013 fullyrðir að gildi TMD eða TMK sé varðveitt með tímum, jafnvel við tæknilega tilfærslu.

Réttarlegur rammi TMD og TMK

eIDAS reglugerðin og þróun þess

Grunnlegur réttarlegur rammi TMD og TMK er reglugerð ESB nr. 910/2014 Evrópa þings og ráðsins frá 23. júlí 2014, sem kallast eIDAS reglugerðin. Þessi stofnfræðilegi texti skapar stig traustsmunks (einföld, framkomin, hæf) og skilgreinir skilyrði fyrir þverflokkun þjónustu innan Evrópusambandsins.

Árið 2024 hefur reglugerð ESB 2024/1183 (eIDAS 2.0) endurskrifað þennan ramma og kynnt m.a. :

• Evrópsku stafræmu auðkenningaveski (EDIW) sem eru skylda fyrir aðildarríki fyrir 2026 ;

• Nýja flokka traustsþjónustu, þ.m.t. hæf rafræn vottanir með kvali ;

• Auknar kröfur á PSCQ um netörygggi (samstæðu NIS2).

Frönsku borgaralög : greinum 1366 og 1367

Í innlendri löggjöf, greinum 1366 og 1367 borgaralegra laga (sem afleiddir af tilskipun nr. 2016-131 frá 10. febrúar 2016) setja þau skilyrði fyrir sönnunargili rafræns skjals. Grein 1367 gætir að hæf rafræn undirritun (byggð á hæfðu TMK og QSCD) „skapar einfalda forsendum áreiðanleika". Þessi forsenda er endalaus en snýr sönnunarbyrði til hagsbóta fyrir undirritunargarnanda.

ETSI staðlar sem gilda

Tæknilegar forskriftir TMD og TMK eru staðlaðar af ETSI (Evrópsku fjarskiptastöðu) :

• ETSI EN 319 132 : ítarleg rafræn undirritun XAdES ;

• ETSI EN 319 122 : CAdES undirritun ;

• ETSI EN 319 142 : PAdES undirritun (PDF) ;

• ETSI EN 319 421 : stefna um hæfðan rafrænan tímastimpil ;

• ETSI EN 319 401 : almennar kröfur fyrir PSCQ.

ALLU og gagnavorn

Innleiðing TMD og TMK felur í sér meðferð persónuupplýsinga (auðkenni undirritara, undirskriftargögn). Reglugerð ESB 2016/679 (ALLU) setur fram :

• Skýra lagalegum grundvöllum fyrir meðferð (samningsgangir, gr. 6.1.b, eða lagaleg skylda, gr. 6.1.c) ;

• Skrá meðferðar sem fylgist með gagnagangum til PSCQ ;

• Samningsskópi sem hentar ef PSCQ er settur fyrir utan ESB eða notar undirverktaka utan Evrópu.

NIS2 tilskipun og netörygggi á PKI innviðum

Tilskipun ESB 2022/2555 (NIS2), sem var undirrituð í frönsku lögum með lögum frá 17. apríl 2024, leggur það PSCQ á fullt fyrir um aukin krafa um stjórnun áhættu, tilkynningu um atvik (24 klst. tilkynningu til ANSSI) og reglulega endurskoðun. Fyrir viðskiptastofnanir sem nota þjónustu er þetta jöfn aukinn skyldueining við val á traustsaðila.

Raunhæf notkunardæmi

Aðstæður 1 : Lítil iðnaðarfyrirtæki með 300 birgjasamninga á ári

Lítil iðnaðarfyrirtæki með um hundrað starfsmenn, sérhæf í framleiðslu vélrænna íhluta, stýrir árlega um 300 birgjasamninga (kaup á hráefni, viðhaldsþjónustu, ramma-samningum flutningskennings). Fram til þessa fóru þessi skjöl með pósthúsum eða óöruggum tölvupóstum, með meðalúndirritunartíma 12-18 virka daga.

Með því að nota hæfðan TMD fyrir samninga með verðmæti minni en 20.000 € og hæft TMK fyrir stærri eða margra ára fullyrkingin, dregur fyrirtæki úndirritunartíma niður í 1,8 virka daga að meðaltali, sem er 85% minnkun. Lagaleg deilur vegna andmæla gegn heilleika skjals, sem tjáðu 2-3 dómsmeðferðir á ári, fara niður í núll á 18 mánaðum eftir innleiðingu — þar sem lagaleg forsenda tengd hæfðu kerfjum kemur í veg fyrir tilraunir til að mótmæla.

Aðstæður 2 : Sjúkrahúsaflokki með um 600 rúmum

Opinber sjúkrahúsaflokki sem stjórnar nokkrum stofnunum verður að undirrita árlega þúsundir af skjölum : samningum um starfandi lækna, rannsóknarkóða, samninga við háskólasamstarfsaðila og lyfjafyrirtæki. Heilbrigðisgeirinn setur sérstakar reglusettar takmarkanir (HDS — gagnavernd heilsu, PGSSI-S).

Flokki innlegg hæft TMK fyrir undirritun læknisstarfsfólks (sem úthliðar læknisábyrgð og réttarlegu ábyrgð) og ítarlegu TMD til að fullyrka gagnaganga sjúklinga milli stofnana. Samsetning beggja aðferða gerir stofnuninni kleift að draga úr prentun, stafnun og efnislegri varðveislu um 45.000 € á ári á meðan hún styrkir samræmi ALLU og HDS. Samkvæm endurskoðun, sem áður krafðist 3 vikna undirbúnings skjala, minnkar í 4 daga vegna sjálfvirkra endurskoðunarskráa.

Aðstæður 3 : Ábúðafélag sem sérhæf í samruna og yfirtöku

Ábúðafélag sem sérhæf í M&A og aðstoðar tíu aðgerðum á ári verður að stýra tilkynningabréfum, auknum þegunarsamningum, samningakóðum og söludocumentum. Verðmæti aðgerða er 5M € til 80M €. Minnsti deilur um áreiðanleika skjals getur lokað viðskiptum um marga mánuði.

Með því að setja skilyrði um að nota hæft TMK fyrir öll viðskiptaskjöl frá due diligence stigi, útilokar ábúðafélagið áhættu af formlegum andmælum. Útlend sérfræðingur (sérstaklega bresk og bandarísk eftir Brexit) viðurkenna sönnunargildi hæfðra eIDAS undirskrifta innan samningsrammi sem gera ráð fyrir evrópskum lögum. Meðaltími lokamunks skjala minnkar úr 22 dögum í 8 daga, sem eru 63% hagnaður á lokamunks tíma.

Niðurstaða

TMD og TMK eru ekki skiptanleg : hið fyrra fullyrðir heilleika gagna á stærðargráðu stofnunarinnar, hið seinni úthliðar ábyrgð einstaklings undirritara með hámarksönnunargili sem eIDAS setur. Að skilja þennan mismun er nú forsenda fyrir alvarlegri gagnastefnu í B2B umhverfi. Val rétta aðferðar beinist beint að lagalegri áhættu hvers skjalategundar og geirasérðum kröfum.

Certyneo fullyrir þér við innleiðingu á stafræmri traustsstefnu sem sameinar TMD og TMK eftir raunverulegum gagnagöngum. Okkar verkfær styðja báðar aðferðir, innleiðir eIDAS 2.0 kröfur og aðlagast núverandi IT-umhverfi. Biddu um sýningu eða borið saman okkar tilboð á Verðsíðu Certyneo — okkar lögfræðilegu og tæknilegu sérfræðingar eru aðgengilegir til að endurskoða óþörf stöðu þinni.