Pereiti prie pagrindinio turinio
Certyneo

ISO sertifikavimas elektroninei parašui: 2026 m. vadovas

ISO 27001, eIDAS, ETSI… elektroninio parašo paslaugų teikėjų sertifikavimai tapo nepakeičiamu pasirinkimo kriterijumi. Sužinokite, kaip juos efektyviai palyginti.

Équipe éditoriale Certyneo11 min skaitymo

Équipe éditoriale Certyneo

Redaktorius — Certyneo · Apie Certyneo

Elektroninis parašas tapo standartu Prancūzijos ir Europos įmonių dokumentų valdyme. Tačiau už akivaizdaus patvirtinimo spustelėjimo papraštumo slypi itin sudėtinga techninė ir norminė ekosistema. 2026 m. klausimas jau ne „ar reikalingas elektroninis parašas?", o „kuris paslaugų teikėjas suteikia pakankami saugumo ir atitikties garantijas mano verslo kontekstui?". ISO sertifikavimai — ypač ISO 27001 — yra vienas iš patikimiausių atsakymų į šį klausimą. Šiame straipsnyje jus padidinsime per pagrindinius sertifikavimus, taikomus elektroninio parašo paslaugų teikėjams, jų tikrąjį mastelį ir kriterijus, kurie turi būti naudojami atliekant kruopščią palyginimą.

Kodėl ISO sertifikavimai yra svarbūs elektroniniam parašui

Elektroninis parašas nėra tik programinės įrangos funkcija. Jis grindžia pasirašančios įmonės teisinę atsakomybę, apdorojamų duomenų konfidencialumą ir ilgalaikę archyvinių dokumentų vientisumą. Todėl paslaugų teikėjo gauti sertifikavimai yra ne paprasčiausiai rinkodaros ženklai: jie liudija saugumo brandos lygį, kurio audito ataskaitas atliko nepriklausomas šalies organas.

ISO 27001: nepakeičiamas informacijos saugumo pagrindas

ISO/IEC 27001 yra tarptautinis atskaitos standartas informacijos saugumo valdymo sistemoms (ISMS). Jis apima duomenų konfidencialumą, vientisumą ir pasiekiamumą. Elektroninio parašo paslaugų teikėjui šis sertifikavimas reiškia, kad visi jo procesai — nuo pasirašančiojo sąskaitos sukūrimo iki pasirašyto dokumento archyvavimo — yra kontroliuojami dokumentuotais būdais, reguliariai audituojami akredituoto organo (pvz., LSTI, Bureau Veritas, BSI ir kt.).

Praktiškai ISO 27001 reikalauja iš paslaugų teikėjo:

  • Išsamaus informacijos turto ir susijusių rizikų inventoriaus
  • Griežtų prieigos kontrolės politikų (stiprus autentifikavimas, privilegijų valdymas)
  • Incidentų valdymo ir veiklos tęstinumo procedūrų
  • Reguliarių vidinių auditų ir metinės vadovybės peržiūros
  • Nuolatinio pažeidžiamumo stebėjimo

Nuo 2022 m. galiojanti versija (ISO/IEC 27001:2022) apima 93 saugumo priemones, sugrupuotas į keturis kryptis: organizacines, žmogaus, fizines ir technologines. Pagal šią versiją sertifikuotas paslaugų teikėjas parodo atnaujintą saugumo padėtį šiuolaikiniams grėsmėms (įskaitant ransomware atakas ir tiekimo grandinės kompromitacijas).

ISO 27017 ir ISO 27018: būtinos debesų nuotolinio kompiuterija plėtiniai

Beveik visos SaaS elektroninio parašo sprendimai remiasi debesų infrastruktūra. Šiame kontekste dvi ISO 27000 šeimos plėtiniai nusipelno dėmesio:

ISO/IEC 27017 suteikia specifines debesų paslaugų gaires, ypač apimančias paslaugų teikėjo ir jo subrangovų (telkinių šeimininkams, pasitikėjimo šaltiniams) atsakomybę. B2B pirkėjui, patvirtinant, kad paslaugų teikėjas turi šį sertifikavimą arba jam atitinka, leidžia patikrinti, kad debesyje saugomos duomenys yra taikomi tiems patiems saugumo reikalavimams, kaip vietiniuose aplinkose.

ISO/IEC 27018 konkrečiai skirta asmens duomenų apsaugai debesyje. Ji papildo GDPR, apibrėždama operacines praktikas: datos naudojimo draudimas reklamavimo tikslais be aiškaus sutikimo, skaidrumas dėl subrangovų, persiuntimo teisė. DPO ir atitikties vadovams šis sertifikavimas parodo papildomą atsidavimą duomenims apie pasirašytuosius.

Norėdami giliau suprasti teisinę vertę, suteikiamą šiais standartais susijusi su Europos teise, apsilankykite mūsų elektroninio parašo teisinės vertės vadove.

eIDAS sertifikavimas ir ETSI standartai: ką reiškia būti „kvalifikuotu"

Viršpakliaustyti ISO standartais, Europos norminė sistema nustato savo atitikties reikalavimus paslaugų teikėjams (PSC). Europos reguliavimas eIDAS Nr. 910/2014, kurio peržiūra eIDAS 2.0 vyksta, atskiria tris elektroninio parašo lygius: paprastą, išplėstą ir kvalifikuotą.

Kvalifikuoto pasitikėjimo paslaugų teikėjo (KPPT) statusas

Norėdamas teikti kvalifikuotus elektroninius parašus — vienintelį lygį, kuris yra teisiškai lygus rankų parašui visose ES valstybėse — paslaugų teikėjas turi būti užregistruotas savo šalies pasitikėjimo sąraše (Prancūzijoje — ANSSI valdomas sąrašas). Šis kvalifikavimas remiasi pradininiu audifu, atliktą akredituota atitikties vertinimo liudijimo kūrimo institucija (CAB), tada reguliariais stebėsenos auditais.

Pagrindiniai techniniai standartai, kuriuos publikuoja ETSI (Europos telekomunikacijų standartų institutas):

  • ETSI EN 319 401: bendrieji reikalavimai PSC
  • ETSI EN 319 411: politika ir sertifikatų iš iždo praktiką
  • ETSI EN 319 132: XAdES XML parašo profiliai
  • ETSI EN 319 122: CAdES CMS parašo profiliai
  • ETSI EN 319 162: užregistruota elektroninės pristatymo paslauga

Pagal šiuos ETSI standartus sertifikuotas paslaugų teikėjas tikrina techninio suderinamumo jo parašus su visais pripažintais sprendimais Europos erdvėje, kas yra būtina įmonėms, veikiančioms keliose šalyse. Mūsų išsamus eIDAS reguliavimo vadovas išsamiai apibūdina pareigas, susijusias su kiekvienu kvalifikavimo lygiu.

SOC 2 Type II: šiaurės Amerikoje stebimas papildomasis standartas

Nors rečiau Europos erdvėje, SOC 2 Type II ataskaita, išduota pagal AICPA standartus, dažnai reikalavimas didelėms įmonėms, ypač tiems, turinčiems filialus JAV arba amerikietiškus partnerius. Skirtingai nuo ISO 27001 (sertifikavimo), SOC 2 yra audito ataskaita, patvirtinanti pasitikėjimo paslaugų standartų (saugumas, pasiekiamumas, integralumas apdorojus, konfidencialumas, privatumas) atitiktį per tam tikrą stebėjimo laikotarpį, paprastai šešis iki dvylika mėnesių. Atliekant išsamų palyginimą, patvirtinti, ar paslaugų teikėjas turi šiuolaikinę SOC 2 Type II ataskaitą (jaunesne nei dvylika mėnesių) sudaro stiprų operacinio brandumo signalą.

Sertifikavimų palyginimas paslaugų teikėjams: metodika ir kriterijai

Susiduriant su galimais sertifikavimais, B2B pirkėjai turi priimti struktūrintą analizės tinklelį, bet ne pasikliauti tik rinkodaros žodžiais. Mūsų elektroninio parašo sprendimų palyginimas skaičiuoja pagrindinius Prancūzijoje prieinamus pagrindus; štai kaip įvertinti jų sertifikavimo lygį.

Keturi klausimai, kuriuos reikia sistemingai užduoti

1. Kuri yra tikslus sertifikavimo data ir apimtis? ISO 27001 sertifikavimas, gautas prieš tris metus ir neobnovtas, nesiūlo tokių pat garantijų, kaip šiuo metu galiojantis sertifikatas. Sistemingai prašykite oficialaus sertifikato ir patvirtinkite audituoto tūrio mastą: kai kurie paslaugų teikėjai sertifikuoja tik savo pagrindinę būstinę, atmesdami duomenų centrus ar komandas, dirb užsienyje.

2. Kas atliko sertifikavimo auditą? Sertifikavimo organizacija pati turėtų būti akredituota IAF nario (Tarptautinė akredituojančių institucijų foruma). Prancūzijoje COFRAC (Prancūzijos nacionalinė akredituojančių institucija) yra kompetentinga institucija. Sertifikatas, kurį išdavė ne akredituota organizacija, neturi jokios sutartinės ar norminės vertės.

3. Ar paslaugų teikėjas skelbia savo metinį penetracinio testo ataskaitą? ISO 27001 sertifikavimas reikalauja reguliaraus pažeidžiamumo vertinimo, tačiau nepribliža jokios standartinės penetracinio testo formos. Brandios paslaugų teikėjas publikus executive summary savo metinio pentesto, atliktą nepriklausomo šaltinio. ANSSI rekomenduoja šio tipo darbams kreiptis į PASSI kvalifikuotus paslaugų teikėjus (Informacinių sistemų saugumo audito paslaugų teikėjas).

4. Kokie subrangos ir susijęs sertifikavimai? Elektroninio parašo paslaugų teikėjas dažniausiai remiasi debesų globėju (AWS, Azure, OVHcloud ir kt.) ir kartais nepriklausomais sertifikavimo šaltiniais. Patvirtinkite, kad šie subrangos patys turi atitinkamus sertifikavimus (ISO 27001, HDS sveikatos duomenims, SecNumCloud jautriem duomenims). Pasitikėjimo grandinė yra vertinga tik tada, kai kiekvienas jos grandinės žiedas yra audituojamas.

Specialus HDS atskaitos atvejis sveikatos duomenims

Sveikatos įstaigoms, PKPP, tarpininkams ar draudėjams, tvarkantiems medicininius duomenis, HDS sertifikavimas (sveikatos duomenų globėjas) prie ISO reikalavimų. Nuo sausio 26, 2018 m. dekretavimo, visi sveikatos duomenų, turintys asmeninį pobūdį, globėjai turi būti sertifikuoti HDS iš akredituoto organo. Elektroninio parašo paslaugų teikėjui, naudojamam medicininiam kontekste — sutikimas į gydymą, išleista recepcinė demateriaiizuota, hospitalizacijos ataskaita — šis sertifikavimas yra būtina sąlyga. Sužinokite apie elektroninio parašo specifiką sveikatoje, norėdami įvertinti savo pareigas.

Sertifikavimų poveikis sutartiniam deryboms ir dėmesio tyrimams

Paslaugų teikėjo gauti sertifikavimai nėra tik komercines argumentus: jie struktūruoja šalių tarpusavio santykius ir atsakomybės paskirstymą.

Sutarties nuostatos, kurias reikia sistemingai įtraukti

Derybose su elektroninio parašo paslaugų teikėju, kelios nuostatos, tiesioginai susijusios su sertifikavimais, nusipeldo dėmesio:

  • Sertifikavimo išlaikymo nuostata: paslaugų teikėjas įsipareigoja išlaikyti sertifikavimus visą sutarties trukmę ir iš karto pranešti apie jų atšaukimą ar sustabdymą.
  • Audito nuostata: kliento teisė atlikti ar paprašyti auditą paslaugų teikėje saugumo srityje, nustatytomis sąlygomis (perspėjimu, apimtimi, rezultatų konfidencialumu).
  • Subrangos nuostata: bet kokią subrangos grandinės pasikeitimą turi patvirtinti su išankstiniu pranešimu, su teise nutraukti sutartį, jei naujasis subrangal neatitinka nustatytų sertifikavimų reikalavimų.
  • Pasiekiamumo SLA: paslaugų teikėjams, sertifikuotiems ISO 27001, tikėtinas pasiekiamumo įsipareigojimas (SLA) ne mažiau 99,9 % mėnesio pagrindu, su finansinėmis baudomis viršijus nepasiekiamumo ribas.

Šie sutartiniai aspektai yra platesnės elektroninio parašo valdymo įmonėje dalies, kurią detalizuojame mūsų specialiame vadove.

Sertifikavimų indėlis GDPR audito arba NIS2 kontekste

Nuo NIS2 direktyvos (perimtos į Prancūzijos tiesę 2025 m. balandžio 15 d. įstatymu) įsigaliojimo, esminės ir svarbios subjektos turi parodyti, kad jų kritiniai paslaugų teikėjai — įskaitant elektroninio parašo paslaugų teikėjus — atitinka minimalius kibernetinio saugumo reikalavimus. Paslaugų teikėjo ISO 27001 sertifikavimas yra dokumentavimas, kurį galima naudoti audito metu NIS2 arba CNIL inspekcijoje. Tai ypač parodo GDPR 32 straipsnio, kuris reikalauja tinkamų techninių ir organizacinių priemonių garantuoti saugumo lygį, atitinkantį riziką, įgyvendinimą.

Įmonėms, norinčioms pereiti iš mažiau sertifikuoto sprendimo į platformą su aukštesnėmis atitikties garantijomis, mūsų migracijos į Certyneo vadovas detalizuoja veiksmus ir atsargumo priemones, kurias reikia laikytis.

Teisinė sistema, taikoma elektroninio parašo paslaugų teikėjų sertifikavimams

Elektroninio parašo teisinė validumas remiasi Europos ir nacionalinių norminių tekstų sluoksniu, kurio įvaldymas yra neatsiejamas norint teisingai įvertinti paslaugų teikėjo sertifikavimus.

Civilinis kodeksas, 1366 ir 1367 straipsniai: Šie straipsniai sudaro Prancūzijos elektroninio parašo teisės pagrindą. 1366 straipsnis nustato, kad „elektroninis dokumentas turi tokią patikimą galią, kaip popierinėje formoje, su sąlyga, kad galima tinkamai identifikuoti jo šaltinį ir jis nustatytas bei išsaugomas tokiais būdais, kurie garantuoja jo vientisumą". 1367 straipsnis nurodo, kad „parašas, reikalingas teisiniam aktui parengti, identifikuoja jo autorių" ir kad, kaip elektroninis, „jis susideda iš patikimo identifikavimo proceso naudojimo, garantuojantį jo ryšį su aktu, prie kurio jis pridedamas". ISO 27001 sertifikavimai ir eIDAS kvalifikavimai tiesiogiai padeda nustatyti šią patikimumo prielaidą.

Reguliavimas eIDAS Nr. 910/2014: Šis Europos reguliavimas, tiesiogiai taikomas visuose valstybės narėse, nustato tris elektroninio parašo lygius (paprastą, išplėstą, kvalifikuotą) ir reikalauja iš pasitikėjimo paslaugų teikėjų atitikti atitinkamų ETSI standartų auditams. Jo 24 straipsnis nurodo reikalavimus, taikomus kvalifikuotiems paslaugų teikėjams, ypač pareigą darbinti kvalifikuotą personalą ir išlaikyti pakankamai finansinių išteklių. eIDAS 2.0 peržiūra (Europos reguliavimas 2024/1183, įsigaliojęs 2024 m. gegužės 20) sutvirtina šiuos reikalavimus, pristatydamas Europos skaitmeninės tapatybės portfelį (EUDIW) ir išplėsdama pripažintų pasitikėjimo paslaugų apimtį.

GDPR Nr. 2016/679: Straipsniai 28 (subrangal), 32 (tvarkymo saugumas) ir 35 (poveikio analizė) yra tiesiogiai susiję, kai elektroninio parašo paslaugų teikėjas tvarko asmens duomenis atsakingo asmens vardu. 32 straipsnis ypač reikalauja pseudoniimacijos ir duomenų šifravimo, sistemų konfidencialumo, integralo ir atsparumo. ISO 27001 sertifikavimas, apimantis šiuos aspektus, leidžia iš dalies atitikti šią demonstravimo pareigą.

**NIS2 direktyva (ES 2022/2555, perimta Prancūzijos dėsniu nuo 2025 m. balandžio 15): Jame reikalavimas esminėms ir svarbias subjektoms valdyti savo skaitmeninės tiekimo grandinės rizikas, įskaitant elektroninio parašo paslaugų teikėjus. 21 straipsnis NIS2 išvardija minimalios kibernetinio saugumo priemones, iš kurių kelios tiesiogiai sutampa su ISO 27001 reikalavimais.

ETSI standartai: EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) ir EN 319 162 standartai nustato reikalavimus pasitikėjimo paslaugų teikėjams. Jų atitiktis audituojama akredituotų institucijų, prieš registruojant sąrašuose.

Atsakomybė dėl sertifikavimo trūkumo: Nesertifikuotas paslaugų teikėjas, kuris patiria duomenų pažeidimą, sukomprometavusį elektroninius parašus, prisiima sutartinę ir deliktinę atsakomybę. Klientui, neatlikėjusiam išankstinio sertifikavimų patikrinimo, gali būti skaičiuojama kaltė kibernetinio saugumo rizikos valdyme, galanti paveikti kibernetinio draudimo aprėptį.

Panaudojimo scenarijai: ISO sertifikavimai praktikoje

ISO sertifikavimai nėra teorinės abstrakcijos. Štai trys konkretūs scenarijai, iliustruojantys jų operacinį poveikį skirtingose verslo srityse.

Scenarijus 1: Iš tiesų specialistų kontora, pasirenkanti elektroninio parašo paslaugų teikėją

Dvidešimties specialistų biuro fonda kasmet tvarkoma šimtai jautrių dokumentų: akcijų perleidimo, partnerinės sutarties, konfidencialumo sutartys. IT vadovas turi pagrįsti savo paslaugų teikėjo pasirinkimą partneriais ir dideliais kliento paskyromis, kurie sutartyse reikalauja, kad naudojami skaitmeniniai įrankiai būtų ISO 27001 sertifikuoti.

Pasiremdamas pasirinkto paslaugų teikėjo ISO 27001:2022 sertifikavimu, kontora gali pateikti atitikties sertifikatą klientų esminių atsiskaitymų metu. Metinis atnaujinimo auditas yra taip pat argumentas pasiūlymų konkurencijoje, kur saugumas yra nuolat vertinamas. Pastebėtas rezultatas šiame tipe struktūra: 60-70 % mažesnė laiko suma, skirta saugumo klausimams komercines derybose, ir dviejų pagal neproporcingą parašus susijusių incidentų pašalinimas per aštuoniolika mėnesių.

Scenarijus 2: Ma pramoninė gaminybos įmonė valdanti tiekėjų sutartis tarptautiniu mastu

Apie 150 darbuotojų turinti ma industrija, tvarkyti beveik 300 tiekėjų sutarčių per metus, iš kurių dalis su Vokietijos ir Nyderlandų partneriais, turi užtikrinti, kad jos elektroniniai parašai yra pripažinti šiose šalyse. Jos paslaugų teikėjo eIDAS sertifikavimas — esąs Prancūzijos pasitikėjimo sąraše ir siūlantis išplėstus parašus, atitinkančius ETSI EN 319 132 — garantuoja teisinį suderinimą Europos erdvėje.

Lygiagrečiai, paslaugų teikėjo ISO 27001 sertifikavimas yra reikalingas kelių jo didelės kliento pirkimo departamentų atliekant metinius tiekėjo auditus. Įmonė numatė dvi nuotraukas requalifikacijas (pamainos rankomis parašams dėl neatitikties), susijusias su maždaug 15 000 iki 20 000 eurų išvengamų išlaidų vėlavimams ir logistikai per dvylika mėnesių.

Scenarijus 3: Ligoninių grupė integruojanti elektroninį parašą į HR ir medicininius procesus

Maždaug 600 lovų ligoninių grupė nori demateriaiizuoti tiek savo darbuotojų sutartis (medicininį personalą, laikinąjį medicininį personalą), tiek skaitmeninį sutikimą gydymui. Dvi sertifikavimo šeimos yra būtinos: ISO 27001 dėl bendro paslaugų teikėjo saugumo ir HDS sertifikavimas (sveikatos duomenų globėjas) medicininės dalies duomenų tvarkymui.

Grupė pasirenka paslaugų teikėją, turintį abu sertifikavimus, kurie jam leidžia padengti visus jo panaudojimo atvejus viename sutartyje, tačiau kartu atitinkant Skaitmeninės sveikatos agentūros (ANS) reikalavimus. Pamatuotas produktyvumo padidėjimas HR procesams (laikinojo medicino kontraktai pasirašyti mažiau nei dvejose valandose prieš du iki trijų dienų popierinę versiją) sudaręs maždaug 40 % administracinio valdymo išlaidų sutaupymą, sudarant metinę vertę maždaug 80 000 iki 120 000 eurų metams tūrio pagrindu, kai pasirašyta apie 1 200 sutarčių per metus.

Išvada

ISO 27001, ISO 27017, ISO 27018 sertifikavimai ir eIDAS kvalifikavimai nėra paprasčiausiai žymės, paskelbtos rinkodaros puslapyje: jie sudaro audituotų garantijų pagrindą, reguliariai patvirtintų, kurie grindžia paslaugų teikėjo atsakomybę ir teisinę apsaugą kliento įmonei. 2026 m., atsižvelgiant į sparčiai didėjančias kibernetines grėsmes ir Europos norminės sistemos sutvirtėjimą (NIS2, eIDAS 2.0), elektroninio parašo paslaugų teikėjo pasirinkimas, jei sertifikuotas, nėra daugiau pasirinkimas, o valdymo pareiga.

Norėdami objektyviai palyginti Prancūzijos rinkoje prieinamus paslaugų teikėjus, remkitės šiame straipsnyje nustatyti keturiais pagrindiniais kriterijais: tikslus sertifikavimo tūris, audito organo akreditavimas, skaidrumas dėl subrangos grandinės ir sutarties saugumo išlaikymo nuostatos. Certyneo atitinka visus šiuos reikalavimus ir jus padeda atitiktimi. Susisiekite su mūsų komanda, norėdami gauti jūsų situacijos auditą ir sužinoti, kaip pereiti prie pilnai sertifikuoto elektroninio parašo.

Išbandykite Certyneo nemokamai

Siųskite savo pirmą parašo voką per mažiau nei 5 minutes. 5 nemokami vokų per mėnesį, be banko kortelės.

Pagilinti temą

Mūsų išsamūs vadovai elektroninio parašo valdymui.

Certyneo bendruomenė

Turite klausimą apie elektroninį parašą?

Prisijunkite prie Certyneo bendruomenės: užduokite klausimus, dalinkitės atsakymais ir bendraujte su tūkstančiais naudotojų ir mūsų komanda.