Skaitmeninis seifas: išsami apibrėžtis 2026 m.

Dokumentų dematerializacija tapo strateginiu imperatyvu Prancūzijos ir Europos įmonėms. Tačiau nuolatinis painiavimas apraiškas: tarp skaitmeninio seifo, elektroninės archyvavimo ir paprastos interneto saugyklos. Šios sąvokos, neproporcingai atskirtos, dėl to, kad organizacijos rizikuoja dėl rimtų teisinių grėsmių ir jų dokumentų įrodinimo vertės praradimo. Šis straipsnis pateikia griežtą skaitmeninio elektroninio seifo apibrėžtį, paaiškina jos techninius mechanizmus, detaliai aprašo jos pagrindinius skirtumus nuo teisės akto archyvavimo ir nustato situacijas, kuriose jo diegimas tampa būtinas.

Skaitmeninis seifas: tiksli apibrėžtis ir sumetimai

Kas yra skaitmeninis seifas?

Skaitmeninis seifas (arba elektroninis seifas) yra saugi internetinė saugykla, garantuojanti konfidencialumą, vientisumą, prieinamumą ir trasavumą joje saugomų dokumentų. Priešingai nei paprastas bendrinamas debesies aplankas arba EDS (elektroninis dokumentų valdymas), skaitmeninis seifas remiasi avansiais kriptografiniais mechanizmais, kurie kiekvienu metu patvirtina, kad dokumentas nebuvo pakeistas nuo jo padėjimo.

Prancūzų teisėje šią sąvoką nustato 2016 m. spalio 7 d. įstatymas Nr. 2016-1321 dėl skaitmeninės respublikos (vadinamas Lemaire įstatymu), kuris apibūdina skaitmeninį seifu kaip paslaugą, leidžiančią „saugiai gauti, saugoti, siųsti ir grąžinti skaitmenines duomenų". Šis įstatymas įvedė privalomą sertifikavimo režimą paslaugų teikėjams, norintiems remtis šiuo pavadinimu, kuris yra reguliuojamas NF Z42-020 norma, kurią paskelbė AFNOR.

Trys pagrindinės savybės skiria skaitmeninį seifu nuo paprastos saugyklos:

• Garantuota vientisumas: kiekvienas dokumentas yra apsaugotas kvalifikuotu laiko žyma ir kriptografine pirštų atspaudžiu (SHA-256 ar aukštesnis), dėl kurio bet koks pakeitimas yra aptinkamas.

• Sustiprintas konfidencialumas: paslaugų teikėjas taiko griežto izoliacijos principą; joks duomenų priėjimas nėra įmanomas be skaitmeninio seifo turėtojo autentifikavimo.

• Įrodinimo vertė: dokumentai, saugomi sertifikuotame seifuje, yra priimtini kaip įrodymai Prancūzijos ir Europos teismuose, suderintinai su Civilinio kodekso 1366 straipsniu.

Skaitmeninis seifas ir klasikinė debesies saugykla: pagrindiniai skirtumai

Klasikinė debesies saugykla (Google Drive, Dropbox, OneDrive) suteikia pasiekiamumą ir patogumą, tačiau negarantuoja jokios teisinės vieningumo garantijos. Paslaugos administratorius gali techniškai pakeisti, ištrinti ar pasiekti failus be naudotojo žinios. Šių platformų bendrieji naudojimo sąlygai aiškiai atmeta bet kokią įrodinimo vertę.

Skaitmeninis seifas, savo ruožtu, sutartiniu ir techniniu lygiu paslaugų teikėjui nustato:

• Nesugebėjimą pakeisti dokumentą po jo padėjimo (nekintamumą).

• Išsamų kiekvieno prisijungimo žurnalizavimą (audito šliaužas).

• Dokumentų grąžinimą jų originaliame formate, nedalyvaujant.

• Paslaugų tęstinumą ir duomenų ilgaamžiškumą per ilgą laiką (10, 30 metų ar daugiau).

Šis skirtumas yra lemiamas bylose: dokumentas iš sertifikuoto seifo naudojasi patikimumo prezumpcija, kurios neturi failas iš standartinės debesies saugyklos.

Skaitmeninis seifas ir teisinė archyvavimo: kokie skirtumai?

Teisinė elektroninė archyvavimo: griežtesnis reguliavimas

Teisinė elektroninė archyvavimo (arba archyvavimas su įrodinimo verte) reiškia visą procesų, techninių ir organizacinių priemonių, kurios leidžia saugoti skaitinius dokumentus tokiu būdu, kad būtų išsaugota jų teisinė vertė per ilgą laiką. Prancūzijoje jį reguliuoja NF Z42-013 norma ir, viešiems archyvams, DINUM bendras archyvų valdymo nuorodas (RG2A).

Priešingai nei skaitmeniniam seifui, kuris yra sutelktas į naudotoją (turėtojas padeda ir konsultuojasi savo dokumentus), teisinė archyvavimo apima struktūrizuotą dokumentų valdymą: klasifikavimo planą, reguliaminas konservavimo trukmės, versavimo procedūras, kontroliuojamą panaudojimą ir galimybę eksportuoti į ilgaamžes formatus (PDF/A, XML ir t. t.).

Įmonės, kurioms taikomos teisinės konservavimo pareigos - atlyginimo biuletenis (50 metų), prekybiniai kontraktai (5 metų), apskaitos dokumentai (10 metų) - privalo aiškiai atskirti:

• Skaitmeninį seifu, skirtas kasdieninei valdymui ir dokumentų prieinamumui bendradarbiams ar partneriams.

• Elektroninės archyvavimo sistemą (EAS), skirta ilgalaikiam konservavimui su dokumentų ciklo valdymu.

Papildomumas tarp seifo ir elektroninio parašo

Skaitmeninis seifas pasiekia pilną savo matmenį, kai jis yra susietas su elektroniniu parašo sprendimu, atitinkančiu eIDAS. Elektroniškai pasirašytas dokumentas ir iš karto archyvuotas sertifikuotame seifuje sukaupja dvi esencines garantijas:

• Autentiškumą: kvalifikuotas ar išplėstas parašas patvirtina pasirašymo asmenį ir jo sutikimą parašo metu.

• Vientisumą laike: seifas išsaugo originalų pasirašytą dokumentą jo originalioje būsenoje, su jo laiko žyma, neatsižvelgiant į formatų ir technologijų evoliuciją.

Šis derinys yra ypač kritinis ilgalaikėms sutartims (komercinės nuomos, nuolatiniai darbo kontraktai, perdavimo aktai), kai įrodymas gali turėti būti pateiktas metų po parašo. Norėdami daugiau sužinoti apie eIDAS 2.0 reguliavimo keliamus reikalavimus, mūsų specialus vadovas detaliai aprašo parašo lygius ir jų atitinkamus teisinius poveikius.

Skaitmeninio seifo sertifikavimo kriterijai

NF Z42-020 norma: pagrindinis nuorodas

AFNOR paskelbta NF Z42-020 norma nustato minimalius reikalavimus, kad paslauga galėtų teigti „skaitmeninis seifas" pagal Skaitmeninės respublikos įstatymą. Ji apima:

• Funkcinius reikalavimus: dokumentų padėjimą, peržiūrą, atsisiuntimą, saugų dalijimąsi ir kontroliuojamą panaudojimą.

• Saugumo reikalavimus: duomenų šifravimą perduodant (TLS 1.3 minimumas) ir ramybę (AES-256), kriptografinių raktų valdymą, stiprią autentifikavimą (MFA).

• Organizacinius reikalavimus: dokumentuotą saugumo politiką, verslo tęstinumo planą, reguliarius auditus nepriklausomu trečiąja šalimi.

• Perkeliamo teikiamo reikalavimus: turėtojas gali bet kuriuo metu susigrąžinti visus savo duomenis, atvirais ir sąveikiais formatais.

Nuo 2023 m. AFNOR skaitmeninio seifo sertifikavimas palaipsniui suderinamas su Europos kibernetinio saugumo sertifikavimo schemos (EUCS) reikalavimais, kuriuos išplėtojo ENISA, tai palengvina sertifikavimo abipusį pripažinimą Europos Sąjungoje.

Rodikliai, kuriuos reikia patikrinti prieš pasirenkant paslaugų teikėją

Atsižvelgiant į tai, kad daugelis pasiūlymų tvirtina esantys „skaitmeninis seifas" be realaus sertifikavimo, įmonės privalo sistematiškai patikrinti:

• NF Z42-020 sertifikavimą, išduotą COFRAC akredituotam organizmui.

• Duomenų buvimo vietą: saugojimą Europos Sąjungos serveriuose (BDAR ir ANSSI rekomendacija).

• SecNumCloud kvalifikavimą, kurį nustatė ANSSI jautriosios naudojimo atžvilgiu (sveikatos duomenys, finansiniai duomenys).

• SLA (Paslaugų lygio sutarties) garantijas, kurios garantuoja mažiausiai 99,9 % pasiekiamumą ir grąžinimo laiką mažiau nei 24 valandos.

• Grąžinimo sąlygas paslaugų teikėjo keitimo atveju: eksporto formatas, duomenų tiekimo terminas, galimas kaina.

Įmonėms, kurios vertina kelis rinkoje esančius sprendimus, Certyneo elektroninio parašo sprendimų palyginimas apima pagrindinių dalyvių siūlomų archyvavimo funkcijų analizę.

Praktinis diegimas į įmonę

Integracija į esamus dokumentų procesus

Skaitmeninio seifo integracija nėra tik techniniu diegimu: jai reikalinga esamų dokumentų procesų peržiūra. Žingsniai, kuriuos rekomenduoja skaitmeninės transformacijos specialistai:

• Dokumentų žemėlapis: nustatyti aukštos įrodinimo vertės dokumentų kategorijas (kontraktai, atlyginimo biuletniai, SEPA mandatai, susirinkimų protokolai, HR dokumentai).

• Konservavimo trukmės nustatymas: suderinti seifo parametrus su sektoriaus teisiniais reikalavimais.

• Naudotojų mokymas: priėmimo sėkmė priklauso nuo naudojimo paprastumo; intuityvus sąsaja ir automatizuoti darbo srautai sumažina dėžimo klaidas.

• Sujungimas su esamais įrankiais: per REST API arba gimtus jungtuvus su EDS, ERP arba SIRH.

Elektroninio parašo sprendimai įmonėms dabar dažnai apima skaitmeninio seifo modulį, kuris leidžia išplėsti dokumentų grandinę: sukūrimas, parašymas, archyvavimas ir grąžinimas vienoje suvienodintoje aplinkoje.

Skaitmeninis seifas ir žmogiškųjų išteklių valdymas

Žmogiškųjų išteklių sektorius yra vienas iš subrendusių skaitmeninio seifo naudojimo atvejų. Nuo 2017 m. rugsėjo 22 d. ordinacijos Nr. 2017-1387 ir jos įgyvendinimo dekreto, elektroninio atlyginimo biuletenio pateikimas yra juridiškai galiojantis, sąlygoje, kad darbuotojas turi nuolatinį prieigą prie savo dokumentų saugioje erdvėje.

Praktiniu požiūriu tai reiškia, kad darbdavys privalo garantuoti:

• Biuletenio pateikimą sertifikuotame skaitmeniniame seifuje (ne paprastoje debesies saugykloje).

• Dokumentų prieinamumą per 50 metų arba iki darbuotojo 75 metų amžiaus.

• Darbuotojo galimybę susigrąžinti savo dokumentus pasitraukiant iš įmonės.

HR komandos, kurios diegia elektroninio parašo sprendimą, skirtą HR, suporuotą su sertifikuotu seifu, iš esmės sumažina prud'hominio ginčo riziką, susijusią su dokumentų praradimu arba ginčijamu.

Sektorial su aukštais reguliavimo reikalavimais

Kai kurie sektoriai yra suvaržyti sustiprintais archyvavimo reikalavimais, dėl kurių sertifikuotas skaitmeninis seifas yra beveik privalotas:

• Sveikatos sektorus: sveikatos duomenų saugojimas yra reguliuojamas HDS (Sveikatos duomenų saugykla) nuorodais; seifas turi būti saugojamas sertifikuotą HDS operatoriaus. Sprendimai, skirti elektroniniam parašui sveikatos sektoriuje, apima šiuos apribojimus.

• Teisiniam sektoriui: advokačių biurai ir notaro kabinety saugo aktus, kurių įrodinimo vertė turi būti garantuota dešimtmečiais. Elektroninis parašas teisiniam kabinety natūraliai remiasi sertifikuotais seifais.

• Nekilnojamo turto sektoriui: mandatai, pardavimo susitarimai, nuomos sutartys - visi dokumentai su aukšta įrodinimo verte per ilgą laiką. Elektroninis parašas nekilnojamame turte pilnai išnaudoja skaitinius seifus.

Skaitmeninio seifo taikomasis teisinį režimas

Pagrindžiamieji tekstai Prancūzijos teisėje

Skaitmeninio seifo teisinį režimą nustato kelios teisės aktų ir normacinių nuorodų sluoksniai, kurias būtina suprasti:

2016 m. spalio 7 d. įstatymas Nr. 2016-1321 (Skaitmeninės respublikos įstatymas): pirmasis teksts, kuris teisiškai konsolidavo skaitmeninį seifu, jis suteikia apibrėžtį ir nustato sertifikavimo režimą paslaugų teikėjams. Jo 65 straipsnis nustato, kad bet kuri paslauga, kuri tvirtina šią pavadinimą, turi būti sertifikuota akredituotu organizmu.

Civilinis kodeksas, 1366 ir 1367 straipsniai: 1366 straipsnis nustato elektroninio ir popiernaus tekstų lygiavertiškumą, išskyrus tai, kad „asmenį, iš kurio jis sklinda, būtų galima tinkamai identifikuoti ir jis būtų nustatytas ir konservuojimas tokiomis sąlygomis, kurios garantuoja jo vientisumą". 1367 straipsnis paaiškina elektroninio parašo galiojimo sąlygas. Šios dvi nuostatos sudaro dokumentų, archyvuotų sertifikuotame seifuje, įrodinimo vertės pagrindą.

eIDAS reguliavimas Nr. 910/2014: tiesiogiai taikyti visuose ES valstybės narėse, šis reguliavimas nustato pasitikėjimo struktūrą elektroniniams sandoriams. Jis nustato parašo lygius (paprastas, išplėstas, kvalifikuotas) ir pripažįsta kvalifikuotus pasitikėjimo paslaugų paslaugų teikėjus, tarp kurių yra tam tikri kvalifikuoti elektroniniai seifai (QES). eIDAS 2.0 reguliavimas (persvarstymas vykdomas rašymo metu) sustiprina šias nuostatas ir įveda Europos skaitmeninio tapatumo portfelį (EUDIW), kuris gali sąveikauti su skaitmeniniais seifais.

BDAR ir duomenų saugumo pareigos

BDAR reguliavimas Nr. 2016/679: dokumentai, kurie saugomi skaitmeniniame seifuje, dažnai yra asmenines informacijos. Duomenų valdytojas privalo įsitikinti, kad seifo paslaugų teikėjas pateikia pakankamas garantijas (28 straipsnis BDAR), ypač per DPA (duomenų tvarkymo sutartis), atitinkančios BDAR. Konservavimo trukmės turi būti pagrįstos teisine baze ir dokumentuotos duomenų tvarkymo sąrašuose.

NIS2 direktyva (2022/2555/EB): transponuota Prancūzijos teisėje per 2024 m. gegužės 21 d. įstatymą Nr. 2024-449, NIS2 direktyva yra pareiga pagrindinių paslaugų operatoriams ir svarbiem subjektams sustiprintus kibernetinio saugumo valdymo reikalavimus. Seifų paslaugų teikėjai, teikiančios kritiniams sektoriams (sveikatos, finansai, infrastruktūra), gali būti jos taikymo apimtyje.

Taikomosios technines normos

• NF Z42-020 (AFNOR): sertifikavimo nuorodas, specifinis skaitmeniam seifui Prancūzijoje.

• NF Z42-013 (AFNOR): elektroninės archyvavimo sistemų funkcinės ir techninės specifikacijos.

• ETSI EN 319 132: Europos standartai išplėstam elektroniniam parašui (XAdES, CAdES, PAdES) naudoti seifų kontekste.

• ISO 14721 (OAIS): Tarptautinis nuorodas modelis ilgalaikei skaitmeninei archyvavimui, taikytina seifams, skirtoms ilgalaikei archyvavimui.

Šių pareigų nesilaikymas įmonių yra išlaidos administracinių sankcijų (CNIL bauda iki 4 % pasaulio apyvartos BDAR pažeidimui), taip pat jų dokumentų įrodinimo negalios bylose, kurie gali turėti sunaikinančias pasekmes prekybiniuose ar prud'homaliniu ginčuose.

Konkretūs skaitmeninio seifo naudojimo scenarijai

1 scenarijus: teisinės biuras, specializuotas verslo teisėje

Teisinės biuro, kuriame yra apie dšimtį bendradarbių, kasmet tvirtina kelis šimtus pareiškimų ir laiškaipų su teisine verte: perdavimo kontraktai, akcininkų paktai, sutarimo protokolai, atstovavimo mandatai. Iki sertifikuoto skaitmeninio seifo NF Z42-020 diegimo, pasirašyti dokumentai buvo saugomi vidinėje tinklo saugykloje be laiko žymų ir vieningumo kontrolės. Ginčytiniame pareiške, kuriame buvo nurodyta tikslus protokolo parašo laikas, biuras nesugebėjo pateikti neginčijamo įrodymo.

Po sertifikuoto seifo diegimo, kuris yra suvienodintis su kvalifikuoto elektroninio parašo sprendimu, kiekvienas aktas yra automatiškai archyvuojamas su kvalifikuota laiko žyma parašo metu. Prieigos auditus yra žurnalizuoti ir eksportuojami. Rezultatas: dokumentų tiekimo laikai, jei baudžiami, buvo sumažinti 70 %, o biuras galėjo priimti savo skaitinius įrodymus keliuose komercinių teismų be priešolyginis žingsnio.

2 scenarijus: maža tiesioginė teisę, valdanti aukštą subrangos tūrį

Maža tiesioginė įmonė su maždaug 150 darbuotojų ir valdanti daugiau nei 300 aktyvių tiekėjo kontraktų kas metai susidūrė su dviguba problema: greitai rasti sutartį ginčo atveju ir įrodyti, kad sutartinės sąlygos nebuvo pakeistos vėliau. Kontraktai buvo pasirašyti popierine forma, išskenuoti ir tada sudėtiniai fiziniuose dοsie ir sauguose tinklo katalogose.

Perėjimas į visiškai demateriazuotą procesą - išplėstas elektroninis parašas, po kurio automatinis archyvavimas sertifikuotame seifuje - leido sumažinti sutartinio tvarkos laiką nuo vidutinio 8 dienų iki mažiau nei 48 valandų. Dokumentų valdymo kaina (spausdinimas, pašto siuntimas, fizinis archyvavimas) sumažėjo apie 60 % pagal FNA (Nacionalinis pirkimų federacija) paskelbtus sektoriaus palyginamosios analizės. Audituojant tiekėją, maža įmonė galėjo grąžinti per mažiau nei valandą visus paskutinių penkių metų kontraktus su jų laiko žymų metaduomenimis.

3 scenarijus: vidurinė ligonių grupė

Ligoninės grupė su maždaug 800 lovų, kuris yra suvaržytas HDS nuorodais ir sveikatos duomenų saugojimo pareigomis, turėjo garantuoti kelių kategorijų jautrių dokumentų saugojimą: pacientų informuotas sutikimas, gydytojų kontraktai, konfidencialumo susitarimai su išoriniais tiekėjais. Įvairių naudotos priemonės (el. paštas, EDS, tinklo bendrinimas) sukūrė trasavimo spragas, nesuderinamos su HDS sertifikavimo reikalavimais.

Sertifikuoto HDS skaitmeninio seifo naudojimas, kuris yra suderintas su grupės elektroninio parašo sprendimu per API, leido suvienodinti dokumentų tvarkymo grandinę. Pacientų sutikimas dabar yra pasirašytas planšetėje, archyvuojamas realiame laike su kvalifikuota laiko žyma ir prieinamas autorizuotam medicinos personalui per mažiau nei 30 sekundžių. Grupė sumažino savo dokumentų atitikties incidentus daugiau nei 80 % per 18 mėnesių po diegimo, pagal jos vidines vadybos indikatorius.

Išvada

Skaitmeninis seifas nėra paprastas saugojimo įrankis: tai yra atskira teisinė ir techninė priemonė, kurios vertė remiasi sertifikavimu, kriptografija ir atitikti teisės akrams. Supratimas tikslios skaitmeninio elektroninio seifo apibrėžties, jos skirtumų nuo klasikinės teisės akto archyvavimo ir jį reguliuojančių pareigų šiandien yra būtinas bet kuriai organizacijai, kuri rūpinasi savo skaitmenių dokumentų patikimumu.

Certyneo gimtai integruoja saugios archyvavimo funkcijas į kiekvienas parašo srautą, garantuodamas eIDAS atitinkamą dokumentų grandinę nuo pradžios iki galo. Norėdami sužinoti, kaip diegti sprendimą, tinkantį jūsų kontekstui ir apskaičiuoti tikėtinus operacinius pelnus, skaitykite elektroninio parašo ROI skaičiatorių arba susisiekite su mūsų komandos asmeninio dokumentų audito.