Sertifikuotas elektroninis sertifikatas įmonei: 2026 m. vadovas

Kodėl sertifikuotas elektroninis sertifikatas tapo būtinas įmonėms

Tuo metu, kai sutartyje numatytų procesų skaitmeninimas greitėja visose šakose, sertifikuoto elektroninio sertifikato klausimas tampa strategine problema teisinėms direktoriams, IT direktoriams ir generaliniams direktoriams. Pasak ANSSI 2024 metų metinio pranešimo, daugiau nei 78 % prancūzų KMO, kurios priėmė sertifikuotą elektroninį parašą, sumažino sutarčių sudarymo laiką daugiau nei 60 %. Tačiau daugelis vis dar painioja paprastus, sudėtingus ir sertifikuotus parašus — rizikuodami savo juridinius aktus ginčui. Šis straipsnis žingsnis po žingsnio vadovaus, kaip suprasti, kas yra sertifikuotas elektroninis sertifikatas, kaip jį gauti, laikydamiesi RGS ir eIDAS sistemos, ir kaip jį efektyviai diegti savo organizacijoje.

Kas yra sertifikuotas elektroninis sertifikatas?

Elektroninis sertifikatas yra skaitmeninis failas, išduodamas Sertifikavimo institucijos (AC), kuris susieja fizinio ar juridinio asmenies tapatybę su viešu kriptografijos raktą. Jis yra pagrindinė dalis, leidžianti trečiajai šaliai patikrinti skaitmeninės parašo autentiškumą ir integrumą.

Kvalifikuotojas „qualifié" reiškia tikslų apibrėžimą iš Europos reglamento eIDAS (Nr. 910/2014, 28 straipsnis): sertifikatas turi būti išduodamas Sertifikuoto pasitikėjimo paslaugų teikėjo (PSCQ), įtraukto į nacionalinę pasitikėjimo sąrašą (Prancūzijoje, paskelbtas ANSSI). Be to, jis turi atitikti ETSI EN 319 411-2 standarto technines reikalavimas, kurie reguliuoja sertifikavimo politiką ir praktiką.

Praktikoje sertifikuotas sertifikatas garantuoja:

• Patikrintą parašo sudarytojos tapatybę (dokumentų patikrinimas veido į veidą arba lygiavertu patvirtintu būdu) ;
• Dokumento integrumą (bet kokie vėlesni pakeitimai yra atpažįstami) ;
• Nepaneigiamumą (parašo sudarytojas negali neigiati, kad jis nepadėjo savo parašo).

Skirtumas tarp paprasto, sudėtingo ir sertifikuoto parašo

Reglamentas eIDAS išskiria tris elektroninio parašo lygius, kiekvienas susietas su sertifikato lygiu:

| Lygis | Reikalingas sertifikatas | Įrodomoji vertė | Tipinis naudojimas | |---|---|---|---| | Paprastas | Nereikalingas | Žemas | Įprasti užsakymo lapai | | Sudėtingas | Sudėtingas sertifikatas (PSCQ) | Vidutinis | B2B komercinės sutartys | | Sertifikuotas | Sertifikuotas sertifikatas (sertifikuotas PSCQ) | Maksimalus, ekvivalentus rankraščiui | Notaro aktai, viešoji nauja, jautrios žmogiškosios |

Sertifikuotam parašui — vieninteliems naudojantiems teisinę prielaidą, kuri lygi rankraščiui (Civilinio kodekso 1367 straipsnis) — sertifikuotas sertifikatas yra visiškai būtinas. Norėdami sužinoti daugiau apie lygių skirtumus, žr. mūsų elektroninio parašo išsamų vadovą.

---

RGS sistema: prancūzų specifika, kurią reikia žinoti

Prancūzijoje Bendrasis saugumo nuorodymas (RGS), nustatytas dekretu Nr. 2010-112 ir reguliariai atnaujinamas ANSSI, nusako informacinių sistemų saugumo reikalavimus, taikomus administracijoms. Įmonėms, kurios sudarinėja sutartis su viešosiomis subjektais (viešosios nauja, telegraminės procedūros), RGS laikymasis dažnai yra sutartyje ar normatyviniuose aktuose nustatyta prievolė.

RGS lygiai, taikytini sertifikatams

RGS apibrėžia tris sertifikatų kvalifikacijos žvaigždes:

• RGS* (viena žvaigždė) : pagrindinis lygis, tinkamas šalutiniams nežamos jautrumo naudojimams ;
• RGS (dvi žvaigždės)** : tarpinis lygis, reikalingas daugeliui administracinių telegraminių procedūrų ;
• RGS (trys žvaigždės)* : aukštas lygis, aukštos teisinės ar finansinės reikšmės aktams.

Demateriazuotose viešosiose naujosiose per pirkėjo profilį dekretas Nr. 2016-360 (39 ir 40 straipsniai) iš esmės reikalauja RGS minimalaus parašo lygio, o tai reiškia lygiaverčio sertifikato kvalifikacijos.

RGS ir eIDAS sąsaja

Nuo reglamento eIDAS taikymo pradžios šie du nuorodai turi bendrą naudą. Sertifikatas, sertifikuotas pagal eIDAS, yra laikomas atitinkančiu RGS** reikalavimus daugeliu atvejų. ANSSI paskelbė atitikties lenteles, kurios leidžia užtikrinti suderinamumą. Todėl įmonėms, dirbančioms tiek su privačiais, tiek su viešais partneriais, patariama pirmenybę teikti sertifikuotam eIDAS sertifikatui, išduotam PSCQ, įtrauktam į prancūzų pasitikėjimo sąrašą — tai vienu metu apima abu nuorodus.

Norėdami pagilinti Europos reglamentą, mūsų eIDAS 2.0 vadovas aprašo dideles numatytas pokyčius ir jų poveikį prancūzų įmonėms.

---

Kaip gauti sertifikuotą elektroninį sertifikatą: žingsnis po žingsnio procedūra

Gauti sertifikuotą elektroninį sertifikatą nėra nereikšmingas procesas: jis apima griežtą paraiškos teikėjo tapatybės patikrinimą ir, juridinio asmens atveju, jo teisinę reprezentaciją. Čia yra pagrindiniai žingsniai.

1 veiksmas: Nustatykite teisingą sertifikuoto pasitikėjimo paslaugų teikėją

Prancūzijoje PSCQ, įgalioti išduoti sertifikuotus sertifikatus, yra išvardyti Pasitikėjimo paslaugų būsenos sąraše (TSL), paskelbta ANSSI (pasiekiama esignature.gouv.fr portale). Tarp šiame sąraše esančių veikėjų yra tokios AC kaip CertEurope, Certinomis (La Poste filialas), Keynectis ar kiti europiniu pasitikėjimo paslaugų teikėjai, pripažinti eIDAS abipusio pripažinimo principo dėka.

Pasirinkimo kriterijai, kuriuos reikia nagrinėti:

• Faktinis buvimas TSL prancūziškame ir (arba) europiniame sąraše ;
• Siūlomo sertifikato formatas (programinė, iš kortelės, HSM debesies) ;
• Suderinamumas su esamąja IT infrastruktūra ;
• Kainodarba ir galiojimo laikas (paprastai 1–3 metai) ;
• Pagalbos lygis ir registracijos laikas.

2 veiksmas: Registracijos dokumentų sudarymas

Jeigu įmonei reikalingas sertifikuotas sertifikatas, prašymui reikalingi dokumentai, patvirtinantys tiek nešėjo tapatybę (fizinio asmens), tiek jo galią reprezentuoti juridinį asmenį. Paprastai reikalingi šie dokumentai:

• Oficiali nešėjo tapatybės kortelė (pasas, ID) ;
• Mažiau nei 3 mėnesių senumo Kbis ištrauka (arba ekvivalentai asociacijoms, viešiesiems įstaigoms) ;
• Įgaliojimų delegavimas, jeigu nešėjas nėra įstatuose numatytas teisėtas atstovys ;
• Pasirinkto PSCQ konkreti prašymo forma.

Tapatybės patikrinimas turi būti atliktas akis į akį priešais PSCQ įgaliotą registracijos operatorių arba schemaiškai patvirtintu nuotoliniu patikrinimo būdu (vaizdo identifikacija, atitinkanti ETSI TS 119 461 standartą).

3 veiksmas: Sertifikato perdavimas ir aktyvinimas

Atsižvelgiant į pasirinktą formatą, sertifikatas perduodamas:

• Sertifikuoto parašo kūrimo įrenginyje (QSCD): šifravimo USB raktą arba Common Criteria EAL 4+ sertifikuotoje kortelėje ;
• Per nuotolinę sertifikuoto parašo paslaugą (Remote Qualified Electronic Signature — RQES), kurią valdo PSCQ, kai privatus raktas yra talpinamas sertifikuotame HSM (Hardware Security Module) pagal ETSI EN 419 241 standartą.

RQES paslaugos diegimas šiandien yra labiausiai priimta įmonių sprendimas, nes išvengia fizinio kripto nešėjo valdymo, tuo metu išlaikant sertifikuotą atitiktį. Palyginkite elektroninio parašo sprendimus, norėdami nustatyti modelį, kuris labiausiai tinka jūsų kontekstui.

4 veiksmas: Integravimas į jūsų verslo procesus

Gavę sertifikatą, jo integravimas į įmonės dokumentų srautus paprastai atliekamas per SaaS elektroninio parašo platformą. Jis privalo būti suderintas su ETSI standartais (XAdES, PAdES, CAdES), kad būtų garantuota tarpoperabilumas ir skaitmeninių įrodymų ilgaamžiškumas. Mūsų straipsnis apie elektroninį parašą įmonėje padės jums suplanoti šį diegimą.

---

Išlaidos, galiojimas ir atnaujinimas: ką įmonės turi numatyti

Kainų diapazonai 2026 m.

Sertifikuotų sertifikatų kainos labai svyruoja atsižvelgiant į formatą ir teikėją:

• Sertifikatas fiziniame nešėjyje (USB/kortelė) : tarp 80 € ir 250 € be PVM už nešėją per metus ;
• Sertifikatas debesyje (RQES) : tarp 40 € ir 150 € be PVM už nešėją per metus, priklausomai nuo apimčių ;
• Įmonės paketos : reikšmingos nuolaidos taikomos pradedant nuo 10 nešėjų, galinčios pasiekti 30–40 % vieneto kainos.

Šios išlaidos turėtų būti sulankstytos su sugeneruotomis santaupomis: spausdintų kopijų panaikinimas, paštinių išlaidos, pašto apdorojimo laikai ir ginčai dėl ginčytinų parašų.

Galiojimo trukmė ir atnaujinimas

Sertifikuoto sertifikato galiojimo laikas paprastai nustatomaos 1, 2 arba 3 metams, atsižvelgiant į prenumeratą. Pasibaigus sertifikatui, anksčiau pasirašyti dokumentai lieka galiojantys (jeigu jų integrumas yra išsaugant per sertifikuotą laiko žymos paslaugą), tačiau nauji aktai negali būti pasirašyti negraliojančiu sertifikatu. Todėl būtina diegti stebėjimo ir ankstyvojo atnaujinimo procesą — idealiai 60 dienų prieš pasibaigimą.

Atšaukimas ir incidentų valdymas

Jeigu privataus rakto saugumas yra sugriotas (nešėjo praradimas, vagystė, įtariamas atskleidimas), sertifikatas turi būti nedelsiant atšauktas prie PSCQ. Šis pastarasis publikuoja atšaukimą savo sertifikatų atšaukimo sąraše (CRL) ar per OCSP protokolą, todėl visi tolimesni parašai su šiuo sertifikatu yra negaliojantys. Todėl vidinė saugumo politika turi numatyti dedikuotą kontaktą ir perspėjimo ribą, mažesnę nei 24 valandos.

---

Geriausia praktika sėkmingam diegimui įmonėje

Valdymas ir vidaus vaidmenys

Sėkmingas diegimas remiasi aiškia valdymo struktūra. Rekomenduojama paskirti:

• PKI atsakingą asmenį (Public Key Infrastructure), atsakingą už ryšius su PSCQ ir atnaujinimų stebėjimą ;
• Teisės srities referentą, kuris patvirtina atitikties ir sertifikuoto parašo naudojimo atvejus (vs. sudėtingas) ;
• Administracijos deleguotus asmenys departamentams, skirtus nešėjų operaciniam valdymui.

Mokymas ir pokyčių vadyba

Sertifikuoto sertifikato priėmimas nepakanka: bendradarbiai turi suprasti, kaip naudoti savo sertifikatą, kada jį suaktyvinti ir kaip reaguoti incidento atveju. Trumpas mokymo planas (1–2 valandos) ir dokumentuotos procedūros žymiai sumažina naudojimo klaidas ir pagalbos biletus.

Auditas ir sekimas

Norint patenkinti įrodymų poreikius, išlaikykite audito žurnalą su laiko žyma kiekvienam atlikty parašui: parašo sudarytojos tapatybė, dokumento atspaudis, sertifikuota data/laikas, sertifikato identifikatorius. Šie duomenys sudaro ginče naudojamos įrodymo grandinės pagrindą. ETSI EN 319 132 (XAdES) standartas numato parašo formatus, kurie apimtinai yra šios informacijos.

Teisinė sistema, taikytina sertifikuotiems elektroniniams sertifikatams

Civilinis kodeksas ir įrodomoji vertė

Prancūzijos dešinyje Civilinio kodekso 1366 straipsnis nustato elektroninio rašto ir popierinių rašto ekvivalentumą, atsižvelgiant į tai, jog „asmens, iš kurio jis kyla, tapatybė yra tinkamai užtikrinta ir kad jis yra sudarytas ir saugojamas sąlygomis, kurios gali garantuoti jo integrumą". 1367 straipsnio 2 dalis nurodo, kad sertifikuotas elektroninis parašas naudojasi patikimumo prezumpcija : tai yra kontestuojantis strany turi įrodyti priešingai, taip apvertant įrodymo naštą parašo sudarytojos naudai.

Reglamentas eIDAS Nr. 910/2014

Europos reglamentas eIDAS (Nr. 910/2014), tiesiogiai taikytinas visuose valstybės narėse nuo 2016 m. liepos 1 d., yra viršnacionalinė pagrindas. Jo 25(2) straipsnis nusako, jog „sertifikuotas elektroninis parašas turi teisinį poveikį, lygiavertį rankraščiui". 28 ir 29 straipsniai nusako sertifikatams ir sertifikuoto parašo kūrimo įrenginiams (QSCD) keliamus reikalavimus. I priedas išvardija būtinas sertifikuoto sertifikato nurodas (OID politika, PSCQ tapatybę, viešą raktą, galiojimo datas ir pan.).

eIDAS 2.0 evoliucija

Reglamentas eIDAS 2.0 (reglamentas ES 2024/1183, įsigaliojęs 2024 m. gegužės 20 d.) nustato Europos skaitmeninės tapatybės piniginę (EUDIW) ir sustiprina prieigos prie sertifikuotų pasitikėjimo paslaugų teikiamos prieigos reikalavimus. Įmonės turės numatyti šių naujų identifikavimo mechanizmų integravimą iki 2026–2027 m.

Taikyti ETSI standartai

• ETSI EN 319 411-2 : politika ir praktika PSCQ, išduodantiems sertifikuotus sertifikatus ;
• ETSI EN 319 132 (XAdES) ir ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES) : sudėtaus ir sertifikuoto elektroninio parašo formatai ;
• ETSI EN 419 241 : parašo serverių (RQES) reikalavimai.

GDPR ir duomenų apsauga

Asmens duomenų apdorojimas registracijos metu (tapatybės patikrinimas, dokumentų rinkimas) yra aprašytas GDPR Nr. 2016/679. PSCQ ir kliento įmonė yra bendrieji apdorojimo šalininkai arba atsakingas/pagal šalininko ryšį. Turi būti pasirašyta DPA (Duomenų apdorojimo sutartis), atitinkanti 28 straipsnį GDPR. Registracijos duomenys turi būti saugomi per sertifikato gyvavimo laiką plus taikomos apraščiaus terminai (5 metai sutartyje).

NIS2 direktyva ir infrastruktūros saugumas

NIS2 direktyva (2022/2555/ES), įgyvendinta prancūzų teisę per įstatymą Nr. 2024-449, nustato esminėms ir svarbiem subjektam diegti rizikos valdymo priemonės, įskaitant skaitmeninės tiekimo grandinės saugumą. Pasikliautis sertifikuotu PSCQ, įtrauktam į nacionalinį TSL, yra pripažinta geroji praktika, kuri iš dalies tenkina šiuos reikalavimus.

Naudojimo scenarijai: sertifikuotas sertifikatas praktikoje

Scenarijus 1: Teisių kabinetas, valdantis aukštos vertės aktus

Verslo advokačko kabineto, kuriame yra apie dvidešimt partnerių ir bendradarbių, reikia reguliariai pasirašyti turto perdavimo aktus, transakcijų protokolus ir igaliojimus. Iki šiol kiekvienas aktas reikalavo spausdinimo, rankraščio parašo, skėnimo ir pašto pasiuntimo — tarpinis laikas 4–7 darbo dienų per signaturos ciklą. Diegus sertifikuotus debesies sertifikatus (RQES) kiekvienam partneriu, šis laikas sumažėjo iki mažiau nei 4 valandų aktams, nereikalaujantiems notaro dalyvavimo. Kabinetas vertina 65 % su dokumentų valdymu susijusio administracinio laiko sumažėjimą ir nefiksavo jokių parašo ginčų per pirmuosius 18 operacinių mėnesių. Elektroninio parašo sprendimai teisės kabinetams, siūlomi Certyneo, natūraliai integruojasi į šio tipo darbo srautą.

Scenarijus 2: KMO iš metalurgijos, sudarinėjanti sutartis su viešosios naujosios subjektais

Metalurgijos sektoriaus KMO, kurią sudaro apie 120 asmenų, reguliariai dalyvauja demateriazuotose viešosiose naujosiose per pirkėjo profilius. Pasirašyti elektroniškai savo pasiūlymus ir dalyvavimo aktus reikia naudoti RGS** minimalaus lygio sertifikatą. Gavę du sertifikuotus sertifikatus (generaliniam direktoriui ir įgaliotam direktoriui), KMO galėjo laiku pateikti savo pasiūlymus be kelionės ar pašto siuntimo. Per metus tai yra apie 35 viešosios naujosios failai, o tai sudaro apytikriai 15 žmogaus dienų santaupas per metus vien tik dokumentų valdymui. eIDAS sertifikato atitiktis taip pat garantuoja jos parašų pripažinimą vokiečių ir belgų viešosios naujosios tiekėjams, plečiant jos komercinį lauką. Naudokite mūsų ROI skaičiuoklė, norėdami apskaičiuoti potencialias santaupas jūsų kontekste.

Scenarijus 3: Sveikatos grupė, apsauganti žmogiškojo kapitalo ir tiekėjo aktus

Apie 1 200 lovų turintis ligoninių grupavimas, kuris sujungia kelis įstaigas, susiduria su beveik 3 000 darbo sutarčių, priedų ir tiekėjo įsipareigojimų metiniu kiekiu. Žmogiškųjų išteklių ir pirkimų direktoriaus bendru diegtu sertifikuoto parašo sprendimą, išduodant sertifikatus įgaliotiems direktoriams. Tuo pačiu metu dokumentai, kuriuos turi pasirašyti agentai, yra tvarkomi per sudėtingą parašo workflow, sertifikuotam parašui reikalingi tik aukštos teisinės reikšmės valdžios aktai. Rezultatas: vidutinis darbo sutarties finalizavimo laikas sumažėjo nuo 12 dienų iki 2,5 dienos, o nepilnų failų (negraliojantis parašas, neteisingai pasirašyta versija) procentas sumažėjo 78 %. Elektroninio parašo sprendimai sveikatos sektoriuje iš Certyneo integruoja sveikatos sektoriaus reguliavimo specifika.

Išvada

Gauti sertifikuotą elektroninį sertifikatą šiandien yra būtinas procesas bet kuriai įmonei, norinčiai teisingai apsaugoti savo skaitinius aktus, atitikti viešosios naujosios reikalavimus ir klausti eIDAS reglamentavimo sistemos. Toli nuo esant kliūtimi, tai yra konkurencingumo svertas: sutrumpinti parašo laiką, neginčytina įrodymo grandinė ir pripažinimas visoje Europos Sąjungoje.

Pagrindiniai žingsniai, kuriuos reikia atsiminti: pasirinkti PSCQ, įtrauktą į ANSSI pasitikėjimo sąrašą, sudarykite griežtą registracijos failą, pasirinkite debesies formatą (RQES), kad palengvintumėte diegimą, ir integruokite sertifikatą į platformą, atitinkančią ETSI standartus.

Certyneo jus lydi kiekviename žingsnyje: nuo teisingo parašo lygio pasirinkimo iki integravimo į verslo procesus. Užprašykite nemokamą demonstraciją ir sužinokite, kaip diegti sertifikuotą parašą mažiau nei 48 valandose savo organizacijoje.