Saugokite savo pasirašytus dokumentus naudodami TLS šifravimą

Kodėl TLS šifravimas yra nepamainavelus jūsų pasirašytiems dokumentams

2026 m. elektroniškai pasirašytų dokumentų saugojimas nebėra pasirinkimas – tai yra teisinė ir strateginė privaloma europinio skaitmeninio erdvės veikliųjų įmonių taisyklė. TLS šifravimas (Transport Layer Security) yra pagrindinė šios apsaugos akmenė, garantuojanti, kad duomenys, persiųsti tarp kliento ir serverio, lieka konfidencialūs, vientiši ir autentikuoti. Pagal ANSSI, daugiau nei 74 % dokumentuotų kibernetinių atakų Europoje tikslinasi į nešifruotus arba nepakankamą saugumo duomenų srautus. Šiame kontekste suprasti, kaip saugoti savo dokumentus su TLS šifravimu, HTTPS ir eIDAS taisyklės ribose, tapo būtina DSI, juristams ir įmonių atitikties vadovams Prancūzijoje ir Europoje.

Šiame straipsnyje nagrinėjami TLS techniniai mechanizmai, jo ryšys su kvalifikuota elektronine parašu, reguliaciniai reikalavimai SaaS platformoms ir geriausios praktikos, kurias reikėtų diegti šiandien, kad apsaugotumėte savo dokumentinius turtus.

---

Suprantame TLS šifravimą ir jo vaidmenį elektroniniame parašyme

TLS 1.3: dabartinis duomenų mainų apsaugos standartas

TLS (Transport Layer Security) yra patobulinta SSL (Secure Sockets Layer) versija, kuri dabar yra pasenusi. TLS 1.3 versija, publikuota 2018 m. IETF (RFC 8446), šiandien yra standartas bet kokiam apsaugotam duomenų mainui. Ji pašalina kelis kritinius ankstesnių versijų netobulumus, ypač BEAST, POODLE ir DROWN atakas, ir sumažina jungties latenciją per vienkryptį rankraštelį.

Praktikoje TLS 1.3 garantuoja:

• Konfidencialumą: persiųsti duomenys yra šifruoti nuo galo iki galo, todėl jų perimimas nepavartotas.
• Vientisumą: bet kuris žinutė, pakeista tranzite, iš karto aptinkama.
• Autentifikavimą: serveris (ir pasirinktinai klientas) patvirtinamas X.509 sertifikatu.

Elektroninio parašo platformai, atitinkančiai eIDAS, tik TLS 1.3 naudojimas – arba bent jau TLS 1.2 su ANSSI patvirtintomis kriptografinėmis paketais – yra bazinis reikalavimas. TLS 1.0 arba 1.1 naudojimas yra oficialiai draudžiamas ENISA rekomendacijose nuo 2022 m.

HTTPS: matoma TLS šifravimo sluoksnis

HTTPS yra tik HTTP, pateiktas TLS jungtyje. Vartotojams matoma spyna adreso juostoje reiškia, kad komunikacijos kanalas yra šifruotas. Įmonėms tai reiškia, kad dokumentai, atsisiųsti, pasirašyti arba bendrai naudoti, persiųsti saugiai tarp vartotojo naršyklės ir platformos serverių.

Tačiau HTTPS negarantuoja dokumento saugumo ramybės metu (ty jei jis saugomas serveryje). Todėl TLS šifravimas turi būti papildytas duomenų šifravimu ramybės metu (pavyzdžiui, AES-256) ir tvirtomis prieigos kontrolės mechanizmais. Pilname elektroninio parašo vadove šios papildomos saugumo sluoksniai nagrinėjamos kaip visuma.

TLS sertifikatai ir pasitikėjimo grandinė

TLS sertifikat emituoja pripažinta sertifikacinė institucija (CA). Jame yra serverio viešoji raktai, organizacijos tapatybė ir numeriškai pasirašyta CA. Pasitikėjimo grandinė – nuo šakninės liudybės iki tarpinių sertifikatų – garantuoja, kad vartotojas komunuoja su subjektu, kurį jis mano kontaktuoti.

Pasitikėjimo paslaugų teikėjams (PSCo) pagal eIDAS taisyklę naudojami TLS sertifikatai turi atitikti profilus, apibrėžtus ETSI EN 319 411 standartais, ypač sertifikatams, naudojamiems parašui ir autentifikavimui.

---

TLS šifravimas ir eIDAS atitiktis: ką sako taisyklė

eIDAS parašo lygiai ir jų saugumo reikalavimai

eIDAS taisyklė nr. 910/2014, sustiprintą eIDAS 2.0 diegimo metu, skyrė tris elektroninio parašo lygius: paprastą, išplėstinį ir kvalifikuotą. Kiekvienas lygis apima didėjančius saugumo reikalavimus:

• Paprastas parašas: nėra nurodytų techninių standartų, tačiau TLS šifravimas vis tiek labai rekomenduojamas transportavimui.
• Išplėstinis parašas: platforma turi garantuoti dokumento vientisumą ir unikalų ryšį tarp parašo ir pasirašančio. TLS 1.3 čia yra beveik nepamainavelus šiam perdavimo srautui.
• Kvalifikuotas parašas: teikėjas turi būti kvalifikuotas PSCo, įtrauktas į savo valstybės narės pasitikėjimo sąrašą (Trust List). Kriptografiniai reikalavimai apibrėžti ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ir EN 319 142 (PAdES) standartais. Komunikacijos kanalų šifravimas turi atitikti ANSSI arba ENISA rekomendacijas.

Įmonėms, norinčioms palyginti elektroninio parašo sprendimus, TLS mainų saugumo lygis yra kritinis atrankos kriterijus, dažnai nevertinamas.

eIDAS 2.0 indėlis saugumo mainams

eIDAS 2.0 taisyklė, kurios laipsniškas įsigaliojimas tęsiasi iki 2026–2027 m., įveda Europos skaitmeninio tapatumo portfelį (EUDIW) ir sustiprina reikalavimus pasitikėjimo paslaugų teikėjams. Ji ypač reikalinga:

• Saugumo auditus, atitinkančius EN ISO/IEC 27001 standartus ir konkrečius ENISA reikalavimus.
• Didesnę skaidrumą dėl naudojamų kriptografinių mechanizmų.
• Publikuojamos saugumo politikos, kurias gali audituoti nacionalinės kontrolės institucijos.

Šie pokyčiai reiškia, kad įmonės, naudojančios parašo platformas, turi pasitikrinti, ar jų teikėjas palaiko atnaujintą ir auditą TLS infrastruktūrą. Tai tiksliai tai, ką garantuoja Certyneo savo infrastruktūroje, su reguliariais saugumo auditais ir ANSSI nuorodų atitiktimi.

---

Geriausios praktikos saugokant savo pasirašytus dokumentus versle

Jūsų esamos TLS infrastruktūros auditas

Prieš diegiant arba perkelianti į apsaugotą elektroninio parašo sprendimą, TLS auditas yra nepamainavelus. Tokiais įrankiais kaip SSL Labs (Qualys) arba testssl.sh galima įvertinti jūsų esamos platformos TLS konfigūraciją ir nustatyti netobulumus: pasenę kriptografiniai paketai, pasibaigę sertifikatai, blogi HSTS (HTTP Strict Transport Security) valdymas, nėra sertifikatų skaidrumo (CT logs).

Pagrindiniai kontrolės taškai yra:

• Išskirtinai TLS 1.2 arba 1.3 naudojimas (SSLv3, TLS 1.0 ir 1.1 išjungimas).
• Rekomenduojami kriptografiniai paketai: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS įjungtas su mažiausiai 6 mėnesių trukmę ir `includeSubDomains` parinktimi.
• OCSP Stapling įjungtas greitai sertifikatų atsaukti.
• Perfect Forward Secrecy (PFS) įjungtas, norėdami sumažinti rakto kompromitavimo poveikį.

Šifravimas ramybėje ir tranzite: papildoma sąlyga

TLS šifravimas saugo duomenis tranzite. Bet išsami dokumentų saugumo strategija turi apimti ir duomenis ramybėje. Pasirašytiems dokumentams tai apima:

• AES-256 šifravimą failų, saugomų duomenų bazėje arba failų sistemose.
• Šifravimo raktų valdymą per HSM (Hardware Security Module) arba FIPS 140-2 sertifikuotą KMS (Key Management Service).
• Aplinkų atskyrimas: gamybos duomenys niekada neturi susidurti su plėtros ar bandymų aplinkomis.
• Apsaugotą žurnalą: kiekvienas prieiga prie dokumento turi būti žurnale nekeičiamame formoje, atsižvelgiant į GDPR rekomendacijas.

Įmonėms, valdančioms didelį dokumentų kiekį, Certyneo ROI skaičiuoklė leidžia įvertinti stipresnės apsaugos finansinį poveikį, palyginti su duomenų nutekėjimo kaštais.

Mokymai ir dokumentų valdymo vadybavimas

Technologija viena nepakanka. Veiksminga dokumentų saugumo politika remiasi trimis stulpais:

1. Bendradarbių mokymas: pavojai iš phishingo, nesaugaus dokumentų dalijimosi ir geriausios prieigos valdymo praktikos.
2. Prieigos valdymas: mažiausios privilegijos principas, daugiafaktorinis autentifikavimas (MFA) platformoms prisijungti, reguliarus prieigos teisių peržiūra.
3. Incidentų valdymas: incidento atsakymo plano nustatymas, apimantis nustatytos saugumo politikos dokumentus, atsižvelgiant į GDPR (72 valandos) ir NIS2 pranešimo prievolės.

HR ir juridinės komandos, tvarko jautriausiuose dokumentuose, yra pirmaujančios. Skirtos sprendimas, tokios kaip elektroninis parašas HR skyriam arba juridiniams kabinetams, natively integruoja šią apsaugos sluoksnius.

---

NIS2 direktyva ir SaaS parašo platformų saugumas

Ką NIS2 reikalauoja naudojančioms įmonėms

NIS2 direktyva (Network and Information Security 2), persodintos prancūzų teisėje 2023 m. liepos 26 d. įstatymu ir taikomos nuo 2024 m. spalio, žymiai išplėtė subjektų, turinčių kibernetinio saugumo prievolės, apimtį. Dabar vidutinio dydžio įmonės kritiniuose sektoriuose (sveikata, finansai, energetika, administracija) turi užtikrinti, kad jų SaaS teikėjai atitiktų aukštus saugumo standartus.

Praktikoje NIS2 reikalinga:

• Įvertinti skaitmeninio tiekimo grandinės saugumą, apimant SaaS parašo platformas.
• Sutartyse reikalauti saugumo garantijų iš teikėjų (saugumo SLA, ISO 27001 sertifikatai, audito ataskaitos).
• Pranešti ANSSI apie esminį incidentą, turintį įtakos kritinėms skaitmenėms paslaugoms.

Elektroninio parašo teikėjo pasirinkimas, atitinkantis NIS2

Įmonėms, pagal NIS2 paragrafe, parašo platformos pasirinkimas negali apsiriboti verslo funkcionalumais. Saugumo kriterijai turi apimti: palaikomą TLS versiją, raktų valdymo politiką, duomenų vietą (idealiai Europos Sąjungoje) ir galimybę pateikti audito ataskaitas pagal reikalavimą.

Certyneo saugo visus savo klientų duomenis duomenų centruose, sertifikuotuose ISO 27001 ir esančiuose Prancūzijoje, su TLS 1.3 šifravimu visose mainose ir AES-256 duomenims, saugiems ramybėje. Įmonėms, svarstančioms migraciją iš DocuSign arba YouSign, NIS2 atitiktis dažnai yra pagrindinė pakeitimo priežastis.

Teisinė sistema, taikoma pasirašytų dokumentų saugumui

Elektroniniai pasirašyti dokumentai yra saugomi vadovaujantis normų sistema, kurios į supratimas yra nepamainavelus bet kokiai įmonei, norinčiai būti suderinta 2026 m.

Prancūzijos pilietinis kodeksas: 1366 ir 1367 straipsniai

1366 straipsnis iš Prancūzijos pilietinio kodekso yra bendrasis elektroninio rašymo ir popierinės formos ekvivalentiškumas, jei asmuo, iš kurio jis kyla, yra tinkamai identifikuotas ir dokumentas yra nustatytas ir saugomas tokiomis sąlygomis, kurios garantuoja jo vientisumą. 1367 straipsnis apibrėžia elektroninį parašą kaip patikimo identifikavimo metodo naudojimą, garantuojantį ryšį su juo prijungtu aktu. TLS šifravimas tiesiogiai prisideda prie šios apsaugos garantijos tranzite.

eIDAS n. 910/2014 taisyklė ir eIDAS 2.0

eIDAS n. 910/2014 Europos Parlamento ir Tarybos taisyklė yra elektroninio parašo pagrindinis reguliacinis pagrindas Europoje. Ji apibrėžia tris parašo lygius (paprastas, išplėstinis, kvalifikuotas) ir reikalavimus, taikomus kvalifikuotiems pasitikėjimo paslaugų teikėjams (PSCo). Priedai I–IV apibrėžia techninius reikalavimus kvalifikuotiems sertifikatams. ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) ir EN 319 142 (PAdES) standartai paaiškina priimtinas parašo formats. eIDAS 2.0 sustiprina šiuos reikalavimus, įvesdami Europos skaitmeninio tapatumo portfelį (EUDIW) ir PSCo padidintus kibernetinio saugumo reikalavimus.

GDPR nr. 2016/679

Bendrasis duomenų apsaugos reglamentas reikalauoja įmonėms, kad jos įgyvendintų tinkamas technines ir organizacines priemones, skirtas asmeninių duomenų saugumui garantuoti (32 straipsnis). Dokumentai, pasirašyti su asmeniniais duomenimis, turi būti šifruoti tranzite (per TLS) ir ramybėje (per AES-256 arba ekvivalento). Duomenų pažeidimo atveju pranešimas CNIL ir suinteresuotoms šalims turi būti atliktas per 72 valandas (33 straipsnis). CNIL laiko šifravimą pagrindinę priemonę, iš kurią tikisi kiekvienas duomenų tvarkytojas.

NIS2 direktyva (2022/2555/UE)

Persodintos Prancūzijoje nuo 2024 m. spalio, NIS2 direktyva nustato esminėms ir svarbios įmonėms padidintus kibernetinio saugumo reikalavimus. Ji aiškiai apima komunikacijos kanalų saugumą (įskaitant TLS), incidentų valdymą ir skaitmeninio tiekimo grandinės saugumą. SaaS elektroninio parašo teikėjai gali būti prilyginami kritiniams savo klientams, pagal NIS2 taikyminiu teikiami reikalavimai.

ANSSI nuorodų ir ETSI standartai

ANSSI publikuoja rekomendacijas, susijusias su kriptografiniais parametrais (ANSSI-PB-078 vadovas), kuriuose nurodomi priimtini algoritmai ir raktų ilgiai. TLS atveju ANSSI rekomenduoja TLS 1.3 prioriteto tvarka, TLS 1.2 su griežtai apibrėžtais kriptografiniais paketais ir oficialiai draudžia SSLv3, TLS 1.0 ir TLS 1.1. Šios rekomendacijos de facto taikomos jautriai informacijai susijusiems informacijos sistemoms ir integruojamos į kvalifikuotų teikėjų eIDAS vertinimo kriterijuose.

Naudojimo scenarijai: TLS saugojimas tikroje tikrovėje

Scenarijus 1: Advokačių kontora, tvarkai privatūs pasirašyti aktai demateriuoti

Advokačių kontora su keturiolika bendradarbių tvarko šimtus mandatų, susitarimų protokolų ir sutarčių nutraukimo kasmet. Prieš migravimą į eIDAS atitinkančią sprendimą su TLS 1.3, dokumentai buvo keičiami nešifruotais el. paštais, exponuojant kontorą kompromiso pavojams ir akto autentiskumo ginčams.

Po SaaS platformos diegimo su TLS 1.3 ir AES-256 šifravimu ramybėje, papildyta MFA autentifikacijai pasirašantiems, kontora sumažino aktų tvarkymo laiką 68 % (nuo 4,2 dienos vidutiniškai iki 1,3 dienos) ir pašalino incidentus, susijusius su nešifruota dokumentų transmisija. Kiekvieno proceso etapo laiku žymėta traseologija dabar sudaro priimtiną įrodymą ginčo atveju.

Scenarijus 2: KMU industrijoje, valdanti tarpininko sutartis

KMU gamybos sektoriuje, tvarkanti apie 300 tarpininkų sutarčių per metus, susidūrė su dokumentų dispersijos problema: rankiniu būdu pasirašyti kontraktai buvo nuskaitomi ir saugomi vidiniuose serveriuose be šifravimo, prieinami visam vidiniam tinklui. Saugumo auditas, atliktas ruošiantis ISO 27001 sertifikavimui, atskleidė, kad 40 % sutarties dokumentų nebuvo šifruoti ramybėje.

Migracija į SaaS parašo sprendimą su TLS 1.3 šifravimu tranzite ir AES-256 ramybėje, papildyta vaidmenimis pagrindžianta prieigos kontrole, leido ištaisyti šiuos netobulumus. Numatomas dokumentų nutekėjimo rizikos sumažėjimas, vertinamas pagal NIST skaičiavimo metodus, reiškia tūkstančius eurų metinės apeigos riziką. Tarpininko sutarties pasirašymo laikas sumažintas nuo 5 dienų iki mažiau nei 24 valandų vidutiniškai.

Scenarijus 3: Privačių klinikų grupė ir GDPR/NIS2 atitiktis

Privačių klinikų grupė, sudaryta iš maždaug 600 lovų per kelis įstaigų branglūs, turėjo saugoti elektroninius darbdavimo kontraktus, praktikos konvencijas ir paciento sutikimo formas. Sveikatos sektoriaus buvimas klasifikuotas kaip esminė entiteta pagal NIS2, saugumo reikalavimai perdavimų kanalams yra ypač griežti.

Elektroninio parašo naudojimas sveikatos sektoriuje su TLS 1.3, HSM parašo raktams valdyti ir nedalinams žurnalams keičiantis dokumentams pasiekti, leido grupei atitikti NIS2 audito reikalavimus ir GDPR veiklos registro įpareigojimą. Atitikties diegimo kaštai buvo amortizuoti per mažiau nei 8 mėnesius dėl popierinės schemos pašalinio HR failams, kurie pagrindžia sanaudas nuo 15 iki 25 eurų dokumentui pagal sektoriaus etalono publikuotas SYNTEC Numérique.

Išvada

Saugoti savo elektroniškai pasirašytus dokumentus TLS šifravimu nebėra technologinio patogumo klausimas: tai yra teisinė pareiga, kylanti iš eIDAS taisyklės, GDPR, NIS2 direktyvos ir ANSSI rekomendacijų. 2026 m. įmonės, nepersiūlios dokumentų saugumo srautams, susiduria su administracinėmis sankcijomis, savo aktų nulybės rizika ir partnerių pasitikėjimo praradimu.

TLS 1.3 diegimas, sujungtas su AES-256 šifravimu ramybėje, daugiafaktorine autentifikacija ir griežta dokumentų valdymo vadyba, yra minimalinė saugios dokumentų strategijos bazė.

Certyneo natively integruoja visą šią apsaugą auditoje ir suvereninėje SaaS platformoje. Prisiimkite savo dokumentų saugumo kontrolę šiandien – atskleiskite mūsų pasiūlymas tarif puslapyje arba susisiekite su mūsų ekspertais personalizuotam auditui.