Elektroninių parašų dokumentai saugūs: 2026 metų vadovas

Įvadas

Elektroninis parašas tapo norma Europos B2B santykiuose. Tačiau pasirašyti dokumentą neužtenka: vis tiek reikia apsaugoti, archyvuoti ir saugoti šiuos elektroniniais parašais pasirašytus dokumentus pagal galiojimo teisinę sistemą. Prancūzijoje ir Europoje eIDAS reglamento, GDPR ir Pilietinio kodekso pareigos nustato tikslūs reikalavimai vientisumui, sekiojamumui ir saugojimo trukmei. Šis vadovas žingsnis po žingsnio paaiškina, kaip sukurti tvirta strategiją elektroninių pasirašytų dokumentų archyvavimui — ir kodėl ši veikla yra neatsiejama nuo rimtos elektroninio parašo politikos.

---

Kodėl pasirašytų dokumentų apsauga yra absoliuti prioritetas

Rizikos, susijusios su blogai saugomais dokumentais

Elektroniniais parašais pasirašytas dokumentas praranda visą įrodomą galią, jei jis yra pakeistas, sugadintas arba neprieinamas tada, kai reikalinga jo gamyba — ginče, audite ar mokesčių tikrinime. Konkrečios rizikos apima:

• Vientumo praradimas: bet koks pokytis po parašo, net ir nedidelis, panaikina parašą ir teisinę dokumento vertę.
• Sertifikatų baigiamasis terminas: kvalifikuoto sertifikato gyvavimo laikas yra ribotas (paprastai 1–3 metai). Jei dokumentas nėra tinkamai laiku žymėtas ar archyvuojamas prieš sertifikatui baigiasi terminas, jo būsimo patikrinamo greičio rizika paaukštėja.
• Technologinio pasendinimo: failų formatai keičiasi. PDF dokumentas, pasirašytas 2018 m. SHA-1 algoritmu, kuris dabar laikomas pažeidu, gali sukelti patikrinimo problemas ilgalaike perspektyvoje.
• GDPR pažeidimai: pasirašytieji dokumentai dažnai yra asmeninė informacija (vardas, pavardė, IP adresas, el. paštas). Bloga šių duomenų tvarkyba atskleidžia įmonę CNIL sankcijoms, kurios gali siekti 4% pasaulinių pajamų.

Pagal 2024 m. KPMG atliktą tyrimą, 34% prancūzų įmonių neturi formalizuotos elektroninio archyvavimo politikos, susidurdamos su reikšminga teisine rizika, jei ginčas.

Įrodomoji galia: centrinis klausimas

Elektroninių parašų dokumento įrodomoji galia remiasi trimis pagrindiniais stulpais:

1. Autentiškumas: pasirašantis yra tikrai tas, už ką jis save išduoda (tapatybės patikrinimas, kvalifikuotas sertifikas).
2. Vientisumas: turinys nuo parašo nekeistas (kriptografinė medžiaga, SHA-256 ar aukštesnė hešo funkcija).
3. Neatsisakymas: pasirašantis negali neiginiu parašymo fakto (kvalifikuotas laiko žyma, audito pėdsakas).

Šie trys stulpai turi būti tveriami laike, o tai reiškia aktyvią, ne pasyvią archyvavimo strategiją.

---

Techniniai standartai jūsų pasirašytų dokumentų saugai

Ilgalaikio parašo formatai: PAdES, XAdES, CAdES

Norint garantuoti pasirašyto dokumento ilgaamžiškumą, ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 142 (PAdES) standartai nustato parašo formatus, tinkamus ilgalaikiam saugojimui. Praktikoje B2B dažniausiai naudojamas PAdES (PDF Advanced Electronic Signatures) formatas su šiais lygiais:

• PAdES-B: bazinis lygis, tinkamas trumpoms trukmėms.
• PAdES-T: prideda kvalifikuotą laiko žymą, įrodydama dokumento egzistavimą tam tikru momentu.
• PAdES-LT: integruoja sertifikato atšaukimo duomenis, leidžiančius patvirtinti interneto tarnyboms nepritarius.
• PAdES-LTA: pats tvirčiausias lygis, prideda archyvavimo laiko žymą, leidžiančią periodinį atnaujinimą. Rekomenduojama bet kokiam saugojimui, viršijančiam 3 metus.

Ilgalaike archyvavime PAdES-LTA yra rekomenduojamas standartas ANSSI ir kvalifikuotų pasitikėjimo paslaugų teikėjų (QTSP).

Kvalifikuota laiko žyma: archyvavimo ašis

Kvalifikuota laiko žyma, apibrėžta eIDAS reglamento 42 straipsnyje, sudaro teisinį dokumentų egzistavimo įrodymą tam tikru metu. Ją išduoda Kvalifikuota laiko žymos valdžia (TSA - Time Stamping Authority), įrašyta europinės pasitikėjimo sąrašo (EU Trust List).

Praktikoje laiko žyma:

• Kriptografiškai susieja dokumento santrauką su sertifikuota data ir laiku.
• Leidžia įrodyti, kad parašas buvo galioja jo sukūrimo metu, net jei sertifikas nuo to laiko pasibaigė.
• Yra būtina, norint užtikrinti dokumento priimtinumą teisme metais po jo pasirašymo.

Šifravimas ir prieigos kontrolė

Pasirašymo aspektams skirtoje kriptografijoje šioje saugoje fizinis ir loginis archyvuotų dokumentų apsaugimas yra vienodai kritiškas:

• Šifravimas likusiame: dokumentai turi būti šifruoti hosting serveriuose (minimalus AES-256).
• Šifravimas tranzite: TLS 1.3 protokolai visam perdavimui.
• Prieigos kontrolė pagal vaidmenį (RBAC): tik įgalioti asmenys gali pasiekti archyvuotus dokumentus.
• Prieigos žurnalo vedimas: kiekvienas prieigos, konsultacijos ar atsisiuntimo veiksmas turi būti sekamas (nekeičiami žurnalai).
• Geografiškai suderinti atsarginiai kopijos: bent dvi kopijos geografiškai atskiruose svetainėse su reguliariais atkūrimo testais.

---

Elektroninio archyvavimo strategijos: SAE ir skaitmeninė seifa

Elektroninio archyvavimo sistema (SAE)

Elektroninio archyvavimo sistema (SAE) yra infrastruktūra, skirta skaitmeninių dokumentų ilgalaikei saugai su jų vientumo ir pasiekiamumo garantija. Prancūzijoje taikytinas nuorodos standartas yra NF Z42-013 standartas (homologuotas ISO 14641), kuris nustato SAE dizaino ir naudojimo reikalavimus.

SAE atitinkančios charakteristikos apima:

• Klasifikavimo planą, struktūrizuotą pagal dokumento kategorijas su konservavimo taisyklėmis.
• Vientumo sumą, apskaičiuotą įėjimo metu ir periodiškai patikrintą.
• Nekeičiamą žurnalo vedimą iš visų operacijų.
• Technologinio perėjimo procedūras, kurios išvystys formatus be vientumo prarado.
• Saugią ir audituojamą prieigą su stipria autentifikacija.

Pasikliaudami SAE, valdžioje. Autorinis (pvz., Elektroninio archyvavimo ir įrodomo turto - AEVP) tipo teikėjas leidžia organizacijoms delegoti šią sudėtingumą ir gauti tvirtas sutartines ir normatyvas garantijas.

Skaitmeninė seifa: papildoma sprendimas

Skaitmeninė seifa yra pasivaldžiuota SAE versija, nukreipta į galutinį naudotoją. Tai leidžia kiekvienam pasirašytajam saugoti asmeninę, saugią ir prieinamą kopiją iš savo pasirašytų dokumentų. Šis metodas yra ypač aktualus:

• Darbo sutartys ir papildomos sutartys (pasiekiamos darbuotojui).
• Priimtos elektroninės sąlygos.
• Kliento įtraukimo dokumentai (KYC, SEPA įgaliojimai).

Nustatytos konservavimo trukmės: ką reikalinga jūsų žinoti

Konservavimo trukmė skiriasi pagal dokumentų juridinį pobūdį. Čia yra pagrindiniai šios šios terminai:

| Dokumento tipas | Minimali teisinė trukmė | Teisinė pagrindas | |---|---|---| | Prekyba kontraktais | 5 metai | Art. L110-4 Prekybos kodekse | | Mokesčio dokumentai | 6 metai | Art. L102 B LPF | | Darbo sutartys | 5 metai po nutraukimo | Darbo kodeksas | | Privatūs akti | 5 metai (asmeninės ieškiniai) | Art. 2224 Pilietinis kodeksas | | Apskaitos dokumentai | 10 metai | Art. L123-22 Prekybos kodeksas | | Sveikatos duomenys | Minimalus 20 metų | Art. R1112-7 CSP |

Šios trukmės turi būti integruotos į archyvavimo politiką ir nustatytos dokumentų valdymo įrankiuose.

---

Integruoti saugą savo elektroninio parašo darbo eigoje

Pasirinkite parašo platformą su natiniu archyvavimo

Geriausia strategija yra pasirinkti elektroninio parašo sprendimą, kuris savoje nuo pat pradžių integruoja saugų archyvavimą, o ne keisti dvejus atskirai. Esminiai pasirinkimo kriterijai:

• eIDAS kvalifikacija: platforma turi būti arba remtis kvalifikuotu pasitikėjimo paslaugų teikėju (QTSP), įrašytu ES pasitikėjimo sąraše.
• GDPR atitiktis: duomenų įrašymas Europos Sąjungoje, DPA (Duomenų tvarkymo susitarimas) prieinamas, galimybė naudoti asmenų teises.
• Sertifikuoti archyvavimo formatai: PAdES-LTA nuo pat pradžių suportimas ar lygiavertis.
• Visas audito pėdsakas: kiekvienas parašo proceso žingsnis turi būti slypi ir eksportuoti.
• API integravimas: norint susieti platformą su jūsų esamų GED (Elektroninio dokumentų valdymas) arba ERP.

Norėdami palyginti rinkoje šiandien prieinamus sprendimus, skaitykite mūsų elektroninio parašo sprendimų palyginime.

Audito pėdsakas: jūsų geriausias apsauga ginčo metu

Audito pėdsakas (arba audit trail) yra chronologinis ir nekeičiamas žurnalas, kuris stulpia visus su dokumentu susijusius veiksmus: siuntimas, atidarymas, parašas, atmetimas, priminimas. Tai sudaro papildomą įrodymą patį parašui.

Tikimybinis audito pėdsakas turi turėti:

• Kiekvieno veiksmo kvalifikuotas laiko žymas.
• Pasirašančiųjų IP adresus ir naudotojo agentus.
• Naudotus tapatybės patikrinimo identifikatorius.
• Dokumento metaduomenis (hešo santrauką).

Ginčo metu tai dažnai yra audito pėdsakas, kuris rodo skirtumą keičiant teisme, ypač jei buvo naudojamas paprastas arba sudėtingas (o ne kvalifikuotas) parašas.

Automatizuoti atnaujinimo ir archyvavimo priminimus

Veiksminga archyvavimo politika yra pirmiausia automatizuota politika. Geri praktikai apima:

• Automatiniai įspėjimai prieš sertifikatų baigiamąjį terminą arba laiko žymos.
• Laiko žymos atnaujinimo darbo eiga prieš kriptografiniai algoritmai tapti pažeidžiami.
• Periodinės peržiūros archyvuotų dokumentų sąraše su atsitiktine vientumo patikra.
• Atitikties prietaisų skydelis, leidžiantis nustatyti dokumentus, kurių konservavimo laikas artėja prie teisinės baigties.

Šios automatizacijos yra natyviai prieinamos naujos kartos elektroninio parašo platformose, pvz. Certyneo įmonėms.

Teisinė sistema, taikytina pasirašytų dokumentų saugai ir archyvavimui

Saugi elektroninių parašų dokumentų saugojimas ir archyvavimas yra pagrindinės reguliacinės sistemos, kurios valdymas yra neatskaitomas bet kuriai organizacijai, norinčiai prieštarauti šiems dokumentams trečiosioms šalims arba jų iš dalies teismėje.

Reglamentas eIDAS Nr. 910/2014 ir jo evoliucija

Europinis reglamentas eIDAS (Electronic IDentification, Authentication and trust Services), galiojantis nuo 2016 m. liepos 1 d. ir revizuojamas per eIDAS 2.0, nustato pasitikėjimo sistemą elektroninio parašo paslaugoms Europoje. Jame skiriami trys parašo lygiai (paprastas, sudėtingas, kvalifikuotas) ir nustatomi griežti reikalavimai kvalifikuotiems pasitikėjimo paslaugų teikėjams (QTSP) saugumo, audito ir paslaugų tęstinumo atžvilgiu. 25 straipsnis suteikia neatsisakymo prezumpciją kvalifikuotam parašui. 42 straipsnis reguliuoja kvalifikuotus laiko žymo paslaugų teikėjus.

Prancūzijos civilinis kodeksas: 1366 ir 1367 straipsniai

1366 civilinio kodekso straipsnis nustato, kad „elektroninis raštas turi tą patį įrodomą galią kaip raštas ant popierinės pagrindu, jei galima patikrinti iš kurio jis kilęs asmenį ir kad jis buvo sudarytų ir saugojamas tokiomis sąlygomis, kurios garantuoja jo vientumą". 1367 straipsnis nustato elektroninio parašo galiojimo sąlygas. Atsakomybė saugoti dokumentą sąlygomis, kurios garantuoja vientumą, yra organizacijos, kuri turi dokumentą.

GDPR Nr. 2016/679: asmeninių duomenų apsauga archyvuose

Elektroniniais parašais pasirašytieji dokumentai sistemingai turi asmeninę informaciją (identitetas, el. paštas, IP adresas, kartais biometrinį elgesį duomenis). GDPR reikalauja teisinės pagrindo kiekvienam tvarkymui, konservavimo trukmės susiaurinimui būtinajam, ir atitinkamų techninių ir organizacinių priemonių įgyvendinimui (32 straipsnis). Jei duomenų pažeidimas paveiks pasirašytų dokumentų archyvus, 33 straipsnis reikalauja CNIL pranešimo per 72 valandas.

Direktyva NIS2 (2022/2555/EE)

Perkeliant į prancūzų teisę ordenanca 2024 m., direktyva NIS2 nustato esminiams ir svarbūs subjektams sustiprintus reikalavimus atitinkant informacinės sistemos sauguą, įskaitant duomenų apsaugą saugomose informacinėse sistemose. Esminių organizacijų elektroninio parašo dokumentų archyvavimo platformos patenka į taikymo sritį.

ETSI ir NF Z42-013 standartai

Standartai ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 142 (PAdES) nustato Advanced Electronic Signature ir Qualified Electronic Signature formatus, atitinkančius eIDAS. Standartas NF Z42-013 / ISO 14641 sudaro elektrinio archyvavimo sistemos nuorodos tvarką sa vertybe. Jos laikymasis yra labai rekomenduojamas ANSSI ir sudaro tvirtą apsaugą priešais ginčo neigimu.

Sankcijos ir rizika dėl neatitikties

Rizikos yra daugybės: dokumento nepriimtinumas teisme, CNIL sankcijos (iki 20 milijonų eurų ar 4% CA pasauliniu pagrindais dėl pagrindinių GDPR pažeidimų), organizacijos sutarties arba deliktinės atsakomybės pradžia, ir jei konservavimo pareigos nebuvo laikomos, neteko parašo paslaugų teikėjo garantijų.

Naudojimo scenarijai: kaip organizacijos saugo savo pasirašytus dokumentus

Scenarijus 1 — Advokato biuras valdantis tūkstančius aktų per metus

25 bendradarbio advokato biuras per žiedadienį vidutiniškai tvarko 3000 aktų ir pasirašytų elektronine parašais kontraktų (transakcijos protokolai, įgaliojimai, perleidimo aktai). Susidūrus su būtinybe pateikti dokumentus, kuriems 7 metai, mokesčio audito metu, biuras pastebėja, kad daugumoje parašų nebegalima patikrinti: sertifikatai baigė galioti ir nebuvo taikytų jokio archyvavimo laiko žymo (PAdES-LTA lygis).

Po to, kai biuro integruota parašo sprendimas su natiniu archyvavimo SAE atitinkamo NF Z42-013, biuras naudojasi garantuota patikimu per 30 metų. Laikas ieškant ir pateikiant dokumentą ginče sumažėja nuo 4 valandų į mažiau nei 15 minučių. Asociatai vertina 60% teisinio ginčo greitį sumažinti, susijusį su dokumentų archyvavimu. Norėdami sužinoti apie juridiniu biurų specifinius reikalavimus, skaitykite mūsų advokato biurų elektroninio parašo puslapį.

Scenarijus 2 — Maža pramonės įmonė valdanti tiekėjo ir kliento kontraktus

180 darbuotojų pramonės smulkioji įmonė per metus sukuria apie 400 tiekėjų ir 250 kliento kontraktų, pasirašytų elektronine parašais. Jo dokumentai buvo sudėti į neprincipinguotą lygų serverį be pėdsako audito, be grandinės prieigos kontrolės.

Dėl kibernetinio saugumo incidento (ransomware), kuris užšifravo dalį serverio, keletas tęsiamų kontraktų turėjo būti iš naujo pasirašyti, sukeldami uždelsimą ir išlaidas, įvertinas 40 000€. Po migracijų į SaaS parašo platformą su integruota skaitmeninės seifos, Prancūzijoje esančia svarbi ir geografines atsargines kopijas, mažoji įmonė eliminuoja šią riziką. Taip pat ji naudojasi automatiniu perspėjimu dėl sutarties iš dalies. Norėdami įvertinti tokios veiklos investicijų grąžą, naudokite mūsų ROI skaičiavimo instrumentą elektroninio parašo.

Scenarijus 3 — Ligoninių grupė valdanti pacientų sutikimus ir žmogiškųjų išteklių kontraktus

Apie 1200 lovų ligoninių grupė turi saugoti pacientų informuoto sutikimo dokumentus, pasirašytus elektronine parašais per 20 metų minimalus (Visuomenės sveikatos kodekso R1112-7 straipsnis), taip pat 2500 jo agentų darbo sutartys. Dokumentų daugybė ir skirtingos konservavimo trukmės daryti rankinį valdymą neįmanomą ir rizikinga.

Diegdami elektroninio parašo sprendimą su konfigūruojamu archyvavimo moduliu pagal dokumentų kategoriją, grupės teisės skyrius automatizuoja sulaikymo taisykles: 20 metų sutikimams, 5 metai po nutraukimo žmogiškųjų išteklių kontraktams, 10 metų viešiems pirkimams. Vidiniai GDPR atitikties auditai atskleisti dokumentų atitikties greitį padidėjęs nuo 67% iki 96% mažiau nei per metus. Dėl pramonės specifinių charakteristikų, mūsų elektroninio parašo sveikatos vadovas nustato teisinės pareigos.

Išvada

Apsaugoti ir saugoti jūsų elektroniniais parašais pasirašytus dokumentus nėra pasirinktina techninio klausimo priedas: tai yra teisinė pareiga ir strateginė būtybė bet kuriai organizacijai, naudojančiai elektroninį parašą savo verslo procesuose. Tarp eIDAS atitikties, GDPR reikalavimų, ETSI standartų ir Prekybos kodeksui nustatytos konservavimo trukmės, sudėtingumas yra tikras — tačiau visiškai valdomas tinkamais įrankiais.

Sėklingos archyvavimo strategijos raktai yra aiškūs: ilgalaikio parašo formatai (PAdES-LTA), sisteminę kvalifikuotą laiko žymą, saugia ir suverenią įrašyimą, automatizuotas konservavimo taisykles ir visą audito pėdsaką.

Certyneo integruoja visas šias funkcijas savoje SaaS platformoje, sukurtoje B2B komandų. Sužinokite, kaip ilgam apsaugoti savo pasirašytus dokumentus testuojant Certyneo nemokamai arba tyrinėdami mūsų tarifus.