Elektroninis parašas: sekimo ir vidaus audito gidas 2026 m.

Daugėjantys dematerializuoti dokumentų srautai išlaidos įmonėms dažnai nenuvertintam rizikai: nesugebėjimui iš naujo sudaryti, tarp konfliktų ar inspekcinių patikrinimų, visą parašo akto aplinkoje vykusių įvykių grandinę. Tačiau pilnas elektroninio parašo sekimas yra ne tik techninis patogumas — tai yra teisinė reikalavimas, vidaus audito palydinis ir sprendžiamasis argumentas civilinių ir komercinių teismų prieš. Šis straipsnis nagrinėja sekimo mechanizmus, numatytus eIDAS sistemoje, jų naudojimą tvirtame vidaus audito įrenginyje, geriausias vidaus audito žurnalo saugojimo praktikas ir atitinkamos sprendimo parinkties kriterijus.

Kas yra sekimas elektroniniame parašo?

Pilnos audito slėpties sudedamosios dalys

Audito slėptis (arba audit trail) susijusi su elektroniškai pasirašytu dokumentu yra daug daugiau nei paprastas laiko žymėjimas. Ji apima visus dokumentuotus įvykius nuo dokumento išdavimo iki parašo archyvavimo, per kiekvieną žiūrėjimą, atmetimą, deleguotą ar tarpinę patikrinimą. Praktiškai, patikimas įvykių žurnalas fiksuoja:

• Patvirtintą pasirašantiesiojo tapatybę: naudota autentifikavimo metodika (OTP SMS, kvalifikuotas sertifikatas, eIDAS skaitmeninė tapatybė), IP adresas, įrenginio pirštų atspaudas (device fingerprint).

• Kvalifikuotą laiko žymėjimą: suteiktą akredituoto Pasitikėjimo Paslaugų Teikėjo (PPT), jis ankština kiekvieną veiksmą laike nepriekaištaingai pagal ETSI EN 319 421 standartą.

• Dokumento vientisumą: kriptografiniam maišymui (SHA-256 arba SHA-3) apskaičiuotą prieš ir po kiekvieno sąveikos, leidžiančio aptikti bet kokią pakeitimą.

• Kontekstines metaduomenis: naršyklę, kalbą, ekrano skyrą, pasirinktinę geolokalizaciją su GDPR sutikimu, laiko zoną.

Ši drobė yra būtina tam, kad žurnalas sudarytų priimtiną įrodymą prieš Prancūzijos ir Europos teismus. Norėdami sužinoti daugiau apie šių mechanizmų teisinius pagrindus, peržiūrėkite mūsų išsamų elektroninio parašo vadovą.

Parašų lygiai ir susiję sekimo lygiai

eIDAS reglamentas skiria tris parašo lygius — paprastą (SES), pažangų (AdES) ir kvalifikuotą (QES) — ir kiekvienas numato skirtingą sekimo laipsnį:

| Lygis | Minimalus reikalingas sekimas | Įrodinėjimo vertė | |---|---|---| | Paprastas (SES) | Laiko žymėjimas, IP, el. paštas | Paprasta prezumpcija | | Pažangus (AdES) | Stipri autentifikacija, sertifikatas, pilnas audito slėptis | Stipri (įrodinėjimo pareigos nutraukimas sudetingas) | | Kvalifikuotas (QES) | Kvalifikuotas sertifikatas QSCD + kvalifikuotas TSA | Lygus ranka parašytam parašui |

Lygio pasirinkimas turėtų būti vadovaujamasis kiekvieno dokumentų srauto rizikos analize. Mūsų elektroninio parašo sprendimų palyginimas padeda nustatyti jūsų kontekste tinkamą sprendimą.

Sekimo integravimas į vidaus audito įrangą

Mapuokite kritinius dokumentų srautus

Prieš diegiant elektroninio parašo sprendimą, vidaus audito komanda turėtų mapuoti visus jautriais dokumentų srautus: komercinius kontraktus, HR pakeitimus, valdybos posėdžių protokolus, perlaidomų įsakymus, paslapties saugojimo pasižadėjimus (NDA). Kiekvienam srautui turėtų būti nustatyti:

• Reikalingas parašo lygis pagal teisinę vertę ir susijusią finansinę riziką.

• Įtraukti subjektai ir jų vaidmenys (iniciatorius, validatorius, pasirašytis, archivistas).

• Žurnalų saugojimo trukmė, suderintina su taikomais senaties terminais (5 metai komercinėje srityje, 10 metų autentiniams aktams).

• Žurnalų prieigos sąlygos, saugant funkcijų atskyrimo principą.

Šis mapas sudaro vidaus kontrolės etaloninio modelio, susijusio su elektroniniu parašu, pagrindą. Jis natūraliai integrinjasi į platesnę elektroninio parašo valdysenos įmonėje sistemą.

Naudokite įvykių žurnalus vidaus audito misiose

Atliekant vidaus audito misiją, elektroninio parašo platformos generuoti įvykių žurnalai leidžia:

• Patikrinti valdžios delegavimo laikymąsi: kas pasirašė ką, su kokiomis teisėmis, kokią datą?

• Aptikti laiko anomalijų: kontraktas pasirašytas darbo valandų išlaida, iš neeilinės vietos arba per trumpam laikui gali atskleisti vidinį suktybę.

• Susieti pareiškimus: jei pasirašytis neigia pasirašęs, audito žurnalas suteikia techninį prieštarų įrodymą.

• Aprūpinti atitikties ataskaitas: GDPR (apdorojimo registras), ISO 27001 (prieigos sekimas), sektorinės direktyvos (DSP2, draudimo sektorius, sveikatos apsauga).

Vienas dėmesio taškas: patys įvykių žurnalai turi būti vientiši ir nealterabilūs. Gera praktika yra reguliariai juos laiko žymėti ir saugoti atskirame skaitmeniniame seife, pageidautina per elektroninę archyvavimą su įrodinėjimo verte (EAVP) pagal NF Z 42-013 standartą.

Automatizuokite audito ataskaitą per API

Šiuolaikinės elektroninio parašo platformos suteikia REST API, kurios leidžia automatiškai gauti sekimo duomenis ir juos injektuoti į įmonės GRC (Governance, Risk & Compliance) įrankius (ServiceNow, SAP GRC, IBM OpenPages ir kt.). Ši automatizacija drastiškai sumažina vidaus auditorių krūvį ir eliminavoją žmonių klaidų riziką konsoliduojant įrodymą rankiniu būdu. Certyneo elektroninio parašo ROI skaičiuoklė iliustruoja išmatuojamus produktyvumo padidėjimus, susietus su šia integracija.

Parašo įrodymų saugojimas ir archyvavimas

Teisinės saugojimo trukmės ir senaties terminai

Parašo įrodymų saugojimas paklūsta keliems teisinių režimams, kurie persikloja:

• Komercinis teisė (art. L. 123-22 C. com.): apskaitos dokumentai ir pamatinės sąskaitos turi būti saugomos 10 metų nuo bilanso sudarymo.

• Bendroji senatis (art. 2224 C. civ.): 5 metai asmeninių ar turtinių ieškinių, pradedant nuo dienos, kai turėtojas žinojo arba turėjo žinoti faktus.

• Darbo teisė: algalapiai turi būti saugomi 50 metų arba iki darbuotojo 75 metų amžiaus.

• Sveikatos duomenys: 20 metų nuo paskutinio apsilankymo (art. R. 1112-7 CSP).

Šios trukmės palaido, kad archyvavimo sprendimas garantuoja formatų skaitytiną ilgalaikėje perspektyvoje (PDF/A-3, XAdES-LTA XML parašams) ir dešifravimo raktų prieinamumo.

Ilgalaikio gyvavimo parašų formatai

XAdES-LT ir XAdES-LTA (Long Term Archival) profiliai, apibrėžti ETSI EN 319 132 standarte, apima pasirašytame faile visą informaciją, reikalingą atidėtam patikrinimui: visą sertifikato grandinę, OCSP arba CRL atsakymus, archyvo laiko žymėjimą. Ši savieiga dokumentinė yra kritinė, nes sertifikavimo institucijų sertifikatai turi ribotą gyvavimo trukmę (1-3 metai) ir PKI infrastruktūra evoliucionuoja. Be šio mechanizmo, šiandien galiamas parašas gali pasidaryti techniškai nepatikrinamas per penkis metus, neatsitaisomaiš kompromituodamas jo įrodinėjimo vertę.

Sekimo brandos rodikliai: įvertinkite savo poziciją

Penk laipsnių brandos modelis

Norint padėti direktoriams auditui ir atitiktimui nutempyti savo organizaciją, naudinga rėmtis graduotu brandos modeliu:

• 1 lygis — Neegzistuojantis: parašai el. paštu be formalizuoto audito slėpties.

• 2 lygis — Elementarus: bazinis laiko žymėjimas, be sertifikato, nestruktūruoti žurnalai.

• 3 lygis — Apibrėžtas: SaaS sprendimas atitinkantis eIDAS, eksportavus žurnalai, 5 metų saugojimas.

• 4 lygis — Valdomas: GRC integravimas, automatiniai įspėjimai dėl anomalijų, NF Z 42-013 atitinkantis AEVP.

• 5 lygis — Optimizuotas: realaus laiko audito slėptis, AI anomalijų aptikimas, automatizuota GDPR ataskaitymė, metinis etaloninio modelio peržiūra.

Dauguma prancūzų smulkių ir vidutinių įmonių pagal Adobe State of Digital Trust ataskaitą (2025) yra tarp 2 ir 3 lygių. Didelės CAC 40 įmonės linksta į 4 lygį, vedamos jų auditorių ir sektorinių reguliatorių reikalavimų.

Parinkčių kriterijai sekimui ir auditui

Parenkant arba perkeliant į naują parašo platformą, sekimo kriterijai turėtų sveryti bent tiek pat kiek ergonomika ar kaina. Pagrindiniai klausimai, kuriuos reikėtų užduoti paslaugų teikėjui:

• Ar audito žurnalas yra nepermainotas (apsauga nuo redaktoriaus paties pakeitimo)?

• Ar laiko žymėjimas teikiamas kvalifikuoto TSA registruoto eIDAS pasitikėjimo sąraše (Trust List)?

• Ar sekimo duomenys šaltinejami Europoje (suverenumas, GDPR)?

• Ar žurnalai yra eksportavumini atvirais formatais (JSON, XML, CSV) be savininkiškos priklausomybės?

• Ar egzistuoja audito API leidžianti integraciją su esamais GRC įrankiais?

• Ar paslaugų teikėjas pats paklūsta SOC 2 Type II auditui arba yra ISO 27001 sertifikuotas?

Jei planuojate pakeisti sprendimą, mūsų migracijos vadovas iš DocuSign arba YouSign į Certyneo detalizuoja žingsnius, norint išsaugoti egzistuojančios audito slėpties tęstinumą be dokumentinio sutrikimo.

Teisinė sistema, taikytina elektroninio parašo sekimui

Pilietinis kodeksas ir įrodinėjimo vertė

1366 straipsnis iš Pilietinio kodekso nustato pagrindinį principą: „Elektroninis tekstas turi tokią patį įrodinėjimo jėgą kaip tekstas ant popieriaus, išskyrus, kad galėtų būti tinkamai identifikuota asmenybė, iš kurios jis yra, ir kad jis būtų sudarytas ir saugojamas aplinkybės, kurios garantuoja jo vientisumą." 1367 straipsnis paaiškina, kad elektroninis parašas „susideda iš patikimo tapatumo procedūro naudojimo, kuris garantuoja jo ryšį su aktu, prie kurio jis pridedamas". Šie du straipsniai daro sekimą ir vientisumą teisinių sąlygų sine qua non elektroninio įrodžio priimtinumo.

eIDAS Reglamentas Nr. 910/2014 ir eIDAS 2.0

Europos eIDAS Nr. 910/2014 reglamentas nustato elektroninio parašo teisinę sistemą Europos Sąjungoje. Jo 25 straipsnis nustato, kad kvalifikuotas elektroninis parašas (QES) turi teisinį poveikį, lygiavertį ranka parašytam parašui visose valstybėse narėse. 26 straipsnis (pažangus parašas) ir 27 straipsnis (tarpvalstybinis pripažinimas) nustato griežtas technines reikalavimas autentifikacijos ir vientisumui, kurie tiesiogiai paverčiasi sekimo pareigomis. eIDAS 2.0 reglamentas (ES 2024/1183 reglamentas, įsigaliojęs 2024 gegužės 20 d.) sustiprina šiuos reikalavimus, integruodamas Europos skaitmeninės tapatybės portfelį (EUDIW) ir išplėsdamas pareigas Kvalifikuotiems Pasitikėjimo Paslaugų Teikėjams.

GDPR Nr. 2016/679 ir sekimo duomenys

Audito žurnalai yra asmeniniai duomenys (IP adresai, parašytuvų tapatybės, elgesio metaduomenys). Todėl jie sudaro asmeninių duomenų apdorojimą, kuriam taikomas GDPR. Pagrindinės pareigos:

• Teisingas pagrindas: teisėtas interesas (art. 6.1.f) arba teisinė pareiga (art. 6.1.c), turinti būti dokumentuota apdorojimo registre.

• Minimialislas: rinkti tik duomenis, tiesiogiai reikalingus įrodinėjimo tikslui.

• Saugojimo trukmė: ribota taikomais senaties terminais, su automatiniu trinimu išnykus terminui.

• Saugumas: žurnalų šifravimas ramybėje ir tranzite, griežtas prieigos kontrolis (art. 32).

• Perkėlimai iš ES: draudžiami be tinkamų garantijų (standartinės sutartinės sąlygos, adekvatumas sprendimai).

ETSI standartai ir ilgalaikio archyvavimo vertė

ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ir ETSI EN 319 102 (generavimo ir patikrinimo procedūros) standartai apibrėžia ilgalaikio gyvavimo parašų formatų techninius reikalavimus. Prancūziškas NF Z 42-013 standartas reglamentuoja elektroninio archyvavimo su įrodinėjimo verte sistemas (SAEVP). Kiekviena organizacija, siekianti savo audito žurnalams sudaryti nepalaidoms įrodymams ilgalaikėje perspektyvoje, turi užtikrinti, jog jos paslaugų teikėjas arba vidaus SAE atitinka šiuos etaloninius modelius.

NIS 2 ir pasitikėjimo infrastruktūros tvirtumai

NIS 2 direktyva (perimta Prancūzijos teisėn pagal 2024-659 numerį 9 liepos 2024 d.) numeta rizikos valdymo ir incidento pranešimo pareigas, kurios aiškiai apima elektroninio parašo naudojamą pasitikėjimo infrastruktūrą. PSC sistemos sekimo gedimas gali sudaryti incidentą, kuris turi būti ANSSI praneštas per 24 valandas.

Naudojimo scenarijai: sekimas veikloje

1 scenarijus — Vidutinio dydžio pramonės grupė ir jos 1 200 metinių tiekėjų kontraktų

Apie 3 500 darbuotojų pramonės grupė, išsidėsčiusi šešiuose Prancūzijos ir dvejuose Europos centrinės dalies saituose, per metus valdo daugiau nei 1 200 tiekėjų kontraktų (pagrindinė paruošimas, paslapties saugojimo sutartys, tarifų pakeitimai). Prieš diegiant elektroninio parašo sprendimą su integruotu audito slėpte, jos pirkimu tarnyba saugojo pasirašytus kontraktus bendrinnamame tinklo kataloge, be versijų arba įvykių žurnalo. Atliekant išorinę auditą, kurią atlikdavo akcininkų institucija, auditorius negali rekonstituoti 23 % peržiūrėtų kontraktų patvirtinimo istorijos: nebuvo galimybės išduoti, kad signataris turėjo reikalingą valdžios deleguotą parašo meto.

Diegus pažangią parašo platformą (AdES) su nepalaidymomis audito slėptimis, horodotomis kvalifikuoto TSA, grupė dabar turi, kiekvienam kontraktui, atsiskleidžiamą PDF audito slėpties ataskaitą vienu paspaudimu. Sekančiame auditą (18 mėnesių vėliau), iš 100 % konstitucijos validacijos grandinės ir vidaus audito komandos, skirtos dokumentų jrodymų rinkimui, sumažėjo 65 %.

2 scenarijus — 40 konsultantų konsultacinio vadybos kabineto GDPR reikalavimų atitikimas

Konsultacinio kabineto, pagelbstinčio didelių įmonių finansų vadyboms, klientų teisinės padėties tėmyti, ir negraud, kad laiškai veiklai ir paslapties saugojimo sutartys buvo pasirašyti asmenimis, turinčiomis teisę, per sutartą laiką. Kabinetas anksčiau naudojo paprastą parašą el. paštu (ekrano skaitymas + PDF), be jokio solidaus įrodinėjimo vertės.

Migruodamas į kvalifikuoto parašo (QES) sprendimą patilsiausiais dokumentams ir pažangų (AdES) operaciniam susitariniam, kabinetas dabar gali savo klientams suteikti standartizuotą įrodinės pakete: parašo sertifikatą, audito slėpties ataskaitą, kvalifikuotą laiko žymėjimą ir autentifikavimo metaduomenis. Šis paketas leido laimėti du viešosios paraiškos, kuriuose dokumentinis sekimas buvo aiškias išskirtos kriterijus, iš kurio kilo papildomai 180 000 € pirmais metais.

3 scenarijus — 1 100 lovų ligonių grupė, siekianti Sąskaitų Rūmo kontrolės

Viešoji ligonių grupė, valdanti kelis įstaigus, iškil reguliarinems regioninės sąskaitų Rūmo kontrolės skaitlinėms, ir jos komercinės viešosios sutartys ir bendradarbiavimo konvencijos pasirašytos elektroniškai turi būti pristatytos su pilna audito slėpte per labai trumpus terminų (48-72 valandas, jei iškviečiama).

Įstaiga yra įsteigusi archyvavimo infrastruktūrą su įrodinėjimo verte (AEVP), atitinkančią NF Z 42-013 standartą, prijungtą per API prie jos parašo platformos. Kiekvienas pasirašytas dokumentas yra automatiškai į SAE su susijusiu audito slėpties žurnalu. Atliekant kontrolę dėl 340 viešosios sutartys pasirašytų per tris bilanso laikotarpius, visas pamatines medžiagos buvo lengva priduoti per mažiau nei 4 valandas, prieš dvi savaites ankstesniame patikrinime. Magistratas ataskaitos autorius išreiškė audito slėpties įrenginio kokybę savo suvestinio ataskaitos.

Išvada

Pilna elektroninio parašo sekimas nėra jau nebėra pasirinkimo didelėms struktūroms: tai yra teisinė pareiga, vidaus audito visuma ir diferenciacijos veiksnys viešosiose paraiškose ir paraiškų duomenų. Sujungdami elektroninio parašo formatus, atitinkančius ETSI standartus, kvalifikuotą laiko žymėjimą, archyvavimą su įrodinėjimo verte ir API integraciją su jūsų GRC įrankiais, jūs transformuojate kiekvieną parašą į nepriekaištingą, tuojaus naudojamą kontrolės arba ginčo metu įrodymą.

Certyneo buvo sukurtas, siekiant atitikti šiuos reikalavimus: nepalaidytos audito slėptys, europos kvalifikuotas TSA, suverenas šaltinėjimas ir dokumentuota API integracija. Nesvarbu, ar pradedatę savo dematerializavimo žingsnį, ar siekiate sustiprintis jūsų egzistuojančio įrenginio brandą, mūsų komandos yra pasirengusios jums padėti. Reikalaukite personalizuotos demonstracijos iš certyneo.com/contact ir atraskite, kaip struktūrizuoti jūsų dokumentų sekimą šiandien.