Pāriet uz galveno saturu
Certyneo

ISO sertifikacija elektroniskajai parakstīšanai: 2026. gada ceļvedis

ISO 27001, eIDAS, ETSI… elektroniskās parakstīšanas pakalpojumu sniedzēju sertifikācijas ir kļuvušas par neizbēgamu atlases kritēriju. Uzziniet, kā tās efektīvi salīdzināt.

Équipe éditoriale Certyneo11 min lasīšanai

Équipe éditoriale Certyneo

Redaktors — Certyneo · Par Certyneo

Elektroniskā parakstīšana ir kļuvusi par standartu Francijas un Eiropas uzņēmumu dokumentu pārvaldībā. Taču aiz validācijas klikšķa vienkāršības slēpjas ļoti kompleksa tehniskā un normatīvā ekosistēma. 2026. gadā jautājums vairs nav "vai pieņemt elektronisko parakstīšanu?", bet gan "kāds pakalpojumu sniegtojs piedāvā pietiekamas drošības un atbilstības garantijas manai biznesa situācijai?". ISO sertifikācijas — jo īpaši ISO 27001 — ir vienas no uzticamākajām atbildēm uz šo jautājumu. Šis raksts jūs vada caur galvenajām sertifikācijām, kas attiecas uz elektroniskās parakstīšanas pakalpojumu sniedzējiem, to faktisko darbības jomu un kritērijiem, ko izmantot stingram salīdzinājumam.

Kāpēc ISO sertifikācijas ir izšķirošas elektroniskajai parakstīšanai

Elektroniskā parakstīšana nav tikai aplikācijas funkcionalitāte. Tā ietver parakstītāja uzņēmuma juridisko atbildību, apstrādāto datu konfidencialitāti un arhivēto dokumentu ilgtermiņa integritāti. Tāpēc sertifikācijas, ko iegūst pakalpojumu sniegtojs, nav vienkārši mārketinga etiķetes: tās apliecina drošības nobrieduma līmeni, ko ir auditējis neatkarīgs trešais puses pārstāvis.

ISO 27001: neizbēgama informācijas drošības bāze

ISO/IEC 27001 ir starptautiskais atsauces standarts informācijas drošības pārvaldības sistēmiem (ISMS). Tas aptver datu konfidencialitāti, integritāti un pieejamību. Elektroniskās parakstīšanas pakalpojumu sniedzējam šī sertifikācija nozīmē, ka visi viņa procesi — no parakstītāja konta izveides līdz parakstītā dokumenta arhivēšanai — tiek pakļauti dokumentētiem kontroles pasākumiem, kurus regulāri auditē akreditēta institūcija (piemēram, LSTI, Bureau Veritas, BSI u.c.).

Praktiskai izteiksmē ISO 27001 uzliek pakalpojumu sniedzējam:

  • Pilnīgu informācijas aktīvu un ar tiem saistīto risku inventāru
  • Stingrus piekļuves kontroles noteikumus (spēcīga autentifikācija, privilēģiju pārvaldība)
  • Incidenšu pārvaldības un darbības nepārtrauktības procedūras
  • Regulārus iekšējus auditus un gada vadības pārskatīšanu
  • Nepārtrauktu vulnerabilitāšu uzraudzību

Versija, kas spēkā no 2022. gada (ISO/IEC 27001:2022), ietver 93 drošības pasākumus, kas sagrupēti četrās tēmās: organizatoriskie, cilvēka, fiziskie un tehnoloģiskie. Sertificēts pakalpojumu sniegtojs šajā versijā parāda drošības stāvokli, kas ir aktuāls pret laikmetīgiem draudiem, jo īpaši ransomware uzbrukumiem un piegādes ķēdes kompromitācijām.

ISO 27017 un ISO 27018: neizbēgamie mākoņa paplašinājumi

Gandrīz visas mājaslapas elektroniskās parakstīšanas risinājumi balstās uz mākoņa infrastruktūrām. Šajā kontekstā divas ISO 27000 saimes paplašinājumi ir godīgi pelnījuši īpašu uzmanību:

ISO/IEC 27017 sniedz specifisku norādījumus mākoņa pakalpojumiem, jo īpaši aptverot pakalpojumu sniedzēja un tā apakšuzņēmēju (viesusvētnieki, uzticības puses) dalīto atbildību. B2B pircējam šīs sertifikācijas pārbaude vai atbilstības nodrošināšana ļauj validēt, ka mākoņa uzglabātie dati tiek pakļauti vienādām drošības prasībām kā vietējās infrastruktūras.

ISO/IEC 27018 specifiski attiecas uz personas datu aizsardzību mākoņā. Tas papildina GDPR, definējot darbības praksi: paziņojuma aizliegums personas datus izmantot reklāmas nolūkiem bez skaidra piekrišanas, pārredzamība par apakšuzņēmējiem, pārnesības tiesības. DPO un atbilstības vadītājiem šī sertifikācija ir papildu pamatojums parakstītāju datu apstrādes nozīmīgumam.

Lai padziļinātu juridisko vērtību, ko šie standarti piešķir saistībā ar Eiropas tiesībām, skatiet mūsu ceļvedi par elektroniskās parakstīšanas juridisko vērtību.

eIDAS sertifikācija un ETSI standarti: ko nozīmē būt "kvalificētam"

Pāri ISO standartiem Eiropas normatīvais ietvars uzliek savus atbilstības prasības pakalpojumu sniedzējiem. Eiropas regula eIDAS Nr. 910/2014, kuras pārskatīšana eIDAS 2.0 ir notiekošā, izšķir trīs elektroniskās parakstīšanas līmeņus: vienkāršu, paplašinātu un kvalificētu.

Kvalificētā uzticības pakalpojuma sniedzēja statuss

Lai izsniegtu kvalificētas elektroniskās parakstīšanas — vienīgais juridiskais līmenis, kas ir līdzvērtīgs rakstiskam parakstam visos ES dalībvalstu — pakalpojumu sniegtojs ir jāreģistrē sava dalībvalsts uzticības sarakstā (Francijā to administrē ANSSI). Šis kvalifikācijas statuss balstās uz sākotnējo auditu, ko veic akreditēta sertifikācijas atbilstības evaluācijas institūcija, un uz regulāriem uzraudzības auditiem.

Pamatā esošie tehniskie standarti galvenokārt publicēti ETSI (Eiropas Telekomunikāciju Standartu Institūts):

  • ETSI EN 319 401: vispārējās prasības PSCo
  • ETSI EN 319 411: sertifikācijas politika un prakses sertifikācijas iestādēm
  • ETSI EN 319 132: XAdES profili XML parakstīšanai
  • ETSI EN 319 122: CAdES profili CMS parakstīšanai
  • ETSI EN 319 162: reģistrētas elektroniskās piegādes pakalpojums

Sertificēts pakalpojumu sniegtojs saskaņā ar šiem ETSI standartiem nodrošina viņa parakstu tehnisku savietojamību ar visiem Eiropas telpā atzītajiem risinājumiem, kas ir kritiski nozīmīgs uzņēmumiem, kas darbojas vairākās valstīs. Mūsu pilnīgais ceļvedis par eIDAS regulāciju detalizē par katru kvalifikācijas līmeni saistītos pienākumus.

SOC 2 Type II: Ziemeļamerikas komplementārs elements, ko uzraudzīt

Lai arī retāks Eiropas telpā, SOC 2 Type II pārskats, kas izsniegts saskaņā ar AICPA standartiem, bieži tiek prasīts lieliem uzņēmumiem, jo īpaši tiem, kuriem ir filiāles ASV vai amerikāņu partneri. Atšķirībā no ISO 27001 (sertifikācijas), SOC 2 ir audita pārskats, kas apliecina uzticības pakalpojumu kritēriju (drošība, pieejamība, apstrādes integritate, konfidencialitāte, privātums) ievērošanu, parasti vērojamā perioda sešus līdz divpadsmit mēnešus. Visaptveroša salīdzinājuma nolūkos, ja pakalpojumu sniegtojs ir nesens (mazāk par divpadsmit mēnešiem) SOC 2 Type II pārskats, tas ir spēcīgs operacionālā nobrieduma signāls.

Pakalpojumu sniedzēju sertifikāciju salīdzināšana: metode un kritēriji

Ņemot vērā pieejamo sertifikāciju daudzveidību, B2B pircējiem ir jāpieņem strukturēta analīzes režģa pieeja, nevis jāpaļaujas tikai uz mārketinga apgalvojumiem. Mūsu elektroniskās parakstīšanas risinājumu salīdzinājums uzskaita galvenās Francijā pieejamās platformas; šeit ir norādīts, kā novērtēt to sertifikācijas līmeni.

Četri jautājumi, ko sistēmiski uzdot

1. Kāds ir sertifikācijas datums un precīzā darbības joma? ISO 27001 sertifikācija, kas iegūta pirms trim gadiem un neatkārtota, nepiedāvā tādas pašas garantijas kā derīgs sertifikāts. Sistēmiski pieprasiet oficiālo sertifikātu un pārbaudiet audita darbības jomas paplašinājumu: daži pakalpojumu sniegtojs sertificē tikai savu galveno biroju, izslēdzot datu centrus vai jūrmalās izstrādes grupas.

2. Kas veica sertifikācijas auditu? Sertifikācijas institūcija pati ir jābūt akreditētai IAF (Starptautiskais Akreditācijas Forums) loceklim. Francijā kompetentā institūcija ir COFRAC (Francijas Akreditācijas Komiteja). Sertifikāts, kas izsniegts neakreditētas institūcijas, nav kontraktuālas vai normatīvas vērtības.

3. Vai pakalpojumu sniegtojs publicē savu gada penetrācijas pārbaudes pārskatu? ISO 27001 sertifikācija prasa regulāras vulnerabilitāšu novērtēšanas, taču neparedz penetrācijas testu standarta formātu. Nobriedis pakalpojumu sniegtojs publicē sava gada pentest izpildes rezumējumu, ko veicis trešā puse. ANSSI iesaka šāda veida vingrinājumiem izmantot PASSI kvalificētus pakalpojumu sniedzējus (Informācijas Sistēmu Drošības Audita Pakalpojuma Sniegtojs).

4. Kādi ir apakšuzņēmēji un saistītās sertifikācijas? Elektroniskās parakstīšanas pakalpojumu sniegtojs parasti balstās uz mākoņa viesusvētni (AWS, Azure, OVHcloud u.c.) un dažkārt uz trešo personu sertifikācijas iestādēm. Pārbaudiet, vai šiem apakšuzņēmējiem pašiem ir līdzīgas sertifikācijas (ISO 27001, HDS medicīnas datiem, SecNumCloud sensitīviem datiem). Uzticības ķēde ir tik spēcīga, cik tās vājākais posms.

Īpašs HDS atsauces gadījums medicīnas datiem

Veselības aprūpes iestādēm, EHPAD, savstarpējām apdrošināšanas biedrībām vai apdrošinātājiem, kas pārvalda medicīniskos datus, HDS sertifikācija (Veselības Datu Viesusvētne) papildina ISO prasības. Kopš 2018. gada 26. janvāra dekrēta jebkuram personas medicīnisku datu viesusvētnei ir jābūt HDS sertificētai akreditētas institūcijas. Elektroniskās parakstīšanas pakalpojumu sniedzējam, kas tiek izmantots medicīniskā kontekstā — piekrišana ārstēšanai, datori recepce, hospitalizācijas pārskats — šī sertifikācija ir priekšnoteikums. Izpētiet elektroniskās parakstīšanas īpatnības veselības jomā, lai novērtētu savas obligācijas.

Sertifikāciju ietekme uz līguma sarunām un pienācīgu pārbaudību

Pakalpojumu sniedzēja iegūtās sertifikācijas nav tikai komerciāli argumenti: tās strukturē attiecības un pienākumu sadalījumu starp pusēm.

Līguma klauzulas, kas sistemātiski jāiekļauj

Vienojoties ar elektroniskās parakstīšanas pakalpojumu sniedzēju, vairākas klauzulas, kas tieši saistītas ar sertifikācijām, ir vērtīgas:

  • Sertifikācijas uzturēšanas klauzula: pakalpojumu sniegtojs apņemas uzturēt sertifikācijas līguma darbības laiku un nekavējoties paziņot par jebkuru atsaukšanu vai apturēšanu.
  • Audita klauzula: klients saglabā tiesības veikt vai likt veikt drošības auditu pie pakalpojumu sniedzēja, noteiktajos apstākļos (brīdinājums, darbības joma, rezultātu konfidencialitāte).
  • Apakšuzņēmēja klauzula: jebkuras apakšuzņēmēju ķēdes izmaiņas ir jāinformē iepriekš, ar iespēju pārtraukt līgumu, ja jaunais apakšuzņēmējs neatbilst sertifikācijas prasībām.
  • SLA pieejamība: pakalpojumu sniedzējiem, kas sertificēti ISO 27001, pieejamības noslēpums (SLA) 99,9% minimums uz mēneša pamata ir pamatota cerība, ar finanšu sodi pārkāpumos.

Šie līguma aspekti ir daļa no plašākas elektroniskās parakstīšanas pārvaldības uzņēmumā stratēģijas, kuru mēs detalizējam mūsu īpašajā ceļvedī.

Sertifikāciju ieguldījums GDPR vai NIS2 audita kontekstā

Kopš NIS2 direktīvas (tulkota Francijas tiesībās ar 2025. gada 15. aprīļa likumu) spēkā stāšanās, būtiskajām un svarīgajām entitātēm ir jāpierāda, ka to kritiski pakalpojumu sniegtoši — tostarp elektroniskās parakstīšanas pakalpojumu sniegtoši — atbilst minimālajām kiberdrošības prasībām. Pakalpojumu sniedzēja ISO 27001 sertifikācija ir dokumentēts pierādījums, ko var izmantot NIS2 audita vai CNIL inspektora laikā. Tas jo īpaši pierāda GDPR 32. panta īstenošanu, kas prasa atbilstošus tehniskus un organizatoriskus pasākumus drošības garantijai atbilstošā līmenī.

Uzņēmumiem, kas vēlas pāriet no mazāk sertificētas risinājuma uz platformu ar augstākām atbilstības garantijām, mūsu migrācijas ceļvedis uz Certyneo detalizē darbības un piesardzības pasākumus.

Tiesiskais ietvars, kas attiecas uz elektroniskās parakstīšanas pakalpojumu sniedzēju sertifikācijām

Elektroniskās parakstīšanas juridiskais derīgums balstās uz Eiropas un nacionālo normatīvo tekstu kumulāciju, kuru izpratne ir nepieciešama, lai pareizi novērtētu pakalpojumu sniedzēja sertifikācijas.

Civilkodekss, 1366. un 1367. panti: Šie panti ir Francijas elektroniskās parakstīšanas tiesību pamats. 1366. pants nosaka, ka "elektroniskajam rakstijumam ir tāda pati pierādošā spēka vērtība kā rakstiskajai dokumentācijai uz papīra, ja var tikt pamatoti identificēta persona, no kuras tas nāk, un tas ir izveidots un saglabāts apstākļos, kas garantē tā integritāti". 1367. pants precizē, ka "paraksts, kas nepieciešams juridiskā akta pilnveidošanai, identificē tā autoru" un ka, ja tas ir elektronisks, "tas sastāv no uzticama identifikācijas procedūras izmantošanas, kas garantē tā saistību ar aktu". ISO 27001 sertifikācijas un eIDAS kvalifikācijas tiešā veidā veicina šīs uzticamības prezumpcijas izveidošanu.

Regula eIDAS Nr. 910/2014: Šis Eiropas noteikums, kas tieši piemērojams visos dalībvalstīs, nosakās trīs elektroniskās parakstīšanas līmeņus (vienkāršs, paplašināts, kvalificēts) un uzliek pakalpojumu sniedzējiem, lai pakļaustos atbilstības auditiem saskaņā ar ETSI standartiem. Tā 24. pants precizē prasības, kas attiecas uz kvalificētiem sniedzējiem, jo īpaši pienākums nodarbināt kvalificētu personālu un uzturēt pietiekamą finanšu resursus. eIDAS 2.0 pārskatīšana (Regula ES 2024/1183, stājusies spēkā 2024. gada 20. maijā) pastiprināja šos pienākumus, ieviešot Eiropas digitālās identitātes portfeli (EUDIW) un paplašinot atzīto uzticības pakalpojumu darbības jomu.

GDPR Nr. 2016/679: 28. pants (apakšuzņēmējs), 32. pants (apstrādes drošība) un 35. pants (ietekmes analīze) ir tiešā mērā attiecīgi, kad elektroniskās parakstīšanas pakalpojumu sniegtojs apstrādā personas datus pamatdarbības vadītāja uzdevumā. 32. pants jo īpaši prasa personas datu pseidonīmizāciju un šifrēšanu, sistēmu spēju garantēt konfidencialitāti, integritāti un elastību. ISO 27001 sertifikācija, kas šos aspektus aptver, ļauj daļēji izpildīt šo demonstrācijas obligāciju.

NIS2 direktīva (ES 2022/2555, tulkota Francijas likumā no 2025. gada 15. aprīļa): Tā uzliek būtiskajām un svarīgajām entitātēm pārvaldīt riski, kas saistīti ar digitālo piegādes ķēdi, tostarp elektroniskās parakstīšanas pakalpojumu sniedzējiem. NIS2 21. pants saraksta minimālos kiberdrošības pasākumus, no kuriem vairāki tieši sakrīt ar ISO 27001 prasībām.

ETSI standarti: EN 319 401, EN 319 411-1, EN 319 411-2, EN 319 132 (XAdES), EN 319 122 (CAdES) un EN 319 162 nosaka prasības kvalificēto pakalpojumu sniedzējiem. To ievērošanas audits notiek pirms reģistrācijas uz nacionālajiem uzticības sarakstiem.

Atbildība par sertifikācijas nepilnības: Nesertificēts pakalpojumu sniegtojs, kas cieš datu pārkāpumu, kas rada elektroniskā paraksta kompromitāciju, izsauc līguma un deliktus atbildību. Klients, kurš iepriekš nepārbaudīja sertifikācijas, var tikt konstatēts par kļūdu kiberdrošības risku pārvaldībā, kas ietekmē kibersavienības segumu.

Izmantošanas scenāriji: ISO sertifikācijas praksē

ISO sertifikācijas nav teorētiskas abstrakcijas. Šeit ir trīs konkrēti scenāriji, kas ilustrē to darbības ietekmi dažādos biznesa kontekstos.

1. scenārijs: Uzņēmējdarbības advokātu birojs, kas atlasa savus pakalpojumu sniedzējus

Uzņēmējdarbības advokātu birojs ar desmit divdesmit kolēģiem apstrādā gadā vairākus simtus jutīgu aktu: daļas cesijas, biedru nolīgumus, konfidencialitātes nolīgumus. It vadītājs ir jāpamato sava izvēle pārstāvniekam un lieliem komersijas klientiem, kuri kontraktuāli pieprasa, ka digitālie rīki, ko izmanto, ir ISO 27001 sertificēti.

Pamatojoties uz atlasītā pakalpojumu sniedzēja ISO 27001:2022 sertifikāciju, birojs var izsniegtu atbilstības apliecību klientu pienācīgas pārbaudības laikā. Gada atjaunošanas audits ir arī arguments iepirkuma procedūrās, kur drošība tiek sistemātiski novērtēta. Konstatēts rezultāts šāda veida struktūrā: samazinājums par 60-70% laika, kas veltīts drošības jautājumiem komerciālo sarunu laikā, un eliminācijai divi no diviem incidentiem, kas saistīti ar neatbilstošiem parakstiem divpadsmit mēnešu laikā.

2. scenārijs: Mazs rūpniecības uzņēmums, kas pārvalda piegādes kontraktus starptautiski

Mazs rūpniecības uzņēmums ar apmēram 150 darbinieku vadīšanu tuvumā 300 piegādes kontrakti gadā, no kuriem nozīmīga daļa ar Vācijas un Nīderlandes partneriem, ir jānodrošina, ka viņa elektroniskā paraksti tiek atzīti šajās valstīs. Pakalpojumu sniedzēja eIDAS sertifikācija — ļaužu sarakstā un piedāvājoši ETSI EN 319 132 sertificētu paraksti — garantē juridisko savietojamību Eiropas telpā.

Paralēli pakalpojumu sniedzēja ISO 27001 sertifikācija tiek prasīta vairāku lielu komersijas klientu iepirkuma nodaļas gada piegādes auditiem. Uzņēmums lēš, ka ir izvairījušies no diviem līguma rekvālifīcēšanas (pārvietojums uz rokaraksta parakstīšanu neatbilstības dēļ), kas pārstāv izvairītu izmaksu aptuveni 15 000 līdz 20 000 eiro aizkavējumos un loģistikas izdevumos divpadsmit mēnešos.

3. scenārijs: Slimnīcu grupējums, kas integrē elektronisko parakstīšanu savos HR un medicīniskajos procesos

Slimnīcu grupējums ar apmēram 600 gultnēm vēlas desmaterializēt gan savus darbinieku kontraktus (medicīnas personāls, laikumīgie ārsti), gan savus datorpakalpojumu piekrišanu. Divas sertifikāciju ģimenes ir neizbēgamas: ISO 27001 pakalpojumu sniedzēja vispārējai drošībai un HDS sertifikācija (Veselības Datu Viesusvētne) medicīnisko datu apstrādes daļai.

Slimnīcu grupējums atlasa pakalpojumu sniedzēju ar abām sertifikācijām, kas ļauj tam pārklāt visos gadījumos vienā kontraktā, vienlaikus pildot Skaitļošanas Aģentūras Veselībā (ANS) prasības. Mērītais produktivitātes ieguvums HR procesos (laikumīga ārsta kontrakti parakstīti mazāk par divām stundām pret divi līdz trīs dienām papīra versijā) pārstāv aptuveni 40% ekonomiju administratīvās vadības izmaksās, gadā gada lielumā aptuveni 80 000 līdz 120 000 eiro gadā, pamatojoties uz gadā parakstīto 1200 kontraktu.

Secinājumi

ISO 27001, ISO 27017, ISO 27018 un eIDAS kvalifikāciju sertifikācijas nav vienkārši nozīmīgi, kas parādīti mārketinga lapā: tās ir auditētas garantijas, ko regulāri pārbauda, kas izsauc pakalpojumu sniedzēja atbildību un juridiskā izpildi. 2026. gadā, ņemot vērā pieaugošo kiberdraudu sarežģītību un Eiropas normatīvā ietvara pastiprināšanu (NIS2, eIDAS 2.0), elektroniskās parakstīšanas pakalpojumu sniedzēja izvēle, kas ir sertificēts, vairs nav opcija, bet obligāta pārvaldības prasība.

Lai objektīvi salīdzinātu pieejamos pakalpojumu sniedzējus Francijas tirgū, pamatojoties uz četriem galvenajiem kritērijiem, kas identificēti šajā rakstā: sertifikācijas precīzā darbības joma, audita institūcijas akreditācija, transparentums apakšuzņēmēju ķēdē un līguma klauzulas, kas uztur atbilstību. Certyneo atbilst visām šīm prasībām un jūs pavada jūsu atbilstības nodrošināšanā. Sazinies ar mūsu komandu, lai iegūtu auditu par savu pašreizējo situāciju un uzzini, kā pāriet uz pilnīgi sertificētu elektronisko parakstīšanu.

Izmēģiniet Certyneo bez maksas

Nosūtiet savu pirmo parakstīšanas aploksni mazāk nekā 5 minūtēs. 5 bezmaksas aploksnes mēnesī, bez kredītkartes.

Padziļiniet tēmu

Mūsu pilnie ceļveži elektronisko parakstu apguvei.

Certyneo kopiena

Jums ir jautājums par elektronisko parakstu?

Pievienojieties Certyneo kopienai: uzdodiet jautājumus, dalieties atbildēs un sazinieties ar tūkstošiem lietotāju un mūsu komandu.