Jūsu parakstītos dokumentus aizsargājiet ar TLS šifrēšanu

Kāpēc TLS šifrēšana ir neaizstājama jūsu parakstītajiem dokumentiem

1. gadā elektronski parakstīto dokumentu drošība nav vairs iespēja — tas ir juridiski un stratēģiski obligāts jebkuram uzņēmumam, kas darbojas Eiropas ciparu telpā. TLS šifrēšana (Transport Layer Security) ir šīs aizsardzības pamatā, nodrošinot, ka dati, kas pārsūtīti starp klientu un serveri, paliek konfidenciāli, integri un autentificēti. Saskaņā ar ANSSI, vairāk nekā 74% no dokumentēto kibernoziegumiem Eiropā mērķē uz nešifrētus vai nepietiekami drošus datu plūsmas. Šajā kontekstā ir bijis kļuvis obligāts saprast, kā aizsargāt savus dokumentus ar TLS šifrēšanu, HTTPS un eIDAS regulējuma ietvaros, tas ir DSI, juristu un atbilstības vadītāju svarīgs uzdevums Francijā un Eiropā.

Šis raksts pēta TLS mehānismus, tā saistību ar kvalificētu elektronisko parakstu, normatīvās prasības SaaS platformām, un labāko praksi, kā aizsargāt savus dokumentus jau šodien.

---

Saprast TLS šifrēšanu un tās lomu elektroniskajā parakstā

TLS 1.3: pašreizējais apmaiņas drošības standarts

TLS (Transport Layer Security) protokols ir uzlabota SSL (Secure Sockets Layer) versija, kas tagad ir novecojusi. TLS 1.3 versija, kas publicēta 2018. gadā no IETF (RFC 8446), šodien ir standarts jebkuram drošam datu apmaiņai. Tā novērš vairākas kritiskas iepriekšējo versiju vulnerabilitātes, tostarp BEAST, POODLE un DROWN uzbrukumus, vienlaikus samazinot savienojuma latenci ar viena viļņa handshake.

Konkrēti, TLS 1.3 garantē:

• Konfidencialitāti: pārsūtītie dati tiek šifrēti no gala uz galu, padarot to pārtveršanu nelietojamu.
• Integritāti: jebkurš ziņojums, kas mainīts tranzītā, tiek nekavējoties atklāts.
• Autentifikāciju: servers (un izvēles gadījumā klients) tiek autentificēts ar X.509 sertifikātu.

eIDAS atbilstošai elektronisko parakstu platformai TLS 1.3 lietošana — vai vismaz TLS 1.2 ar ANSSI apstiprinātu kriptogrāfiskiem komplektiem — ir pamatprasība. TLS 1.0 vai 1.1 lietošana ir formāli aizliegta ENISA ieteikumos kopš 2022. gada.

HTTPS: TLS šifrēšanas redzamā slāņa

HTTPS ir vienkārši HTTP, kas tiek piegādāts TLS savienojuma augšpusē. Lietotājiem kadrons, kas redzams pārlūkprogrammas adreses joslā, nozīmē, ka komunikācijas kanāls ir šifrēts. Uzņēmumiem tas nozīmē, ka dokumenti, kas lejupielādēti, parakstīti vai dalīti, drošā veidā pārvietojas starp lietotāja pārlūkprogrammu un platformas serveriem.

Tomēr HTTPS negarantē dokumenta drošību mierā (tas ir, kad tas tiek glabāts serverī). Tāpēc TLS šifrēšana jāpapildina ar datu šifrēšanu mierā (piemēram, AES-256) un spēcīgiem piekļuves kontroles mehānismiem. elektronisko parakstu pilnā vadībā šie papildu drošības slāņi tiek apspriesti kā koherentna kopuma daļa.

TLS sertifikāti un uzticības ķēde

TLS sertifikāts tiek izdots no atzītas sertifikācijas iestādes (CA). Tas satur servera publisko atslēgu, organizācijas identitāti, un to paraksta ciparu veidā CA. Uzticības ķēde — no saknes sertifikāta līdz starpnieciskiem sertifikātiem — garantē, ka lietotājs komunicē ar entītiju, kuru viņš uzskata.

Pakalpojumu sniedzējiem, kas ir uzticības pakalpojumu sniedzēji (PSCo) saskaņā ar eIDAS regulējumu, TLS sertifikātiem, ko izmanto parakstīšanā un autentifikācijā, jāatbilst ETSI EN 319 411 standartiem.

---

TLS šifrēšana un eIDAS atbilstība: ko saka regulējums

eIDAS parakstu līmeņi un to drošības prasības

Regulējums eIDAS nr. 910/2014, ko pastiprināja eIDAS 2.0 ieviešanas laikā, izšķir trīs elektronisko parakstu līmeņus: vienkāršus, uzlabotus un kvalificētus. Katrs līmenis nozīmē pieaugošas drošības prasības:

• Vienkāršs paraksts: nav noteiktu tehnisko standartu, bet TLS šifrēšana pārvadei joprojām ir ieteicama.
• Uzlabot paraksts: platforma jāgarantē dokumenta integritāte un unikāla saite starp parakstu un parakstītāju. TLS 1.3 šeit ir gandrīz neaizstājams pārraidīšanas plūsmām.
• Kvalificēts paraksts: sniedzējam jābūt PSCo, kas ir atzīts un iekļauts savā dalībvalstī esamā uzticības sarakstā (Trust List). Kriptogrāfiskās prasības ir definētas ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) un EN 319 142 (PAdES) standartiem. Komunikācijas kanālu šifrēšanai jāatbilst ANSSI vai ENISA ieteikumiem.

Uzņēmumiem, kas cenšas salīdzināt elektronisko parakstu risinājumus, TLS drošības līmenis ir svarīgs atlases kritērijs, ko bieži nepietiek novērtē.

eIDAS 2.0 ieguldījums komunikācijas drošībā

Regulējums eIDAS 2.0, kura pakāpeniska ieviešana turpinās līdz 2026.-2027. gadam, ievieso Eiropas ciparu identitātes portfeli (EUDIW) un pastiprināja prasības uzticības pakalpojumu sniedzējiem. Tas nozīmē jo īpaši:

• Drošības auditus atbilstoši EN ISO/IEC 27001 standartiem un ENISA specifiskajām prasībām.
• Lielāku pārredzamību par izmantotajiem kriptogrāfiskiem mehānismiem.
• Drošības politiku publicēšanu, kas ir suskaitāma nacionālo kontroles iestāžu darbības laikā.

Šīs izmaiņas nozīmē, ka uzņēmumiem, kas izmanto parakstu platformas, jānodrošina, ka viņu pakalpojumu sniedzējs uztur atjauninātu un auditētu TLS infrastruktūru. Tas ir tieši tas, ko Certyneo garantē savā infrastruktūrā, ar regulāriem drošības auditiem un ANSSI referenču atbilstību.

---

Labākās prakses jūsu parakstīto dokumentu aizsardzībai uzņēmumā

Jūsu pašreizējās TLS infrastruktūras audits

Pirms SaaS elektronisko parakstu risinājuma ieviešanas vai migrācijas, TLS audits ir nepieciešams. Tādi rīki kā SSL Labs (Qualys) vai testssl.sh ļauj novērtēt jūsu pašreizējās platformas TLS konfigurāciju un identificēt vulnerabilitātes: novecojuši kriptogrāfiski komplekti, beidzies sertifikātu derīgums, nepareiza HSTS (HTTP Strict Transport Security) pārvaldīšana, Certificate Transparency (CT logs) trūkums.

Būtiskās kontroles punkti ir:

• Tikai TLS 1.2 vai 1.3 lietošana (SSLv3, TLS 1.0 un 1.1 deaktivācija).
• Ieteiktie kriptogrāfiskie komplekti: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS aktivizēts ar minimālo ilgumu 6 mēneši un iespēju `includeSubDomains`.
• OCSP Stapling iespējots ātrai sertifikātu atsaukšanai.
• Perfect Forward Secrecy (PFS) iespējots, lai ierobežotu atslēgas kompromitēšanas ietekmi.

Šifrēšana mierā un tranzītā: papildinoša pieeja

TLS šifrēšana aizsargā datus tranzītā. Bet pilnīga dokumentu drošības stratēģija jāapņem arī datus mierā. Parakstītiem dokumentiem tas nozīmē:

• AES-256 šifrēšana failiem, kas glabājas datu bāzē vai failu sistēmās.
• Šifrēšanas atslēgu pārvaldīšana caur HSM (Hardware Security Module) vai FIPS 140-2 sertificētu KMS (Key Management Service).
• Vides atdalīšana: ražošanas dati nekad nedrīkst eksistēt kopā ar izstrādes vai testa vidēm.
• Draugs bezmaiņas žurnalizēšana: katrs dokumenta piekļuves gadījums jāfiksē nemainīgi, atbilstoši GDPR ieteikumiem.

Uzņēmumiem, kas apstrādā lielu dokumentu apjomu, Certyneo ROI kalkulators ļauj novērtēt finansiālo ietekmi no pastiprinātas drošības salīdzinājumā ar datu noplūdes izmaksām.

Apmācība un dokumentu pārvaldības vadība

Tehnoloģija viena pati nav pietiekama. Efektīva dokumentu drošības politika balstās uz trim pīlāriem:

1. Darbinieku apmācīšana: apdraudējumu izpratne par pikšķerēšanu, nedrošu dokumentu koplietošanu un piekļuves pārvaldības labāko praksi.
2. Piekļuves vadība: minimālā privilēģiju princips, daudz faktoru autentifikācija (MFA) platformu parakstīšanai, regulāra piekļuves tiesību pārskatīšana.
3. Incidentu pārvaldīšana: incidentu atbildes plāna izveide, ja parakstīti dokumenti ir apkompromitēti, atbilstoši GDPR paziņošanas obligācijām (72 stundas) un NIS2.

HR un juridiskās komandas, kas strādā ar jutīgākajiem dokumentiem, ir pirmās, ko tas skaita. Vitrīnas risinājumi, piemēram, elektroniskais paraksts HR vai juridiski kabineti neiederīgā integrē šīs aizsardzības slāņus.

---

NIS2 direktīva un SaaS parakstu platformu drošība

Ko NIS2 nosaka izmantošanas uzņēmumiem

NIS2 direktīva (Network and Information Security 2), kas transponēta Francijas tiesībās ar 2023. gada 26. jūlija likumu un piemērojama kopš 2024. gada oktobra, ievērojami paplašina to subjektu uzsvarus, kuriem pieņemtas kibernoziegumu drošības saistības. Tagad vidēja lieluma uzņēmumiem kritiskos sektoros (veselības aprūpe, finanses, enerģija, administrācija) jānodrošina, ka viņu SaaS pakalpojumu sniedzēji ievēro augstus drošības standartus.

Konkrēti, NIS2 nosaka:

• Novērtēt ciparu piegādes ķēdes drošību, ieskaitant parakstu platformu SaaS pakalpojumus.
• Prasīt no sniedzējiem drošības garantijas (drošības SLA, ISO 27001 sertifikāti, auditu ziņojumi).
• Paziņot ANSSI jebkura nozīmīga incidenta gadījumā, kas ietekmē kritiskos ciparu pakalpojumus.

Izvēlieties elektronisko parakstu sniedzēju, kas atbilst NIS2

Uzņēmumiem, uz kuriem attiecas NIS2, parakstu platformas izvēle nevar aprobežoties ar biznesa funkcijām. Drošības kritērijiem jāiekļauj: atbalstītā TLS versija, atslēgu pārvaldības politika, datu atrašanās vieta (ideāli Eiropas Savienībā) un spēja sniegt auditu ziņojumus pēc pieprasījuma.

Certyneo glabā visus klienta datus ISO 27001 sertificētos datu centros, kas atrodas Francijā, ar TLS 1.3 šifrēšanu visiem apmaiņas gadījumiem un AES-256 datu šifrēšanu mierā. Uzņēmumiem, kas izsver migrāciju no DocuSign vai YouSign, NIS2 atbilstība bieži vien ir migrācijas idejas svarīgais sprosts. Migrācija no DocuSign vai YouSign — NIS2 atbilstība bieži vien ir viena no primārajām migrācijas motīvācijām.

Parakstīto dokumentu drošības juridiskais ietvars

Elektronisko parakstīto dokumentu drošībā ir jāveic vairāki normatīvie teksti, kuru orientēšanās ir nepieciešama jebkuram uzņēmumam, kas vēlas būt atbilstošs 2026. gadam.

Franču Civilkodekss: 1366. un 1367. pants

Civilkodeksa 1366. pants nosaka vispārējo principu elektroniskā dokumenta līdzvērtībai papīra dokumentam, ar nosacījumu, ka to izdeva persona, kas ir pareizi identificēta, un dokuments ir izveids un glabāts tādos apstākļos, kas garantē tā integritāti. 1367. pants definē elektronisko parakstu kā procedure, kas drošā veidā saitē parakstu ar dokumentu. TLS šifrēšana direktīvi ietekmē šīs integritātes garantiju tranzītā.

Regulējums eIDAS nr. 910/2014 un eIDAS 2.0

Eiropas Parlamenta regulējums eIDAS nr. 910/2014 ir elektronisko parakstu juridiskais pamats Eiropā. Tas definē trīs parakstu līmeņus (vienkāršu, uzlabotu, kvalificētu) un prasības sniedzējiem, kas ir uzticības pakalpojumi (PSCo). I-IV pielikumi sīki norāda sertifikātu veidošanās prasības. ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) un EN 319 142 (PAdES) standardi nozīmē pieļaujamos parakstu formātus. eIDAS 2.0 pastiprināja prasības ar EUDIW ieviešanu un pastiprinātām PSCo kibernoziegumu drošības saistībām.

GDPR nr. 2016/679

Vispārējais datu aizsardzības regulējums nosaka uzņēmumiem pieņemt tehniskus un organizatoriskus pasākumus, lai garantētu personīgo datu drošību (32. pants). Dokumenti ar personīgiem datiem ir jāšifrē tranzītā (caur TLS) un mierā (caur AES-256 vai līdzvērtīgu). Datu noplūdes gadījumā CNIL un attiecīgajiem cilvēkiem jāziņo 72 stundu laikā (33. pants). CNIL uzskata šifrēšanu par pamata pasākumu, ko jebkuram datu apstrādes vadītājam ir gaidīts izmantot.

NIS2 direktīva (2022/2555/UE)

Transpozīta Francijā kopš 2024. gada oktobra, NIS2 direktīva nosaka pamatvienībām un svarīgajām vienībām pastiprinātas kibernoziegumu drošības saistības. Tā skaidri aptver komunikācijas kanālu drošību (ieskaitant TLS), incidentu pārvaldīšanu un ciparu piegādes ķēdes drošību. Elektronisko parakstu SaaS sniedzēji var kļūt par kritiskiem sniedzējiem savam klientiem, kas ir NIS2 obligātie.

ANSSI referenču un ETSI standarti

ANSSI publicē rekomendācijas par kriptogrāfiskiem parametriem (ANSSI-PB-078 vadlīnija), nosakot pieļaujamos algoritmus un atslēgu garumus. TLS nozīmē ANSSI iesaka TLS 1.3 prioritārā kārtībā, TLS 1.2 ar stingri definētiem kriptogrāfiskiem komplektiem, un aizliedz SSLv3, TLS 1.0 un TLS 1.1. Šīs ieteikumi ir de facto obligāti jūtīgiem informācijas sistēmām un iekļauti eIDAS uzticamie partneri vērtēšanas kritērijos.

Lietošanas scenāriji: TLS drošība reālā kontekstā

Scenārijs 1: Advokātu birojs, kas hronizē privātās parakstītas aktas

Advokātu birojs ar aptuveni piecpadsmit darbinieku skaitu apstrādā mēnesī vairākas simtus pilnvaru, vienošanās un darba samaksas noteikumus. Pirms migrācijas uz eIDAS atbilstošu risinājumu ar TLS 1.3 un AES-256, dokumenti tika apmainīti nešifrētu e-pasti, pakļaujot biroju kompromitēšanas un aktu autenticitātes apstrīdēšanas riskiem.

Pēc SaaS platformas ieviešanas ar TLS 1.3 un AES-256 šifrēšanu mierā, pāri autentifikācijai ar MFA parakstītājiem, birojs samazināja aktu apstrādes laiku par 68% (no 4,2 dienām vidēji uz 1,3 dienām) un novērsa nedrošas dokumentu pārraidīšanas incidentus. Katras procesa stāvokļa laika atzīmēšana veido pieņemamu pierādījumu lietas gadījumā.

Scenārijs 2: KMG uzņēmums, kas kontrolē piegādātāju līgumus

KMG ražošanas sektora uzņēmums, kas apstrādā aptuveni 300 piegādātāju līgumi gadā, saskārās ar dokumentu izkliedes problēmu: rokas parakstītie līgumi tika digitalizēti un glabāti iekšējos serveros bez šifrēšanas, pieejami visā iekšējā tīklā. Drošības audits, kas veikts ISO 27001 sertifikācijas sagatavošanas laikā, parādīja, ka 40% no kontraktējošiem dokumentiem netika šifrēti mierā.

Migrācija uz SaaS parakstu risinājumu ar TLS 1.3 tranzītā un AES-256 mierā, pāri lomu balstītai piekļuves kontrolei, ļāva labojumu šos nepilnības. Aprēķinātais ieguvums dokumentu noplūdes riska samazināšanā, kas novērtēts pēc NIST aprēķinu metodēm, pārstāv vairākus desmitus tūkstošu eiro gada riska dēļ. Piegādātāju līgumu parakstīšanas laiks tika samazināts no 5 dienām uz mazāk nekā 24 stundām vidēji.

Scenārijs 3: Privāto klīniku grupa un GDPR/NIS2 atbilstība

Privāto klīniku grupa ar aptuveni 600 guliem dažādos iestādēs bija jāapaļ elektronisko parakstu drošības darba līgumiem, prakses vienošanās un pacienta piekrišanas formas. Veselības aprūpes sektors, kas klasificēts kā pamatvienība saskaņā ar NIS2, uzliek īpašas prasības drošībai pārraidīšanas kanālos.

Elektroniskā paraksta pieņemšana veselības aprūpē ar TLS 1.3, HSM atslēgu pārvaldībai un nemainīgai piekļuves žurnalizēšanai ļāva grupai apmierināt NIS2 audita prasības un GDPR aktivitāšu reģistra saistības. Atbilstības izmaksas tika atpelnītas mazāk nekā 8 mēnešus papīra procesa novēršanas rezultātā HR dosieros, aprēķināto ekonomiju starp 15 un 25 eiro par apstrādāto dokumentu saskaņā ar sektora rādītājiem, ko publicējis SYNTEC Numérique.

Secinājums

Jūsu elektronski parakstīto dokumentu drošības nodrošināšana ar TLS šifrēšanu ir vairs nevis tehnoloģijas jautājums — tas ir juridiski saistošs ar eIDAS regulējumu, GDPR, NIS2 direktīvu un ANSSI ieteikumiem. 2026. gadā uzņēmumi, kas ignorē savus dokumentu plūsmu drošību, iestāsies administratīvajiem sodam, aktu nullības riskiem un partneru uzticības zaudējumiem.

TLS 1.3 ieviešana, kombinēta ar AES-256 šifrēšanu mierā, daudz faktoru autentifikāciju un stingru dokumentu vadību, ir dokumentu drošības stratēģijas minimālā bāze.

Certyneo neiederīgā integrē šīs aizsardzības pasākumus visos savos SaaS platformas auditētos un nacionālos sektoros. Ņemiet kontroli pār jūsu dokumentu drošību jau šodien — atklājiet mūsu piedāvājumus cenu lapā vai sazinieties ar mūsu ekspertiem personīgam auditam.