Dokumentu ar elektroniskām parakstiem aizsardzība: 2026. gada ceļvedis

Ievads

Elektroniskā parakstīšana ir kļuvusi par normu Eiropas B2B sadarbībā. Taču dokumenta parakstīšana nav pietiekama: ir jānodrošina elektronisko parakstu dokumentu aizsardzība, arhivēšana un glabāšana atbilstoši spēkā esošajam juridiskajam regulējumam. Francijā un Eiropā eIDAS regulējuma, GDPR un Pilsoņu kodeksa noteikumi nosaka stingras prasības attiecībā uz integritāti, izsekošanu un glabāšanas ilgumu. Šis ceļvedis soli pa solim izskaidro, kā izveidot stabilu elektronisko parakstu dokumentu arhivēšanas stratēģiju — un kāpēc šī pieeja ir neatņemama jebkuras nopietnas elektroniskās parakstīšanas politikas daļa.

---

Kāpēc dokumentu ar elektroniskām parakstiem aizsardzība ir absolūta prioritāte

Riski, kas saistīti ar nepareizu glabāšanu

Elektronisks parakstīts dokuments zaudē visu pierādīšanas vērtību, ja tas ir pārveidots, bojāts vai nepieejams brīdī, kad tas ir nepieciešams izrādīšanai — strīda gadījumā, audita laikā vai nodokļu pārbaudes jomā. Konkrētie riski ietver:

• Integritātes zaudēšanu: jebkura pārvērtība pēc parakstīšanas, pat neliela, padara parakstu un tāpēc dokumenta juridisko nozīmi spēkā neesoši.
• Sertifikātu beigu termiņu: kvalificēts sertifikāts ir ierobežota derīguma periods (parasti 1 līdz 3 gadi). Ja dokuments nav pareizi datēts vai arhivēts pirms derīguma termiņa beigām, tā nākotnes verifikācija ir apdraudēta.
• Tehnooloģiskās novecošanās: failu formāti attīstās. PDF dokuments, kas parakstīts 2018. gadā ar SHA-1 algoritmu, kas tagad tiek uzskatīts par nedrošu, var radīt validācijas problēmas ilgtermiņā.
• GDPR pārkāpumi: elektronisko parakstu dokumenti bieži satur personīgos datus (vārds, uzvārds, IP adrese, e-pasts). Šo datu nepareiza pārvaldība izpaužas uzņēmuma riskiem CNIL sankcijas, kas var sasniegt 4% no globālā apgrozījuma.

Saskaņā ar KPMG veikto pētījumu, kas publicēts 2024. gadā, 34% no franču uzņēmumiem nav formalizētas elektroniskās arhivēšanas politikas, tādejādi pakļaujot sevi nozīmantiem juridiskiem riskiem patentējuma gadījumā.

Pierādīšanas vērtība: centrāls jautājums

Elektronisks parakstīta dokumenta pierādīšanas vērtība balstās uz trim pamatpīlāru:

1. Autentiskums: parakstītājs ir tieši tas, kā viņš sevi izdod (identitātes verifikācija, kvalificēts sertifikāts).
2. Integritāte: saturs nav mainīts kopš parakstīšanas (kriptgrāfiska nospieduma, SHA-256 vai augstāka heša).
3. Nenoliedzamība: parakstītājs nevar noliegties, ka parakstījis (kvalificēts laika žigs, revīzijas pēda).

Šie trīs pīlāri ir jāsaglabā laika gaitā, kas nozīmē aktīvu, nevis pasīvu arhivēšanas stratēģiju.

---

Tehniskos standartus jūsu elektronisko parakstu dokumentu aizsardzībai

Ilgtermiņa parakstu formāti: PAdES, XAdES, CAdES

Lai nodrošinātu parakstīta dokumenta ilgtspēju, standartiem ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) un ETSI EN 319 142 (PAdES) definē parakstu formātus, kas piemēroti ilgtermiņa konservācijai. Visvairāk izmantotais prakses B2B formāts ir PAdES (PDF Advanced Electronic Signatures) ar tā līmeņiem:

• PAdES-B: pamatlīmenis, piemērots īsiem periodiem.
• PAdES-T: pievieno kvalificētu laika žigu, lai pierādītu dokumenta esamību noteiktā laikā.
• PAdES-LT: iekļauj sertifikātu atsaukšanas datus, ļaujot validāciju bez piekļuves tiešsaistes pakalpojumiem.
• PAdES-LTA: visspēcīgākais līmenis, pievieno arhīva laika žigu, kas ļauj periodiski atjaunināt. Ieteicams jebkurai glabāšanai, kas pārsniedz 3 gadus.

Ilgtermiņa arhivēšanai PAdES-LTA ir ieteiktais standarts ANSSI un kvalificētu uzticības pakalpojumu sniedzējiem (QTSP).

Kvalificēts laika žigs: arhivēšanas galvenais stūrakmens

Kvalificēts laika žigs, kas noteikts eIDAS regulējuma 42. pantā, ir tiesisks pierādījums dokumenta esamības noteiktā brīdī. To izsniedz Kvalificēta Laika žiga iestāde (TSA - Time Stamping Authority), kas reģistrēta Eiropas uzticības sarakstā (EU Trust List).

Praktiski laika žigs:

• Kriptgrāfiski saista dokumenta nospiedumu ar sertificētu datumu un laiku.
• Ļauj pierādīt, ka paraksts bija derīgs tā radīšanas laikā, pat ja sertifikāts kopš tā ir beigies.
• Ir nepieciešams, lai nodrošinātu dokumenta pieņemamību tiesās gadus pēc tā parakstīšanas.

Šifrēšana un piekļuves kontrole

Pāri aspektiem, kas saistīti ar pašu parakstu kriptgrāfiju, arhivēto dokumentu fiziskā un loģiskā drošība ir vienlīdz kritiska:

• Šifrēšana miera stāvoklī: dokumenti ir jāšifrē uz mitināšanas serveriem (minimums AES-256).
• Šifrēšana tranzītā: TLS 1.3 protokoli visiem pārsūtījumiem.
• Piekļuves kontrole, kas balstīta uz lomām (RBAC): tikai pilnvaroti cilvēki var piekļūt arhivētiem dokumentiem.
• Piekļuves protokolēšana: katrai piekļuvei, skatīšanai vai lejupielādei ir jāizseko (nemainīgie žurnāli).
• Ģeoredundantas dublēšanas: vismaz divas kopijas uz ģeogrāfiski atšķirīgiem vietām, ar regulāriem atjaunošanas testiem.

---

Elektroniskās arhivēšanas stratēģijas ar pierādīšanas vērtību: SAE un ciparu seifu

Elektroniskās arhivēšanas sistēma (SAE)

Elektroniskās arhivēšanas sistēma (SAE) ir infrastruktūra, kas paredzēta ciparu dokumentu ilgtermiņa konservācijai ar garantiju par to integritāti un pieejamību. Francijā piemērojamais standarts ir norma NF Z42-013 (homologizēta kā ISO 14641), kas nosaka prasības SAE ar pierādīšanas vērtību projektēšanai un pārvaldībai.

SAE atbilstības pazīmes ietver:

• Klasificēšanas plānu, kas strukturēts ar konservācijas noteikumiem katrai dokumenta kategorijai.
• Integritātes nospiedumu, kas aprēķināts ieejas brīdī un periodiski verifikēts.
• Nemainīgu operāciju protokolu par visām darbībām.
• Tehnooloģijas migrācijas procedūras, lai attīstītu formātus bez integritātes zaudēšanas.
• Drošu un revīzijas pārskatāmu piekļuvi ar stipru autentifikāciju.

Recourse uz SAE, ko pārvalda kvalificēts pakalpojumu sniedzējs (tips Elektroniskā arhivēšana ar pierādīšanas vērtību - AEVP), ļauj uzņēmumiem deleģēt šo sarežģītību, vienlaikus gūstot cietas līgumisku un normatīvu garantiju.

Ciparu seifu: papildu risinājums

Ciparu seifu ir SAE vienkāršota varianta, kas orientēta uz galapatērētāju. Tas ļauj katram parakstītājam saglabāt personīgu, drošu un pieejamu kopiju no saviem parakstītiem dokumentiem. Šī pieeja ir īpaši aktuāla:

• Darbinieku līgumi un pielikumi (pieejami darbiniekam).
• Vispārīgie pārdošanas noteikumi, kas elektroniska pieņemti.
• Klients onboarding dokumenti (KYC, SEPA mandāti).

Juridisks noteiktie glabāšanas periodi: ko likums nosaka

Dokumentu glabāšanas ilgums atšķiras atkarībā no to juridiskās dabas. Šeit ir galvenie termiņi, kas jāzina:

| Dokumenta tips | Minimālais juridiskais periods | Juridiskais pamats | |---|---|---| | Komercijas līgumi | 5 gadi | Art. L110-4 Komercijas kodekss | | Nodokļu dokumenti | 6 gadi | Art. L102 B LPF | | Darbinieku līgumi | 5 gadi pēc izbeigšanas | Darbinieku kodekss | | Privātā tiesā parakstīti akti | 5 gadi (personiskais iesniegums) | Art. 2224 Pilsoņu kodekss | | Grāmatvedības dokumenti | 10 gadi | Art. L123-22 Komercijas kodekss | | Veselības dati | Minimums 20 gadi | Art. R1112-7 CSP |

Šos periodus ir jāintegrē arhivēšanas politikā un jāparametrē dokumentu pārvaldības rīkos.

---

Aizsardzības integrēšana elektroniskās parakstīšanas darbplūsmā

Izvēlieties parakstīšanas platformu ar iebūvētu arhivēšanu

Labākā stratēģija ir izvēlēties elektroniskās parakstīšanas risinājumu, kas natiīvi integrē drošu arhivēšanu, nevis divu atsevišķu rīku pārvaldību. Būtiskas atlases kritērijas ir:

• eIDAS kvalifikācija: platformai ir jābūt vai jāpaļaujas uz kvalificētu uzticības pakalpojumu sniedzēju (QTSP), kas reģistrēts EU Trust List.
• GDPR atbilstība: datu mitināšana Eiropas Savienībā, pieejams DPA (Data Processing Agreement), iespēja īstenot personu tiesības.
• Sertificēti arhivēšanas formāti: vietējais PAdES-LTA vai līdzvērtīga atbalsts.
• Pabeigta revīzijas pēda: katra parakstīšanas procesa solis ir jāfiksē un jāeksportē.
• API integrācija: platformas savienošana ar jūsu esošo DMS (dokumentu pārvaldības sistēma) vai ERP.

Lai salīdzinātu tirgū pieejamos risinājumus, konsultējieties mūsu elektroniskās parakstīšanas risinājumu salīdzinājumu.

Revīzijas pēda: jūsu labākā aizsardzība strīda gadījumā

Revīzijas pēda (vai audit trail) ir hronoloģiskais un nemainīgais žurnāls, kas izseko visas ar dokumentu saistītās darbības: nosūtīšanu, atvēršanu, parakstīšanu, atteikumu, atgādinājumus. Tā veido papildu pierādījumu pašam parakstam.

Pierādīšanas vērtības revīzijas pēdā ir jāiekļauts:

• Kvalificēti laika žigi katrai darbībai.
• Parakstītāju IP adreses un pārlūka informācija.
• Izmantotie identitātes verifikācijas identifikatori.
• Dokumenta metadati (heša nospiedums).

Strīda gadījumā, tas bieži ir revīzijas pēda, kas nozīmē atšķirību tiesā, īpaši, ja tika izmantots vienkāršs vai paplašināts (nevis kvalificēts) paraksts.

Automatizējiet atjaunošanas un arhivēšanas atgādinājumus

Efektīva arhivēšanas politika pirmkārt ir automatizēta politika. Labākās prakses ietver:

• Automātiski brīdinājumi pirms sertifikātu vai laika žigu derīguma termiņa beigām.
• Laika žiga atjaunošanas darbplūsma pirms kriptgrāfisko algoritmu novecošanās.
• Periodiski pārskatījumi par arhivēto dokumentu sarakstu ar nejaušu integritātes pārbaudi.
• Atbilstības kontroles panelis, kas ļauj identificēt dokumentus, kuru glabāšanas ilgums tuvojas juridiskajam termiņam.

Šās automatizācijas ir pieejamas natiīvi jaunas paaudzes elektroniskās parakstīšanas platformās, piemēram, Certyneo uzņēmumiem.

Juridiskais regulējums dokumentu ar elektroniskām parakstiem aizsardzībai un arhivēšanai

Ar elektroniskām parakstiem parakstīto dokumentu drošā glabāšana ir ietilpīga normatīvā regulējuma daļa, kura apguves labā izpratne ir nepieciešama jebkurai organizācijai, kas vēlas pretensijā šos dokumentus trešajām personām vai tos iesniegt tiesās.

Regulējums eIDAS Nr. 910/2014 un tā attīstības

Eiropas regulējums eIDAS (Electronic IDentification, Authentication and trust Services), kas ir spēkā kopš 2016. gada 1. jūlija un tiek pārskatīts, izmantojot eIDAS 2.0, nosaka uzticības sistēmu elektroniskām parakstīšanas pakalpojumiem Eiropā. Tas izšķir trīs parakstu līmeņus (vienkāršs, paplašināts, kvalificēts) un nosaka kvalificētiem uzticības pakalpojumu sniedzējiem (QTSP) stingras drošības, audita un darbības nepārtrauktības prasības. 25. pants atzīst nenoliedzamības presumpciju kvalificētu parakstu. 42. pants regulē kvalificētu laika žiga pakalpojumus.

Franču Pilsoņu kodekss: 1366. un 1367. pants

Pilsoņu kodeksa 1366. pantā teikts, ka "elektroniskajam tekstam ir tāda pati pierādīšanas spēka kā papiīra tekstam, ar nosacījumu, ka var tikt pareizi identificēta persona, no kuras tas nāk, un ka tas ir izgatavots un glabāts tā, lai nodrošinātu tā integritāti". 1367. pants precizē elektroniskā paraksta derīguma nosacījumus. Atbildība par dokumenta glabāšanu tā integritāti garantējošos apstākļos gulstas uz organizāciju, kas dokumentu ietur.

GDPR Nr. 2016/679: personīgo datu aizsardzība arhīvos

Elektronisko parakstu dokumenti sistēmiski satur personīgos datus (parakstītāja identitāti, e-pasta adresi, IP adresi, dažkārt uzvedības biometriskos datus). GDPR nosaka juridisko pamatu katram apstrādei, glabāšanas ilguma ierobežojumu strikti nepieciešamam un īstenošanu tehniskiem un organizatoriskiem piemērotiem pasākumiem (32. pants). Datu glabāšanas pārkāpuma gadījumā, kas skar dokumentu ar elektroniskām parakstiem arhīvus, 33. pants nosaka CNIL paziņošanu 72 stundu laikā.

Direktīva NIS2 (2022/2555/ES)

Transponēta Franču tiesībās ar dekrētu 2024. gadā, direktīva NIS2 nosaka padziļinātas kibersecības pienākumus būtiskajiem un svarīgajiem subjektiem, tostarp sistēmu informatizācijas aizsardzību, kas apstrādā sensitīvus datus. Elektronisko parakstu dokumentu arhivēšanas platformas attiecīgo organizāciju piemērošanas jomā ietilpst.

ETSI standarti un NF Z42-013

Standartiem ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) un ETSI EN 319 142 (PAdES) definē elektroniskā paraksta avansētus un kvalificētus formātus, kas atbilst eIDAS prasībām. Standarts NF Z42-013 / ISO 14641 ir Francijas referents SAE ar pierādīšanas vērtību projektēšanai un pārvaldībai. Tā ievērošana ir stingri ieteicama ANSSI un veido stipru aizsardzību strīda gadījumā.

Sankcijas un riski neievērošanas gadījumā

Riski ir daudzveidīgi: dokumenta nepieņemamība tiesās, CNIL sankcijas (līdz 20 miljoni eiro vai 4% no pasaules apgrozījuma galvajiem GDPR pārkāpumiem), organizācijas līgumisku vai deliktu atbildības saistības, un zaudējumi parakstīšanas pakalpojuma sniedzēja garantiju, ja glabāšanas pienākumi nav ievēroti.

Lietojuma scenāriji: kā organizācijas aizsargā savus elektroniskos parakstus

Scenārijs 1 — Advokātu firma, kas pārvalda tūkstošus aktu gadā

25 kolaborantu advokātu firma, kas specializējusies biznesa lietas, gadā apstrādā vidēji 3000 elektroniskus parakstītus aktus un līgumus (transakciju protokoli, mandāti, cesijas akti). Saskaroties ar nepieciešamību iesniegtu dokumentus, kas vecāki par 7 gadiem, nodokļu audita laikā, firma konstatē, ka vairāki paraksti vairs nav verificējami: sertifikāti ir beigušies un neviens arhīva laika žigs (PAdES-LTA līmenis) nebija pielietots.

Pēc tam, kad bija integrēts parakstīšanas risinājums ar natiīvu arhivēšanu SAE atbilstības NF Z42-013, firma gūst garantētu verificējamību 30 gadus. Dokumenta meklēšanas un iesniegšanas laiks strīda gadījumā samazinās no 4 stundām līdz mazāk par 15 minūtēm. Partneri aplēso, ka dokumentu glabāšanai saistītais juridiskais risks samazinās par 60%. Lai uzzinātu par advokātu firmu specifiskiem prasībām, skatiet mūsu lapas par elektronisko parakstīšanu advokātu firmās.

Scenārijs 2 — Mazobeļa ražošanas uzņēmums, kas pārvalda piegādātāju un klientu līgumus

Mazobeļa ražošanas uzņēmums ar 180 darbiniekiem gadā generejas aptuveni 400 elektroniskus parakstītus piegādātāju un 250 elektroniskus parakstītus klientu līgumus. Līdz šim tā dokumenti tika glabāti nešifrētā kopīgotā mapē uz iekšējā servera bez revīzijas pēdas, bez granulāras piekļuves kontroles.

Sekojošā kibersecības incidenta gadījumā (ransomware) servera daļa tika šifrēta un vairāki tekošie līgumi bija jāpāraraksta, radot aiztures un izmaksas, kas novērtētas uz 40 000 €. Pēc pārejas uz parakstīšanas SaaS platformu ar integrētu ciparu seifu, suvereņu mitināšanu Francijā un ģeoredundantu dublēšanu, uzņēmums novērš šo risku. Tas arī gūst automātiskus brīdinājumus par līgumu termiņu. Lai novērtētu šāda pasākuma atdevi, izmantojiet mūsu elektroniskās parakstīšanas ROI kalkulatoru.

Scenārijs 3 — Slimnīcu grupa, kas pārvalda pacientu piekrišanu un HR kontraktus

Slimnīcu grupa ar aptuveni 1200 gultņiem ir jāsaglabā pacientu apzinātā piekrišana elektroniskajiem parakstiem vismaz 20 gadus (Veselības aizsardzības kodeksa 1112-7. pantsR), kā arī tās 2500 aģentu darbinieku līgumi. Dokumentu daudzveidības un dažādo glabāšanas termiņu izlīdzinājums padara manuālo pārvaldību neiespējamu un riskantu.

Izvietojot elektroniskās parakstīšanas risinājumu ar arhivēšanas moduli, kas konfigurējams pēc dokumenta kategorijas, juridiskais dienests automatizē paturēšanas noteikumus: 20 gadus piekrišanai, 5 gadus pēc pārrāvuma HR kontraktiem, 10 gadus publiskiem iepirkumiem. Iekšējie GDPR atbilstības auditi norāda dokumentu atbilstības līmeni, kas pieaug no 67% līdz 96% mazāk nekā gadā. Sektora specifiskai informācijai mūsu ceļvedis par elektronisko parakstīšanu veselības nozarē detalizē piemērojamos normatīvos ierobežojumus.

Secinājums

Elektronisko parakstu dokumentu drošo glabāšanu un konservāciju nav tikai tehniska papildu opcija: tā ir juridisks pienākums un stratēģisks imperativs jebkurai organizācijai, kas savos biznesa procesos paļaujas uz elektroniskā paraksta. Starp eIDAS atbilstības prasībām, GDPR nosacījumiem, ETSI normām un Komercijas kodeksā noteiktajiem glabāšanas termiņiem sarežģītība ir reāla — bet pilnībā vadāma ar pareizajiem rīkiem.

Veiksmīgas arhivēšanas stratēģijas atslēgas ir skaidras: ilgtermiņa parakstu formāti (PAdES-LTA), sistemāts kvalificēts laika žigs, drošs un suvereņš mitinājums, automatizēti glabāšanas noteikumi un pabeigta revīzijas pēda.

Certyneo natiīvi integrē visas šīs funkcionalitātes SaaS platformā, kas paredzēta B2B komandām. Uzziniet, kā ilgtermiņa aizsargāt savus elektroniskos parakstu dokumentus, pārbaudot Certyneo bezmaksas vai pēta mūsu cenas.