Elektroniskā parakstīšana un ISO 27001 standarts: 2026. gada ceļvedis

Elektroniskā parakstīšana ir kļuvusi par B2B līgumisko procesu mugurkaulu, taču tās juridiskā un komerciālā vērtība balstās uz bieži nenovērtētu priekšnoteikumu: informācijas sistēmas robustumu, kas to atbalsta. Tieši šeit ienāk starptautiskais standarts ISO/IEC 27001, kas ir atsauces normatīvs informācijas drošības vadības jomā. 2026. gadā, kad pieaugošas kiberuzbrukumi tiek virzīti uz parakstīšanas platformām un regulējums eIDAS 2.0 pastiprināti prasījumi uzticības pakalpojuma sniedzējiem, ISO 27001 sertifikācijas jautājums vairs nav luksuss, kas paredzēts tikai lieliem kontiem: tas kļūst par standarta atlases kritēriju jebkuram elektroniskās parakstīšanas izmantošanas izvietojumam uzņēmumā.

Šis raksts analizē ISO 27001 un elektroniskās parakstīšanas sinerģiju, konkrētās saistības, ko tā rada, ne-atbilstības riskus un darbības, lai iegūtu vai novērtētu sertifikāciju pie jūsu SaaS pakalpojuma sniedzēja.

Kas ir ISO 27001 standarts un kāpēc tas ir centrāls elektroniskajai parakstīšanai?

Standarts ISO/IEC 27001:2022 (pārskatīta versija no 2022. gada oktobra), ko publicējusi Starptautiskā standartizācijas organizācija (ISO) un Starptautiskā elektrotehnika komisija (IEC), nosaka prasības Informācijas drošības vadības sistēmas (IDVS) izveides, ieviešanas, uzturēšanas un nepārtrauktas uzlabošanas jomā. Tā aptver 93 kontroles, kas sadalītas četrās kategorijās: organizatoriskās kontroles, personu kontroles, fiziskās kontroles un tehnoloģiskās kontroles.

Elektroniskajai parakstīšanai šis standarts ir īpaši nozīmīgs, jo tas tieši aplūko trīs informācijas drošības balstus:

• Konfidencialitāte: parakstīto dokumentu aizsardzība pret jebkuru neatļautu piekļuvi
• Integritāte: garantija, ka dokumenti netiek mainīti pēc parakstīšanas
• Pieejamība: pieejamība parakstīšanas pierādījumiem iespējamā strīda gadījumā

ISO 27001 kontroles, kas tieši piemērojamas elektroniskajai parakstīšanai

No 93 standarta A pielikuma kontrolēm vairākas tieši attiecas uz parakstīšanas darbplūsmām:

Kontrole 5.14 – Informācijas pārsūtīšana: nosaka formālas kārtulas informācijas drošai pārsūtīšanai, kas paredzēta parakstīšanai, jo īpaši, izmantojot šifrētos protokolus (TLS 1.3 minimums).

Kontrole 8.24 – Kriptogrāfijas izmantošana: prasa dokumentētu šifrēšanas politiku, kas aptver algoritmus, kurus lieto elektronisko parakstu ģenerēšanai un pārbaudei. Praksē tas nozīmē algoritmu izmantošanu saskaņā ar ANSSI (Nacionālais informācijas sistēmu drošības aģentūra) rekomendācijām (RSA-3072 vai ECDSA-256 minimums 2026. gadā).

Kontrole 8.12 – Datu noplūdes novēršana (DLP): aizsargā personīgos datus, kas atrodas parakstītos dokumentos, tieši saskaņā ar GDPR saistībām.

Kontrole 5.18 – Piekļuves tiesības: garantē, ka tikai atbilstošai personai ir tiesības uzsākt, parakstīt vai apskatīt dokumentu platformā.

ISO 27001 vs citi drošības sertifikāti: kāda ir komplementaritate?

ISO 27001 nav vienīgais attiecīgais standarts, taču tas veido pamatu. To papildina:

• SOC 2 Type II (amerikāņu standarts, ko bieži pieprasa uzņēmumi, kas kotēti NYSE birzā)
• ISO/IEC 27017 un 27018: specifiski paplašinājumi mākonlīdzeklim un personīgo datu aizsardzībai mākonlīdzekļa vidē
• eIDAS kvalifikācija, ko piešķir akreditētas organizācijas (LSTI Francijā): obligāta Kvalificētajiem uzticības pakalpojuma sniedzējiem (KUPS)

Parakstīšanas elektroniskā pakalpojuma sniedzējs, kas sertificēts ISO 27001 UN kvalificēts saskaņā ar eIDAS, tādējādi nodrošina maksimālo garantijas līmeni, kas ir saskaņā ar to, ko apraksta eIDAS 2.0 regulējuma pilns ceļvedis.

Specifiskie prasījumi SaaS elektroniskās parakstīšanas pakalpojuma sniedzējiem

SaaS parakstīšanas elektroniskās platformas izvēle, kas sertificēta ISO 27001, nenozīmē, ka jūsu pašas organizācijas ir aptverta, taču tas spēcīgi nosaka atlikušā riska līmeni, ko jūs pieņemat.

Sertifikācijas darbības joma: ko jāpārbauda

Novērtējot piegādātāju, trīs jautājumi ir noteicošie:

1. Vai sertifikācijas darbības joma aptver parakstīšanas pakalpojumu? Redaktors var būt sertificēts ISO 27001 programmatūras izstrādes darbībām bez parakstīšanas platformas iekļaušanas darbības jomā. Prasiet oficiālo sertifikātu un pārbaudiet Piemērojamības paziņojumu (Statement of Applicability).

1. Vai sertifikācija ir aktuāla? ISO 27001 nosaka gada uzraudzības auditus un pārsertifikācijas auditu ik pēc trim gadiem. Beigusies sertifikāta derīguma laika beigas padara bezjēdzigu jebkādu garantiju.

1. Kurš ir sertifikācijas organisms? Francijā organizācijas, kas akreditētas COFRAC (Bureau Veritas, SGS, BSI Group, LRQA...), piešķir atzītas sertifikācijas. Pašdeklarācija par atbilstību nav juridiska vērtības.

Incidentu vadība un pakalpojuma kontinuitāte

ISO 27001 pieprasa dokumentētu un testētu Biznesa nepārtrauktības plānu (BNP) un Darbības atjaunošanas plānu (DAP). Elektroniskās parakstīšanas platformai tas konkrēti nozīmē:

• RTO (Recovery Time Objective) mazāk nekā 4 stundu ražošanas videi
• RPO (Recovery Point Objective) mazāk nekā 1 stundu, izvairoties no parakstīšanas datu zaudēšanas
• Atjaunošanas testus, kas dokumentēti vismaz divas reizes gadā
• Drošības incidentu paziņošanas procedūru saskaņā ar GDPR 33. pantu (72 stundas maksimums)

Šie prasījumi atbilst NIS2 direktīvas prasībām, kas iedzīvinātas Francijas likumā Nr. 2024-449 no 2024. gada 21. maija, kur būtiskas un svarīgas entītijas ir saistītas ar pastiprinātas kiberdrošības nepieciešamību un incidentu ziņošanu.

Kā ISO 27001 sertifikācija stiprina elektroniskās parakstīšanas pierādīšanas vērtību

Bieži pieļautā kļūda juristu un pircēju vidū: elektroniskā paraksta juridiskā soliditāte, kas ir kvalificēta, daļēji ir atkarīga no tehniskās uzticības ķēdes, kas to atbalsta. Dokuments, kas parakstīts platformā, kuras drošība ir iegriezusies, var redzēt nopļauts pierādīšanas vērtību pirms tiesas.

Datu integritāte kā juridisks pamats

Civilā kodeksa 1366. pants nosaka, ka elektroniskais paraksts ir vienāds ar rokrakstu parakstu "ar nosacījumu, ka tā autors var būt pareizi identificēts un tas ir izstrādāts un uzglabāts tādos apstākļos, kas garantē tā integritāti". Šis integritātes nosacījums ir tieši ISO 27001 centrāls objekts.

Strīda gadījumā, piegādātājs, kas sertificēts ISO 27001, var iesniegtu:

• Nemainīgo audita žurnālus, kas pierāda piekļuves vēsturi
• Sertifikācijas audita ziņojumus, kas apliecina kontroles, kas ir pieņemtas
• Kriptogrāfisko atslēgu vadības politiku saskaņā ar A pielikumu

Šie elementi veido pierādījumu kopumu, kas ievērojami stiprina tās puses pozīciju, kas izsauks paraksta derīgumu. Lai uzzinātu vairāk par dažādu elektroniskās parakstīšanas līmeņu juridisko vērtību, skatiet mūsu elektroniskās parakstīšanas risinājumu salīdzinājums.

Pierādīšanas arhivēšana un uzglabāšanas ilgums

ISO 27001, apvienota ar standartu NF Z42-020 (digitālais seifs) un ETSI EN 319 162 (kvalificēts elektronisko arhivēšanas pakalpojums) ieteikumiem, ļauj definēt arhivēšanas politiku, kas garantē parakstu pierādīšanas vērtību uz ilgiem laikiem — līdz 30 gadiem dažiem komerciāliem kontraktiem.

ISO 27001 kontrole 8.10 – Informācijas dzēšana papildus nosaka dokumentētas procedūras datu droši iznīcināšanai dzīves cikla beigās, saskaņā ar GDPR tiesībām uz dzēšanu (17. pants).

Kā novērtēt un prasīt ISO 27001 atbilstību no jūsu elektroniskās parakstīšanas sniedzēja

Saistībā ar SaaS iepirkuma vai kontrakta atjaunošanas procesu, šeit ir četru soļu novērtēšanas protokols.

1. solis: Prasīt un pārbaudīt oficiālo sertifikātu

Prasiet ISO/IEC 27001:2022 sertifikātu (nevis 2013. versiju, kas ir novecojusi kopš 2025. gada oktobra) ar jaunāko uzraudzības audita ziņojumu. Pārbaudiet derīguma beigas sertifikācijas organisms reģistrā.

2. solis: Analizēt piemērojamības deklarāciju (SoA)

Piemērojamības paziņojums uzskaitīja izvēlētas un izslēgtas kontroles ar pamatojumu. Jebkura kontrole, kas izslēgta bez dokumentēta pamatojuma, attēlo atlikušo risku, ko novērtēt jūsu piegādātāja riska analīzē.

3. solis: Integrēt prasības kontraktā

Jūsu līgumam ar pakalpojuma sniedzēju jābūt:

• Sertifikācijas uzturēšanas klauzulai ar paziņošanas saistību suspensijas gadījumā
• Tiesībām uz auditu vai piekļuvei gada trešo pušu audita ziņojumiem
• Drošības SLA saskaņā ar piegādātāja BNP/DAP
• Atbildības klauzulai par incidentiem, kas ietekmē parakstu integritāti

4. solis: Veikt savu risku analīzi

Pat sertificēts piegādātājs nepārklāj jūsu riskus. ISO 27001 pieprasa jūsu organizācijai riska analīzi (6.1.2. punkts), tostarp:

• Darbinieku piekļuves vadīšanu parakstīšanas platformai
• Sensibilizāciju par krāpšanas uzbrukumiem, kas vērsti uz parakstīšanas darbplūsmām
• Parakstīšanas delegācijas vadības politiku

Šī pieeja dabiski integrējas kopējā elektroniskās parakstīšanas pārvaldības politikā HR un juridiskajām komandām, kur apstrādāto dokumentu apjomi izstāv uz nozīmīgiem operatīviem riskiem.

Elektroniskajai parakstīšanai un ISO 27001 piemērojamais tiesību rāmis

Elektroniskās parakstīšanas sistēmas atbilstība balstās uz normatīvo kaudzi, ko jebkuram B2B uzņēmumam ir jāapzinās.

Civilā kodeksa 1366. un 1367. panti: 1366. pants nosaka elektroniskā paraksta un rokraksta paraksta ekvivalenci ar nosacījumu, ka tā autors ir identificējams un tiek garantēta integritāte. 1367. pants definē elektronisko parakstu kā "uzticama identifikācijas procesa izmantošanu, kas garantē tā saiti ar aktu, uz kuru tas attiecas".

Regulējums eIDAS Nr. 910/2014 un eIDAS 2.0 (Regulējums ES 2024/1183): Piemērojams visos ES dalībvalstīs, tas izšķir trīs parakstīšanas līmeņus (vienkāršs, progresīvs, kvalificēts) un nosaka Kvalificētajiem uzticības pakalpojuma sniedzējiem (KUPS) audita atbilstības prasības, ko veic akreditētas organizācijas. eIDAS 2.0 revīzija, kas daļēji bija spēkā no 2024. gada maija, pastiprināti noteikumus un ievieš Eiropas digitālā identitātes mapi (EDIM).

Regulējums GDPR Nr. 2016/679: Personīgie dati, kas atrodas parakstītos dokumentos (parakstītāja identitāte, IP adrese, laika marķējums), veido personas datus. Atbildīgajam datu apstrādātājam ir jānodrošina to aizsardzība (5. pants), paziņot par pārkāpumiem 72 stundu laikā (33. pants) un ieviesti pastiprinātu privātuma aizsardzības tehnologiju (25. pants). ISO 27001 nodrošina tehnisko atbilstības rāmi.

NIS2 direktīva (Direktīva ES 2022/2555), iedzīvināta Francijas likumā Nr. 2024-449 no 2024. gada 21. maija: Būtiskas un svarīgas entītijas — tostarp daudzi B2B spēlētāji — ir saistīti ar proporcionāliem kiberdrošības pasākumiem, tostarp risku vadīšanu, kas saistīti ar piegādātājiem (21. pants). Neparakstīšanas elektroniskais pakalpojuma sniegējs bez ISO 27001 sertifikācijas var būt NIS2 nozares risks.

ETSI standarti: Sērija ETSI EN 319 100 nosaka tehniskos prasījumus kvalificētiem elektroniskiem parakstiem (EN 319 132 XAdES, EN 319 122 CAdES, EN 319 142 PAdES). Šie tehnisko standarti paredz drošības infrastruktūru saskaņā ar ISO 27001 standartiem.

ANSSI atsauces: Francijā Nacionālā informācijas sistēmu drošības aģentūra publicē ieteikumus par kriptogrāfiskiem algoritmiem (RGS atsauce — Vispārējais drošības atsauces rāmis), kuru ieviešana tiek atvieglota ar IDVS, kas sertificēts ISO 27001. Francijas piegādātāju eIDAS kvalifikācija tiek pārbaudīta ANSSI kā nacionālas uzraudzības iestāde.

ISO 27001 sertifikācijas neesamība pie elektroniskās parakstīšanas pakalpojuma sniedzēja izstāv klientuzņēmumu riskiem apstrīdēt parakstīto dokumentu pierādīšanas vērtību, GDPR sankcijām (līdz 4% no globāliem ieņēmumiem vai 20 miljoni eiro) un NIS2 atbilstības apšaubīšanai.

Lietošanas scenāriji: ISO 27001 un elektroniskā parakstīšana praksē

Skenārijs 1 — 25 darbinieki liels biznesa advokātu birojs

Specialista biznesa apvienošanā un pārmantošanā rokāsuņem gadā vairāk nekā 600 akti, kuri pieprasa progresīvu vai kvalificētu elektronisko parakstu (NDA, protokoli, nodošanas konvencijas). Pēc iekšējā audita, kas atklāja defektus parakstīšanas platformas piekļuves izsekošanā, birojs nolemj pieņemt tikai pakalpojuma sniedzējus, kuri sertificēti ISO/IEC 27001:2022 ar darbības jomā skaidri parakstīšanas pakalpojumā.

Rezultāts: pēc migrācijas uz sertificētu platformu birojs konstatē 40% samazinājumu laika, ko tērē klienta drošības due diligence, un var uzrādīt sertifikācijas audita ziņojumus 48 stundu laikā pēc klientu pieprasījumiem. Vidējais līguma validācijas laiks samazinās no 3,2 dienām līdz 1,4 dienām.

Skenārijs 2 — Rūpniecības uzņēmums pārvalda 1500 piegādātāju kontraktus gadā

KMU apakšuzņēmējs Tier-1 automobilizbraucēja ražošanas ķēdē demonstrēt savam pasūtītājam, ka tā elektroniskās parakstīšanas visa ķēde (pirkšanas pasūtījumi, pamatkontrakt, papildinājumi) atbilst ISO 27001 prasībām, kuras nosaka grupas iepirkuma atsauces normatīvs. KMU kartē riska vadību piegādātājos saskaņā ar standartu 6.1.2. un identificē, ka viņu vecajam SaaS pakalpojuma sniedzējam nav spēkā esoša sertifikācijas.

Pēc migrācijas uz sertificētu risinājumu un iekšējās IDVS ieviešanas KMU iegūst nepieciešamo piegādātāja kvalifikāciju un nostiprināju 4 gadu pamatkontrakt. Sertifikācijas izmaksas (aptuveni 15 000 līdz 25 000 eiro KMU šī lieluma gadījumā atbilstīgi specializētiem konsultāciju birojem) tiek atmaksātas mazāk nekā 6 mēnešos, ņemot vērā apjomīgu kontraktu.

Skenārijs 3 — Slimnīcu grupa ar aptuveni 1200 gultņiem

Veselības aprūpes sektorā aprūpes iestādes pakļautas paaugstinātām prasībām: veselības datu apstrāde (īpašā kategorija GDPR 9. pantā), HDS sertifikācija (Veselības datu glabātuves) un tagad NIS2 kvalifikācija kā būtiskas entītības. Slimnīcu grupa izmanto elektronisko parakstīšanu savam darba līgumiem, klīniskas pētniecības konvencijām un sabiedrības iepirkumiem (aptuveni 900 dokumentu/mēnesī).

Izvēloties pakalpojuma sniedzēju, kas cumulative sertificēts ISO 27001, HDS sertifikāciju un KUPS eIDAS kvalifikāciju, iestāde samazina GDPR ne-atbilstības risku par 60%, saskaņā ar tā DPO, un gūst garantētu 30 gadu dokumentu pierādīšanas arhivēšanu klīniskajiem juridiskajiem dokumentiem. Vidējais klīniskas pētniecības līgumu parakstīšanas laiks samazinās no 12 dienām līdz 3,5 dienām, atbrīvojot nozīmīgus administratīvo komandu resursus.

Secinājumi

1. gadā ISO/IEC 27001:2022 sertifikācija vairs nav vienkāršs tirgvedības arguments elektroniskās parakstīšanas pakalpojuma sniedzējiem: tā uzbūvē nepieciešamu tehnisko un juridisko pamatu, lai garantētu parakstīto dokumentu integritāti, GDPR un NIS2 atbilstību un līgumisko saistību pierādīšanas vērtību. B2B uzņēmumiem prasīt šo sertifikāciju no viņu SaaS piegādātāja kļūst par izlūkošanas saistību, tāpat kā eIDAS kvalifikācijas pārbaude.

Certyneo ir sertificēts ISO/IEC 27001:2022 ar darbības jomā savam elektroniskās parakstīšanas platformai. Mūsu komanda var jūs vadīt pašreizējās atbilstības novērtēšanā un drošas parakstīšanas darbplūsmas ieviešanā, kas pielāgota jūsu apjomiem un sektoram. Pieprasiet bezmaksas demonstrāciju Certyneo vai iepazīstieties ar mūsu cenumiem, lai atrastu jūsu organizācijai piemērotu formulu.