Elektroniskā parakstīšana: izsekošana un iekšējā revīzija 2026. gadā

Demateriālo dokumentu plūsmu pieaugums uzņēmumos pakļauj tos bieži nenovērtētam riskam: nespējai pēc nepieciešamības atsargsākt pilnīgu notikumu ķēdi, kas saistīta ar dokumenta parakstīšanu, strīda vai pārbaudes gadījumā. Taču elektroniskā paraksta pilnīga izsekošana nav tikai tehnisku ērtību jautājums — tā ir juridiska prasība, iekšējās revīzijas svirta un izšķirošs arguments civilo un komerclietu tiesās. Šajā rakstā tiek aplūkotas izsekošanas mehānismas, kas paredzēti eIDAS regulējumā, to izmantošana apjomīgā iekšējās revīzijas rīkā, labas prakses normas notikumu žurnāla glabāšanai un atbilstoša risinājuma atlases kritēriji.

Kas ir izsekošana elektroniskā parakstīšanā?

Pilnīga audita pēdas komponentes

Audita pēda (jeb audit trail), kas saistīta ar elektroniskā veidā parakstītu dokumentu, ir daudz vairāk nekā vienkāršs laika marķieris. Tā ietver visus dokumentētos notikumus no dokumenta izdošanas līdz paraksta arhivivacijai, ieskaitant katru pārskatīšanu, atteikšanos, deleģēšanu vai starpposma validāciju. Praktiski, uzticams notikumu žurnāls reģistrē:

• Parakstītāja pārbaudīta identitāte: izmantotā autentifikācijas metode (OTP SMS, kvalificēts sertifikāts, eIDAS ciparu identitāte), IP adrese, ierīces nospiedums (device fingerprint).

• Kvalificēts laika marķieris: ko nodrošina akreditēts Uzticības pakalpojuma sniedzējs (UPS), tas neapstrīdami iestiprina katru darbību laikā saskaņā ar ETSI EN 319 421 standartu.

• Dokumenta integritāte: kriptografisks heš (SHA-256 vai SHA-3), aprēķināts pirms un pēc katras mijiedarbības, ļaujot noteikt jebkādas izmaiņas.

• Kontekstā sniedgtie metadati: pārlūkprogramma, valoda, ekrāna izšķirtspēja, neobligāta ģeogrāfiskā atrašanās vieta ar GDPR piekrišanu, laika zona.

Šī sīkstumība ir neunīvoka, lai žurnāls būtu pieņemama pierāde franču un eiropas tiesās. Lai uzzinātu vairāk par šo mehānismu juridiskajiem pamatiem, skatiet mūsu elektroniskā parakstīšanas pilno ceļvedi.

Parakstīšanas līmeņi un saistītais izsekošanas līmenis

eIDAS regulējums izšķir trīs parakstīšanas līmeņus — vienkāršs (SES), paplašināts (AdES) un kvalificēts (QES) — un katrs nozīmē atšķirīgu izsekošanas pakāpi:

| Līmenis | Minimāli nepieciešamā izsekošana | Pierādīšanas vērtība | |---|---|---| | Vienkāršs (SES) | Laika marķieris, IP, e-pasts | Vienkārša prezumpcija | | Paplašināts (AdES) | Spēcīga autentifikācija, sertifikāts, pilnīga audita pēda | Spēcīga (pierādīšanas nasta pārvietošana ir grūta) | | Kvalificēts (QES) | Kvalificēts sertifikāts QSCD + kvalificēts TSA | Ekvivalents parakstam ar roku |

Līmeņa izvēle jāvadās pēc riska analīzes, kas raksturīga katrai dokumentu plūsmai. Mūsu elektroniskās parakstīšanas risinājumu salīdzinājums palīdz jums identificēt risinājumu, kas piemērots jūsu kontekstam.

Izsekošanas integrācija iekšējās revīzijas rīkā

Kartēt kritiskās dokumentu plūsmas

Pirms elektroniskā parakstīšanas risinājuma ieviešanas iekšējās revīzijas komanda ir jākartē visu jutīgo dokumentu plūsmas: komercieli līgumi, HR grozījumi, pārvaldības padomes protokoli, pārskaitījumu orderi, konfidencialitātes nodomes (NDA). Katrai plūsmai jānosaka:

• Nepieciešamais parakstīšanas līmenis atbilstoši juridiskajai vērtībai un saistītajam finanšu riskam.

• Iesaistītās puses un to lomas (iniciators, validators, parakstītājs, arhivārs).

• Žurnāla glabāšanas ilgums, saskaņā ar piemērojamajiem noilguma termiņiem (5 gadi komerclietu jomā, 10 gadi autentiskiem aktiem).

• Piekļuves nosacījumi žurnāliem, nodrošinot funkciju atdalīšanu.

Šī kartēšana veido kontroles iekšējā atskaites sistēmas pamatu, kas saistīts ar elektroniskā parakstīšanu. Tā dabiski iekļaujas plašākā elektroniskā parakstīšanas pārvaldības aspektā uzņēmumā.

Notikumu žurnālu izmantošana audita misijās

Iekšējās revīzijas misijas laikā elektroniskā parakstīšanas platformas ģenerēto notikumu žurnāli ļauj:

• Pārbaudīt atļauju deleģēšanas ievērošanu: kurš parakstīja ko, ar kādu pilnvaru, kurā datumā?

• Atklāt laika anomālijas: kontrakts, parakstīts ārpus darba laika, no netipiski atrašanās vietas vai neparasti īsā termiņā, var atklāt iekšējo krāpšanu.

• Apstiprinot apgalvojumus: gadījumā, ja parakstītājs noliedz parakstīšanu, audita žurnāls nodrošina tehniskus pierādījumus.

• Nodrošiniet atbilstības atskaites: GDPR (datu apstrādes reģistrs), ISO 27001 (piekļuves izsekošana), nozares direktīvas (DSP2, apdrošināšanas sektors, veselības aprūpe).

Uzmanības punkts: notikumu žurnāli paši ir jābūt integri un nemaināmi. Labā praksa ir tos regulāri horodatēt un glabāt atsevišķā ciparu seifā, atdalīti no produkcijas sistēmas, ideāli izmantojot elektroniskās arhivēšanas sistēmu ar pierādes vērtību (EASV), kas atbilst NF Z 42-013 standartam.

Audita atskaišu automatizācija caur API

Modernas elektroniskā parakstīšanas platformas eksponē REST API, kas ļauj automātiski iegūt izsekošanas datus un ievietot tos uzņēmuma GRC (Governance, Risk & Compliance) rīkos (ServiceNow, SAP GRC, IBM OpenPages u.c.). Šī automatizācija ievērojami samazina iekšējo auditoru nasta un novērš cilvēka kļūdu risku manuālas pierādu konsolidācijas laikā. Certyneo elektroniskā parakstīšanas ROI kalkulators parāda izmērāmos produktivitātes ieguvumus, kas saistīti ar šo integrāciju.

Paraksta pierādījumu glabāšana un arhivēšana

Juridiskas glabāšanas ilgums un noilgums

Paraksta pierādījumu glabāšana atbilst vairākiem juridiskiem režīmiem, kas pārklājas:

• Komerclikums (1. pants C. com. 123-22): grāmatvedības dokumenti un pamatdokumenti jāglabā 10 gadus no saimniecības gada noslēguma.

• Vispārējais noilguma termiņš (2224. pants C. civ.): 5 gadi personīgajām vai kustamajām darbībām, sākot no dienas, kad turētājs zināja vai būtu varējis zināt faktus.

• Darba likums: algas buletas jāglabā 50 gadus vai līdz darbiniekam 75 gadus vecumam.

• Veselības dati: 20 gadi no pēdējās apmeklēšanas (R. pants 1112-7 CSP).

Šie termiņi nozīmē, ka arhivēšanas risinājums garantē formātu lasāmību ilgtermiņā (PDF/A-3, XAdES-LTA XML parakstiem) un dešifrēšanas atslēgu pieejamību.

Ilgumā izturīgo paraksta formāti

XAdES-LT un XAdES-LTA profili (Long Term Archival), kas noteikti ETSI EN 319 132 standartā, ir iestrādāti parakstītajā failā visa informācija, kas nepieciešama atliktas validācijai: pilna sertifikātu ķēde, OCSP vai CRL atbildes, arhīva horodatējums. Šis dokumentārais sepaņemtums ir kritisks, jo sertifikātu iestāžu sertifikātiem ir ierobežots mūžs (1-3 gadi) un PKI infrastruktūra evolūcijas. Bez šī mehānisma paraksts, kas šodien ir derīgs, varētu kļūt tehniskā neskaitāms pēc pieciem gadiem, neatgriezeniska kaitējama viņa pierādes vērtībai.

Izsekošanas brieduma rādītāji: novērtē savu stāvokli

Piecu līmeņu brieduma modelis

Lai palīdzētu direktoru revīziju un atbilstības speciālistiem novietot savu organizāciju, ir lietderīgi atsaukties uz pakāpenisks brieduma modeli:

• Līmenis 1 — Neeksistē: paraksti pa e-pastu bez formalizētas audita pēdas.

• Līmenis 2 — Pamatēls: pamatveida horodatējums, bez sertifikāta, nestrukturēti žurnāli.

• Līmenis 3 — Definēts: SaaS risinājums, kas atbilst eIDAS, eksportējami žurnāli, 5 gadu glabāšana.

• Līmenis 4 — Pārvaldīts: GRC integrācija, automātiskas brīdinājumi par anomālijām, EASV, kas atbilst NF Z 42-013.

• Līmenis 5 — Optimizēts: reāllaikā audita pēda, IA anomāliju detektēšana, automātiska GDPR atskaite, gada pārskatīšana atskaites sistēmai.

Lielākā daļa francijas MVU saskaņā ar Adobe 2025. gada State of Digital Trust pārskatam ir starp 2. un 3. līmeni. CAC 40 lielkorporācijas mēdz virzīties uz 4. līmeni, ko izraisa revisoriem un sektora regulatoriem izvirzītās prasības.

Izsekošanas un auditējamas risinājuma atlases kritēriji

Atlasot vai pārejot uz jaunu parakstīšanas platformu, izsekošanas kritērijiem jāsver vismaz tikpat daudz kā ergonomijai vai cenai. Galvenie jautājumi prestatniekam:

• Vai audita žurnāls ir nemaināms (aizsargs pret manipulāciju pašā redaktorā)?

• Vai horodatējums tiek nodrošināts ar kvalificētu TSA, kas reģistrēts eIDAS uzticības sarakstā (Trust List)?

• Vai izsekošanas dati tiek glabāti Eiropā (suverenitāte, GDPR)?

• Vai žurnāli ir eksportējami atvērtos formātos (JSON, XML, CSV) bez patentētām atkarībām?

• Vai pastāv audita API, kas ļauj integrēties ar esošajiem GRC rīkiem?

• Vai prestatniek pats ir pakļauts SOC 2 Type II auditam vai sertificēts ISO 27001?

Ja apsverat pāreju uz citu risinājumu, mūsu migrācijas ceļvedis no DocuSign vai YouSign uz Certyneo detalizē etapus, lai nodrošinātu esošo audita pedu nepārtrauktību bez dokumentārā pārtraukuma.

Piemērojamais juridiskais regulējums elektroniskā paraksta izsekošanai

Civilo likumu kodekss un pierādes vērtība

Civilo likumu kodeksa 1366. pants iestiprina pamatprincapu: "Elektroniskajam rakstam ir tāda pati pierādes vērtība kā papīra rakstam, ar nosacījumu, ka var pienācīgi identificēt personu, no kuras tas nāk, un tas ir izveidots un glabāts tā, lai garantētu tā integritāti." 1367. pants precizē, ka elektroniskais paraksts "sastāv no uzticama identifikācijas procedūras izmantošanas, kas garantē tā saistību ar dokumentu, pie kura tas ir pievienots". Šie divi panti elektroniskās pierādes pieņemamības nosacījumiem iestiprina izsekošanu un integritāti.

eIDAS regulējums Nr. 910/2014 un eIDAS 2.0

Eiropas regulējums eIDAS Nr. 910/2014 iestiprina elektroniskā paraksta juridisko sistēmu Eiropas Savienībā. Tā 25. pants paredzēja, ka kvalificēts elektroniskais paraksts (QES) ir juridisks efekts, kas ekvivalents parakstam ar roku visos dalībvalstīs. 26. pants (paplašināts paraksts) un 27. pants (pārrobežu atzīšana) nosaka precīzas tehniskas prasības autentifikācijai un integritātei, kas tieši atbilst izsekošanas obligācijām. Regulējums eIDAS 2.0 (ES regulējums 2024/1183, spēkā kopš 2024. gada 20. maija) stiprina šīs prasības, integrējot Eiropas ciparu identitātes maciņu (EUDIW) un paplašinot pienākumus uz kvalificētiem Uzticības pakalpojuma sniedzējiem.

GDPR Nr. 2016/679 un izsekošanas dati

Audita žurnāli satur personas datus (IP adreses, parakstītāju identitātes, izturēšanās metadati). Tāpēc tie ir personas datu apstrāde, kas pakļauta GDPR. Galvenie pienākumi:

• Tiesiskais pamats: likumīgā interese (6. pants 1. f) vai likumīgs pienākums (6. pants 1. c), jāfiksē datu apstrādes reģistrā.

• Minimizācija: apkopot tikai datos, kas strikti nepieciešami mērķim.

• Glabāšanas ilgums: ierobežots piemērojamajiem noilguma termiņiem, ar automātisku dzēšanu termiņa beigās.

• Drošība: žurnālu šifrēšana miera stāvoklī un pārraidē, stingra piekļuves kontrole (32. pants).

• Pārvietošana ārpus ES: aizliegta bez pietiekamām garantijām (standarta līgumiski termini, atbilstības lēmums).

ETSI standarti un ilgumā izturīga arhivēšana

Standarti ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) un ETSI EN 319 102 (ģenerēšanas un validācijas procedūras) nosaka ilgumā izturīgu paraksta formātu tehniskās prasības. Franču standarts NF Z 42-013 regulē elektroniskās arhivēšanas sistēmas ar pierādes vērtību (SAEVP). Jebkura organizācija, kas vēlas, lai tās audita pēdas būtu neapstrīdamas ilgtermiņā, jānodrošina, ka tās prestatniek vai iekšējā SAE ir atbilstoša šiem atsauces materiāliem.

NIS 2 un uzticības infrastruktūras noturība

NIS 2 direktīva (pārnesta franču likumā ar likumu Nr. 2024-659, 2024. gada 9. jūlijs) nosaka svarīgu pakalpojumu operatoriem un svarīgām vienībām par riska pārvaldību un incidentu paziņošanu, kas skaidri ietver elektroniskā parakstīšanas uzticības infrastruktūras. PSC sistēmas izsekošanas atteice var būt paziņojams incidents ANSSI 24 stundu laikā.

Lietošanas scenāriji: izsekošana darbībā

1. scenārijs — Vidējā rūpniecības grupa ar 1 200 piegādātāju līgumiem gadā

Vidējā rūpniecības grupa ar aptuveni 3 500 darbinieku, izkliedēti pār sešām vietām Francijā un divām Centrāleiropā, gadā veido vairāk nekā 1 200 piegādātāju līgumiu (cadre pasūtījumus, konfidencialitātes nodomus, tarifu grozījumius). Pirms elektroniskā parakstīšanas risinājuma ar integrētu audita pēdu ieviešanas, tā iepirkumu dienests glabāja parakstītus līgumus tīkla mapē, bez versiju kontroles vai notikumu žurnāla. Ārējā audita laikā, ko komisijā bija nolēmušas kāds institucionāls īpašnieks, auditors nevarēja atsargsāt 23% no pārbaudīto līgumu validācijas vēsturi: neiespējams bija pierādīt, ka parakstītājs īsti bija tiesīgs delegācijas momentā.

Pēc paplašinātās parakstīšanas platformas (AdES) ar nemaināmiem audita žurnāliem, kas horodatēti ar kvalificētu TSA, grupa tagad katram līgumam var noklik lejupielādēt audita pēdas ziņojumu PDF. Nākamajā auditā (18 mēnešus vēlāk) validācijas ķēžu rekonstrukcijas likme ir sasniegusi 100%, un audita komandas laiks, kas pavadīts doku pierādu vākšanā, samazinājies par 65%.

2. scenārijs — Konsultāciju birojā 40 speciālisti, ar GDPR prasībām no klientiem

Konsultāciju birojs, kas palīdz finanšu vadības vadītājiem lielās korporācijās, regulāri tiek auditēts savu klientu juridiskajām direktvajām, kas prasa pierādījumus, ka misijas vēstules un noslēpumības nodomai bija tiesīgas personu paraksti, mērķa termiņos. Birojs iepriekš izmantoja vienkāršu e-pasta parakstīšanu (ekrānuzņēmums + PDF) bez stingras pierādes vērtības.

Pārejot uz kvalificēta parakstīšanas (QES) risinājumam jutīgākajiem dokumentiem un paplašinātu (AdES) operacionālajiem saistībām, birojs tagad var sniegt klientiem standartizētu pierādu paketi: parakstīšanas sertifikātu, audita žurnāla ziņojumu, kvalificētu horodatējumu un autentifikācijas metadatus. Šis pakete ļāva uzvarēt divas piedāvājuma izsoles, kurās dokumentārā izsekošana bija skaidrs eliminācijas kritērijs, kas tuvumā attēlo 180 000 EUR papildu darbības pirmo gadu.

3. scenārijs — Slimnīcu grupu ar aptuveni 1 100 gultņiem, saskaroties ar Revīzijas iestādes kontrolēm

Slimnīcu grupa, kas pārvalda vairākus iestādes, ir jāsaskaras ar regulāriem kameras lokālā revīzijas kontroliem par tās publiskiem iepirkumiem un kooperācijas nodomnēm. Elektroniskā veidā parakstītie līgumi ar to pilnu audita pēdu ir jāvar iesniedz ļoti īsos termiņos (48 līdz 72 stundas pēc sasaukšanas).

Iestāde ir ieviesis ar pierādes vērtību derīgu elektroniskās arhivēšanas arhitektūru (AEVP), kas atbilst NF Z 42-013 standartam, savienota caur API ar parakstīšanas platformu. Katrs parakstīts dokuments ir automātiski versioned SAE ar saistīto notikumu žurnālu. Kontroles laikā, kas skar 340 publiskus iepirkumus, kas parakstīti trīs saimniecības gadu laikā, visi pamatdokumenti varēju būt sagatavoti mazāk nekā 4 stundās, iepretim divām nedēļām iepriekšējā kontrolē. Ziņojuma magistrats noteica izsekošanas rīka kvalitāti savā sažirinājuma ziņojumā.

Noslēgums

Elektroniskā paraksta pilnīga izsekošana vairs nav opcija, kas paredzēta tikai lielām organizācijām: tā ir juridiska prasība, iekšējās revīzijas rīks un atšķiršanās faktors iepirkumu izsolēs un dūdžiem. Kombinējot atbilstoši ETSI standartiem izveidotus parakstīšanas formātus, kvalificētu horodatējumu, elektroniskās arhivēšanas sistēmu ar pierādes vērtību un API integrāciju ar jūsu GRC rīkiem, jūs katru parakstu pārvēršat neapstrīdamā pierādē, kuru var izmantot uzreiz jebkura kontroles vai strīda laikā.

Certyneo ir bijusi paredzēta sākotnējā dizainā, lai izpildītu šīs prasības: nemaināmi audita žurnāli, eiropiskais kvalificēts TSA, suverēns mitumums un dokumentēta API integrācija. Neatkarīgi no tā, vai jūs sākat savu demateriālo maršrutu vai meklējat iespēju nostiprināt jūsu esošā rīka briedumu, mūsu komandas ir pieejamas. Pieprasiet personalizētu demonstrāciju certyneo.com/contact un uzziniet, kā jau šodien strukturēt savu dokumentu izsekošanu.