Konformità tal-eIDAS għall-SMEs: il-lista ta' kontroll kompluta tal-2026

Ir-regolament Ewropew tal-eIDAS (UE nru 910/2014, li dalwaqt jiġi emendat bl-eIDAS 2.0) jirregola l-firem elettroniċi fl-Unjoni Ewropea kollha. Għal SME, li tkun konformi mhijiex biss kaxxa li trid tiċċekkja: hija l-garanzija li l-kuntratti tagħha huma infurzabbli, li d-data tal-firma tagħha hija protetta, u li tipproteġi lilha nnifisha kontra riskji legali li jistgħu jkunu għaljin. Hawnhekk hawn il-lista ta' kontroll tal-2026 fi 12-il punt konkret biex tivverifika li l-SME tiegħek hija kompletament konformi mal-eIDAS.

Punt 1: agħżel il-livell ta' firma t-tajjeb

L-ewwel rifless: immappja t-tipi ta' kuntratt tiegħek u assoċja livell fil-mira. Kuntratti kummerċjali standard (kwotazzjonijiet, ordnijiet ta 'xiri, NDAs sempliċi): SES huwa biżżejjed. Kuntratti ta' impjieg, kirjiet, NDAs sensittivi, ftehimiet strateġiċi: AES minimu, preferibbilment bl-OTP SMS. Atti regolati (avukat, nutar, kuntratti pubbliċi 'l fuq minn limitu): QES obbligatorju. Mingħajr dan l-immappjar, tirriskja li taqbeż il-qies (kuntratt miċħud) jew iż-żejjed (ispiża eċċessiva).

Punt 2: iċċekkja l-kwalifika tal-fornitur tas-servizz

Il-fornitur tas-servizz tiegħek irid ikun fornitur tas-servizz fdat (QTSP) jew jiddependi fuq QTSP għal-livelli AES/QES. Ikkonsulta l-Lista tas-Servizzi Fiduċjarji ppubblikata mill-ANSSI (eidas.ssi.gouv.fr) u l-Lista Fiduċjarja Ewropea (webgate.ec.europa.eu/tl-browser). Il-QTSPs ta' referenza Franċiżi: Certigna, Docaposte, Certinomis, Universign. Għal SES/AES permezz ta' pjattaforma (Certyneo, Yousign, eċċ.), iċċekkja l-konformità tal-eIDAS iddokumentata b'mod espliċitu tagħhom.

Punt 3: Ittestja t-traċċa tal-verifika

Iffirma envelop tat-test u iġbor it-traċċa tal-verifika (ġeneralment PDF separat). Irid ikun fih: identità u email tal-firmatarju, timestamp ta’ kull pass (mibgħat, ftuħ, validazzjoni, firma), indirizz IP, aġent tal-utent, hash tad-dokument, validazzjoni OTP jekk AES. Jekk wieħed minn dawn l-elementi jkun nieqes, il-valur evidenzjarju jiddgħajjef. Certyneo jipprovdi t-traċċa tal-verifika sħiħa anke fuq pjan b'xejn.

Punt 4: tikkontrolla l-timestamp

It-timestamp għandu jinħareġ minn Time Stamp Authority (TSA) konformi ma 'RFC 3161. Timestamp sempliċiment minn server NTP tal-kumpanija mhuwiex biżżejjed. Iftaħ il-PDF iffirmat fl-Adobe Reader: tab Firem → Dettalji → Timestamp. Għandek tara ċertifikat validu tat-TSA u arloġġ iċċertifikat hemmhekk. Jekk il-PDF m'għandux timestamp iċċertifikat, erġa' lura għall-għażla tal-fornitur tas-servizz.

Punt 5: arkivju għal mill-inqas 10 snin

Il-Kodiċi Kummerċjali (artikolu L. 123-22) jeħtieġ 10 snin ta’ ħażna għal dokumenti kummerċjali. Il-Kodiċi tax-Xogħol jimponi 5 snin għal kuntratti ta' xogħol ta' wara t-terminazzjoni. L-arkivjar għandu jippreserva l-integrità (hash, issiġillar) u l-aċċess. Ideali: Format PDF/A (ISO 19005), ħażna doppja (primarja + backup barra mis-sit), sikur elettroniku kwalifikat (CFE) għal prova massima. Certyneo arkivja 10 snin awtomatikament u joffri esportazzjoni lill-imsieħba tas-CFE.

Punt 6: iċċekkja l-lokalizzazzjoni tad-dejta

Fejn hi ospitata d-dejta tal-firma tiegħek? Għal SME Franċiża li tittratta kuntratti sensittivi, agħżel hosting Franċiż jew tal-UE. Staqsi lill-fornitur tas-servizz tiegħek għal-lista tas-sottokuntratturi u l-lokalità tagħhom (l-artikolu 28 GDPR). Evita soluzzjonijiet soġġetti għall-US Cloud Act għal kuntratti strateġiċi. Certyneo huwa ospitat fi Franza, mingħajr dipendenza fuq il-Cloud Act. Ara l-artiklu tagħna fuq /blog/cloud-act-signature-electronique.

Punt 7: artikola mal-GDPR

Il-firma u l-GDPR huma marbuta mill-qrib: kull envelop fih data personali (isem, email, IP, telefon). Kun żgur li r-reġistru tal-ipproċessar tiegħek (art. 30 GDPR) jinkludi l-firma elettronika, li l-perjodi taż-żamma huma konsistenti (10 snin), u li d-drittijiet tal-individwi jistgħu jiġu implimentati (aċċess, rettifika, portabbiltà). Jekk qed titlob ħafna firem, huwa rakkomandat DPO. Ara l-artiklu tagħna /blog/signature-electronique-rgpd.

Punt 8: identifika l-firmatarji upstream

Għal AES solidu, l-identifikazzjoni ma tibdax bl-iffirmar: tibda bil-ġbir tad-dejta. Iċċekkja l-emails (l-ebda psewdonimi, l-ebda lista tal-posta), numri tat-telefon (l-ebda linja kondiviża), u żomm kont tas-sors ta 'identifikazzjoni (ID għal kuntratti tqal, KYC eżistenti tal-klijenti għal kuntratti li għadhom għaddejjin). Din id-diliġenza dovuta tagħmel l-evidenza solida fil-każ ta’ tilwima.

Punt 9: ħarreġ it-timijiet

It-timijiet tal-bejgħ, HR u legali tiegħek iridu jifhmu r-regoli: qatt ma ġġiegħel lil firmatarju juża apparat ta' parti terza, qatt ma tirritorna PDF iffirmat modifikat, qatt ma tippejstja immaġni tal-firma skanjata minflok firma reali. Siegħa ta’ taħriġ għal kull tim hija biżżejjed biex tintroduċi riflessi tajbin. Certyneo jipprovdi gwida kompleta biex taqsam internament (/riżorsi).

Punt 10: iċċekkja l-kuntratti tal-fornituri tas-servizz

Is-CGU/CGV tal-fornitur tas-servizz tal-firma għandu: jibda konformità eIDAS, jispeċifika perjodi ta’ arkivjar, jinkludi ftehim ta’ sottokuntrattar tal-GDPR (art. 28), jiddokumenta s-sottokuntratturi, jipprovdi pjan ta’ riversibbiltà fil-każ ta’ tmiem. Itlob ukoll SOC 2 Tip II jew ekwivalenti jekk tipproċessa volumi kbar. Għal Certyneo, dawn id-dokumenti huma disponibbli fuq /legal u /sigurtà.

Punt 11: ipprepara l-eIDAS 2.0 u l-EUDI Wallet

Ir-regolament eIDAS 2.0 (UE 2024/1183) jidħol fis-seħħ gradwalment u jeħtieġ li l-Istati Membri jħaddmu EUDI Wallet qabel tmiem l-2026. Ipprepara l-SME tiegħek: iċċekkja li l-fornitur tas-servizz tiegħek għandu pjan direzzjonali tal-Kartiera EUDI, segwi l-komunikazzjonijiet mill-ANSSI u l-Kummissjoni Ewropea. Ara /blog/eidas-2-nouveau-reglement-2026.

Punt 12: verifika kull sena

Il-konformità mhix status akkwistat: hija proċess kontinwu. Skeda verifika annwali (interna jew esterna) biex tiċċekkja: bidliet regolatorji, żviluppi tal-fornitur tas-servizz, immappjar aġġornat tat-tipi ta’ kuntratti, żamma effettiva, taħriġ ta’ rekluti ġodda. Verifika ħafifa tieħu nofs ġurnata għal SME u tevita ħafna sorpriżi. Ibda billi toħloq kont ta' Certyneo b'xejn fuq certyneo.com/signup biex tittestja l-konformità fid-dinja reali, imbagħad iċċekkja l-gwida tal-eIDAS tagħna biex tħaffer aktar fil-fond (/guide/eidas).