Безопасность документов с электронной подписью: руководство 2026

Введение

Электронная подпись стала стандартом в европейских B2B-обменах. Но подписать документ недостаточно: необходимо защитить, архивировать и сохранить эти электронно подписанные документы в соответствии с действующим законодательством. Во Франции и в Европе требования, вытекающие из Регламента eIDAS, GDPR и Гражданского кодекса, предъявляют четкие требования к целостности, отслеживаемости и срокам хранения. Данное руководство объясняет вам пошагово, как реализовать надежную стратегию архивирования для ваших электронных подписанных документов — и почему этот подход неразрывно связан с серьезной политикой электронной подписи.

---

Почему безопасность подписанных документов является абсолютным приоритетом

Риски, связанные с ненадлежащим хранением

Электронно подписанный документ теряет всякую доказательственную силу, если он изменен, повреждена или недоступен в момент, когда требуется его представление — при судебном разбирательстве, аудите или налоговой проверке. Конкретные риски включают:

• Потеря целостности: любое изменение после подписания, даже незначительное, делает подпись недействительной и, следовательно, аннулирует юридическую ценность документа.
• Истечение сертификатов: квалифицированный сертификат имеет ограниченный срок действия (обычно 1-3 года). Если документ не снабжен временной меткой или не архивирован должным образом до истечения срока действия, его будущая проверяемость скомпрометирована.
• Устаревание технологии: форматы файлов развиваются. PDF-документ, подписанный в 2018 году с алгоритмом SHA-1, который теперь считается уязвимым, может вызвать проблемы с валидацией в долгосрочной перспективе.
• Нарушения GDPR: электронно подписанные документы часто содержат персональные данные (имя, фамилию, IP-адрес, электронную почту). Ненадлежащее управление этими данными подвергает организацию штрафам CNIL, которые могут достигать 4% мирового дохода.

По данным исследования KPMG, опубликованному в 2024 году, 34% французских компаний не имеют формализованной политики электронного архивирования, подвергаясь существенным юридическим рискам в случае судебного разбирательства.

Доказательственная сила: ключевой вопрос

Доказательственная сила электронно подписанного документа основана на трех фундаментальных столпах:

1. Подлинность: подписывающее лицо действительно является тем, за кого себя выдает (проверка личности, квалифицированный сертификат).
2. Целостность: содержание не было изменено с момента подписания (криптографический отпечаток, хеш SHA-256 или выше).
3. Неотрицаемость: подписывающее лицо не может отрицать, что оно подписало (квалифицированная временная метка, журнал аудита).

Эти три столпа должны быть поддерживаемы во времени, что подразумевает активную, а не пассивную стратегию архивирования.

---

Технические стандарты для защиты ваших подписанных документов

Форматы долгосрочной подписи: PAdES, XAdES, CAdES

Для обеспечения долговечности подписанного документа стандарты ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES) определяют форматы подписей, подходящие для долгосрочного сохранения. Наиболее используемый на практике B2B-формат — это PAdES (PDF Advanced Electronic Signatures) с его уровнями:

• PAdES-B: базовый уровень, подходит для коротких сроков.
• PAdES-T: добавляет квалифицированную временную метку для доказательства существования документа в определенный момент времени.
• PAdES-LT: интегрирует данные отзыва сертификатов, позволяя валидацию без доступа к онлайн-сервисам.
• PAdES-LTA: наиболее надежный уровень, добавляет временную метку архива, позволяющую периодические обновления. Рекомендуется для любого хранения, превышающего 3 года.

Для долгосрочного архивирования PAdES-LTA является рекомендуемым эталоном ANSSI и поставщиков квалифицированных услуг доверия (QTSP).

Квалифицированная временная метка: краеугольный камень архивирования

Квалифицированная временная метка, определенная в статье 42 Регламента eIDAS, является юридическим доказательством существования документа в определенный момент времени. Она выдается квалифицированным органом временных меток (TSA - Time Stamping Authority), внесенным в список доверия Европейского союза (EU Trust List).

На практике временная метка:

• Криптографически связывает отпечаток документа с сертифицированной датой и временем.
• Позволяет доказать, что подпись была действительной на момент ее создания, даже если сертификат истек.
• Необходима для обеспечения допустимости документа в суде спустя годы после его подписания.

Шифрование и контроль доступа

Помимо криптографических аспектов самой подписи, физическая и логическая безопасность архивированных документов одинаково критична:

• Шифрование в состоянии покоя: документы должны быть зашифрованы на серверах хостинга (минимум AES-256).
• Шифрование при передаче: протоколы TLS 1.3 для любого передачи.
• Контроль доступа на основе ролей (RBAC): только уполномоченные лица могут получить доступ к архивированным документам.
• Журналирование доступа: любой доступ, просмотр или загрузка должны быть отслеживаемы (неизменяемые журналы).
• Геораспределенные резервные копии: минимум две копии на географически отдельных сайтах, с регулярными проверками восстановления.

---

Стратегии электронного архивирования с доказательственной силой: SAE и цифровой сейф

Система электронного архивирования (SAE)

Система электронного архивирования (SAE) — это инфраструктура, предназначенная для долгосрочного сохранения цифровых документов с гарантией их целостности и доступности. Во Франции применимым справочником является стандарт NF Z42-013 (утвержденный как ISO 14641), который определяет требования к проектированию и эксплуатации вероятного SAE.

Характеристики совместимой с требованиями SAE включают:

• Структурированный план классификации с правилами сохранения по документальной категории.
• Отпечаток целостности, рассчитанный при входе и периодически проверяемый.
• Неизменяемый журнал всех операций.
• Процедуры миграции технологий для эволюции форматов без потери целостности.
• Защищенный и проверяемый доступ с сильной аутентификацией.

Обращение к SAE, управляемой квалифицированным поставщиком услуг (тип Electronic Archiving with Evidential Value - AEVP), позволяет организациям делегировать эту сложность, пользуясь при этом твердыми договорными и нормативными гарантиями.

Цифровой сейф: дополнительное решение

Цифровой сейф — это упрощенный вариант SAE, ориентированный на конечного пользователя. Он позволяет каждому подписывающему сохранить личную копию, защищенную и доступную, своих подписанных документов. Этот подход особенно уместен для:

• Трудовых договоров и приложений (доступных сотруднику).
• Условий продажи, принятых электронным путем.
• Документов адаптации клиента (KYC, мандатов SEPA).

Юридические сроки сохранения: что требует закон

Срок хранения документов зависит от их юридического характера. Вот основные сроки, которые необходимо знать:

| Тип документа | Минимальный юридический срок | Правовая база | |---|---|---| | Коммерческие контракты | 5 лет | Ст. L110-4 Торгового кодекса | | Налоговые документы | 6 лет | Ст. L102 B НК | | Трудовые договоры | 5 лет после прекращения | Трудовой кодекс | | Акты частного права | 5 лет (личное исковое требование) | Ст. 2224 Гражданского кодекса | | Бухгалтерские документы | 10 лет | Ст. L123-22 Торгового кодекса | | Медицинские данные | Минимум 20 лет | Ст. R1112-7 Кодекса общественного здравоохранения |

Эти сроки должны быть интегрированы в политику архивирования и параметризованы в инструментах управления документами.

---

Интеграция безопасности в ваш рабочий процесс электронной подписи

Выбор платформы подписи с встроенным архивированием

Лучшая стратегия состоит в выборе решения электронной подписи с встроенным защищенным архивированием, а не управлением двумя отдельными инструментами. Основные критерии выбора:

• Квалификация eIDAS: платформа должна быть или опираться на квалифицированного поставщика услуг доверия (QTSP), занесенного в список доверия ЕС.
• Соответствие GDPR: размещение данных в Европейском союзе, доступное соглашение DPA (Data Processing Agreement), возможность осуществления прав физических лиц.
• Сертифицированные форматы архивирования: встроенная поддержка PAdES-LTA или эквивалента.
• Полный журнал аудита: каждый этап процесса подписи должен быть отслеживаемым и экспортируемым.
• Интеграция API: для подключения платформы к вашей существующей системе управления электронными документами (ЭДМ) или ERP.

Для сравнения решений, доступных на рынке, обратитесь к нашему сравнению решений электронной подписи.

Журнал аудита: ваша лучшая защита в случае судебного разбирательства

Журнал аудита (или audit trail) — это хронологический и неизменяемый журнал, отслеживающий все действия, связанные с документом: отправка, открытие, подпись, отказ, напоминания. Он представляет дополнительное доказательство к самой подписи.

Вероятный журнал аудита должен содержать:

• Квалифицированные временные метки каждого действия.
• IP-адреса и агенты пользователей подписывающих лиц.
• Идентификаторы проверки личности, используемые.
• Метаданные документа (хеш-отпечаток).

В случае судебного разбирательства часто именно журнал аудита делает разницу в суде, особенно когда используется простая или продвинутая (а не квалифицированная) подпись.

Автоматизация напоминаний об обновлении и архивировании

Эффективная политика архивирования прежде всего является политикой автоматизированной. Лучшие практики включают:

• Автоматические оповещения до истечения сертификатов или временных меток.
• Рабочие процессы обновления временной метки (timestamp renewal) до того, как криптографические алгоритмы станут устаревшими.
• Периодические проверки списка архивированных документов с случайной проверкой целостности.
• Панель управления соответствием позволяющая определить документы, сроки сохранения которых подходят к юридическому сроку.

Эти автоматизации доступны встроенными в платформы электронной подписи нового поколения, такие как Certyneo для предприятий.

Правовая база, применимая к защите и архивированию подписанных документов

Защищенное сохранение электронно подписанных документов подпадает под плотный нормативный режим, владение которым необходимо для любой организации, желающей привести эти документы в отношении третьих сторон или представить их в суде.

Регламент eIDAS №910/2014 и его эволюция

Европейский регламент eIDAS (Electronic IDentification, Authentication and trust Services), применимый с 1 июля 2016 года и в настоящее время пересматриваемый посредством eIDAS 2.0, устанавливает рамку доверия для услуг электронной подписи в Европе. Он различает три уровня подписей (простая, продвинутая, квалифицированная) и требует от квалифицированных поставщиков услуг доверия (QTSP) строгих требований безопасности, аудита и непрерывности обслуживания. Статья 25 признает предположение об отсутствии отрицания отцовства для квалифицированной подписи. Статья 42 регулирует услуги квалифицированных временных меток.

Гражданский кодекс Франции: статьи 1366 и 1367

Статья 1366 Гражданского кодекса постановляет, что «электронный документ имеет такую же доказательственную силу, что и документ на бумажном носителе, при условии, что может быть надлежащим образом идентифицировано лицо, от которого он исходит, и что он установлен и сохранен в условиях, обеспечивающих целостность». Статья 1367 уточняет условия действительности электронной подписи. Ответственность за сохранение в условиях, гарантирующих целостность, лежит на организации, владеющей документом.

GDPR №2016/679: защита персональных данных в архивах

Электронно подписанные документы систематически содержат персональные данные (личность подписывающего, адрес электронной почты, IP-адрес, иногда поведенческие биометрические данные). GDPR требует правовую базу для каждой обработки, ограничение срока сохранения до необходимого минимума и реализацию надлежащих технических и организационных мер (статья 32). В случае нарушения данных, затрагивающих архивы подписанных документов, статья 33 требует уведомления CNIL в течение 72 часов.

Директива NIS2 (2022/2555/UE)

Разделенная во французское право указом в 2024 году, директива NIS2 накладывает на критически важные и важные объекты усиленные обязательства в области кибербезопасности, включая защиту информационных систем, обрабатывающих чувствительные данные. Платформы архивирования подписанных документов затронутых организаций входят в область применения.

Стандарты ETSI и NF Z42-013

Стандарты ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) и ETSI EN 319 142 (PAdES) определяют форматы продвинутой и квалифицированной электронной подписи в соответствии с eIDAS. Стандарт NF Z42-013 / ISO 14641 составляет французский справочник по проектированию и эксплуатации системы электронного архивирования с доказательственной ценностью. Его соблюдение настоятельно рекомендуется ANSSI и представляет надежную защиту в случае судебного оспаривания.

Санкции и риски в случае несоответствия

Риски многообразны: недопустимость документа в суде, санкции CNIL (до 20 миллионов евро или 4% мирового дохода за серьезные нарушения GDPR), возложение договорной или деликтной ответственности организации, и потеря гарантий, предоставляемых поставщиком подписей, если обязательства по сохранению не были выполнены.

Сценарии использования: как организации защитить свои подписанные документы

Сценарий 1 — Юридическая контора, управляющая тысячами актов в год

Юридическая контора по сложным вопросам из 25 сотрудников в среднем обрабатывает 3000 актов и контрактов, подписанных электронным способом в год (протоколы о трансакциях, мандаты, акты передачи). Столкнувшись с необходимостью представить документы семилетней давности при налоговой проверке клиента, контора обнаружила, что несколько подписей больше не проверяются: сертификаты истекли и ни одна архивная временная метка (уровень PAdES-LTA) не была применена.

После интеграции решения подписи с встроенным архивированием в SAE, соответствующее NF Z42-013, контора получает гарантированную проверяемость на 30 лет. Время поиска и представления документа при судебном разбирательстве сокращается с 4 часов до менее 15 минут. Партнеры оценивают сокращение на 60% юридического риска, связанного с управлением документами. Чтобы узнать больше о конкретных потребностях юридических контор, посетите нашу страницу, посвященную электронной подписи для юридических контор.

Сценарий 2 — Малое промышленное предприятие, управляющее контрактами поставщиков и клиентов

Малое промышленное предприятие с 180 сотрудниками генерирует примерно 400 контрактов с поставщиками и 250 контрактов с клиентами, подписанных электронным способом в год. Его документы до сих пор хранились в неустановленной общей папке на внутреннем сервере без шифрования, без журнала аудита, без гранулярного контроля доступа.

После инцидента кибербезопасности (программа-вымогатель), зашифровавшей часть сервера, несколько действующих контрактов пришлось переподписывать, что привело к задержкам и затратам, оцененным в 40 000 евро. После миграции на облачную платформу подписи с интегрированным цифровым сейфом, суверенный хостинг во Франции и геораспределенные резервные копии, малое предприятие устраняет этот риск. Оно также получает выгоду от автоматических оповещений об истечении контрактов. Чтобы оценить возврат инвестиций такого подхода, используйте наш калькулятор ROI электронной подписи.

Сценарий 3 — Больничный комплекс, управляющий согласиями пациентов и контрактами по ТС

Больничный комплекс примерно из 1200 кроватей должен сохранять информированные согласия пациентов, подписанные электронным способом, в течение минимум 20 лет (статья R1112-7 Кодекса общественного здравоохранения), а также контракты с работой своих 2500 сотрудников. Множество документов и различные сроки сохранения делали ручное управление невозможным и рискованным.

Развернув решение электронной подписи с параметризируемым модулем архивирования по категориям документов, юридический отдел комплекса автоматизирует правила удержания: 20 лет для согласий, 5 лет после прекращения для контрактов по ТС, 10 лет для государственных закупок. Внутренние аудиты соответствия GDPR выявляют, что процент соответствия документов повышается с 67% до 96% в течение менее одного года. Для особенностей сектора наше руководство по электронной подписи в здравоохранении описывает применимые нормативные ограничения.

Заключение

Защита и сохранение ваших электронно подписанных документов — это не дополнительный технический вариант: это юридическое обязательство и стратегическое требование для любой организации, полагающейся на электронную подпись в своих бизнес-процессах. Между соответствием eIDAS, требованиями GDPR, стандартами ETSI и сроками сохранения, предписанными Торговым кодексом, сложность реальна — но полностью управляема с правильными инструментами.

Ключи успешной стратегии архивирования ясны: долгосрочные форматы подписей (PAdES-LTA), систематическая квалифицированная временная метка, защищенный и суверенный хостинг, автоматизированные правила сохранения и полный журнал аудита.

Certyneo встраивает все эти функции в облачную платформу, разработанную для B2B-команд. Откройте для себя, как защитить свои подписанные документы, протестировав Certyneo бесплатно или изучив наши тарифы.