Zaštitite svoje potpisane dokumente sa TLS šifrovanjem

Zašto je TLS šifrovanje neizostavno za vaše potpisane dokumente

U 2026. godini, zaštita elektronski potpisanih dokumenata više nije opcija: to je zakonska i strateška obaveza za svako preduzeće koje posluje u evropskom digitalnom prostoru. TLS šifrovanje (Transport Layer Security) predstavlja temeljni kamen ove zaštite, garantujući da podaci prenositi između klijenta i servera ostanu poverljivi, integralni i autentifikovani. Prema ANSSI, više od 74% dokumentovanih cyber napada u Evropi ciljaju tokove podataka koji nisu šifrovani ili su nedovoljno zaštićeni. U ovom kontekstu, razumevanje kako zaštititi svoje dokumente potpisane pomoću TLS šifrovanja, HTTPS-a i u okviru eIDAS uredbe postalo je imperative za DSI, pravnike i zvaničnike za usaglašenost preduzeća francuskog i evropskog gospodarstva.

Ovaj članak istražuje tehnički mehanizam TLS-a, njegov odnos sa kvalifikovanim elektronskim potpisom, regulatorne zahteve nametnute SaaS platformama, i najbolje prakse koje treba primeniti od danas da zaštitite vaše digitalne aktive.

---

Razumevanje TLS šifrovanja i njegove uloge u elektronskom potpisu

TLS 1.3: trenutni standard zaštite razmene podataka

TLS protokol (Transport Layer Security) je poboljšana verzija SSL-a (Secure Sockets Layer), sada zastarelog. Verzija TLS 1.3, objavljena 2018. od strane IETF-a (RFC 8446), je danas referenca za bilo koju sigurnu razmenu podataka. Eliminisuje nekoliko kritičnih ranjivosti svojih prethodnika, uključujući BEAST, POODLE i DROWN napade, a istovremeno smanjuje latenciju konekcije zahvaljujući handshake-u u samo jednoj povratnoj putanji.

Konkretno, TLS 1.3 garantuje:

• Poverljivost: prenositi podaci su šifrovani od kraja do kraja, čineći njihov presretanje neupotrebljivim.
• Integritet: bilo koja poruka izmenjena tokom prenosa je odmah otkriven.
• Autentifikacija: server (i opciono klijent) je autentifikovan preko X.509 sertifikata.

Za platformu elektronskog potpisa usklađene sa eIDAS, ekskluzvna upotreba TLS 1.3 — ili najmanje TLS 1.2 sa kriptografskim paketima odobrenim od ANSSI — je bazična obaveza. Korišćenje TLS 1.0 ili 1.1 je formalno zabranjena od preporuka ENISA-e od 2022.

HTTPS: vidljivi sloj TLS šifrovanja

HTTPS nije ništa više od HTTP-a servirenog preko TLS konekcije. Za korisnike, vidljiv katanac u traci adrese pretraživača znači da je kanal komunikacije šifrovan. Za preduzeća, to znači da se dokumenti preuzeti, potpisani ili deljeni bezbedno prenose između pretraživača korisnika i servera platforme.

Međutim, HTTPS ne garantuje sigurnost dokumenta u mirovanju (to jest, jednom kada je skladišten na serveru). Zato TLS šifrovanje mora biti dopunjeno šifrovanjem podataka u mirovanju (npr. AES-256) i robusnim mehanizmima kontrole pristupa. U okviru kompletan vodič elektronskog potpisa, ova dodatna sigurnosna sloja se razmatraju kao koherentan skup.

TLS sertifikati i lanac povere

TLS sertifikat je izdan od strane priznatog Certifikaciona Authority (CA). Sadrži javni ključ servera, identitet organizacije i digitalno je potpisan od strane CA. Lanac povere — od root sertifikata do intermediate sertifikata — garantuje da korisnik komunicira sa entitetom za koju veruje da komunicira.

Za pružaoce usluga poverenja (PSCo) prema eIDAS uredbi, TLS sertifikati koji se koriste moraju da poštuju profile definirane ETSI EN 319 411 standardima, posebno za sertifikate korišćene u potpisivanju i autentifikaciji.

---

TLS šifrovanje i usaglašenost sa eIDAS: šta kaže uredba

Nivoi eIDAS potpisa i njihovi sigurnosni zahtevi

Uredba eIDAS br. 910/2014, ojačana eIDAS 2.0 koja se trenutno primenjuje, razlikuje tri nivoa elektronskog potpisa: jednostavna, napredna i kvalifikovana. Svaki nivo implicira rastuće sigurnosne zahteve:

• Jednostavni potpis: nema nametnute tehnichkog standarda, ali TLS šifrovanje ostaje snažno preporučeno za transport.
• Napredni potpis: platforma mora garantovati integritet dokumenta i jedinstvenost veze između potpisa i potpisnika. TLS 1.3 je ovde gotovo neizostavna za tokove prenosa.
• Kvalifikovani potpis: pružalac mora biti kvalifikovani PSCo registrovan na listi povere (Trust List) njegove države članice. Kriptografski zahtevi su definirani ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) standardima. Šifrovanje komunikacionih kanala mora da poštuje preporuke ANSSI-ja ili ENISA-e.

Za preduzeća koja žele da upoređuju rešenja elektronskog potpisa, nivo sigurnosti TLS razmene je ključan kriterijum izbora, često nedocenjen.

Doprinosi eIDAS 2.0 sigurnosti razmene

Uredba eIDAS 2.0, čije progresivne primene traju do 2026-2027, uvodi Evropsku digitalnu identitetu (EUDIW) i pojačava zahteve pružaocima usluga poverenja. Posebno nameće:

• Sigurnosne revizije u skladu sa EN ISO/IEC 27001 standardima i specifičnim zahtevima ENISA-e.
• Povećanu transparentnost o kriptografskim mehanizmima koji se koriste.
• Objavljivanje sigurnosnih politika revidirane od strane nacionalnih regulatornih vlasti.

Ova razvojna omogućava preduzeća da koriste platforme za potpisivanje da osigure da njihov pružalac održava ažurianu i revidirani TLS infrastrukturu. To je upravo ono što Certyneo garantuje u svojoj infrastrukturi, sa redovnim sigurnosnim revizijama i usaglašenosti sa ANSSI referencijalima.

---

Najbolje prakse za zaštitu vaših potpisanih dokumenata u preduzeću

Revizija vaše trenutne TLS infrastrukture

Pre nego što pretorite ili migrujete na rešenje zaštićene elektronske potpisivanja, TLS revizija je neophodna. Alati kao što su SSL Labs (Qualys) ili testssl.sh omogućavaju vam da procenite TLS konfiguraciju vaše trenutne platforme i identifikujete ranjivosti: zastarele kriptografske paketima, istečene sertifikate, loše upravljanje HSTS (HTTP Strict Transport Security), nedostatak Certificate Transparency (CT logs).

Esencijalne kontrolne tačke su:

• Ekskluzvna upotreba TLS 1.2 ili 1.3 (deaktivacija SSLv3, TLS 1.0 i 1.1).
• Preporučeni kriptografski paketi: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256.
• HSTS aktiviran sa minimalnom dužinom od 6 meseci i opcijom `includeSubDomains`.
• OCSP Stapling aktiviran za brzu revokaciju sertifikata.
• Perfect Forward Secrecy (PFS) aktiviran za ograničenje uticaja kompromitovanja ključa.

Šifrovanje u mirovanju i u tranzitu: komplementarni pristup

TLS šifrovanje štiti podatke u tranzitu. Ali sveobuhvatna strategija sigurnosti dokumenata mora da pokrije i podatke u mirovanju. Za potpisane dokumente, to implicira:

• AES-256 šifrovanje datoteka skladištenih u bazi podataka ili na sistemima datoteka.
• Upravljanje ključevima šifrovanja preko HSM (Hardware Security Module) ili KMS usluge (Key Management Service) sertifikovane FIPS 140-2.
• Separacija okruženja: podaci produkcije nikada ne smeju koegzistirati sa okruženjima za razvoj ili testiranje.
• Bezbedno logovanje: svaki pristup dokumentu mora biti zabeležen na nepromenljiv način, u skladu sa GDPR preporukama.

Za preduzeća koja upravljaju visokim volumenom dokumenata, Certyneo kalkulator ROI omogućava vam da procenite finansijski uticaj pojačane zaštite nasuprot troškovima curenja podataka.

Obuka i upravljanje dokumentima

Tehnologija sama nije dovoljna. Efikasna politika sigurnosti dokumenata oslanja se na tri stupa:

1. Obuka saradnika: svest o rizicima od phishing-a, nesigurnog deljenja dokumenata i dobrih praksi upravljanja pristupom.
2. Upravljanje pristupom: princip najmanje privilegije, multi-faktorska autentifikacija (MFA) za pristup platformama za potpisivanje, redovno pregledavanje prava pristupa.
3. Upravljanje incidentima: definisanje plana odgovora na incidente koji uključuju kompromitirane potpisane dokumente, u skladu sa GDPR (72 sata) i NIS2 obavezama obaveštavanja.

HR i pravne timove, koji obrađuju najosjetljivije dokumente, prve su zahvaćene. Dedicirane rešenja kao što su elektronski potpis za HR ili za pravne kancelarije nativno integruju ova sloja zaštite.

---

Direktiva NIS2 i sigurnost SaaS platformi za potpisivanje

Šta NIS2 nameće korisničkim preduzećima

Direktiva NIS2 (Network and Information Security 2), transponovana u francusko pravo od strane zakona od 26. jula 2023. i primenljiva od oktobra 2024., značajno proširuje opseg entiteta podložnih obavezama kyber-sigurnosti. Sada, srednje velika preduzeća u kritičnim sektorima (zdravstvo, finansije, energija, administracija) moraju osigurati da njihovi SaaS pružaoci poštuju visoke standarde sigurnosti.

Konkretno, NIS2 nameće:

• Procenu sigurnosti digitalne snadbevne lancem, uključujući SaaS platforme za potpisivanje.
• Ugovornog zahtevanja garantija sigurnosti od pružalaca (SLA sigurnost, ISO 27001 sertifikacije, revizije izveštaji).
• Obaveštavanja ANSSI-ja u slučaju značajnog incidenta uticanja na kritične digitalne usluge.

Izbor pružaoca elektronskog potpisa usaglašenog sa NIS2

Za preduzeća podložna NIS2, izbor platforme za potpisivanje ne može više biti ograničen na poslovne funkcionalnosti. Sigurnosni kriterijumi moraju uključiti: verzija TLS podržavana, politika upravljanja ključevima, lokacija podataka (idealno u Evropskoj uniji) i mogućnost da pruži revizije izveštaje na zahtev.

Certyneo skladišti sve podatke svojih klijenata u data centrima sertifikovani ISO 27001 smešten u Francuskoj, sa TLS 1.3 šifrovanjem na svim razmencima i AES-256 za podatke u mirovanju. Za preduzeća koja razmatraju migraciju sa DocuSign ili YouSign, NIS2 usaglašenost često predstavlja jedan od glavnih pokretača napred promene.

Pravni okvir primenljiv na zaštitu potpisanih dokumenata

Zaštita elektronski potpisanih dokumenata upisuje se u skup normatimanih tekstova čija oovladanost je neophodna za bilo koje preduzeće koje želi biti usklađeno u 2026.

Francuski građanski zakonik: članci 1366 i 1367

Članak 1366 Francuskog građanskog zakonika postavlja opšti princip ekvivalencije između elektronskog pisanja i papirnog pisanja, pod uslovom da je osoba od koje potiče pravilno identifikovana i da je dokument načinjen i čuvan u uslovima koji mogu da garantuju njegovu integritet. Članak 1367 definiše elektronski potpis kao korišćenje pouzdata procesa identifikacije koji garantuje njegovu vezu sa aktom kojem se prilaže. TLS šifrovanje direktno doprinosi ovoj garanciiji integriteta u tranzitu.

Uredba eIDAS br. 910/2014 i eIDAS 2.0

Uredba eIDAS br. 910/2014 Evropskog parlamenta i Veća čini temelj regulatornog okvira elektronskog potpisa u Evropi. Definiše tri nivoa potpisa (jednostavna, napredna, kvalifikovana) i zahteve primenljive na pružaoce kvalifikovanih usluga poverenja (PSCo). Prilozi I do IV Uredbe detaljno opisuju tehnichte zahteve za kvalifikovane sertifikate. ETSI EN 319 132 (XAdES), EN 319 122 (CAdES) i EN 319 142 (PAdES) standardi pojašnjavaju dozvoljene formate potpisivanja. eIDAS 2.0, koji se trenutno primenjuje, pojačava ove zahteve uvođenjem Evropske digitalne novčanika za identitet (EUDIW) i pojačanih obaveza kyber-sigurnosti za PSCo.

GDPR br. 2016/679

Opšta uredba o zaštiti podataka nameće preduzećima da primene tehnichte i organizacijske mere koje su primenjene da osiguraju sigurnost ličnih podataka (članak 32). Dokumenti potpisani sadrže lične podatke moraju biti šifrovani u tranzitu (preko TLS) i u mirovanju (preko AES-256 ili ekvivalenta). U slučaju povrede podataka, obaveštavanje CNIL-u i zahvaćenim licima mora doći u roku od 72 sata (članak 33). CNIL smatra šifrovanje merom koju se očekuje od svakog odgovornog za obradu.

Direktiva NIS2 (2022/2555/UE)

Transponovana u Francusku od oktobra 2024., Direktiva NIS2 nameće esencijalnim i važnim entitetima pojačane obaveze kyber-sigurnosti. Eksplicitno pokriva sigurnost komunikacionih kanala (uključujući TLS), upravljanje incidentima i sigurnost digitalne snadbevne lancem. SaaS pružaoci elektronskog potpisivanja mogu biti kvalifikovani kao kritični dobavljači svojih klijenata podložnih NIS2.

ANSSI referenci-jali i ETSI standardi

ANSSI objavljuje preporuke vezane za kriptografske parametre (ANSSI-PB-078 vodič) pojašnjavajući dozvoljene algoritme i dužine ključeva. Za TLS, ANSSI preporučuje TLS 1.3 kao prioritet, TLS 1.2 sa strogo definisanim kriptografskim paketima i formalno zabranjuje SSLv3, TLS 1.0 i TLS 1.1. Ove preporuke se u praksi primenjuju na osetljive sisteme informacija i integrisane su u kriterijume procene za kvalifikovane pružaoce eIDAS.

Scenariji korišćenja: TLS zaštita u realnom kontekstu

Scenario 1: Pravnička kancelarija koja upravlja aktima potpisanom privatno digitalizovani

Pravnička kancelarija sa oko petnaest saradnika tretira svakog meseca nekoliko stotina mandata, protokola sporazuma i konvencija o preuređenju. Pre migracije na rešenje za potpisivanje u skladu sa eIDAS sa TLS 1.3, dokumenti su bili razmenjeni nešifrovom elektronskom poštom, izlažući kancelariju rizicima od kompromitovanja i pobijanja autentičnosti akata.

Nakon primene SaaS platforme integrirajući TLS 1.3 i AES-256 šifrovanje u mirovanju, povezane sa MFA autentifikacijom za potpisnike, kancelarija je smanjila vreme obrade akata za 68% (sa prosečno 4,2 dana na 1,3 dana) i eliminiala incidente vezane nesigurnom transmisijom dokumenata. Vremenski markirana trag svake faze procesa sada čini dokazivoljivi dokaz u slučaju spora.

Scenario 2: KME industrijski sektor koja upravlja dobavljačima ugovora

KME u proizvodnom sektoru tretira približno 300 dobavljačkih ugovora godišnje suočavala se sa problematikom disperzije dokumenata: ručno potpisani ugovori su digitalizovani i skladišteni na internim serverima bez šifrovanja, dostupni celoj internoj mreži. Revizija sigurnosti sproveden u okviru priprema za ISO 27001 sertifikaciju otkrivene da 40% ugovorne dokumentacije nisu šifrovani u mirovanju.

Migracija na SaaS rešenje za elektronski potpis sa TLS 1.3 šifrovanjem u tranzitu i AES-256 u mirovanju, popraćeno politikom kontrole pristupa bazirana na ulogama, omogućili da se isprave ove ranjivosti. Procenjeni dobitak u smanjenju rizika od curenja dokumenata, vrednovan prema NIST metodama izračunavanja, predstavlja nekoliko deset hiljada evra godišnje smanjeno riziko. Vreme potpisivanja dobavljačkih ugovora smanjeno je sa 5 dana na manje od 24 sata u proseku.

Scenario 3: Grupu privatnih klinika i GDPR/NIS2 usaglašenost

Grupu privatnih klinika grupirajući približno 600 kreveta raspoređena na nekoliko ustanova morala je zaštititi elektronski potpis ugovora o radu, konvencija staža i obrazaca pristanka pacijenta. Zdravstvenost sektor je klasificiran kao esencijalna entiteta pod NIS2, sigurnosni zahtevi na kanale prenosa su posebno stroge.

Usvajanje elektronskog potpisa u zdravstvu integrujući TLS 1.3, HSM za upravljanje ključevima potpisivanja i nepromenljivo logovanje svakog pristupa dokumentu omogućilo je grupi da zadovolji zahteve revizije NIS2 i obaveze registra aktivnosti obrade GDPR. Trošak usaglašenosti amortizioje se za manje od 8 meseci zahvaljujući uklanjanju papirnog kola za HR datoteke, predstavljajući procenjenu uštedu između 15 i 25 evra po obrađenom dokumentu prema benchmark-ima sektora koje je objavio SYNTEC Numérique.

Zaključak

Zaštita vaših elektronski potpisanih dokumenata sa TLS šifrovanjem nije više pitanje tehnološkog komfora: to je zakonska obaveza koja potiče od eIDAS uredbe, GDPR, NIS2 direktive i preporuka ANSSI. U 2026, preduzeća koja zanemaruju sigurnost svojih tokova dokumenata izlažu se administrativnim kaznama, rizicima od ništavosti svojih akata i gubicima povere svojih partnera.

Primena TLS 1.3, kombinovana sa AES-256 šifrovanjem u mirovanju, multi-faktorskom autentifikacijom i strogim upravljanjem dokumentima, čini minimalni temelj usklađene strategije sigurnosti dokumenata.

Certyneo nativno integruje sve ove zaštite u SaaS platformu revidirani i suverenu. Preuzmi kontrolu sigurnosti svojih dokumenata od sada — otkrijte naše ponude na stranici tarifni ili kontaktirajte naše stručnjake za personalizovanu reviziju.