Ana içeriğe git
Certyneo

İmza Elektronik Cloud veya On-Premise: 2026'da Hangi Seçim?

Cloud SaaS veya on-premise dağıtım: elektronik imza çözümünüzün barındırma seçimi güvenlik, maliyetler ve eIDAS uyumluluğunu belirler. Uzman analizimizi keşfedin.

Équipe éditoriale Certyneo10 dk okuma

Équipe éditoriale Certyneo

Editör — Certyneo · Certyneo Hakkında

Giriş

Elektronik imza cloud ve on-premise barındırma arasında seçim yapmak, 2026 yılında bir DSI veya hukuk müdürlüğü için en yapılandırıcı stratejik kararlarından biridir. SaaS basit dağıtımı nedeniyle KOBİ'leri büyük ölçüde çekse de, büyük kuruluşlar ve sektörel düzenleyici kısıtlamalara tabi kuruluşlar hala içselleştirilmiş barındırmanın uygunluğu hakkında sorular soruyor. Bu kapsamlı karşılaştırma her iki modeli beş temel eksende analiz ediyor: veri egemenliği, teknik güvenlik, eIDAS uyumluluğu, toplam sahip olma maliyeti ve iş çevikliği. Bu makalenin sonunda, bağlamınıza uygun mimarileri seçmek için operasyonel bir karar çerçevesine sahip olacaksınız.

İki Barındırma Modelini Anlamak

Elektronik imza cloud (SaaS)

Bulut modelinde, yayınlayan tüm altyapıyı işletir: sunucular, güncellemeler, kullanılabilirlik, veri yedekleme ve güvenlik. İstemci şirketi, herhangi bir yerel kurulum olmaksızın bir API veya web arayüzü aracılığıyla çözüme erişir. Avrupa pazar aktörleri — Certyneo dahil — genellikle RGPD uyumluluğunu müşteri tarafındaki ek çabalar olmaksızın garanti eden Avrupa Birliğinde (Fransa, Almanya, Hollanda) bulunan ISO 27001 sertifikalı veri merkezlerine dayanır.

Avantajlar iyi bilinmektedir: birkaç saatlik dağıtım, anında ölçeklenebilirlik, yasal gelişmeleri (eIDAS 2.0, DSP3, NIS2) içeren otomatik güncellemeler ve kullanım bazında ekonomik model (OPEX). Markess by Exaegis 2025 raporuna göre, 500 kişiden az çalışanı olan Fransız şirketlerinin % 78'i artık demateryalizasyon araçları için SaaS'ı tercih etmektedir.

On-Premise Dağıtım

On-premise, elektronik imza platformunu doğrudan şirketin sunucularına veya kendi kontrol ettiği özel veri merkezinde yüklemeyi içerir. Bu model veriler, akışlar ve güvenlik ilkeleri üzerinde tam kontrol sağlar. Tarihsel olarak, hassas veriler işleyen ve belirli referans sistemlerine (HDS, SecNumCloud, PGSSI-S) tabi kütüphaneler, sigortacılar, hastaneler veya kamu kuruluşları tarafından benimsenmiştir.

Karşı tarafı önemli bir operasyonel yüktür: IT ekibi güncellemeleri, nitelikli imza sertifikalarını, HSM'leri (Hardware Security Modules), yüksek kullanılabilirliği ve yasal denetimi yönetmelidir. İlk maliyet (CAPEX) yüksektir ve lisanslar bir işletme kurulumu için 80.000 € aşabilir ve buna yıllık altyapı maliyetleri eklenir.

Veri Egemenliği ve Mevzuat Uyumluluğu

GDPR ve Veri Konumu

Elektronik imzalar için eIDAS düzenlemesi ve etkileri güven hizmetleri sağlayıcılarının (PSCo) denetlenmiş ve ulusal güven listelerine dahil edilmesi gerekir. İster cloud ister on-premise seçseniz, çözümünüz kesinlikle nitelikli bir PSCo'ya dayanmalıdır. Gerçek GDPR sorusu AB dışı transferlerle ilgilidir: bir Amerikan hiperskalı (AWS, Azure, GCP) tarafından barındırılan bulut geçerli standart sözleşme hükümleri (SCC) olmadan küresel gelirin % 4'ine kadar cezalara maruz kalabilir.

Certyneo gibi Avrupa bulut çözümleri bu gereksinimi doğal olarak karşılar, sunucular yalnızca Fransa'da bulunur ve GDPR'nin 28. maddesi ile uyumlu DPA (Veri İşleme Anlaşması) abonelik sırasında sağlanır.

SecNumCloud ve Düzenlenmiş Sektörler

Yaşamsal öneme sahip operatörler (OIV) ve DINUM'un Cloud Merkezli Doktrininin hedefinde olan kuruluşlar için ANSSI'nin SecNumCloud yetkilendirmesi kademeli olarak gerekli hale gelmektedir. 2026 yılında, bu yetkilendirmeyi sadece birkaç Fransız bulut aktörü (OVHcloud, Outscale) almıştır. İlgili kuruluşlar bu nedenle SecNumCloud nitelikli bulut seçmeli veya ANSSI RGS v2 referans sistemine uygun on-premise yönetmelidir.

NIS2'nin 26 Ocak 2025 tarihli yasayla Fransız hukuku ile uyumlaştırılmasının 15.000'den fazla önemli ve kritik kuruluşlara siber güvenlik yükümlülüklerini genişleterek mimari seçimine yeni bir düzenleyici baskı oluşturduğunu unutmayın.

Toplam Sahip Olma Maliyeti: Karşılaştırmalı Analiz

TCO (Toplam Sahip Olma Maliyeti) analizi 5 yılda sistematik olarak yıllık 50.000 imzanın altındaki hacimlerde bulut avantajı gösterir. Bunun ötesinde, altyapı zaten mevcutsa on-premise rekabetçi hale gelebilir. Certyneo'nun ROI hesaplayıcısı bu geçiş eşiğini hacminiz ve sektörünüze göre kesin olarak tahmin etmenize olanak tanır.

1.000 çalışanı olan bir şirket için tipik bir on-premise dağıtımı temsil eder:

  • İlk lisans: 60.000 ila 120.000 €
  • Özel HSM ve sunucu altyapısı: 30.000 ila 50.000 €
  • Yıllık bakım (lisansın % 20'si): 12.000 ila 24.000 €/yıl
  • İç IT kaynakları: 0,5 ila 1 FTE özel

Buna karşılık, aynı kapasite için bir bulut SaaS genellikle sıfır CAPEX ile tümü dahil 18.000 ila 40.000 €/yıl maliyetine gelir.

Teknik Güvenlik: Her Modelin Avantajları ve Sınırlamaları

Bulut Ortamında Güvenlik

Kalıcı bir ön yargıya rağmen, uzmanlaşmış bir yayıncının bulut hizmeti genellikle tipik bir şirket on-premise altyapısından daha yüksek bir güvenlik seviyesi sunar. Nedenler yapısaldır: yayıncılar ilgili ekiplere (24/7 SOC, üç aylık pen-testler, ISO 27001 ve SOC 2 Type II sertifikaları) çok fazla yatırım yapar, bu da çoğu iç DSI'nin erişimi dışındadır.

İyi uygulamalar, istirahatten AES-256 şifreleme ve aktarımda TLS 1.3, zorunlu çok faktörlü kimlik doğrulaması, imza olaylarının değiştirilemez günlüğü ve coğrafi olarak yedekli yedeklemeleri içerir. Elektronik imzanın hukuki değeri tam olarak bu değiştirilemez izlenebilirliğe dayanır.

On-Premise'e Özgü Riskler

On-premise spesifik riskler oluşturur, genellikle eksik tahmin edilir:

  • Sürüm Kayması: İlgili ekip olmaksızın, şifreleme güncellemeleri (sertifika iptali, SHA-3'e geçiş) gecikir ve şirketi teknik olarak geçersiz imzalara maruz bırakır.
  • HSM Yönetimi: Yanlış yapılandırılmış veya donanımı güncellenmemiş bir Hardware Security Module, mühendislik yapılan reddet edemeyen garantileri geçersiz kılar.
  • İş Sürekliliği Planı: İç on-premise'in kullanılabilirliği (SLA) nadiren % 99,5'i aşarken, yapılandırılmış bulut SaaS % 99,95 sağlar.

Egemenlik ve operasyonel delegasyon birleştirmek isteyen kuruluşlar için özel bulut modeli (Sertifikalı veri merkezlerinde HDS veya SecNumCloud) uygun bir orta yol oluşturur.

Entegrasyon, Çeviklik ve Ölçeklenebilirlik

API ve Birlikte Çalışabilirlik

Her iki model artık belgelenmiş REST API'ları ortaya koymaktadır. Bununla birlikte, güncelleme hızı yapısal olarak farklıdır: bir bulut yayıncısı yeni özellikler (biyometrik imza, belge sahteciliği algılama AI'ı, eIDAS 2.0 Wallet desteği) birkaç haftada dağıtırken, on-premise her ana sürüm için 3 ila 6 aylık iç yetkilendirme döngüsü gerektir.

Elektronik imzayı bir ERP (SAP, Oracle), SIRH veya GED (OpenText, Alfresco) içinde entegre etmek için, bulut önceden oluşturulmuş konnektörleri yayıncı tarafından yönetilen sağlar. Elektronik imza çözümlerinin tam karşılaştırması pazar liderlerinin entegrasyon yeteneklerini detaylandırır.

Ölçeklenebilirlik ve Hacim

Bulutta, ölçeklenebilirlik neredeyse anlıktır: 10.000 eşzamanlı imza kampanyası (hissedarlar toplantısı, büyük HR dağıtımı) ön yapılandırma olmaksızın uyumlanır. On-premise'de, altyapı sınırlamaları önceden tahmin edilmelidir ve kalıcı oversize maliyetleri oluşturur.

Hızlı büyüme veya mevsimsel döngüler pratik eden kuruluşlar (gayrimenkul, sigortalar) özellikle bulut esnekliğinden yararlanır. Gayrimenkulde elektronik imza, örneğin, kalıcı olarak boyutlandırılmış on-premise'i işlemez olmaktan çıkaracak pazar döngüleriyle ilişkili hacim artışları yaşar.

Karar Kriterleri: Hangi Bağlam İçin Hangi Model?

Belirli Sektörel Kısıtlamaları Olmayan İşletmeler ve KOBİ'ler

10 ila 500 çalışan arası ve belirli sektörel yasal yükümlülüğü olmayan bir KOBİ için, SaaS bulut hiç şüphesiz empoze olur: hızlı dağıtım, kontrol edilen maliyet, yayıncı tarafından garantili eIDAS ve GDPR uyumluluğu. Mevcut HR araçlarındaki entegrasyon yerli konnektörler tarafından kolaylaştırılır — HR ekipleri için elektronik imza gösterir ki maaş bordroları, sözleşmeler ve anlaşmalı fesihleri hiçbir ilgili altyapı olmaksızın kapsar.

Büyük Kuruluşlar ve Düzenlenmiş Sektörler

Sağlık verileri (HDS zorunlu), kritik finansal veriler veya sınıflandırılmış bilgiler işleyen şirketler on-premise veya nitelikli özel bulut hakkında ciddi şekilde düşünmelidir. Soru teknik değil düzenleyicidir: geçerli referans çerçeve buluta yer bırakıyor mu?

Hibrit mimari — sıradan imzalar için bulut, en duyarlı nitelikli eylemler için on-premise — 2024 yılından beri birkaç büyük Fransız grup tarafından benimsenmiştir. Bu model sıkı orkestrasyon ve sağlam API köprüleri gerektirir.

Kamu Kuruluşları ve İdareler

DINUM 2023-1 döngüsü beri, Devlet idareleri SecNumCloud nitelikli bulut tekliflerini tercih etmeye teşvik edilmektedir. On-premise hassas bilgi sistemleri (SIS) için yetkilenir ancak RGS v2 ve sağlık verileri için PGSSI-S'e uymalı. Hukuk firmaları için elektronik imza yüksek izlenebilirlik gereksinimi olan kuruluşların bu iki model arasında nasıl denge bulduğunu gösterir.

Elektronik İmza Çözümü Barındırması İçin Geçerli Yasal Çerçeve

Bulut ve on-premise arasındaki seçim, yasal olarak tarafsız değildir. Birçok yasal yükümlülük, teknik mimarinize doğrudan denetim uygular.

Medeni Kanun, madde 1366 ve 1367: Bu hükümler elektronik imzayı bağlı olduğu sözleşmenin güvenilir kimliğinin bir prosedürü olarak tanımlar. Prosedürün güvenilirliği, nitelikli bir elektronik imza kullanıldığında aksi kanıtlanıncaya kadar varsayılır. Bu ihtiyati tedbir, güven hizmetleri sağlayıcısının (PSCo) nitelikli olması koşuluyla, barındırma modundan bağımsız olarak geçerlidir.

eIDAS Yönetmeliği No 910/2014 ve eIDAS 2.0 (AB Yönetmeliği 2024/1183): eIDAS Yönetmeliği üç imza düzeyini ayırt eder (basit, gelişmiş, nitelikli). Nitelikli imza kesinlikle ulusal güven listesine (Fransa için ANSSI güven listesi) kaydedilmiş bir PSCo'nun müdahalesini gerektirir. Bulut veya on-premise çözümü nitelikli imzalar yayınlamak için nitelikli bir PSCo'ya arayüz oluşturmalıdır. Mayıs 2024'ten itibaren uygulanır olan eIDAS 2.0, Avrupa dijital kimlik cüzdanını (EUDIW) tanıtır ve sertifika yönetimi gereksinimleri güçlendirir.

GDPR Yönetmeliği No 2016/679: Madde 28, hesabınıza kişisel verileri işleyen herhangi bir bulut sağlayıcısıyla bir DPA (veri işleme anlaşması) imzalanmasını gerektirir. Madde 44, AB dışında veri transferlerini uygun garantiler olmaksızın yasaklar (standart sözleşme hükümleri veya bağlayıcı şirket kuralları). İç on-premise'de bu yükümlülük ortadan kalkar ama şirket sorumluluk sahibi haline gelir ve Madde 32'ye uygun teknik ve organizasyonel önlemleri (MTO) belgelemelidir.

NIS2 Yönergesi (AB Yönergesi 2022/2555), 26 Ocak 2025 Fransız yasasıyla uyumlaştırılmış: Kritik ve önemli kuruluşlar (enerji, sağlık, finans, su, dijital, ulaşım, yönetim sektörleri) orantılı siber güvenlik önlemlerini uygulamalıdır; dijital tedarik zinciri risklerinin yönetimi. Elektronik imza bulut sağlayıcısı NIS2 anlamında kritik bir üçüncü taraf tedarikçisi oluşturur: bağımsız değerlendirme zorunlu, özel sözleşme hükümleri ve denetim hakkı.

ETSI EN 319 132 ve ETSI EN 319 122 Standartları: Bu standartlar gelişmiş elektronik imza formatlarını (XAdES, PAdES, CAdES) tanımlar ve Avrupa kamu müzayedelerine ve B2B alışverişlerine kabul edilir. Uygunluk, seçilen mimari ne olursa olsun kontrol edilmelidir.

Referans Güvenlik Çerçevesi (RGS v2) ve HDS: İdareler ve sağlık verisi barındırıcıları için sırasıyla ANSSI'nin RGS v2'si ve HDS sertifikası (11 Haziran 2018 kararnamesi) empoze olur. HDS sertifikalı olmayan bulut, imza sırasında kısa süreli olsa da kişiye ait sağlık verilerini barındırmak hukuki olarak devre dışı bırakılır.

Öngörlenen Yasal Riskler: Uyumlu olmayan bir sistemden yayınlanan imza yargıda tartışılabilir, özellikle belge bütünlüğü veya imza sahibinin kimliği inkar edilemez şekilde kanıtlanmadığında. Kanıt yükü imzayı kullanan tarafta kalır. Ön dağıtım bağımsız uyum denetimi, bulut veya on-premise, kuvvetle tavsiye edilir.

Kullanım Senaryoları: Bağlama Göre Bulut veya On-Premise

Senaryo 1 — Yılda 15.000 Sözleşmeyi Yöneten Orta Ölçekli Endüstriyel Grup

Orta ölçekli endüstriyel şirket (yaklaşık 1.200 çalışan, Fransa'da 3 üretim tesisi) tüm tedarikçi, müşteri ve taraftar sözleşmelerini demateryalize etmelidir. Yılda ortalama 15.000 imza işler, Ocak'ta (sözleşme yenileme) ve Eylül'de (satın alma kampanyaları) yoğunlaşır. Endüstriyel veriler hassastır ancak sınıflandırılmamıştır.

5 yıllık TCO analizi sonrasında, finans müdürlüğü, ISO 27001 sertifikalı Avrupa bulut SaaS'ın eşdeğer on-premise dağıtımdan % 40 daha ucuz olduğu sonucuna varır (yayıncı ekonomisinin ölçeği vs. iç 0,7 FTE IT). DSI, Fransa'da barındırılan, % 99,95 SLA ve belgelenmiş REST API'sı ile doğrudan ERP entegrasyonlu bulut çözümü seçer. Mevsimsel artışlar ek maliyet olmaksızın yönetilir. 12 aylık gözlenen sonuç: ortalama sözleşme imza süresi % 65 azalır (8,3 günden 2,9 güne), tahmini yıllık tasarruf 120.000 € kâğıt ve takip maliyetleri.

Senaryo 2 — 1.200 Yatak Kapasitesi İçinde HDS Sertifikasyon Gereksinimleri Olan Hastane Grubu

Hastane grubu, hasta rızaları, serbest pratisyen sözleşmeleri ve kamu satın almalarını demateryalize etmelidir. İşlenen veriler, HDS (Sağlık Verisi Barındırıcısı) sertifikasyon ve PGSSI-S gerektiren kişiye ait sağlık bilgilerini içerir.

Tam on-premise HSM bakımı karmaşıklığı ve iç şifreleme yeteneği eksikliği nedeniyle reddedilir. Hastane grubu HDS sertifikalı ve SecNumCloud nitelikli bir sağlayıcıda barındırılan özel bulut seçer. İmza çözümü bu özel buluta, sıkı ağ bölümleriyle ve iç SIEM'e dışa aktarılan denetim günlükleriyle dağıtılır. Maliyet, mutualize buluttan % 25 daha yüksek ancak tam on-premise'den % 35 daha düşüktür. Operasyonel yarar: aylık 800 rıza 5 günün yerine 24 saatte işlenir ve HAS gereksinimlerine uyumlu tam izlenebilirlik sağlanır.

Senaryo 3 — Günlük İş Akışına İmzayı Entegre Eden 25 Çalışanlı Avukat Ofisi

Paris avukat ofisi, satış, anlaşma protokolleri ve vekalet edilen elektronik imza (gelişmiş veya nitelikli) gerektiren belgelerle ilgilenir. İstemci verisi gizliliği mutlak bir önceliktir, ancak ofis hiçbir IT altyapısına sahip değildir.

On-premise kaynak kısıtlamaları nedeniyle hemen dışlanır. Ofis, uçtan uca şifreleme, müşteri tarafından kontrol edilen şifreleme anahtarları (BYOK — Kendi Anahtarını Getir) ve yayıncının verilere erişmeme sözleşmesi garantisi sağlayan Avrupa SaaS bulut seçer. Bu "sıfır bilgi" mimarisi, hem Barreau mesleki gereksinimleri hem de GDPR yükümlülüklerini karşılar. Dosya yönetim yazılımı ile entegrasyon (API aracılığıyla) imzalanabilir belge hazırlık süresini ortalama 45 dakikadan 8 dakikaya düşürür, bu görev üzerinde % 82 verimlilik kazancı.

Sonuç

Bulut veya on-premise: evrensel bir cevap yoktur, ancak yapılandırılmış bir karar çerçevesi vardır. Büyük çoğunluk Fransız kuruluş — kritik sektörel kısıtlaması olmayan KOBİ, ETI — için eIDAS ve GDPR uyumlu Avrupa SaaS bulut güvenlik, uygunluk ve toplam sahip olma maliyeti arasında en iyi dengeyi sunar. On-premise veya nitelikli özel bulut, HDS, SecNumCloud, RGS v2 gibi zorlayıcı referans sistemleri tam altyapı kontrolü gerektiren düzenlenmiş sektörler (sağlık, savunma, OIV) için uygun kalır.

2026'da gerçek soru artık "bulut veya on-premise" değildir, "hangi veri için hangi egemenlik seviyesi, hangi nitelikli PSCo ile?" Certyneo, yalnızca Fransa'da barındırılan, ISO 27001 sertifikalı, eIDAS 2.0 ve GDPR uyumlu bulut mimarisi ile bu gereksinimler karşılar. Certyneo'da tekliflerimizi ve fiyatlandırmayı keşfedin veya ekibimizle iletişime geçin elektronik imza ihtiyacınızın ücretsiz denetimi için.

Certyneo'yu ücretsiz deneyin

İlk imza zarfınızı 5 dakikadan kısa sürede gönderin. Kredi kartı olmadan ayda 5 ücretsiz zarf.

Konuyu derinlemesine keşfedin

Elektronik imzayı ustaca kullanmak için kapsamlı rehberlerimiz.

Certyneo Topluluğu

Elektronik imza hakkında bir sorunuz mu var?

Certyneo topluluğuna katılın: sorularınızı sorun, cevaplarınızı paylaşın ve binlerce kullanıcı ve ekibimiz ile iletişim kurun.