Elektronik olarak bir SOW imzalamak: eIDAS 2026 yasal değeri

SOW'larınız için elektronik imzanın neden vazgeçilmez olduğu

Statement of Work (SOW), sadece bir proje yol haritasından çok daha fazlasıdır: tüm tarafların sorumluluğunu belirten, teslim edilebilirleri, zaman çizelgesini ve ödeme koşullarını tanımlayan bir sözleşme belgesidir. Ancak pratik B2B alanında, birçok şirket imzaları e-posta yoluyla, manuel olarak açıklanan PDF'ler aracılığıyla veya hatta basit e-posta değişimiyle toplamaya devam etmektedir. Bu yaklaşım, özellikle eIDAS yönetmeliğinin (910/2014 sayılı) yürürlüğe girmesinden ve eIDAS 2.0 revizyonundan sonra önemli yasal boşluklar sunmaktadır. SOW'larınızı tanınan yasal değerle elektronik olarak imzalamayı anlamak, bugün her B2B kuruluş için operasyonel ve yasal bir gerekliliktir.

İhtiyaçlar çok önemlidir: uyuşmazlık durumunda, nitelikli elektronik imza (NEİ) ile imzalanan bir SOW, Avrupa Birliği'nin tüm üye devletlerinde el imzasına eşdeğer yasal kanıt değerine sahiptir. Tersine, e-posta değişimi veya sertifika olmayan bir sistem yoluyla imzalanan bir belge, mahkemede kolayca itiraz edilebilir.

SOW'lara uygulanabilir eIDAS imza seviyeleri

Basit elektronik imza (BEİ): yeterli mi yoksa riskli mi?

Basit elektronik imza, eIDAS spektrumunun en düşük seviyesini temsil eder. Güçlü kimlik garantisi olmaksızın bir belgeyle ilişkilendirilen verilerden oluşur. Düşük değerli SOW'lar veya uzun süreli ticari ilişkiler ve sağlam sözleşme geçmişi için BEİ uygun görünebilir. Ancak, uyuşmazlık durumunda çok az koruma sunar: ispat yükü tamamen belgeyi ileri süren tarafa düşer.

Büyük çoğunluk B2B SOW'lar — genellikle on binlerce veya yüzbinlerce euro'yu kapsarlar — için BEİ yetersizdir. eIDAS yönetmeliğinin 25. maddesi tarafından gerekli olan güvenilirlik varsayımını sunmaz.

Gelişmiş elektronik imza (GEİ): B2B SOW'lar için önerilen standart

Gelişmiş elektronik imza (GEİ), eIDAS ara seviyesidir. İmzacıya benzersiz şekilde bağlı olmalı, imzacıyı tanımlamaya izin vermeli, imzacının münhasır kontrolü altında imzalama verileriyle oluşturulmalı ve imzalı belgenin sonraki herhangi bir değiştirilmesinin tespit edilmesine izin vermelidir.

Tipik B2B SOW'lar için GEİ uygun seviyeyi oluşturur. Sağlam bir kimlik altyapısına (iki faktörlü kimlik doğrulama, profesyonel e-posta adresi doğrulaması, nitelikli zaman damgası) dayanır ve tam denetim izi oluşturur. Bu denetim izi, ETSI EN 319 132 standardına uygun PDF formatında saklanır, mahkemede savunulabilir ve belgenin bütünlüğünün kanıtıdır.

Certyneo, GEİ'yi ETSI standartlarına uygunluk içinde uygular, imzacıların doğrulanmış kimliklerini, her işlemin kesin zaman damgasını, IP adreslerini, kimlik doğrulama meta verilerini ve orijinal belgenin şifreleme hash'ini içeren bir tamamlama sertifikasıyla zenginleştirilmiş PDF/A dosyasını otomatik olarak oluşturmaya izin verir.

Nitelikli elektronik imza (NEİ): kritik taahhütler için

Nitelikli elektronik imza, eIDAS altında en yüksek güvence seviyesine ulaşır. Nitelikli bir imza oluşturma cihazının (NIOC) ve Avrupa güven listesi (eIDAS Trust List) üzerinde kayıtlı nitelikli bir hizmet sağlayıcısından (NHP) verilen bir sertifika kullanımını gerektirir.

SOW'unuz bir kamu pazarını, çok yıllık stratejik ortaklığı veya birkaç yüz bin euro'yu aşan bir taahhütü kapsamıyorsa, NEİ maksimum koruma sağlar. Pratik anlamda, standart B2B kurumsal elektronik imzalaması için kurumsal gelişmiş elektronik imza ihtiyaçların büyük çoğunluğunu kapsar.

SOW akışında çok imzacı yönetimi

İmzalama düzenini ve rollerini tanımlama

Bir SOW genellikle müşteri tarafında ve hizmet sağlayıcı tarafında birden fazla imzacı içerir: proje müdürü, satın alma sorumlusu, finansal müdür ve bazen işletme müdürü. Bu çok imzacı akışlarının yönetimi, SOW'ları elektronik olarak imzalarken en karmaşık sorunlardan biridir.

Uygun bir B2B elektronik imza platformu, sıralı akışları (her imzacı yalnızca öncekinin imzalamasından sonra belgeyi alır) veya paralel akışları (tüm imzacılar aynı anda belgeyi alırlar) yapılandırmaya izin verir. İmza delegasyonları, otomatik hatırlatıcılar ve son kullanma tarihleri de belirleyebilirsiniz.

Certyneo, imzacıları istenen sırada sürükle-bırak yapmaya, PDF'ye imza alanları atamaya ve her adımda bildirimleri yapılandırmaya izin veren görsel bir akış işlevselliği sunar. Her eylem, zaman damgalı ve sertifikalı denetim izinde kaydedilir.

Birlikte çalışabilirlik ve sınır ötesi imzalama

eIDAS yönetmeliğinin ana avantajlarından biri, panAvrupa kapsamıdır. Fransa'da verilen gelişmiş veya nitelikli elektronik imza, Almanya, Hollanda, İspanya veya Polonya'da ek formalite olmaksızın tanınır. Bu, uluslararası ortakları veya şubelerle SOW yöneten şirketler için özellikle değerlidir.

Certyneo'da bulunan elektronik imza çözümlerinin karşılaştırması, pazardaki sağlayıcılar arasında coğrafi kapsam ve eIDAS seviyeleri farklarını ayrıntılarıyla açıklar.

Mevcut belge yığınınızla entegrasyon

SOW'ların elektronik imzalanması bağımsız bir silo olmamalıdır. 2026 en iyi uygulamaları, CRM'niz (Salesforce, HubSpot), ERP'niz (SAP, Sage) veya proje yönetim aracınızla yerel entegrasyonu önerir. Modern REST API'ler, bir SOW kaynak aracında kesinleştirilir kesinleştirilmez otomatik olarak bir imzalama akışını tetiklemeyi, manuel yeniden girişi olmaksızın sağlar.

Certyneo, API ve webhooks aracılığıyla bu ortamlara entegre olur ve bu ortamlara birkaç dakika içinde imza için hazır ön yapılandırılmış SOW'lar üretmek için yapay zeka sözleşme jeneratörünü kullanmaya izin verir.

PDF denetim izi: yasal kanıtınızın omurga

Nitelikli denetim izi nedir?

Denetim izi — veya denetim izi — belgenin oluşturulmasından nihai imzasına kadar gerçekleştirilen tüm işlemlerin kronolojik ve tahrif edilemez günlüğüdür. eIDAS altında yasal olarak savunulabilir olması için, birkaç öğe içermelidir: nitelikli zaman damgası (ETSI EN 319 421 standardına uygun), doğrulanmış imzacı tanımlayıcıları, SHA-256 veya daha yüksek belge hash'i ve tüm erişimin izlenebilirliği.

Nitelikli olmayan bir denetim izi, örneğin sertifika olmayan basit bir sunucu günlüğü, sınırlı ispat değerine sahiptir. Fransız mahkemeleri, medeni kanunun 1366. maddesi uygulamasında, tanımlama prosedürünün güvenilirliğini ve belge bütünlüğünün garantisini kesinlikle inceler.

İmzalı SOW'ların saklanması ve arşivlenmesi

İmzalı SOW'ların saklanması, genellikle ihmal edilen bir soru ortaya koymaktadır: yasal süresi ve kabul edilen biçimleri. Ticari konularda, Ticaret Kanunu'nun L.110-4 maddesi, tüccarlar arasında doğan yükümlülükler için beş yıl zamanaşımı öngörmektedir. Bu nedenle, elektronik olarak imzalanan SOW'ları ve denetim izlerini geç davalar ihtiyacı hesaba katarak en az on yıl saklamak tavsiye edilir.

PDF/A-3 formatı (ISO 19005-3 standardı), uzun süreli imzalı belgeler arşivlemesi için önerilen standarttır, çünkü saklanma süresi boyunca gömülü meta verilerin (sertifikalar, zaman damgaları) bütünlüğünü garantiye eder. Certyneo, imzalanan her SOW için otomatik olarak bu standarda uygun PDF/A dışa aktarımları oluşturur.

İtiraz durumunda ne yapılmalı?

Bir imzacı daha sonra bir SOW imzalamaktan vazgeçilirse, nitelikli denetim izi ilk savunma hattınızı oluşturur. Yapılması gerekenler: (1) imzalama anında imzacının kimliği doğrulandı, (2) belge imzalamadan sonra değiştirilmedi ve (3) imza serbestçe ve gönüllü olarak uygulandı.

eIDAS uyumlu elektronik imza çözümleri bu mekanizmaları tasarıma göre entegre eder. Ancak, denetim izini yararlı bir şekilde tamamlayan gönderme bildirimi e-postalarını ve okuma onayını da saklamak tavsiye edilir. eIDAS elektronik imzasının kanıt değeri hakkında daha fazla bilgi için Certyneo'nun elektronik imza tam rehberi son yargı kararlarını ayrıntılarıyla açıklar.

SOW elektronik imzasına uygulanabilir yasal çerçeve

Yönetmelik eIDAS n°910/2014 ve eIDAS 2.0

Avrupa yönetmeliği eIDAS (Elektronik Kimlik, Kimlik Doğrulama ve Güven Hizmetleri) n°910/2014, Avrupa Birliği'nde elektronik imzanın yasal temelini oluşturur. Ulusal taşıyıcı olmaksızın tüm üye devletlere doğrudan uygulanabilir, üç imza seviyesini (basit, gelişmiş, nitelikli) tanımlar ve ayrımcılık yapılmama ilkesini ortaya koymaktadır: hiçbir yasal etki elektronik imzaya yalnızca elektronik biçimi nedeniyle reddedilemez (madde 25, §1).

eIDAS 2.0 revizyonu, 2024'ten itibaren kademeli olarak yürürlüğe girerek, dijital kimlik cüzdanları (EUDIW) açısından gereklilikleri güçlendirir ve egemen dijital kimlikler tanınmasını genişletir. 2026'da imzalanan B2B SOW'lar için kuruluşlar, imza sağlayıcılarının resmi ENISA Trust List'inde kayıtlı olduğundan emin olmalıdır.

Fransız Medeni Kanunu: maddeler 1366 ve 1367

Fransız hukuku altında, Medeni Kanunun 1366. maddesi "elektronik yazı kağıt üzerinde yazıyla aynı kanıt gücüne sahip olur, şartı: yazının kaynaklanan kişi uygun şekilde tanımlanabilir ve yazının bütünlüğünü garantiye almak için koşullarda oluşturulmuş ve saklanmış olmasıdır" ifadesini taşımaktadır. Madde 1367, "bir yasal işlemin mükemmelleştirilmesi için gerekli olan imza, yazarı tanımlar. Bu, bu işlemden doğan yükümlülükler için yazarın rızasını gösterir" belirtir.

Bu iki madde, elektronik olarak imzalanan SOW'ların kanıt gücünün temelini oluşturur. Kullanılan imza sisteminin hem imzacının tanınması hem de belgenin bütünlüğünü garantiye alması gerektiğini — eIDAS uyumlu gelişmiş veya nitelikli seviye çözümleri tarafından sağlanan iki koşulu — ima eder.

GDPR n°2016/679: İmzacıların veri koruması

Elektronik imza bağlamında imzacıların kimlik tespit verilerinin toplanması ve işlenmesi, GDPR'a tabi kişisel veri işlemini oluşturur. Kuruluşlar imzacıları verilerinin kullanımı hakkında bilgilendir (madde 13), bir veri işleme sorumlusu görevlendir ve verilerin yasal zamanaşımı sürelerine uygun şekilde saklandığından emin olmalıdır. AB dışında veri barındıran imza sağlayıcıları uygun garantiler (standart sözleşme şartları, yeterlillik kararı) haklı göstermelidir.

Uygulanabilir ETSI standartları

ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) ve ETSI EN 319 142 (PAdES) teknik standartları sırasıyla XML, CMS ve PDF belgeleri için gelişmiş ve nitelikli elektronik imza biçimlerini tanımlar. PAdES-LT veya PAdES-LTA formatı, dosyaya doğrudan uzun süreli doğrulama kanıtlarını gömerken PDF'deki SOW'lar için tavsiye edilir, imzacının sertifikası süresi dolduktan sonra bile belgenin doğrulanabilirliğini garantiye alır.

Kullanım senaryoları: B2B'de SOW'ları elektronik olarak imzalamak

Senaryo 1 — Yıllık yüzlerce SOW yöneten ESN

Yaklaşık 250 işçisi olan bir dijital hizmetler şirketi (ESN), ticari önemli müşterilerle yılda ortalama 350 SOW yönetir. eIDAS uyumlu elektronik imza çözümü uygulamadan önce, SOW imza süreci belgenin basılmasını, posta gönderi veya ticari temsilyetçinin fiziksel seyahatini, ardından imzalı belgenin taranmasını içeriyordu. SOW gönderimi ile imza alınması arasındaki ortalama gecikme, proje başlangıcını ve faturalandırmayı gecikmeleyen 8 ila 12 iş gününe kadar vardı.

Çok imzacı akışı ile gelişmiş elektronik imza platformu dağıtıldıktan sonra, imzalama gecikmeleri %78'i durumunda 24 saatin altına düştü. ETSI PAdES-LTA formatında otomatik denetim izi PDF/A oluşturulması, imzacıların tarihini ve kimliğinin kesintiğini kanıtlayarak iki küçük sözleşme uyuşmazlığı çözülmesini sağladı. Tahmini operasyonel kazanç, yılda yaklaşık 1.200 saatlik idari çalışmayı temsil eder.

Senaryo 2 — Avrupa'daki şubeler olan endüstriyel grup

Fransa, Almanya ve Hollanda'da faaliyet gösteren orta ölçekli endüstriyel grup (STİŞ), her ülkede yerel alt yüklenicilerle SOW oluşturur. Ana sorun sınır ötesi imzalamaların yönetimiydi: Alman ve Hollandalı alt yükleniciler, kendi yargı sistemlerinde tanınan imza biçimleri talep eder.

eIDAS yönetmeliğinin, üye devletler arasında gelişmiş elektronik imzaların karşılıklı tanınmasını garantiye alarak, grup, imzalama sürecini tek bir platforma standartlaştırmayı başardı. Her SOW'da ilgili 4 ila 6 imzacı (müşteri tarafı teknik müdür, satın alma müdürü, finansal müdür ve hizmet sağlayıcı tarafı), ayrı ayrı yapılandırılmış sıralı bir akıştan yararlanır, J+2 ve J+5'teki otomatik hatırlatıcılarla. İmzalanan SOW'ların 72 saat içinde tamamlanma oranı %34'ten %89'a yükselmiş, üretim başlangıç gecikmelerini önemli ölçüde azaltmıştır.

Senaryo 3 — Duyarlı taahhütleri yöneten yönetim danışmanlığı firması

Yaklaşık yirmi kıdemli danışmandan oluşan bir strateji danışmanlığı firması, 80.000 ila 500.000 euro arasında değer olan SOW'lar imzalar. Bu miktarlar için, yönetim, eIDAS yönetmeliğinin 25. maddesi (2) tarafından sunulan maksimum yasal varsayımdan yararlanmak için gelişmiş yerine nitelikli elektronik imzayı (NEİ) seçti.

Firma ayrıca sistematik bir arşivleme şartı yapılandırdı: imzalanan her SOW, NF 461 sertifikalı bir elektronik kasa içinde PDF/A-3 formatında otomatik olarak arşivlenir (değer kanıt kapasiteli elektronik arşivleme için AFNOR standardı), 10 yıl saklama süresi ile. Bu yaklaşım, 3 yıl önce imzalanan bir SOW'da tanımlanan teslim edilebilirlerin kapsamı hakkında bir müşteri anlaşmazlığını çözmesine izin verdi, bütünlüğü teknik olarak geri dönüşümsüz olan bir belge sunarak.

Sonuç

Statement of Work'ü eIDAS altında tam yasal değerle elektronik olarak imzalamak, artık büyük kuruluşlar için ayrılmış bir seçenek değildir: sözleşmeli taahhütleri güvence altına almak, satış döngülerini hızlandırmak ve uyuşmazlaklara karşı korunmak için her B2B kuruluşu için bir gerekliliktir. Gelişmiş veya nitelikli elektronik imza, yapılandırılmış çok imzacı akışı ve ETSI standartlarına uygun PDF/A denetim izinin kombinasyonu, 2026'nın de facto standardını oluşturur.

Certyneo, eIDAS uyumlu, çok imzacı yönetimi, otomatik sertifikalı denetim izi oluşturma ve mevcut yığını API entegrasyonuyla tam B2B elektronik imza çözümü sunar. Yılda 50 veya 5.000 SOW imzalayın, platformumuz ihtiyaçlarınıza uyum sağlar.

SOW'larınızı güvenlik altına almaya hazır mısınız? Certyneo'da ücretsiz denemenizi başlatın veya ekibimize ulaşın B2B elektronik imza akışlarımızın kişiselleştirilmiş bir gösterimi için.