Tuân thủ eIDAS dành cho các doanh nghiệp vừa và nhỏ: danh sách kiểm tra đầy đủ năm 2026

Quy định eIDAS của Châu Âu (EU n°910/2014, sắp được sửa đổi bởi eIDAS 2.0) quản lý chữ ký điện tử trên toàn Liên minh Châu Âu. Đối với một doanh nghiệp vừa và nhỏ, việc tuân thủ không chỉ là một hộp kiểm tra: đó là sự đảm bảo rằng các hợp đồng của họ có thể được thực thi, dữ liệu chữ ký của họ được bảo vệ và nó tự bảo vệ mình trước những rủi ro pháp lý có thể tốn kém. Dưới đây là danh sách kiểm tra năm 2026 gồm 12 điểm cụ thể để kiểm tra xem doanh nghiệp vừa và nhỏ của bạn có tuân thủ đầy đủ eIDAS hay không.

Điểm 1: chọn cấp độ chữ ký phù hợp

Phản xạ đầu tiên: lập bản đồ các loại hợp đồng của bạn và liên kết cấp độ mục tiêu. Hợp đồng thương mại tiêu chuẩn (báo giá, đơn đặt hàng, NDA đơn giản): SES là đủ. Hợp đồng lao động, cho thuê, NDA nhạy cảm, thỏa thuận chiến lược: tối thiểu AES, tốt nhất là với OTP SMS. Các hành vi được quản lý (luật sư, công chứng viên, hợp đồng công trên ngưỡng): QES bắt buộc. Nếu không có sự ánh xạ này, bạn có nguy cơ định cỡ thấp hơn (hợp đồng bị từ chối) hoặc vượt quá kích thước (chi phí quá cao).

Điểm 2: kiểm tra trình độ chuyên môn của nhà cung cấp dịch vụ

Nhà cung cấp dịch vụ của bạn phải là nhà cung cấp dịch vụ đáng tin cậy (QTSP) hoặc dựa vào QTSP để biết các cấp độ AES/QES. Tham khảo Danh sách dịch vụ ủy thác do ANSSI (eidas.ssi.gouv.fr) công bố và Danh sách đáng tin cậy châu Âu (webgate.ec.europa.eu/tl-browser). Các QTSP tham khảo của Pháp: Certigna, Docapost, Certinomis, Universign. Đối với SES/AES thông qua nền tảng (Certyneo, Yousign, v.v.), hãy kiểm tra việc tuân thủ eIDAS được ghi chép rõ ràng của họ.

Điểm 3: Kiểm tra dấu vết kiểm tra

Ký vào phong bì kiểm tra và thu thập dấu vết kiểm tra (thường là một bản PDF riêng). Nó phải chứa: danh tính và email của người ký, dấu thời gian của từng bước (gửi, mở, xác thực, chữ ký), địa chỉ IP, tác nhân người dùng, hàm băm của tài liệu, xác thực OTP nếu AES. Nếu thiếu một trong những yếu tố này thì giá trị bằng chứng sẽ bị giảm đi. Certyneo cung cấp quy trình kiểm tra đầy đủ ngay cả trên gói miễn phí.

Điểm 4: kiểm soát dấu thời gian

Dấu thời gian phải được cấp bởi Cơ quan quản lý dấu thời gian (TSA) tuân thủ RFC 3161. Dấu thời gian chỉ từ máy chủ NTP của công ty là không đủ. Mở tệp PDF đã ký trong Adobe Reader: tab Chữ ký → Chi tiết → Dấu thời gian. Bạn sẽ thấy chứng chỉ TSA hợp lệ và đồng hồ được chứng nhận ở đó. Nếu tệp PDF không có dấu thời gian được chứng nhận, hãy lùi lại việc lựa chọn nhà cung cấp dịch vụ.

Điểm 5: lưu trữ ít nhất 10 năm

Bộ luật Thương mại (điều L. 123-22) yêu cầu 10 năm lưu trữ đối với tài liệu thương mại. Bộ luật Lao động quy định thời hạn 5 năm đối với hợp đồng lao động sau khi chấm dứt hợp đồng. Việc lưu trữ phải bảo toàn tính toàn vẹn (băm, niêm phong) và quyền truy cập. Lý tưởng: Định dạng PDF/A (ISO 19005), lưu trữ kép (sao lưu chính + ngoại vi), két an toàn điện tử đủ tiêu chuẩn (CFE) để có bằng chứng tối đa. Certyneo lưu trữ 10 năm theo mặc định và cung cấp xuất khẩu cho các đối tác CFE.

Điểm 6: kiểm tra nội địa hóa dữ liệu

Dữ liệu chữ ký của bạn được lưu trữ ở đâu? Đối với một doanh nghiệp vừa và nhỏ của Pháp xử lý các hợp đồng nhạy cảm, hãy chọn dịch vụ lưu trữ tại Pháp hoặc EU. Hãy hỏi nhà cung cấp dịch vụ của bạn để biết danh sách các nhà thầu phụ và địa điểm của họ (điều 28 GDPR). Tránh các giải pháp tuân theo Đạo luật đám mây Hoa Kỳ đối với các hợp đồng chiến lược. Certyneo được lưu trữ tại Pháp, không phụ thuộc vào Đạo luật đám mây. Xem bài viết của chúng tôi trên /blog/cloud-act-signature-electronique.

Điểm 7: khớp với GDPR

Chữ ký và GDPR có mối liên hệ chặt chẽ với nhau: mỗi phong bì chứa dữ liệu cá nhân (tên, email, IP, số điện thoại). Đảm bảo rằng sổ đăng ký xử lý của bạn (điều 30 GDPR) bao gồm chữ ký điện tử, thời gian lưu giữ nhất quán (10 năm) và các quyền của cá nhân có thể được thực hiện (quyền truy cập, cải chính, tính di động). Nếu bạn đang yêu cầu nhiều chữ ký thì nên sử dụng DPO. Xem bài viết của chúng tôi /blog/signature-electronique-rgpd.

Điểm 8: xác định những người ký ở thượng nguồn

Đối với AES vững chắc, việc nhận dạng không bắt đầu bằng việc ký: nó bắt đầu bằng việc thu thập dữ liệu. Kiểm tra email (không có bí danh, không danh sách gửi thư), số điện thoại (không có đường dây dùng chung) và theo dõi nguồn nhận dạng (ID cho các hợp đồng lớn, KYC của khách hàng hiện tại cho các hợp đồng đang diễn ra). Sự thẩm định này làm cho bằng chứng vững chắc trong trường hợp có tranh chấp.

Điểm 9: huấn luyện các đội

Đội ngũ bán hàng, nhân sự và pháp lý của bạn phải hiểu các quy tắc: không bao giờ ép buộc người ký sử dụng thiết bị của bên thứ ba, không bao giờ trả lại bản PDF đã ký đã sửa đổi, không bao giờ dán hình ảnh chữ ký được quét thay cho chữ ký thật. Một giờ huấn luyện cho mỗi đội là đủ để rèn luyện phản xạ tốt. Certyneo cung cấp hướng dẫn đầy đủ để chia sẻ nội bộ (/resources).

Điểm 10: kiểm tra hợp đồng của các nhà cung cấp dịch vụ

CGU/CGV của nhà cung cấp dịch vụ chữ ký phải: bắt đầu tuân thủ eIDAS, chỉ định thời gian lưu trữ, bao gồm thỏa thuận thầu phụ GDPR (điều 28), lập hồ sơ cho các nhà thầu phụ, cung cấp kế hoạch có thể đảo ngược trong trường hợp ngừng. Đồng thời yêu cầu SOC 2 Loại II hoặc tương đương nếu bạn xử lý khối lượng lớn. Đối với Certyneo, những tài liệu này có sẵn trên /legal và /security.

Điểm 11: chuẩn bị eIDAS 2.0 và Ví EUDI

Quy định eIDAS 2.0 (EU 2024/1183) dần có hiệu lực và yêu cầu các Quốc gia Thành viên triển khai Ví EUDI trước cuối năm 2026. Đặc biệt, ví nhận dạng kỹ thuật số này sẽ cho phép truy cập vào QES từ xa mà không cần văn phòng đăng ký thực tế. Chuẩn bị cho SME của bạn: kiểm tra xem nhà cung cấp dịch vụ của bạn có lộ trình Ví EUDI hay không, theo dõi thông tin liên lạc từ ANSSI và Ủy ban Châu Âu. Xem /blog/eidas-2-nouveau-reglement-2026.

Điểm 12: kiểm toán hàng năm

Tuân thủ không phải là một trạng thái có được: nó là một quá trình liên tục. Lên lịch kiểm tra hàng năm (nội bộ hoặc bên ngoài) để kiểm tra: những thay đổi về quy định, sự phát triển của nhà cung cấp dịch vụ, bản đồ cập nhật các loại hợp đồng, giữ chân hiệu quả, đào tạo nhân viên mới. Một cuộc kiểm toán nhẹ nhàng mất nửa ngày đối với một doanh nghiệp vừa và nhỏ và tránh được nhiều điều bất ngờ. Bắt đầu bằng cách tạo tài khoản Certyneo miễn phí tại certyneo.com/signup để kiểm tra tính tuân thủ trong thế giới thực, sau đó xem hướng dẫn eIDAS của chúng tôi để tìm hiểu sâu hơn (/guide/eidas).