Nhà cung cấp dịch vụ eIDAS được chứng thực: danh sách chính thức 2026

Tại sao trạng thái "được chứng thực" eIDAS lại quyết định cho doanh nghiệp của bạn?

Kể từ khi Quy định eIDAS (số 910/2014) có hiệu lực, thị trường ký điện tử Châu Âu đã được tái cấu trúc sâu sắc xung quanh một hệ thống ba cấp độ: ký điện tử đơn giản (SES), ký điện tử nâng cao (AES) và ký điện tử được chứng thực (QES). Loại sau là duy nhất được hưởng suy định pháp lý về tương đương với chữ ký viết tay trong tất cả các quốc gia thành viên của Liên minh Châu Âu.

Để một doanh nghiệp có thể cung cấp chữ ký được chứng thực, nó phải được kiểm tra và đăng ký trên danh sách tin cậy (Trust List) của quốc gia thành viên của mình. Ở Pháp, đó là Cơ quan An toàn Quốc gia cho Hệ thống Thông tin (ANSSI) quản lý sổ đăng ký chính thức này, được công bố lại trong danh sách Châu Âu tập trung do Ủy ban Châu Âu quản lý.

Hiểu được kiến trúc này là điều cơ bản trước khi ký bất kỳ hợp đồng thương mại nhạy cảm nào. Để tìm hiểu thêm chi tiết về cơ sở pháp lý, hướng dẫn toàn diện về Quy định eIDAS 2.0 của chúng tôi chi tiết tất cả các yêu cầu và những thay đổi được giới thiệu bởi Quy định eIDAS 2.0 được sửa đổi (Quy định EU 2024/1183).

---

Các nhà cung cấp dịch vụ tin cậy được chứng thực được chứng nhận như thế nào?

Con đường dẫn đến trạng thái Nhà Cung Cấp Dịch Vụ Tin Cậy Được Chứng Thực (PSCQ) là đòi hỏi cao. Nó liên quan đến kiểm tra được thực hiện bởi một cơ quan đánh giá sự phù hợp (CAB, Conformity Assessment Body) được công nhân, theo các tiêu chuẩn ETSI EN 319 401 (yêu cầu chung) và ETSI EN 319 411-2 dành cho chứng chỉ được chứng thực.

Các bước chứng thực ANSSI

1. Nộp hồ sơ chứng thực: nhà cung cấp gửi tài liệu kỹ thuật, bảo mật và tổ chức của mình cho ANSSI.
2. Kiểm tra bởi một CAB được công nhân: một tổ chức bên thứ ba — chẳng hạn như Bureau Veritas, LSTI hoặc Apave Certification — xác minh sự phù hợp tại chỗ và trên văn bản.
3. Quyết định chứng thực: ANSSI tuyên bố chứng thực và đăng ký nhà cung cấp trên danh sách tin cậy Pháp (TL-FR).
4. Gia hạn định kỳ: chứng thực được đánh giá lại, thường là mỗi hai năm, để đảm bảo duy trì các yêu cầu.

Kiểm tra cụ thể những gì?

Người kiểm tra xem xét đặc biệt:

• Bảo mật vật lý của các trung tâm dữ liệu chứa các khóa mật mã (mô-đun HSM được chứng nhận CC EAL 4+ hoặc FIPS 140-2 Level 3 tối thiểu);
• Các chính sách chứng thực (CP) và các tuyên bố thực hành chứng thực (CPS) được công bố bởi nhà cung cấp;
• Các quy trình xác minh danh tính của những người ký (trực tiếp hoặc xác minh danh tính từ xa phù hợp với tiêu chuẩn EN 419 241-1);
• Quản lý lấy lại và khả năng có sẵn của dịch vụ OCSP/CRL.

Những tiêu chí này giải thích tại sao chỉ một số lượng nhỏ các tác nhân đạt và duy trì mức chứng nhận này ở Pháp.

---

Các nhà cung cấp eIDAS được chứng thực được tham khảo tại Pháp năm 2026

Danh sách chính thức các nhà cung cấp được chứng thực có thể được tham khảo bất kỳ lúc nào trên cổng thông tin chính thức của Ủy ban Châu Âu (eidas.ec.europa.eu/efts), bằng cách lọc theo "France" và dịch vụ "QCertESig" (Chứng chỉ được chứng thực cho Chữ ký Điện tử). Dưới đây là các diễn viên có tên trong sổ đăng ký tại thời điểm viết bài (tháng 6 năm 2026):

Các tác nhân Pháp được đăng ký trên Trust List

| Nhà cung cấp | Loại dịch vụ được chứng thực | Đặc điểm riêng | |---|---|---| | Certigna (Dhimyotis) | Chứng chỉ được chứng thực, dấu thời gian được chứng thực | Tập đoàn La Poste, được chứng nhận eIDAS từ năm 2016 | | Certinomis | Chứng chỉ được chứng thực | Công ty con La Poste, hướng tới khu vực công | | ChamberSign France | Chứng chỉ được chứng thực | Mạng lưới CCI, neo chắc với SME/SMI | | Keynectis / DocuSign France | Chứng chỉ được chứng thực | Được DocuSign mua lại, duy trì nhãn ANSSI | | Universign (Tessi) | Chứng chỉ được chứng thực, dấu thời gian | Nhà tiên phong thị trường, tích hợp vào nhóm Tessi | | Entrust (cũ-Datacard) | Chứng chỉ được chứng thực | Tác nhân quốc tế, Trust List đa quốc gia | | Oodrive Sign | Chứng chỉ được chứng thực | Nhà phát triển phần mềm độc lập Pháp, được chứng nhận SecNumCloud |

> Cảnh báo: danh sách này được cung cấp chỉ cho mục đích tham khảo và thông tin. Chỉ Trust List chính thức của Ủy ban Châu Âu mới có giá trị pháp lý. Luôn xác minh trạng thái hiện tại trên cổng ETSI trước bất kỳ cam kết hợp đồng nào.

Các nhà cung cấp nước ngoài được công nhân tại Pháp thông qua Trust List Châu Âu

Theo nguyên tắc công nhận lẫn nhau được quy định trong bài 25 của Quy định eIDAS, chữ ký được chứng thực được phát hành bởi một PSCQ được đăng ký trên danh sách tin cậy của một quốc gia thành viên khác mang lại những hiệu ứng pháp lý giống nhau tại Pháp. Trong số các tác nhân không phải Pháp thường được sử dụng:

• Namirial (Ý): mạnh về ký điện tử được chứng thực từ xa (QES remote signing);
• SwissSign (Thụy Sĩ): cẩn thận, Thụy Sĩ không phải là thành viên EU; sự công nhân là một phần;
• Qualified.one / Asseco Data Systems (Ba Lan): tác nhân công khai Châu Âu, thường xuyên trong thị trường xuyên biên giới.

Để so sánh các giải pháp này theo nhu cầu kinh doanh của bạn, hãy tham khảo so sánh các giải pháp ký điện tử của chúng tôi phân tích các tiêu chí giá, tuân thủ và tích hợp API.

---

Cách chọn nhà cung cấp eIDAS được chứng thực phù hợp cho tổ chức của bạn?

Xuất hiện trên Trust List là điều kiện cần thiết nhưng không đủ. Lựa chọn một PSCQ phải dựa trên nhiều tiêu chí bổ sung.

Tiêu chí kỹ thuật và tích hợp

• API REST hoặc SDK khả dụng: cần thiết để tự động hóa ký trong quy trình công việc kinh doanh của bạn (ERP, SIRH, CRM);
• Định dạng ký được hỗ trợ: PAdES cho PDF, XAdES cho XML, CAdES cho tệp nhị phân — tất cả được chuẩn hóa bởi ETSI EN 319 100;
• Tính khả dụng của dịch vụ: SLA trên 99,9% được đảm bảo theo hợp đồng, với các cửa sổ bảo trì dự kiến ngoài giờ làm việc;
• Lưu trữ dữ liệu: ưu tiên lưu trữ tại Pháp hoặc trong EU, lý tưởng nhất được chứng nhận SecNumCloud cho dữ liệu nhạy cảm.

Tiêu chí pháp lý và tuân thủ

• Xác minh rằng nhà cung cấp cung cấp báo cáo chứng thực cập nhật (dưới 24 tháng);
• Yêu cầu chính sách chứng thực được công bố (CP) có thể truy cập công khai và được kiểm tra;
• Đảm bảo rằng các điều khoản chung thường rõ ràng quy định việc phát hành chứng chỉ được chứng thực trong ý nghĩa của Phụ lục I của Quy định eIDAS.

Tiêu chí vận hành và hỗ trợ

• Quy trình đăng ký những người ký: trực tiếp tại chi nhánh, nhận dạng video phù hợp eIDAS hoặc NFC từ tài liệu nhận dạng điện tử;
• Hỗ trợ bằng tiếng Pháp với các thời hạn phản hồi theo hợp đồng;
• Đào tạo và tài liệu có sẵn cho các đội pháp lý và CNTT của bạn.

Nếu tổ chức của bạn xử lý các quy trình tài liệu HR quan trọng, trang chuyên dụng của chúng tôi về ký điện tử cho các đội HR chi tiết các trường hợp sử dụng cụ thể (hợp đồng lao động, sửa đổi, onboarding) và các cấp độ ký được khuyến nghị theo loại tài liệu.

---

eIDAS 2.0: những thay đổi nào cho các nhà cung cấp được chứng thực vào năm 2026?

Quy định eIDAS 2.0 (Quy định EU 2024/1183, bắt đầu áp dụng từng phần kể từ tháng 5 năm 2024) giới thiệu nhiều tiến hóa cấu trúc ảnh hưởng trực tiếp đến PSCQ và các khách hàng của chúng.

Ví dụ về Danh tính Kỹ thuật số Châu Âu (EUDI Wallet)

Bài 6a của Quy định sửa đổi yêu cầu các quốc gia thành viên cung cấp, trước tháng 9 năm 2026, một ví da nhận dạng kỹ thuật số (EUDI Wallet) được công nhận trên toàn bộ EU. Đối với các nhà cung cấp được chứng thực, điều này có nghĩa là:

• Bắt buộc chấp nhận các thuộc tính nhận dạng từ ví làm bằng chứng nhận dạng cho việc đăng ký những người ký;
• Sự xuất hiện của một dịch vụ được chứng thực mới: phát hành các chứng thực thuộc tính được chứng thực (Qualified Electronic Attestation of Attributes, QEAA).

Dịch vụ được chứng thực mới và mở rộng phạm vi

eIDAS 2.0 mở rộng danh sách các dịch vụ tin cậy được chứng thực để bao gồm:

• Dịch vụ lưu trữ điện tử được chứng thực (QPDS, bài 45f);
• Dịch vụ quản lý thiết bị tạo chữ ký từ xa (QRCD).

Những tiến hóa này đại diện cho cả một ràng buộc tuân thủ (thời hạn chặt cho các nhà cung cấp hiện tại) và một cơ hội khác biệt hóa cho những người vào thị trường mới có khả năng tích hợp nhanh chóng các thông số kỹ thuật được công bố bởi ENISA và ETSI.

Đối với các doanh nghiệp đang xem xét di chuyển từ một nền tảng hiện tại sang một giải pháp tuân thủ hơn, hướng dẫn di chuyển từ DocuSign hoặc YouSign sang Certyneo của chúng tôi trình bày các bước cụ thể và các điểm cảnh báo quy định.

Khung pháp lý áp dụng cho các nhà cung cấp eIDAS được chứng thực

Quy định eIDAS và luật pháp Châu Âu

Nền tảng pháp lý là Quy định (EU) số 910/2014 của Nghị viện Châu Âu và Hội đồng ngày 23 tháng 7 năm 2014 về nhận dạng điện tử và các dịch vụ tin cậy cho các giao dịch điện tử trong thị trường nội bộ (gọi là "Quy định eIDAS"), như được sửa đổi bởi Quy định (EU) 2024/1183 (eIDAS 2.0). Quy định này trực tiếp áp dụng tại tất cả các quốc gia thành viên mà không cần chuyển đổi quốc gia.

Các điều khoản chính của nó đối với các nhà cung cấp được chứng thực:

• Bài 17: bắt buộc mỗi quốc gia thành viên chỉ định một cơ quan giám sát (tại Pháp là ANSSI);
• Bài 20: thủ tục giám sát, kiểm tra và đăng ký trên danh sách tin cậy;
• Bài 25: suy định tương đương giữa QES và chữ ký viết tay, có hiệu lực pháp lý được đảm bảo trên toàn bộ EU;
• Phụ lục I: yêu cầu liên quan đến chứng chỉ được chứng thực cho ký điện tử;
• Phụ lục II: yêu cầu liên quan đến thiết bị tạo chữ ký được chứng thực (QSCD).

Luật pháp Pháp

Trong luật nội bộ, ký điện tử được quản lý bởi:

• Bộ luật Dân sự, bài 1366 và 1367: bài 1366 công nhân giá trị bằng chứng của tài liệu điện tử với điều kiện đảm bảo danh tính của tác giả và tính toàn vẹn của tài liệu. Bài 1367 làm rõ rằng ký điện tử bao gồm một quy trình xác định danh tính đáng tin cậy được hưởng suy định về độ tin cậy khi được tạo phù hợp với sắc lệnh ứng dụng;
• Sắc lệnh số 2017-1416 của ngày 28 tháng 9 năm 2017: xác định các điều kiện mà trong đó ký điện tử được chứng thực được suy định là đáng tin cậy tại Pháp, bằng cách tham khảo rõ ràng đến Quy định eIDAS;
• Sắc lệnh số 2005-674 của ngày 16 tháng 6 năm 2005 liên quan đến thực hiện các hình thức hợp đồng nhất định bằng phương tiện điện tử.

Bảo vệ dữ liệu cá nhân

Các quy trình đăng ký và ký liên quan đến xử lý dữ liệu cá nhân (dữ liệu nhận dạng, sinh trắc học cho xác minh danh tính video). Nhà cung cấp được chứng thực bị ràng buộc bởi Quy định (EU) 2016/679 (GDPR) và đặc biệt phải:

• Chỉ định một DPO nếu xử lý quy mô lớn;
• Tài liệu các hình thức xử lý trong sổ đăng ký CNIL;
• Kiểm soát các chuyển giao bên ngoài EU bằng các bảo vệ thích hợp (các điều khoản hợp đồng loại tiêu chuẩn, quyết định về tính đầy đủ).

An ninh mạng và khả năng phục hồi

Kể từ tháng 10 năm 2024, Chỉ thị NIS2 (2022/2555/EU) áp dụng cho các nhà cung cấp dịch vụ tin cậy được chứng thực, được phân loại là các thực thể cần thiết. Họ phải thực hiện các biện pháp quản lý rủi ro an ninh mạng, thông báo các sự cố đáng kể cho ANSSI trong vòng 24 giờ, và tuân theo các kiểm tra thường xuyên. Không tuân thủ tiếp xúc với tiền phạt có thể đạt 10 triệu euro hoặc 2% doanh thu toàn cầu hàng năm.

Tiêu chuẩn kỹ thuật tham khảo

• ETSI EN 319 401: yêu cầu chung cho các nhà cung cấp dịch vụ tin cậy;
• ETSI EN 319 411-2: hồ sơ chính sách cho chứng chỉ được chứng thực;
• ETSI EN 319 132: định dạng chữ ký XAdES;
• ETSI EN 319 122: định dạng chữ ký CAdES;
• ETSI EN 319 162: định dạng chữ ký PAdES (PDF).

Kịch bản sử dụng: khi nào ký điện tử được chứng thực eIDAS là bắt buộc?

Kịch bản 1 — Một công ty luật xử lý các hành động theo thỏa thuận kỹ thuật có giá trị bằng chứng cao

Một công ty luật kinh doanh với khoảng hai mươi cộng tác viên xử lý hàng tháng khoảng ba mươi chuyển nhượng phần sở hữu xã hội, thỏa thuận giao hòa và các hợp đồng bảo đảm tài sản và nợ (GAP). Những hành động này liên quan đến các khoản tiền thường trên 100.000 euro và có khả năng bị tranh chấp trước tòa án.

Trước khi chuyển sang một nhà cung cấp eIDAS được chứng thực, công ty luật sử dụng giải pháp ký nâng cao (AES), đủ cho hầu hết các hành động thông thường. Sau một sự cố khi bên đối phương tranh chấp tính xác thực của chữ ký trong một tranh chấp, công ty luật đã lựa chọn QES cho tất cả các hành động có ý nghĩa cao. Kết quả: giảm 90% thời gian dành cho việc chứng minh chữ ký trong các thủ tục tố tụng, nhờ suy định pháp lý không thể phản bác được gắn với QES. Chi phí bổ sung từng đơn vị (khoảng 2 đến 5 euro tùy theo khối lượng) đã được hấp thụ hoàn toàn bởi giảm chi phí tranh chấp.

Kịch bản 2 — Một công ty công nghiệp ETI quản lý các hợp đồng nhà cung cấp xuyên biên giới

Một công ty kích thước trung bình (ETI) của ngành thiết bị công nghiệp, với các nhà cung cấp tại Pháp, Đức, Ý và Ba Lan, trước đây phải gửi các hợp đồng khung của nó bằng thư hoặc tổ chức các cuộc gặp mặt để ký, tạo ra các thời gian chờ 10 đến 21 ngày làm việc cho mỗi hợp đồng.

Bằng cách triển khai giải pháp được kết nối với một PSCQ Châu Âu được đăng ký trên Trust List, công ty đã giảm chu kỳ ký xuống dưới 48 giờ trung bình. Sự công nhân lẫn nhau giữa các quốc gia thành viên đảm bảo giá trị pháp lý mà không cần hợp pháp hóa bổ sung. Trên danh mục 350 hợp đồng nhà cung cấp hàng năm, lợi ích ước tính trong chi phí hành chính và hậu cần vượt quá 40.000 euro mỗi năm, theo các phạm vi tương ứng với các nghiên cứu ngành được công bố bởi ACFE và APQC.

Kịch bản 3 — Một tập đoàn bệnh viện chịu sự ràng buộc của yêu cầu khu vực y tế

Một tập đoàn bệnh viện khoảng 1.200 giường phải ký điện tử các hợp đồng công khai, các hợp đồng nghiên cứu lâm sàng và các hợp đồng bác sĩ bệnh viện. Các tài liệu này phải tuân theo Bộ luật Công khai, yêu cầu ký điện tử phù hợp với RGS (Khuôn khổ Bảo mật Chung) cấp ** hoặc, kể từ khi công khai hóa thị trường công khai, ở mức độ tương đương eIDAS.

Bằng cách dựa vào một PSCQ được đăng ký trên Trust List Pháp, tập đoàn đảm bảo tuân thủ bài R. 2132-7 của Bộ luật Công khai trong khi giảm thời gian ký của các hợp đồng từ 15 ngày xuống dưới 72 giờ. Tích hợp API với hệ thống thông tin bệnh viện (SIH) cho phép tự động hóa việc gửi và theo dõi tài liệu, giải phóng khoảng 0,4 FTE cho các tác vụ hành chính liên quan đến hợp đồng.

Kết luận

Chọn một nhà cung cấp eIDAS được chứng thực không phải là một khoản mua phần mềm đơn giản: đó là một quyết định chiến lược mà liên quan đến giá trị bằng chứng của các hành động của bạn, sự tuân thủ quy định của tổ chức của bạn và sự tin tưởng của các đối tác thương mại và tổ chức của bạn. Vào năm 2026, với việc áp dụng dần dần eIDAS 2.0 và các yêu cầu NIS2 mới, mức độ yêu cầu chỉ tăng lên.

Các điểm cần nhớ: luôn xác minh sự đăng ký trên Trust List chính thức, yêu cầu chính sách chứng thực được công bố, và thích ứng mức độ ký (QES, AES, SES) với ý nghĩa pháp lý của mỗi tài liệu.

Certyneo giúp bạn trong quá trình này bằng cách cung cấp cho bạn quyền truy cập vào chứng chỉ được chứng thực thông qua các PSCQ được tham khảo, API tích hợp mạnh mẽ và hỗ trợ pháp lý chuyên dụng. Sẵn sàng để chuyển sang ký được chứng thực? Yêu cầu bản trình diễn hoặc tạo tài khoản của bạn trên Certyneo và đưa tổ chức của bạn vào tuân thủ ngay hôm nay.