Ký SOW điện tử: Giá trị pháp lý eIDAS 2026

Tại sao chữ ký điện tử là cần thiết cho các SOW của bạn

Một Statement of Work (SOW) không chỉ là một lộ trình dự án đơn giản: đó là một tài liệu hợp đồng chịu trách nhiệm về tất cả các bên, xác định các sản phẩm, thời hạn và điều kiện thanh toán. Tuy nhiên, trong thực tế B2B, nhiều công ty vẫn tiếp tục thu thập chữ ký qua email, thông qua các tệp PDF được chú thích thủ công hoặc còn tệ hơn, thông qua trao đổi thư đơn giản. Phương pháp này có những lỗ hổng pháp lý lớn, đặc biệt là kể từ khi Quy định eIDAS (910/2014) có hiệu lực và được sửa đổi theo eIDAS 2.0. Hiểu cách ký điện tử các SOW của bạn với giá trị pháp lý được công nhận ngày nay là một nhu cầu vận hành và pháp lý cho bất kỳ tổ chức B2B nào.

Những rủi ro là rất lớn: trong trường hợp có tranh chấp, một SOW được ký bằng chữ ký điện tử nâng cao (SEA) có giá trị bằng chứng pháp lý tương đương chữ ký viết tay trong tất cả các quốc gia thành viên của Liên minh Châu Âu. Ngược lại, một tài liệu được ký bằng trao đổi thư hoặc thông qua một hệ thống không được chứng thực có thể bị phản đối dễ dàng trước tòa án.

Các mức chữ ký eIDAS áp dụng cho SOW

Chữ ký điện tử đơn giản (SES): Đủ hay rủi ro?

Chữ ký điện tử đơn giản đại diện cho mức thấp nhất trong phổ eIDAS. Nó bao gồm một dữ liệu được liên kết với một tài liệu mà không có bảo đảm mạnh mẽ về danh tính. Đối với các SOW có giá trị thấp hoặc các mối quan hệ thương mại được thiết lập lâu dài với lịch sử hợp đồng vững chắc, SES có thể có vẻ thực tế. Tuy nhiên, nó cung cấp rất ít bảo vệ trong trường hợp bị phản đối: gánh nặng chứng minh nằm hoàn toàn trên bên gọi tên tài liệu.

Đối với phần lớn các SOW B2B - thường phát sinh hàng chục hoặc hàng trăm nghìn euro - SES là không đủ. Nó không cung cấp giả định tin cậy được yêu cầu bởi điều 25 của Quy định eIDAS.

Chữ ký điện tử nâng cao (SEA): Tiêu chuẩn được khuyến nghị cho SOW B2B

Chữ ký điện tử nâng cao (SEA) là mức trung gian eIDAS. Nó phải được liên kết với người ký theo cách duy nhất, cho phép xác định người ký, được tạo bằng dữ liệu tạo dưới sự kiểm soát riêng của người ký, và cho phép phát hiện bất kỳ sửa đổi nào sau này của tài liệu được ký.

Đối với các SOW B2B thông thường, SEA tạo thành mức độ phù hợp. Nó dựa trên cơ sở hạ tầng danh tính mạnh mẽ (xác thực hai yếu tố, xác minh địa chỉ email chuyên nghiệp, dấu thời gian đủ điều kiện) và tạo ra audit trail hoàn chỉnh. Audit trail này, được lưu giữ ở định dạng PDF tuân thủ tiêu chuẩn ETSI EN 319 132, có thể được sử dụng trước tòa án và tạo thành bằng chứng tính toàn vẹn của tài liệu.

Certyneo thực hiện SEA tuân thủ các tiêu chuẩn ETSI, cho phép tự động tạo tệp PDF/A được cải thiện với chứng chỉ hoàn thành bao gồm: danh tính đã xác minh của những người ký, dấu thời gian chính xác của mỗi hành động, địa chỉ IP, siêu dữ liệu xác thực và hash mật mã của tài liệu gốc.

Chữ ký điện tử đủ điều kiện (SEQ): Cho các cam kết quan trọng

Chữ ký điện tử nâng cao đạt đến mức bảo đảm cao nhất theo eIDAS. Nó yêu cầu sử dụng thiết bị tạo chữ ký đủ điều kiện (QSCD) và chứng chỉ được cấp bởi nhà cung cấp dịch vụ tin cậy đủ điều kiện (QTSP) được ghi danh trên danh sách tin cậy Châu Âu (Trust List eIDAS).

Nếu SOW của bạn liên quan đến hợp đồng công khai, quan hệ đối tác chiến lược nhiều năm hoặc cam kết vượt quá hàng trăm nghìn euro, SEQ cung cấp mức bảo vệ tối đa. Trong thực tế, đối với chữ ký điện tử trong doanh nghiệp B2B tiêu chuẩn, chữ ký điện tử nâng cao trong doanh nghiệp bao gồm phần lớn nhu cầu.

Quản lý nhiều người ký trong quy trình làm việc SOW

Xác định thứ tự và vai trò ký

Một SOW thường liên quan đến một số người ký phía khách hàng và phía nhà cung cấp: giám đốc dự án, trưởng bộ phận mua hàng, giám đốc tài chính và đôi khi là nhà lãnh đạo. Quản lý các luồng ký nhiều người là một trong những vấn đề phức tạp nhất khi ký SOW điện tử.

Một nền tảng ký điện tử B2B thích hợp cho phép định cấu hình các quy trình làm việc tuần tự (mỗi người ký chỉ nhận được tài liệu sau khi người trước ký) hoặc song song (tất cả những người ký nhận được tài liệu cùng lúc). Bạn cũng có thể xác định các phái sinh ký, các nhắc nhở tự động và các thời hạn hết hạn.

Certyneo cung cấp chức năng quy trình làm việc trực quan cho phép kéo và thả những người ký theo thứ tự mong muốn, gán các trường ký trên PDF và định cấu hình các thông báo ở mỗi bước. Mỗi hành động được ghi lại trong audit trail được dấu thời gian và chứng thực.

Khả năng tương tác và ký xuyên biên giới

Một trong những lợi thế lớn nhất của Quy định eIDAS là phạm vi toàn châu Âu của nó. Chữ ký điện tử nâng cao hoặc đủ điều kiện được phát hành tại Pháp được công nhận ở Đức, Hà Lan, Tây Ban Nha hoặc Ba Lan mà không cần thủ tục bổ sung. Điều này đặc biệt quan trọng đối với các công ty quản lý các SOW với các đối tác hoặc chi nhánh quốc tế.

So sánh các giải pháp ký điện tử có sẵn trên Certyneo chi tiết hóa sự khác biệt về phạm vi địa lý và mức eIDAS theo các nhà cung cấp dịch vụ trên thị trường.

Tích hợp với stack tài liệu hiện có của bạn

Ký điện tử SOW không nên là một silo độc lập. Các thực hành tốt nhất 2026 khuyến nghị tích hợp gốc với CRM của bạn (Salesforce, HubSpot), ERP của bạn (SAP, Sage) hoặc công cụ quản lý dự án của bạn. Các API REST hiện đại cho phép tự động kích hoạt quy trình làm việc ký ngay khi SOW được hoàn tất trong công cụ nguồn, mà không cần nhập lại thủ công.

Certyneo tích hợp thông qua API và webhooks với các môi trường này, và cho phép sử dụng bộ tạo hợp đồng dựa trên AI để tạo ra các SOW được cấu trúc sẵn sàng ký trong vài phút.

Audit trail PDF: Xương sống của bằng chứng pháp lý của bạn

Audit trail đủ điều kiện là gì?

Audit trail - hoặc piste d'audit - là nhật ký thời gian tuyến tính và không thể giả mạo của tất cả các hành động được thực hiện trên tài liệu từ khi tạo cho đến khi ký cuối cùng. Để nó có thể sử dụng được pháp lý theo eIDAS, nó phải tích hợp một số yếu tố: dấu thời gian đủ điều kiện (tuân thủ tiêu chuẩn ETSI EN 319 421), định danh đã xác minh của những người ký, SHA-256 hoặc cao hơn hash của tài liệu được ký và khả năng theo dõi tất cả các quyền truy cập.

Một audit trail không đủ điều kiện, ví dụ như một nhật ký máy chủ đơn giản mà không có dấu thời gian được chứng thực, có giá trị bằng chứng hạn chế. Các tòa án Pháp, trong ứng dụng của điều 1366 của Bộ luật Dân sự, kiểm tra chính xác độ tin cậy của quy trình xác định danh tính và bảo đảm tính toàn vẹn của tài liệu.

Bảo tồn và lưu trữ các SOW được ký

Bảo tồn các SOW được ký đặt ra một câu hỏi thường bị bỏ qua: thời hạn pháp lý và các định dạng được chấp nhận. Trong lĩnh vực thương mại, điều L.110-4 của Bộ luật Thương mại dự thảo một thời gian quy định năm năm cho các nghĩa vụ phát sinh giữa các thương gia. Do đó, nên bảo tồn các SOW được ký điện tử và các audit trail của chúng ít nhất mười năm, có tính đến khả năng tranh chấp muộn.

Định dạng PDF/A-3 (tiêu chuẩn ISO 19005-3) là tiêu chuẩn được khuyến nghị cho lưu trữ dài hạn các tài liệu được ký, vì nó bảo đảm tính toàn vẹn của siêu dữ liệu được nhúng (chứng chỉ, dấu thời gian) trong suốt thời gian bảo tồn. Certyneo tự động tạo các xuất PDF/A tuân thủ tiêu chuẩn này cho mỗi SOW được ký.

Phải làm gì trong trường hợp bị phản đối?

Nếu một người ký sau đó phản đối việc ký một SOW, audit trail đủ điều kiện tạo thành lini phòng thủ đầu tiên của bạn. Cần phải chứng minh: (1) rằng danh tính của người ký đã được xác minh tại thời điểm ký, (2) rằng tài liệu không được sửa đổi sau khi ký, và (3) rằng chữ ký được đặt tự do và tự nguyện.

Các giải pháp ký điện tử tuân thủ eIDAS tích hợp các cơ chế này bằng thiết kế. Tuy nhiên, nên bảo tồn các email thông báo gửi và xác nhận đọc, giúp bổ sung hữu ích vào hồ sơ bằng chứng. Để tìm hiểu thêm về giá trị bằng chứng, hướng dẫn hoàn chỉnh về ký điện tử của Certyneo chi tiết hóa các phán lệ gần đây về vấn đề này.

Khung pháp lý áp dụng cho ký điện tử của SOW

Quy định eIDAS n°910/2014 và eIDAS 2.0

Quy định Châu Âu eIDAS (Electronic Identification, Authentication and Trust Services) n°910/2014 tạo thành nền tảng quy phạm của chữ ký điện tử trong Liên minh Châu Âu. Áp dụng trực tiếp ở tất cả các quốc gia thành viên mà không cần chuyển bản quốc gia, nó định nghĩa ba mức chữ ký (đơn giản, nâng cao, đủ điều kiện) và đặt ra nguyên tắc không phân biệt: không có hiệu lực pháp lý nào có thể bị từ chối một chữ ký điện tử chỉ vì lý do hình thức điện tử (điều 25, §1).

Sửa đổi eIDAS 2.0, có hiệu lực dần dần kể từ 2024, tăng cường yêu cầu về ví danh tính kỹ thuật số (EUDIW) và mở rộng công nhận danh tính kỹ thuật số chủ quyền. Đối với các SOW B2B được ký vào năm 2026, các công ty phải đảm bảo rằng nhà cung cấp ký của họ được ghi danh trên Danh sách Tin cậy chính thức của ENISA.

Bộ luật Dân sự Pháp: Điều 1366 và 1367

Theo luật Pháp, điều 1366 của Bộ luật Dân sự quy định rằng "tài liệu điện tử có cùng giá trị chứng minh như tài liệu trên giấy, với điều kiện là người phát hành có thể được xác định đúng cách và nó được thiết lập và lưu giữ trong những điều kiện có tính chất bảo đảm tính toàn vẹn của nó". Điều 1367 làm rõ rằng "chữ ký cần thiết cho sự hoàn hảo của hành động pháp lý xác định tác giả của nó. Nó thể hiện sự đồng ý của nó với các nghĩa vụ phát sinh từ hành động này".

Hai điều khoản này tạo thành nền tảng của giá trị bằng chứng của các SOW được ký điện tử. Chúng ngụ ý rằng hệ thống ký được sử dụng phải bảo đảm cả xác định người ký và tính toàn vẹn của tài liệu - hai điều kiện được đáp ứng bởi các giải pháp tuân thủ eIDAS ở mức nâng cao hoặc đủ điều kiện.

RGPD n°2016/679: Bảo vệ dữ liệu của những người ký

Việc thu thập và xử lý dữ liệu xác định danh tính của những người ký trong bối cảnh ký điện tử tạo thành một xử lý dữ liệu cá nhân phải tuân thủ RGPD. Các công ty phải thông báo cho những người ký biết cách sử dụng dữ liệu của họ (điều 13), chỉ định một người chịu trách nhiệm xử lý và đảm bảo rằng dữ liệu được lưu giữ tuân thủ các thời hạn pháp lý về quy định thời hiệu. Các nhà cung cấp ký lưu trữ dữ liệu bên ngoài EU phải chứng minh các bảo đảm thích hợp (các khoản quy định hợp đồng chuẩn, quyết định tính đủ tiêu chuẩn).

Tiêu chuẩn ETSI áp dụng

Các tiêu chuẩn kỹ thuật ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 142 (PAdES) định nghĩa các định dạng ký điện tử nâng cao và đủ điều kiện cho các tài liệu XML, CMS và PDF tương ứng. Định dạng PAdES-LT hoặc PAdES-LTA được khuyến nghị cho các SOW trong PDF vì nó nhúng các bằng chứng xác thực dài hạn trực tiếp trong tệp, bảo đảm khả năng xác minh của tài liệu ngay cả sau khi hết hạn chứng chỉ của người ký.

Trường hợp sử dụng: Ký điện tử các SOW trong B2B

Trường hợp 1 — ESN quản lý hàng trăm SOW hàng năm

Một công ty dịch vụ số (ESN) khoảng 250 nhân viên quản lý trung bình 350 SOW mỗi năm với các khách hàng lớn. Trước khi triển khai giải pháp ký điện tử tuân thủ eIDAS, quy trình ký bao gồm in SOW, gửi qua bưu điện hoặc di chuyển vật lý của nhân viên bán hàng, sau đó quét tài liệu được ký. Khoảng thời gian trung bình giữa gửi SOW và nhận được chữ ký đạt đến 8 đến 12 ngày làm việc, trì hoãn bắt đầu dự án và hóa đơn.

Sau khi triển khai một nền tảng ký điện tử nâng cao với quy trình làm việc ký nhiều người, thời gian ký đã giảm xuống dưới 24 giờ trong 78% các trường hợp. Tạo tự động audit trail PDF/A ở định dạng ETSI PAdES-LTA đã cho phép giải quyết hai tranh chấp hợp đồng nhỏ bằng cách cung cấp bằng chứng không thể chối cãi về ngày và danh tính của những người ký. Lợi ích vận hành ước tính đại diện cho khoảng 1 200 giờ làm việc hành chính mỗi năm.

Trường hợp 2 — Tập đoàn công nghiệp có chi nhánh Châu Âu

Một tập đoàn công nghiệp quy mô trung bình (ETI) hoạt động ở Pháp, Đức và Hà Lan tạo ra các SOW với các nhà thầu phụ địa phương ở mỗi quốc gia. Vấn đề chính là quản lý các chữ ký xuyên biên giới: các nhà thầu phụ Đức và Hà Lan đòi hỏi các định dạng chữ ký được công nhận trong tài phán của họ.

Nhờ Quy định eIDAS, bảo đảm công nhận lẫn nhau các chữ ký điện tử nâng cao giữa các quốc gia thành viên, tập đoàn đã có thể tiêu chuẩn hóa quy trình ký của mình trên một nền tảng duy nhất. 4 đến 6 người ký liên quan đến mỗi SOW (giám đốc kỹ thuật, giám đốc mua hàng, giám đốc tài chính phía khách hàng và phía nhà cung cấp) hưởng lợi từ một quy trình làm việc tuần tự được định cấu hình trước, với các nhắc nhở tự động tại J+2 và J+5. Tỷ lệ các SOW được ký trong 72 giờ đã tăng từ 34% lên 89%, giảm đáng kể các thời hạn bắt đầu sản xuất.

Trường hợp 3 — Công ty tư vấn quản lý chiến lược quản lý các cam kết nhạy cảm

Một công ty tư vấn chiến lược khoảng hai mươi cố vấn cấp cao ký các SOW có giá trị đơn vị từ 80 000 đến 500 000 euro. Đối với những số tiền này, ban lãnh đạo đã chọn chọn chữ ký điện tử nâng cao (SEQ) thay vì nâng cao, để hưởng lợi từ giả định pháp lý tối đa được cung cấp bởi điều 25(2) của Quy định eIDAS.

Công ty cũng đã định cấu hình một khoản lưu trữ có hệ thống: mỗi SOW được ký được tự động lưu trữ ở định dạng PDF/A-3 trong một ứng dụng bảo mật điện tử được chứng thực NF 461 (tiêu chuẩn AFNOR cho lưu trữ điện tử có giá trị bằng chứng), với thời gian bảo tồn 10 năm. Cách tiếp cận này đã cho phép giải quyết một mâu thuẫn khách hàng liên quan đến phạm vi của các sản phẩm được xác định trong một SOW được ký 3 năm trước, bằng cách tạo ra một tài liệu có tính toàn vẹn không thể chối cãi về mặt kỹ thuật.

Kết luận

Ký một Statement of Work điện tử với giá trị pháp lý đầy đủ theo eIDAS không còn là một tùy chọn dành riêng cho các công ty lớn: đó là một nhu cầu cho bất kỳ tổ chức B2B nào muốn bảo mật các cam kết hợp đồng của mình, tăng tốc các chu kỳ bán hàng và bảo vệ bản thân chống lại các tranh chấp. Sự kết hợp của chữ ký điện tử nâng cao hoặc đủ điều kiện, quy trình làm việc ký nhiều người có cấu trúc và audit trail PDF/A tuân thủ các tiêu chuẩn ETSI tạo thành tiêu chuẩn de facto vào năm 2026.

Certyneo cung cấp cho bạn một giải pháp ký điện tử B2B hoàn chỉnh, tuân thủ eIDAS, với quản lý nhiều người ký, tạo audit trail được chứng thực tự động và tích hợp API vào stack hiện có của bạn. Cho dù bạn ký 50 hay 5 000 SOW mỗi năm, nền tảng của chúng tôi thích ứng với nhu cầu của bạn.

Sẵn sàng để bảo mật các SOW của bạn? Bắt đầu bản dùng thử miễn phí của bạn trên Certyneo hoặc liên hệ với đội ngũ của chúng tôi để có bản trình diễn cá nhân về các quy trình làm việc ký điện tử B2B của chúng tôi.