中小企业 eIDAS 合规性：完整的 2026 年清单

欧洲 eIDAS 法规（EU n°910/2014，很快将由 eIDAS 2.0 进行修订）规范整个欧盟的电子签名。对于中小企业来说，合规不仅仅是一个需要检查的方框：它保证其合同可执行，其签名数据受到保护，并保护自己免受可能代价高昂的法律风险。以下是 2026 年清单，包含 12 个具体要点，用于检查您的中小企业是否完全符合 eIDAS。

第 1 点：选择正确的签名级别

第一反应：映射您的合同类型并关联目标级别。标准商业合同（报价、采购订单、简单的保密协议）：SES 就足够了。雇佣合同、租赁、敏感的保密协议、战略协议：最低 AES，最好带有 OTP SMS。受监管的行为（律师、公证人、高于阈值的公共合同）：强制性 QES。如果没有此映射，您将面临规模过小（拒绝合同）或规模过大（成本过高）的风险。

第 2 点：检查服务提供商的资质

您的服务提供商必须是可信服务提供商 (QTSP) 或依赖于 AES/QES 级别的 QTSP。请参阅 ANSSI 发布的信任服务列表 (eidas.ssi.gouv.fr) 和欧洲信任列表 (webgate.ec.europa.eu/tl-browser)。法国参考 QTSP：Certigna、Docaposte、Certinomis、Universign。对于通过平台（Ceryneo、Yousign 等）的 SES/AES，请检查其明确记录的 eIDAS 合规性。

第 3 点：测试审核跟踪

签署测试信封并收集审核跟踪（通常是单独的 PDF）。它必须包含：签名者的身份和电子邮件、每个步骤的时间戳（发送、打开、验证、签名）、IP 地址、用户代理、文档哈希、OTP 验证（如果是 AES）。如果缺少其中一项，证据价值就会减弱。即使是免费计划，Certyneo 也可以提供完整的审计跟踪。

第 4 点：控制时间戳

时间戳必须由符合 RFC 3161 的时间戳机构 (TSA) 颁发。仅来自公司 NTP 服务器的时间戳是不够的。在 Adob​​e Reader 中打开已签名的 PDF：签名选项卡 → 详细信息 → 时间戳。您应该在那里看到有效的 TSA 证书和经过认证的时钟。如果 PDF 没有经过认证的时间戳，请放弃选择服务提供商。

第 5 点：存档至少 10 年

《商法典》（第 L. 123-22 条）要求商业文件保存 10 年。 《劳动法》规定终止后的雇佣合同期限为 5 年。归档必须保持完整性（散列、密封）和访​​问。理想：PDF/A 格式 (ISO 19005)、双重存储（主 + 异地备份）、合格的电子保险箱 (CFE) 以提供最大程度的证据。 Certyneo 默认存档 10 年，并提供向 CFE 合作伙伴的导出。

第 6 点：检查数据本地化

您的签名数据托管在哪里？对于处理敏感合同的法国中小企业，请选择法国或欧盟托管。向您的服务提供商询问分包商列表及其位置（GDPR 第 28 条）。避免采用受美国云法案约束的战略合同解决方案。 Certyneo 托管在法国，不依赖于 Cloud Act。请参阅我们关于 /blog/cloud-act-signature-electronique 的文章。

第 7 点：与 GDPR 衔接

签名和 GDPR 紧密相连：每个信封都包含个人数据（姓名、电子邮件、IP、电话）。确保您的处理登记册（GDPR 第 30 条）包含电子签名，保留期限一致（10 年），并且个人权利可以落实（访问、更正、可移植性）。如果您请求大量签名，建议使用 DPO。请参阅我们的文章/blog/signature-electronique-rgpd。

第 8 点：识别上游签名者

对于可靠的 AES，识别不是从签名开始：它从数据收集开始。检查电子邮件（无别名、无邮件列表）、电话号码（无共享线路），并跟踪身份识别来源（重型合同的 ID、正在进行的合同的现有客户 KYC）。这种尽职调查可以在发生争议时提供可靠的证据。

第9点：训练团队

您的销售、人力资源和法律团队必须了解这些规则：切勿强迫签名者使用第三方设备，切勿返回修改后的签名 PDF，切勿粘贴扫描的签名图像来代替真实签名。每队一小时的训练足以培养良好的反应能力。 Certyneo 提供了内部共享的完整指南（/资源）。

第 10 点：检查服务提供商的合同

签名服务提供商的 CGU/CGV 必须：启动 eIDAS 合规性、指定存档期限、包含 GDPR 分包协议（第 28 条）、记录分包商、提供停止时的可逆计划。如果您处理大量产品，还需要 SOC 2 Type II 或同等产品。对于 Certyneo，这些文档可在 /legal 和 /security 上找到。

第 11 点：准备 eIDAS 2.0 和 EUDI 钱包

eIDAS 2.0 法规 (EU 2024/1183) 逐步生效，并要求成员国在 2026 年底之前部署 EUDI 钱包。该数字身份钱包将允许远程访问 QES，无需物理注册办公室。为您的中小企业做好准备：检查您的服务提供商是否有 EUDI 钱包路线图，遵循 ANSSI 和欧盟委员会的沟通。请参阅/blog/eidas-2-nouveau-reglement-2026。

第 12 点：每年审核

合规不是一种获得的状态：它是一个持续的过程。安排年度审计（内部或外部）以检查：监管变化、服务提供商的发展、合同类型的最新映射、有效保留、新员工培训。对于中小企业来说，一次简单的审核需要半天的时间，并且可以避免很多意外。首先在 certyneo.com/signup 创建一个免费的 Certyneo 帐户来测试现实世界的合规性，然后查看我们的 eIDAS 指南以进行更深入的研究 (/guide/eidas)。