跳至主要內容
Certyneo

合格 eIDAS 服務提供者:2026年官方名單

並非所有合格 eIDAS 電子簽名服務提供者都是平等的。瞭解如何識別、比較和選擇最適合您企業的安全解決方案。

Équipe éditoriale Certyneo3 分鐘閱讀

Équipe éditoriale Certyneo

撰稿人 — Certyneo · 關於 Certyneo

為什麼「合格」eIDAS 地位對您的企業至關重要?

自 eIDAS 規則(第 910/2014 號)生效以來,歐洲電子簽名市場已深刻圍繞三層級結構重組:簡單電子簽名(SES)、高級電子簽名(AES)和合格電子簽名(QES)。最後一種簽名是唯一享有在整個歐盟成員國與手寫簽名法律等同性推定的簽名。

為了讓企業能夠提供合格簽名,必須經過審計並註冊在其成員國的信任名單(Trust List)上。在法國,這是由國家信息系統安全局(ANSSI)維護的官方登記冊,隨後由歐盟委員會管理的中央歐洲名單重新發佈。

在簽署任何敏感商業合同前,理解這一架構至關重要。如需瞭解更多監管基礎知識,我們的eIDAS 2.0 規則完整指南詳細說明了經過修訂的 eIDAS 2.0 規則(歐盟規則 2024/1183)引入的所有義務和演變。

---

合格信任服務提供者如何認證?

達到合格信任服務提供者(PSCQ)地位的道路要求嚴格。它涉及由認可的符合性評估機構(CAB)進行的審計,遵循 ETSI EN 319 401(一般要求)和 ETSI EN 319 411-2(合格證書)的標準。

ANSSI 合格階段

  1. 提交合格申請文件:服務提供者向 ANSSI 提交其技術、安全和組織文檔。
  2. 由認可 CAB 進行審計:第三方機構(如 Bureau Veritas、LSTI 或 Apave Certification)驗證現場和文件符合性。
  3. 合格決定:ANSSI 做出合格決定並將服務提供者登記在法國信任名單(TL-FR)上。
  4. 定期更新:通常每兩年重新評估一次合格,以確保滿足要求。

審計具體驗證什麼?

審計員尤其檢查:

  • 託管加密密鑰的數據中心的物理安全(認證 CC EAL 4+ 或 FIPS 140-2 第 3 級最低的 HSM 模塊);
  • 服務提供者發佈的認證政策(CP)認證實踐聲明(CPS)
  • 簽署人身份驗證的程序(面對面或符合 EN 419 241-1 標準的遠程身份驗證);
  • 撤銷管理和 OCSP/CRL 服務的可用性。

這些標準解釋了為什麼只有極少數參與者在法國達到並維持這一認證水平。

---

2026年法國登記的合格 eIDAS 服務提供者

官方合格服務提供者名單可隨時在歐盟委員會官方門戶網站(eidas.ec.europa.eu/efts)查閱,按「法國」和服務「QCertESig」(合格電子簽名證書)篩選。以下是本文撰寫時(2026年6月)登記冊中的參與者:

登記在信任名單上的法國參與者

| 服務提供者 | 合格服務類型 | 特點 | |---|---|---| | Certigna (Dhimyotis) | 合格證書、合格時間戳 | 法國郵政集團,自2016年通過 eIDAS 認證 | | Certinomis | 合格證書 | 法國郵政子公司,面向公共部門 | | ChamberSign France | 合格證書 | 商會網絡,強烈的中小企業/微型企業立足 | | Keynectis / DocuSign France | 合格證書 | 被 DocuSign 收購,保持 ANSSI 標籤 | | Universign (Tessi) | 合格證書、時間戳 | 市場先驅,併入 Tessi 集團 | | Entrust (ex-Datacard) | 合格證書 | 國際參與者,多成員國信任名單 | | Oodrive Sign | 合格證書 | 法國主權編輯,獲得 SecNumCloud 認證 |

> 警告:本名單僅供參考和信息之用。只有歐盟委員會官方信任名單才有效力。在任何合約承諾前,始終驗證 ETSI 門戶網站上的當前狀態。

通過歐洲信任名單在法國認可的外國服務提供者

根據 eIDAS 規則第 25 條規定的相互承認原則,由另一成員國信任名單上登記的 PSCQ 簽發的合格簽名在法國產生相同的法律效果。常用的非法國參與者包括:

  • Namirial(意大利):在遠程合格簽名(QES 遠程簽名)方面表現強勁;
  • SwissSign(瑞士):注意,瑞士不是歐盟成員國;承認是部分的;
  • Qualified.one / Asseco Data Systems(波蘭):歐洲公共參與者,跨境市場常見。

要根據您的業務需求比較這些解決方案,請查閱我們的電子簽名解決方案比較,該文章分析了價格、合規性和 API 集成標準。

---

如何為您的組織選擇合適的合格 eIDAS 服務提供者?

登記在信任名單上是必要條件,但不充分。PSCQ 的選擇應基於幾個補充標準。

技術和集成標準

  • REST API 或 SDK 可用:對於在您的業務工作流(ERP、HRIS、CRM)中自動化簽名至關重要;
  • 支持的簽名格式:PAdES 用於 PDF、XAdES 用於 XML、CAdES 用於二進制文件——所有格式均由 ETSI EN 319 100 標準化;
  • 服務可用性:合同保證 99.9% 以上的 SLA,維護窗口在工作時間外;
  • 數據託管:優先選擇法國或歐盟託管,最好通過 SecNumCloud 認證以處理敏感數據。

法律和合規標準

  • 驗證服務提供者提供最新合格報告(少於 24 個月);
  • 要求已發佈認證政策(CP)可公開訪問且經過審計;
  • 確保服務條款明確規定按照 eIDAS 規則附件 I 的含義提供合格證書。

操作和支持標準

  • 簽署人登記程序:機構面對面、符合 eIDAS 的視頻認證或從電子身份證件 NFC;
  • 法語支持及合同約定的回應時間;
  • 培訓和文檔可供您的法律和 IT 團隊使用。

如果您的組織管理重要的人力資源文檔流,我們的人力資源團隊電子簽名專頁詳細說明了具體的使用案例(勞動合同、修訂、上線)和按文檔類型推薦的簽名級別。

---

eIDAS 2.0:2026年對合格服務提供者有什麼改變?

eIDAS 2.0 規則(歐盟規則 2024/1183,自 2024 年 5 月開始逐步適用)引入了幾項直接影響 PSCQ 及其客戶的結構性演變。

歐洲數字身份錢包(EUDI Wallet)

修訂規則的第 6a 條要求各成員國在 2026 年 9 月前提供整個歐盟認可的數字身份錢包(EUDI Wallet)。對於合格服務提供者,這意味著:

  • 接受來自錢包的身份屬性的義務,作為簽署人登記的身份證明;
  • 新合格服務的出現:合格電子屬性證明的發佈(QEAA)。

新的合格服務和範圍擴展

eIDAS 2.0 擴展合格信任服務列表,包括:

  • 合格電子檔案保管服務(QPDS,第 45f 條);
  • 遠程簽名創建設備管理服務(QRCD)。

這些演變對現有服務提供者構成了合規挑戰(快速截止日期),也代表了能夠迅速集成 ENISA 和 ETSI 發佈的技術規範的新進入者的差異化機會。

對於考慮從現有平台遷移到更符合規定的解決方案的企業,我們的從 DocuSign 或 YouSign 遷移到 Certyneo 的指南展示了具體步驟和監管注意事項。

適用於合格 eIDAS 服務提供者的法律框架

eIDAS 規則和歐洲法律

法律基礎是2014年7月23日歐洲議會和理事會第(EU) 910/2014號關於電子識別和市場內電子交易信任服務的規則(稱為「eIDAS 規則」),經第(EU) 2024/1183號規則修訂(eIDAS 2.0)。本規則在所有成員國直接適用,無需國家轉換。

對於合格服務提供者的關鍵規定:

  • 第 17 條:每個成員國指定監督機構的義務(在法國為 ANSSI);
  • 第 20 條:監督、審計和信任名單登記程序;
  • 第 25 條:QES 與手寫簽名之間的等同性推定,在整個歐盟保證法律效果;
  • 附件 I:合格電子簽名證書的要求;
  • 附件 II:合格簽名創建設備(QSCD)的要求。

法國法律

在國內法律上,電子簽名受以下管制:

  • 民法第 1366 和 1367 條:第 1366 條承認電子書面的證明價值,條件是保證作者身份和文件完整性。第 1367 條澄清了由可靠身份識別程序組成的電子簽名,當按照實施法令創建時享有可靠性推定;
  • 2017 年 9 月 28 日第 2017-1416 號法令:定義在法國合格電子簽名被推定為可靠的條件,明確參考 eIDAS 規則;
  • 2005 年 6 月 16 日第 2005-674 號令關於通過電子方式完成某些合同形式。

個人數據保護

登記和簽名流程涉及個人數據的處理(身份數據、視頻認證生物識別)。合格服務提供者受第(EU) 2016/679 規則(GDPR)約束,特別是必須:

  • 如果處理大規模進行,指定數據保護官;
  • 在 CNIL 登記中記錄處理;
  • 通過適當的保障措施(標準合同條款、充分性決定)規範歐盟外轉移。

網絡安全和復原力

自 2024 年 10 月起,NIS2 指令(2022/2555/EU)適用於合格信任服務提供者,被列為必要實體。他們必須實施網絡風險管理措施,在 24 小時內向 ANSSI 通知重大事件,並接受定期審計。不遵守可能導致罰款達 1000 萬歐元或全球年營業額 2% 的罰款。

技術參考標準

  • ETSI EN 319 401:信任服務提供者的一般要求;
  • ETSI EN 319 411-2:合格證書政策概要;
  • ETSI EN 319 132:XAdES 簽名格式;
  • ETSI EN 319 122:CAdES 簽名格式;
  • ETSI EN 319 162:PAdES 簽名格式(PDF)。

使用場景:何時必須採用合格 eIDAS 簽名?

場景 1 — 管理高證明力私署行為的律師事務所

一家擁有約 20 名協作律師的企業法律事務所每月處理數十份社會股份轉讓、協議議定書和資產負債表保證協議(GAP)。這些行為涉及的款項通常超過幾十萬歐元,在訴訟中可能受到質疑。

在遷移到合格 eIDAS 服務提供者之前,該事務所使用高級簽名解決方案(AES),這對大多數常規行為就足夠了。在一個事故中,對方在訴訟中質疑簽名的真實性後,該事務所決定對所有高風險行為採用 QES。結果:在訴訟程序中花費時間提供簽名證據減少了 90%,這得益於附加到 QES 的不可推翻的法律推定。單位成本的增加(根據交易量,每個簽名約 2 至 5 歐元)完全被訴訟費用的下降所抵消。

場景 2 — 管理跨境供應商合同的中型企業

一家工業設備部門規模中等的企業(ETI),供應商遍佈法國、德國、意大利和波蘭,之前必須通過郵寄方式發送其主要合同或組織面對面簽署會議,每份合同造成 10 至 21 個工作日的延遲。

通過部署與登記在信任名單上的歐洲 PSCQ 連接的解決方案,該企業將平均簽署周期縮短到不到 48 小時。成員國之間的相互承認保證了法律價值,無需額外的合法化。在年度 350 份供應商合同的投資組合中,根據 ACFE 和 APQC 發佈的行業研究中的一致預期,估計行政和物流成本節省超過 40,000 歐元/年。

場景 3 — 接受醫療部門要求的醫院集團

一個約 1,200 張床位的醫院集團必須以電子方式簽署公開招標、臨床研究協議和醫院醫生合同。這些文件受《公開招標法典》約束,要求電子簽名符合 RGS(一般安全參考)第 ** 級或自公開招標數字化以來,相當於 eIDAS 級別。

通過依賴登記在法國信任名單上的 PSCQ,該集團保證符合《公開招標法典》第 R. 2132-7 條,同時將招標簽署延遲從 15 天減少到不到 72 小時。與醫院信息系統(SIH)的 API 集成允許自動化文檔發送和追蹤,解放了約 0.4 FTE 用於與合同相關的行政任務。

結論

選擇合格 eIDAS 服務提供者不僅是簡單的軟件採購:這是一項戰略決定,涉及您行為的證明價值、組織的監管合規性和商業及機構合作伙伴的信任。在 2026 年,隨著 eIDAS 2.0 逐步生效和新的 NIS2 義務,要求水平只會上升。

必須記住的要點:始終驗證官方信任名單上的登記、要求已發佈的認證政策,並根據每份文件的法律風險調整簽名級別(QES、AES、SES)。

Certyneo 通過為您提供通過參考 PSCQ 的合格證書、強健的 API 集成和專職法律支持來幫助您完成此過程。準備好轉向合格簽名了嗎?請求演示或在 Certyneo 上創建帳户,並立即使您的組織保持合規。

免費試用 Certyneo

只需不到 5 分鐘,即可寄出您的第一個簽名信封。每月 5 個免費信封,無需信用卡。

免費開始使用查看價格方案
所有文章

深入探討主題

我們的完整指南,協助您掌握電子簽章。

推薦文章

透過這些相關主題的文章,深化您的理解。

電子印章 eIDAS:組織的關鍵角色

電子印章 eIDAS 常與簽名混淆,但它實際上滿足不同且對企業具有戰略意義的用途。完整解密。

8 min

電子簽名:2026年可衡量的投資回報率和成本節省

電子簽名降低營運成本並加速您的合同周期。了解如何計算您的投資回報率以及從2026年開始可以實現的實際成本節省。

8 min

電子簽名與 ISO 27001 標準:2026年指南

ISO 27001 標準已成為企業電子簽名流程安全的必要參考框架。了解核心要求、與 eIDAS 的協同作用以及應採納的最佳實踐。

8 min