title: "电子签章平台资质审查指南"
cover_category: esignature
上周有一家SaaS厂商到我公司来推销电子签章平台,方案书里密密麻麻列了十几个"权威认证"。法务总监看了一眼就问我:"这些证,哪个是真的管用,哪些是凑数的?"
这是一个非常好的问题。电子签章涉及合同的法律效力,平台资质就是它的"身份证"。资质不全,签的合同可能没有法律效力。本文帮您理清哪些资质是强制必需的,哪些是重要加分的。
一、强制性资质(缺一不可)
1. 电子认证服务许可证(工信部)
这是最最核心的资质。CA机构(数字证书认证中心)必须持有工信部颁发的《电子认证服务许可证》,才能合法提供数字证书服务。
- 颁发机构:工业和信息化部
- 为什么重要:《电子签名法》第十七条明确规定,电子认证服务提供者应当取得该许可
- 怎么查:登录工信部官网→政务公开→电子认证服务许可查询
- 全国持证CA机构仅30余家,如果平台的合作CA不在名单内,立刻警觉
2. 商用密码产品认证(国密局)
我国要求电子签章必须使用国密算法(SM2/SM3/SM4),非国密算法(如RSA)在法律效力上存在风险。
- 颁发机构:国家密码管理局
- 关注点:认证范围是否覆盖了密码模块、签名服务器等核心组件
- 级别:推荐的密码模块安全等级为二级及以上
3. 信息系统安全等级保护三级(公安部)
等保三级是电子签章平台的基础安全门槛,意味着平台在物理安全、网络安全、数据安全等方面达到了国家认可的标准。
- 颁发机构:公安部
- 关键区别:等保测评报告和备案证明是两个不同东西。备案证明只是走完流程,测评报告才意味着真正通过了测评
- 注意:等保三级每年复测,要确认平台的最新测评报告在有效期内
二、重要加分资质
4. 信息安全服务资质(中国信息安全测评中心)
- 级别:一级最高,三级最低
- 加分理由:标志着平台提供方具备专业的信息安全服务和应急处置能力
5. ISO 27001信息安全管理体系认证
- 国际标准:证明平台内部信息安全管理体系完善
- 加分理由:有跨境业务或外企客户的企业尤其关注
6. 可信电子签章认证(中国电子技术标准化研究院)
- 国家推荐性标准:GB/T 38540-2020《信息安全技术 电子签章安全技术要求》
- 加分理由:证明签章技术方案符合国家标准
三、行业特定资质
金融行业
- 银保监会相关监管要求的适配证明
- 证券期货业电子签章规范适配
医疗行业
- 电子病历应用相关合规证明
政务/公共事业
- 国家电子政务外网认证
- 涉密信息系统集成资质(如果涉及保密业务)
四、资质审查四步法
第一步:列清单
把候选平台的资质清单全部拉出来,对照本文的"强制资质"和"加分资质"逐项标记。
第二步:验真伪
- 工信部CA许可:https://www.miit.gov.cn/ → 查询电子认证服务许可
- 等保备案:要求平台提供公安机关出具的《信息系统安全等级保护备案证明》
- 商密认证:要求提供《商用密码产品认证证书》原件
第三步:检查效期
很多平台展示的是几年前的老证书。有效期、年审记录、最近一次测评报告日期——都要逐一核对。
第四步:明确责任归属
在合同中明确约定:如果因为平台资质问题导致企业签署的电子合同被认定无效,平台需要承担的法律责任和经济赔偿。
五、一个排雷建议
有些平台会说"我们的CA是合作伙伴,他们持有许可证"。这可以接受——前提是:合作协议、CA资质证明、以及CA对平台签章合法性的背书文件,都需要在白纸黑字上写清楚。
记住一条铁律:资质不是越多越好,但不能少一个强制项。 强制资质缺失,不管功能多好、价格多便宜,直接淘汰。