Nein, nur für den Betrieb der Signaturanwendung. Es ist keine Zertifizierung und keine Prüfung erforderlich. Im Rahmen einer «Konfigurations- und Abnahmeerklärung» gibt der Kunde eine Selbsterklärung ab, die Signaturanwendung ordnungsgemäss zu betreiben, d. h. den Hash eines Dokuments nicht auszutauschen und dem Kunden das zu signierende Dokument anzuzeigen (WYSIWYS = "What you see is what you sign"). Der Datenverkehr zwischen der Signaturanwendung und Swisscom sollte verschlüsselt sein, und der notwendige Schutz vor Viren und Angriffen sollte wie bei jedem anderen System gewährleistet sein. Ein offizielles Audit mit Zertifizierung kann nur dann notwendig sein, wenn das System über eine Identifikation, insbesondere eine Authentifizierungsmethode, verfügt. In der Schweiz kann die Identifizierung mit Swisscom-Authentifizierungsmethoden durch ein geeignetes, vom Kunden eingereichtes und von Swisscom genehmigtes «Implementierungskonzept» vereinfacht werden; in der EU ist in der Regel ein offizielles Audit erforderlich. In der Regel muss eine Authentifizierungsmethode immer zertifiziert werden, da dies die «alleinige Kontrolle» über das Signierzertifikat gewährleisten soll (im ETSI-Kontext «sole control» genannt).