Нещодавно набули чинності положення Закону України «Про електронні довірчі послуги», які припиняють дію електронних цифрових підписів (ЕЦП) і замінюють їх на кваліфіковані електронні підписи (на захищеному носії). Що це означає для бізнесу? На ці та інші найпоширеніші питання використання цифрових підписів, які хвилюють підприємців, відповіли доповідачі онлайн-форуму “Бізнес без паперу”.
Учасники дискусії про використання цифрових ключів:
Юрій Стасів, керуючий партнер сервісу Deposit Sign,
Юрій Козлов, заступник генерального директора з технічних питань державного підприємства "Дія"
Олег Матвєєв, помічник генерального директора “Інституту інформаційних технологій”
Антон Скоков, керівник сервісу цифрових рішень для бізнесу “Вчасно”
Які електронні підписи бувають?
У вигляді файлу, який зберігається на комп'ютері чи звичайних флешках, тощо
Підписи, які зберігаються на захищених носіях - токени або хмарні сервіси
Підписи, які зберігаються на SIM-карті мобільного телефона - Mobile ID
Файлові підписи можна копіювати і зберігати у будь-якому місці, а токени, хмарні сховища і Mobile ID не підлягають копіюванню, тому є більш надійними. Токен потрібно під'єднати до комп'ютера та зчитати, а при використанні Mobile ID - ввести номер телефону та персональний пін-код, створений при підключенні послуги Mobile ID. До ключа в хмарному сховищі у власника є доступ з будь-якого пристрою з виходом в інтернет.
Що відбулося 7 листопада 2020 року?
Завершився перехідний період Закону України “Про електронні довірчі послуги”, який почав діяти 7 листопада 2018 року. До його прийняття працював закон “Про електронний цифровий підпис”, відповідно до якого Акредитовані центри сертифікації ключів (АЦСК) видавали своїм користувача ЕЦП (електронний цифровий підпис).
Закон про електронні довірчі послуги, зокрема, запровадив поняття “Кваліфікований електронний підпис” (КЕП). Це більш захищений варіант ключа
Відповідно, всі центри, які видають ключі - кваліфіковані надавачі електронних довірчих послуг - повинні були перейти на нові стандарти і почати випуск та підтримку КЕП замість ЕЦП. Перехідний період тривав два роки. Таким чином, з 7 листопада цього року поняття ЕЦП скасовано.
Проте ще на етапі набуття чинності законом “Про довірчі електронні послуги” нормативно було встановлено, що всі сертифікати (документ, виданий центром сертифікації ключів, який засвідчує чинність і належність ключа підписувачу), випущені після 7 листопада 2018 року, прирівнюються до кваліфікованих, тому вони лишаються кваліфікованими і на сьогодні. Заміна сертифікатів має відбуватися планово, в залежності від закінчення їхнього строку дії.
При цьому електронні підписи можуть бути як файловим ключем, так і ключем на захищеному носії.
Чи треба змінювати ключі?
Не треба. Комерційні компанії можуть до кінця 2021 року використовувати ключі на незахищених носіях, які були отримані раніше та мають дійсний сертифікат на сьогодні. Перевірити свій сертифікат можна, завантаживши підписаний документ на сайті Центрального засвідчувального органу за цим посиланням.
Згідно з вимогами Закону «Про електронні довірчі послуги» з 7 листопада 2020 року зберігати КЕП на захищених носіях особистих ключів (токенах) зобов'язані:
представники органів державної влади;
представники органів місцевого самоврядування;
працівники державних установ, підприємств, організацій;
нотаріуси;
державні реєстратори та суб'єкти, що виконують їхні обов'язки згідно з уповноваженням держави.
Де зберігати ключі?
Звичайно, що при використанні захищених носіїв підвищується безпека даних та довіра до електронних підписів. Такими носіями можуть виступати хмарні сервіси, а також SIM-карти з технологією Mobile ID.
Компанії та приватні підприємці можуть самі вирішувати, чи застосовувати захищені носії для зберігання сертифікатів підпису з огляду на те, як це впливає на безпеку з одного боку і на швидкість та сталість внутрішніх процесів з іншого. Якщо, наприклад, ключ вам потрібний лише для роботи в локальних системах електронного документообігу, то можна використовувати Mobile ID, флешку або хмарний сервіс, коли багато співробітників. А якщо в будь-яких системах, в тому числі державних, то краще хмару або токени (захищена флешка).
Також варто використовувати захищені носії для підписання критично важливих документів. Це мінімізує шанси визнання їх недійсними в разі можливих судових суперечок.
Вибір рішення ще залежить від обсягу документообігу. Якщо потрібно лише декілька разів на рік щось підписати, то достатньо Mobile ID, а якщо тисячі документів на день, то без хмарних сервісів буде вже важко.
Як компанії управляти великою кількістю ключів?
Якщо компанія має понад 100 співробітників, то краще скористатися послугами провайдерів хмарних сховищ. Що робити, якщо працівник звільнився або у відпустці? Ключ на флешці або токен у такому випадку неможливо контролювати. А хмарні сервіси дають можливість бачити всі транзакції, які відбуваються з підписами, і забороняти доступ до ключа в залежності від того, де і коли знаходиться співробітник. Це і посилює контроль, і підвищує рівень безпеки інформації.
Компанія може самостійно сертифікувати своїх працівників - стати представником одного з кваліфікованих надавачів електронних довірчих послуг. Або замовити у них послугу виїзної генерації ключів.
Як фізичній особі підписати електронний документ
По-перше, можна отримати електронний підпис у будь-якого кваліфікованого надавача електронних довірчих послуг та використовувати його.
По-друге, Міністерство цифрової трансформації та ДП “Дія” планують запустити проект “Смарт-Дія”, який дозволить миттєво отримувати сертифікати кваліфікованого електронного підпису для підписання електронних документів. Наприклад, при отриманні товару від кур'єра. Рішення інтегрують у додаток “Дія”. Ця можливість буде безкоштовною для фізичних осіб.