Недавно вступили в силу положения Закона Украины «Об электронных доверительных услугах», которые приостанавливают действие электронных цифровых подписей (ЭЦП) и заменяют их на квалифицированные электронные подписи (на защищенном носителе). Что это означает для бизнеса? На эти и другие распространенные вопросы о цифровых подписях, волнующие предпринимателей, ответили спикеры онлайн-форума "Бизнес без бумаги».
Участники дискуссии об использовании цифровых ключей:
Юрий Стасив, управляющий партнер сервиса Deposit Sign
Юрий Козлов, заместитель генерального директора по техническим вопросам ГП "Дія"
Олег Матвеев, помощник генерального директора “Института информационных технологий”
Антон Скоков, руководитель сервиса цифровых решений для бизнеса “Вчасно”
Какие электронные подписи бывают?
В виде файла, который хранится на компьютере или обычных флешках и т.д.
Подписи, которые хранятся на защищенных носителях - токены или облачные сервисы
Подписи, которые хранятся на SIM-карте мобильного телефона - Mobile ID
Файловые подписи можно копировать и сохранять в любом месте, а токены, облачные хранилища и Mobile ID не подлежат копированию, поэтому более надежны. Токен необходимо подключить к компьютеру и считать, а Mobile ID - ввести номер телефона и персональный пин-код, созданный при подключении услуги Mobile ID. С ключом в облачном хранилище у владельца есть доступ к нему с любого устройства с выходом в интернет.
Что произошло 7 ноября 2020?
Закончился переходный период Закона Украины "Об электронных доверительных услугах", который вступил в силу 7 ноября 2018 года. До его принятия действовал закон "Об электронной цифровой подписи", согласно которому Аккредитованные центры сертификации ключей (АЦСК) выдавали своим пользователям ЭЦП (электронная цифровая подпись).
Закон об электронных доверительных услугах, в частности, ввел понятие "квалифицированной электронной подписи" (КЭП). Это более защищенный вариант ключа.
Соответственно, все центры, которые выдают ключи - квалифицированные поставщики электронных доверительных услуг - должны были перейти на новые стандарты и начать выпуск и поддержку КЭП вместо ЭЦП. Переходный период длился два года. Таким образом, с 7 ноября этого года понятие ЭЦП отменено.
Однако, еще на этапе вступления в силу закона "О доверительных электронных услугах" нормативно было установлено, что все сертификаты (документ, выданный центром сертификации ключей, который удостоверяет действие и принадлежность ключа подписанту), выпущенные после 7 ноября 2018 года, приравниваются к квалифицированным, поэтому они остаются квалифицированными и сегодня. Замена сертификатов должна происходить планово, в зависимости от окончания их срока действия.
При этом электронные подписи могут быть как файловым ключом, так и ключом на защищенном носителе.
Надо ли теперь менять ключи?
Нет, не нужно. Коммерческие компании могут до конца 2021 года использовать ключи на незащищенных носителях, которые были получены ранее и имеют действительный сертификат на сегодня. Проверить свой сертификат можно, загрузив подписанный документ на сайте Центрального удостоверяющего органа по этой ссылке.
Согласно требованиям Закона «Об электронных доверительных услугах» с 7 ноября 2020 года хранить КЭП на защищенных носителях личных ключей (токенах) обязаны только:
представители органов государственной власти;
представители органов местного самоуправления;
работники государственных учреждений, предприятий, организаций;
нотариусы;
государственные регистраторы и субъекты, выполняющие их обязанности согласно полномочию государства.
Где хранить ключи?
Безусловно, при использовании защищенных носителей повышается безопасность данных и доверие к электронным подписям. Такими носителями могут выступать облачные сервисы, а также SIM-карты с технологией Mobile ID.
Компании и частные предприниматели могут сами решать, применять ли защищенные носители для хранения сертификатов подписи, учитывая, как это влияет на безопасность, с одной стороны, и на скорость и устойчивость внутренних процессов, с другой. Если, например, ключ вам нужен только для работы в локальных системах электронного документооборота, то можно использовать Mobile ID, флешку или облачный сервис, когда много сотрудников. А если в любых системах, в том числе государственных, то лучше облако или токены (защищенная флешка).
Также стоит использовать защищенные носители для подписания критически важных документов. Это минимизирует шансы признания их недействительными в случае возможных судебных споров.
Выбор решения еще зависит от объема документооборота. Если нужно только несколько раз в год что-то подписать, то достаточно Mobile ID, а если тысячи документов в день, то без облачных сервисов будет уже сложно это сделать.
Как компании управлять большим количеством ключей?
Если у компании более 100 сотрудников, то лучше воспользоваться услугами провайдеров облачных хранилищ. Что делать, если работник уволился или в отпуске? Ключ на флешке или токен в таком случае невозможно контролировать. А облачные сервисы дают возможность видеть все транзакции, которые происходят с подписями, и запрещать доступ к ключу в зависимости от того, где и когда находится сотрудник. Это и усиливает контроль, и повышает уровень безопасности информации.
Компания может самостоятельно сертифицировать своих работников (выдавать им ключи) - стать представителем одного из квалифицированных поставщиков электронных доверительных услуг. Или заказать у них выездную генерацию ключей.
Как физическому лицу подписать электронный документ?
Во-первых, можно получить электронную подпись у любого квалифицированного поставщика электронных доверительных услуг и использовать его.
Во-вторых, Министерство цифровой трансформации и ГП "Дія" планируют запустить проект "Смарт-Дія", который позволит мгновенно получать сертификаты квалифицированной электронной подписи для подписания электронных документов. Например, при приеме заказа у курьера. Решение интегрируют в приложение "Дія". Эта возможность будет бесплатной для физических лиц.