На что равняться: европейский регламент электронной идентификации eIDAS
С 1 июля 2016 года в странах Евросоюза начал работать регламент eIDAS (electronic IDentification, Authentication and trust Services) об электронной идентификации и доверенных услугах. Он выступил в силу после принятия Положения (EU) N°910/2014 и отмены Директивы об электронных подписях (eSignature Directive) от 1999 года. Регламент устанавливает общий стандарт для электронных подписей, электронных печатей, меток времени, услуг eDelivery и сертификатов аутентификации веб-сайтов.
Обязательное взаимное признание электронных идентификаторов странами Евросоюза действует с 29 сентября 2018 года.
Казалось бы, регламент является внутренним делом ЕС, но в реальности с ним сталкиваются и иностранные контрагенты, кто имеет дело с европейскими организациями. Не только юрлица, даже студенты, поступающие в европейские университеты, регистрируют и подписывают документы по нормативам eIDAS. Стандарт относится и к деятельности удостоверяющих центров.
Соответствие eIDAS важно для любого физического или юридического лица, которое работает в Евросоюзе, используя электронные подписи для удостоверения личности и электронных транзакций.
Интерактивная карта поставщиков доверенных услуг в странах Евросоюза (Trust Service Providers). GlobalSign прошёл аттестацию в Бельгии и стал одним из первых глобальных центров, который выдаёт квалифицированные сертификаты по нормам eIDAS
Хотя в каждой стране свои стандарты идентификации и ЭЦП, но eIDAS — это набор «лучших практик», который гарантирует совместимость ЭЦП на европейском уровне, потому что все публичные организации Евросоюза обязаны признавать квалифицированные ЭЦП из других стран. В перспективе есть вероятность, что eIDAS расширит своё действие и за пределы ЕС.
Что такое eIDAS
Общеевропейские ЭЦП должны иметь единую логическую структуру данных. Токен должен уметь работать с Едиными площадками взаимодействия между организациями ЕС (EU Single Points of Contact), которые проводят онлайновые деловые операции между странами союза. То есть документы, которые предоставили в одну из точек взаимодействия, будут приняты и обработаны надлежащим образом. Например, таким образом гражданин одной страны ЕС может сдать налоговую декларацию или оформить прочие документы в любой другой стране ЕС, подписав их своим токеном eID.
Статья 22 регламента eIDAS обязывает государства-члены публиковать информацию, относящуюся к квалифицированным поставщикам доверенных услуг (QTSP), за которую они несут ответственность, вместе с информацией, относящейся к квалифицированным доверенным услугам, предоставляемым ими. Эта информация публикуется в так называемых «доверенных списках», и комиссия, осуществляющая решение (ЕС) 2015/1505, определяет технические характеристики этих доверенных списков.
Основные изменения в законодательстве об электронных подписях после принятия eIDAS:
Усиленные и квалифицированные подписи
elDAS определяет 3 типа электронных подписей:
В сооветствии с eIDAS решение Еврокомиссии 2015/1506 определяет минимальные форматы усиленных электронных подписей и усиленных печатей, которые могут признаваться государственными органами для обеспечения трансграничной совместимости онлайн-услуг.
Однако закон eIDAS не позволяет признать квалифицированными подписи, которые считаются квалифицированными по российскому законодательству. Он «содержит ряд дополнительных требований, соответствие которым позволяет признать электронную подпись квалифицированной (и которые не предусмотрены российским законодательством, написанным на основе ранней версии Евродирективы). Например, обязательно использование высокозащищённого устройства для создания подписи. С точки зрения европейского права, российские квалифицированные подписи расцениваются именно как усиленные электронные подписи на основе квалифицированного сертификата».
Внедрив требования eIDAS и пройдя проверку на соответствие, поставщики услуг доверия могут получить статус квалифицированных поставщиков (QTSP) и войти в Доверенный список ЕС. В октябре 2018 года компания GlobalSign стала одним из первых глобальных центров сертификации, который получил статус квалифицированного поставщика. Аккредитация выдана бельгийским надзорным органом (FPS Economy) 11 октября.
Согласно определению из статьи 3 закона eIDAS, «доверенная услуга» обозначает электронную услугу, обычно предоставляемую за оплату и включающую:
Квалифицированные сертификаты для электронных подписей и печатей будут доступны для частных лиц и организаций через развёртывание системы на основе токенов GlobalSign. В соответствии с требованиями eIDAS, квалифицированный сертификат хранится на квалифицированном устройстве создания подписи (токен).
Статус QTSP — самый высокий уровень гарантии подписей. Квалифицированный поставщик (QTSP) может предоставить квалифицированные сертификаты для электронных подписей и печатей. Они имеют такую же юридическую силу, как и собственноручные подписи, и предполагают целостность и происхождение документа. Как отмечалось выше, эти квалифицированные сертификаты обязаны признавать и принимать во всех государствах-членах ЕС.
Благодаря принятию eIDAS электронный документооборот постепенно становится стандартом в Евросоюзе. Ожидается, что уже к 2020 году ЭЦП обгонят обычные подписи в качестве основного средства подписи документов в ЕС.
Electronic signature что это
Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.
Как получить
Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:
Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.
После завершения всех действий нужно сохранить файл.
Приложение КриптоПро CSP
Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.
Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.
Где можно применять
Недостатки
Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.
Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.
Неквалифицированная электронная подпись
Неквалифицированная электронная подпись (НЭП) — чаще всего это ключ, хранящийся на USB-носителе. Иногда НЭП может создать программа, в которой работаете (только она и опознает эту подпись). Функционал такой подписи тоже частично ограничен, но, по сравнению с ПЭП, она обладает рядом преимуществ.
Как получить
Юридические лица и ИП могут оформить неквалифицированную подпись в удостоверяющих центрах или даже сделать её самостоятельно при помощи опытного программиста.
Где можно применять
Для аккредитации и участия в торгах на электронных площадках с помощью неквалифицированной подписи поставщик может создавать заявки и осуществлять сделки при наличии дополнительного соглашения между сторонами. Однако НЭП позволяет совершать не все типы операций.
Недостатки
НЭП подходит скорее физлицам. Юридическим лицам и ИП неквалифицированная электронная подпись подойдёт только при внушительном объёме внутреннего или внешнего документооборота, в других ситуациях её функционала может быть недостаточно.
Квалифицированная электронная подпись
Наиболее совершенный вид электронной подписи — усиленная квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных криптографических средств, который записывается на USB-носитель.
Ключ электронной подписи указан в сертификате, который выдаёт удостоверяющий центр, аккредитованный в Минкомсвязи.
КЭП состоит из двух частей:
КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные будут защищены даже когда срок действия ключа истечёт.
Как получить
Для подачи заявления в аккредитованный удостоверяющий центр придётся собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.
Для работы с квалифицированной подписью потребуются:
Где можно применять
Если коротко — везде.
Недостатки
У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат электронной подписи.
Три типа электронной подписи: BES, AdES, QES. Как выбрать нужную?
Всем доброго времени суток!
В отличие от бумажных документов, существует множество различных способов подписания цифровых транзакций. Каждый тип имеет разный уровень доказательной силы и законности, свой собственный пользовательский опыт. В этой статье мы расскажем вам о различных типах электронных подписей, доступных на рынке, и о том, как вы можете выбрать правильный тип подписи для своей компании. Каждый тип подписи позволяет найти идеальный баланс между безопасностью и удобством использования.
Типы электронных подписей
Во-первых, давайте взглянем на различные существующие типы подписей. Это различие основано на Положении об электронной идентификации, аутентификации и доверительных услугах (англ.: electronic Identification And trust Services, eIDAS), созданном ещё в 2016 году. Этот регламент устанавливает правовую структуру для электронной идентификации, подписей, печатей и документов на всей территории ЕС. В России правовое регулирование осуществляется на основе Федерального закона №63-ФЗ «Об электронной подписи». Но мы будем рассматривать классификацию на основе eIDAS.
eIDAS также классифицирует уровень гарантии для различных типов. Этот уровень определяется множеством факторов, которые приведены в таблице ниже. На основании предоставляемых гарантий eIDAS распознает три типа:
Простая электронная подпись (англ.: Simple or Basic electronic signature, BES);
Расширенная электронная или цифровая подпись (англ.: Advanced electronic or digital signature, AdES);
Квалифицированная расширенная электронная или цифровая подпись (англ.: Qualified advanced electronic or digital signature, QES).
В чём разница между цифровой и электронной подписью?
Как вы можете видеть выше, существует разница между цифровой и электронной подписью, хотя многие используют эти два термина как синонимы. Разница в основном связана с технологиями.
Цифровая подпись всегда основана на криптографической технологии. Это означает, что содержимое документа всегда будет заблокировано и защищено при размещении цифровой подписи, у вас всегда есть гарантия, что содержимое документа больше не может быть изменено после подписания. Это не обязательно верно для электронной подписи. Например, электронной подписью может быть изображение нарисованной от руки подписи, которое вставлено в документ Word.
Собственно, термин электронная подпись — это собирательное существительное. Следовательно, цифровая подпись может быть электронной подписью, но электронная подпись не всегда является цифровой подписью. Пример: студент — это человек, но человек необязательно является студентом.
4 ключевых признака для выбора правильного типа
Теперь давайте посмотрим, как определить уровень уверенности для электронной подписи. Чтобы упростить задачу, вы можете задать себе эти 4 ключевых вопроса:
Подлинность (англ.: Authenticity):
Требуется ли в подписи однозначная ссылка на подписавшего?
Авторство (англ.: Identity):
Хотим ли мы быть абсолютно уверены в том, что можем идентифицировать подписавшего?
Целостность (англ.: Integrity):
Хотим ли мы обнаружить какие-либо изменения в документе после подписи?
Аутентификация (англ.: Authentication):
Хотим ли мы быть на 100% уверены в том, что подпись создается под исключительным контролем подписавшего?
Если на все четыре вопроса вы дали ответ «определенно, да», то вам потребуется высочайший уровень уверенности — QES. Если ответ «желательно» по всем четырем параметрам, то вы можете выбрать AdES. Если ставки не так высоки, или есть другие обстоятельства идентификации, или вам просто нужно, например, подтверждение прочтения лицензионного соглашения, то самым простым решением будет BES.
Некоторые примеры электронной подписи
Вы, скорее всего, можете подумать: «Я хочу быть уверенным во всех случаях». Конечно, в этом есть смысл, но давайте рассмотрим несколько примеров, чтобы лучше понять, какой тип безопасности вам нужен.
Отправка рукописной подписи, факт прочтения лицензионного соглашения и вход в личный кабинет по имени и паролю — для всего это подходит BES.
Но когда дело доходит до ипотеки или сделки на большую сумму, то вы должны убедиться, что лицо, подписавшее соглашение, имеет законные полномочия и является тем, кем он себя называет. В транзакциях face-to-face или в среде аутентифицированного клиента все еще может применяться BES. Однако рекомендуется использовать как AdES, так и QES, когда эти транзакции происходят онлайн. Всё зависит от обстоятельств всего процесса.
Подробная информация о различных типах электронных подписей
В таблице ниже вы можете найти подробную информацию о типах подписи.
AdES
Все электронные типы подписей, подтверждающие принятие или одобрение подписывающей стороны какого-либо соглашения.
Эта подпись должна соответствовать особым требованиям, обеспечивающим более высокий уровень проверки личности подписывающего лица, безопасности и защиты от несанкционированного доступа.
Усовершенствованная электронная подпись с цифровым сертификатом, зашифрованным с помощью безопасного (квалифицированного) устройства подписи.
Имеет особый правовой статус в ЕС.
Проверка личности подписавшего не обязательна.
Личность подписавшего проверяется, но не гарантируется.
100% возможность идентификации подписавшего. Необходима первоначальная личная проверка подписавшего или другой эквивалентный процесс.
Не обязательно, чтобы подпись была связана с подписавшим.
Подпись однозначно связана с подписавшим.
Подпись уникально связана с подписавшим.
Не обязательно, чтобы подпись была создана под исключительным контролем подписывающего.
Подпись создана под исключительным контролем подписавшего. Многофакторная аутентификация по желанию.
Подпись создана под исключительным контролем подписывающей стороны. Требуется многофакторная аутентификация.
Требуется устройство для создания защищённой подписи (SSCD).
Требуется квалифицированное устройство для создания подписи (QSCD), Квалифицированный поставщик доверительных услуг (QTSP).
Бремя доказывания лежит на стороне, которая инициировала подпись.
Бремя доказывания лежит на стороне, инициировавшей подпись.
Бремя доказывания лежит на стороне, оспаривающей подпись.
Как электронная цифровая подпись ускоряет работу компании
Электронный документооборот, сдача отчетов через интернет и тендеры невозможны без электронной цифровой подписи. Рассказываем про виды ЭП, какие есть плюсы и недостатки, а также правила безопасного использования.
Что такое электронная подпись?
Это аналог подписи человека. Цифровые данные помогают идентифицировать владельца и подтвердить, что именно он подписал документы. Если раньше приходилось распечатывать бумаги, затем подписывать вручную, сканировать или отправлять почтой, то теперь это делается в электронном формате.
Предприниматели используют электронную подпись для значимых бизнес-процессов:
В России действует федеральный закон № 63-ФЗ «Об электронной подписи», который регулирует применение ЭП.
Виды электронных подписей
Простая электронная подпись. Это обычный набор данных: код с логином и паролем. То есть подтверждения по Email, SMS, USSD — примеры этой подписи. Ее можно сделать самостоятельно, используя специальное программное обеспечение, правда юридической значимости у простой ЭП нет. Она не подойдет для участия в тендерах или отправки отчетов в налоговую. Обычно простую подпись используют для заверения внутренних процессов компании, в банковских операциях или на Госуслугах.
Усиленная неквалифицированная электронная подпись (НЭП). Для создания используют программы криптошифрования. НЭП подтверждает личность владельца и показывает, что в документ не внесли изменения после подписания. Подпись можно сделать самостоятельно с помощью программиста или заказать в Удостоверяющем центре (по цене от 1000 рублей). НЭП хранят на USB-флешке с паролем, который доступен только владельцу. Подходит для обмена документами с контрагентами. Но перед этим участники ЭДО заключают соглашение, что НЭП имеет юридическую значимость.
«Электронные цифровые подписи бывают облачные и на электронных носителях. Я рекомендую использовать защищенные электронные носители, например, рутокен. Рутокен самый распространенный носитель. Кроме защищенности, он еще прост в настройке и работе на компьютере. Необходимо скачать и установить «панель управление рутокен» (это драйвер), без нее ваш компьютер просто не увидит КЭП»
Усиленная квалифицированная подпись дает больше возможностей и автоматом придает юридическую силу. Поэтому опытные предприниматели советуют выбирать КЭП. Перед тем как обратиться в удостоверяющий центр — проверьте аккредитацию на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ.
Вениамин Бакалинский, генеральный директор Бюро переводов iTrex:
«Электронная цифровая подпись – это очень просто и удобно, никаких сложностей не было. Единственное, что могло у нас вызвать затруднения, — установка ПО и драйверов для работы ЭЦП, но эту работу берет на себя удостоверяющий центр. Сотрудник техподдержки удаленно подключился к одному из наших компьютеров, установил и настроил ПО. Все работы по настройке заняли максимум 20 минут»
Плюсы электронной подписи
Процессы становятся быстрее. Предприниматели подписывают акты или договоры, а контрагент сразу их получает. Значит, поставки и продажи совершаются быстрее.
Вениамин Бакалинский рассказывает про свой опыт использования ЭП:
«Сейчас около 70% всех наших клиентов обмениваются с нами организационными и отчетными документами в электронном виде. Особенно это помогает с новыми клиентами: раньше обмен подписанными договорами, выставление первых счетов, оформление первых ТЗ занимало много времени и иногда было серьезным поводом для беспокойства менеджеров на стороне клиента. Если менеджеру нужно было оперативно запустить проект в работу, и мы со своей стороны готовы были приступить немедленно, но юристы клиента требовали сначала полностью оформить все документы и обменяться оригиналами. Это логично, но очень мешает в ситуации, когда даже несколько часов влияют на выполнение работы в срок.
С переходом на ЭЦП такие ситуации перестали возникать. Также есть некоторая экономия за счет расходов на курьеров и печать документов»
Удобно работать с контролирующими органами. Не надо ехать в ФНС, чтобы сдать отчеты или декларации. Все данные отправляют из офиса или дома в любое время суток.
Минусы использования электронной подписи
Затраты на оформление и установку. Главный минус — это затраты на оформление подписи, настройка браузера и установка ПО для работы электронной подписи. КЭП обойдется для предпринимателя в 1500-6000 рублей (зависит от политики Удостоверяющего центра).
Тимур Алексеев, коммерческий директор Сервиса электронной подписи Sign Me
«Из-за разнообразия технологий реализации электронных носителей ключей электронной подписи, не существует «универсальной» подписи, которая была бы у человека одна и для всего (ну, или максимум две: как у физического лица и как у представителя юридического лица).
В настоящий момент многие сервисы, используемые бизнесом, «заточены» только под одну определенную технологию реализации электронной подписи, а это значит, что столкнувшись с сервисом с отличающейся технологией, придется выпускать еще одну новую подпись. В результате, у активного пользователя цифровых сервисов может наплодиться большое количество разных подписей, что увеличивает риск потери контроля доступа владельца к своим ключам»
Ограниченный срок действия. Например, он часто заканчивается во время сдачи отчетов в ФНС. И если удостоверяющий центр перевыпустит КЭП за пару часов, то на стороне налоговиков ее могут подтверждать пару дней. В итоге предприниматель сдает отчет позже срока, а это приводит к штрафу.
«Срок действия КЭП ограничен (как правило, год), нужно перевыпускать подпись на генерального директора, если он сменился (актуально для ООО). Кроме этого, возможны сложности для выпуска квалифицированной подписи, если заявитель является иностранным лицом»
Скоро электронная цифровая подпись понадобится почти всем
К 2024 году правительство планирует ввести обязательную маркировку для широкого круга товаров, а со следующего года введут обязательный электронный документооборот для тех, кто уже использует маркировку. Также ЭП используют для работы с онлайн-кассами: регистрация, замена фискального накопителя, заключение договора с ОФД. Поэтому оформить цифровую подпись в ближайшее время придется большинству предпринимателей.
Юрий Спирин, сооснователь магазина «Ячей»:
«У нас магазин, и нужно обязательно использовать онлайн-кассу, а торгуем мы одеждой и обувью, которые нужно маркировать. Поэтому давно используем электронную подпись. Конечно, это дополнительные затраты, но не такие большие. С другой стороны, это удобно: обмен документами происходит быстро. А если вы хотите взаимодействовать с крупными поставщиками, то придется внедрять ЭДО, а там без ЭП не обойтись»
Могут ли подделать электронную подпись?
Когда все процессы переходят в электронный вид, появляется угроза, что мошенники взломают систему и похитят данные. Но подделать усиленную квалифицированную подпись невозможно.
Михаил Александров, Руководитель представительства удостоверяющего центра «ИжТендер» в Санкт-Петербурге:
«Подделать электронную цифровую подпись невозможно, но бывают случаи, когда подпись используют без ведома владельца. Основные способы несанкционированного использования — это кража ключа и подмена подписываемой информации. Это делают с помощью шпионских программ или через кражу PIN-кода от токена»
Еще есть некоторые правовые сложности с оформлением без личного присутствия. По закону в удостоверяющем центре должны идентифицировать заявителя и после этого выдать КЭП, но бывают исключения.
Дмитрий Соломенников, генеральный директор ООО «Туртехнологии»:
«У меня несколько ЭЦП. Да, безусловно, это удобно. Сейчас регистрация на многих сервисах, связанных с бизнесом, идет по ЭЦП. Однако технология выдачи в России заставляет задумываться о безопасности выпуска подписи. Так, при аренде кассового аппарата у Сбербанка, сотрудник Сбера выпустил электронную цифровую подпись на меня даже без моего личного визита в удостоверяющий центр, только на основании представленных сканов. Как такое может быть? Я узнал об это только постфактум»
Скорее всего, в банке идентифицировали пользователя как клиента, внутренний регламент это разрешает. Михаил Александров считает, что подобные ситуации возникают из-за недоработанного законодательства:
Правила безопасности
Чтобы защитить себя от воровства электронной цифровой подписи, нужно соблюдать несложные правила. Их сформулировала эксперт в сфере закупок Дарья Опарина:
