Как подписывать электронные документы в условиях карантина на Legium.io
Как подписывать электронные документы в условиях карантина на Legium.io

Крупные и не очень компании закрывают офисы, ограничивают встречи, переводят сотрудников на удаленно работу. Первая проблема в сложившейся ситуации — коммуникация, достаточно успешно решается. Вторая проблема — подписание документов. И здесь решений не так много. Давайте разберем.

1919

Иван, есть целый ряд вопросов:
1. Понятно, что ваша подпись не Квалифицированная (КЭП). Какая же она - усиленная или простая? 
2. Если она усиленная, значит ключи ЭП хранятся у вас. Какое оборудование используется (HSM? какой?) и какие меры принимаются, чтобы вы и ваши сотрудники не имели доступа к ключам ЭП?
3. Как обеспечивается безопасность хранения документов клиентов на вашей стороне? С помощью  шифрования? Какие алгоритмы?
3. Закон 63-ФЗ об электронной подписи, ст. 6, п.2 : ""Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях .. или соглашением между участниками электронного взаимодействия". 
Между участниками взаимодействия. А не между вами и одной из сторон. И подписана она должна быть либо с помощью собственноручной подписи, либо КЭП.
Те же банки действительно активно используют простые подписи в виде смс, но перед этим вы подписываете кучу бумажных документов о том, что выражаете согласие.
4. У вас на сайте написано "После подписания документа обеими сторонами мы автоматически формируем сертификат онлайн-подписи, который вы можете распечатать." Понятия "сертификат онлайн-подписи" не существует. Вообще. Есть сертификат ключа ЭП, но он не вычисляется в результате подписания. Вы в принципе представляете как работает усиленная ЭП?
5. У вас на сайте написано: "Нейронная сеть и "живой" оператор сверяют изображения, специальный алгоритм подтверждает данные паспорта по более чем 20-ти базам данных." 
Объясните, пожалуйста, каким образом вы получили доступ к базам, где хранятся персональные данные граждан?
6. У вас на сайте: "Благодаря системе шифрования файла документа можно говорить о неквалифицированной электронной подписи." Простите, но это уже вообще ни в какие ворота не лезет. Какие алгоритмы шифрования используются? Где в 63-ФЗ написано про шифрование файлов? Вы правда считаете что зашифрованный файл - подписанный файл?
7. У вас на сайте: "Электронная подпись - настолько широкое понятие, что даже сообщения по электронной почте или в социальных сетях считаются подписанными простой электронной подписью."
ЭП - понятие очень точно сформулированное в 63-ФЗ и целом ряде актов, которые вы , боюсь, не читали.
В противном случае знали бы, что сообщения электронной почти и соцсетях по умолчанию подписанными простой ЭП не считаются. 
Как говорит нам статья 9 п.1 63-ФЗ: "1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ."
8. У вас на сайте: "В случае необходимости нужно будет распечатать необходимые документы, заверить и предоставить в налоговую." Где заверить? Заверить что? Просто распечатку без ЭП? А как насчет предоставления соглашения между контрагентами об использовании ЭП?
9. И наконец - готовы ли вы нести ответственность за финансовые потери ваших клиентов, вызванные неверным трактованием законодательства?

3

Видимо ответа не будет :)
Тогда я скажу одну вещь.
Как вы думаете, почему сертификат для квалифицированной ЭП так сложно получить? Зачем нужно лично являться с паспортом в аккредитованный удостоверяющий центр и платить деньги, использовать сертифицированные СКЗИ и пр.? Потому что государство такое вредное? Или потому что все такие глупые и не смогли сделать сервис подобный вашему?
Конечно нет :)
Всё дело в том, электронная подпись штука хоть и удобная, но очень опасная. Знающий ключи ЭП может подписывать документы от имени их владельца. Поэтому так важно соблюсти все процедуры.
Помните как совсем недавно крик стоял по поводу кражи квартиры с помощью ЭП? И это была "правильная" ЭП, выданная аккредитованным УЦ. В результате поменяли закон, ужесточили требования к УЦ.
А вы считаете, что сложности для дураков и удобство важнее безопасностию У вас есть документ, описывающий виды угроз? Что вы скажете своему клиенту, если вдруг выяснится, что он свою "квартиру" продал с помощью вашей ЭП? Разведёте руками?
У вас на сайте есть пример продажи яхты. Вот так вот, частное лицо оплатит вам 1 рубль, а потом узнает, что квартиру вам продал.
Регистрацией юрлица вы считаете платеж с р/с (что противоречит законодательству, но ладно, у вас там всё противоречит). То есть бухгалтер сделает платеж, а потом переведет на себя компанию?

Резюмирую. Основная беда компаний, подобных вашей в том, что обжегшись на таких "подписях" люди и настоящую законную ЭП начинают считать опасным фуфлом.

1