ЭДО без операторов ЭДО!
21-й век формально давно наступил. А фактически — дайте копию вашего паспорта без отметок, распечатайте этот документ, подпишите, отсканируйте и отправьте нам по почте, привезите нам справку, что вы не верблюд, заверьте у нотариуса, придите лично подписать. Что?! Стоп! Хватит это терпеть!
Проталкиваем и бьёмся за будущее всеми доступными средствами! УКЭП и 63-ФЗ подходит и физическим лицам, чтобы не ходить ногами. В статье расскажу про непростой наш опыт перехода на электронный документооборот (ЭДО) при колоссальном сопротивлении многих контрагентов и даже наших сотрудников.
В начале нулевых я запретил отправлять факсы в нашей компании. Тогда просто мода была подписывать документы и по факсу слать. Офисный планктон любил страдать такой ерундой — запихиваешь бумажки в факс, вроде при деле, зарплата тикает. Для контрагентов прикрутили модем, который принимал факсы и складывал сразу на сервер. Естественно, мы эти факсы не читали, но это было проще, чем объяснять, что у нас нет факса.
Объективные плюсы ЭДО
- Документ сложно потерять: он не сгорит, его не изымут маски-шоу, его всегда можно скачать в ЛК, достать из облака, из резервной копии.
- Доставка документа мгновенная и бесплатная по электронной почте или через ЛК или API.
- Создание документа автоматическое, мгновенное и бесплатное.
- Быстрый импорт данных для XML-форматов.
- Доверенность можно выписать без нотариуса для всех случаев, где в законе явно не прописано, что требуется нотариальная доверенность.
Минусы ЭДО
- Маразм со счетами-фактурами в электронной форме (Приказ Минфина от 10.11.2015 г. № 174н и ст. 169 НК РФ).
- Боязнь повысить свою квалификацию и освоить новое.
- Искусственная сложность, глючность всяких КриптоПРО, Диадоков и им подобных.
- Отсутствие открытого и бесплатного API в том же Диадоке, но он и не особо нужен.
- Опасение за безопасность.
Далее разберём всё подробнее и покажем, что ЭДО может быть простым.
Сопротивление и проблемы
Уже несколько лет, как задумал внедрить у нас электронный документооборот (ЭДО). Конечно, мы давно подключились к Контур.Диадок. Но там и сейчас далеко не все. А в тоже время есть п. 1 ст. 6 63-ФЗ, который говорит, что:
“Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.”
Давно пора всё подписывать усиленной квалифицированной электронной подписью (УКЭП). Проверить подпись элементарно!
- На сайте Государственных услуг, выбираем раздел «— электронного документа. ЭП — отсоединенная, в формате PKCS#7»;
- Загружаем файл документа и файл подписи;
- Нажимаем «Проверить» и смотрим результат.
Даже системы ЭДО типа Контур. Диадок по сути и не нужны. Мы сделали для клиентов специальный раздел ЭДО на сайте. В договор, ЛК, рассылки счетов и закрывающих документов мы добавили информацию про ЭДО. Это не помогало. Люди, а особенно бухгалтеры, консервативны. От нас всё равно требовали бумагу. Тогда мы пошли на хитрость. Мы разослали такое письмо, мол вы не против?! А народ пассивен, и вообще в массе забыл, как это — быть против.
Дорогой клиент!
С 1 июля для отслеживаемых товаров обязательно использовать электронные счета-фактуры. 43% наших контрагентов уже перешли на ЭДО, а в ближайшее время вынуждены будут перейти и остальные. Вместо отправки бумажных документов мы планируем рассылать по электронной почте и предоставлять для скачивания в ЛК все документы с УКЭП. Согласно п.1 ст. 6 63-ФЗ такие документы приравнены к собственноручной подписи.
Как проверить подпись: на https://www.gosuslugi.ru/pgu/eds выбираем“ — электронного документа. ЭП — отсоединенная, в формате PKCS#7”. Загружаем файл документа и файл подписи. Нажимаем "Проверить" и смотрим результат. Также можно обмениваться документами в ЭДО Контур. Диадок и других операторов.
Подробнее тут https://itsoft.ru/forclients/edo/
Если вы против перехода на электронный документооборот и заботы о природе, пожалуйста, напишите нам о причинах ответным письмом. Давайте идти в ногу со временем вместе! Веб-студия и дата-центр ITSOFT
И почти никто не сказал, что он против.
Самый большой проблемой был страх сотрудников перед клиентами. Неспособность реально оценить масштаб проблемы. Боязнь перемен. Собственные сотрудники постоянно боятся что-то менять, на основе требований одного клиента почему-то делают обобщение в отношении всех клиентов. Перемены — это боль и для них, и для клиентов, ведь был уже отлаженный процесс, а тут нужно по-другому. Один клиент требует счёт с подписью генерального. Хоть бы подумал, в состоянии ли генеральный тысячи счетов подписать. Другой сотрудник говорит: “Нельзя клиенту предложить документы в ЛК с откреплённой подписью, так как с ним ЭДО через оператора”. Утверждение ни на чём не основано и прямо противоречит 63-ФЗ, но вокруг просто море чеховских человеков в футляре: нельзя, как бы чего не вышло.
Это сопротивление приходилось прорубать, как Петру I окно в Европу.
С появлением 63-ФЗ давно уже можно было перейти на ЭДО. Однако до сих пор офисный планктон впадает в ступор когда присылаешь файл с ЭЦП. Особенно банковские работники. Получив файл с подписью, ссылкой на закон и методом проверки на Госуслугах, система у них зависает. Отказать они не могут, но и что делать не знают. Для них это как в первый раз увидели оплату телефоном. Шок!
Мы 1.5 года уже судимся с ВТБ. ВТБ решил, что может не признать моё письмо подписанное ЭЦП о закрытии счёта. Уже прошли первую инстанцию, апелляцию, развернули дело в кассации, опять проиграли в первой инстанции, в апелляции, сейчас кассацию снова ждём. Но мы до Верховного Суда дойдём и поставим точку в этом вопросе. Либо суду придётся признать, что 63-ФЗ и пункт 1 статьи 859 ГК РФ не действуют в РФ либо мы победим. Мы ступили в прошлой кассации, надо было там просить не возвращать дело на пересмотр, а выносить решение. Первая кассация возвращая дело фактически подтвердила здравый смысл и нашу правоту, но суд решил продолжать юлить. И дело пересматривала та же судья, что в первый раз. Мне казалось, после кассации она должна была исправиться.
Безопасность
Противники ЭДО, они же сторонники бумажных документов, часто начинают говорить про безопасность, что деньги воруют с банковских карт, с помощью ЭЦП уже и недвижимость переоформляли. Можно подумать с бумажками такого никогда не было. Технология — это лишь способ взаимодействия. Технологии меняются, жулики остаются. Правда, жуликом приходиться повышать квалификацию. С повышением квалификации проще зарабатывать деньги честным путём. А некоторые технологии ликвидируют виды преступлений или существенно снижают их количество.
Как должно быть
В 2005 году Велихов проводил конференцию в Курчатнике по случаю 15 летия Рунета. Самой зажигательной лекцией, до сих пор не потерявшей актуальность, была лекция Анатолия Левенчука про госуслуги и выдачу паспорта, за который нужно ещё и заплатить. Сейчас паспорт можно выдавать бесплатно и виртуально как банковскую карту. Паспорт и любой документ — это просто запись в открытом реестре. В реестре часть данных закрыта, но по всем данным возможна сверка. Сверка может проходить даже не по самим данным, а по их временному хешу. Банкам и прочим организациям не нужны сами паспортные данные. Их интересуют сверки:
- действительный ли паспорт. документ;
- есть ли какие-то ограничения;
- количественные характеристики связанные с документом, сколько кредитов уже набрал;
- cудимости, переболел ли COVID и т.п.
Ещё очень важно иметь не много документов, а один. Совершенно же непонятно почему есть обычный паспорт и загран, да ещё у загранпаспорта раньше срок был 5 лет, а сейчас 10, при том, что у обычного от 20 до 45 лет и от 45 и до старости.
Важно не иметь возможности их потерять.
Владелец документа может в приложении либо авторизовывать запросы, либо нет. А сами запросы могут идти только в объёме установленном законом и зашитом в протокол обмена данными, чтобы никакой клерк или пограничник не мог ознакомиться с группой крови, семейным положением, количеством детей и прочим, что к нему никак не относится.
И, конечно, всё это должно быть доступно на любом языке.
Налоговая должна по API принимать закрывающие документы, онлайн-чеки, а не морочить бизнесу голову аппаратными кассами, фискальными накопителями, ОФД, операторами ЭДО.
Как всем перейти на ЭДО
Не люблю большевиков, но в 1918 году они просто проехались по типографиям и изъяли лишние буквы. Пора принтеры отбирать у бюрократов. :) Это, конечно, не наши методы. Остаётся пулять в бюрократов файлами с ЭЦП и требовать на основании закона принимать такие документы. Нужно ставить динозавров перед фактом. Нужно проталкивать перемены вокруг себя.
ЭДО — это просто, как внедрили мы автоматическое подписание документов
Основная нагрузка у нас на закрывающие документы. В дополнение к ним: акты сверки, доверенности, счета на оплату. Договор у нас является офертой, поэтому с ним проще.
Распечатать документы, подписать, упаковать в конверты, отправить — в реальности дурацкая и никому ненужная работа. Переводится масса бумаги, гробятся миллионы человекочасов в масштабах страны. Нулевая добавочная стоимость. Потом вся эта макулатура выкидывается на помойку, даже во вторсырьё не попадает. Поэтому начали мы именно с закрывашек.
Для работы с ЭДО необходимо иметь действующий сертификат квалифицированной электронной подписи (КЭП). Его можно получить с 1 июля 2021 года в налоговой бесплатно, а ранее за деньги в удостоверяющем центре. Вопрос получения КЭП сводится к звонку или заполнению онлайн заявки, оплате счета (обычно не более 5тыс за одну подпись) и разовому посещению филиала УЦ. При этом, у некоторых УЦ есть услуга выезда тех. специалиста на дом для сверки вашей личности. То есть вам даже из дома выходить не надо.
Далее устанавливаем КриптоПро CSP https://cryptopro.ru/products/csp/downloads Скачиваем linux-amd64_deb.tgz
Добавляем файл сертификата ЭЦП
При отправке документов по почте вместе с файлом отправляется и отсоединённая ЭЦП. Генерится ЭЦП просто:
Крипто Про на редкость рукожопный софт. Попытка собрать модуль под PHP — это адский квест. Одной командой просто поставить модуль нельзя. Но и с консоли работает, и этого достаточно.
Для всех документов, кроме счетов-фактур, можно использовать такой способ подписания. Но и счёт-фактуру в pdf не лишним будет подписать.
Маразм со счетами-фактурами и УПД со статусом 1
Счета-фактуры стоит отметить отдельно. В соответствии со ст. 169 НК РФ счета-фактуры в электронном формате могут формироваться, только если обе стороны согласны с этим. В тоже время по-тихоньку обязывают всех быть согласными. Так декларация по НДС уже для всех в электронном виде. Для отслеживаемых товаров для всех обязательно использовать счета-фактуры в электронном виде, ну и скоро это будет для всех, как плавно всех обязали сдавать отчётность по НДС в электронном виде.
В соответствии с Приказом Минфина от 10.11.2015 г. № 174н, счета-фактуры нужно оформлять по формату, регламентированному ФНС, и передавать только через оператора. Вот это требование оператора бредовое отчасти. Понятно, что оператор удостоверяет факт отправки и проверяет валидность XML, но зачем это делать обязательным для всех?! Лучше бы обязали те же банки принимать у граждан документы в электронном виде, и не выносить мозги.
У счета-фактуры строго регламентированный формат, как в XML, так и в бумажном виде. XML-формат регламентирован Приказом ФНС России от 19.12.2018 N ММВ-7-15/820@
Печатная (бумажная) форма регламентирована Постановлением Правительства РФ от 26.12.2011 г. № 1137.
На данный момент операторы ЭДО своевременно обновляют как XML, так и печатные формы счетов-фактур в соответствии с выходящими поправками в законах. Так что в этом смысле, можно не беспокоиться относительно правильности использования той или иной формы Если ваш формат будет устаревшим, оператор об этом предупредит и предложит функционал для оформления документа в новом.
Составлять книгу покупок и книгу продаж можно как в электронном, так и в бумажном виде. (п. 1 Правил ведения книги покупок и п. 1 Правил ведения книги продаж, утв. постановлением № 1137)
Хранить счета-фактуры, подписанные ЭЦП, в электронном виде рекомендуем вместе с протоколами отправки и получения (технологическими документами). Дабы иметь на руках документы, в случае, если доступ к ЛК оператора будет невозможен. (Технические работы, отсутствие подключения к интернету и .т.п.)
Для автоматизации нужен открытый и бесплатный API, но Контур.Диадок API нам не дал.
Как можно создавать ЭЦП ручками
1. Через Оператора ЭДО. (Самый популярный вариант среди коммерческих организаций)
Позволяют подписать документ внутри системы. И направить контрагенту через эту же систему. На документе при печати есть оттиск “Подписано ЭЦП”. Нужно купить подписку у оператора ЭДО. Например, Контур.диадок. Подходит ля обмена формализованными документами, формат которых регламентирован: счет-фактуры, накладные, акты, УПД и т.п.
Минусы — платно, сложность обмена документами между разными операторами.
Плюсы — проверка документов на соответствие текущим обязательным форматам. Возможность интеграции с 1С, по API
Есть проверка действия КЭП. Статус-бар сразу видно в интерфейсе. Уведомление при недействительной КЭП.
Внимание! Оператор не имеет информации о полномочиях подписанта. Эту информацию нужно запрашивать у контрагента. Доверенность лучше хранить у себя.
2. С помощью плагинов, установленных в Word, Acrobat Reader
Позволяет подписать документ сразу в редакторе. После подписания документ недоступен для редактирования. Тут же возможно быстрая проверка действительности КЭП. Вшита в сам документ.
Нужно установить дополнение/плагин к программе (редактору). Подходит для:
- подписания (визирования) документов внутри компании;
- оперативной отправки документов контрагентам;
- подписания договоров;
- подписания документов, отправляемых в госорганы.
Минусы: платно и не универсально.
Плюсы: если вы работаете преимущественно в одном редакторе — просто и быстро в использовании. Есть проверка действия КЭП. Кнопка проверки на статус-баре.
3. С помощью специальных программ
Позволяет выбрать документ и подписать его КЭП на компьютере оффлайн. Формируется отдельным файлом. При изменениях в самом файле, к которому относится КЭП, сама ЭЦП становится недействительна. Нужно установить отдельную программу. Например, КриптоАРМ.
Подходит для всех случаев из предыдущего раздела.
Минусы: платно. Достаточно сложно в использовании. Малопопулярно, часто требуется дополнительно давать инструкцию контрагентам о том, как с этим работать.
Плюсы: Нет привязки к онлайн-сервисам. Не нужна регистрация/авторизация.
Нет проверки действия КЭП. Требуется проверка через КриптоПро..
4. С помощью онлайн-сервисов
Позволяет выбрать документ через интерфейс и подписать его КЭП.. Формируется отдельным файлом. При изменениях в самом файле, к которому относится КЭП, сама КЭП становится недействительна. Например, Контур.крипто
Подходит для всех случаев из предыдущего раздела.
Минусы: малопопулярно, часто требуется дополнительно давать инструкцию контрагентам о том, как с этим работать.
Плюсы: просто в использовании. Бесплатно.
Проверка действия ЭЦП: Нет. Требуется проверка через КриптоПро.
Результаты
У нас просят документы на бумаге менее нескольких процентов клиентов.
Все документы кроме счетов-фактур можно отправлять с откреплённой ЭЦП по email, или выкладывать в ЛК в автоматическом режиме.
Для счетов-фактур придётся использовать оператора ЭДО.
Если у вас где-то просят доверенность или документ на бумаге, то подписывайте его УКЭП и отправляйте через сайт или по email. Кстати, проверено с госорганами, например, ФАС, принимают.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.
Электронная подпись отличается от бумажной тем, что невозможно доказать что ее наложил тот самый человек на имя которого она выдана. Пока взаимоотношения остаются в рамках гражданского законодательства, все хорошо, потому что бремя доказывания лежит на сторонах. Но как только в дело вступает уголовное законодательство все становится плохо.
Подписант заявляет в полицию, что подпись он не накладывал (а как вариант вообще не получал, и она выдана без его ведома), а подпись наложили неведомые хакеры или мошенники. С бумажной подписью в такой ситуации все просто - вы заказываете экспертизу которая доказывает что подпись наложил таки подписант и дальше принуждаете его к исполнению обязательств в рамках гражданского процесса. С электронной подписью доказать что подпись наложил подписант невозможно. Гражданский процесс зависает на время уголовного разбирательства, т.е. на сколько угодно, а потом уголовное дело закрывают не по отсутствию факта преступления (отсутствие факта невозможно доказать никакими экспертизами), а потому что не удалось найти преступника, который украл приватный ключ ЭЦП. И всё и привет. Способа принудить исполнять обязательства человека который не подписывал договор не существует.
С подписью руководителя юрлица еще страшнее. Он в рамках уголовного дела на самом деле докажет, что его ЭЦП пользовался клерк, который не имел на это права и клерк в суде это признает, и получит условный срок. И все обязательства "подписанные" руководителем рассыпятся.
Так что ЭЦП это хорошо для того кто подписывает, но плохо для того кто принимает ее на веру.
Спасибо, вы очень интересные грани открыли, не знаю как другие, а я не думал об этом.
Но, учитывая, что как ни крути, никакие возражения не остановят внедрение ЭЦП (по всему миру имею в виду), то как теоретически вообще можно озвученные препоны решить? Ну с клерком понятно - там все тоже самое как и в обычных делах, когда кто то на себя ответственность берет, а в первом кейсе?
Не понятно как решить. С подписью принципиально невозможно доказать, что ее накладывал именно тот на чье имя она выдана, т.к. электронная подпись в отличии от бумажной не содержит биометрии. Как-то будут пытаться решить этот вопрос с помощью биометрии, но не понятно во что это выльется, нормальные протоколы удостоверения биометрической цифровой подписи пока что не разработаны, здесь пока что все упирается в подделываемость биометрического цифрового отпечатка.
С электронным клерком все не так как с бумажным. Одно дело настоящая бумажная подпись гендиректора, а совсем иное когда ее нет.
В мире это решают тем, что сначала заключают бумажный договор о признании конкретной цифровой подписи и потом конфликт решается на основании этого бумажного договора. Без начального бумажного договора получается фигня.
Да и еще по теме. Наверное самый основной, стратегический, способ решения проблемы в мире, это развитие разных процедур быстрого и автоматического взыскания задолженностей по электронным контрактам, без перевода дела в уголовную плоскость. Смарт-контракты и все такое. И без возможности откатить потом исполнения контракта по результатам уголовного расследования: блокчейн.
А если ЭЦП - это ключ на флешке, а сама флешка не считывается без отпечатка пальца? И открепить ЭЦП от ключа нельзя, совсем. Т.е. если у человека украли ЭЦП, без его пальца всё-равно подпись не поставить. Есть такое? Потому что флешки со сканером пальчика есть, а токен такой есть?
Такое что нельзя открепить ЭЦП от физического носителя - есть. Такого что нельзя использовать данные без пальца - пока что нет. Все равно есть техническая возможность подменить данные, когда они идут от датчика сканирующего палец, к устройству в котором хранится ЭЦП. Не говоря уже о том, что можно эмулировать сам палец.
Верно. Если стоимость работы "с3.14здеть ключ + разобрать + перепрошить + подписать" много ниже проффита от этих действий, то да. Будут заморачиваться. Могут и палец отрезать... Ну или со стакана взять образец...
Основной риск тут не в том что "могут заморочиться и подделать" - бумажную подпись тоже можно подделать, а в том что подделанная электронная подпись в принципе не отличима от настоящей. У того кто принимает на веру обязательство подписанное ЭЦП в принципе намного меньше механизмов снижения рисков.
Ведь при бумажной подписи еще есть механизм снижения риска - переложить часть ответственности на сотрудника который "удостоверял личность клиента в момент подписания". Ну типа если подпись поддельная то виноват тот ответственный сотрудник, в присутствии которого договор как бы подписали. У ЭЦП и этого механизма нет. Ну или приходите в отделение банка со своей ЭЦП и тут в банке в присутствии операциониста подписывайте своей ЭЦП кредитный договор....
Значит нужен такой же удостоверяющий центр при ЭЦП... Но вот что бы это могло быть? Какая из систем может «рядом стоять и свечку держать»? Или ЭЦП на ЭЦП, мол, «да, я подтверждаю, это он. Вот моя ЭЦП». Тогда два пальца надо резать...
Ну или (не кидайте только тапки) - чип в руку. Если отбросить все теории заговора, то чип как токен вполне себе ЭЦП.
Чип из руки тоже можно выковырять. Нет, решение проблемы на мой взгляд будет в том, что не только подписи на контрактах будут электронными, но и сами контракты будут с быстрым электронным исполнением и электронным наложением штрафных санкций. И подписант просто не будет успевать опротестовать контракт по описанным мною выше сценариям. И/или принципиально неотзывные контракты с занесением в блокчейн.
Комментарий недоступен
Давайте рассмотрим ситуацию с другой стороны не "у вас украли паспорт", а "вы выдали кредит по украденному паспорту". Нельзя "выдать кредит на паспорт". Надо каким-то образом заключить кредитный договор и дальнейшее зависит от того как именно был заключен кредитный договор, рассмотрим 4 варианта:
- бумажной подписью
- квалифицированной электронной подписью
- простой электронной подписью
- простой электронной подписью по процедуре согласованной в документе подписанном бумажной подписью.
Вариант 1 - все просто, делается экспертиза подписи и в зависимости от ее результата договор или заключен или не заключен.
Варианты 2 и 3 - соответствуют выше написанному. Пока субъект не подал заявлению в полицию, в рамках гражданско-правовых процедур с него можно взыскивать кредит. Как только заявление подал и открыто УД все взыскание останавливается, до того момента пока полиция не докажет что кредитор врет и он сам на самом деле взял кредит. То есть висяк.
Вариант 4 - это самый распространенный для жалоб на VC. Здесь ваша правда в том, что у субъекта украли не паспорт, а средство для заключения договоров заверенных простой электронной подписью, которое было предварительно согласовано в бумажном договоре. Простыми словами смартфон на который приходят пуши с кодами. Тогда вы взыскиваете кредит на основании вот этого самого бумажного договора, который на самом деле заключен субъектом.
И я рассматриваю ситуацию не со стороны того, кто подписывает договора ЭЦП, а со стороны того, кто признает такие договора, и пытается потом по ним что-то взыскать. Как я сказал выше, для подписанта все хорошо, и дает возможность спрыгнуть с ответственности. Особенно хорошо для руководителей юрлиц, потому что это дает им возможность спрыгнуть с ответственности абсолютно чисто и честно, без всяких допущений и предположений. На самом деле ведь ту ЭЦП накладывал клерк а не он. На самом деле клерк признался, на самом деле токен с ЭЦП директора нашли при обыске у клерка и он назвал пароль. А вот для тех кто принимает такие договора за настоящие - наоборот плохо и риски велики.
Комментарий недоступен
Согласен с написанным, но когда используется обычная бумага и живая подпись в случае удаленного обмена по почте получающая сторона никак не может удостоверить чья живая подпись стоит на бумаге - реально сотрудника контрагента или случайного человека с улицы. Вопрос с печатью тоже решается наборной печатью.
Ну вот поэтому вы не можете открыть счет в банке по бумажной почте. А по электронной почте уже вот-вот почти скоро сможете, или даже уже можете в некоторых банках. Это и есть немного неправильно. Впрочем банки-то как раз это понимают и упираются как могут. У них из всех лучше всего мозги на управление подобными рисками настроены.
Но принимать на веру живую подпись тоже сомнительно. Уже были разбирательства, когда человек или использовал, условно говоря, вторую подпись или просто подписывал левой рукой. Причём во втором случае любая экспертиза, хоть криминальная, скажет, что это подпись другого человека. Чем в таком случае ЭЦП будет отличаться от реальной подписи?
По личному опыту, среди операторов рекомендую СБИС - дешевле по набору фич, более адекватная поддержка по сравнению с Диадоком.
Рутокен ЭЦП 2.0 - самый доступный аппаратный ключ шифрования с неизвлекаемыми закрытыми ключами. Т.е. это не маленькая флешка с пин-кодом, а именно шифрующее устройство, что дает некую гарантию защиты от утечки ключа подписи через вирусы. Поддерживается госуслугами, ЛК налоговой, операторами ЭДО (в т.ч. бесплатным Контур.Крипто). С ним не требуется покупать КриптоПРО.
От вирусов оно не защищает. Кейлоггер и подписывай что угодно пока токен вставлен.
Конечно, с этим - только носители с отдельным каналом подтверждения (экранчик с кодами) и отображением миниатюры подписываемого документа для исключения MitM-style атак. Но это - за отдельные деньги.
Я так понимаю, в России дырявое законодательство, связанное с ЭП. На мое имя какие-то мошенники завели 3 ЭП через "сомнительные" УЦ (мне потом показывали документ, по которому их открыли - зафотошопленный паспорт с моими данными и чужой фоткой) и сдали деклараций по НДС в налоговую на 150 млн руб от моей пустой ОООшки. Финансово я почти не пострадал в этом случае, но кучу гемора приобрел на ровном месте.
Тут не законодательство дырявое, а УЦ который сделал это, просто клал болт на уголовную ответственность. Добавьте к этому людей которые используют электронную подпись безобразно и пофигистично, вообще не понимая, что это. На выходе мы получаем изменения в законодательстве, со следующего года только ФНС будет выдавать подписи( вообще аккредитованные УЦ по новым требованиям смогут стать представителями ФНС в этом моменте). Есть нюанс, у ФНС нет такого опыта работы и нет инфраструктуры, так, что ждём цирк и кони.
Со следующего года бюджетникам будут выдавать подписи казначейство, страховщикам и банкам Центробанк, юр лицам и ип ФНС. Физ лицам УЦ продолжат, но переаккредитованные.
Подписи которые выдавать будет налоговая, станет не копируемой, на юр лицо и ип всего одна подпись, на руководителя. Если надо работать сотруднику, то подпись на физ лицо и делать машиночитаемую доверенность. По мчд доверенности пока готов только шаблон, в разработке шаблон отзыва доверенности и схема передачи как таковой.
Ну в общем не смогли навести порядок с УЦ. Один из УЦ, который выдал левую ЭП на мое имя сделал это т.к. удостоверением у него занимается куча каких-то партнеров ИПшников по всей стране и левые документы под видом проверенных в УЦ подал один из таких партнеров. Так вот, УЦ лицензируются мин связи, а партнеры УЦ никем не лицензируются. На мое замечание что это же явная уязвимость, в УЦ разводят руками. В общем проблемы явно и в законодательстве и в его исполнении. Полный бардак в этой сфере.
Законодательство именно что дырявое - за 10 лет существования ЭЦП, реализовали список выданных подписей (и их отзыв) на госуслугах только год назад.
До этого надо было обзванивать УЦ. Да, все ~500 штук.
Комментарий недоступен
Всё случается, на имя одного из сотрудников записали дорогущий автомобиль без всякой ЭП.
Законодательство про ЭЦП в России не хуже чем повсюду в мире, а может даже в чем-то и лучше. Но никакое законодательство не может изменить математического принципа, что электронная подпись отделима от физической личности.
Комментарий недоступен
Токен покупается один раз и стоит недорого
Это всё равно меньшая проблема, чем кучу бумажек печатать, подписывать, печать ставить, запечатывать в конверты и рассылать.
Основная залупа с электронными подписями в том, что я, как физ лицо, нигде не могу потребовать выдать мне нужный документ, подписанный цифровой подписью, нет такого закона.
"Попросить" могу, но зачастую такие просьбы, например во всякие гос и мун учреждения заканчиваются бумагой))
Нужен закон, позволяющий просителю документа выбирать в каком виде его ему должны предоставить.
Комментарий недоступен
Бумажка не может "случайно" исчезнуть, потому что "база помера", "сервер сдох" и т.д.
Учитывая особенности российского IT - бумага надёжнее.
https://habr.com/ru/news/t/575084/ - просто для примера (их было много таких интересных).
Просто для примера, если у тебя в бумажной трудовой есть помарка, то могут не засчитать период стажа, если трудовая сгорела, порвалась, её хер восстановить в отличии от цифровой информации.
На самом деле довольно много чего можно получить с помощью ЭП. На тех же госуслугах.
Комментарий недоступен
А в чем разница между КЭП и УКЭП и что выбрать?