Чуть более длинный пост на тему разницы и применимости НЭП и КЭП.
В прошлый раз мы затрагивали тему усиленной неквалифицированной (УНЭП) и сегодня планировали обсудить также квалифицированную электронную подпись (КЭП).
Разобраться в чем их отличия и для решения каких задач их можно использовать. В пункте 4 статьи 5 №63-ФЗ «Об электронной подписи» дано следующее понятие КЭП:Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Что означает первый признак? Все вы наверняка помните, что создание «квалифицированного сертификата» — прерогатива аккредитованного удостоверяющего центра. То есть если у вас нет УЦ или он не является аккредитованным, то чтобы создать квалифицированный сертификат придется такой центр разворачивать и аккредитовывать, либо пользоваться услугами чужого УЦ.
Не вдаваясь в подробности заметим, что второй признак означает, что «средства электронной подписи» для формирования КЭП должны пройти проверку регулятором. То есть именно такие средства ЭП вы должны приобрести и предоставить клиентам, чтобы использовать КЭП.С определенной долей упрощения выходит, что «технологические» признаки УНЭП и КЭП, те признаки, которые собственно и определяют безопасность электронного взаимодействия (получение в результате криптографического преобразования, контроль целостности и авторства подписываемых документов, создание с использованием средств ЭП) — эти признаки для УНЭП и КЭП одинаковы. Различия, главным образом, в сфере применения и в юридической плоскости. Использование КЭП всегда получается дороже, сложнее с организационной точки зрения, а иногда еще и менее удобным для клиентов.
К тому же, неквалифицированный сертификат можно получить удаленно, а вот квалифицированный требует более сложной процедуры, а именно:
• при очной идентификации клиента сотрудником УЦ;
• на основе использования квалифицированной электронной подписи при наличии действующего квалифицированного сертификата;
• с использованием биометрического загранпаспорта РФ (потребует мобильное устройство с полнофункциональным NFC);
• и использованием Единой Биометрической Системы.
На данный момент технически реализуем только первый вариант очной идентификации. Остальные находятся на стадии проектирования и реализации, что накладывает большие издержки при выдаче и использовании КЭП. Так в каких случаях это будет оправдано?
Использование КЭП необходимо при создании цифровых услуг, связанных с электронным взаимодействием с государственными органами и учреждениями: сдача отчетности, регистрация новых юридических лиц, регистрация сделок в различных государственных реестрах и ряд других.
Соответственно, имеет смысл сегментировать клиентов на тех, кому нужны подобные сервисы и всех остальных. Первым экономически целесообразно выдавать УКЭП, вторым – УНЭП. Подробный анализ юридических, финансовых, технологических аспектов показывает, что для основной массы дистанционных услуг достаточно УНЭП (а если обеспечить безопасную реализацию, то иногда достаточно и ПЭП). Получается, что ваш выбор всегда будет определяться теми сервисами, которые вы хотите развивать, вашими бюджетами и готовностью принимать отдельные риски.
В следующий раз мы расскажем о некоторых решениях для формирования подписи и тех возможностях, которые уже сейчас доступны для клиентов банков.