Comments 45
>> Итак, с 1 января корпоративные системы бухучёта должны работать на серверах в РФ, иначе им грозят штрафы.
А можно уточнить - по какой статье штрафы?
В теории - статьи 15.11 и 13.25 КоАП РФ. Источник тут. На практике - надо дождаться 2024 года.
Вот 13.25:
2. Неисполнение обществом с ограниченной (дополнительной) ответственностью или унитарным предприятием обязанности по хранению документов, которые предусмотрены законодательством об обществах с ограниченной ответственностью, о государственных и муниципальных унитарных предприятиях и принятыми в соответствии с ним нормативными правовыми актами и хранение которых является обязательным, а также нарушение установленных порядка и сроков хранения таких документов -
влечет наложение административного штрафа на должностных лиц в размере от двух тысяч пятисот до пяти тысяч рублей; на юридических лиц - от двухсот тысяч до трехсот тысяч рублей.
3. Неисполнение страховщиком обязанности по хранению документов, перечень которых и требования к обеспечению сохранности которых предусмотрены страховым законодательством, а также непринятие страховщиком мер по обеспечению хранения информации, содержащейся в информационных системах, ведение и обеспечение сохранности которых предусмотрены страховым законодательством, -
(в ред. Федерального закона от 23.06.2016 N 222-ФЗ)
(см. текст в предыдущей редакции)
влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от ста тысяч до двухсот тысяч рублей.
(часть 3 введена Федеральным законом от 23.07.2013 N 249-ФЗ)
Про информационные системы написано только в отношении страховщиков
Господи! Вы реально не понимаете, или валяете дурака ? Бухгалтерию держат за границей ИМЕННО потому что никакие штрафы не сравняются с последствиями, которые наступят если с российского хостинга вытащат сервер и распотрошат.
Хотите заработать - предлагайте клиентам прокси-хост. Чтобы бухгатерия с точки зрения силовиков ВЫГЛЯДЕЛА как лежащая в россии (ибо все запросы исходят оттуда), но в реальности при изъятии сервера в загребущих руках оказывалась пустышка... Глядишь, к вам и люди потянутся...
Так силовикам мало, чтобы база ВЫГЛЯДЕЛА. Им же надо иметь возможность прийти к хостеру и изъять. Вот они пришли и увидели прокси. И сказали хостеру, что он соучастник? На месте хостера я бы не связывался с такой подставой
Давайте так - силовики сейчас могут прийти куда угодно, и сделать что угодно. Если вы хотите заниматься бизнесом и быть под защитой закона, то это не сейчас и не в РФ.
Другое дело - если вы согласны жить (и вести бизнес) в стране с распоясовшимися силовиками, получая норму прибыли выше чем в окружающем спокойном мире. Но и в этом случае, вы должны в первую очередь учитывать интересы ваших клиентов, а не силовиков. Потому что не силовики вам деньги платят. А клиентам надо предлагать закрывать их реальные потребности, а не предлагать переносить бухгалтерию с зарубежных ресурсов...
Думаю, любая крупная российская контора работает не потому, что хорошо прячется от силовиков, а потому, что владельцы нормально договорились с кем надо, или сами являются кем надо. Так что тут ничего особенно не меняется.
А конторы, по-тихому ведущие параллельную бухгалтерию, наверняка уже сами вынесли её на шифрованные диски на иностранном хостинге.
Хм... сразу пять-шесть вопросов:
Что есть оригинал в цифровом мире? Ведь речь идёт от цифровых сервисах - никаких бумажных документов тут быть не может (да и в век цифровых технологий вообще может и не быть в принципе бумажного носителя). А любом цифровой формате копия от оригинала не отличима (спецустройства не рассматриваю)
Что мешает работать как и ранее на зарубежных хостах - а в РФ просто дублировать хранение регламентированных данных (а хранение персональных данных - это особый случай)?
Что есть бухгалтерские данные? Не ну понятно - что есть некий перечень первичных документов и регл. отчётности, представленных в форме по ГОСТУ, но всё остальное (не беру в расчёт персональные данные) - можно считать управленческими данными - тогда - на это всё ведь не должно распространяться требование законодательства?
Ну и классический вопрос: как это всё отслеживать и контролировать - что и как хранится на недоступных серверах? То есть достаточно организовать в РФ проксик - где будут хранится данные, требуемые по законодательству - но весь объём данных через него в зашифрованном виде транслирвоать далее за пределы РФ. Такой проксик не обязательно даже хостить где-то - можно условно и на местах первичной обработки поставить простенькие серваки где и тупо складировать эти данные (сколько там их надо хранить - 5 лет - затем удалять) - а с них уже пересылать на центральный сервер и где хранить и обрабатывать вне поля зрения контролирующих органов!
А документы на серверах в РФ можно же ужимать до любого различимого качества (я в основном про сканы) - только бы была хоть какая-то читаемость - ведь закон же это никак не регламентирует? Только сроки хранения заданы.
С регл. отчётностью есть ещё сервисы по её сбору и передачи - типа Такском или Контутр - они ведь её тоже хранят - считается ли это достаточным хранением на территории РФ для данного вида бух. данных?
Но вот да - прямой удалённой работы, условно, через RDP клиенты тут уже не удастся организовать :-( хотя по извращаться с обратным трафиком документов можно!
Этот закон всего лишь один из многих законов и постановлений в рамках самоизоляции интернета, как я понимаю.
Логика такова:
Некоторое время назад: если мы выключим внешний интернет, то экономика встанет. Давайте вводить ограничения постепенно.
- локализовали данные
- добавили потенциальный файрвол
- создали отечественный репозиторий
- выдавили внешних поставщиков облачных услуг
- локализовали бухгалтерский учет
Все, еще пара-тройка шагов и дальше спокойно внешние каналы усиленно фильтруются и все кто заплачет о поломанных процессах сами себе виноваты. А государство все в белом.
Но это все лишь теория заговора, на самом деле государство о нас заботится.
Очень сильно подозреваю что решатся проблема будет просто:
кто-то из сисадминов (у крупных контор вопрос и так решен и без RuVDS) скажет что база не в России? нет оснований не доверять сотруднику компании. А заодно - он и детали расскажет где и как. И в суде свидетелем.
никто из сисадминов НЕ скажет - изымаем железо и смотрим доказательства (а пока - убеждаем админа что лично ему выгоднее предыдущий пункт)
А сисадмины которые готовы еще и такие схемы защищать на допросе - это другая статья расходов и нужна уже защита для них и вообще привет 90-е :(
Ну и кстати вот интересно - а что мешает разместить сервер да - в России. Но диски зашифрованы. При старте - надо передачу ключа, ключ не хранится на диске вообще, передается по команде с виртуалки, находящийся вне России. Чтобы команда была отдана - надо на эту виртуалку зайти, каким то хитровывернутым способом. ИПБ при этом нет. Бекап разумеется делаться на сервер вне России.
Ну или вообще вариант когда у сервера диски для декоративных целей если вообще есть а реально все грузится по сети в память и диски вообще не используются (вот не знаю с типичными объемами бухгалтерских баз - реально?). Опять же бекап - вне России.
Правда опять все упрется в то, что админы с паролями и инструкции как это поднимать с бекапа - находятся где? И можно ли их вежливо попросить поднять с бекапа.
Вот другое дело - интересно кто ответственность несет если бухгалтерия вообще на аутсорсе? Аутсорс-контора? Или тот мелкий ИП чья это бухгалтерия?
Правда опять все упрется в то, что админы с паролями и инструкции как это поднимать с бекапа - находятся где? И можно ли их вежливо попросить поднять с бекапа.
Это если у админов есть пароли. Мне доводилось настраивать сетевой накопитель для одного параноидального руководителя. Шифрование разделов, ключ - знает он, но не знаю я. То есть - взял, сгенерил 20+ символов, передал ему на флешке, а сам естественно не запомнил.
Кончилось, правда, ожидаемо - ключ был утрачен, и доступ к данным вместе с ним, безвозвратно.
По поводу шифрования вроде как есть закон (поправьте если ошибаюсь - я не специалист по ИБ) запрещающий применение средств шифрования, не сертифицированных ФАПСИ - детали не знаю, как и не скажу точно на что и на кого распространяются такие требования - но что-то такое слышал. А сертификацию того, что не возможно им вскрыть - ФАПСИ не сделает! Нарушение такого закона о шифровальных методах явно приведёт к последствиям когда это обнаружится. На западе вроде тоже такие же законы есть. И не факт, что ФАПСИ тем или иным путём (в т.ч. через посредников не из РФ) не сможет вскрыть зашифрованные не по ГОСТу диски. Но тут уже вопрос целесообразности - окупятся ли затраты.
Ну а ответственного за пароли и ключи явно надо выводить за пределы влияния РФ - условно в офшор. Ответственного сисадмина тоже не афишировать. Остальным сисадминам детали знать не нужно - а общую информацию о схеме и так поймут
Ответственность за бухгалтерию несут два человека: Гендиректор и Главный бухгалтер. Гендир не может быть на аутсорсе. Главбух, вроде бы, условно может - но ответственность это не отменяет. Но в процессе расследования часть ответственности в ряде случаев можно переложить на аутсорсинговую компанию - но это если таким образом договор составлен и будут прямые этому доказательства или признание вины - это всё очень мутно и не просто. Так что сажают обычно гендира и главбуха. На моей памяти такой случай уже был в компании где я работал, но уже после моего ухода, так что детали не знаю.
Но на чьей бы стороне не была ответственность - последствия для юридического лица, где были нарушения, будут серьёзные
админ "заболевает" и срочно увольняется и приходит новый админ, какой надо админ.....
Маски шоу приходят уже с точной инструкцией что и как делать и где, и как искать....мало того следователь еще и фин. возможности по возможной выручке знает и то на сколько он план закроет..... тк работали в 00-х....
кто-то из сисадминов (у крупных контор вопрос и так решен и без RuVDS) скажет что база не в России? нет оснований не доверять сотруднику компании. А заодно - он и детали расскажет где и как. И в суде свидетелем.
никто из сисадминов НЕ скажет - изымаем железо и смотрим доказательства (а пока - убеждаем админа что лично ему выгоднее предыдущий пункт
Как только придут к сисадмину и если ему заранее не заплатят - он сам всё расскажет и отдаст данные за бумажку об отсутствии претензий со стороны правоохранительных органов. При этом неважно где находятся данные. Зачем ему сидеть за чужого дядю и за дачу заведомо ложных показаний?
Что такое оригинал цифровой копии?
\s БД, на которой стоит подпись директора и печать организации
Приходят к вам органы для проверки. Изымают жёсткий диск. Разумеется, не для того, чтобы у вас бизнес колом встал и бухгалтерия не могла работать, а просто процедуры такие. Вернут в нужные сроки. Через месяц-два.
Вот если при изъятии (сделанном ни в коем случае ни для того, чтобы бизнес встал) бизнес не встал - значит айайай, вы не оригинальную копию для изъятия подсунули. Извольте предъявить заплатить штраф и предъявить именно ту совпадающую до последнего бита копию, изъятие которой заставит ваш бизнес остановиться.
Никто не будет разбираться где бэкапы, где БД, а где ваши личные фоточки.
У нас сотрудник в "день Д" принес на работу ноутбук, свой, личный, то ли спросить чет хотел, то ли не работало у него чета, хотел админам показать.
Итог - ноут со всем оборудованием уехал вместе с ОБЭПом недельки на 2-4 пылиться в хранилище (хорошо что вернули и не про*ли).
А еще весело, когда вам харды от серверов возвращают, вперемешку(никтож не подписывает). Если у вас рейды с шифрованием вот вы повеселитесь собирать все это.
P.s. проходили через изъятие техники году этак в 16, может сейчас чего и изменилось
с хардами Да веселуха - лучше Сразу купить новые и Собирать с копированием образов... да и оборудование проверить на предмет инъекций всякого..... с ТЗ ИБ я бы выставил железо на авито и какое-то время жил на VDS пока новое не куппят....
Харды имеет смысл менять только с точки зрения того что их там могли потрясти, попинать, покидать и пр. мех. воздействия.
В остальном - бред, никто не будет е**ся с закладками и инъекциями - это дорого, долго и сложно. Есть более простые и надежные методы - начиная от того что 100% чистых фирм в РФ нет, все нарушают (не потому что не хотят, а потому что все требования не выполнить), заканчивая тем что проще волшебный порошок подкинуть ген.диру - проблем на 5 минут, для любого суда, дело будет простым и понятным.
А с инъекциями? Нужен специалист который внедрит, нужно ПО которое не спалится первым же антивирусником, не помрет от штатного обновления, не будет зарезано NGFW (мы же понимаем что в компании от 100+ человек на обычных файрволах становится тяженько жить), потом нужен человек который будет сидеть и все полученные данные анализировать, потом надо в суде доказать что эти сведенья были получены законным путем, что это именно они и прочее-прочее.
про закладки и инъекции - от задачи зависит...
как минимум исключить смерть хардов от "механики" - Это самое разумное.
по Железу это скорее рекомендация,
а про размеры компании и наличие у них спецов - не смешите мои тапочки - пока не припрет никто не шевелится и бывает так что у клиентов частенько торчат левые флешки и WIFI Свистки в Серверах непонятного происхождения..... а потом ой унас кто-то деньги со счета увел... или откуда накладная возникла по которой на -цать миллионов от грузились...
и это только на моей не особо богато практике с 10-ок случаев....
да чаще всего это обиженные менеджеры и свои же админы но....
Вопрос только как отличить оригинальную копию от неоригинальной? Копия на то и копия что может на 100% совпадать с оригиналом. А может и не совпадать - ни быть его модификацией - но между двумя такими копиями определение что есть оригинал возможно только в сравнении с третьей копией - эталонной - которая есть у контролирующего. Но так ещё с конца прошлого века делали (и делают) вели двойную бухгалтирию - белую (читай регламентированную) и черную (читай управленческую) - вот белую можно держать в РФ - и она будет соответствовать эталонной, передаваемой в госорганы. А черную - соответственно сразу уводить куда подальше - и с эталонной никак не пересекать - и в ней вести основную работу, лишь периодически обновлять по нужным правила белую версию - которая, на новый манер, будет считаться оригиналом!
Кстати, иностранным компаниям оригинал регламентированной российской бухгалтерии там у себя нафиг не нужен - у них там свой GAAP, МСФО, и некоторые национальные стандарты
Был случай в практике: пришел проверяющий от налоговой, напроверял что то (фирма вся чистая и в белую работала не однодневка), а в понедельник бухгалтер приходит, а у фирмы все счета заблокированы. Стали выяснять и выяснили, что проверяющий нашел ошибку но бухгалтеру ничего не сказал о ней, в пятницу закончил проверку и отчалил, а в понедельник просто заблокировали счета. Стали разбираться, что за ошибка, как выяснилось ошибся сам проверяющий, умышленно (что неподмаслили его) или по своей некомпетентности неизвестно. Естественно ни компенсаций от налоговой ни извинений никто не дождался.
Достаточно долго проработав в сфере государственного бюрократического кретинизма - готов спорить, что речь идёт о слове "скан".
Сканов вовсе может не быть - сейчас уже Цифровая экономика - бумагу экономят - всё можно вести через ЭДО.
Но даже если говорить о сканах бумажных документов - что первичный скан, что его копия - не отличимы друг от друга. Да и по российскому законодательству (поправьте если что-то изменилось) - если оригинал был на бумаге - то и хранить его надо на бумаге 5 лет, а его скан - это уже всего лишь копия. Но хранить бумагу на сервере не возможно, тем более за пределами РФ её хранить никто не будет
Цифровая экономика у нас, все же, пока еще на словах. Думаю это не новость, что в той же медицине - врачи заносят все ваши данные в электронную карту, а потом печатают и бережно вклеивают в физическую (безусловно, в ситуациях есть исключения, но мы, все же, о подавляющем большинстве).
А по поводу скана - я закладывал в мысль понятие фразы "оригинал цифровой копии". Ну то есть оригиналом цифровой копии будет буквально бумажная версия. При чем (!) в некоторых ситуациях доходит до той степени, что даже документы, подписанные ЭЦП, печатают на цветном принтере, чтобы это был "тот самый первый неповторимый оригинал из принтера" - важным условием здесь является наличие цветных элементов на документе (s ведь только у вас есть цветной принтер /s).
Было бы смешно, если бы не было так грустно, но я свидетель этой безумной бюрократии и представлении этих людей о том, как переносить физическое в цифровое.
>врачи заносят все ваши данные в электронную карту, а потом печатают и бережно вклеивают в физическую
И правильно делают. Из-за аварии вышла из строя база медицинских данных Белгородской области
Боюсь, бремя доказательства места хранение возложат на юрлиц. А в качестве доказательства потребуется доступ фискалов к БД.
Уже несколько лет внедряется "налоговый мониторинг" - прямой доступ налоговиков к учетной базе предприятия. Так что процесс что называется пошел
Как создавали ранее базу болванку - так и будут создавать - её и хранить в РФ, и в неё пускать! Ничего особо не изменится - но у кого-то кто ранее об этом не подсуетился - будет нужно подсуетиться!
А я давно считаю - что весь регл. учет нужно всегда отделять от основной базы и вести в отдельной базе - лишь загружая из основной нужные данные! И это не связано только лишь с оптимизацией налогообложения!
И это я ещё не говорю про вторую излюбленную в РФ схему - создание фирм помоек - посредников - когда в отдельную базу можно вынести не только часть учёта, но и всю юр. фирму целиком - но всю её деятельность вести через управление из основной базы другой фирмы - оставляя в фирме помойке только минимально детализированный необходимый след регламентированных и персональных данных!
Вся бухгалтерская документация ведётся для налоговой. И обязанна быть предоставлена по первому требованию. Поэтому мне не понятно причем тут выемка серверов, шифрованные диски и чем здесь поможет заграница.
Шифровать и прятать стоит документы внутрннего пользования и двойную бухгалтерию. Но это же совсем доугое
С 1 января вся бухгалтерия — только на серверах в РФ