Pull to refresh

Comments 15

Может кто-нибудь объяснить, какого лешего сделано так, что необходимо приобретать несколько разных «электронных подписей» для разных случаев применения и контор? Есть в этом какой-то тайный смысл, кроме создания кормушек для приближенных продаванов?
Почему до сих пор нет единого (государственного) удостоверяющего центра, обязательного к признанию по всей стране?
Объяснение довольно простое, в сертификаты ЭП вносятся так называемые объектные идентификаторы (OID), будучи юр.лицом вы в праве зарегистрировать собственный OID, разработать свой «случай применения» и самостоятельно решать какой УЦ сможет выпускать сертификаты с вашим идентификатором(при условии что сам УЦ согласится вписаться в данную авантюру).
Единый государственный существует, и имя ему УЦ Минкомсвязи ответственнен он за аккредитацию других УЦ которые уже в свою очередь выдают ЭП простым смертным.
будучи юр.лицом вы в праве зарегистрировать собственный OID

В случае коммерческой организации вы вольны делать все, что считаете правильным.
В случае гос.органов, наверно, более правильно, чтобы все гос услуги были в рамках единого классификатора OID. И сертификат был одним, для всех услуг (гос услуг).
Паспорта наши с вами действуют не только в гос.учреждениях, но и во всех остальных.
Никому не приходит в голову получать по отдельному паспорту для каждой конторы, а для ЭП устроили цирк с конями.
Как это сделано, я понимаю. Но каков практический смысл, кроме как взять с субъекта 10 стоимостей ЭП вместо одной?

С учетом отсутствия линейной зависимости затрат УЦ от количества OID, различные цены на сертификаты с различным количеством OID — типичный кейс ценовой дискриминации и злоупотребления монопольным положением на рынке (в форме сговора).

На мой взгляд здесь приватизировано то, что обязано быть общественным.
Сертификация ЭП гражданина в 21 веке не должна быть какой-то фантастической привилегией, это общественная инфраструктура (как дороги, школы, больницы, нац.валюта) и отдавать её на откуп частным лавкам без здорового надзора — верный путь к ценовым злоупотреблениям и застою.

Нормально в России с электронным документооборотом? Многие имеют ЭП, которую обязаны признавать все субъекты на территории страны?

Ради интереса получил себе сертификат от Такскома: процедура, сервис, компетентность представителя, поддержки — полный отстой. Платная лицензия от монополиста КриптоПро.
Так не должно быть, это не правильно.
Мне тоже так показалось. Недавно совершал операции с недвижимостью в сбере, сделали там электронную подпись (Сбер теперь сам может оформлять, без беготни в МФЦ и т.п.). Хотя ранее я подобную подпись уже делал, но тут своя…

Не переживайте, в ближайшей перспективе останется по одному УЦ на федеральный округ, который будет обслуживать клиентов на закрепленной территории.

Открыте нового направления в бизнесе — это, безусловно, всегда идет на пользу самому бизнесу.
Но, как и в любых начинаниях, крайне необходимо глубоко изучить все нюансы, чтобы избежать возможных рисков, и тем более. потери части своих клиентов из-за недостаточной осведомленности среди своих клиентов.
Это первое, что бросилось в глаза, после прочтения данной публикации.
Юридически подкованный человек, в первую очередь, изучает федеральные законы, регламентирующие ту или иную деятельность, а также смежные нормативно-правовые акты.
В контексте данной публикации это Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»
Взяв его за основу, и будучи глубоко ознакмлленным в данной сфере напрашивается ряд спорных тезисов, описанных автором публикации:
1...:«ведь продавать электронную подпись очень хотелось. — партенр удостоверящего центра (далее, для простоты — УЦ) никаким образом не может самостоятельно продавать ЭП. Партнерское соглашение подразумевает всего лишь роль рекламного агента.
2… :»Конечно можно сдавать отчеты почтой (только не НДС)" — соответствовало действительности пару лет назад. На текущий момент контролирующие органы обязали сдавать отчетность не только с применением ЭП, но еще и при обязательном участии сторонних организаций, предоставляющийх услуги по передаче отчетности с использованием телекоммуникационных каналов связи (всего их 12 на всю РФ).
3...:«Из обзора судебной практики стало понятно» — было бы хорошим дополнением указать реальные номера дел. Благо что, ГАС Правосудие, которая как раз использует ЭП в том числе, позволяет делиться этими данным в совершенно открытой форме.
4...:"«Ну чего вы боитесь, вы же не будете выпускать электронную подпись, вы просто передаете документы и консультируете клиентов по вопросам нашего программного обеспечения!»- звучит неплохо, жаль только все равно попадает под лицензирование." — звучит ровно настолько, насколько вы соглашаетесь в этом участвовать, и дальнейшая сноска к Постановлению Правительства РФ от 16.04.2012 N 313 (ред. от 18.05.2017) совершенно никакого отношения к представителю УЦ (исходя из первого тезиса) не имеет. т.к. представитель УЦ не передает никаких средств криптографической защиты (далее СКЗИ), а только лишь осуществляет проверку документов.
5...:«Звонок в Федеральную службу безопасности снял все сомнения» — конечно, звучит красиво, но крайне сомнительно. в телефонном режиме, ФСБ… развевает сомнения…
6...:«Например озвучивалось, что фирма оказывает платные услуги по сопровождению регистрации на портале, а ЭП выдается клиенту в подарок.» — выдача квалифицированного сертификата ключа проверки электронной подписи (КСКПЭП) осуществляется УЦ в строгом соблюдении требований к УЦ. Согласно этим требованиям, каждый УЦ вместе с выдачей ключевых документов, под роспись выдает руководство по обеспечению безопасности, в котором, в свою очередь, раскрывается понятие риска передачи ЭП третьим лицам, что приравнивается к компрометации ключа.

Нельзя не согласиться только с крайним убеждением автора, озвученном в конце поста:«Не доверяйте слепо партнерам», но и из него же оспаривоемое суждение: «у них уже устойчивый бизнес, от ваших проблем им не жарко не холодно.»
7… учитывая во внимание актуальные поправки в ФЗ: «финансовая ответственности за убытки, причиненные третьим лицам недостоверной информацией, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информацией, содержащейся в реестре таких сертификатов. Так, стоимость активов, согласно документу, должна быть не менее 10 млн руб. ), а финансовое обеспечение – не менее 50 млн руб. (сейчас – 1,5 млн руб.). Напомним, определенная стоимость чистых активов и размер финансового обеспечения являются обязательными условиями аккредитации УЦ.
Таким образом, само собой, напрашивается заключение: ни один УЦ не будет работать по мошеннической схеме ради сомнительной прибыли от одного партнера, имея ответственность, предусмотренную законом, и риск понести убытки, несоизмеримые с долгосрочным планированием прибыли.
и в заключении, хотелось бы акцентировать внимание автора: „Кроме чисто юридических моментов в данной сфере есть очень много технических моментов“.
Большое спасибо, за ваш развернутый комментарий! Это первая публикация на Хабре, мне очень важно мнение участников. Постараюсь так же по порядку ответить вам:
1. Не совсем так. Может вы подписали какой то другой договор, но я пыталась рассказать свою ситуацию. И в тот момент когда вы будете передавать рутокен, и подписанный акт, как партнер, вы нарушите закон.
2. Вы имеете ввиду посредников. Какая разница, суть от этого не изменилась. Мы работаем с НДС, на протяжении 6 лет.
3. Обязательно дополню ссылками статью.
4. Блин, а кто ж тогда ее выдает??? Вас ввели в заблуждение! Если не вы и не УЦ? Одни проверяют документы, другие их передают, а кто же делать будет?
5. Отдел лицензирование в ФСБ работает в обычном режиме, как и другие службы, не нагоняйте страха, это такая же гос. структура как и все. могу написать номер нашего отдела, позвоните, проверьте. Но у любой службы есть сотрудник, который согласно регламента обязан оказать консультацию.
6. Я озвучила лишь мнение одного из обучающих со мной на курсе информационной безопасности), не понимаю в чем критика в мой адрес.
7. Как вы наивны, как ребенок… У нас в законодательстве много «дырок», в том то все и дело. Судиться потом, когда на руках протокол, очень сложно. Сразу видно, что вы этого никогда не делали) Тем более с большими компаниями, а это просто бесполезно, уверяю вас! Деньги правят миром… актуальные поправки, это здорово, но они вам не пригодятся. Любые поправки и законы следует изучать держа в голове два вопроса: «Кому это выгодно?» и «В какие последствия выльется». Прошу прощения, но за годы судов, вера в хорошее пропала)
Спасибо, я знаю о технических моментах. Ими так же занимаюсь, но в одной статье все не поместишь)
И еще раз повторюсь — я лишь описываю то, что делаю сама, без теории — только практика. Хотела не перегружать законами и трактовками, что было проще к прочтению, ссылками дополню. В дальнейшем опишу полный процесс получении лицензии.
Нина, в описанном вами сценарии получается что именно вы генерируете ключевую пару.
Это и есть один из самых тонких моментов. Новый поправки к 63ФЗ категорически запрещают делегировать полномочия УЦ третьим лицам, кроме: — из положений Закона № 63-ФЗ "- аккредитованный УЦ вправе наделить полномочиями по вручению квалифицированных сертификатов от имени такого аккредитованного удостоверяющего центра только МФЦ и нотариусов".
и, наверное, лучше сюда же дополнить ваш вопрос: «4. Блин, а кто ж тогда ее выдает??? Вас ввели в заблуждение! Если не вы и не УЦ? Одни проверяют документы, другие их передают, а кто же делать будет?»
Для всех категорий информационных систем (грубо говоря сайтов, площадок) пользователь может самостоятельно сгенерировать на своем рабочем месте закрытый ключ, и направить в УЦ только файл запроса для его удовлетворения УЦ. За исключением федеральных торговых площадок, которые опираются на регламент, написанный сбербанк-аст, и которые предписывают получение таких ключе только в точках выдачи, аккредитованных фсб.
В таком сценарии никакие лицензии вам не нужны, т.к никаких криптографических операций вы не проводите. Далее УЦ, получив оплату, сообщает партнерам о готовности. Партнеры приходят с набором документов для провекри, и забирают отгрузочные (и сюда же бланк с информацией, содержайщейся в ключе....., расписку в получении и проч. ).
и на этом процедура получения будет считаться оконченной.
С получением лицензий вы потратите кучу времени, и… денег. много. Кросе лицензии будет нужна и аттестация рабочих мест. специальное ПО, как программное, так и аппаратное.
При этом, если в дальнейшем вы не будете разрабатывать свое ПО в этом профиле, или не планируете открывать свой УЦ (что с настоящей ситуации на рынке, практически, нереально) вы не сможете её применить.
Для всех категорий информационных систем (грубо говоря сайтов, площадок) пользователь может самостоятельно сгенерировать на своем рабочем месте закрытый ключ, и направить в УЦ только файл запроса для его удовлетворения УЦ. За исключением федеральных торговых площадок, которые опираются на регламент, написанный сбербанк-аст, и которые предписывают получение таких ключе только в точках выдачи, аккредитованных фсб.

Да, конечно, этот пункт нами пересмотрен, клиент сам будет генерировать ключевую пару. Да, меня интересуют федеральные площадки, гос.сектор — это выгодно и лицензия ФСБ, минимальная какая есть, окупиться обязательно!
Гос.пошлина — 7 500,00 рублей, при условии что я юрист и все документы подготовлю сама, не очень большая сумма. Что касается программного и аппаратного обеспечения — мне все равно его ставить, с учетом последних изменений в законе об обработке персональных данных, так как повторюсь, юр.услуги и печати). Сервер с минимальными требованиями, межсетевой экран и антивирусники — подъемная для нас сумма. Программное обеспечение у нас на фирме всегда было лицензионное, либо бесплатное, потому это в затраты не закладывали. Так же на фирме есть инженер который имеет подходящий под лицензирование диплом, который сейчас учиться и просто согласился на другую должность с тем же окладом. Аттестация рабочих мест у нас так же свежая, этого года, аттестацию одного рабочего места тоже осилим.
Да, наша компания планирует разработку программного обеспечения через три года, когда наш инженер наберется нужного стажа для расширения видов деятельности и их лицензирования.
Да, очень хотим свой удостоверяющий центр) Но в настоящий момент решено попробовать, а там как получиться, будет прибыльно — будем стремиться.
Извините за вклинивание чайника в беседу, но касательно п. 4 мне стало очень интересно — а кто передаёт-то тогда?
Вы, как партнер. В этом то вся и загвоздка. Прилагаю вам алгоритм работы с удостоверяющим центром, согласованный с московскими директорами, название удостоверяющего центра намеренно не открываю, так как данные составляют коммерческую тайну.

Общий порядок работы с клиентом следующий:

  1. Находим клиента и выставляем ему в ЦРМ быстрый счет.
    Для выставления быстрого счета достаточно знать ИНН.
    Зная ИНН, остальные данные можно найти здесь: egrul.nalog.ru (Название, ИНН, КПП.)
  2. Вместе со счетом отправляем ему регистрационную карточку (РК) для заполнения (форма во вложении на примере подписи для торгов) и пишем,
    что для получения ЭЦП нужно подготовить копии паспорта и свидетельства СНИЛС.
  3. Получаешь от клиента заполненную РК (регистрационную карточку) и вносим все данные в ЦРМ.
  4. Заказываем отсюда выписку из ЕГРЮЛ с ЭЦП налогового инспектора. service.nalog.ru/vyp/.
    Для этого сначала надо зарегистрироваться на ресурсе. Чтобы проверить, что выписка из ЕГРЮЛ содержит ЭЦП инспектора, при ее открытии в самом конце будет стоять
    синий штамп о том, что выписка подписана ЭЦП.
  5. После заполнения всех данных ЦРМ формируем и отправляем клиенту контрольный лист (КЛ).
    КЛ нужен для сверки данных с клиентом. Поскольку данные мы вносим руками, то возможна опечатка.
    Клиент получает КЛ, если всё правильно, подписывает его, ставит печать и присылает нам его скан.
    Если находит расхождения, говорит тебе о них, мы исправляем всё в ЦРМ и формируем и отправляем новый КЛ с учетом исправлений.
    Оригинал потом клиент передает с остальными документами при получении ЭЦП. Без получения подписанного от клиента КЛ.
  6. Дожидаемся оплаты, звоним клиенту, приглашаем его для получения ЭЦП. НАПОМИНАЕМ, чтобы клиент взял с собой паспорт, свидетельство СНИЛС,
    доверенность (при необходимости), печать организации.
  7. В день отгрузки отправляем ранее скачанную выписку на ящик *****@*******.ru.
    ВНИМАНИЕ! Дата формирования выписки не должна превышать 5 дней на день генерации ЭЦП.
    Если выписка просрочена, надо ее заново скачать и отправить на *****@*******.ru. Только после этого можно отгружать заказ. После отгрузки сформируются все клиентские документы (Договор, Спецификация, Заявление на изготовление сертификата, Согласие на обработку персональных данных,
    Подтверждение оказания услуг).
  8. Встречаем клиента, генерируем сертификат, подписываем все документы, получаем от него привезенные им.
  9. После генерации сертификата надо распечатать в 2 экземплярах бумажный бланк сертификата, подписать обеими сторонами и приложить к остальным документам.
  10. Также после генерации сертификата в ЦРМ появится Подтверждение оказания услуг. Его тоже подписать надо в 2 экземплярах.
  11. Клиенту отдаем его экземпляр документов, второй комплект остается у нас.

    До 25-го числа каждого месяца мы пересылаем клиентские документы в Москву по адресу:
    117246, Москва, ****************************.


Еще раз хочу напомнить, что спорить не с кем не хочу, излагаю свою точку зрения о своей личной ситуации, которая сложилась при заключении договора с УЦ. После разговора с директором данной компании со мной все сразу согласились, подписали договор, условились, что нас подождут, а мы в свою очередь проводим полный комплекс мероприятий: технических, юридических, обучение сотрудника (почти четыре месяца) и прочее. Наши намерения серьезно работать было одобрено директором УЦ и нам активно помогают подготовиться к получению лицензии.
если у вас все хорошо, то остается пожелать успехов. Но, насколько помнится, для лицензии нужно два специалиста с профильным образованием, и опытом работы более 3 лет. Помещение для генерации ключевой пары должно быть с одной дверью, без окон ). Рабочее место для формирования КД должно быть аттестовано только для этих целей, прикрыто от НСД Соболем или Secretnet. Ну и конечно, в борьбе между УЦ решает 1. цена. 2. Поддержка клиентом. т.е нужен или штат специалистов, или аутсорс. а В остальном — удачи!
Да, с этим я ознакомилась. Для этого учим сотрудника и ждем три года — для стажа, образование профильное в ФСБ уточнили). у генерального директора есть техническое образование, так же профильное (правда не высшее), если через три года посчитаем перспективным — обучим за те же четыре месяца, назначим инженера «директором подразделения» и таким образом все нюансы будут соблюдены. Генеральный директор располагает недвижимостью с подвальным этажом, без окон и дверей. Соболь стоит чуть больше 10 000,00 рублей, а Secretnet — разграничение доступа, входит в программно-аппаратный комплекс (шлюз), с аккредитацией, который мне повторюсь, придется и так купить, из-за обработки персональных данных, даже если не заниматься электронными ключами.

На самом деле очень благодарна вам за общение, еще раз все достала и перепроверила. Эта тема очень плохо освещена и предприниматели все делают «по наитию». Вам так же успехов!
Sign up to leave a comment.

Articles