Электронная подпись: как её готовить и использовать в вашей ECM системе

White angle
Раис Ахкямов
Раис Ахкямов Директор продукта ELMA365 ECM
Все статьи автора

В конце 2022 года российские организации и физические лица в очередной раз столкнулись с изменениями в положениях о работе с электронной подписью, а в феврале 2023 года Государственная Дума РФ продолжила подготовку новых поправок к 63-ФЗ. Переход на новый режим намечен в сентябре 2023 года и у руководства компаний еще остается время на настройку процессов ЭДО, подготовку локальных актов и обучение сотрудников.

В этой статье ответим на вопрос: «в чем отличие между разными видами ЭП?», разберем условия получения и использования электронной подписи и расскажем про работу ЭП с внутренними ECM-системами.

Содержание:

 

Немного теории

Подпись в доэлектронные времена

В привычном нам понимании подпись — это уникальное графическое начертание, служащее для идентификации человека. Обычно она имеет особые оформительные элементы, позволяющие отличить ее от подписей других людей. 

Важность подписи проявляется в правовых отношениях, поскольку она служит способом выражения воли человека. Наличие подписи является обязательным условием для заключения договоров и подтверждения других документов, т.к. она свидетельствует о согласии лица и наделяет документ юридической силой.

Постепенно ручную подпись стали упрощать, вследствие чего появилось факсимиле — воспроизведение рукописной подписи в формате штампа. Однако, всегда существовал высокий риск её подделки, который сохраняется и по сей день. Для проверки достоверности подписи используют графологическую экспертизу, которая позволяет идентифицировать автора графических записей на основании сравнения конкретной подписи и образцов письма предполагаемого исполнителя. 

 

Теория электронной подписи 

Согласно ГОСТу, электронная подпись(ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Электронная подпись в организации необходима, чтобы наладить внутренний и внешний электронный документооборот и обеспечить юридическую значимость цифровых документов. ЭП позволяет:

— подписывать документы, не покидая рабочего места;

— быстро и удобно обмениваться документами с контрагентами;

— экономить время и ресурсы на доставку и хранение бумажных документов;

— сократить расходы на печать и копирование бумажных документов.

ЭДО избавляет стороны от необходимости находиться в одном помещении для подписания документов, позволяя вести коммуникации из любой точки мира.

ЭДО избавляет стороны от необходимости находиться в одном помещении для заключения сделки или подписания договора. Возможность подписывать документы онлайн позволяет организациям обмениваться подписями удаленно и совместно работать над документами из любой точки мира. 

 

Усиленная электронная подпись

Усиленная электронная подпись — электронная подпись, которая обеспечивает более высокий уровень защиты данных. Это означает, что документы надежно защищены от подделки или изменений данных после их подписания. Усиленная подпись может быть использована для подписания различных электронных документов, таких как договоры, счета-фактуры, акты выполненных работ и т.д.

Требования к усиленной ЭП:

  • Получена в результате криптографического шифрования с использованием ключа подписи;
  • Может подтвердить подлинность лица, подписавшего данные;
  • Позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
  • При создании использовались средства электронной подписи.

Усиленная ЭП содержит в себе криптографические алгоритмы, которые обеспечивают более высокий уровень безопасности при передаче данных. 

 

Удостоверяющие центры

Удостоверяющий центр — доверенная организация, которая подтверждает легитимность электронной подписи каждой из сторон документообмена. УЦ является важной составляющей инфраструктуры ЭДО и других форм электронного взаимодействия. Он обеспечивает безопасность и надежность процесса использования электронных подписей, гарантируя подлинность и целостность электронных документов.

Согласно российскому законодательству для осуществления деятельности удостоверяющий центр должен обладать лицензиями и разрешительными документами Минкомсвязи, ПФР, Росстата, ФНС и ФСБ. 

Функции удостоверяющего центра:

  1. Создание цифровых сертификатов, которые используются для аутентификации и шифрования данных.
  2. Управление ключами, используемыми для создания цифровых сертификатов.
  3. Аутентификация пользователей: УЦ проверяет личность пользователей и выдает им цифровые сертификаты.
  4. Проверка целостности данных, передаваемых по сети, и сообщение о любых нарушениях.
  5. Регистрация доменов: УЦ также может заниматься регистрацией и управлением доменными именами.

Ключ электронной подписи — элемент секретных данных, специфичный для субъекта и используемый только данным субъектом в процессе формирования цифровой подписи.

Ключ шифруется сложным криптографическим методом. Он делится на открытый и закрытый ключи, создавая тем самым максимально безопасный способ обмена данными, исключающий возможность взлома. Ключ может быть использован для подписания документов, электронных сообщений, транзакций и других цифровых операций.

Сертификат ключа проверки электронной подписи - это электронный документ или документ на бумажном носителе, который подтверждает подлинность и легитимность электронного ключа. Он содержит информацию о владельце ключа, его уникальных идентификационных данных и сроке действия.

Физическая подпись на бумаге имеет юридическую силу, когда её подлинность может подтвердить сам подписант. В ЭДО гарантией легитимности выступает сертификат, поскольку в нем содержится  необходимая информация об участнике процесса, которая может подтвердить личность владельца и установить факт принадлежности ему ЭЦП.

 

Асимметричные ключи

Для шифрования электронных подписей часто применяются асимметричные ключи. Они представлены в виде криптографической пары ключей: открытый и закрытый. Закрытый ключ доступен только владельцу и используется для формирования подписи, а открытый публикуется в УЦ в открытом доступе и применяется для верификации. 

Асимметричные ключи

Главное преимущество асимметричного шифрования заключается в отсутствии необходимости обмена файлами по специализированным защищенным каналам связи. Передается только открытый ключ, который и так является общедоступным. 

Важно подчеркнуть, что все инструменты, используемые для цифровой подписи документа, имеют числовую направленность. Закрытый ключ, который уже находится в символьной форме, и подписываемый документ преобразуются в новый набор зашифрованных символов с использованием криптоалгоритмов в системах цифровой подписи.

Открытый и закрытый ключи — это очень большие числа, связанные друг с другом определенной функцией. Надежность такого шифрования зависит от от длины ключа и сложности алгоритма кодирования. При этом сам алгоритм является общеизвестным, но он должен зашифровать сообщение так, чтоб расшифровать его мог только обладатель второго ключа. А поскольку производительность вычислительных машин постоянно растет, длину ключей необходимо время от времени увеличивать.

 

Штамп ЭП

Штамп ЭП — графическое отображение электронной подписи на документе. Он проставляется на печатной форме или электронной копии документа и имеет следующие обязательные элементы:

  • Фраза «Документ подписан ЭП»;
  • № сертификата ключа;
  • Инициалы ее владельца;
  • Срок, до которого действителен сертификат.

Стоит отдельно отметить, что распечатанный документ со штампом ЭЦП не признается судами как юридически значимый. Электронные документы должны проверяться в системах, специально для этого предназначенных. Поэтому если необходимо подтвердить легитимность какого-либо электронного документа, то в суд нужно предоставлять этот самый документ в электронном виде и электронную подпись к нему, т.е. у вас должно быть два отдельных файла.

Штамп ЭП



Виды электронной подписи

Любой электронный процесс, который сообщает о согласии лица с определенными условиями, может представлять собой электронную подпись. Однако к некоторым видам документов применяются более конкретные требования к тому, что делает ЭП легитимной. Поэтому всегда важно проверять, где какие виды подписи принимаются, прежде чем их использовать. 

Простая электронная подпись (ПЭП) — вид электронной подписи, чаще всего представляющий собой логин/пароль, номер телефона, специализированный код или другие данные внутри информационной системы, позволяющие вас идентифицировать. Фактически это соглашение, действующее на уровне подписанта и конкретной информационной системы. 

ПЭП используют физические лица для совершения покупок через онлайн-сервисы. Также простую электронную подпись активно используют банки для подтверждения операций, совершаемых клиентами через интернет-банкинг. Она является удобным и надежным инструментом для подписания цифровых документов, когда нет необходимости в более сложной и защищенной подписи.

Неквалифицированная электронная подпись (НЭП, УНЭП) — сертификат ЭП, выданный неакредитованным удостоверяющим центром (часто корпоративным УЦ); Госключ; DSS (Облачные ЭП). 

Преимущество НЭП в том, что она дешевле, поскольку УЦ не требуется прохождение аккредитации и можно использовать более простое ПО. Компании в составе операционной системы Windows могут бесплатно установить Центр сертификации MS и пользоватся неквалифицированными подписями внутри организации.

НЭП, УНЭП нужна сотрудникам компаний для обмена документами с партнерами и для внутреннего документооборота (подписание приказов, инструкций, заявлений, справок). Также применение неквалифицированной подписи часто используется в личном кабинете налогоплательщика. 

Важно помнить, что неквалифицированная электронная подпись имеет ряд ограничений и не может быть использована во всех случаях. Например, она не может быть использована при подписании документов, связанных с финансовыми операциями, таких как банковские договоры или сделки с ценными бумагами. Также она не может заменить обычную бумажную подпись при подписании договоров в суде.

Есть особенность в использовании Госключа — технически он является неквалифицированной электронной подписью, но у него есть особый порядок применения. К нему применяется больше требований, чем к любому другому  неаккредитованному УЦ, вследствие чего им можно подписывать большее количество документов, чем просто НЭП. 

Квалифицированная электронная подпись (КЭП, УКЭП) — сертификат ЭП, выданный аккредитованными удостоверяющим центром, в соответствии с требованиями 63-ФЗ.

Такая подпись включает в себя все характеристики УКЭП и обладает  следующими дополнительными требованиями:

  • Ключ проверки подписи указан в квалифицированном сертификате;
  • Для создания и проверки подписи используются средства цифровой подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с 63-ФЗ.

КЭП, УКЭП подходит всем, кто работает с отчетами в ФСС, ФНС и ПФР, подписывает документы с контрагентами или проводит онлайн-торговлю. Квалифицированная подпись позволяет зарегистрировать онлайн-кассу, подать иск в суд и заключить трудовой договор с дистанционным сотрудником без личной встречи.

Фактически квалифицированная электронная подпись для закона является полноценным аналогом традиционной подписи на любом документе. 

 

Порядок получения сертификатов ЭП

Для юридических лиц

Простую электронную подпись пользователь может получить самостоятельно при регистрации на интернет-ресурсе. При этом личное присутствие получателя не требуется, а юридическая значимость устанавливается соглашением сторон.

Аналогичным способом происходит получение неквалифицированной электронной подписи, за единственным исключением: в отличие от простой подписи, за УНЭП надо платить. 

Квалифицированную электронную получают через аккредитованный УЦ при личном присутствии получателя. Продлять УКЭП можно без личного посещения удостоверяющего центра, если у вас есть действующая УКЭП. Тогда вы можете просто подписать ей заявление о продлении и направить его в УЦ. 

 

Для сотрудников

Если вы выстраиваете внутренний документооборот в организации и вам нужна электронная подпись для сотрудника, и он получает УКЭП впервые, необходимо:

  1. Подать заявку на выпуск подписи в аккредитованном УЦ;
  2. Лично подойти в пункт выдачи с паспортом, СНИЛС и ИНН.

20 марта 2023 года Минцифры России обновило перечень аккредитованных УЦ. Их количество в стране на данный момент составляет 47 организаций. Посмотреть актуальный список можно по ссылке https://digital.gov.ru/ru/activity/govservices/certification_authority/ 

Если у сотрудника уже есть действующая УКЭП:

  1. Оформить заявку на выпуск подписи в аккредитованном УЦ;
  2. Подписать заявку на получение сертификата действующей УКЭП;
  3. Оплатить новый сертификат и дождаться его выпуска;
  4. Проверить и подписать бланк сертификата УКЭП.

Важный момент. Сам факт наличия сертификата еще не говорит о том, что подпись действительна. Обязательно должен быть соблюден ряд требований по процедуре получения этого сертификата. Существует судебная практика, по которой электронная подпись под документом была оспорена на основании того, что факт подтверждения УКЭП был на два дня позже, чем факт подписания документа о получении. 

 

Для ИП, руководителей, нотариусов

Если получают впервые:

  1. Выбрать подходящее отделение ФНС России
  2. Записаться на прием в ФНС России;
  3. Предоставить документы (паспорт и СНИЛС);
  4. Подготовить токен (нужно купить в УЦ или принести существующий);
  5. Подойти в отделение ФНС России;
  6. Пройти идентификацию в отделении ФНС России и получить сертификат;
  7. Повторить через 15 месяцев.

Если уже есть действующая УКЭП:

  1. Авторизоваться в личном кабинете юрлица или ИП;
  2. Подписать заявку на получение сертификата действующим УКЭП;
  3. Подготовить токен (нужно принести существующий);
  4. Подойти в отделение ФНС России;
  5. Пройти идентификацию в отделении ФНС России и получить сертификат;
  6. Повторить через 15 месяцев.

 

Основания для отказа в выпуске ЭП 

  • Заявитель не предъявил необходимый пакет документов сотруднику ФНС России.
  • Данные предоставленных заявителем документов расходятся с информацией в государственных информационных системах. 
  • Проблемы с токеном: отсутствие, неисправность, несоответствие предъявляемым требованиям.
  • В некоторых случаях, требования законодательства могут ограничивать возможность выпуска ЭЦП. Причины могут быть связаны законодательными ограничениями или с требованиями к сфере деятельности заявителя.

 

Порядок использования МЧД с ЭП

МЧД (машиночитаемая доверенность) — это электронный документ, содержащий информацию о праве лица на совершение определенных действий от имени другого лица. Он может быть использован для подписания договоров, подачи заявлений в госорганы и т.д. По сути МЧД — это аналог традиционной бумажной доверенности. 

Основными элементами машиночитаемой доверенности являются фамилия и имя доверителя, фамилия и имя доверенного лица, срок действия доверенности, а также иные сведения, необходимые для определения сторон, подписавших доверенность. Данные оформляются в специальном формате, чтобы их можно было прочитать с помощью специального сервиса.

 

Требования к МЧД

Согласно Приказу Минцифры РФ от 18 августа 2021 года № 857, МЧД требуется создавать в формате xml. В документе обязательно должны быть указаны:

  • наименование и номер;
  • сведения о доверителе для физлица или ИП;
  • сведения о доверителе для российского и иностранного юрлица;
  • сведения о представителе;
  • дату совершения и срок действия;
  • перечень полномочий с идентификаторами по классификатору;
  • идентифицирующие сведения об информационной системе для проверки данных о досрочном прекращении действия;
  • усиленную квалифицированную электронную подпись;
  • возможность передоверия.

Машиночитаемые доверенности имеют ряд преимуществ, в том числе, снижают вероятность ошибок при обработке данных, ускоряют процесс регистрации и выполнения договорных обязательств, а также повышают уровень безопасности транзакций.

 

Порядок использования МЧД с ЭП

Подписанная МЧД может быть направлена в составе контейнера документов или опубликована в какой-либо информационной системе, доступной получателю, с указанием ссылки доступа и идентификатора МЧД. ФНС предоставляет от себя такую информационную систему, т.е. распределенный реестр ФНС является одним из вариантов информационных систем, где вы можете публиковать свою МЧД. При этом вы также должны уведомить контрагента, что доверенность опубликована в распределенном реестре и сообщить ее номер.

Если мы говорим про координацию через операторов ЭДО, то у них свой подход. Они не позволяют подписанный МЧД направлять в составе контейнера с документами как типизированный документ. Т.е. если вы хотите при  отправке через оператора ЭДО указать, что это машиночитаемая доверенность, то вы загружаете сначала доверенность к ним, после чего доверенность привязывается к сотруднику, и при подписании из привязанных доверенностей вы выбираете какая будет отправлена. При этом если вы отправляете доверенность из СЭД, можно просто указать идентификатор доверенности, и она точно также прикрепляется к документу. 

 

Использование ЭП в архиве

Важно помнить, что в архиве электронная подпись должна обладать дополнительными признаками, чтобы мы могли её проверить на долгой дистанции. Для этого существует механизм меток доверенного времени, и в цифровой подписи он используется дважды.

Если у нас нет метки доверенного времени, практически все подписи, которые сейчас существуют, формируются в базовом формате (CAdES-BES). Он может проверить, что документ подписан вами, и что документ не изменялся на момент подписания, но он не фиксирует момент времени. Если истек срок действия подписи или её изъяли и нет отметки времени, проверка покажет, что сертификат подписи не валиден. Если есть отметка времени, то подпись признается и после отзыва либо истечения срока действия сертификата (если метка времени попадает на то время, когда сертификат действовал).

Внутри электронного архива метка времени присутствует дважды, фактически это механизм улучшения подписи. 

CAdES-T — формат, в котором метка времени появляется на цифровой подписи, и пока у вас работает сервис метки времени, пока доступны все списки отзыва, эта метка рабочая. Горизонт действия такой метки в пределах пятнадцати лет. Т.е. у нас не более пятнадцати лет работает сервис меток времени, после чего он должен быть перезапущен по текущим механикам. 

CAdES-A — максимальный формат, который включает в себя не просто ссылки на сертификат и списки отзыва, а значения этих списков и сертификата, благодаря включению формата CAdES-XL, а также в нем появляется архивная метка времени — метка, которая ставится со стороны архивной системы и периодически обновляется, всегда работает с актуальным сервисом меток времени. Соответственно, задача архива отслеживать, что архивная метка действующая, и когда у нее подходит к концу срок использования, поставить новую архивную метку времени.

Соответственно, механика улучшения подписи необходима в архиве для того, чтобы надолго обеспечивать юридическую значимость документов. 

Использование ЭП в архиве

 

Долговременное хранение МЧД в архиве 

Долговременное хранение машиночитаемых доверенностей должно быть организовано в соответствии с требованиями законодательства и нормативными документами.

В архиве надо хранить саму доверенность, XML-файл с подписью. Для того, чтобы МЧД оставалась действующей, на нее тоже надо применять механизм меток времени, также как он применяется на основной документ. 

Есть два варианта как их хранить в архиве:

  1. Можно хранить МЧД с каждым документом.
  2. Если мы понимаем, что МЧД у нас документ переиспользуемый и в дальнейшем на него будет много ссылок, то мы можем формировать отдельный реестр МЧД, по которому мы, как по типу документов, отслеживаем всю атрибутивность, проставляем все метки времени, а в документах храним ссылки на эти МЧД. Это единый архив, в котором есть и документ, и МЧД, но при этом мы избегаем дублирования машиночитаемых доверенностей.

Если XML-файл МЧД хранится у третьих лиц, в информационную систему доверителя помещается только GUID МЧД.

 

Как упростить работу с ЭП в СЭД

Каждая компания подписывает договоры и прочие документы. Специализированное программное обеспечение оптимизирует этот процесс, увеличивая скорость согласования, подписания и других сопутствующих задач. Разберем, как упростить работу с электронной подписью в организации на примере системы для электронного документооборота — ELMA365 ECM.

 

Настройка подписи

Удобно, если ваша СЭД позволяет настроить что требуется подписать, что не требуется подписывать, и требуется ли подписание на каждом отдельном этапе.

Благодаря тому, что ELMA365 ECM, по сути, является конструктором, пользователь может произвести гибкую настройку процесса согласования и подписания документов. Здесь мы  можем указать, требуется ли в принципе подписывать документ, причем как в согласовании, так и в подписании, а также указываем что именно требуется подписать. При согласовании мы позволяем подписать атрибуты, файл и указать согласовано ли решение, а при подписании можно поставить ЭП только на атрибуты и сам файл. Нет необходимости подписывать само решение, поскольку если в согласовании отказано, то и подпись не ставим.

Помимо этого система позволяет выбрать необходимость подписания: опционально или обязательно. К примеру, подписание файла может быть обязательным, а подписание атрибутов на усмотрение пользователя. На этом же этапе автоматически подтягивается провайдер, и есть возможность выбрать сертификат.  В случае если сертификат один, он также будет подставляться автоматически.

Настройка подписи в ELMA365 ECM

 

Управление сертификатами ЭП

В системе ELMA365 ECM у пользователя есть общий интерфейс управления сертификатами, в котором заложены следующие возможности: 

  • Проверка статуса сертификата (выпущен, действует, ошибка при выпуске и др.);
  • Выбор сертификата, который будет использоваться по умолчанию. Таким образом в процессе подписания сертификат будет подтягиваться автоматически. Конечно, при необходимости его можно будет поменять. 
  • Просмотр атрибутов сертификата (номер, срок действия и т.д.);
  • Запуск процесса на выпуск нового сертификата и т.д. 

 

Сценарии

ELMA365 ECM как Low-code платформа предоставляет возможность работать с ЭЦП в сценариях, которые помогают реализовать сложную логику работы с объектами системы. С их помощью можно просматривать историю подписания, получать атрибуты из электронной подписи, дату подписания, данные сертификата и т.д.

Сценарий представляет собой набор функций, написанных на языке TypeScript, и имеет доступ к множеству глобальных констант. При публикации процесса или виджета сценарии проверяются и транспилируются в JavaScript, который будет исполняться в будущем.

 

Криптопровайдеры

Криптопровайдеры — сервисы, использующиеся для создания и управления цифровыми ключами шифрования цифровой подписи. Они являются неотъемлемой частью системы ЭДО, так как обеспечивают безопасность передачи и хранения документов в электронном виде.

Применение криптопровайдеров в системе ЭДО необходимо для генерации цифровых подписей и шифрования документов.

Система ELMA365 ECM поддерживает большое количество криптопровайдеров, среди которых:

  • КриптоПро
  • myDSS
  • Sign.Me
  • Удостоверяющий центр КОНТУР
  • Госключ
  • НУЦ РК
  • Калуга Астрал

Компания ELMA выпускает собственную простую электронную подпись, для которой представлена криптография, проверка целостности документа и механики, которые помогают нам гарантировать фиксацию времени, автора и неизменность подписанного документа.

При выборе криптопровайдера необходимо учитывать его функциональность, надежность и совместимость с другими программными продуктами. 

 

Подведем итоги 

Электронные подписи упрощают многие процессы работы с документами, ускоряя согласование и подписание. Кроме того, они избавляют от необходимости печатать, подписывать, сканировать и повторно отправлять документы, т.е. осуществлять процессы, которые могут привести к задержкам. 

Залог грамотной и эффективной работы с ЭП — качественная система электронного документооборота. ELMA365 ECM обладает всем необходимым функционалом для обеспечения юридически значимого ЭДО в компании и широкими возможностями для масштабирования. А благодаря гибким настройкам система всегда готова к вступлению в силу новых законодательных изменений. 

Попробуйте ELMA365 ECM бесплатно

Рецензент: Алексей Трефилов

Поделиться:

Статьи

Все статьи