Особенности использования электронной подписи для межкорпоративного документооборота
Какой электронной подписью можно подписывать документы, которые будут отправлены через сервис обмена?
Стандартно система DIRECTUM и сервис обмена Synerdocs поддерживают работу только с квалифицированной ЭП.
В остальном при ответе на этот вопрос нужно учитывать два критерия:
- Вид подписываемого документа. Например, для счета-фактуры подходит только квалифицированная электронная подпись, а вот для неформализованных накладных можно использовать и неквалифицированную, соблюдая при этом положения Федерального Закона № 63 «Об электронной подписи».
- Виды подписей, которые принимает сервис обмена. Например, Synerdocs работает с квалифицированной электронной подписью. При этом помните, что с оператором можно договориться, если в ваших процессах есть особенности, связанные с использованием других видов ЭП.
Учитывая, что многие документы отправляются комплектом со счетом-фактурой, да и налоговые органы работают только с квалифицированной ЭП, то проще подписывать все документы именной ей. Ключ электронной подписи можно будет установить локально на компьютер (если пользователь уверен, что никто больше к нему не имеет доступа) или на токен, который сможет хранить в сейфе или всегда носить с собой.
Кто должен подписывать документы и можно ли передать подпись другому лицу?
Подписывать должен тот, кто указан как подписант в самом документе, и у кого есть на это полномочия, закрепленные, например, уставом, приказом или доверенностью. При этом передавать свой ключ ЭП третьему лицу не стоит, законодательство в этой части неоднозначное. Статья 10 Федерального закона №63 «Об электронной подписи» говорит, что участник электронного взаимодействия должен обеспечивать конфиденциальность ключа электронной подписи, в частности не допускать использование принадлежащих им ключей без их согласия.
Информация о передаче ключа другому человеку может использоваться для того, чтобы признать подпись в документе недействительной, и в этом случае нужно будет иметь документ, который доказывает правомерность такого использования подписи.
Самый правильный вариант – приобрести электронную подпись тому, кто будет реально подписывать документ, и закрепить его полномочия соответствующей доверенностью или приказом.
Что такое служебные документы и кто их может подписывать?
Есть основной документ, который должен уйти от отправителя к получателю, а есть служебные, которые позволяют подтвердить этапы обмена. Для счетов-фактур такие служебные документы прописаны законодательно и имеют свои форматы. Для остальных видов они не обязательны, но полезны, так как по ним, например, можно определить, в какой момент времени адресат получил документ.
Подписывать служебные документы может как основной подписант, так и другое лицо, которому выдана доверенность или на которое выпущен приказ.
Можно ли автоматизировать подписание служебных документов?
Если основной документ перед подписанием нужно обязательно просмотреть, чтобы убедиться в его правильности, то служебные документы существуют для технических целей, поэтому их подписание можно автоматизировать.
В системе DIRECTUM возможны два варианта.
Первый предполагает периодический запуск сценария «Выполнить сеанс обмена» с рабочего места пользователя, на котором установлен ключ электронной подписи. Можно настроить запуск по расписанию через назначенное задание Windows.
Второй вариант – «полная автоматизация», когда ключ электронной подписи устанавливается на сервер со службой DISI, которая отвечает за синхронизацию документов, статусов и контактов. В этом случае участие пользователя не требуется вообще. Это удобный вариант, но не самый безопасный, поэтому рекомендуется оформить установку ключа на сервер как минимум документально. В приказе должно быть указано:
- серийный номер сертификата ЭП;
- ФИО владельца сертификата ЭП;
- информация о том, что владелец сертификата ЭП отвечает за сохранность ключа;
- перечень видов документов, которые могут быть подписаны автоматически на сервере, желательно закрытый.
Вместо заключения
Эти ответы позволят разобраться в том, какой вид электронной подписи и как можно использовать при внедрении ЭДО. Если у вас ещё остались вопросы – обращайтесь в раздел «Консультации» на сайте www.synerdocs.ru.
Доброго дня, коллеги! Анастасия, благодарю за статью! Можете ли Вы дополнить её информацией по использованию квалифицированных ЭП при размещении закрытого ключа во внешнем облачном хранилище (опыт вашей компании, экспертное мнение/нюансы использования и применимости)?
Добрый день, Артем! Приношу извинения за поздний ответ.
Что касается "использования квалифицированных ЭП при размещении закрытого ключа во внешнем облачном хранилище ":
Среди наших клиентов и наших партнеров для такого типа размещения закрытой части ключа получило хождение название "Облачная электронная подпись", либо просто - Облачная подпись (далее ОЭП).
Экспертное мнение:
С точки зрения законодательства, по крайней мере, с точки зрения Федерального закона "Об электронной подписи", ОЭП ничем не отличается от "Локальной электронной подписи", т.е. подписи, которая формируется при помощи закрытой части, которая хранится на носителе, либо в реестре.
Различие есть только в способе ее формирования - в случае "локальной подписи" какой-либо сервис, которому требуется создание подписи к документу, обращается через СКЗИ к закрытой части, которая хранится у клиента, а в случае с ОЭП, такой запрос сервис посылает на сервер, на котором хранится закрытая часть. При этом сервис создает токен на сессию доступа клиента, токен подтверждается вводом пароля, который в свою очередь направляет сервер ОЭП. СМС направляется на однозначно привязанный к ячейке закрытой части ключа клиента на сервере номер сотового телефона.
При подписании документа на сервер ОЭП для подписания может направлять хеш документа, либо его контент, в зависимости от архитектуры интеграционного решения.
Опыт нашей компании:
На данный момент ОЭП широко используется малым и средним бизнесом, использующим Synerdocs для обмена с генераторами трафика (крупные агрегаторы такси, интернет-магазины). Почему они готовы использовать именно ОЭП? Это дешевле, чем локальная ЭП. ОЭП не требует настройки рабочего места. С ОЭП можно работать с мобильных устройств. В итоге - плюсы ОЭП перевешивают универсальность локальной ЭП.
Нюансы использования и применимости:
ОЭП можно использовать только в сервисе, который интегрирован с сервисом (сервером) ОЭП из-за технологии создания подписи.
В случае получения кодов через СМС, ОЭП ограничена возможностями пакета СМС, который использует сервис ОЭП (пример - СМС на короткие номера и на номера, зарегистрированные не в РФ не доходят из-за ограничений оператора сотовой связи).
При использовании ОЭП необходимо учитывать фактический объем и количество документов, которые проходят через сервис для подписания. Это будет оказывать влияние на производительность в случае, когда архитектура интеграции сервиса ЭДО и сервиса ОЭП предполагает подписание контента документа, а не хеша.
Благодарим за вопрос!
Авторизуйтесь, чтобы написать комментарий