Электронная подпись технологическая: 63 ФЗ закон об электронной подписи полный текст

Содержание

Электронная подпись | Использование ЭП (ЭЦП) в системе электронного документооборота




  • Владимир Андреев
  • 15 февраля 2022
  • Статьи

При работе с электронными документами большое внимание уделяется гарантии их подлинности. Так как цифровые копии подделать проще, чем бумажные оригиналы, в корпоративной системе электронного документооборота должны быть предусмотрены механизмы, гарантирующие защищённое хранение конфиденциальных документов, предотвращение несанкционированных изменений документов, копирование их содержимого и т.д.

Электронная подпись (ЭП, ранее электронная цифровая подпись (ЭЦП или ЦП) – это способ подтвердить неизменность данных в документе и идентифицировать лицо (физическое или юридическое) его подписавшее. Цифровой сертификат ЭП защищает от подделки документов, является аналогом обычной подписи и «мокрой» печати, что позволяет осуществлять документооборот полностью в электронном виде и реализовать долгосрочное хранение документов (от 15 лет и дольше).

Использование различных видов электронной подписи в СЭД, изменения законов об ЭП в 2021-2022 гг.

Виды электронных подписей в ИТ-системе компании

При работе в системе электронного документооборота (СЭД) электронная подпись задействуется во многих задачах обработки документа. Самый базовый – сценарий подписания документа, который является этапом процесса согласования. Система поддерживает различные варианты подписи, также можно установить ЭП разного уровня сложности верификации для определённых пользователей. В момент нажатия на кнопку «Подписать» система предлагает выбрать один из вариантов:

  • Простая электронная подпись. Содержит логин и пароль сотрудника. Согласно закону об электронной подписи (ФЗ №63), простая подпись действительна, если можно проверить логин и пароль, установить личность сотрудника, заверившего документ.
  • Усиленная электронная подпись (с выбором сертификата). Система запрашивает доступ к сертификатам пользователя. Это может быть усиленная неквалифицированная или усиленная квалифицированная подпись. Система информирует о том, что подпись успешно сформирована. В Журнале подписей появляется информация, что сотрудник подписал документ, указано время, вид подписи. Возникает отметка об успешной проверке валидности цифрового сертификата, что подтверждает корректность заверения документа (поле «Подпись верна»).

 

На стадии разработки документа электронная подпись может использоваться для подтверждения согласия с ним ответственных лиц или, например, для подтверждения ознакомления сотрудников с обновлениями ключевых документов компании.

В системе можно регулировать выбор вариантов подписи. Например, можно установить всем пользователям один вариант подписи, когда отделу кадров необходимо ознакомить сотрудников под роспись с новыми регламентами работы или внутренними правилами.

Механизмы ЭП также позволяют сохранить юридическую значимость архивных документов. Все описанные сценарии работы поддерживаются системой Docsvision.

Для юридически значимого обмена документами с контрагентами через оператора ЭДО в систему загружается документ с уже проставленной электронной подписью, но проводится проверка её действительности.

Облачная электронная подпись (ОЭП)

В последние годы наблюдается устойчивый рост интереса к облачным сервисам (с большими оговорками в части их информационной безопасности, но скорее эти оговорки будут преодолены, чем тренд на любовь к «облаку» развернётся). Облачная электронная подпись – это онлайн-сервис, поддерживающий инфраструктуру выпуска, хранения, обновления и контроля валидности ключей ЭП. Облачная подпись не привязана к устройству, представлена в тех же видах, что и классическая ЭП – простая, неквалифицированная и квалифицированная.

Механизм работы облачной подписи: пользователь отправляет документ в сервис и заверяет его в интерфейсе этого сервиса с использованием пароля и двухфакторной аутентификации (например, кода из SMS). Таким образом не нужно устанавливать себе на устройство специализированное криптографическое ПО. Способ кажется самым удобным и дешёвым, особенно для компаний в сегменте малого и среднего бизнеса. Использование облачной подписи расширяет возможности подписывать документы с мобильных и через web-интерфейсы.

Однако, пока ФСБ не разработало протоколы обеспечения безопасности сервисов квалифицированной облачной электронной подписи. Поэтому провайдеры, даже обладая возможностью технической реализации, не могут им соответствовать. Предположительно, до 2023 года юридически значимая усиленная квалифицированная ЭП (УКЭП) в облачных сервисах не будет доступна. С другой стороны, спектр применения облачной неквалифицированной ЭП очень широк, некоторые работодатели начинают всё активнее использовать её в цифровых кадровых процессах.

Печать и выгрузка документов с электронной подписью

Заверенный документ может выводиться на печать или скачиваться из системы в формате . pdf. Для визуализации факта заверения на документе отображается штамп электронной подписи. Иногда он может накладываться на текст документа. В Docsvision есть возможность редактирования места размещения штампа в режиме предпросмотра. После размещения штампа в нужном месте документ может быть распечатан или отправлен по электронной почте с номером сертификата, сроком его действия и ФИО владельца сертификата.

 

Так же можно осуществлять пакетную выгрузку документов из системы для различных целей. Для выгрузки документов выбирается нужный реестр, отмечаются необходимые документы и с помощью кнопки «Скачать документы» или «Отправить …» документы с электронной подписью направляются во внешнюю систему для последующей обработки. Подобным образом выгружаются комплекты, например, при запросе ФНС предоставить определённые первичные документы. Бухгалтер формирует выборку с помощью формы поискового запроса. Выборка появляется в виде реестра, в котором специалист отмечает то, что ему необходимо отправить в ФНС из системы.

Эти функции Docsvision используются в готовых решениях, например, для формирования и отправки электронной отчётности или в архиве бухгалтерских документов.

Долгосрочное хранение документов, электронный архив

На сегодняшний день чёткого и ясного универсального решения относительного длительного хранения документов (свыше 15 лет) государство не предлагает. Существуют определённые решения для случаев, когда нормативы и правила хранения определяет сам заказчик. Это может быть региональный архив, или, к примеру, предприятие, которое не обязано передавать документы в Росархив, но по своим регламентам вынуждено хранить документы долго. Компании применяют собственные технологические решения, оформляют локальные нормативные документы, которые и определяют порядок хранения таких документов.

Для регламентирования документов длительного хранения и архивного фонда разработаны следующие законы:

  1. Закон об электронном дубликате документа уже на утверждении в Госдуме. Он не только позволит пролонгировать срок действия документов, выпуская их дубликаты, но и даст возможность делать электронные дубликаты юридически значимых бумажных документов и, соответственно, переходить от бумажных архивов к цифровым. В Законе определены технологические правила. Но пока непонятны регламенты реализации и стандарты, в том числе, относительно хранения электронной цифровой подписи более 15 лет. Ожидается, что в течение полутора лет нормативная база будет полностью сформирована.
  2. Передача документов на хранение в Росархив. Речь идёт о случаях, когда документы передаются в государственный архив: после закрытия предприятия, обязательная передача определённых типов документов и пр. Минцифры более трёх лет работают над проектом по созданию Централизованной системы хранения электронных документов (ЦХЭД). Завершение разработки намечено на конец 2022 года, и Росархив будет готов обрабатывать и хранить документы в цифровом виде. Пока непонятно, в каком формате нужно передавать документы, как оформлять делопроизводство внутри корпоративного электронного архива, каким образом выгружать документы, по какому протоколу их передавать. Отсутствует необходимая информация и чёткий регламент.

При этом существует возможность хранения долгосрочных документов для тех типов архивов, которые свободны от подчинения требованиями регуляторов. Если у вас внутренний архив и нет технологических преград, вы можете сами описать эти нормы и правила (важно, чтобы они были описаны и обладали статусом НСИ).

Усовершенствованная электронная подпись (формат CAdES – X Long Type 1) позволяет фиксировать штамп времени и проводить проверку валидности сертификата на момент подписания. Она дополняет ЭП и гарантирует, что на момент подписания цифровой сертификат (ключ электронной подписи) действителен и не просрочен. Этого достаточно для соответствия требованиям ФЗ-63 «Об электронной подписи». Так как сертификат сервиса штампа времени хранится по-другому, и доступ к нему сильно зарегламентирован, срок его хранения может достигать 15 лет. Поэтому документы длительного хранения можно заверять штампом усовершенствованной электронной подписи. Это касается львиной доли учётных документов, к которым наиболее часто необходимо обращаться.

Требования к организации длительного хранения документов
  • Поддержка штампов времени и электронной подписи. Необходимо, чтобы в момент подписания документа можно было выбрать усовершенствованную ЭП.
  • Контроль соблюдения регламентов. Например, в процессе загрузки документа в архив для обеспечения длительного хранения при отсутствии штампа времени, пользователю должна быть доступна опция нанесения соответствующего штампа. Кроме того, должна быть предусмотрена возможность пролонгации ключа сертификата базовой подписи (не по факту, а до его устаревания). Если эта процедура зафиксирована в актах и проведена в момент загрузки документа в архив, происходит продление срока действительности документа, необходимое для длительного хранения.

При переходе к цифровому архиву важно убедиться в правильности хранении документов, формализованных внешними органами, например, ФНС. Документы должны храниться в формализованном виде, быть структурированы. Система архива обязана поддерживать хранение всех актуальных форматов и регулярно поставлять обновления, чтобы отвечать всем действующим нормам.

Перештамповка электронной подписи для сохранения юридической значимости документов

При хранении документов свыше 15 лет, несмотря на отсутствие чётких регламентов, существует официальный формат в структуре электронной подписи – CAdES-A архив. Он предполагает процедуру перештамповки: когда до истечения срока сертификата сервиса штампа времени электронной подписи наносится ещё один штамп времени. Таким образом, пролонгируется действие подписи, нанесённой на документ. Пролонгация производится 1 раз в 10-15 лет. При выборе платформы для создания электронного архива важно убедиться в том, что она поддерживает такую функцию.

Переход на новый формат работы с ЭП

Уже с 1 июля 2021 года можно получать ключи электронной подписи нового формата. С 2022 года используются электронная подпись физического лица, которая принадлежит ему, и электронная подпись организации для заверения юридически значимых действий от имени компании.

После вступления в силу новых правил (пока установлена дата 1 сентября 2023 года) документы будут заверяться 2-мя сертификатами:

  • Подпись физического лица на самом документе.
  • Приложенная к документу доверенность, заверенная подписью организации, подтверждающая право физлица подписать этот документ.

Появляется новый формат доверенности – электронная машиночитаемая доверенность (МЧД). Это структурированный документ, который заверяется ЭП юридического лица, содержит указание доверенного лица (или нескольких лиц) и коды передаваемых полномочий. Некоторые вендоры информационных систем и сервисы ЭДО уже реализовали прототипы новых форматов электронной подписи, но пока полностью не сформируются нормативные требования и инфраструктура на стороне госорганов, соответствовать новым правилам не получится. Поэтому Минцифры и ФНС поддерживают инициативу отложить плановую дату перехода на новый формат ЭП и МЧД хотя бы до середины 2023 года.

Формат и валидация подписей, структура их нанесения меняются. Если раньше были ключи с конкретными функциями, то теперь будут два ключа, и их важно правильно наносить, а также механизмы для использования машиночитаемой электронной доверенности.

Платформа Docsvision поддерживает все виды электронной подписи и также предлагает разнообразные механизмы обеспечения и длительного сохранения юридической значимости электронных документов.

Средства поддержки ЮЗДО и ЭП →





ЮЗДО

Владимир Андреев


Президент компании «ДоксВижн»

Технологическое и нормативное обеспечение цифровых сервисов доверия в Российской Федерации / Хабр

Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.

Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06. 04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).


В законодательстве РФ данное понятие появилось с подписанием международного документа «Договор о Евразийском экономическом союзе» (Подписан в г. Астане 29.05.2014), который определяет вопросы экономической интеграции на пространстве ЕАЭС. Договор содержит Приложение №3 «Протокол об информационно-коммуникационных технологиях и информационном взаимодействии в рамках евразийского экономического союза». Данный протокол является правовой основой для решения задачи обеспечения доверия к трансграничным документам с электронной подписью путем использования технологии ДТС. Другой особенностью Договора является то, что он предусматривает решение данной задачи только для отношений между органами власти (G2G). В соответствии со «Стратегией развития трансграничного пространства доверия», утвержденной решением Коллегии ЕЭК от «27» сентября 2016 г. № 105 (далее — Стратегия):

«Субъектами электронного взаимодействия также могут стать органы государственной власти третьих государств (их должностные лица и сотрудники), физические и юридические лица (представители юридических лиц), должностные лица и сотрудники интеграционных объединений, международных организаций при условии заключения соответствующих международных договоров».

На втором этапе развития трансграничного пространства доверия (до 2020 года) предусматривается:

«возможность электронного взаимодействия физических и юридических лиц между собой, а также с органами государственной власти государств-членов при нахождении физических и юридических лиц на территориях своих государств».


Таким образом, правовые, организационные и технологические условия для обеспечения доверия иностранным электронным подписям юридических и физических лиц в рамках трансграничного пространства доверия ЕАЭС, в соответствии со Стратегией, должны быть созданы в ЕАЭС уже в текущем году.

В законодательствах стран Евразийского экономического союза (ЕАЭС), обеспечение юридической силы, как свойства электронных документов, базируется на гарантиях аутентичности и целостности документов. При этом в основном*, для обеспечения свойств аутентичности и целостности электронных документов используются криптографические методы, а правовые основы закладываются в международном и национальном законодательстве. Значительное количество стран- экономических партнёров РФ, основывают своё законодательство в области юридической значимости электронных документов на типовом законе UNCITRAL 2001 года «Об электронных подписях», в качестве технологической основы которого предусмотрена именно криптографическая электронная подпись (digital signature) (табл.1).

Перечень стран, законодательство которых основано на типовом законе UNCITRAL 2001 года «Об электронных подписях»*2

Таким образом, задача организации трансграничного защищенного электронного юридически-значимого взаимодействия сводится к согласованию между странами-участниками отличий правового регулирования (например, требований к условиям применения криптографических средств) и отличий в средствах и способах обеспечения заданных значений защищенности.

Например, для организации защищенного электронного документооборота в странах ЕС и ЕАЭС используются криптографические средства.

При этом, многие страны развивают собственную криптографию, имеют собственные стандарты криптографических алгоритмов, используемых для создания и проверки ЭП (ЭЦП) и собственные механизмы реализации данных алгоритмов (средства электронной подписи и их аналоги).*3

В общем случае, эти решения между собой несовместимы, т.е. электронный документ, подписанный ЭЦП на основе криптографических стандартов, например, Республики Беларусь, не может быть проверен при помощи средств ЭЦП Республики Казахстан и российских средств ЭП.

Рассмотрим далее возможные технологические решения данной проблемы.

Вариант 1: Наиболее очевидным решением в этой ситуации, казалось бы, является использование общего, единого для участников информационного взаимодействия криптографического стандарта для процедур электронной подписи (рис.1).

В пользу этого подхода на постсоветском пространстве говорит наличие криптографических стандартов СНГ — ГОСТ 34. 310-2002. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования». В то же время значительное количество стран использует встроенные в операционные системы решения, основанные на криптографических разработках США.

Но такой подход противоречит принципу национального суверенитета, который определяет рациональность использования сертифицированных по национальным стандартам средств электронной подписи, а также определяет возможность специфики правовой основы применения электронной подписи в разных странах. Отличия могут быть существенные, начиная с терминов, заканчивая смысловым содержанием аналогов собственноручной подписи. По этим причинам «вариант 1» не может рассматриваться как универсальное решение для обеспечения признания иностранной электронной подписи, особенно в Российской Федерации.

Вариант 2: Другим очевидным решением, казалось бы, должен стать подход на основе импорта/экспорта средств электронной подписи (СКЗИ) партнеров, взаимный легальный обмен ими, для оснащения национальных информационных систем и национальных пользователей иностранных информационных систем (рис. 2).

Но этот вариант имеет большое количество организационных и технических сложностей, и кроме того не разрешает весь перечень проблем. Прежде всего, средства электронной подписи являются шифровальными (криптографическими) средствами, а их экспорт и импорт имеет ряд существенных ограничений, затрудняющих реализацию данного варианта. В соответствии с «Положением о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств»:

«Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий, выдаваемых уполномоченным органом государства — участника таможенного союза, на территории которого зарегистрирован заявитель».

Кроме того, ряд вопросов, связанных с использованием средств электронной подписи требует их периодического обслуживания провайдерами сертификационных услуг (например, удостоверяющими центрами), которые функционируют в соответствии с требованиями национальных законодательств и получение таких сервисов за пределами страны присутствия затруднено. Даже при решении задачи ввоза-вывоза средств электронной подписи для конкретной информационной системы, при масштабировании системы организационные проблемы возникают вновь, так как они требуют поэкземплярного учета этих средств, и каждый случай ввоза или вывоза требует оформления разовой лицензии.

К техническим особенностям данного варианта следует отнести, так же, необходимость оснащения всех информационных систем и всех поставщиков полным набором средств электронной подписи, что в настоящее время, кроме организационной затруднений, осложняется и отсутствием совместимости, при работе на одном средстве вычислительной техники наиболее распространенных СКЗИ.

К правовым недостаткам данного варианта следует отнести то, что в этом случае сторонам не предоставляется возможность получения документального подтверждения правомерности применения сертификата ключа проверки подписи для подписания конкретного типа документов в соответствии с законодательством страны происхождения электронного документа. В результате, каждый из контрагентов должен принимать решение о доверии электронному документу, не имея на это достаточных правовых оснований.

Таким образом, вариант 2, основанный на вывозе и ввозе СКЗИ, не является технологичным и неприменим для массового использования, для развивающихся информационных систем и для информационных систем, предполагающих наличие четких правовых условий применения электронных документов.

Для реализации защищенного трансграничного электронного юридически-значимого документооборота на основе криптографических средств целесообразно использовать иные подходы, позволяющие реализовать по существу эквивалентные (по обеим сторонам границы) уровни криптографической защиты информационных потоков и достаточные правовые основания для признания юридической силы электронных документов, т.е. методы, обеспеченные достаточной нормативной базой.

Вариант 3: Это вариант Доверенной третьей стороны, который реализуется в соответствии с тремя базовыми принципами:

  1. для создания «пространства доверия» на основе технологий информационной безопасности и в строгом соответствии с нормами международного и национального права, необходимо чтобы каждая из взаимодействующих сторон оставалась в своем национальном правовом поле;
  2. необходимо чтобы каждая из взаимодействующих сторон использовала собственные национальные криптографические стандарты;
  3. решение вопросов гармонизации технологий криптографической защиты и юридически-значимого оформления «пространства доверия» должно быть делегировано специализированным операторам, функционирующим по принципу Доверенной третьей стороны (ДТС)*4.


Схема взаимодействия сторон при реализации этих базовых принципов представлена на рис.3.

В соответствии с поправками, внесенными Федеральным законом N 476-ФЗ («О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля») в ст.7:

«3. Признание электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, соответствующими признакам усиленной электронной подписи, и их применение в правоотношениях в соответствии с законодательством Российской Федерации осуществляются в случаях, установленных международными договорами Российской Федерации. Такие электронные подписи признаются действительными в случае подтверждения соответствия их требованиям указанных международных договоров аккредитованной доверенной третьей стороной, аккредитованным удостоверяющим центром, иным лицом, уполномоченными на это международным договором Российской Федерации, с учетом настоящего Федерального закона».


Таким образом, с учетом данных положений, основу правовой модели взаимного признания трансграничных электронных подписей должны составлять международные договоры Российской Федерации. После вступления в силу указанных поправок (на момент написания данной статьи вступление в силу определено на 1 июля 2020 года), мы будем следить за появлением подобных международных договоров и анализировать практику работы указанных операторов при решении данной задачи.

В следующих статьях данного цикла мы постараемся рассмотреть другие задачи, связанные с электронной подписью, которые, в свете актуального законодательства РФ, могут и будут возлагаться на доверенную третью сторону.

* Есть исключения, в частности Федеральный закон РФ № 63-ФЗ от 06.04.2011 предусматривает возможность использования некриптографической простой электронной подписи, которая в данном материале рассматриваться не будет, как неприменимая для рассматриваемых прикладных задач.

*2 На основе:

  • Общее руководство по законодательству в области ЭП: краткое изложение законодательства и исполнимости по странам/ Adobe Systems Incorporated 2016.
  • Глобальный индекс кибербезопасности и профили по киберблагополучию. Отчет. Исследовательская группа ABI Research по заказу группы кибербезопасности МСЭ. Апрель 2015 г.
  • Исследования группы компаний “Газиформсервис” 2018-2020 г.г.

*3

В основе стандартов стран ЕАЭС лежат общие подходы, но в настоящее время национальные реализации «навстречу» несовместимы.

*4 Доверенная третья сторона (ДТС) это организация или представитель организации, который оказывает одну или несколько услуг безопасности, и является доверенным для других субъектов относительно действий, связанных с этими услугами безопасности. (ITU IT Recommendation X.842. Information technology – Security Techniques – Guidelines for the use and management of trusted third party services).

Сергей Анатольевич Кирюшкин,

к.т.н., советник Генерального директора ООО «Газинформсервис»

Кустов Владимир Николаевич,

д.т.н., профессор, советник Генерального директора ООО «УЦ ГИС»

Основные тенденции 2022 года в технологии электронных подписей

Электронные подписи в последние годы быстро набирают популярность в крупных регулирующих органах и правительствах по всему миру. Сама технология электронной подписи созрела и эволюционировала, чтобы облегчить изменение нормативно-правовой базы и бизнес-ландшафта. Что изменилось за последнее время и как это влияет на ваш выбор поставщиков электронной подписи?

Самыми важными изменениями за последнее десятилетие стало принятие законов об электронной подписи во многих регионах, благодаря чему вам стало проще узнать, что необходимо для обеспечения законности электронных подписей. Совсем недавно COVID-19Пандемия 2020 года побудила многие государственные и регулирующие органы разрешить использование электронных подписей для транзакций, для которых ранее требовались бумажные и чернильные подписи. Например, в США Федеральный резервный банк, Комиссия по ценным бумагам и биржам (SEC) и Служба внутренних доходов (IRS) выпустили руководство по электронной подписи, которое позволяет использовать больше форм, документов и транзакций, чем когда-либо прежде. . Канадское налоговое агентство (CRA) приняло аналогичные меры.

 Влияние этих изменений на вас заключается в том, что некоторые технологические возможности стали более важными для обеспечения соответствия вашего решения для электронной подписи и его соответствия требованиям будущего. Мы рассматриваем некоторые ключевые изменения, уделяя особое внимание расширенной проверке личности и параметрам биометрической подписи. И то, и другое крайне важно учитывать, потому что все больше электронных подписей происходит удаленно (все подписывающие стороны физически не присутствуют в одном и том же месте, а документы, удостоверяющие личность, не проверяются лично).

Биометрические подписи

Важно, чтобы все стороны, участвующие в транзакции с электронной подписью, чувствовали себя в безопасности и были уверены в электронной подписи. В этом помогают биометрические подписи. Биометрическая подпись основана на уникальных характеристиках человека, таких как его почерк или отпечатки пальцев.

Рукописные биометрические электронные подписи 

Рукописные подписи уже давно считаются надежными, и известно, что их трудно подделать в ходе обычных деловых операций, даже если электронные подписи не используются. Биометрические подписи помогают заверить подписывающую сторону, что никто другой не сможет поставить подпись вместо нее без ее ведома. Другие стороны в транзакции также могут быть уверены, что после подписания подписывающий не сможет отказаться от своей подписи, поскольку подпись легко связать с этим конкретным подписывающим лицом.

Наиболее популярными электронными биометрическими подписями являются нарисованные от руки, поскольку они больше всего напоминают процесс рукописного ввода, особенно те, которые нарисованы с помощью сенсорного экрана или стилуса. Рисование с помощью мыши не так естественно, а методы обнаружения подделок менее развиты. Несмотря на то, что машинописные подписи имеют некоторые биометрические характеристики, такие как частота набора текста, они выглядят одинаково, если печатаются тем или иным человеком, и не внушают одинакового уровня доверия.

 В прошлом такие биометрические рукописные подписи требовали либо сенсорного экрана, либо стилуса. Предприятие, которое часто занимается транзакциями электронной подписи, может предоставить такие устройства на своем собственном сайте, но для документов, подписанных удаленно, трудно предположить, что все подписывающие стороны будут иметь сенсорный экран или стилус на своем компьютере. Даже самые последние компьютеры, в том числе мобильные и высокопроизводительные, такие как Pro-версия Apple MacBook, не имеют сенсорного экрана .

Одно из последних нововведений в технологии электронной подписи позволяет наносить подпись с помощью телефона во время подписания документа на компьютере . Вы просматриваете и заполняете документ для подписи на своем компьютере, но когда вам нужно подписать, вам показывается QR-код для сканирования с помощью телефона. Сканирование QR-кода автоматически устанавливает безопасное соединение между телефоном и компьютером. Затем вы рисуете на экране телефона. Чтобы сделать это действительно простым, подпись появляется на вашем компьютере в реальном времени, когда вы рисуете на телефоне.

Эта инновационная возможность уже доступна в Encyro E-Sign и может стать доступной в других продуктах в будущем.

Электронная подпись на основе отпечатков пальцев

Биометрические подписи также могут использовать отпечатки пальцев. Конечно, это требует использования считывателей отпечатков пальцев, и такие считыватели обычно встраиваются в смартфоны для разблокировки экрана без ввода кода. Однако недостатком является то, что считыватели отпечатков пальцев на смартфонах используют двухмерное сканирование отпечатка, и их легко подделать, используя так называемые отпечатки мастер-ключа (искусственные отпечатки пальцев, разработанные для соответствия отпечаткам пальцев любого человека). Более сложные считыватели отпечатков пальцев, использующие трехмерное сканирование, устойчивы к таким отпечаткам мастер-ключа. Хотя такое специализированное оборудование может быть предоставлено для электронных подписей на месте, обычно нецелесообразно предполагать, что все подписывающие стороны имеют к нему доступ, когда подписи выполняются удаленно.

Расширенные проверки личности

Почти все правила требуют, чтобы уникальные идентификаторы были связаны с подписывающим лицом для установления его личности, особенно когда подпись происходит удаленно. Это важно для того, чтобы гарантировать, что правильное лицо подписало, и они не могут отказаться от своей подписи, заявив, что ее подписал кто-то другой. Личность может быть установлена ​​с использованием нескольких методов, и новые технологии электронной подписи предлагают выбор из нескольких таких методов:

  • Доступ к электронной почте: Наиболее распространенным способом идентификации подписавшего является его адрес электронной почты. Ссылка отправляется на их конкретный адрес электронной почты и используется для запуска процесса подписи. Это помогает гарантировать, что человек, имеющий доступ к этому почтовому ящику, подписывает документ. Действительно, если данные электронной почты были взломаны либо по сети, либо при хранении на любом из устройств пользователя, эта проверка личности скомпрометирована. Поскольку электронная почта часто синхронизируется с мобильными устройствами, включая ноутбуки и смартфоны, а кража устройств является одной из основных причин утечки данных, эта проверка личности не считается самой надежной. Однако это одна из старейших и часто единственная проверка личности, поддерживаемая многими старыми службами электронной подписи в их более дешевых планах.
  • Пароли: Еще один способ установить личность подписавшего — это ввести его в систему, используя свой пароль. Это делает его устойчивым к утечке данных электронной почты, когда могут быть просочены ссылки на приглашения с электронной подписью из чьего-либо почтового ящика. Пароль — это то, что знает только человек, использующий логин, и он однозначно связан с ним. Единственным недостатком является то, что лицо, подписывающее документ, должно сначала зарегистрировать учетную запись в системе поставщика электронной подписи. И чтобы быть уверенным, что логин принадлежит правильному человеку, некоторые предыдущие транзакции без подписи должны были иметь место с этим человеком, использующим ту же систему. Хотя это трудно предположить в системах, предназначенных для электронных подписей, таких как DocuSign и SignNow, это может быть хорошим вариантом при использовании системы электронной подписи, которая также используется для других транзакций. Например, при использовании Encyro E-Sign пользователь мог ранее использовать свою учетную запись Encyro для обмена файлами или сообщениями, и эта предыдущая транзакция помогает установить личность пользователя.
  • Одноразовый пароль (OTP) в текстовом сообщении: Многие поставщики электронных подписей предлагают вам добавить номер телефона подписывающего, чтобы подписывающий должен был получить секретный код в текстовом сообщении, а затем ввести его, прежде чем он сможет подписать. Это полезно с точки зрения идентификации подписывающей стороны, поскольку теперь в дополнение к их электронной почте (и, возможно, паролю) с транзакцией также связан номер их мобильного телефона. В большинстве регионов получение мобильного телефона требует, по крайней мере, некоторой проверки личности, а во время подписания для получения текстового сообщения требуется физическое владение телефоном. В результате некоторые органы, такие как Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA), специально требуют использования многократных проверок личности, обычно интерпретируемых как двухэтапная проверка (также известная как MFA) с использованием такого секретного кода. Стоимость этой функции может сильно различаться в зависимости от поставщика услуг электронной подписи.
  • Проверка кредитного отчета: Другой способ установить личность подписывающего лица в некоторых странах — попросить подписывающего ответить на вопросы, основанные на его кредитном отчете. Вопросы обычно включают в себя то, что человек должен узнать некоторые адреса, по которым он проживал несколько лет назад, какую-то ссуду или кредитную линию, которая у него есть или была в прошлом, или другую подобную информацию, которая, как ожидается, будет известна только этому человеку. Ключевым недостатком этого подхода является то, что на эти вопросы трудно ответить .0024, и часто подлинный подписывающий поймет их неправильно. Другой недостаток состоит в том, что использование таких проверок в процессе электронной подписи требует больших затрат для лица, запрашивающего подпись . Утверждалось, что использование этой опции больше не является безопасным, поскольку недавно из EquiFax было украдено более 140 миллионов кредитных отчетов, а другие подобные утечки данных расследуются. Действительно, Национальный институт стандартов и технологий США специально рекомендует не основывать аутентификацию на типах данных, которые могут быть доступны на черном рынке (публикация NIST 800-63).
  • Подтверждение личности с помощью документов: Еще один новый подход — использование удаленной проверки личности, первоначально разработанной для новых требований «Знай своего клиента» (KYC), предъявляемых к финансовым учреждениям. Это новая технология, которая просит пользователя сначала сделать селфи с помощью своего мобильного телефона, а затем сфотографировать выданные государством документы, удостоверяющие личность, такие как водительские права или паспорт. Технология включает в себя проверку живости, которая гарантирует, что на селфи находится реальный человек, а камера не направлена ​​на фотографию предполагаемого человека. Эта технология становится доступной у некоторых поставщиков электронных подписей, таких как DocuSign. Хотя затраты в настоящее время высоки, а проверка личности не является мгновенной, она может быть очень безопасной, поскольку устанавливает личность с использованием документов, удостоверяющих личность, выданных государством.

Что это значит для вас?

По мере роста количества продуктов для электронной подписи росло и разнообразие предлагаемых функций и инструментов. Точный набор необходимых функций может зависеть от характера вашего рабочего процесса и потребностей организации, но для всех транзакций необходимо обеспечить две вещи: правильное лицо подписало и что транзакция с электронной подписью соответствует требованиям законодательства. По этой причине очень важно выбрать технологию электронной подписи, которая предлагает необходимые технологические возможности для удовлетворения обоих этих требований. При выборе всегда проверяйте, по крайней мере, следующие аспекты.

  • Подтверждение личности: Предлагает ли продукт, который вы рассматриваете, варианты идентификации подписывающей стороны, такие как вход на основе пароля и одноразовые пароли (OTP) или коды доступа с помощью текстового сообщения? Это позволит вам связать электронную подпись с правильным человеком и предотвратить любые попытки отказа. Некоторые продукты электронной подписи, такие как DocuSign и SignNow, предлагают эти функции только в своих корпоративных планах за высокую ежемесячную плату, в то время как другие, такие как Encyro E-Sign, также включают их в свои планы более низкого уровня. В дополнение к возможности, отправка одноразового пароля в виде текстового сообщения почти всегда требует дополнительных затрат. Эти расходы также сильно различаются у разных поставщиков, и их лучше проверить перед покупкой.
  • Биометрические рукописные подписи: Проверьте, позволяет ли платформа электронных подписей отключать подписи, созданные путем ввода или загрузки изображения. Некоторые службы электронной подписи, такие как Encyro E-Sign, идут еще дальше и также позволяют запрещать подписи, нарисованные с помощью мыши, где это необходимо, требуя, чтобы подписывающее лицо либо подписывало документ на устройстве с сенсорным экраном, либо использовало безопасное сканирование QR-кода для рисовать на экране телефона.
  • Контрольные журналы: Это неотъемлемая часть легализации электронной подписи. Вы должны убедиться, что все ваши рабочие процессы, использующие электронные подписи, имеют контрольные журналы для проверки подлинности подписи. Самый простой вариант — включить журнал аудита в каждый подписанный документ, чтобы вам не приходилось зависеть от какой-либо внешней системы. Хотя это может показаться очевидным, реальность такова, что некоторые сервисы, такие как PandaDoc, даже не предлагают контрольные журналы в своем бесплатном плане. Другие ограничивают доступ только к отправителю с активной платной учетной записью у поставщика, а некоторые, такие как DocuSign, могут разделить данные журнала аудита на отдельный документ для загрузки и отслеживания. Убедитесь, что вы выбрали продукт, который позволяет включать необходимые журналы аудита в документ, подписанный электронной подписью, чтобы копии, сохраненные вне учетной записи поставщика услуг, были полностью автономными и могли использоваться, даже если вы отмените свою учетную запись в будущем. Adobe Sign предлагает эту функцию, если вы правильно ее настроите. Encyro E-Sign предлагает это по умолчанию.
Дженни Чанг

Дженни Чанг — старший писатель, специализирующийся на программных решениях SaaS и B2B. Ее решение сосредоточиться на этих двух отраслях было вызвано их взрывным ростом в последнее десятилетие, большую часть которого она связывает с появлением прорывных технологий и их быстрым внедрением предприятиями, которые быстро осознали свою ценность для своих организаций. Она охватила все основные разработки в области программных решений SaaS и B2B, от внедрения масштабных ERP до платформ для малого бизнеса, чтобы помочь стартапам на пути к успеху.

Разница между электронными и цифровыми подписями [Инфографика]

По мере того, как общество становится все более зависимым от цифровых процессов, традиционные механизмы ведения бизнеса становятся все более автоматизированными, а ряд отраслей промышленности стремится использовать все более технологичные технологии. — грамотная потребительская база. Несмотря на то, что за последние десять лет на рынок вышло множество устройств электронной связи, компании также продемонстрировали потребность в замене бумажных процессов более эффективными моделями, и электронные подписи, основанные на технологии цифровой подписи, лидируют. .

Несмотря на то, что электронная подпись стала обычным явлением в цифровых процессах, все еще существуют неправильные представления о том, как технология цифровой подписи вписывается в общую картину. Электронные подписи признаны правовым понятием в федеральном законодательстве с 2000 года, но для обычного человека электронная подпись — это то же самое. Однако электронные подписи и цифровые подписи четко различаются, и это видно по их основным функциям.

Электронная подпись

Электронная подпись, как и ее бумажный эквивалент, является юридическим понятием. Согласно Закону США об электронных подписях в глобальной и национальной торговле, Электронная подпись — это «электронный звук, символ или процесс, прикрепленный к контракту или другой записи или связанный с ним и принятый лицом с намерением подписать запись».

Цифровая подпись

Цифровая подпись , с другой стороны, относится к технологии шифрования/дешифрования, на которой построено решение для электронной подписи. Сама по себе цифровая подпись не является типом электронной подписи. Скорее, шифрование цифровой подписи защищает данные, связанные с подписанным документом, и помогает проверить подлинность подписанной записи. Используемый сам по себе, он не может отразить намерение человека подписать документ или быть юридически связанным соглашением или контрактом.

Решению, которое просто подписывает документы в цифровом виде, часто не хватает наборов функций, обычно присутствующих в лучших в своем классе решениях для электронной подписи, включая готовый пользовательский интерфейс (UI), а также управление транзакциями и расширенную настройку рабочего процесса. возможности, используемые в более сложных транзакциях, затрагивающих клиента.

Суть в том, что при поиске решения для управления процессами подписания важно убедиться, что оно основано на технологии цифровой подписи, чтобы гарантировать целостность документа и лежащих в его основе подписей. Без цифровых подписей ваши транзакции на основе документов могут не иметь юридической силы, что подвергает вас и вашу организацию риску в случае несоблюдения требований или судебного разбирательства.

Что такое цифровой сертификат

Цифровые подписи используют инфраструктуру открытых ключей (PKI) и опираются на открытый и закрытый ключи, чтобы обеспечить безопасность базовых цифровых транзакций. Например, когда вы подписываете документ электронной подписью, вам нужна уверенность в том, что все участники транзакции используют действительные ключи.

Вот где роль цифрового сертификата вступает в игру. Цифровой сертификат — это электронный документ, выданный подписывающей стороне центром сертификации (CA) или поставщиком услуг доверия (TSP), и связывает открытый ключ с личностью подписывающей стороны. Юридическое определение электронной подписи всегда включает формулировку, касающуюся личности подписывающего, поэтому лучшие в своем классе решения для электронной подписи используют цифровые сертификаты как часть процесса электронной подписи для аутентификации подписывающего лица.

Целью сертификата является проверка и удостоверение того, что электронная подпись соответствует конкретному подписывающему лицу, поскольку она содержит данные, относящиеся к личности подписывающего лица (например, имя, идентификационный номер, ключи подписи, издатель сертификата и т. д.) . Сертификаты часто хранятся на устройствах для создания подписи, таких как безопасные смарт-карты, токены, и централизованно в аппаратном модуле безопасности (HSM) в облаке, и они необходимы для создания цифровой подписи. В процессе подписания сертификат подписывающей стороны криптографически привязывается к документу с использованием закрытого ключа подписывающей стороны.

Типы цифровых сертификатов

В зависимости от таких факторов, как география, отрасль и профиль риска транзакции, у организаций могут быть разные требования к цифровым сертификатам и способам управления ими. Существует несколько способов подписания, и это в основном связано с тем, где хранятся сертификаты:

  • Сертификат для подписи сервера: Подписавший проходит безопасную аутентификацию, а документ имеет цифровую подпись с помощью доверенного сертификата в облаке (или локально для приложений, развернутых внутри компании).
     
  • Локальный сертификат подписи: Идентификатор подписывающего лица прикрепляется к личному сертификату (локально хранящемуся на защищенной PIN-кодом смарт-карте, USB-ключе или компьютере), который снабжает документ цифровой подписью.

Согласно Forrester, «США в основном выбирают более простую аутентификацию электронной подписи» и приняли расширенную электронную подпись (AES), которая использует несколько форм аутентификации и общий сертификат подписи сервера, размещенный в облачной службе поставщика. С другой стороны, фирмы в ЕС «придают более высокий приоритет аутентификации» и могут потребовать AES в сочетании с надежными формами аутентификации или квалифицированной электронной подписью (QES), которая опирается на сторонние цифровые сертификаты. В Бельгии, например, всем гражданам выдаются карты электронного удостоверения личности (eID), которые содержат уникальный цифровой сертификат и используются для таких процессов, как подписание контрактов и соглашений. Это создает QES в соответствии с требованиями регламента ЕС eIDAS.

Важность цифровых подписей

Отправка документов для электронной подписи — это быстрый и простой процесс. Как только все электронные подписи будут захвачены, найдите решение для электронной подписи, которое упаковывает и защищает окончательный документ с электронной подписью с помощью цифровой подписи. Решение электронной подписи должно применять цифровую подпись на двух уровнях:

  1. На уровне подписи для предотвращения подделки самой подписи
  2. На уровне документа , чтобы предотвратить подделку содержимого документа

Этот двойной уровень безопасности обеспечивает целостность документа. С такими средствами защиты от несанкционированного доступа все стороны, участвующие в транзакции, могут доверять целостности подписанного документа. Поскольку эффективность электронных подписей определяется уровнем безопасности, который их защищает, важно, чтобы любая попытка вмешательства в любую часть документа, например добавление или удаление слов или замена страниц, была видимой.

Защита цифрового соглашения в трех ключевых моментах

Цифровые подписи являются одним из наиболее важных компонентов программы электронной подписи, и они могут обеспечить безопасность, юридическую силу и эффективность управления записями при использовании метода электронной подписи. Таким образом, создание электронной подписи не должно происходить в официальной обстановке без поддержки цифровой подписи. Вот три основные причины, по которым цифровые подписи так важны:

1. Защита подписи в момент подписания

Цифровая подпись — это зашифрованный файл, который передается вместе с электронным документом, который необходимо подписать, и возвращается вместе с ним после завершения транзакции. Файл содержит и фиксирует метаданные о том, куда перемещался электронный документ, какие учетные записи его открыли, IP-адреса устройств, подписавших его, точное время взаимодействия и другую ключевую информацию. Все эти данные защищают действительность подписи.

Цифровая подпись фиксирует такую ​​информацию, как устройство, на котором подписан электронный документ, учетные данные пользователя подписавшего и путь, по которому данные перемещались между пунктами назначения. Эта информация обеспечивает несколько уровней проверки подписи, полностью защищая процесс подписания.

2. Защита подписи при хранении

Электронная запись должна храниться в течение значительного периода времени, и продолжительность зависит от конкретных отраслевых законов. Часто важно иметь возможность убедиться, что подпись не изменилась с течением времени. Цифровая подпись, прикрепленная к электронной подписи, включает базовую технологию, которая покажет, была ли форма подделана. По сути, это цифровой водяной знак на электронной подписи, который подтверждает завершение транзакции и запечатывает файл. Все, что нарушает эту печать, записывается в цифровую подпись, что крайне затрудняет подделку электронного файла.

Не все решения для электронной подписи одинаковы в этом отношении, и многие из них не предлагают возможность долгосрочной проверки (LTV). Убедитесь, что выбранное вами решение соответствует следующим требованиям цифровой подписи:

  • В подписанный электронной подписью PDF-файл должна быть встроена отдельная запись цифровой подписи для каждой подписывающей стороны в транзакции.
  • Каждая запись должна содержать такие сведения, как цифровой сертификат подписывающей стороны (т. е. локальный или серверный сертификат подписи), отметку времени и информацию о подписывающей стороне (например, адрес электронной почты и IP-адрес).
  • Подписанные документы должны иметь возможность проверки в автономном режиме (независимо от решения электронной подписи) с помощью процесса проверки одним щелчком мыши для проверки целостности подписанного документа. Найдите «Подпись включена LTV» на панели подписи PDF-файла с электронной подписью.
3. Защита подписи на мобильных устройствах

Смартфоны и планшеты — это распространенные технологические инструменты, и с точки зрения удобства они идеально подходят для электронной подписи. Однако они могут не иметь функций безопасности и защиты данных, необходимых для обеспечения безопасности транзакции. Цифровая подпись решает эту проблему, собирая важные метаданные в настраиваемый формат. Если вам нужна цифровая подпись для сбора дополнительных данных аутентификации пользователя для проверки человека с помощью смартфона, ее можно настроить для выполнения этой задачи. Результатом является операционная среда, в которой пользователи могут безопасно подписывать электронные формы на мобильном устройстве, не создавая никакого риска.

Соблюдение нормативных требований

Организации в таких секторах, как правительство, здравоохранение и финансовые услуги, всегда сталкиваются с проблемами регулирования, вынуждающими их адаптировать свою деятельность в свете правовых норм, влияющих на отрасль. Государственные учреждения, больницы и банки все время усложняются и с головокружительной скоростью переходят на электронные процессы. Необходимость приостановить весь импульс и инновации, связанные с печатью документов, их отправкой по почте, получением подписи, обеспечением их правильности и хранением, может иметь огромное негативное влияние на организации. Многие организации хотят отказаться от этих устаревших процессов документооборота, но любые попытки сделать это должны соответствовать нормативным требованиям.

Регуляторные планы становятся сложными, потому что большинство нормативных актов не говорят вам, как их соблюдать, они сообщают вам результат, который вы должны получить. Таким образом, организациям в секторах, сталкивающихся со строгими требованиями, необходимо найти технологии, которые принесут им нужные результаты. Когда дело доходит до защиты данных при передаче, шифрование является общей темой. Эффективные авторизации также являются ключевыми. Цифровые подписи обеспечивают эти функции и служат катализатором, благодаря которому программное обеспечение для электронных подписей идеально подходит для многих нормативных требований.
 

 

Все вместе: сбор и защита доказательств с помощью цифровых подписей

В сочетании электронные подписи и цифровые подписи образуют целостное решение для документирования соглашений и обеспечения безопасности исходного файла, в котором хранятся записи , и проверяемый. В результате пользователи могут подписывать документы самым простым и удобным способом без каких-либо жертв в зале суда.

Чтобы убедиться, что ваши цифровые контракты имеют юридическую силу, ищите решение для электронной подписи, которое фиксирует полный контрольный журнал и использует цифровую подпись для его защиты и защиты от несанкционированного доступа.

Сбор убедительных электронных доказательств может быть достигнут путем захвата всего процесса электронной подписи, с которым сталкивается подписывающее лицо. Это включает в себя точный внешний вид и порядок всех представленных веб-экранов, документов и юридических сведений, а также время, которое человек провел на каждой странице, и все действия, которые они предприняли в процессе просмотра и подписания, например нажатие кнопок для принятия. , подпишите, инициализируйте и подтвердите.

Чем больше доказательств того, какой процесс использовался организацией, тем выше вероятность того, что подписанный документ будет приведен в исполнение в суде. И это то, что может поддержать большинство организаций, рассматривающих возможность использования электронных подписей. Хотя многие решения для электронной подписи на рынке могут соответствовать базовым требованиям, изложенным в Законе о ESIGN, организациям, стремящимся свести к минимуму риск неприменимых записей, следует стремиться поднять планку выше, выбрав решение для электронной подписи, основанное на технологии цифровой подписи.