Колонки

ЭЦП от А до Я: как предпринимателю выбрать электронную подпись

Колонки
Кирилл Померанцев
Кирилл Померанцев

технический директор сервиса EasyDocs

Ольга Лисина

Повсеместное внедрение электронного документооборота в России — медленный, но неизбежный процесс. Нормативно-правовая база для его регулирования уже сложилась. В формате ЭДО можно подписывать и передавать практически все основные документы. 

За последние несколько месяцев интерес к электронным документам вырос — в условиях пандемии это хорошая возможность приспособить бизнес к новым реалиям. Один из элементов фундамента, на котором стоит ЭДО, — это электронная подпись. 

Как ее выбрать, хранить ли ключ на токене или в облаке, как определить подходящий сертификат и кому делегировать подписание документов, рассказывает Кирилл Померанцев, технический директор сервиса EasyDocs.

ЭЦП от А до Я: как предпринимателю выбрать электронную подпись

Бумажный документооборот уже давно не успевает за современными бизнес-процессами. Чтобы ускорить его, большинство предпринимателей в России просто сканируют подписанные бумажные акты, счета или договоры и отправляют их по email, а потом уже обмениваются оригиналами. 


Shutterstock / Song_about_summer

Но важно понимать, что такие сканы не являются юридически значимыми документами. В случае конфликтов они ничем не помогут.

Кроме того, такой способ перестает работать с большим количеством сделок с неизвестными контрагентами, документы по которым нужно закрывать быстро.

Создавать юридически значимые документы здесь и сейчас за несколько кликов позволяет электронная подпись. С ней вы можете, например, заключить договор с контрагентом из другого города за несколько минут. 

В сравнении с собственноручной у нее пока еще есть некоторые ограничения, но все основные документы вы уже сможете подписать электронно: акты, счета-фактуры, договоры между контрагентами, налоговую и бухгалтерскую отчетность.


Виды электронных подписей

Бывают простые и усиленные электронные подписи. Простыми пользуемся мы все, когда получаем СМС-коды для подтверждения банковских операций или вводим логин и пароль, чтобы зайти в личный кабинет. 

Такую подпись можно использовать только в той информационной системе, средствами которой она создается. И только организатор системы — например, банк или владелец информационного ресурса — может идентифицировать личность подписавшего. Средствами криптографии такая подпись не защищена. 


Shutterstock / tetxu

Усиленная электронная подпись создается в результате криптопреобразования документа, подтверждает авторство и отсутствие изменений после подписания. Состоит из двух ключей (открытого и закрытого), а также сертификата, который связывает эту ключевую пару и личность подписывающего. 

В отличие от собственноручной подписи, которая меняет сам документ, усиленная электронная подпись формирует новый файл, напрямую связанный с документом при помощи криптографического алгоритма. Он устанавливает соответствие между документом и сертификатом и фиксирует наличие либо отсутствие изменений после подписания. 

Усиленная электронная подпись может быть квалифицированной и неквалифицированной. Технология одна и та же, но при создании квалифицированной подписи используются средства криптозащиты, сертифицированные ФСБ, что приравнивает ее к собственноручной подписи. Получить ее можно в аккредитованных удостоверяющих центрах — их сейчас много, процедура простая.

Неквалифицированная электронная подпись может быть приравнена к собственноручной по договоренности сторон и в специально предусмотренных законом случаях.

Она часто используется в кадровом документообороте или в каких-то корпоративных решениях — например, когда банк выдает клиентам собственные USB-токены для работы с интернет-банкингом. В случае с большим количеством контрагентов это выгодно, поскольку квалифицированные подписи обходятся дороже. 


USB-токен или облачная электронная подпись?

Секретный ключ электронной подписи может храниться на физическом носителе (USB-токене) или в облаке. Какой вариант выбрать? Здесь уместно провести параллель с деньгами: вы можете хранить их в кошельке или сейфе, а можете на своем счете в банке. 

USB-токен — тот же самый кошелек, который перекладывает на пользователя ответственность за безопасность ключа. 

Не все, например, знают, что по закону USB-токен нужно постоянно хранить в сейфе. На деле же он чаще торчит в компьютере бухгалтера, которому директор делегировал подписание документов, что крайне небезопасно и нарушает закон сразу по ряду пунктов. 


Shutterstock / Albina Glisic


Кроме того, с точки зрения удобства, токены — очень недружелюбная технология, которая привязана к ПК и требует установки специального программного обеспечения — криптовайдера и плагина. Причем плагины постоянно не успевают за обновлениями версий браузеров и конфликтуют между собой.

Именно из-за сложностей использования собственники и директора часто отдают свои подписи другим сотрудникам, жертвуя безопасностью. 

В то же время облачная электронная подпись не требует никакого ПО и не привязана к компьютеру, подписать документы можно за несколько секунд с любого устройства, подключенного к интернету. Достаточно знать пароль. Так у вас отпадает необходимость отдавать кому-то свой ключ. 

Многие до сих пор сомневаются в безопасности облачных электронных подписей — психологически токен, который можно положить в сейф, кажется более надежным, чем все эти «новые» облачные технологии. 

Однако если у вас есть счет в банке, вы уже давно пользуетесь такими технологиями. Секретные ключи облачных электронных подписей хранятся на специальных защищенных серверах — там же, где и данные банковских карт, с использованием тех же средств криптозащиты. 

Думаю, появление облачных электронных подписей — это хороший трамплин для перехода на ЭДО. Как и в случае с электронными деньгами, технология объединила безопасность и комфорт, проложив дорогу к массовому потребителю.


Когда у всех будут электронные подписи?

В основе самой технологии электронных подписей — все те же криптографические алгоритмы, что и 20 лет назад. Но сегодня их уже умеют упаковывать в интуитивно понятные интерфейсы и упрощать до паттернов поведения современных пользователей. 

Если раньше электронная подпись представляла из себя нечитаемый файл с расширением sig, который лежал в ZIP-архиве и проверялся либо в специальном ПО, либо на доверенных сервисах, то сегодня подписи могут храниться внутри PDF-документов, отображаться в человекочитаемом виде на любом устройстве и легко проверяться в самой программе Acrobat Reader. 

Кроме того, за последние годы увеличилось число удостоверяющих центров, появились облачные электронные подписи и удобные приложения для работы с документами. Больше не нужно привязываться к токенам или ПК, ставить свои подписи можно с любого устройства в пару кликов. У нас, например, есть Telegram-бот, который умеет подписывать документы прямо в мессенджере. Так что все предпосылки для перехода на ЭДО есть. 

Но по аналогии с банковскими картами, электронным подписям еще понадобится время для проникновения в сознание людей.

Пока процент низкий, преимуществ меньше.

Особенность использования электронных подписей в большом сетевом эффекте — чем больше участников в системе, тем больше выгод все получают. 

Однако не стоит ориентироваться на своих контрагентов. Даже если они пока не используют электронные подписи, современные системы ЭДО умеют подписывать документы и отправить их по электронной почте.

Закон не запрещает подписать документ электронной подписью с одной стороны, а с другой — собственноручной. Можно рассматривать такое решение как временный компромисс.


Shutterstock / monte_a


Как получить максимум

Несколько ключевых рекомендаций по работе с электронными подписями:

  1. Выясните, для каких целей вам нужна электронная подпись, какие документы вы будете ей подписывать и с кем ими обмениваться:  внутри компании, между контрагентами или с государственными организациями. Полноценный аналог собственноручной подписи  —  усиленная квалифицированная электронная подпись.
  2. Не останавливайтесь на привычном USB-токене, оцените преимущества облачной электронной подписи  —  вы сможете подписывать документы в пару кликов с любого устройства, а ключ будет защищен так же надежно, как и деньги на банковском счете.
  3. Электронные подписи есть практически у всех, чтобы сдавать отчетность. Но даже если ваши контрагенты ими не пользуются, это не проблема. Закон не запрещает подписывать документ электронной подписью с одной стороны, а с другой  —  собственноручной. 
  4. Никогда не отдавайте никому ключ от своей электронной подписи. Если есть необходимость делегировать подписание каких-то документов бухгалтеру или другому специалисту, оформите на него доверенность с необходимыми полномочиями и выпустите электронную подпись непосредственно на имя специалиста.

Фото на обложке: Shutterstock / iCreative3D

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Автоматизация 3.0: какие процессы придется перестроить из-за глобального перехода на удаленку
  2. 2 Электронный документооборот: как избавиться от возни с бумажками
  3. 3 Плюсы и минусы электронного документооборота

Актуальные материалы —
в Telegram-канале @Rusbase

ВОЗМОЖНОСТИ

07 августа 2020

Ipsen Biomed Challenge

08 августа 2020

Цифровые джунгли

09 августа 2020

IT хакатон