Появление электронных подписей позволило оптимизировать многие бизнес-процессы и работу компаний. Информация о пользователе, записанная на USB-носитель сделала электронный документооборот быстрым и удобным.
Ею пользуются не только ИП и ООО, но и физлица, например, для входа на «Госуслуги» или сайт ИФНС, чтобы получить услугу государственных учреждений.
На смену ставшей привычной ЭП, пришла облачная электронная подпись (ОЭП), которая не требует записи ключа и сертификата на носитель (рутокен), и нет привязки к рабочему месту. Не все еще знают, что это такое, как ей пользоваться, и какие преимущества она дает.
Ввиду того, что нашими читателями, в основном, являются участники и организаторы торгов, рассмотрим этот вопрос с точки зрения участия в тендерах, и какие в этом плюсы. Дадим инструкцию по установке необходимых программ и приложений для компьютера и телефона, чтобы можно было подписывать документы облачной ЭП.
Как стали использовать облачные электронные подписи (ОЭП)?
Использование электронных подписей прочно вошло во многие сферы нашей жизни. В различных компаниях сотрудников переводят на электронный документооборот (ЭДО), что делает все процессы удобными и быстрыми. Для подписания документов (договоров, актов, ведомостей, бухгалтерских отчетов и т.д.) требуется наличие электронной подписи. С помощью нее также осуществляется вход в личный кабинет пользователя ЭДО.
В своей работе применяют ЭП онлайн-специалисты и фрилансеры, которые ведут свою деятельность легально и заключают договора с заказчиками. Физические лица могут приобрести ЭП и пользоваться услугами государственных учреждений: записываться на прием в ФНС, к врачу районной больницы, подавать заявления, справки, заходить на «Госуслуги».
Наши читатели – это, в основном, участники торгов и заказчики, которые такие торги организовывают. Они тоже пользуются ЭП для входа в личный кабинет ЕИС, на электронную торговую площадку, при непосредственном участии в торгах.
Мы уже привыкли к электронной цифровой подписи (ЭЦП), которая записана на рутокен (флеш-накопитель), принадлежит одному конкретному владельцу и обеспечивает безопасность данных о нем. Сегодня аббревиатура ЭЦП уже не используется, так говорить неправильно. В обиход вошло новое сокращение – ЭП (электронная подпись). По своей сути, ЭЦП и ЭП – это одно и то же, однако в статье будем использовать новое общепринятое сокращение – ЭП.
На смену понятию электронной подписи, записанной на цифровой носитель, пришло понятие облачной электронной подписи (ОЭП), которая реализована с помощью современных технологий. Она не требует записи сертификата и ключа на какой-либо носитель, а хранится на специальном облаке, в связи с чем у пользователей возникает вопрос о ее надежности. В статье максимально подробно постараемся на него ответить.
Для ЭП на носителе необходима установка специальных программ на компьютер пользователя (СКЗИ) и дополнительных надстроек. В связи с тем, что на смену таким приложениям пришли облачные приложения, у IT-разработчиков появилось желание внедрить их в работу с ОЭП.
Не все до конца понимают, что такое «электронная подпись в облаке», а те понятия, которые даются на различных сайтах в интернете или на youtube-каналах блогеров, подходят для новичков и объяснению «на пальцах». С одной стороны, это хорошо, так как пользователь ЭП не должен иметь образование программиста и вникать в тонкости шифрования информации. Он просто подписывает документ, а как это происходит, как генерируется каждый отдельный код при подписании, интересно далеко не всем.
Что же такое ОЭП с научной точки зрения, расскажем ниже. Любознательным читателям это определение, а также весь материал данной статьи пригодится для расширения собственного кругозора.
Что такое квалифицированная ОЭП?
На сайте компании «КриптоПро», которая занимается разработкой и внедрением программ и приложений для работы с ЭП дается формулировка ОЭП, которая, по нашему мнению, наиболее соответствует действительности:
«Электронная подпись в облаке (облачная электронная подпись) – это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем».
Эта формулировка не исключает возможности для ОЭП использовать и локальное средство ЭП. Например, используя КриптоПро DSS Lite , пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его компьютер или планшет. В этом случае ключ подписи остается у пользователя, и защищенность сведений обеспечивается за счет стандартных методов, которые объединены в привычную нам ЭП. Или, проще говоря, это облачная ЭП с локальным средством ЭП .
Другой вариант облачной ЭП получается при использовании средства ЭП, хранящегося на облаке. Чтобы не путать это понятие с первым, назовем такую цепочку «полностью облачной ЭП» . В среде специалистов до сих пор не утихают споры по поводу ее безопасности, так как информация передается на облако. Известно, что ЭП должна принадлежать одному собственнику.
Записанную на носитель подпись владелец может хранить, например, в сейфе, чтобы ограничить доступ к ней третьих лиц. А как обеспечивается безопасность на облаке? Могут ли его взломать мошенники? Как сами разработчики гарантируют конфиденциальность информации, размещенной на облаке, и имеют ли сами доступ к ней?
Вопросами защищенности облака занимаются «безопасники» и консультирующие их юристы. Сведения должны не просто попасть на облако, но и быть обработаны и сохранены. С локальным средством все понятно: ЭП находится в защищенном пространстве пользователя. Но для облачной ЭП такое пространство отсутствует. При этом ответственность за обеспечение конфиденциальности данных в каком-то смысле «размывается» между её собственником и поставщиком облачных услуг.
Некоторые пользователи не доверяют надежности облака, так как не до конца понимают механизмы его действия. На облако передается ключ ЭП, а это информация, которая конфиденциальна и принадлежит конкретному человеку – собственнику. Защищенность ключа зависит от уровня безопасности средств, которые используются при аутентификации, и от ответственности владельца.
Разработчики КриптоПРО внедрили программу КриптоПро DSS, которая в тестовом режиме испытывалась экспертами. В этот сервер передаются ключи и сертификаты пользователей, а чтобы получить к ним доступ, необходимо пройти аутентификацию, которая возможна только для одного лица – владельца.
Как работает ОЭП?
Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.
Этот софт подключался к софту на USB-токене, который генерировал код (ключ). С помощью ключа транзакция заверялась и уже подписанная переходила в плагин на браузер.
Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.
Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».
Ответы на самые распространенные вопросы
А можно без софта на локальном компьютере?
Да, это возможно, если на ЭТП есть дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер.
В чем отличие стандартной ЭП от облачной?
Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).
Для использования облачной ЭП тоже нужна авторизация?
Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:
- Скачать приложение на смартфон или плагин браузера на компьютер.
- Вставить логин и пароль в окно.
- Ввести пин-код, который пришлет система.
Таким образом, злоумышленникам трудно будет украсть Вашу подпись, так как для этого они должны еще иметь доступ к Вашему телефону или электронной почте, на которые придет СМС или письмо с паролем.
Где хранится сертификат на стороне удостоверяющего центра?
Каждый удостоверяющий центр имеет свое хранилище, которое называется HSM (hardware security module). Оно имеет защищенное пространство, которое поделено на закрытые ячейки. Массовый доступ к ним запрещен.
Проще говоря, пользователь авторизовался, создал запрос на формирование подписи, запрос попадает в HSM на подпись. Шифр подписи генерируется каждый раз при подписании нового документа. Поэтому электронная подпись – это защищенный объект, а ключ не доступен к просмотру.
HSM подтверждает право владельца подписать форму, как нотариус при сделке подтверждает, что вы – это действительно вы.
УЦ получают лицензию от ФСБ на право использования этого хранилища. HSM имеет многофакторную защиту и снабжено антивзломочными датчиками.
Как выглядит первое подключение?
Сначала нужно произвести нехитрую настойку на устройстве пользователя. Для этого вводится два адреса DSS-системы. В принципе, на этом настройка заканчивается.
Следующий этап – это авторизация на сервере. Собственник ОЭП указывает в полях персональные логин и пароль, которые он получил в удостоверяющем центре. После этого проходит двухэтапную авторизацию. Чаще всего, необходимо считать полученный QR-код и скачать.
Потом сканируется второй код со ссылкой на свою ячейку в HSM. Пользователь получает пин-код на подтверждение операции на свой телефон, идентифицируя себя. Затем нужно сменить пароль для входа.
Последующие операции происходят быстрее: ПИН отправляется push-уведомлением. Подразумевается, что если мобильное устройство защищено FaceID или считыванием отпечатка пальца, то второго уровня авторизации, совместно с указанием логина и пароля, вполне хватает для обеспечения конфиденциальности.
- при потере телефона нужно повторить цепочку с QR-кодами снова;
- заблокированный телефон без пин-кода бесполезен;
- пин-код без логина и пароля бесполезен.
Если клиент потерял «незапароленный» телефон, на котором хранилась фотография с логином и паролем (реальный случай из жизни), он может обратиться в УЦ и попросить заблокировать доступ до выяснения.
Как получить конверт с доступами к ОЭП?
Конверт может получить заявитель (директор организации, должностное лицо, ответственный сотрудник), явившись лично в удостоверяющий центр с паспортом.
Либо может прийти сотрудник с официальной доверенностью, соответствующей требованиям 63-ФЗ (об электронной подписи) и требованиям службы безопасности УЦ.
ОЭП широко используется, или пока это редкость?
Использование ОЭП – это уже массовое явление сегодня. Тысячи клиентов из разных субъектов РФ применяют в своей работе электронную подпись на облаке. Из них большинство пользователей – это юридические лица, на втором месте по популярности использования – ИП. Большинство клиентов – москвичи. Затем идут граждане из Санкт-Петербурга, Новосибирска, Хабаровска, Ростова-на-Дону.
Как установить ОЭП и начать работать?
Для работы на локальном компьютере потребуется:
- Скачать СКЗИ КриптоПро CSP версии 5.0.
- ОС Windows 7/8.1/10/Server 2008 (x86, x64).
- Серверные ОС Windows Server 2008 R2/2012/2012 R2/2016/2019 (x64).
- Mac OS X 10.9/10.10/10.11/10.12/10.13/10.14 (x64).
Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss
Установка и настройка на смартфоне приложения MyDss
- Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
- В поисковую строку вбейте «MyDss» и запустите установку приложения.
- После завершения скачивания нажмите кнопку «Открыть».
Источник: dzen.ru
Сбербанк предложил предпринимателям облачный сервис подписания платежей в мобильном приложении
Пользователи интернет-банкинга для корпоративных клиентов теперь могут подтверждать платежи и подписывать документы с помощью облачного сервиса усиленной неквалифицированной электронной подписи (сокращённо УНЭП). Сервис станет доступен всем пользователям мобильного приложения Сбербанк Бизнес Онлайн уже в ближайшее время.
В чём преимущества для клиента?
- Простая процедура получения.
- Удобство использования.
- Безопасность.
- Возможность подписания документов при отсутствии сотовой связи — достаточно иметь подключение к сети Интернет.
Чтобы пользоваться новым сервисом, надо подключить его через мобильное приложение Сбербанк Бизнес Онлайн. После подключения будут сформированы и размещены на облачных ресурсах банка ключи электронной подписи, а также удостоверяющим центром банка будет выпущен сертификата УНЭП. В момент подписания документа необходимо подтвердить доступ к ключу аутентификации посредством биометрии или ПИН-кода, после чего приложение отправит в облако подтверждение на создание электронной подписи.
Анна Лоевская, директор дивизиона «Цифровой корпоративный банк» Сбербанка:
«По нашим оценкам, потенциальная аудитория этой технологии составляет не менее 800 тысяч пользователей мобильного приложения Сбербанк Бизнес Онлайн. Сейчас для подтверждения операций все они вводят код, который в реальном времени получают по СМС. Отсутствие сигнала сотовой связи может стать неразрешимым препятствием для совершения операции.
Новый вид подписи решает эту проблему. Так, например, одним из первых пользователей, оценивших эту технологию, стал клиент банка, которому понадобилось осуществить платёж из Северного Ледовитого океана, в условиях отсутствия мобильной связи. При этом используемая для создания УНЭП технология соответствует самым высоким требованиям защищённости и безопасности. Персональный ключ клиента хранится на криптосервере в зашифрованном виде во внутреннем периметре банка и доступен только со смартфона клиента через мобильное приложение Сбербанк Бизнес Онлайн после прохождения надёжной процедуры аутентификации».
Сегодня усиленная неквалифицированная электронная подпись доступна клиентам банка, но требует использования специального флеш-носителя (токена) и может быть применена только в веб-версии Сбербанк Бизнес Онлайн. УНЭП в мобильном приложении даст пользователям новые возможности, недоступные при использовании СМС-подтверждения, так в скором будущем появится возможность массового подписания платежей. Также повысится надёжность и безопасность совершаемых операций, упростится разбор инцидентов и спорных ситуаций.
Источник: bankinform.ru
Сбербанк предложил предпринимателям облачный сервис подписания платежей в мобильном приложении
Пользователи интернет-банкинга для корпоративных клиентов теперь могут подтверждать платежи и подписывать документы с помощью облачного сервиса усиленной неквалифицированной электронной подписи (сокращённо УНЭП). Сервис станет доступен всем пользователям мобильного приложения Сбербанк Бизнес Онлайн уже в ближайшее время. В чём преимущества для клиента? — Простая процедура получения.
— Удобство использования.
— Безопасность.
— Возможность подписания документов при отсутствии сотовой связи — достаточно иметь подключение к сети Интернет. Чтобы пользоваться новым сервисом, надо подключить его через мобильное приложение Сбербанк Бизнес Онлайн.
После подключения будут сформированы и размещены на облачных ресурсах банка ключи электронной подписи, а также удостоверяющим центром банка будет выпущен сертификата УНЭП. В момент подписания документа необходимо подтвердить доступ к ключу аутентификации посредством биометрии или ПИН-кода, после чего приложение отправит в облако подтверждение на создание электронной подписи.
Анна Лоевская, директор дивизиона «Цифровой корпоративный банк» Сбербанка: «По нашим оценкам, потенциальная аудитория этой технологии составляет не менее 800 тысяч пользователей мобильного приложения Сбербанк Бизнес Онлайн. Сейчас для подтверждения операций все они вводят код, который в реальном времени получают по СМС.
Отсутствие сигнала сотовой связи может стать неразрешимым препятствием для совершения операции. Новый вид подписи решает эту проблему. Так, например, одним из первых пользователей, оценивших эту технологию, стал клиент банка, которому понадобилось осуществить платёж из Северного Ледовитого океана, в условиях отсутствия мобильной связи.
При этом используемая для создания УНЭП технология соответствует самым высоким требованиям защищённости и безопасности. Персональный ключ клиента хранится на криптосервере в зашифрованном виде во внутреннем периметре банка и доступен только со смартфона клиента через мобильное приложение Сбербанк Бизнес Онлайн после прохождения надёжной процедуры аутентификации». Сегодня усиленная неквалифицированная электронная подпись доступна клиентам банка, но требует использования специального флеш-носителя (токена) и может быть применена только в веб-версии Сбербанк Бизнес Онлайн. УНЭП в мобильном приложении даст пользователям новые возможности, недоступные при использовании СМС-подтверждения, так в скором будущем появится возможность массового подписания платежей. Также повысится надёжность и безопасность совершаемых операций, упростится разбор инцидентов и спорных ситуаций.
АРБ Шпаргалка
Книга рекордов
Об ассоциации
- Общие сведения
- Контактная информация
- Управление
- Члены АРБ
- Проекты АРБ
- Новости АРБ
- Издания АРБ
- АРБ и госвласть
- Всероссийский банковский совет
- Работа комитетов
- Национальный банковский клуб
- Кодекс этических принципов банковского дела
- Стандарт потребителям финансовых услуг
- Фотоархив
- Видеоархив
- Архив
- Конференции и форумы
- 30-летие АРБ
Про банки
- Новости финансового сектора
- Горячая тема
- От первого лица
- Открытые дискуссии
- Календарь мероприятий
- Аналитика
- Работа с документами
- Национальная банковская пресс-служба
- Тенденции рынка
- Важное
- Обращения в банки
- Интервью
- Отставки и назначения
- МСП
- Предложения продуктов и услуг для банков
- Точка зрения
- Практикующему юристу
- Архив
- Курс лекций к 160-летию ЦБ РФ
- Дежурные по банкам
- Рейтинги маркетинговых идей
- Законопроекты
- Давайте обсудим
- Прямая речь
- Экспертное мнение
- Банки
Про деньги
- АРБ шпаргалка
- Жалоба в банк
- Книга рекордов
- Интервью
- Финансовый словарь
- Вакансии
- Резюме
- Это интересно
- Персональный кредитный рейтинг
- Архив
- Онлайн конференции
Мы в соц. сетях
Мнения в авторских и экспертных материалах могут не совпадать с позицией АРБ.
Заметили опечатку? Выделите ее и нажмите Ctrl+Enter.
При цитировании и ином использовании материалов портала ссылка на arb.ru обязательна в формате гиперссылки
Источник: arb.ru
