На чем хранится эцп
Как обеспечить хранение значимых электронных документов. ЭП действует год. А дальше?
Как хранить бумажные документы всем понятно, а что делать с электронными, пока не все бухгалтера разобрались. ЭДО для большинства предпринимателей уже реальность, для остальных переход к электронному документообороту — вопрос времени. Мы решили ответить на главные вопросы о хранении и действительности документов, создаваемых в электронном виде.
Почему возникают сомнения?
Срок, на который выдается электронная подпись (ЭП), а точнее срок действия сертификата составляет обычно 12 месяцев. Относительно небольшой период использования позволяет максимально обезопасить пользователя от несанкционированных действий — взломов, например.
Если сертификат был скомпрометирован, сломан носитель ключа, изменились данные владельца (или выявлены ошибки в них), то придется перевыпустить ЭП досрочно.
При этом сроки хранения бухгалтерских документов гораздо больше. В основном они хранятся не менее 5 лет, а некоторые намного дольше.
Если закончится сертификат, документ, подписанный им, потеряет силу?
Если документ был подписан действительным сертификатом, то он сохранит свою юридическую силу. Проблема в другом — подтвердить действительность сертификата на момент подписания.
Как тогда обеспечить хранение документов с ЭП?
Есть два варианта. Первый — автоматическое переподписание. Ежегодно система будет автоматом переподписывать документ новым действительным сертификатом. Новую подпись получают, как правило, до истечения старой. Во-первых, это более простая процедура и может быть проведена удаленно. Во-вторых, это дает возможность ни на день не прерывать деятельность и иметь под рукой действующую ЭП.
Количество продлений не ограничено. Можно проводить их столько лет, сколько необходимо. Но о механизме переподписания (тем более автоматического) необходимо уточнять информацию у конкретного оператора ЭДО — реализована такая возможность или нет.
Второй вариант — квитанции переподписания DVCS (Data Validation and Certification Server). Квитанция выдается специальной службой (независимая третья сторона с точки зрения закона), которая заверяет достоверность документа.
В результате обращения к сервису формируется квитанция. В ней содержатся результаты проверки документа и сведения о дате и времени проверки. Квитанция подтверждает действительность электронной подписи и значит действительность самого документа.
После того, как срок действия первой квитанции подойдет к концу, можно сформировать вторую, затем третью и т.д., они будут подтверждать уже действительность друг друга — фактически это выпуск квитанции на квитанцию.
Что нужно учесть при хранении электронных документов?
Какие изменения в области ЭДО происходят сейчас?
А недавно Минэкономразвития выпустило проект закона, который глобально пересматривает подход к хранению электронных документов.
Если закон примут, то у предпринимателей появится возможность оцифровывать бумажные документы в электронный вид и переходить полностью на электронные архивы и электронный документооборот.
Предполагается, что будут установлены условия для организаций, осуществляющих хранение электронных документов. В частности, их обяжут проходить аккредитацию.
Обязательно ли переходить на ЭДО? Мы привыкли к обычному документообороту
Есть случаи, когда выбора не существует. Например, большая часть отчетности сейчас переходит в обязательный электронный вид. Декларацию по НДС давно положено сдавать только так, с 1 января 2020 года обязательной стала электронная бухгалтерская отчетность (для всех, кроме малых предприятий, на них правило распространяется, начиная с 1 января 2021 года).
Если количество сотрудников (среднесписочная численность) превысит определенное значение, то отчеты 6-НДФЛ, РСВ, СЗВ-М и другие придется тоже сдавать электронно.
Изменения законодательства нацелены на постепенный переход к электронной отчетности для всех. Что касается именно документооборота, то преимущества ЭДО для большинства пользователей уже очевидны — быстрый обмен, согласование и подписание документов ускоряют бизнес-процессы и упрощают ведение бухгалтерского учета.
Электронные документы подгружаются в бухгалтерскую программу и не требуют ручного ввода. Наверняка вы согласитесь, что это — приятный бонус.
Участники закупок наверняка в курсе, что подписание контрактов, обмен документами на площадке и получение документов за услуги самой ЭТП, тоже происходят в электронном виде. Вы не сможете отправить на электронный аукцион бумажную заявку.
Что нужно, чтобы начать работать с ЭДО?
Преимущества сервиса, работающего в программе 1С:
Бесспорным плюсом можно считать возможность обмена не только формализованными документами (счета-фактуры, УПД и т.п.),но и произвольными. Так при помощи Астрал Онлайн можно подписать договор или отправить письмо.
Как и где хранить сертификат электронной подписи
Безопасность и конфиденциальность использования ключа электронной подписи зависит от того, где вы будете его хранить. Фактически электронный сертификат можно записать на любой носитель (флешки, диски, токены) или хранить на компьютере в реестре Windows. Способ хранения выбирается в момент генерации подписи, но после большинство подписей можно самостоятельно пересохранить на другой носитель.
Самый безопасный и удобный способ, который рекомендуют удостоверяющие центры, — Токен (Token). Это USB-носитель, защищенный пин-кодом. Если вы используете подпись при работе на разных компьютерах, без него не обойтись. На одном Токене можно хранить сразу несколько подписей, но пароль для них будет общим. Поэтому не стоит использовать такой носитель для подписей разных владельцев.
Даже при краже Токена получить доступ к подписи невозможно, а попытки подобрать пин-код заблокируют Токен после трех неудачных вводов.
Если вы используете цифровую подпись только на одном компьютере, ее можно записать в реестр Windows. Главное — настроить использование по паролю, иначе любой сможет скомпрометировать вашу подпись, а доказать подделку будет очень сложно.
Флеш-карты и другие неспециализированные носители для хранения ЭП лучше не использовать — они дешевле, но их просто взломать.
Если вы потеряете носитель с электронным ключом — сразу обратитесь в удостоверяющий центр и аннулируйте подпись. То же нужно сделать, если сотрудник, который подписывал ваши электронные документы своей подписью, уволился.
Самый перспективный способ хранения электронных сертификатов — облачные технологии. В этом случае подпись находится на защищенном сервере удостоверяющего центра. Ее не потерять, и она привязана к личному кабинету пользователя системы электронного документооборота или электронной отчетности. А факт подписания дополнительно подтверждается отправкой кода на телефон владельца ключа. Подписывать документы облачной подписью можно с любого устройства, даже с телефона. Госорганы пока не признают легитимность облачной подписи, но для внутреннего документооборота компании она подходит.
Приобрести Токен для хранения и оформить электронную подпись для торгов, отчетности, ЕГАИС или документооборота можно в Удостоверяющем центре Такском. Представительства компании есть практически в каждом городе России, поэтому изготовление ключа займет у вас чуть больше одного часа.
Как правильно хранить ЭЦП
Российское законодательство гласит о том, что держатель электронной цифровой подписи не имеет права придавать огласке информацию, касающуюся ключа ЭЦП. Существует ряд правил, разъясняющих, как нужно хранить электронную цифровую подпись.
Прежде всего, инструмент для заверки электронных документов запрещено передавать в руки третьим лицам во избежание преступного использования и подделки подписываемых файлов.
Все дело в том, что держатель ЭЦП не сможет в дальнейшем отказаться от сведений, содержащихся в завизированном документе, даже если он не подписывал их лично. На практике предприятия назначают держателями ЭЦП своих руководителей, а в случае привлечения третьих лиц необходим приказ об ответственном лице.
При выдаче сертификата ключа представители удостоверяющего центра подробно разъяснят клиенту, как хранить ЭЦП в организации, чтобы подпись не приобрела статус скомпрометированной, но в любом случае руководство предприятия устанавливает круг лиц, имеющих доступ к электронному документообороту, что подтверждается соответствующими внутренними распоряжениями.
На чем можно хранить ЭЦП?
Исходя из вышесказанного, становится понятно, что место хранения сертификата ключа должно быть закрыто для постороннего доступа. В то время как открытый ключ доступен для многих, его закрытая часть надежно зашифрована и хранится в регистрационной базе персональных данных.
Хотя закон не требует определенного места хранения ЭЦП после ее оформления, зато четко прописаны правила неразглашения конфиденциальных данных и назначения ответственных лиц. В большинстве случаев пользователи хранят данные на жестком диске компьютера, при этом к серверу должна быть применена надежная система защиты от несанкционированного доступа. Также владелец должен закрыть паролем рабочий ПК.
Если вы хотите знать, как правильно хранить ЭЦП, то ответ будет таким: для подобных целей лучше всего использовать специализированные хранилища, в роли которых выступают носители сертификата ключа электронной цифровой подписи Рутокен и е-токен, выполненные в виде привычной флешки.
Доступ к таким ресурсам осуществляется исключительно путем введения Пин-кода. Подобные хранилища отличаются компактными габаритами, поэтому с их переноской и хранением не возникнет никаких трудностей и неудобств.
Помимо прочего наши клиенты, ведущие электронный документооборот с контрагентами, задаются вопросом, как хранить документы с электронной подписью, ведь с каждым годом оборудование претерпевает существенные изменения, совершенствуется и принимает новые формы, поэтому возникает риск, что по истечении пары лет носитель, на котором хранится электронный документ, просто не на чем будет прочесть.
Во избежание подобных ситуаций рекомендуем периодически переписывать информацию со старых источников на новые, более современные. Если говорить о ПО, то его разработчики, как правило, поддерживают формат предыдущих версий при разработке новых софтов, а значит, проблем с тем, как хранить документы, подписанные ЭЦП, не возникнет.
Как получить электронную подпись
И в каком случае какой вид пригодится
Электронная подпись (ЭП) — то же самое, что обычная подпись, но в электронном виде. Она приравнивает любой электронный документ к бумажному оригиналу.
Что такое электронная подпись
По сути подпись — это специально сгенерированный файл с цифрами, который крепится к электронному документу. Этот файл отвечает на три главных вопроса:
Раньше еще использовали термин «электронная цифровая подпись», но сегодня он устарел — в законе теперь пишут «электронная подпись»
Электронная подпись гарантирует, что документ подписал владелец электронной подписи. А неквалифицированная и квалифицированная подписи покажут, изменился ли документ после подписания.
Зачем нужна электронная подпись
Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.
Вот как используют электронную подпись юридические лица:
А вот что могут сделать с электронной подписью обычные граждане:
Обычно физлица делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:
О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.
Как устроена ЭП
Просмотреть подпись можно с помощью сертификата открытого ключа — электронного документа, в котором есть следующая информация:
Программа СКЗИ проверяет хэш-сумму и сравнивает ее с содержанием документа. Если все совпало, документ не меняли и подпись цела. Несовпадения означают, что документ изменили после того, как подписали. Тогда подпись автоматически считается недействительной и документ теряет юридическую силу.
Виды ЭП и их отличия
В законе описаны несколько видов электронной подписи: простая, неквалифицированная и квалифицированная.
Простая электронная подпись самая доступная. Это логин и пароль, которые подтверждают, что пользователь авторизовался в системе. C помощью этой подписи можно подтвердить обращение в органы власти или подписать заявку на услугу. Еще ей можно пользоваться во внутреннем документообороте компании и подписывать служебные письма.
Например, вы заходите в мобильный банк при помощи логина и пароля или подтверждаете оплату в интернете кодом из смс. По условиям договора с банком такая подпись равнозначна обычной подписи.
Простая электронная подпись уязвима, поэтому ее применяют не везде. Если вы работаете с имущественными и финансовыми документами, то лучше ее не использовать. Она подтвердит, что документ подписали, но не гарантирует, что его не меняли и что его подписал нужный человек. Это будет проверять арбитражный суд, если возникнет спорная ситуация.
Эту подпись используют в электронном документообороте. Ей подписывают договоры, контракты и агентские отчеты, но только если стороны заключили соглашение о доверии таким подписям и электронным документам.
Неквалифицированные подписи можно генерировать внутри компании или сервиса с помощью бесплатных инструментов. Государство не может контролировать неквалифицированную подпись: ее может выдать кто угодно, ей может владеть кто угодно и она не защищена средствами, которым доверяет государство. Именно поэтому в судебных инстанциях не принимают такие подписи.
Целостность подписи проверяют двумя способами:
Так определяют, что подпись не была утеряна, украдена или просрочена, когда ее использовали.
Сертификат квалифицированной подписи необходимо обновлять каждый год: помнить, когда она перестает действовать, и вовремя заказывать перевыпуск.
У квалифицированной подписи есть два важных преимущества.
Взломать квалифицированную подпись практически невозможно — это потребует слишком больших вычислительных ресурсов. Если вы потеряете закрытый ключ, по вашему сигналу удостоверяющий центр отзовет сертификат — подписывать документы с его помощью будет нельзя.
Ее можно использовать в любых операциях с электронными документами. Ей доверяют арбитражный суд и налоговая служба, поэтому чаще всего ей подписывают электронные счета-фактуры, налоговые декларации и договоры.
Где можно использовать электронную подпись
| Простая | Неквалифицированная | Квалифицированная | |
|---|---|---|---|
| Внешние и внутренние электронные документы | + | + | + |
| Документооборот с физическими лицами | + | + | + |
| Госуслуги | + | — | + |
| Документы для ИФНС в личном кабинете налогоплательщика | — | + | + |
| ПФР и ФСС | — | — | + |
| Арбитражный суд | — | — | + |
Как начать работать с квалифицированной электронной подписью
Чтобы начать работать с электронной подписью, необходимо подготовить свое рабочее место и приобрести сертификат подписи. Сертификат выдают быстро — в течение часа.
Еще для работы с квалифицированной подписью надо будет установить программу для криптозащиты информации (СКЗИ). Самые распространенные средства криптозащиты в России — это «Криптопро CSP», Signal-com CSP, «Лисси CSP», Vipnet CSP. Все они примерно одинаковые.
Какое конкретно СКЗИ потребуется и какие настройки будут нужны, вам скажут в удостоверяющем центре или МФЦ.
Как приобрести подпись юридическому лицу и ИП
Юридические лица получают квалифицированные сертификаты подписи в удостоверяющем центре или МФЦ.
Найти удостоверяющий центр можно в списках аккредитованных центров на сайте Минкомсвязи или на сайте e-trust.gosuslugi.ru. Выбирайте тот центр, у которого есть филиал в вашем городе. Удаленно электронную подпись получить нельзя, придется идти за подписью лично.
Чтобы получить электронную подпись, вам потребуются следующие документы:
Если подпись получает представитель, ему дополнительно потребуются:
Когда вы подпишете заявление, надо будет оплатить счет. Лучше платить наличными или банковской картой. Если будете платить банковским переводом, вам придется ждать, когда оплата пройдет. Срок ожидания зависит от того, как быстро банк обработает платеж: можно прождать несколько минут, а можно и несколько дней.
Как приобрести подпись физическому лицу
Обычные граждане могут пользоваться любой подписью — простой, неквалифицированной и квалифицированной. Как правило, простая подпись используется для авторизации на госуслугах, где можно заказывать информационные услуги в электронном виде. Неквалифицированной подписью можно пользоваться по договоренности для обмена документами с юридическими лицами. А с помощью квалифицированной подписи получают госуслуги, связанные с имущественными операциями. Например, ею можно подписать договор купли-продажи квартиры и подать его на государственную регистрацию. Или оформить юрлицо без посещения налоговых органов, назначить его директора и других должностных лиц.
Физическим лицам проще всего получить подпись в ближайшем МФЦ: рядом может не быть удостоверяющих центров, а МФЦ найдется всегда. Для этого надо записаться на прием и подготовить следующие документы:
Расходы на электронную подпись в Москве для физических лиц — 2150 Р
| Токен | 1200 Р разово |
| Электронная подпись | от 950 Р в год |
| Программа СКЗИ | 0 Р |
Расходы на электронную подпись в Москве для юридических лиц — 2700—3600 Р
| Токен | 1200 Р разово |
| Электронная подпись | от 1500 Р в год |
| Программа СКЗИ | 0 Р или коммерческая СКЗИ на выбор от 900 Р |
Как подписать документ электронной подписью
Например, так работает процесс подписания с помощью программы « Крипто-АРМ »:
Документы « Микрософт-офис » подписать еще проще:
Инструкция по установке ЭП на сайте поддержки Микрософт
Документы можно подписывать в электронной почте и облачных хранилищах — например, в «Дропбоксе» и на «Яндекс-диске». Для этого нужно установить специальное расширение для браузера. Такое расширение добавляет в интерфейс вашего файлового хранилища кнопку «Подписать».
В « Гугл-докс » плагины для электронной подписи можно найти во вкладке «Дополнения».
Как проверить подлинность подписи
Чтобы проверить подлинность подписи и неизменность документа, воспользуйтесь любым из бесплатных сервисов:
Можно ли передать подпись другому
Теоретически можно. По закону вы должны не допускать того, чтобы подпись попала в чужие руки без вашего согласия. Получается, другой человек может использовать вашу подпись, если вы согласились на это. Но ответственность за любой подписанный документ все равно несет владелец подписи.
Что делать, если потеряли электронную подпись
Если вы потеряли ключ от подписи или его украли, сразу обратитесь в удостоверяющий центр или МФЦ, который выдавал вам сертификат. Центр отзовет ваш сертификат, чтобы его не могли использовать мошенники. Еще обязательно сообщите об этом контрагентам, чтобы они знали, что вашей утерянной подписью могут воспользоваться злоумышленники.
Восстановить утерянный сертификат или ключ ЭП невозможно. Нужно получать новый: собирать документы и идти в удостоверяющий центр.
Как перевыпустить сертификат
Срок действия сертификата электронной подписи — год. Когда он подойдет к концу, выпустите новый сертификат. Для этого обратитесь с заявлением в удостоверяющий центр или МФЦ. Если в документах ничего не изменилось, нести их снова не нужно. Если какие-то документы поменялись, нужно принести оригиналы только этих документов.
Минутка технического занудства (слабонервным лучше сразу в конец пролистать, там чуть веселее):
> «В итоге она создаст уникальное сочетание данных документа — хэш-сумму. Уникальным оно будет благодаря закрытому ключу — особой последовательности символов, которая формирует файл подписи.»
Теперь немного про ключи и зачем нужны:
(Увы, весь пост не влез, продолжение ниже)
Итак, как все таки работает электронная подпись?
Parmigiano, это самое понятное описание принципов криптографии открытого ключа, которое я видел. Спасибо огромное!
Parmigiano, отличный сторителлинг. И спасибо за разъяснение! Немного поправим текст в части описания закрытого ключа. А то в ходе редакторских правок и попыток написать все понятным языком чуть упустили техническую точность.
Павел, да вы жёстко всё упустили. После этого начинаешь сомневаться, а корректны ли статьи ТЖ по другим тематикам, где я не специалист. Умилительно наблюдать столь скромную оценку труда Parmigiana, который является лучшим описанием принципов работы ключей для шифрования и контроля целостности простыми словами 😐
Как хранить юридически значимые электронные документы?
Переходя на электронный документооборот с контрагентами, организации нужно подумать о том, как в дальнейшем вести архив. На каких носителях хранить документы в электронном виде и как подтвердить их юридическую значимость?
В каком формате и на каких носителях хранить документы
В чем проблема?
Различные бухгалтерские, хозяйственные и кадровые документы организации должны хранить от несколько лет до нескольких десятилетий. Например, бухгалтерские первичные документы придется хранить пять лет после года, в котором их в последний раз использовали для бухгалтерской отчетности.
Электронный документ должен быть доступен для чтения и через несколько лет после создания. Проблема в том, что компьютерная техника и программное обеспечение устаревают, а у редакторов и ридеров появляются новые версии.
Велика вероятность, что документ, который создан несколько лет назад, невозможно будет прочитать из-за отсутствия нужного устройства или программы. Например, сегодня сложно прочитать информацию с 3,5 дюймовой дискеты, хотя 10 лет назад это был распространенный носитель информации.
Хранить документ нужно в формате, в котором он был создан. Если поменять формат, электронная подпись не будет соответствовать документу. Соответственно, доказать его подлинность будет уже невозможно.
Как решить?
Решить эту проблему поможет периодическая перезапись информации с устаревших носителей на более современные. Что касается программного обеспечения, все крупные разработчики при разработке новых версий своих продуктов поддерживают форматы предыдущих версий.
Если обмен велся через сервис оператора ЭДО, то документы будут доступны в любой момент. Крупные операторы бессрочно хранят документы в «облаке» и позволяют просматривать их, выгружать и получать данные о сертификате электронной подписи (ЭЦП), с помощью которого они были подписаны. Нужен только доступ в интернет.
Как подтвердить юридическую значимость документов
В чем проблема?
Электронная подпись используется для определения лица, подписывающего документ, и защищает документа от изменений после подписания. Но сертификат электронной подписи имеет срок действия — максимум 15 месяцев, а подтвердить действительность электронной подписи может потребоваться через несколько лет.
Как решить?
Эту проблему решает сервис метки времени, который предлагают удостоверяющие центры и некоторые информационные системы. К электронной подписи в момент ее создания добавляется дополнительный атрибут — штамп, или метка времени.
Также сервис прикрепляет к подписанному документу список отозванных на этот момент сертификатов. Подписывая список электронной подписью, сервис подтверждает, что подпись является действительной на момент подписания.
Подлинность подписи в этом случае можно будет подтвердить и после окончания срока действия самого сертификата. Электронная подпись с меткой времени называется усовершенствованной. Такая подпись не только упрощает архивное хранение электронных документов, но и является условием для электронного документооборота с информационными системами некоторых государственных служб (например, ГИС ГМП, ФТС) и электронными торговыми площадками (Фабрикант, ТЭК-Торг).