ЭЦП от А до Я: как предпринимателю выбрать электронную подпись
Повсеместное внедрение электронного документооборота в России — медленный, но неизбежный процесс. Нормативно-правовая база для его регулирования уже сложилась. В формате ЭДО можно подписывать и передавать практически все основные документы.
За последние несколько месяцев интерес к электронным документам вырос — в условиях пандемии это хорошая возможность приспособить бизнес к новым реалиям. Один из элементов фундамента, на котором стоит ЭДО, — это электронная подпись.
Как ее выбрать, хранить ли ключ на токене или в облаке, как определить подходящий сертификат и кому делегировать подписание документов, рассказывает Кирилл Померанцев, технический директор сервиса EasyDocs.
Бумажный документооборот уже давно не успевает за современными бизнес-процессами. Чтобы ускорить его, большинство предпринимателей в России просто сканируют подписанные бумажные акты, счета или договоры и отправляют их по email, а потом уже обмениваются оригиналами.
Но важно понимать, что такие сканы не являются юридически значимыми документами. В случае конфликтов они ничем не помогут.
Кроме того, такой способ перестает работать с большим количеством сделок с неизвестными контрагентами, документы по которым нужно закрывать быстро.
Создавать юридически значимые документы здесь и сейчас за несколько кликов позволяет электронная подпись. С ней вы можете, например, заключить договор с контрагентом из другого города за несколько минут.
В сравнении с собственноручной у нее пока еще есть некоторые ограничения, но все основные документы вы уже сможете подписать электронно: акты, счета-фактуры, договоры между контрагентами, налоговую и бухгалтерскую отчетность.
Виды электронных подписей
Бывают простые и усиленные электронные подписи. Простыми пользуемся мы все, когда получаем СМС-коды для подтверждения банковских операций или вводим логин и пароль, чтобы зайти в личный кабинет.
Такую подпись можно использовать только в той информационной системе, средствами которой она создается. И только организатор системы — например, банк или владелец информационного ресурса — может идентифицировать личность подписавшего. Средствами криптографии такая подпись не защищена.
Усиленная электронная подпись создается в результате криптопреобразования документа, подтверждает авторство и отсутствие изменений после подписания. Состоит из двух ключей (открытого и закрытого), а также сертификата, который связывает эту ключевую пару и личность подписывающего.
В отличие от собственноручной подписи, которая меняет сам документ, усиленная электронная подпись формирует новый файл, напрямую связанный с документом при помощи криптографического алгоритма. Он устанавливает соответствие между документом и сертификатом и фиксирует наличие либо отсутствие изменений после подписания.
Усиленная электронная подпись может быть квалифицированной и неквалифицированной. Технология одна и та же, но при создании квалифицированной подписи используются средства криптозащиты, сертифицированные ФСБ, что приравнивает ее к собственноручной подписи. Получить ее можно в аккредитованных удостоверяющих центрах — их сейчас много, процедура простая.
Неквалифицированная электронная подпись может быть приравнена к собственноручной по договоренности сторон и в специально предусмотренных законом случаях.
Она часто используется в кадровом документообороте или в каких-то корпоративных решениях — например, когда банк выдает клиентам собственные USB-токены для работы с интернет-банкингом. В случае с большим количеством контрагентов это выгодно, поскольку квалифицированные подписи обходятся дороже.
USB-токен или облачная электронная подпись?
Секретный ключ электронной подписи может храниться на физическом носителе (USB-токене) или в облаке. Какой вариант выбрать? Здесь уместно провести параллель с деньгами: вы можете хранить их в кошельке или сейфе, а можете на своем счете в банке.
USB-токен — тот же самый кошелек, который перекладывает на пользователя ответственность за безопасность ключа.
Не все, например, знают, что по закону USB-токен нужно постоянно хранить в сейфе. На деле же он чаще торчит в компьютере бухгалтера, которому директор делегировал подписание документов, что крайне небезопасно и нарушает закон сразу по ряду пунктов.
Кроме того, с точки зрения удобства, токены — очень недружелюбная технология, которая привязана к ПК и требует установки специального программного обеспечения — криптовайдера и плагина. Причем плагины постоянно не успевают за обновлениями версий браузеров и конфликтуют между собой.
Именно из-за сложностей использования собственники и директора часто отдают свои подписи другим сотрудникам, жертвуя безопасностью.
В то же время облачная электронная подпись не требует никакого ПО и не привязана к компьютеру, подписать документы можно за несколько секунд с любого устройства, подключенного к интернету. Достаточно знать пароль. Так у вас отпадает необходимость отдавать кому-то свой ключ.
Многие до сих пор сомневаются в безопасности облачных электронных подписей — психологически токен, который можно положить в сейф, кажется более надежным, чем все эти «новые» облачные технологии.
Однако если у вас есть счет в банке, вы уже давно пользуетесь такими технологиями. Секретные ключи облачных электронных подписей хранятся на специальных защищенных серверах — там же, где и данные банковских карт, с использованием тех же средств криптозащиты.
Думаю, появление облачных электронных подписей — это хороший трамплин для перехода на ЭДО. Как и в случае с электронными деньгами, технология объединила безопасность и комфорт, проложив дорогу к массовому потребителю.
Когда у всех будут электронные подписи?
В основе самой технологии электронных подписей — все те же криптографические алгоритмы, что и 20 лет назад. Но сегодня их уже умеют упаковывать в интуитивно понятные интерфейсы и упрощать до паттернов поведения современных пользователей.
Если раньше электронная подпись представляла из себя нечитаемый файл с расширением sig, который лежал в ZIP-архиве и проверялся либо в специальном ПО, либо на доверенных сервисах, то сегодня подписи могут храниться внутри PDF-документов, отображаться в человекочитаемом виде на любом устройстве и легко проверяться в самой программе Acrobat Reader.
Кроме того, за последние годы увеличилось число удостоверяющих центров, появились облачные электронные подписи и удобные приложения для работы с документами. Больше не нужно привязываться к токенам или ПК, ставить свои подписи можно с любого устройства в пару кликов. У нас, например, есть Telegram-бот, который умеет подписывать документы прямо в мессенджере. Так что все предпосылки для перехода на ЭДО есть.
Но по аналогии с банковскими картами, электронным подписям еще понадобится время для проникновения в сознание людей.
Пока процент низкий, преимуществ меньше.
Особенность использования электронных подписей в большом сетевом эффекте — чем больше участников в системе, тем больше выгод все получают.
Однако не стоит ориентироваться на своих контрагентов. Даже если они пока не используют электронные подписи, современные системы ЭДО умеют подписывать документы и отправить их по электронной почте.
Закон не запрещает подписать документ электронной подписью с одной стороны, а с другой — собственноручной. Можно рассматривать такое решение как временный компромисс.
Как получить максимум
Несколько ключевых рекомендаций по работе с электронными подписями:
- Выясните, для каких целей вам нужна электронная подпись, какие документы вы будете ей подписывать и с кем ими обмениваться: внутри компании, между контрагентами или с государственными организациями. Полноценный аналог собственноручной подписи — усиленная квалифицированная электронная подпись.
- Не останавливайтесь на привычном USB-токене, оцените преимущества облачной электронной подписи — вы сможете подписывать документы в пару кликов с любого устройства, а ключ будет защищен так же надежно, как и деньги на банковском счете.
- Электронные подписи есть практически у всех, чтобы сдавать отчетность. Но даже если ваши контрагенты ими не пользуются, это не проблема. Закон не запрещает подписывать документ электронной подписью с одной стороны, а с другой — собственноручной.
- Никогда не отдавайте никому ключ от своей электронной подписи. Если есть необходимость делегировать подписание каких-то документов бухгалтеру или другому специалисту, оформите на него доверенность с необходимыми полномочиями и выпустите электронную подпись непосредственно на имя специалиста.