Dom » Firmy » Podpis elektroniczny w chmurze: plusy i minusy. Korzyści z „chmury” CEP są teraz dostępne dla użytkowników

Podpis elektroniczny w chmurze: plusy i minusy. Korzyści z „chmury” CEP są teraz dostępne dla użytkowników

Jak wiadomo, zadaniem podpisu elektronicznego jest uproszczenie przepływu pracy. Zgodnie z ustawą z 2011 r. „O podpisie elektronicznym” dokument cyfrowy podpisany przez ES jest równoznaczny z dokumentem papierowym z odręcznym autografem.

"Pochmurny" podpis elektroniczny Ma wszystkie właściwości zwykłego, tylko nie jest przechowywany na dysku flash lub komputerze, ale w Internecie - na specjalnym bezpiecznym serwerze „w chmurze”, mówi Igor Czepkasow, założyciel i prezes National Cryptocurrency Fundusz Rozwoju. Tam też odbywa się podpisywanie i szyfrowanie dokumentu, dlatego taki podpis elektroniczny nie wymaga instalacji specjalnego oprogramowania na komputerze. Ekspert zauważa, że jedną z zalet podpisu „w chmurze” jest możliwość podpisywania dokumentów (w tym raportowania) oraz wysyłania ich z dowolnego miejsca na świecie i z dowolnego urządzenia.

Anton Elikov (projekt Merkat) zauważa, że podpis elektroniczny „w chmurze” to coś, z czego wielu z nas korzysta na co dzień, nawet nie zauważając. „Najbardziej uderzającym przykładem jest mechanizm autoryzacji w bankach mobilnych i internetowych, kiedy po wpisaniu hasła wysyłamy SMS-em jednorazowy kod PIN. Takie dwupoziomowe upoważnienie w istocie może być już podpisem elektronicznym ”- mówi ekspert.

Dlaczego potrzebujesz e-maila. Sergey Kazakov, ekspert w dziedzinie bezpieczeństwa informacji w SKB Kontur, przypomina, że za pomocą ES firmy składają raporty do organów podatkowych i innych organów regulacyjnych, postępowania dokument elektroniczny obrót. Podpis cyfrowy jest również szeroko stosowany w tej dziedzinie zamówienia publiczne. „Według naszych szacunków całkowita liczba użytkowników podpisów elektronicznych w Rosji przekracza dwa miliony” – zauważa ekspert. „Technologia podpisu elektronicznego „w chmurze”, która pojawiła się kilka lat temu, czyni to narzędzie bardziej dostępnym dla biznesu. Potwierdza to kilkadziesiąt tysięcy klientów SKB Kontur, którzy dokonali wyboru na jego korzyść – mówi Kazakov.

Uwaga

Podczas gdy eksperci mówią o rozprzestrzenianiu się „chmury” ES, pojawia się jeden problem – kwestie jego stosowania nie są sprecyzowane w przepisy prawne.

Jak zauważa Aleksey Dashkov, szef działu bezpieczeństwa informacji w System Software, ES pełni tę samą funkcję, co ostemplowany podpis. „Zapewnia autentyczność dokumentu i składa się z zamkniętego i klucz publiczny. Dokument jest podpisany za pomocą klucza prywatnego, który zwykle przechowywany jest na specjalnym nośniku – tokenie. Usługę można zakupić w wielu firmach świadczących takie usługi, bez specjalnych wymagań, z wyjątkiem dostępności standardowego zestawu dokumenty założycielskie niewymagane” – mówi.

Podpis elektroniczny „w chmurze” to zwykły podpis elektroniczny, ale z jedną różnicą: klucz prywatny jest przechowywany na serwerach centrum certyfikacji i tam odbywa się podpisywanie dokumentów. Tożsamość sygnatariusza jest zwykle weryfikowana poprzez wysłanie SMS-a z kodem na telefon komórkowy – wyjaśnia Dashkov.

Cena emisyjna

Igor Czepkasow powiedział, że koszt EP zależy od jego funkcjonalność i zakres i waha się od 1000 do 15 000 rubli. „Przynajmniej osobiście spotkałem takie ceny, gdy potrzebowałem EP do pracy. Podpis elektroniczny „w chmurze” w niektórych znanych mi firmach kosztuje 3 000 rubli – mówi ekspert.

Koszt podpisu „w chmurze” jest różny dla różnych firm operacyjnych. Możesz znaleźć ofertę za 900 rubli rocznie. Jednak nie wierzcie bezwarunkowo w obietnice reklamowe. Radzimy dokładnie zapoznać się z cennikiem podpisu „chmury” i dowiedzieć się, co zawiera cena, a dopiero potem podjąć decyzję o jego zakupie.

„Koszt podpisu elektronicznego „w chmurze” z reguły jest zawarty w taryfie usługi, którą kupuje klient. Jedyną usługą SKB Kontur, która sprzedaje ją osobno, jest system elektroniczne zarządzanie dokumentami„Diadok”. W nim jest 900 rubli. Jednocześnie zwykły certyfikat na przewoźnika z licencją na narzędzie do ochrony informacji kryptograficznej (CIPF) będzie kosztować 3000 rubli ”- mówi Siergiej Kazakow.

Jak to działa?

Technologia oparta jest na specjalistycznym serwerze podpisu elektronicznego zlokalizowanym „w chmurze”. „Jeśli użytkownik potrzebuje, na przykład, wysłać raport do Urząd podatkowy, jego system księgowy wchodzi w interakcję z serwerem podpisu elektronicznego i wysyła mu dokument do podpisania. Serwer podpisu elektronicznego jest zobowiązany do zażądania zgody użytkownika - można to zrobić, wysyłając kod potwierdzający transakcję na jego telefon komórkowy, tak jak w banku internetowym ”- mówi Siergiej Kazakow. Wprowadzając kod potwierdzający w systemie księgowym użytkownik autoryzuje dostęp do klucza ES i składa podpis pod dokumentem. „Wszystkie klucze podpisu elektronicznego są przechowywane w postaci zaszyfrowanej na specjalistycznym urządzeniu, które spełnia najbardziej rygorystyczne wymogi bezpieczeństwa. Operator serwera podpisu elektronicznego musi podjąć wszelkie działania, aby zminimalizować ryzyko nieuprawnionego dostępu do kluczy” – mówi Kazakow.

Aby skorzystać z „klasycznego” podpisu elektronicznego, należy zakupić token oraz specjalistyczne oprogramowanie – dostawcę kryptografii. „To spory wydatek, zwłaszcza dla początkujących przedsiębiorców. Następnie należy zainstalować i skonfigurować to oprogramowanie, a jeśli zamierzasz używać podpisu na kilku stacjach roboczych - dla każdego miejsca osobno. Podpis elektroniczny „w chmurze” nie wymaga zakupu oprogramowania i wstępnej konfiguracji, nie można go zgubić ani zapomnieć – mówi Kazakow. W przeciwieństwie do tradycyjnych technologii, sygnatura „chmury” jest dostępna dla użytkowników na dowolnym systemie operacyjnym i platformie, w tym urządzenia mobilne.

Aleksey Dashkov zauważa, że „chmury” ES są popularne wśród małych firm lub indywidualnych przedsiębiorców, którzy aktywnie korzystają z usług „takich jak księgowość online i zarządzanie dokumentami online”. V duże organizacje Kto nie korzysta z „chmur”, użycie takiego podpisu, według niego, może być droższe i trudniejsze niż użycie konwencjonalnego ES.

Jakie są perspektywy?

Według Antona Elikowa cała branża transportowa w Rosji czeka na rozpowszechnienie stosowania podpisów elektronicznych „w chmurze”. „Wystarczy wyobrazić sobie sytuację, w której spedytor leci na lot nie z plikiem dokumentów, ale z tabletem. I zaraz w miejscu wysyłki podpisuje z klientem list przewozowy! Ale podpis elektroniczny „w chmurze” może przynieść główną korzyść w przypadku, gdy dokument dostawy odbiega od faktycznie wysłanej ilości produktów (sortowanie, uszkodzenie podczas transportu) – zauważa. Według pana Elikowa takie przypadki w praktyce zdarzają się czasem nawet do 40 proc. „I wszystkie te dokumenty są teraz wysyłane w długą drogę interakcji między działami księgowymi po stronie dostawcy i kupującego. Choć kwestię rozbieżności można by rozstrzygnąć już w miejscu wysyłki, a fakt zmiany byłby potwierdzony „chmurą” podpisem – konkluduje ekspert.

Igor Czepkasow mówi, że obecnie pojawiają się już zupełnie nowe rozwiązania wykorzystujące technologię Blockchain, a mianowicie inteligentne kontrakty. „Decentralizacja, fundamentalna zasada technologii, zapewnia absolutną ochronę przed włamaniem i nieuprawnionym dostępem do dowolnego dokumentu i samego podpisu, ponieważ każdy taki element blokowy (podpis, dokument, archiwum itp.) znajduje się w silnym łańcuchu ponumerowanych bloków chroniony najbardziej złożonym kodem kryptograficznym” – mówi. Według Czepkasowa nie można dokonać zmian w bloku już wprowadzonym do obiegu; smart kontrakt to elektroniczny algorytm opisujący zestaw warunków, których spełnienie pociąga za sobą określone zdarzenia. „Jego praca opiera się na tworzeniu i stosowaniu tzw. protokołów niskiego zaufania, gdzie algorytm protokołu wykorzystuje wyłącznie oprogramowanie, a czynnik ludzki jest w jak największym stopniu wykluczony z łańcucha decyzyjnego – osoba tutaj działa wyłącznie w ro-i jedna ze stron zaangażowanych w realizację umowy. Na przykład przy wysyłaniu płatności realizacja umowy jest niemożliwa bez otrzymania określonej w umowie liczby podpisów elektronicznych – zaznacza.

Tymczasem, gdy eksperci mówią o upowszechnieniu się praktyki stosowania podpisu elektronicznego w „chmurze” oraz o możliwościach rozwoju technologii, pojawia się jeden problem. Wiąże się to z faktem, że dziś kwestie stosowania takiego ES nie są właściwie sprecyzowane w przepisach. Ale już niedługo, a mianowicie w III kwartale 2016 r. Rosjanie będą mieli legalną możliwość korzystania z podpisu elektronicznego bez nośnika materialnego - pendrive'a lub karty SIM. Taka norma jest zawarta w „mapach drogowych” programu rozwoju Internetu w Rosji, które Instytut Rozwoju Internetu przygotował dla Prezydenta Federacji Rosyjskiej. Możemy się więc spodziewać, że wkrótce firmy przestaną bać się technologii „chmurowych” i zaczną aktywniej wykorzystywać taki podpis elektroniczny w swojej pracy.

Raportowanie elektroniczne w Rosji pojawiło się około 10 lat temu. W minionym okresie księgowi mieli wiele możliwości oceny jego korzyści. Co roku liczba firm raportujących do w formie elektronicznej wzrasta wykładniczo. Do tej pory sprawozdawczość elektroniczna jest dowodem efektywnej pracy firmy i wyznacznikiem poziomu kwalifikacji księgowego. Ale jeśli zapewnienie raportów podpisem elektronicznym stało się zwyczajem dla Rosyjskie firmy, to stosowanie podpisu elektronicznego opartego na chmurze jest względną rzadkością.

Porównajmy możliwości wykorzystania „tradycyjnego” i opartego na chmurze podpisu elektronicznego na kilka sposobów: potrzeba oprogramowania, bezpieczeństwo przesyłania danych oraz koszt.

Tradycyjny podpis elektroniczny wymaga zainstalowania specjalnego programu. Jednocześnie możliwe będzie poświadczanie raportów podpisem elektronicznym tylko na komputerze, na którym zainstalowano niezbędne oprogramowanie. Ponadto w rosyjskiej rzeczywistości często dochodzi do sytuacji, w których klucz podpisu elektronicznego koliduje z kluczem bankowości internetowej. W takiej sytuacji firma zmuszona jest użyć dedykowanego komputera do wysyłania raportowanie elektroniczne. Tradycyjne oprogramowanie do podpisu elektronicznego, jak każde oprogramowanie, wymaga okresowych aktualizacji i kosztów utrzymania.

Konieczność eliminacji te braki a możliwości wysokich technologii umożliwiły stworzenie podpisu elektronicznego w chmurze. W przeciwieństwie do tradycyjnego ES, opartego na chmurze - nie wymaga instalacji oprogramowania i kryptografii na komputerze. Centrum certyfikacji wystawia podpis elektroniczny i umieszcza go w swojej certyfikowanej bezpiecznej komórce (chmurze). Dostęp do tej komórki jest dostępny tylko dla właściciela podpisu za pomocą sms, który przychodzi na telefon komórkowy. Ponieważ wszystkie informacje o dostępie do podpisu elektronicznego w chmurze są przechowywane na serwerze w chmurze w centrum certyfikacji, księgowy może podpisywać i wysyłać raporty elektroniczne z dowolnego komputera, tabletu, smartfona, a nawet telefonu komórkowego z dostępem do Internetu. Niewątpliwą zaletą podpisu elektronicznego w chmurze jest brak kosztów zakupu oprogramowania, jego wsparcia i aktualizacji. Technologia ta jest również wykorzystywana w wielu bankach internetowych.

Pomimo faktu, że podpis elektroniczny oparty na chmurze jest nadal dość nową koncepcją dla rosyjskiej rachunkowości, udało się już zgromadzić udane doświadczenia we wdrażaniu nowych technologii. Najpierw Rynek rosyjski wdrożył podpis elektroniczny w chmurze z wykorzystaniem haseł jednorazowych za pośrednictwem sms-owej księgowości internetowej „Mój biznes” wspólnie z centrum certyfikacji „Kaluga Astral”. Do tej pory za pomocą systemu ES w chmurze przesłano już ponad 100 tysięcy raportów księgowych.

„Przez dwa lata pracy z usługi skorzystało ponad tysiąc organizacji, które doceniły jego wygodę, dostępność i przyjazność dla użytkownika”, mówi Igor Chernin, dyrektor Kaluga Astral. „Usługa zwiększyła atrakcyjność droga elektroniczna składanie raportów dla małych przedsiębiorstw i przedsiębiorców indywidualnych. Rozwiązania techniczne w zakresie rozwoju platformy oraz w zakresie wykorzystania „chmury” ES, które zostały wdrożone w ramach usługi, stanowiły podstawę wielu podobnych produktów dostępnych obecnie na rynku.”

Inni uczestnicy rynku również docenili zalety chmur. Na przykład firma CRYPTO-PRO, zajmująca wiodącą pozycję w dystrybucji ochrony informacji kryptograficznej i elektronicznego podpisu cyfrowego, stworzyła nowy sprzętowo-programowy moduł kryptograficzny „CryptoPro HSM”. Chociaż usługa ta nie jest jeszcze wykorzystywana do raportowania, to już jest ruch i jest nadzieja, że za kilka lat będzie można zapomnieć o tradycyjnym podpisie elektronicznym tam, gdzie nie ma takiej potrzeby.

Iwan Piskunow

Wiele trendów ostatnie lata sugeruje, że wiele usług przechodzi z tradycyjnych instalacji desktopowych do chmury. nie był wyjątkiem i podpis elektroniczny. Jednak migracja ES do chmury jest postrzegana przez społeczność użytkowników i ekspertów nadal bardzo niejednoznaczna. Wśród niewątpliwych zalet nowych rozwiązań chmurowych wyróżniają się kwestie bezpieczeństwa informacji. Jednak ani technologia, ani prawodawstwo nie stoją w miejscu i już niedługo możemy spodziewać się nowej rundy rozwoju podpisu elektronicznego z udziałem chmury obliczeniowej.

Podpis elektroniczny jako podstawa prawnie istotnego zarządzania dokumentami elektronicznymi

Podpis elektroniczny (zwany dalej ES) zgodnie z ustawą federalną nr 63-FZ z dnia 04.06.2011 jest obowiązkowym prawnie istotnym warunkiem dokumentu elektronicznego. Oprócz tego prawo mówi również, że podpis elektroniczny jest absolutnym odpowiednikiem faktycznego podpisu ręcznego złożonego na dokumencie papierowym. W związku z tym logiczne i całkiem rozsądne jest przekonanie, że elektroniczne zarządzanie dokumentami jest realną alternatywą dla tradycyjnej pracy biurowej w ogóle, a w szczególności dla poszczególnych procesów zawierania i potwierdzania różnych transakcji, umów, porozumień, kontraktów itp.

Zgodnie z powyższym prawem federalnym ES, jako obowiązkowy element EDI, ma na celu realizację trzech kluczowych zadań:

1. Zapewnij niepowtarzalną identyfikację sygnatariusza

dokument;

2. Zapewnij ochronę przed nieautoryzowanymi zmianami w dokumencie;

3. Zapewnij moc prawną dokumentu elektronicznego.

Prawne znaczenie stosowania podpisów elektronicznych jest zapisane w wielu krajowych dokumenty normatywne. Oto kilka kluczowych linków:

Sztuka. 160, 434, 847 Kodeksu cywilnego Federacji Rosyjskiej, które regulują praktyczne wykorzystanie podpisów elektronicznych w zarządzaniu dokumentami.
· Ustawa federalna nr 63-FZ „O podpisie elektronicznym” z dnia 04.06.2011. Ustawa główna i ramowa opisująca ogólne znaczenie stosowania podpisu elektronicznego w transakcjach o różnym charakterze i świadczeniu usług.
· Ustawa federalna nr 149-FZ „O informacji, technologiach informacyjnych i ochronie informacji z dnia 27 lipca 2006 r. Dokument ten określa koncepcję dokumentu elektronicznego i wszystkich powiązanych segmentów.
· Ustawa federalna 402-FZ „O rachunkowości” z dnia 06.12.2011. Ustawa przewiduje usystematyzowanie wymagań dotyczących dokumentów księgowych i księgowych w formie elektronicznej.
· Zgodnie z art. 75 ust. 3 Kodeksu postępowania arbitrażowego Federacji Rosyjskiej dokumenty uzyskane za pomocą internetowej sieci informacyjnej i telekomunikacyjnej i podpisane podpisem elektronicznym są dozwolone jako dowód pisemny w sporach arbitrażowych.

Wszystkie powyższe fakty i argumenty powodują, że korzystając z ES zawsze możemy jasno wiedzieć przez kogo i kiedy dokument został podpisany, mieć pewność, że po podpisaniu nie zostały wprowadzone żadne zmiany w dokumencie, a w przypadku braku porozumienia między stronami i kolejnych postępowanie sądowe w celu zapewnienia niezaprzeczalności faktu dokonania transakcji (zawarcie umowy itp.).

Obecnie prawodawstwo przewiduje trzy opcje wykorzystania ES na terytorium Federacja Rosyjska, to:

· Prosty PE;
· Wzmocnione ES bez kwalifikacji;
· Wzmocnione kwalifikowane ES.

Czym się różnią i jakiego rodzaju PE można i należy użyć do zatwierdzenia transakcje finansowe? Poniżej przeanalizujemy je. A więc zacznijmy (patrz rysunek 1)

1. Prosty podpis elektroniczny

Podpis prosty, lub jak to się często nazywa łącze „login-hasło”, to podpis elektroniczny, który za pomocą kodów, haseł lub innych środków potwierdza fakt złożenia podpisu elektronicznego przez określoną osobę.

Klasycznym przykładem jest wpisanie kodu PIN karty kredytowej, powiedzmy hasło (znacznik głosowy) w rozmowa telefoniczna z call center banku i tym podobne - to wszystko będzie twoje Prosty podpis elektroniczny. Innymi słowy, jedyną funkcją takiego podpisu jest: potwierdzenie autorstwa , osobista identyfikacja. Prosty ES zapewnia podstawowy poziom ochrony i uwierzytelniania. Na przykład. Jej podpis służy do uzyskiwania dostępu do funkcji Jeden portal usług publicznych. Prosty podpis elektroniczny nie może być kategorycznie używany podczas podpisywania dokumentów elektronicznych lub w państwowym systemie informacyjnym (GIS), które zawierają tajemnice państwowe.

2. PE to wzmocniony NIEZAKWALIFIKOWANY jeżeli spełnione są następujące warunki:

uzyskane w wyniku kryptograficznej transformacji informacji przy użyciu klucza podpisu elektronicznego;

umożliwia identyfikację osoby, która podpisała dokument elektroniczny;

umożliwia wykrycie faktu dokonania zmian w dokumencie elektronicznym już po jego podpisaniu;

· jest tworzony za pomocą podpisu elektronicznego.

Wzmocniony NIEKWALIFIKOWANY ES umożliwia ustalenie autora podpisanego dokumentu i udowodnienie niezmienności zawartych w nim informacji. V niekwalifikowany podpis elektroniczny ustanowiono algorytmy kryptograficzne, które zapewniają niezawodną ochronę dokumentów zgodnie z rosyjskim GOST do szyfrowania. Taki podpis jest odpowiedni do wewnętrznego zarządzania dokumentami w firmie, a także do przesyłania dokumentów elektronicznych z jednej firmy do drugiej. Niekwalifikowany podpis elektroniczny nadaje się również do udziału w handlu elektronicznym.

3. I wreszcie trzecia opcja, kiedy EP to ulepszone kwalifikacje, jeśli spełnia wszystkie powyższe cechy niekwalifikowanego ES oraz następujące dwie dodatkowe cechy:

· klucz weryfikacji podpisu elektronicznego jest określony w kwalifikowanym certyfikacie;

Do tworzenia i weryfikacji podpisu elektronicznego wykorzystywane są narzędzia do podpisu elektronicznego, które otrzymały potwierdzenie zgodności z wymaganiami ustanowionymi zgodnie z niniejszą ustawą federalną

To jest nic nie warte. że oprogramowanie wymagane do pracy z CEP musi być certyfikowane przez Federalną Służbę Bezpieczeństwa. Dlatego kwalifikowany podpis elektroniczny daje dokumenty pełna moc prawna i spełnia wszystkie wymagania dotyczące ochrony informacji poufnych. Organy regulacyjne, takie jak Federalna Służba Podatkowa, Fundusz Emerytalny Federacji Rosyjskiej, FSS, uznają moc prawną tylko tych dokumentów, które są podpisane kwalifikowanym podpisem elektronicznym

Rysunek 1. Rodzaje podpisów elektronicznych

Podpis elektroniczny w usługach w chmurze

W ciągu ostatnich kilku lat trendy w przejściu od obsługi własnej infrastruktury IT do korzystania z chmury obliczeniowej mocno zakorzeniły się w branży IT. Jest to przede wszystkim zastąpienie tradycyjnych systemów informatycznych, początkowo wdrożonych na bazie materialnej i technicznej każdej firmy hotelarskiej, usługami na żądanie, tk. SaaS, PaaS i IaaS. Według niedawnego badania „Usługi w chmurze w sektorze przedsiębiorstw, Rosja 2017”. od firm SAP i Forrester technologie chmurowe w Rosji będą rosły szybciej niż cały rynek IT jako całość: w ten sposób, przy średnim rocznym tempie 21%, rynek chmury wzrośnie 3-krotnie w porównaniu do 2015 roku. Z raportu wynika, że duże firmy są obecnie jak najbardziej gotowe do korzystania z usług w chmurze: w tym segmencie ponad 90% respondentów wie o usługach w chmurze, w małych firmach – ponad 70%. V duży biznes 54,5% respondentów korzysta jednocześnie z usług chmurowych z dwóch lub więcej kategorii, w średnim biznesie - 50%, w małym - 43%.

Obecna sytuacja z wykorzystaniem chmury ES w Rosji

Niedawno, w czerwcu 2017 r., okazało się, że FSB wraz z Rostelecom tworzy podpis elektroniczny, który „wysadzi i wywróci rynek do góry nogami”. Idea jest taka sama, aby stworzyć podpis elektroniczny, który nie wymaga użycia tokena (nośnika na pendrive). Mówił o tym Michaił Bondarenko, dyrektor ds. e-administracji w Rostelecom. „Mam informację od kolegów z Łubianki, że do końca roku powinno zostać wydane pewne rozwiązanie, które umożliwi składanie zaufanych podpisów cyfrowych w chmurze” – powiedział, nie podając żadnych szczegółów, ale przeciwstawiając to rozwiązanie z podpisami elektronicznymi na tokenach. które są dziś powszechne. „Naszym zdaniem rozsadzi to i zmieni rynek zaufanej autoryzacji i identyfikacji” on dodał. Ale jest niuans, oprócz wykorzystania „chmur” planowane jest również wykorzystanie biometrii, tj. indywidualne cechy biometryczne każdej osoby jako parametry dla jej unikalnego uwierzytelnienia.

Według tego samego źródła według Bondarenko - „ Zakłada się, że Rostelecom zostanie operatorem tej platformy i przez dwa lata przeprowadzi z bankami pilotażowy eksperyment, podczas którego usługi identyfikacji biometrycznej będą im świadczone bezpłatnie., zauważając, że około dziesięciu banków, w tym Sbierbank, WTB i Gazprombank, bierze udział w już rozpoczętym programie pilotażowym.

Jednocześnie operator zamierza zakończyć tworzenie platformy do końca 2017 roku. Ponadto dopiero od 1 stycznia 2018 roku mają wejść w życie nowelizacje ustawy federalnej 115, pozwalające na stosowanie identyfikacji biometrycznej w sektor finansowy - do otwierania i zamykania kont, składania i wycofywania depozytów, przelewów itp. Tak więc, według top managera, pomysł stworzenia „narodowego banku do identyfikacji i autoryzacji” rosyjskich rezydentów na podstawie krajowej platformy biometrycznej jest już rozważana.

Komentarze ekspertów:

„Według naszych szacunków łączna liczba użytkowników podpisu elektronicznego w Rosji przekracza dwa miliony. Technologia podpisu elektronicznego „w chmurze”, która pojawiła się kilka lat temu, czyni to narzędzie bardziej dostępnym dla biznesu. Potwierdza to kilkadziesiąt tysięcy klientów SKB Kontur, którzy dokonali wyboru na jej korzyść,- mówi ekspert Kazakow.

Podpis elektroniczny „w chmurze” ma wszystkie właściwości zwykłego podpisu, tylko nie jest przechowywany na dysku flash lub komputerze, ale w Internecie - na specjalnym bezpiecznym serwerze „w chmurze”,– mówi Igor Czepkasow, założyciel i prezes Narodowego Funduszu Rozwoju Kryptowalut. - Tam też odbywa się podpisywanie i szyfrowanie dokumentu, dlatego taki podpis elektroniczny nie wymaga instalacji specjalnego oprogramowania na komputerze. Czepkasow zauważa, że jedną z kluczowych zalet podpisu „w chmurze” jest możliwość podpisywania dokumentów i wysyłania ich z dowolnego miejsca na świecie i z dowolnego urządzenia.

Igor Czepkasow opowiada o możliwościach wykorzystania ES w nowych usługach, np. zbudowanych na technologii blockchain mianowicie inteligentne kontrakty. „Decentralizacja, fundamentalna zasada technologii, zapewnia absolutną ochronę przed włamaniem i nieuprawnionym dostępem do dowolnego dokumentu i samego podpisu, ponieważ każdy taki element blokowy (podpis, dokument, archiwum itp.) znajduje się w silnym łańcuchu ponumerowanych bloków chroniony najbardziej złożonym kodem kryptograficznym", on mówi. Tak więc, zdaniem eksperta, nie można dokonać zmian w bloku już wprowadzonym do obiegu; smart kontrakt to elektroniczny algorytm opisujący zestaw warunków, których spełnienie pociąga za sobą określone zdarzenia. „Jego praca opiera się na tworzeniu i stosowaniu tzw. protokołów niskiego zaufania, gdzie algorytm protokołu wykorzystuje wyłącznie narzędzia programowe, a czynnik ludzki jest w jak największym stopniu wykluczony z łańcucha decyzyjnego – człowiek tutaj działa wyłącznie jako jedna ze stron zaangażowanych w realizację umowy. Np. przy wysyłaniu płatności realizacja umowy jest niemożliwa bez otrzymania określonej w umowie liczby podpisów elektronicznych., zauważa.

Obecnie certyfikaty kluczy weryfikacji podpisu elektronicznego (SKP) wydawane są na specjalnych nośnikach – powiedział Michaił Jewrajew, zastępca szefa Ministerstwa Telekomunikacji i Komunikacji Masowej. Jednocześnie średni koszt takiego SPC wynosi około 5 tysięcy rubli. „System podpisu elektronicznego w chmurze pozwoli na złożenie podpisu bez materialnego nośnika, co znacznie obniży koszty jego użytkowania i zwiększy bezpieczeństwo użytkowania”– wyjaśnił wiceminister.

Sytuację skomentował również Internetowy Rzecznik Praw Obywatelskich Dmitrij Mariniczow, który jest przekonany, że w technologiach podpisu cyfrowego nastąpi prawdziwa rewolucja, jak to miało miejsce kilka lat temu w przypadku urządzeń do przechowywania informacji. Na przykład w latach 90. filmy były sprzedawane na taśmach VHS, w latach 2000. pojawiały się na płytach CD, następnie na DVD, a dziesięć lat później są ostatecznie dystrybuowane na dyskach flash i w Internecie.

Perspektywy wykorzystania chmury ES dla sektora bankowego

Podpis elektroniczny został pomyślany jako uniwersalny sposób potwierdzania legalności transakcji, w związku z czym ma szerokie zastosowanie, od korzystania z portalu usług publicznych po elektroniczne zarządzanie dokumentami pomiędzy organizacjami i państwowymi organami regulacyjnymi. Dla sektora bankowego ES przez osoby fizyczne i osoby prawne najczęściej używany do dokonywania transakcji finansowych za pośrednictwem usług RBS. Obejmuje to i dostęp online v Obszar osobisty poprzez technologie internetowe i bank mobilny, tj. zarządzanie kontem poprzez socjalizowaną aplikację ze smartfonów i tabletów.

Na przykład EP dla osoby fizyczne w największym banku federalnym - Sbierbanku umożliwia organizacji bankowej zmniejszenie obrotu papierami i zwiększenie szybkości obsługi klienta. Oznacza to, że podczas otwierania lokaty, zamiast składania podpisu na 4 różnych dokumentach, odwiedzający będzie musiał 1 raz wybrać swój PIN (hasło do ES). Ten typ Technologia będzie w stanie zapewnić podwójną identyfikację klienta za pomocą paszportu i za pomocą karty z kodem PIN, który może znać tylko właściciel. Zapobiegnie to również potencjalnym oszustwom. Tak więc, według wewnętrznych danych Sbierbanku za 2014 r., w ciągu dwunastu miesięcy od uruchomienia takiej usługi mieszkańcy Moskwy wykonali ponad trzy miliony operacji przy użyciu podpisu elektronicznego.

Procedura uzyskania odpowiedniego klucza podpisu elektronicznego Banku Rosji jest dość prosta, musisz przejść rejestrację online na specjalistycznej stronie internetowej „Sber Key”. Tak więc bank daje prawo do podpisu elektronicznego każdemu ze swoich właścicieli, aby wziąć udział w aukcji i umieścić go na niezbędnych zasoby elektroniczne oświadczenia osobiste.

Inną ilustracyjną opcją masowego wykorzystania ES w chmurze może być dostępna w banku internetowym Sbierbank Business Online, który stał się oficjalnym narzędziem Sbierbanku do elektronicznego podpisywania wielostronnych i dwustronnych umów między dowolnymi podmiotami prawnymi i indywidualni przedsiębiorcy(IP) - tzw. EDI międzykorporacyjne. Jak wyjaśnił, dzięki temu systemowi koszty pracy związane z przetwarzaniem jednego dokumentu zmniejszają się z 2-3 minut do 10-15 sekund. Ponadto, eliminując formalności, firma może znacznie obniżyć koszty materiały piśmienne, wynajem pomieszczeń magazynowych, wymiana materiałów eksploatacyjnych na sprzęt biurowy itp.

Problemy z bezpieczeństwem Cloud ES

Pomimo wszystkich wymiernych zalet korzystania z ES w chmurach, koncepcja ta nie znalazła szerokiego poparcia wśród ekspertów ds. bezpieczeństwa informacji. Dlatego zdaniem niektórych ekspertów wykorzystanie narzędzi ES w telefonie komórkowym stanowi poważne zagrożenie bezpieczeństwa. Nie trzeba być ekspertem, aby zobaczyć przygnębiające statystyki wzrostu liczby mobilnego szkodliwego oprogramowania przechwytującego wiadomości SMS użytkownika, podszywającego się pod oficjalne aplikacje bankowości mobilnej i wykonującego inne nieautoryzowane działania bez wiedzy użytkownika.

W związku z tym gwarancja bezpieczeństwo informacji ES może być używany tylko w zaufanym środowisku (izolowanym), w którym użytkownik i środki techniczne w czasie interakcji są chronione przed ingerencją z zewnątrz. Telefon komórkowy Trudno nazwać tak zaufanym środowiskiem - użytkownik może zainstalować dowolną aplikację według własnego uznania. Gorsza sytuacja, chyba że system operacyjny urządzenia jest zrootowany. Jest jednak wyjście – jak już wcześniej opisywaliśmy, jest to zastosowanie specjalnej karty SIM zintegrowanej z EP.

Korzystając ze zdalnych usług bankowych, napastnicy często przeprowadzają atak typu „man in the browser”, czyli prywatna implementacja ataku „man-in-the-middle”, kiedy podmieniając szczegóły płatności prawnej, pokazując użytkownikowi poprawne dane i przesłanie własnych, podmienionych danych do banku. Dzięki nowej funkcji bezpieczeństwa taka sztuczka napastnika przestanie działać - po otrzymaniu danych specjalny aplet na karcie SIM wyświetli je na ekranie telefonu i zażąda kodu PIN. Po wzrokowym sprawdzeniu poprawności danych użytkownik wprowadza w celu potwierdzenia kod PIN swojego podpisu elektronicznego, podpisuje go, a następnie odsyła do bramki, która przekazuje informację do banku.

Siergiej Gruzdew, główny menadżer firma deweloperska systemy domowe ochrona kryptograficzna „Aladdin R. D” podkreśla inny sposób wykorzystania tej technologii – „Oprócz uwierzytelnienia i podpisywania dokumentów, opracowany system może służyć do powiadamiania klienta banku o transakcjach na jego rachunku, co stało się szczególnie istotne w świetle wejścia w życie artykułu dziewiątego 163-FZ „O krajowym systemie płatniczym” . W przeciwieństwie do najpopularniejszej obecnie metody - powiadamiania SMS-em, w tym przypadku gwarantowana jest tajemnica bankowa (nikt nie będzie mógł odczytać powiadomień, ani zainfekować smartfona wirusem, ani nawet wymienić stacji bazowej), a podmiana wiadomości przez intruzi są wykluczeni.

Inny problem pozostaje, gdy np. w przypadku zgubienia i celowej kradzieży telefonu oraz kodu PIN zapisanego w notatkach lub innej pamięci wewnętrznej telefonu. W takim przypadku atakujący będzie mógł wydać wszystkie pieniądze przynajmniej z konta mobilnego właściciela i np. podpisać dokumenty wiążące subskrybenta, np. zapłacić za zakupy na kredyt w jednym z popularnych sklepów internetowych. Jednak ryzyku tym można z całą pewnością zapobiegać w podobny sposób, jak w przypadku kart płatniczych i kredytowych. Właściciel konta (karty) może ograniczyć dzienny wolumen i zawartość transakcji dozwolonych z tej karty SIM, a także skorzystać z opcji tymczasowego wyłączenia swojego ES, gdy z niego nie korzysta.

19 czerwca 2014 09:21

V Ostatnio często mówimy o podpisie elektronicznym (ES) w chmurze. Zasadniczo ten temat jest omawiany przez specjalistów IT. Jednak wraz z rozwojem usług elektronicznego zarządzania dokumentami (EDF), w temat cloud ES zaczęli angażować się specjaliści z danej dziedziny, tacy jak księgowi, sekretarki, audytorzy i inni.

Pozwolę sobie wyjaśnić, podpis elektroniczny oparty na chmurze oznacza, że Twój prywatny klucz ES jest przechowywany na serwerze centrum certyfikacji i tam odbywa się podpisywanie dokumentów. Towarzyszy temu zawarcie odpowiednich umów i pełnomocnictw, a faktyczne potwierdzenie tożsamości sygnatariusza następuje z reguły za pomocą autoryzacji SMS.

Konieczność korzystania z chmury ES przez księgowego zależy od trybu, w jakim pracuje. Jeśli często przebywasz poza biurem lub np. pracujesz dla firmy świadczącej usługi księgowe (outsourcing księgowy), to ES w chmurze pomoże Ci podpisywać dokumenty z dowolnego miejsca. Nie ma potrzeby instalowania dodatkowego oprogramowania. Jednak pomimo łatwości obsługi, nie wszystkie firmy są gotowe skorzystać z tej możliwości.

Abyś mógł sam zdecydować, czy potrzebujesz podpisu elektronicznego opartego na chmurze, czy nie, rozważymy wszystkie wady i zalety korzystania z niego. A także zastanów się, komu naprawdę potrzebny jest taki podpis. Nawiasem mówiąc, w tym artykule będziemy mówić tylko o ulepszonym kwalifikowanym podpisie elektronicznym (zwanym dalej ECES).

Za

Podpis elektroniczny w chmurze jest tańszy niż zwykle. Wynika to głównie z faktu, że nie trzeba kupować narzędzia do ochrony informacji kryptograficznej (CIPF) oraz tokena (pamięć flash z certyfikatem). Z reguły, biorąc pod uwagę ich nabycie, cena certyfikatu wzrasta 2-2,5-krotnie.

Wygoda i łatwość użytkowania. Aby pracować z podpisem elektronicznym opartym na chmurze, nie trzeba instalować samego certyfikatu podpisu elektronicznego ani specjalnych narzędzi do pracy z nim. Oznacza to, że nie będziesz tracić czasu na zastanawianie się, jak to wszystko działa.

Mobilność. Obecnie powszechne i darmowe rozwiązania za korzystanie z podpisu elektronicznego bez chmury na urządzeniach mobilnych nie jest jeszcze dostępna. Pod tym względem ogromną zaletą podpisu elektronicznego opartego na chmurze jest to, że można z nim pracować z dowolnego komputera, tabletu, smartfona z dostępem do Internetu.

Przeciwko

Nie podpisujesz fizycznie dokumentu. Musisz zrozumieć, że w przypadku podpisu elektronicznego w chmurze prywatna część klucza, która jest poufna i powinna należeć tylko do Ciebie, będzie znajdować się na serwerze centrum certyfikacji. Oczywiście zostanie to udokumentowane, a same serwery będą bezpiecznie chronione. Ale tutaj wszystko zależy od wymagań bezpieczeństwa firmy i polityki związanej z podpisywaniem dokumentów. Jeśli ważne jest dla Ciebie, aby właściciele kluczy prywatnych sami podpisali dokumenty, to podpis elektroniczny w chmurze nie będzie Ci odpowiadał. W takiej sytuacji to Ty decydujesz, jak bardzo ufasz CA i serwerom przechowującym klucze prywatne.

Możesz korzystać z ES opartego na chmurze tylko w tych usługach, z którymi istnieje integracja oprogramowania centrum certyfikacji. Wynika to również z faktu, że w przypadku chmury ES klucz prywatny jest przechowywany na serwerze CA. Aby usługa musiała mieć możliwość użycia takiego prywatnego klucza ES do podpisywania, musi mieć możliwość wysłania żądania wygenerowania podpisu elektronicznego do serwera CA. Oczywiste jest, że w tej chwili usług jest wiele i wszystkie nie będą w stanie zapewnić integracji z oprogramowaniem CA. Okazuje się, że z chmury ES będziesz musiał korzystać tylko z określonymi usługami. Aby pracować z innymi usługami, będziesz musiał kupić kolejny certyfikat ES i nie ma gwarancji, że te usługi będą obsługiwać jakikolwiek podpis elektroniczny oparty na chmurze.

I co?

Podpis elektroniczny w chmurze to wygodne, mobilne i proste narzędzie, ale nie najbardziej elastyczne. A jeśli chodzi o bezpieczeństwo, być może przechowywanie klucza prywatnego na bezpiecznym serwerze byłoby lepsze niż trzymanie tokena w szufladzie.

Kto naprawdę potrzebuje podpisu elektronicznego? Przede wszystkim tych, którzy często pracują poza swoim biurem w biurze. Na przykład prawnicy i audytorzy, którzy często odwiedzają klientów. Lub dyrektorzy i dyrektorzy, dla których ważne jest podpisywanie dokumentów w dowolnym miejscu. Dla nich podpis elektroniczny w chmurze stanie się nieodzownym pomocnikiem w ich pracy.

Wiele też zależy od polityki firmy. Jeśli organizacja przesunie się w stronę technologii chmurowych, na przykład w zakresie przechowywania dokumentów, korzystania z usług zarządzania dokumentami wewnętrznymi i zewnętrznymi, to podpisy elektroniczne będą najprawdopodobniej również oparte na chmurze. W przeciwnym razie księgowi, urzędnicy i inni pracownicy, którzy zazwyczaj nie wychodzą z biura podczas pracy, nie potrzebują podpisu elektronicznego opartego na chmurze. Mogą zakupić klucz prywatny ES i certyfikat ES w zwykłym trybie, na nośniku, który może być używany w większości usług do wymiany z kontrahentami i agencjami rządowymi.

(4,33 - ocenione przez 9 osób)

Podobne posty

Cóż, to nieprawda. Na przykład od dawna istnieje Crypto-Pro na iOS. Korzystają z niego dostawcy rozwiązań EDMS. Dla tego samego DIRECTUM istnieje również EDS oparty na Crypto-Pro dla Androida.

Fizycznie żaden dokument elektroniczny nie jest przez Ciebie podpisany. Oprogramowanie to robi.

Dokładniej nie na serwerze CA, ale na specjalistycznym serwerze sprzętowym do przechowywania kluczy usługi podpisu elektronicznego, która współdziała z systemem informatycznym (elektroniczne zarządzanie dokumentami).

W tym przypadku co prawda użytkownik nie musi niczego instalować, ale całe bezpieczeństwo korzystania z klucza nie zależy od użytkownika, ale od wiarygodności uwierzytelnienia właściciela klucza przez usługę podpisu elektronicznego i system informatyczny .

Otóż klucz może być używany tylko w tych systemach informatycznych, które są „podłączone” do usługi podpisu elektronicznego, która przechowuje i stosuje klucz właściciela. Tych. klucz będzie „nie w pełni funkcjonalny” (np. nie może chronić połączenia z serwerami z kryptografią, system operacyjny, e-mail i plików, autoryzują USŁUGI PAŃSTWOWE i wiele innych miejsc), ale tylko do określonego zadania w określonym systemie. To jak porównywanie autobusu i tramwaju, wszędzie jest +/-.

Istnieją rozwiązania, ale nie są one powszechne ze względu na ich względną niepewność. Wolny nieznany. I czy się pojawią...

Mam nieco inny punkt widzenia: jeśli podstawowym nie jest certyfikat w chmurze, a usługa w chmurze. Tak, jeden certyfikat w chmurze nie może być używany dla wszystkich usług. Ale moim zdaniem wartość nie leży w certyfikacie, ale w usługach. I nie ma nic złego w tym, że każda usługa korzysta z własnego klucza chmury. W przeciwieństwie do certyfikatów „on premise” (na tokenach, kartach inteligentnych lub w rejestrze urządzenia osobistego), nie musisz nosić znaczników tokenów ani kopiować certyfikatów do rejestrów na wszystkich urządzeniach. Tylko sms będzie pochodził z różnych numerów. Co więcej, certyfikat w chmurze jest zwykle tańszy na miejscu i nie jest wymagany zakup oprogramowania (dostawcy krypto). Cóż, z punktu widzenia bezpieczeństwa, taki schemat a priori wygląda na bardziej niezawodny, ponieważ gdy jeden klucz zostanie naruszony, inne mogą nadal działać (bez kompromisów).

Nie ma w tym nic wstydliwego, ale koszt jest większy niż używanie jednego klawisza w pełni funkcjonalnego (nie koralików) w wielu systemach. W modelu zagrożeń wykorzystującym „cloud ES key” dodawane jest ryzyko naruszeń bezpieczeństwa w kanale uwierzytelniania. Ponadto OTPviaSMS nie wszędzie jest bezpieczny w użyciu. Tak, i psychologicznie większość ludzi czuje się pewniej, przechowując klucz w swoim sejfie, niż w przypadku wirtualny klucz w pamięci wirtualnej z warunkowo bezpiecznym kanałem do zarządzania jej wykorzystaniem.

Oczywiście jest to prawda, o ile podpisywanie jest inicjowane przez jedno urządzenie, a SMS z kodem potwierdzającym podpisanie dociera do innego urządzenia. A gdy tylko klient mobilny zostanie sam, taki schemat nie jest już a priori bardziej niezawodny. Pozostaje tylko wygoda użytkownika, ale nie niezawodność.

Użytkownik może wygrać, uzyskać przewagę nad konkurencją używając papieru z atramentem lub fizycznych tokenów z obsługą sprzętu OneTimePassword, dzięki szybszej reakcji, większa mobilność. Ale podejmuje też duże ryzyko. Ryzyko niedostępności usługi. Ryzyko naruszenia bezpieczeństwa urządzenia mobilnego. Ryzyko jest uzasadnione, jeśli chodzi o małe kwoty. Powierzyłbym milionową umowę staremu dobremu papierowi, podpisanemu w milczeniu, bez wścibskich oczu, bez pośredników i bez pośpiechu.

Jeśli potrzebujesz podpisać paczkę 30 dokumentów. Usługa nie obsługuje podpisywania wsadowego. Następnie będziesz musiał otrzymać 30 SMS-ów (lub jeden z 30 kodami potwierdzającymi) i wprowadzić kody potwierdzające 30 razy. Nadszedł czas, a reakcja nie jest już szybsza.

Ale jeśli każda usługa ma własną usługę do tworzenia ES, integracja usług powinna być bardzo bliska. Będzie tam zawarte podpisywanie wsadowe. Na przykład przyjdzie jeden logiczny SMS: „Kod 0xs3cr3t dla operacji #22_1806. Drogi Konstanty Wasiljewiczu. Potwierdzenie odbioru przychodzących dokumentów za okres 06.01.2014-06-18.2014 (20 faktur, 7 wykonanych prac oraz 3 listy przewozowe ), a mianowicie podpisanie 30 urzędowych dokumentów potwierdzających odbiór, należy wpisać określony kod".

Są rozwiązania. Ale z tego, co wiem, CryptoPro na iOS i Androida nie jest dystrybuowany za darmo.

Zgadzać się. Ogólnie o to chodzi. Pod tym względem korzystanie z certyfikatu w chmurze nie jest zbyt wygodne.

Ogólnie rzecz biorąc, jeśli musisz pracować z kilkoma usługami, zakup kilku ES w chmurze może być nawet droższy niż zakup jednego kwalifikowanego certyfikatu, CIPF i tokena.

Jeśli chodzi o niezawodność, to jest to kwestia zaufania do bezpieczeństwa miejsca, w którym będą przechowywane klucze, do technologii, za pomocą których będzie dokonywane podpisywanie. Myślę, że choć technologia nie jest bardzo dobrze przetestowana, zaufania nie będzie. Ale widzisz, używanie podpisu w chmurze jest nadal dość wygodne w niektórych przypadkach. Aby zrozumieć, który podpis jest odpowiedni w konkretnym przypadku, musisz przyjrzeć się procesom, przestudiować potrzeby, ocenić zalety i wady obu opcji, a następnie podjąć decyzję. Dlatego staramy się pokazać obie strony tej samej monety chmury ES.

A dla jakich platform CryptoPro jest darmowy?

Myślę, że technologia niewiele rozwiązuje - jedyne pytanie to zaufanie do dostawcy rozwiązania, któremu powierzasz swój certyfikat.

Dlatego też, gdy mówią o takich technologiach w kontekście zastosowania wewnątrzkorporacyjnego, rozumiem też, że może to „wystartować”. Jak tylko mówimy o powierzeniu certyfikatu osobie trzeciej, nie widzę żadnej szansy.

O ile dobrze pamiętam, Crypto-Pro na iOS i Androida nie jest sprzedawany użytkownikom końcowym. Dlatego wszystko leży w gestii dostawcy oprogramowania aplikacyjnego. Jeśli chce ci to dać za darmo, to zrobi. Jeśli nie chce, nie zrobi tego. Lub może dawać dodatkowo funkcjonalność, dla której kupiłeś rozwiązanie.

Czy to zgadywanie (jak w oryginalnym artykule), czy możesz poprzeć to liczbami rzeczywistymi?

Podobnie jak Microsoft, Facebook, Twitter i setki innych dostawców uwierzytelniania sfederowanego, a każdy zasób wybiera dostawcę do integracji. Czy sugerujesz zrobić to samo z przechowywaniem certyfikatów?

I czy dobrze rozumiem, że utożsamiasz uwierzytelnianie federacyjne, w którym żadne dane użytkownika, z wyjątkiem bardzo ograniczonego zestawu przesyłanego z tokenem uwierzytelniającym, nie opuszczają granicy usługi i usługi EDS, przez którą będą musiały przejść wszystkie Twoje podpisane dane?

Może nie być. Klucz w chmurze nie wymaga tokena ani oprogramowania. Usługa może np. zawrzeć w opłacie abonamentowej koszt wydania tokena chmurowego oraz udostępnić certyfikaty chmurowe „za darmo”. W każdym razie jest to kwestia marketingu, a nie technologii.

Możesz również podpisać paczkę 30 dokumentów. W ten sposób skonfigurowana jest sama usługa, niezależnie od tego, czy obsługuje podpisywanie wsadowe. A skąd pochodzi klucz (z chmury czy z rejestru/tokena) – to już jest ortogonalne pytanie. Dziękuję, rozwinęliście ten pomysł w komentarzu. Często zdarza się to również na papierze. Wielki szef może jedynie własnoręcznie podpisać ewidencję wpłat, a następnie wpłaty podpisują osoby upoważnione.

Chwała do rzeczy! :) Podczas gdy sygnatura w chmurze jest używana w księgowości i raportowaniu w chmurze.

Misza już pracuje :)

Eugene, pochwalam Twój komentarz stojąc :)

Misha, poczekajmy na odpowiedź Jewgienija, ale zrozumiałem to jako przykład. Nowe, wygodniejsze i być może mniej bezpieczne rozwiązanie, ze względu na swoją wygodę, jest z czasem akceptowane przez konsumentów, ponieważ wynikający z tego komfort przeważał nad możliwymi zagrożeniami. Być może przed pierwszą katastrofą. Możliwe, że konsumenci będą nadal korzystać z tego rozwiązania po negatywnym zdarzeniu.

Podpis w chmurze wydaje się teraz wygodniejszy, ale a priori mniej bezpieczny. Jednak niektórzy użytkownicy dadzą się uwieść wygodzie i ocenią zagrożenia bezpieczeństwa jako akceptowalne. I użyje podpisu w chmurze.

Podpis w chmurze już działa w segmencie „low-cost”. Ciekawie byłoby spróbować w segmencie „przedsiębiorczym”. Być może słowa „CryptoPro HSM” lub coś innego uspokoją biznes. Musimy myśleć, oferować i próbować.

Cóż, usuń argument „mobilność” z sekcji „for” w artykule.

Dlaczego ona tam jest?

Czy dobrze rozumiem, że księgowość w chmurze to usługa, na której prowadzone są zapisy i z której następnie wysyłane są raporty? Dlaczego w tym przypadku nie wystarczy autoryzacja użytkownika w serwisie? Dlaczego jeszcze EDS - aby spełnić wymagania regulatora?

Gdzie dokładnie? W ramach jednej usługi czy usług jednego dostawcy? OK, zaakceptowane.

Dopiero teraz muszę uzyskać certyfikat od każdego dostawcy? Więc?

Po co dokładnie jest to wygodne?

Widzę plus tylko w jednym - jeśli korzystasz z usługi internetowej, to zorganizowanie podpisu od lokalnego klienta może być problematyczne.

Moim zdaniem na wzmiankę o CryptoPro (a także o wszystkim, co dotyczy naszego dziwnego „rosyjskiego podpisu kwalifikowanego”), normalny biznes zaczyna być już idioscarzic.

Tak, zgadza się, ale mogą to być różne usługi. Nie każdy potrzebuje księgowości i raportowania. Wiele osób woli prowadzić księgowość na miejscu, a następnie składać raporty za pośrednictwem serwisu. CEP jest niezbędny do spełnienia wymogów prawnych.

Tak, działa w ramach usług jednego dostawcy. Teoretycznie możesz nauczyć się dostarczać certyfikat w chmurze innym dostawcom, jeśli to będzie sens ekonomiczny. Ale moim zdaniem wartość jest dostarczana właśnie przez usługi i środowiska, w których można korzystać z ES, samo posiadanie chmury czy zwykłego certyfikatu nie ma sensu ekonomicznego.

W przypadku certyfikatu w chmurze użytkownik nie musi instalować oprogramowania na swoim urządzeniu i myśleć o kopiowaniu certyfikatów na każde urządzenie lub zawsze mieć przy sobie nośnik klucza. Posiadanie certyfikatu w chmurze jest mniej kłopotliwe, więc nie byłbym tak onieśmielony, gdybym otrzymał kilka certyfikatów od różnych dostawców. A koszt niezbędnego oprogramowania i nośnika kluczy (w przypadku certyfikatów on premise) będzie zauważalnie niższy płatności za subskrypcję, więc korzystanie z jednego uniwersalnego certyfikatu jest kwestią wygody, a nie korzyści ekonomicznych.

Przeczytaj o HSM - ciekawa rzecz. Konkurenci zagraniczni mają podobne rozwiązania i to od dłuższego czasu. Więc tutaj CryptoPro wykorzystuje uniwersalne doświadczenie świata.

Cieszę się, że ten temat jest interesujący. Postaram się rozwinąć powyższą koncepcję usługi w chmurze, biorąc pod uwagę uwagi. 1. Usługa w chmurze jako rozwój systemów informatycznych jest już faktem dokonanym, co oznacza, że producenci oprogramowania są dostosowywani do tego standardu. W kwestii redukcji kosztów - wcześniej trzeba było kupować 2-3 Produkt oprogramowania które odpowiadają Twoim potrzebom, teraz jest to 1 i 30-40% niższe w całkowitym koszcie.

2. Co to jest? podpis cyfrowy A komu jest to przede wszystkim potrzebne? Procesor to Twój identyfikator w systemach IT, który pozwala Ci powiedzieć „jestem ja”, aby podejmować decyzje na dowolnym poziomie odpowiedzialności finansowej z gwarantowanym poziomem ochrony przed włamaniami lub niewłaściwym użyciem. W każdym razie pojawienie się procesora jest ewolucją „żywej” sygnatury w celu przyspieszenia realizacji procesów biznesowych firmy. Tych. jeśli wcześniej dokument papierowy był przetwarzany powoli, teraz wystarczy jedno kliknięcie, aby podjąć decyzję.

3. Nikt nie mówi, że istnieją idealne rozwiązania i środki. Rzeczywiście, CryptoPro zaostrzył zęby podczas korzystania z niego. Niedawno przeinstalowałem system dla księgowych korzystających z 1C, VLSI i 2 kont bankowych za pośrednictwem interfejsu internetowego (używając CryptoPro) - przeklinałem wszystko, dopóki nie dodałem wszystkich niezbędnych certyfikatów i obsługi kluczy.

Michael, niezupełnie znak równości. Raczej znak tożsamości, ponieważ FA pozwala na zaimplementowanie mechanizmu pojedynczego okna dla użytkowników różnych domen, tj. pełni funkcję gwaranta identyfikacji uczestnika autoryzacji. Sama usługa EDS posiada narzędzia autoryzacyjne i rozwiązuje swoje specyficzne zadania. W tym przypadku wyraźnym przykładem jest strona internetowa usług publicznych i usług satelitarnych (np. ROI). Witryna usług publicznych jest FA, która gwarantuje identyfikację użytkownika w przypadku innych usług.

Sergey, całkowicie się z tobą zgadzam. Podpis w chmurze może i powinien działać jako pojedyncza usługa identyfikacji akceptowana przez innych uczestników procesów biznesowych. Teraz wszystko jest zbyt rozdrobnione i istnieje wielu pośredników na drodze przepływu dokumentów.

Skąd taki wniosek?

Może nie wiesz jak go używać? Instalowanie certyfikatów to bardzo trywialne zadanie i nikt nie zadaje pytań. Co więcej, technologicznie nie różni się to od instalowania certyfikatów u innych dostawców kryptowalut.

Korzystaj z WYGODNYCH aplikacji współpracujących z CIPF, a będziesz zadowolony.

Teraz to, co jest sprzedawane pod nazwą „chmurowy podpis” nie może w żaden sposób pełnić funkcji usługi identyfikacji, ponieważ samo w sobie zależy całkowicie od uwierzytelniania. Podpis w chmurze nie ma zadania identyfikacyjnego, wymagane jest przeniesienie procesu generowania podpisu z miejsca pracy do chmury, ale tylko z tego powodu, że Miejsce pracy użytkownik nie jest tak bezpieczny w pracy z CIPF.

Co jest pofragmentowane? Kim są pośrednicy? Jeśli chodzi o CA, to jest to potrzebne do produkcji kwalifikowanych certyfikatów. Jeśli chodzi o operatora, jak sobie to wyobrażasz bez niego? Potrzebujesz operatora energii elektrycznej, operatora dostępu do sieci, operatora usługi podpisu w chmurze, operatora System informacyjny itp. Jest to działalność specjalistyczna. Nie mamy rolnictwa na własne potrzeby.

Nieważne jak to powiedziałem :) Całkowicie przyznaję się do użycia podpisy w chmurze dla poszczególnych usług ok, niech usługi od jednego operatora. Ale na razie wahałbym się przed użyciem go jako pojedynczej usługi identyfikacyjnej.

Tak, ostatnio często słyszy się, jak operatorzy EDF są porównywani do sprzedawców lotniczych. Zapewne napiszę duży artykuł o tym, czym zajmuje się operator, oprócz zapewnienia znaczenia prawnego, na razie ograniczę się do tez:

1. Stworzenie ED. W interfejsie usługi z reguły można tworzyć najpopularniejsze ED (ESF, TORG-12, akty itp.).

2. Przechowywanie ED. Nie mogę mówić w imieniu wszystkich usług, ale Diadoc przechowuje Twoje dokumenty, dopóki sam ich nie usuniesz. Nawet jeśli nie płacisz już abonamentu.

3. Jednolita przestrzeń prawna. Spróbuj zawrzeć umowy ze wszystkimi kontrahentami, jeśli jesteś np. operatorem telekomunikacyjnym lub firmą zajmującą się sprzedażą energii!

4. Transport. Ok, czy będziesz w stanie zorganizować transport dokumentów elektronicznych kanałami komunikacji i kontrolować podpisywanie dla wszystkich swoich 10 000 kontrahentów? No cóż...

5. Integracja. Opowiem ci małą historię. Jeden Międzynarodowa korporacja Postanowiłem wysłać przez operatora ESF i TORG-12. Tak, problem polega na tym, że ERP mógł przesyłać tylko pliki PDF, a następnie w specjalnym zboczonym formacie. IT Corporation była gdzieś w Ameryka Łacińska i przyjął zamówienia na opracowanie Następny rok. Nie licząc biurokracji z formułowaniem mTOR i koordynacją na kilku kontynentach. Kto potrafił szybko nawiązać integrację? Zgadza się, operatorze.

Siergiej, tj. Czy możesz podsumować awarię infrastruktury IT, aby zapewnić wymaganą jakość ED w ramach istniejącego ERP? W oparciu o to, co powiedziałeś, ED jest wciąż w powijakach i nie może w pełni zaspokoić potrzeb użytkowników końcowych.

Potem okazuje się, że producenci papieru sprzedają przetworzoną miazgę..:) Operatorzy EDF świadczą usługi, na które popyt na rynku (choć niektórym udaje się sprzedać puszki alpejskie)

Dlaczego tak? Elektroniczne zarządzanie dokumentami nie jest celem samym w sobie, jest narzędziem. Rozwija się, a wymagania rosną. Gdzieś wymagania są wyższe, gdzieś ED sam kształtuje potrzeby. Generalnie uważam, że stan EDI w Rosji jest mniej więcej adekwatny do wymagań rynku.

Siergiej, dochodząc do takiego wniosku, opieram się na tym, co napisałeś powyżej. W końcu podnosisz kwestię skuteczności narzędzi informatycznych do wdrażania ED. Dodatkowo usługa w chmurze jako sektor usług rozwija się dość dynamicznie, a szanse na pojawienie się podpisu elektronicznego są kwestią czasu.

Subskrypcja dzienna. Inne rodzaje subskrypcji są dostępne po rejestracji.

Ostatnio często mówimy o podpisie elektronicznym (ES) w chmurze. Zasadniczo ten temat jest omawiany przez specjalistów IT. Jednak wraz z rozwojem usług elektronicznego zarządzania dokumentami (EDF), w temat cloud ES zaczęli angażować się specjaliści tematyczni – księgowi, sekretarki, audytorzy i inni.

Podpis elektroniczny w chmurze oznacza, że Twój prywatny klucz ES jest przechowywany na serwerze centrum certyfikacji i tam odbywa się podpisywanie dokumentów. Towarzyszy temu zawarcie odpowiednich umów i pełnomocnictw. A faktyczne potwierdzenie tożsamości osoby podpisującej odbywa się z reguły za pomocą autoryzacji SMS.

Konieczność korzystania z chmury ES przez księgowego zależy od trybu, w jakim pracuje.

Jeśli często przebywasz poza biurem lub np. pracujesz w firmie świadczącej usługi księgowe (outsourcing księgowy), to ES w chmurze pomoże Ci podpisywać dokumenty z dowolnego miejsca.

Nie ma potrzeby instalowania dodatkowego oprogramowania. Jednak pomimo łatwości obsługi, nie wszystkie firmy są gotowe skorzystać z tej możliwości.

Abyś mógł sam zdecydować, czy potrzebujesz podpisu elektronicznego opartego na chmurze, czy nie, rozważymy wszystkie wady i zalety korzystania z niego. A także zastanów się, kto naprawdę może potrzebować takiego narzędzia. Nawiasem mówiąc, w tym artykule będziemy mówić tylko o ulepszonym kwalifikowanym podpisie elektronicznym (dalej - UKES).

Podpis elektroniczny w chmurze jest tańszy niż konwencjonalny. Wynika to głównie z faktu, że nie trzeba kupować narzędzia do ochrony informacji kryptograficznej (CIPF) oraz tokena (pamięć flash z certyfikatem). Z reguły, biorąc pod uwagę ich nabycie, cena certyfikatu wzrasta 2-2,5-krotnie.

Wygoda i łatwość użytkowania. Aby pracować z podpisem elektronicznym opartym na chmurze, nie trzeba instalować samego certyfikatu podpisu elektronicznego ani specjalnych narzędzi do pracy z nim. Oznacza to, że nie będziesz tracić czasu na zastanawianie się, jak to wszystko działa.

Mobilność. W chwili obecnej nie ma powszechnych i darmowych rozwiązań do korzystania z podpisu elektronicznego bez chmury na urządzeniach mobilnych. Pod tym względem ogromną zaletą podpisu elektronicznego opartego na chmurze jest to, że można z nim pracować z dowolnego komputera, tabletu, smartfona z dostępem do Internetu.

Przeciwko

Nie podpisujesz fizycznie dokumentu. Musisz zrozumieć, że w przypadku podpisu elektronicznego w chmurze prywatna część klucza, która jest poufna i powinna należeć tylko do Ciebie, będzie znajdować się na serwerze centrum certyfikacji. Oczywiście zostanie to udokumentowane, a same serwery będą bezpiecznie chronione. Ale tutaj wszystko zależy od wymagań bezpieczeństwa firmy i polityki związanej z podpisywaniem dokumentów. Jeśli ważne jest dla Ciebie, aby właściciele kluczy prywatnych sami podpisali dokumenty, to podpis elektroniczny w chmurze nie będzie Ci odpowiadał. W takiej sytuacji to Ty decydujesz, jak bardzo ufasz CA i serwerom przechowującym klucze prywatne.

Możesz korzystać z ES opartego na chmurze tylko w tych usługach, z którymi istnieje integracja oprogramowania centrum certyfikacji. Wynika to również z faktu, że w przypadku chmury ES klucz prywatny jest przechowywany na serwerze CA. Aby usługa musiała mieć możliwość użycia takiego prywatnego klucza ES do podpisywania, musi mieć możliwość wysłania żądania wygenerowania podpisu elektronicznego do serwera CA. Oczywiste jest, że w tej chwili usług jest bardzo dużo i wszystkie nie będą w stanie zapewnić integracji z oprogramowanie UC. Okazuje się, że z chmury ES będziesz musiał korzystać tylko z określonymi usługami. Aby pracować z innymi usługami, będziesz musiał kupić kolejny certyfikat ES i nie ma gwarancji, że te usługi będą obsługiwać jakikolwiek podpis elektroniczny oparty na chmurze.

I co?

Kto naprawdę potrzebuje podpisu elektronicznego?

Przede wszystkim tych, którzy często pracują poza swoim biurem w biurze. Na przykład prawnicy i audytorzy, którzy często odwiedzają klientów. Lub dyrektorzy i dyrektorzy, dla których ważne jest podpisywanie dokumentów w dowolnym miejscu. Dla nich podpis elektroniczny w chmurze stanie się nieodzownym pomocnikiem w ich pracy.