[Информационная безопасность, Законодательство в IT] Петиция за дружбу удостоверяющих центров. Часть 2
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Привет, хабровчане!Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры - Контур и Тензор.Прошлая проблема, которая возникла в мае, в общем-то решилась - когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно. Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе. В частности, если у тебя электронная подпись на носителе - ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо. А вот если действующая подпись облачная - начинаются проблемы.Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачной подписью - настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.
Техподдержка Контура же отказалась сообщить эти url потому что:
"Это закрытая информация"
"Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ."
"Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии." (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)
(цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.На всякий случай написал в поддержку КриптоПРО, вот что они ответили:
У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)
Тензор тоже "хорош". Предложил им альтернативный способ идентификации - я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время "первой волны" пандемии) . Мне было отказано:
На мой взгляд, оба удостоверяющих центра нарушили 63-ФЗ и собственные же договора и регламенты. В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера; 6.5.2. использовать все функциональные возможности ПОА у Тензора в регламенте есть такая обязанность:3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.(В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН "осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата". Конечно, есть принцип "Закон не заботиться о мелочах", но закону и логике вещей подписание заявки на получение ЭП и отправку её через СЭД обязаны засчитать за идентификацию)Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Софт, Удалённая работа] Безопасный удаленный доступ с помощью Citrix Virtual Apps and Desktops
- [Информационная безопасность, Законодательство в IT] На дистанционке или нет: почему важно быть внимательным к любым системам мониторинга
- [Законодательство в IT, Производство и разработка электроники, История IT, Процессоры, IT-компании] Микропроцессор «Байкал-М» официально получил статус интегральной схемы отечественного производства
- [Информационная безопасность] Тренинги для SOC и ИБ-команд: почему это важно
- [Производство и разработка электроники, Компьютерное железо, Научно-популярное, Процессоры] 2D-полупроводники спасут закон Мура?
- [Законодательство в IT, Гаджеты, Смартфоны] Россиянин обратится в Роспотребнадзор из-за продажи iPhone без зарядных устройств
- [Информационная безопасность, Инфографика] Инфографика: Сколько «живет» iOS до Jailbreak
- [Информационная безопасность] SIEM ну что ты? нормально же общались
- [Законодательство в IT, История IT, IT-компании] Сбер увеличивает долю в Rambler Group до 100%
- [Информационная безопасность, IT-компании] Конфиденциальные данные сотрудников Google, которых проверяла юридическая фирма Fragomen, скомпрометированы
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_zakonodatelstvo_v_it (Законодательство в IT), #_kontur (Контур), #_tenzor (Тензор), #_etsp (эцп), #_zakon (закон), #_identifikatsija_lichnosti (идентификация личности), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_zakonodatelstvo_v_it (
Законодательство в IT
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:33
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Привет, хабровчане!Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры - Контур и Тензор.Прошлая проблема, которая возникла в мае, в общем-то решилась - когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно. Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе. В частности, если у тебя электронная подпись на носителе - ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо. А вот если действующая подпись облачная - начинаются проблемы.Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачной подписью - настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.  Техподдержка Контура же отказалась сообщить эти url потому что: "Это закрытая информация"
"Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ."
"Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии." (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)
У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)
  На мой взгляд, оба удостоверяющих центра нарушили 63-ФЗ и собственные же договора и регламенты. В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера; 6.5.2. использовать все функциональные возможности ПОА у Тензора в регламенте есть такая обязанность:3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.(В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН "осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата". Конечно, есть принцип "Закон не заботиться о мелочах", но закону и логике вещей подписание заявки на получение ЭП и отправку её через СЭД обязаны засчитать за идентификацию)Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_zakonodatelstvo_v_it ( Законодательство в IT ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 20:33
Часовой пояс: UTC + 5