Електронний підпис за довіреністю #еп
Нещодавно у колі колег обговорювали досить цікаву і, зізнатися, поширену ситуацію, коли директор компанії передає секретареві свій токен з електронним підписом, щоб той підписував вихідні електронні документи у сервісі міжкорпоративного документообігу. Підписання документів від імені директора його заступником чи секретарем – справа цілком життєва, особливо в Україні. Наш український керівник рідко сидить довго за комп'ютером.
Електронний підпис, здається, органічно вписується в цю практику, якщо не брати до уваги, що закритий ключ нікому не можна передавати, він завжди знаходиться лише у власника сертифікату ЕП та ідентифікує лише його. Інакше як прирівняти електронний підпис до власноручного? Якщо проводити паралель із звичайним автографом, то виходить, його власник передає іншій людині власну руку. Саме «власноручність» є визначальним чинником довіри до ЕП!
Інше питання – безпека. Формально при передачі іншій особі таємниця ключа порушується, і неможливість підробки електронного документа та електронного підпису автоматично ставиться під сумнів. Виходить, передаючи свій токен іншій людині, власник сертифіката добровільно допускає компрометацію свого ключа ЕП. А це вже основа для відкликання сертифікату.
Чи це проблема для тих організацій, у яких часто доводиться візувати документи без участі директора? У тому й річ, що… ні!
По-перше, в законодавстві зовсім не регламентовано порядок передачі ЕП для використання третіми особами. Для України це означає приблизно таке: «роби, що хочеш». Смішний факт: у деяких компаніях навіть випускають внутрішній наказ, який передає право підпису ЕП задиректора третій особі. Це навіть надає певної впевненості.
По-друге, саме собою збереження закритого ключа – тема дуже слизька, що у результаті ставить питання більше до забезпечення безпеки по всьому підприємстві загалом, а чи не до конкретної технології. Людський чинник, на жаль, аж ніяк не виключити.
При використанні посилених електронних підписів учасники електронної взаємодії зобов'язані: 1) забезпечувати конфіденційність ключів електронних підписів, зокрема не допускати використання ключів електронних підписів, що належать їм, без їх згоди; 3) не використовувати ключ електронного підпису за наявності підстав вважати, що конфіденційність даного ключа порушена;Це практично дослівно дублюються в регламентах центрів, що засвідчують. Тобто тут немає фактичної заборони на передачу закритого ключа комусь іншому. Ось ці «без згоди» та «підстави вважати» і дають формальну можливість передавати право на підписання документів за керівника. Щоправда, і зовсім не зрозуміло, що робити, якщо підпис буде виявлено не там – як довести в суді, що це не директор підписав? Фактично визначити, хто скористався підписом у цьому випадку не можна – і принцип невідмовності спрацює на повну котушку.
Що тут можна порадити? Якщо керівник не боїться нікого й нічого, то можна залишити все як є. Якщо ж виявляти хоч якусь обережність, то найлогічніше придбати окремий сертифікат ЕП для заступника або виконувача обов'язків керівника. Якщо ж хочеться візувати документи виключно самостійно, то токен із сертифікатом можна завжди використовувати для підпису через веб-клієнт сервісу електронного документообігу. Вже ноутбук можна взяти з собоюхоч куди.
Ну і, звичайно, чекаємо на поширення рішень КриптоПро на мобільних платформах, коли почнуть з'являтися iOS-і Android-клієнти сервісів ЕДО. Є почуття, що чекати лишилося не довго. Тоді остаточно зникне питання з віддаленим підписанням електронних документів.