Единая именная подпись на организацию

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

3 Страницы12 3 >

Единая именная подпись на организацию

Опции

Предыдущая тема Следующая тема

SMemo		#1 Оставлено : 20 февраля 2014 г. 18:44:19(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.02.2014(UTC) Сообщений: 9		Подскажите, что делать. Хотим осуществлять продажу партнерских продуктов через нашу сеть отделений. Партнер требует отправлять обмениваться данными (заявками) только с ЭЦП. Хотим использовать одну именную эцп, установленную на сервере - то есть операционисты шлют запросы на сервер, там все подписывается и отправляется партнеру. В этой схеме возникает проблема - владелец ЭЦП не выполняет проверку корректности отправляемых данных, а подпись получается как-бы его. Подскажите, как можно внедрить такую схему, может быть регламентами можно как-то закрыть? Ограничения: ЭЦП на всех операционистов закупить нереально, не именную подпись судя из ФЗ-63 мы использовать не можем. Буду благодарен за оперативный ответ.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Sergey M. Murugov		#2 Оставлено : 21 февраля 2014 г. 9:33:29(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах		63-ФЗ Статья 4. Принципы использования электронной подписи Принципами использования электронной подписи являются: 3) недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе. 3. В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи, используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. Владельцем такого сертификата ключа проверки электронной подписи признается юридическое лицо, информация о котором содержится в таком сертификате. ++++++++++++++ Так и пропишите в Регламенте.
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

SMemo		#3 Оставлено : 21 февраля 2014 г. 11:20:45(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.02.2014(UTC) Сообщений: 9		Сергей, честно не понял вашего ответа - в законе написано что не именную подпись мы не можем применять (потому не гос. орган)


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Sergey M. Murugov		#4 Оставлено : 21 февраля 2014 г. 14:36:27(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах		По закону вы вправе использовать СКЗИ в автоматизированных системах. Вот штампуйте ЭЦП на автомате, в сертификате впишите ответственного (физлицо) за ключи, влепите в политику какой нить свой формальный ОИД который бы внутри сертификата лежал и описание которого бы говорила о том, что ваша автоматическая колотушка ЭЦП предназначена исключительно для вот таких целей, а физлицо вписанное в сертификат отвечает только за ключи, а не за контент (в этом случае вам придётся всё это прописать в каком нить Регламенте у вас то вообще чистая корпоративная система). На основании статьи 4 63-ФЗ такую ЭЦП не признать не могут. Что вас смущает? По большому счёту вам и квалифицированные сертификаты можно за просто не использовать, поскольку повторюсь, ваше ЭДО чисто корпоративное. Отредактировано пользователем 21 февраля 2014 г. 14:39:50(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

SMemo		#5 Оставлено : 21 февраля 2014 г. 14:45:23(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.02.2014(UTC) Сообщений: 9		Потенциальный владелец такой подписи отказывается от такой схемы, причина - подпись на документах его, а он не проверяет перед подписанием


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#6 Оставлено : 21 февраля 2014 г. 15:43:52(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз Поблагодарили: 2365 раз в 1860 постах		Автор: SMemo Потенциальный владелец такой подписи отказывается от такой схемы, причина - подпись на документах его, а он не проверяет перед подписанием Тогда пусть проверяет документы перед подписанием. Что ему мешает?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Sergey M. Murugov		#7 Оставлено : 21 февраля 2014 г. 16:00:19(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 18.06.2008(UTC) Сообщений: 230 Откуда: Москва Сказал(а) «Спасибо»: 2 раз Поблагодарили: 40 раз в 28 постах		Для всего этого есть Регламент вашей корпоративной системы (про я же битым словом всё написал). Хочешь, проверять - проверяй контент, не хочешь - не проверяй. Чтоб совсем было понятней, напишите в Регламенте , что за контент отвечает уполномоченное лицо юрлица которое (например) вписано в контент исполнителем, а ЭЦП - это аналог е-печати и в этом смысле "за базар" несёт ответственность юрлицо, а не владелец закрытого ключа используемого автоколотушкой. Более того, вы можете специально снять (не взводить) флаг в KeyUsage в сертификате - который отвечает за неотрекаемость. Отредактировано пользователем 21 февраля 2014 г. 16:17:54(UTC) \| Причина: Не указана
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

SMemo		#8 Оставлено : 21 февраля 2014 г. 17:42:22(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.02.2014(UTC) Сообщений: 9		Ясно, спасибо. Я предлагаю тоже самое, но потенциальный владелец подписи боится рисков и отказывается получать подпись, мотивируя тем что подпись будет его, а проверять он ничего не будет. Технически невозможно организовать проверку владельцем подписи. Буду очень благодарен если пришлите ссылочке на практику подобного рода в других организациях.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Андрей Писарев		#9 Оставлено : 21 февраля 2014 г. 17:57:14(UTC)
Статус: Сотрудник Группы: Участники Зарегистрирован: 26.07.2011(UTC) Сообщений: 14,022 Сказал «Спасибо»: 609 раз Поблагодарили: 2365 раз в 1860 постах		Автор: SMemo Подскажите, что делать. Хотим осуществлять продажу партнерских продуктов через нашу сеть отделений. Партнер требует отправлять обмениваться данными (заявками) только с ЭЦП. Хотим использовать одну именную эцп, установленную на сервере - то есть операционисты шлют запросы на сервер, там все подписывается и отправляется партнеру. В этой схеме возникает проблема - владелец ЭЦП не выполняет проверку корректности отправляемых данных, а подпись получается как-бы его. Подскажите, как можно внедрить такую схему, может быть регламентами можно как-то закрыть? Ограничения: ЭЦП на всех операционистов закупить нереально, не именную подпись судя из ФЗ-63 мы использовать не можем. Буду благодарен за оперативный ответ. Автор: SMemo Ясно, спасибо. Я предлагаю тоже самое, но потенциальный владелец подписи боится рисков и отказывается получать подпись, мотивируя тем что подпись будет его, а проверять он ничего не будет. Технически невозможно организовать проверку владельцем подписи. Буду очень благодарен если пришлите ссылочке на практику подобного рода в других организациях. Интересная ситуация... Если с ЭП - то боимся, если без ЭП - то можно (неправильно заполненные заявки\отказ от электронной заявки (не мы отправляли)) На бумаге это как было бы?
		Техническую поддержку оказываем тут Наша база знаний
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

SMemo		#10 Оставлено : 21 февраля 2014 г. 18:06:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.02.2014(UTC) Сообщений: 9		Вопрос в том что без ЭП нельзя, ЭП обязательна нужна. Еще раз все ограничения: 1) ЭП обязательна нужна 2) ЭП именная (требование 63-ФЗ) 3) Документы формируют по всей России 4) Владелец не может проверять ни в каком виде подписываемое содержимое Ключевая проблема: потенциальный владелец не соглашается на такую схему Вопрос: что делать?! Вопрос: наверняка где-то есть подобная практика, есть ли у кого-нибудь примеры? Наличие готовых примеров помогло бы решить вопрос, с меня пиво! Отредактировано пользователем 21 февраля 2014 г. 18:07:25(UTC) \| Причина: Не указана


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest (2)

3 Страницы12 3 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close