Блог Эвотора

Какую электронную подпись выбрать для бизнеса

Как только открываете бизнес, вашей работой начинают интересоваться госорганы: налоговая, соцстрах, Пенсионный фонд и так далее. Все они хотят знать, сколько вы зарабатываете и сколько тратите. Если вы не передадите им данные вовремя, нарветесь на штраф. Чтобы отчитываться быстрее, вы можете подавать отчеты через интернет, но для этого нужна электронная подпись. Рассказываем, какие они бывают и как выбрать нужную.

Иллюстратор Ivan Might

Что такое электронная подпись

Электронная подпись (ЭП, ЭЦП) — это аналог вашей подписи, но для электронных документов. Она позволяет подтвердить, что именно вы подписали документ.

Подписи бывают трех видов: простая, усиленная неквалифицированная и усиленная квалифицированная. Они отличаются тем, насколько они надежны и где их можно применять.

Простая электронная подпись

63-ФЗ
регулирует работу с электронными подписями

К простым электронным подписям (ПЭП) относятся пары «логин-пароль», коды подтверждения и скретч-карты. Их задача — удостоверить, что вы тот, за кого себя выдаете. Например, когда вы расплачиваетесь через интернет, банку нужно подтверждение, что это именно вы переводите деньги. Вам на телефон приходит смс с одноразовым кодом. Если вы ввели этот код, вы подписали чек, но не рукой, а цифрами. Платеж прошел.

Код подтверждения от Альфа-Банка — это ваша простая подпись, поэтому банк предупреждает, чтобы вы никому не говорили этот код. Хранить его в тайне так же важно, как не светить лишний раз паспортные данные

Как получить

Простая подпись формируется программой, в которой вы работаете. По умолчанию, ПЭП не имеет юридической силы и работает просто как указание вашего имени. Логин-пароль от электронной почты — это ваша ПЭП, но она не имеет юридической силы: если хотите подписать договор, нужно что-то посущественнее.

Пример такого соглашения на сайте Ситибанка

Закон может признать ПЭП равнозначной «живой» подписи на документах, если вы составили «Соглашение о простой электронной подписи». Такое соглашение нужно подписать у всех, с кем будете обмениваться документами. Закон не регулирует форму соглашения, но в нем должны быть два пункта:
— обязательство соблюдать конфиденциальность;
— правила определения подписавшего лица.

Пример такого текста из соглашения Йоты

Обязательство соблюдать конфиденциальность — это текст о том, что владелец подписи должен сделать всё, чтобы злоумышленники не получили доступ к его информации: никому не сообщать свой логин-пароль, не показывать коды и т.п.

Правила определения подписавшего лица — как понять, что подпись настоящая. Подписавшее лицо можно определить двумя способами: договориться об однозначной идентификации или использовать шифрование.

В первом случае в соглашении вы указываете, что определенный электронный адрес или телефон «однозначно идентифицирует отправителя», а хозяин обязан держать все данные для доступа в секрете. Так можно действовать, если у вас на работе есть свой почтовый сервер. Вы пишете в соглашении, что почтовый адрес ivanovpp@kompania.ru принадлежит Иванову П.П., только он имеет к нему доступ и факт отправки письма с этого адреса равнозначен собственноручной подписи. Это самый простой путь, но и наименее безопасный. Если вы забыли выйти из почты, а кто-то этим воспользовался — это только ваша головная боль.

Пример соглашения о ПЭП в договоре оказания услуг

Второй вариант — это использование в самом документе кода подписи в любом виде: буквы, цифры, штрих-код. Например, вы можете использовать захэшированный код пароля:

Источник: erp-platforma.com

Чтобы создать такой код, нужно придумать пароль и применить к нему хэш-функцию. Это делают специальные сервисы-генераторы, например, SHA1 online. Получится последовательность цифр фиксированной длины — ее и вставляем в письмо. Получатель может проверить подпись с помощью того же сервиса. Так он убедится, что письмо отправили вы. При этом способе последовательность цифр — это аналог вашей подписи от руки на электронном документе. Подробно такой путь описан на хабрахабре.

Что подписать

Простая подпись защищена слабее всех остальных. Она подойдет для внутреннего документооборота, заказа услуг или подтверждения оплаты товаров, но заверить электронный документ для госорганов вы не сможете.

Для бизнеса удобно использовать ПЭП с юридической силой. Например, вы — команда из трех человек, обмениваетесь рабочими документами через почту. Чтобы придать вашей переписке юридическую силу, вам нужно составить и подписать соглашение о ПЭП, а потом во все документы вписывать свой код электронной подписи. Просто и дешево.

Неквалифицированная электронная подпись

Усиленная неквалифицированная электронная подпись (НЭП) — более сложная и защищенная подпись. Она не только подтверждает, что документ подписали именно вы, но и гарантирует, что после вас его никто не изменял.

Как получить

НЭП создает система, в которой вы подписываете документы. Например, если вы — физическое лицо и хотите подавать в ФНС декларации о доходах, налоговая создаст для вас такую подпись бесплатно у себя на сайте. Если вы — юрлицо и хотите отправлять служебки через систему электронного документооборота, эта система создаст подпись. В таком случае за подпись вы не платите — ее стоимость входит в плату за программу документооборота.

Если у вас установлена НЭП, документ можно подписать прямо в ворде, но узнает эту подпись только та система, которая ее выпустила

Что подписать

Неквалифицированная подпись — аналог подписи на документах без печати, то есть документов физических лиц и внутреннего документооборота компании.

НЭП будет работать только в той системе, где ее создали. Это значит, что, если вы получили НЭП на сайте налоговой, использовать ее можно только для взаимодействия с налоговой. Если у вашей компании есть система электронного документооборота, которая генерирует электронные подписи, вы можете подписать документ с помощью НЭП только внутри этой системы.

Квалифицированная электронная подпись

Усиленная квалифицированная электронная подпись (КЭП) — та подпись, которую обычно имеют в виду, когда говорят об ЭЦП и электронном правительстве. Именно такую подпись требуют все госорганы для работы в своих личных кабинетах для подачи отчетов. КЭП — самая защищенная и регламентированная законом подпись: она зашифрована специальными сертифицированными средствами, поэтому госорганы принимают ее на документах юрлиц.

Как получить

456
удостоверяющих центров могут выдавать электронные подписи в России

За квалифицированную электронную подпись придется заплатить. Разрешение производить и продавать КЭП есть только у удостоверяющих центров, аккредитованных Минкомсвязи. Эти центры пользуются специальными средствами шифрования, которые утвердила ФСБ — они гарантируют, что взломать вашу подпись невозможно.

Удостоверяющий центр выдает вам сертификат подписи и ключ. Сертификат — это документ, который подтверждает, что ключ действительно принадлежит вам. В нем указаны ваши данные, открытый ключ подписи и сфера применения КЭП — площадки, которые ее принимают. Электронный сертификат устанавливается на компьютер. Ключ — это код, записанный на электронный носитель. Носители могут быть разными: похожими на флешку, карту памяти или банковскую карту с чипом.

Чтобы вы могли подписывать документы, у вас на компьютере должен стоять криптопровайдер — программа-посредник между ЭЦП и операционной системой. Самые известные — КриптоПро CSP и ViPNet CSP. Выбор одной конкретной остается за производителем электронной подписи: этот пункт будет в правилах установки.

Это ключи от разных производителей: КЭП JaCarta, eToken и Рутокен. Они выполняют одинаковые функции, но отличаются требованиями к ПО

Что подписать

С квалифицированной ЭЦП вы можете подписывать любые документы как внутри компании, так и с другими компаниями и госорганами.

Квалифицированная подпись имеет больше прав, чем неквалифированная: если закон говорит, что разрешена неквалифицированная подпись, КЭП вы тоже можете использовать. Например, при проведении госзакупок закон допускает неквалифицированную подпись. Это значит, что вам нужна подпись «не ниже, чем НЭП», то есть простая подпись не подойдет, а квалифированная — вполне.

Некоторые госорганы требуют свою особую подпись с ограниченной сферой применения. Например, Росреестр и Таможенная служба требуют подписи только под них. Если вы попробуете отправить им запрос с другой КЭП, у вас ничего не получится: система выдаст ошибку. Определитесь, куда вы будете отправлять документы, и ищите на сайтах удостоверяющих центров подходящий сертификат.

Сертификат КЭП действителен 12 месяцев. Через год вам придется оплатить его снова или перестать использовать электронную подпись. Учитывайте это, когда планируете график сдачи отчетности.

Некоторые удостоверяющие центры продают комплексную услугу: электронную подпись и программу подачи отчетности. Такая программа дает готовые шаблоны отчетов, напоминает вам, когда пора сдавать отчеты, и отправляет их в госорганы. Еще один плюс таких программ в том, что они позволяют отправлять отчеты даже в те госорганы, которые требуют сертификат с указанной сферой применения. Вместо того, чтобы покупать отдельную подпись для каждого госоргана, можно купить программу и «подпись на все».

Как действовать

  1. Определитесь, для чего вам нужна подпись. Внутренний документооборот можно настроить с простой электронной подписью или с неквалифицированной. Для госорганов нужна КЭП.
  2. Если собираетесь общаться с госорганами через личный кабинет, будьте готовы раз в год оплачивать КЭП.
  3. Определитесь, в какие госорганы вы будете подавать отчеты и внимательно читайте пункт про сферу применения сертификата. Узнавайте, есть ли у удостоверяющего центра один сертификат, который работает с нужными госорганами. Помните, что некоторые госорганы требуют специальной электронной подписи для своего личного кабинета.
  4. Если вы сдаете много отчетов в разные госорганы, спросите в удостоверяющем центре о программах передачи отчетности. В таких программах есть нужные шаблоны для вашей системы налогообложения и график сдачи. Чтобы проверить, подходит ли она именно вам, просите триальную версию или демонстрацию.
Подпишитесь, чтобы получать статьи на почту.
Cпасибо за подписку!