Как сделать пэп на сайте
Как сделать простую электронную подпись?
Что такое электронная подпись и сертификат ключа
Законодателями дано определение электронной подписи как информации в электронном виде, присоединенной к другой информации (подписываемой) и удостоверяющей подписывающее лицо. Регламентируется ее применение законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ, где отражается право использования электронных подписей в сфере оказания муниципальных или госуслуг при заключении соглашений гражданско-правового свойства или других действиях, предусмотренных соответствующими НПА.
Основной задачей электронной подписи, как и собственноручной подписи в жизни, является удостоверение:
Необходимость возникновения подобного аналога собственноручной подписи продиктована стремительно развивающимися технологиями, позволяющими вести дела дистанционно, с помощью интернета и телекоммуникационных каналов связи.
Например, электронная подпись нужна для онлайн-касс. Как ее сделать см. в материале «Как и где получить электронную подпись для онлайн-касс».
Когда простую электронную подпись использовать нельзя, разъяснили эксперты КонсультантПлюс. Получите бесплатный демо-доступ к К+ и переходите в Готовое решение, чтобы узнать все подробности данной процедуры.
В большинстве случаев электронная подпись — это овеществленное понятие комплекса, включающего в себя специальные программы, возможности для эксплуатации сертификата ключа и его хранилище. Как правило, хранилище — это флеш-накопитель или смарт-карта, на которые записывают сертификат ключа проверки ЭП. Именно он и является электронным автографом, который изготавливается и выдается удостоверяющим центром (УЦ).
Сертификат ключа проверки ЭП содержит:
По прошествии года срок эксплуатации сертификата истекает и требуется приобретение нового.
ОБРАТИТЕ ВНИМАНИЕ! Если собственноручная подпись может быть только одна, то количество ЭП, которые можно оформить на одно лицо, ничем не ограничено.
Помимо ЭЦП, усиленной ключом электронной подписи, существует и так называемая простая электронная подпись — ПЭП.
Простая электронная подпись
Данный материал посвящен простой электронной подписи (ПЭП), использующейся для подписания документа в электронном формате, когда факт создания визы подтверждается посредством различных методов идентификации — паролями/кодами (ст. 5 закона № 63-ФЗ).
В качестве примера того, как работает ПЭП, можно привести процесс использования интернет-банка для физлиц. Пользователь начинает вход в систему под своим индивидуальным логином и паролем, затем на заранее предоставленный пользователем банку номер мобильного телефона приходит дополнительный разовый код для завершения входа в систему. Если пользователь во время сессии оформляет поручение на перевод денежных средств со своих счетов — СМС с кодом для транзакции снова придет на телефон. Подобным способом достигается:
Комплекс из логина/пароля/номера телефона для контрольных СМС и является простым идентификатором (подтверждением) личности и намерений клиента. То есть может расцениваться как его подпись под совершаемыми действиями.
Процедура выдачи ключа простой электронной подписи
Для получения простой электронной подписи нужно один раз пройти процедуру регистрации и идентификации в структуре, для которой эта подпись будет предназначаться. Например, оформить банковский продукт (счет или карту) — что означает пройти идентификацию клиента в банке, а затем зарегистрироваться в системе интернет-банкинга, сформировав постоянные логин и пароль для входа в систему.
Аналогично, но с некоторыми нюансами, происходит идентификация для получения ПЭП на сайтах государственных услуг. Например, для оформления ПЭП на порталах госуслуг необходимо получить код подтверждения для идентификации личности. Возможны 3 варианта получения идентификационного кода:
ВАЖНО! Письмом нельзя получить идентификатор для входа в личный кабинет на портале nalog.ru.
Как получить подпись для госуслуг читайте здесь.
Получить ЭЦП в удостоверяющем центре могут бизнесмены, юридические и физические лица. Для этого следует явиться в УЦ, оплатить стоимость услуги и представить комплект необходимых документов.
Организации для получения сертификата ключа могут понадобиться:
ОБРАТИТЕ ВНИМАНИЕ! Даже если ЭЦП изготавливается для нужд организации — фактическим владельцем все равно будет являться физлицо, имеющее право подписи от организации.
Для индивидуального предпринимателя нужны следующие документы:
Физические лица предоставляют в УЦ:
Как получить простую электронную подпись для обмена документами без информационной системы, узнайте в КонсультантПлюс. Получите пробный доступ к системе К+ и бесплатно переходите к подсказкам экспертов К+.
Информацию о получении физическими лицами усиленной ЭП читайте в материале «Налогоплательщики-физлица могут создать электронную подпись прямо в своем ЛК».
Меры предосторожности
Являясь важным инструментом в работе, любая электронная подпись требует серьезных мер предосторожности. Согласно п. 10.2 регламента, утвержденного приказом Федеральной службы по финансовому мониторингу от 16.08.2013 № 223, владелец сертификата при работе с ключом проверки ЭП должен выполнять правила ее хранения, не оставлять без присмотра, обеспечивать условия конфиденциальности. К примеру, при необходимости следует затребовать приостановку действия документа, если возникли подозрения о возможном несанкционированном доступе к ЭП. Игнорирование требований регламента может повлечь возникновение убытков, возмещение которых руководитель компании (если речь идет о должностном лице) может возложить на владельца подписи.
Если ЭЦП утеряна (или если стало возможным несанкционированное применение ПЭП), следует сразу связаться с УЦ (либо со структурой, оформившей ПЭП) и заявить о необходимости блокирования.
Итоги
Являясь заменой рукописной подписи, ЭЦП является незаменимым инструментом, позволяющим предприятиям сконструировать удобный документооборот как внутренний, так и внешний. ПЭП, оформляемая в основном физлицами, позволяет заметно упростить взаимоотношения с госструктурами, работодателями, банками или учебными заведениями. Получение ПЭП — несложная процедура, занимающая минимальное количество времени, но весьма расширяющая возможности пользователя интернет-ресурсов.
Как создать и использовать простую электронную подпись
Применение простой электронной цифровой подписи (ПЭП) позволяет пользователям работать на многих интернет-ресурсах, а ее получение не занимает много времени. Простота получения не гарантирует полной юридической силы, но при определенных обстоятельствах документы, подписанные ПЭП, могут приравниваться к заверенным собственноручно.
Что такое простая подпись
Простая электронная подпись — это цифровой реквизит, имеющий наименьшую степень защиты. Ее назначение — подтверждение личности автора, создавшего и отправившего электронный документ. К ПЭП относятся коды подтверждения, высылаемые в виде СМС, проверочные коды и т.д.
Юридическая сила ПЭП
В соответствии с ФЗ-63 от 06.04.2011 электронные документы, заверенные ПЭП, не имеют юридической силы. Признаются они равнозначными документам с собственноручной подписью, только если имеется дополнительное соглашение между сторонами. Нормативный акт, признающий силу простой подписи, должен содержать:
В иных случаях юридическая сила цифровой простой подписи не признается за исключениями, прописанными в законодательстве и правилах пользования некоторыми интернет-ресурсами.
Получение ПЭП
Каждый пользователь сети интернет может получить простую электронную подпись. Для этого нужно лишь следовать правилам информационной системы, в которой проходит регистрация и получение пары логин/пароль. Посещение МФЦ или иных центров для получения ПЭП не требуется, как не требуется и специальное лицензионное ПО для работы с ней.
Исключение составляет ПЭП для банка. Чтобы сделать простую электронную подпись для работы в личном кабинете банка нужно сначала посетить офис, получить карту и зарегистрироваться на сайте (в мобильном приложении). Во время регистрации указывается логин и пароль, полученный в банке. Пароль после прохождения регистрации меняется на пользовательский.
Правила использования подписи
Согласно Федеральному закону документ признается заверенным цифровой простой подписью при обязательном соблюдении 3 условий:
Дополнительные соглашения и правовые акты, составленные участниками документооборота и определяющие случаи признания силы документа с ПЭП, должны отвечать требованиям ФЗ.
Применение ПЭП запрещено для работы на ресурсах, содержащих государственную тайну, а также для подписания документов, имеющих государственное значение.
Где и как применяется ПЭП
Простая электронная подпись активно используется в сервисах онлайн-банка для физических лиц. Обычно она имеет вид кода-СМС, приходящего на телефон для подтверждения операции и пары логин-пароль. В этом случае идентификация пользователя проходит автоматически по номеру паспорта, который был предоставлен при получении карты. Также ПЭП используется в системах страхования, государственных услуг, электронных почтовых сервисах, информационных системах, социальных сетях.
Часто простую подпись используют между юридическим лицом или ИП и физическим лицом, т.е. между организацией и потребителем, в удаленном документообороте. В таком схеме потребитель обязательно должен ознакомиться с правилами пользования ПЭП и подтвердить свое согласие. Обычно правила публикуются отдельно в форме договора на оказание услуг или в виде оферты. Организация сверяет личность потребителя с его паспортными данными и принимает решение о выдаче ключа простой подписи. Сверка с документом проходит при подписании договора на обслуживание или при покупке товара или услуги.
Возможно применение простой подписи и в Единой системе идентификации и аутентификации (ЕСИА) в упрощенной учетной записи. Она дает пользователю право на получение лишь услуг, не требующих подтверждения личности или не связанных с финансовой стороной.
Механизм ПЭП можно использовать и в услугах связи. Ключ ПЭП может быть встроен в сим-карту. При покупке сим-карты пользователь подтверждает свою личность паспортом и в дальнейшем может удаленно менять тарифы связи или подписываться/отказываться от услуг оператора. Еще один возможный способ применения ПЭП — удаленная работа, когда сотрудник при помощи ПЭП подтверждает авторство отчетов, текстов, изображений и т.д. Такое сотрудничество требует предварительного заключения соглашения о признании силы ПЭП и подтверждения личности сотрудника на личной встрече.
Использование ПЭП можно найти и в учебных заведениях, предоставляющих услуги дистанционного образования. Абитуриенты, студенты и региональные представители могут подписывать документы при помощи ПЭП, которая признана внутри информационной или рабочей системы. Идентификация личности и выдача ключа ПЭП в этом случае происходит через регионального представителя.
По новым правилам применение ПЭП допустимо и в транспортной системе. Водители, заполняющие транспортную накладную, могут подписывать ее любой удобной электронной подписью, в т.ч. и ПЭП.
Пример использования ПЭП
С применением простой электронной подписи может быть заключен договор на обслуживание. Условия договора будут соблюдены только при исполнении сторонами обязательств. Обслуживание может быть как страховым, так и банковским, и техническим. В этих случаях клиенту и представителю не нужно лично встречаться, а договор заключается при помощи ЭП.
Также ПЭП используется при подписании заявления или письма, адресованного государственным органам или внутри электронного документооборота. В сфере коммунальных услуг простая подпись также применяется часто, т.к. общение между клиентом и представителем услуг часто происходит удаленно.
Самый распространенный пример использования ЭЦП — введение логина и пароля или подтверждающего кода для входа на личную страницу в социальной сети или в почтовой системе.
Простая электронная подпись позволяет пользователям не только работать в разных информационных системах, но и подписывать документы, участвовать в электронном документообороте, пользоваться услугами онлайн-банкинга. Чтобы получить ПЭП нужно лишь пройти простую процедуру регистрации. Эта услуга бесплатна, а процесс не занимает много времени. Простота получения подписи имеет и обратную сторону: ЭП не обладает юридической силой и для ее признания участники документооборота должны заключить дополнительное соглашение. Нормативный акт обязательно должен отвечать требованиям ФЗ. Пользователь, обладающий конфиденциальным ключом ПЭП, обязан соблюдать его сохранность, иначе подпись может быть скомпрометирована вплоть до утери ею юридической силы.
Как сделать пэп на сайте
Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.
Как получить
Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:
Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.
После завершения всех действий нужно сохранить файл.
Приложение КриптоПро CSP
Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.
Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.
Где можно применять
Недостатки
Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.
Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.
Неквалифицированная электронная подпись
Неквалифицированная электронная подпись (НЭП) — чаще всего это ключ, хранящийся на USB-носителе. Иногда НЭП может создать программа, в которой работаете (только она и опознает эту подпись). Функционал такой подписи тоже частично ограничен, но, по сравнению с ПЭП, она обладает рядом преимуществ.
Как получить
Юридические лица и ИП могут оформить неквалифицированную подпись в удостоверяющих центрах или даже сделать её самостоятельно при помощи опытного программиста.
Где можно применять
Для аккредитации и участия в торгах на электронных площадках с помощью неквалифицированной подписи поставщик может создавать заявки и осуществлять сделки при наличии дополнительного соглашения между сторонами. Однако НЭП позволяет совершать не все типы операций.
Недостатки
НЭП подходит скорее физлицам. Юридическим лицам и ИП неквалифицированная электронная подпись подойдёт только при внушительном объёме внутреннего или внешнего документооборота, в других ситуациях её функционала может быть недостаточно.
Квалифицированная электронная подпись
Наиболее совершенный вид электронной подписи — усиленная квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных криптографических средств, который записывается на USB-носитель.
Ключ электронной подписи указан в сертификате, который выдаёт удостоверяющий центр, аккредитованный в Минкомсвязи.
КЭП состоит из двух частей:
КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные будут защищены даже когда срок действия ключа истечёт.
Как получить
Для подачи заявления в аккредитованный удостоверяющий центр придётся собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.
Для работы с квалифицированной подписью потребуются:
Где можно применять
Если коротко — везде.
Недостатки
У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат электронной подписи.
Использование Простой электронной подписи в документах
Цель написания статьи – популяризировать использование Простой электронной подписи (пЭП) в документах. Чем больше людей пользуется, тем более популярен механизм, тем меньше у всех страхов, подозрений и вопросов. Очень удобно, подписал счет и акты пЭП и передал по email в бухгалтерию контрагента.
Простая электронная подпись не требует получения ее в удостоверяющем центре, не требует специальных технических или программных средств, однако она при соблюдении определенных условий признается нашим законодательством равнозначной собственноручной подписи.
Более того, при наличии своего сервиса проверки, пЭП гарантирует достоверность подписи, в отличии от собственноручной подписи. Например третьему лицу, взявшему в руки документ, неизвестно, закорючка напротив ФИО это реальная подпись того человека или нет. А здесь зашел на указанный сервис, вбил номер подписи и ты точно знаешь, что именно данный документ подписал именно данный человек.
Как сделать такой сервис проверки, и как организовать свою пЭП и будет описано в данной статье.
PS: Данный способ не подходит для подписи счет-фактур. По счету-фактуре установлены жесткие требования — подпись либо живая, либо ЭП у оператора. А счет, акт и т.п. можно.
Комментарий юриста по данному поводу: «По счету-фактуре установлены жесткие требования — подпись либо живая, либо ЭП у оператора.
Была даже в свое время практика, можно ли подписывать сф факсимиле, вроде как примерно то же, что и живая подпись.
Суды сказали нельзя.
С ЭП будет то же самое. Слишком много бюджет теряет из-за сф.»
Сначала немного законодательной теории.
Наше законодательство однозначно определяет условия признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью. Это определяется ФЗ №63 от 06.04.2011 статья 9 “Использование простой электронной подписи”. Данный закон голосит:
1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
1) простая электронная подпись содержится в самом электронном документе;
…
2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
Т.е. для законного использования пЭП нам необходимо:
В разделе 1, Термины и определения вводится понятие пЭП.
1.6. «Простая электронная подпись» — подпись на электронной версии документов, передаваемых между Сторонами и определяемая правилами в Приложении 1 Данного договора, пунктами 4.2 и 4.3 данного Договора и статьей 9 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи».
Далее раздел 4. Соглашение об использовании пЭП.
4. СОГЛАШЕНИЕ ОБ ИСПОЛЬЗОВАНИИ ПРОСТОЙ ЭЛЕКТРОННОЙ ПОДПИСИ.
4.1. Стороны, в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ «Об электронной подписи», дают согласие на использовании простой электронной подписи документах передаваемых между Сторонами, в том числе в закрывающих документах.
4.2. Правила и порядок формирования ключа простой электронной подписи и правила определения лица, подписывающего электронный документ, по его простой электронной подписью, определяются в Приложении 1 к данному Договору. Приложение 1 является неотъемлемой частью данного Договора.
4.3. Стороны обязуются соблюдать конфиденциальность ключа своей простой электронной подписи.
4.4. На основании п.4.2 и п.4.3. данного договора и положений п.2 статьи 9 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи», электронные версии документов размещаемые в личном кабинете Лицензиата, либо предаваемые посредством электронной почты между Сторонами, признаются равнозначными документам на бумажных носителях, подписанным собственноручной подписью.
Далее раздел 6. Порядок взаиморасчетов. Тут сказано, что закрывающие документы могут удостоверяться пЭП.
6.7. Закрывающие документы между сторонами передаются в электронном виде посредством размещения в личном кабинете Лицензиата и (или) через электронную почту и удостоверяются Простой электронной подписью.
И наконец Приложение 1, где описываются правила и порядок формирования пЭП.
Правила и порядок формирования Простой электронной подписи.
1. Правила формирования подписи.
1.1. Ключ подписи – кодовое слово или любая последовательность символов от 6 до 64 знаков известная только владельцу.
Например: «Ключ Лицензиата»
1.2. Hash ключа подписи – ключ подписи обработанный hash функцией с длинной ключа от 64 до 256 бит.
1.4. В целях безопасности, 5-10 символы значения хеша ключа пользователя при выводе на экран заменяются звездочками (например: вместо 822f424c94ffbe1e9b0e53df6d851da4 на экран будет выведено 822f4*****ffbe1e9b0e53df6d851da4). Данная процедура исключает копирование ключа пользователя злоумышленником, даже в случае взлома логина-пароля аккаунта пользователя. Оригинал ключа должен храниться исключительно у пользователя.
1.5. Алгоритм получения простой электронной подписи документа:
«Простая электронная подпись» = hash_sha1(«Тип документа»+«Номер документа»+«Дата документа»+«Ключ Лицензиата»)
PS: ключ лицензиата в данной системе является “солью”.
1 – Счет
2 – Акт
3 – Договор
4 – Приложение к договору
1.6. Для улучшения читабельности Электронная подпись может представляться в виде по 5 символов разделенных дефисами. Данная процедура необязательна. Дефисы при вводе подписи программой автоматически удалятся.
2. Правила проверки подписи
2.1. Удостоверение подлинности Простой электронной подписи Лицензиара.
Лицензиар на своем официальном сайте erp-platform.com предоставляет возможность проверки подписи любого документа по адресу erp-platform.com/ecp. Для проверки необходимо ввести Простую электронную подпись из документа в поле «Простая электронная подпись», ввести код капчи и нажать на кнопку «Проверить подпись документа». В ответ программа выдаст реквизиты документа, либо напишет «Документ не найден, подпись не подтверждена».
Данную процедуру проверки подлинности Простой электронной подписи Лицензиата может проводить как Лицензиат, так и третьи лица, которым Лицензиат передал документы.
2.2. Удостоверение подлинности Простой электронной подписи Лицензиата.
Удостоверить подпись Лицензиата Лицензиар может 4 способами:
1) В личном кабинете Лицензиата должен быть внесен Hash ключа подписи пользователя, подписавшего документ. В этом случае при получении документов по электронной почте у Лицензиара появляется возможность автоматической проверки подлинности подписи зная тип документа, номер документа, дату подписи и hash ключа подписи пользователя.
2) В случае если Лицензиат производит подпись документ в личном кабинете, и внесен hash ключа подписи пользователя, то необходимо внести сформированную Простую электронную подпись для данного Акта в соответствующую графу документ и нажать на кнопку «ЭП». Программа автоматически произведет проверку подписи и поставит ее в документ.
3) В случае если Лицензиат не вносит hash ключа подписи пользователя в личном кабинете, но хочет передавать подписанные Простой электронной подписью документы через электронную почту, Лицензиат должен доставить Лицензиару hash ключа подписи пользователя, подписывающего документы на любом носителе, в том числе на бумажном
4) В случае если Лицензиат не желает сообщать лицензиару hash ключа подписи пользователя, он вправе сделать на своих технических средствах сервис проверки подписи аналогичный erp-platform.com/ecp и вместе с документами присылать ссылку на данный сервис, чтобы у Лицензиара была возможность проверки подлинности Простой электронной подписи документа.
Код сервиса проверки
PS: не забываем про исключение SQL-иньекций при постановке в запрос ЭП!
Живой пример как можно организовать работу пользователей с ЭП и работу сервиса проверки, можно почитать здесь: