Подпишусь под каждым словом: что такое электронная подпись и как ее использовать

Почему вам придется пользоваться электронной подписью, и что о ней нужно знать.

Электронная подпись становится неотъемлемой частью работы как коммерческих, так и некоммерческих организаций. Уже с 1 января 2020 года сдавать отчетность по НДФЛ на бумажном носителе могут только те юридические лица, которые за год выплатили доходы максимум 10 сотрудникам. Все остальные должны будут предоставлять документы в электронном виде и подписывать их цифровой подписью. Игорь Колчинский, глава компании «Сигалл», рассказал Теплице, какие бывают электронные подписи и как ими пользоваться. 

Что такое документ?

Документ – это информация, записанная на каком-либо носителе. С помощью документов мы совершаем сделки, закрепляем трудовые отношения и правовые нормы. От простой бумаги документ отличает то, что мы ему доверяем. Мы определяем подлинность с помощью различных заполненных реквизитов.

Когда люди начали использовать бумажные документы, надо было придумать, как сделать так, чтобы их нельзя было подделать. Тогда основными инструментами проверки подлинности стали подпись и печать. Такие идентификаторы казались надежными. Но росло число документов, и уследить за подлинностью каждого становилось все сложнее. К тому же рост объемов документооборота привел к большим затратам, каждая отправленная бумага – это деньги и время. С развитием цифровых технологий появилось новое решение этих проблем – электронные документы. 

В широком смысле электронным документом может быть любой файл, но к официальной бумаге мы предъявляем требования целостности и подлинности. Основные критерии электронного документооборота следующие: 

  • документ должен быть сделан в том виде, который может обработать компьютер, – машиночитаемом;
  • у пользователей должна быть возможность преобразовать документ в человекочитаемый вид;
  • с помощью криптографии документ может стать нечитаемым для третьей стороны (зашифрован) и быть безопасно передан;
  • возможно проверить подлинность и целостность документа. 

«Например, вам нужно обменяться документом с контрагентом и при этом понять, что он не внес в него никакие правки. Подписывая документ электронной подписью, мы реализуем механизм, который работает на основе математики. Он позволяет одновременно проверить, были в документ внесены изменения или нет, и действительно ли автором являемся мы». Игорь Колчинский

Что такое цифровая подпись?  

Любой файл (то есть наш документ) можно представить в виде числа, набора нулей и единиц. Это значит, что с файлами, как с числами, можно выполнять математические операции. Формирование электронной подписи – это вычисление определенной функции от этого файла. 

Сама электронная подпись – тоже два числа, взаимно и однозначно связанных друг с другом. Одно число при этом закрыто для всех, кроме владельца подписи (закрытый ключ или ключ электронной подписи). А второе – публичное, по которому можно идентифицировать владельца (открытый ключ или ключ проверки электронной подписи). Открытый ключ также можно передавать по незащищенным каналам связи. Таким образом, помимо документа в вычислении участвуют еще числа подписи. А то число, которое получается в результате вычислений, и есть электронная подпись.

В криптографии это называется асимметричным шифрованием. С его помощью можно делать две основные вещи: безопасно передавать данные и проверять их целостность. Участникам коммуникации при этом достаточно обменяться открытыми ключами, причем даже по незащищенному каналу. В результате у нас есть механизм, достаточный для обмена документами. Так как он позволяет соблюсти основные характеристики, которые мы ожидаем от документов, – проверку целостности и подлинности.  

Итого в электронном документообороте есть три основные составляющие:

  • файл – подписываемый документ;
  • ключ электронной подписи; 
  • сама электронная подпись.

– Как это работает, простыми словами. Берем наш файл и закрытый ключ. Вычисляем функцию, получается маленький файлик, который мы отправляем вместе со своим оригинальным файлом другой стороне. В итоге  у другой стороны есть наш файл и файлик-подпись. Предполагая, что у них есть наш открытый ключ (а он у них есть), они могут удостовериться, что это действительно мы подписали документ». Игорь Колчинский

Какие бывают подписи?

В России федеральный закон № 63-ФЗ «Об электронной подписи» определяет три вида электронных подписей.

  • Простая подпись. Обеспечивает простую проверку и применяется в ограниченном количестве случаев. В основном вы соприкасаетесь с ней в роли клиентов той или иной компании. Например, когда приходите в банк получать новую карту. И сотрудник не просит вас расписываться в документах, а вместо этого отправляет код в SMS-сообщении. 
  • Усиленная неквалифицированная подпись. Это подпись, полученная в результате криптографического преобразования информации с использованием ключа электронной подписи. Она позволяет определить лицо, подписавшее электронный документ, а также обнаружить факты внесения изменений в документ после его подписания. Создается с использованием средств электронной подписи.
  • Квалифицированная усиленная подпись. То же самое, что и неквалифицированная, но у нее есть несколько дополнительных критериев. Ключ проверки данной электронной подписи должен быть указан в квалифицированном сертификате. Эту подпись генерируют по алгоритмам, утвержденным государственными органами. Выдают ее удостоверяющие центры (УЦ) – это специальные организации, которые аккредитованы Министерством цифрового развития, связи и массовых коммуникаций РФ. Минкомсвязи выпускает главную электронную подпись, которой затем подписывает сертификаты удостоверяющих центров. И дает им тем самым право выпускать электронные подписи для клиентов – физических и юридических лиц. Любой документ, который подписан квалифицированной подписью, автоматически становится юридически значимым.

Как пользоваться подписью? 

Для того чтобы обмениваться электронными документами, подписанными электронной подписью, нужно использовать специализированную  информационную систему – систему электронного документооборота (ЭДО). Обычно это облачные SaaS-сервисы (Software as a service – программное обеспечение как услуга. – Прим. ред.). Пользователь получает доступ к продуктам по принципу подписки, при этом нет необходимости устанавливать программное обеспечение на компьютер.

Необходимо зайти в систему, подписать документ своей электронной подписью и отправить его своим коллегам, если программа создана для внутреннего документооборота. Если ЭДО используется для внешнего взаимодействия, документ можно отправить контрагенту, который пользуется той же системой, идентифицировав его по ИНН или ОГРН. В одной системе обмениваться документами могут не только юридические, но и физические лица.   

Пример заполнения отчетности в системе от «СБК Контур». Скриншот с сайта компании.

Можно и не пользоваться информационной системой. Например, компания «СКБ Контур», занимающаяся разработкой программного обеспечения для электронного документооборота, сделала простой сервис, в котором у пользователей есть возможность разово подписывать документы. Правда, при этом теряется один из плюсов информационных систем – возможность долгосрочного хранения документов. В случае же разового подписания ответственность за сохранность файла несет сам пользователь.

«Если в системе вы используете неквалифицированную подпись, она будет иметь юридическую силу, только если вы заранее договорились об этом со всеми участниками документооборота. Например, вы большая организация, в которой много документов, и создали свою собственную систему электронного документооборота. Вам нужно выпустить, например, локальный приказ, который подтверждает, что все документы, подписанные электронными подписями, которые выпущены в рамках этой информационной системы, имеют юридическую силу. Или подписать соответствующее соглашение с вашими контрагентами». Игорь Колчинский

Поскольку документы, подписанные квалифицированной подписью, имеют юридическую силу, у такой подписи есть сертификат и технический регламент по тому, какие данные этот сертификат должен содержать. В сертификате указывается отпечаток электронной подписи, ее уникальный идентификатор, информация о том, какой удостоверяющий центр ее выдал и кому. Также обязательно указываются параметры лица, которому выдана подпись. 

Электронную подпись на организацию получает подписант – лицо с определенными полномочиями. Например, если вы получаете подпись на генерального директора, в сертификате будут указаны его данные. И при подписании электронного универсального передаточного документа в закодированном виде будут указаны полномочия подписанта. Информационная система определит, может ли человек с данными полномочиями подписать именно этот документ, или нет. 

Как получить квалифицированную подпись? 

Электронная подпись может храниться в любом виде, ведь это те же файлы. Но возникает вопрос о защите квалифицированной ЭП, ведь она имеет юридическую силу. С помощью усиленной электронной подписи можно закрыть организацию или заключить контракт. Были случаи, когда с помощью электронной подписи нелегально продавали квартиры. После этого к закону приняли поправки, которые запрещают использовать электронную подпись при сделках с недвижимостью без письменного согласия владельца. Также были придуманы специальные средства криптографической защиты информации. Это устройства, которые называются токены. Внешне они похожи на флешки и подключается к компьютеру тоже по USB. На токены в удостоверяющем центре можно записывать электронные подписи в стандартизированном формате. 

Похожи токены с флешкой только внешне. Принцип работы у этих устройств разный. У токена нет файловой системы в привычном понимании – ее нельзя посмотреть стандартными программами. Токен специально сделан для защиты содержащейся на нем информации. Также такое устройство может выполнять криптографическое преобразование. Когда вы подписываете какой-либо документ, информационная система передает токену данные. В данном случае именно внешнее устройство выполняет вычисление, а не компьютер. Для самого же компьютера токен остается «черным ящиком». 

Рутокен – один из производителей токенов. Скриншот с сайта компании.

В удостоверяющих центрах квалифицированную подпись обычно записывают на токены. Правила отличаются в разных УЦ. Носитель вы можете принести с собой или приобрести на месте. В некоторых центрах можно просто оставить заявку на выпуск подписи. И уже дома установить информационную систему, найти свою одобренную заявку, произвести генерацию ключа и записать его самостоятельно на токен. 

Также у некоторых УЦ можно предварительно сгенерировать электронную подпись, а потом прийти непосредственно в офис и получить сертификат. То есть сотрудники удостоверяющего центра подтвердят, что тот, кто сгенерировал ЭП, действительно тот же, кто пришел в центр. Например, так делает компания Тензор (разработчик системы СБИС). 

Подробнее о том, как установить систему и работать с токеном, можно узнать на сайте Рутокена. Стоит отметить, что Рутокен – это один из поставщиков оборудования для формирования усиленной квалифицированной ЭП. В пример можно также привести еще компанию «Алладин», которая выпускает токены JaCarta и eToken

В чем плюсы использования ЭП?

Илья Колчинский считает, что неквалифицированная электронная подпись – это скорее способ взаимодействовать внутри организации. Потому что в большой компании нет смысла выпускать каждому по квалифицированной подписи. Разработать свою информационную систему можно для того, чтобы разобраться с внутренним документооборотом. Сотрудники смогут подписывать документы неквалифицированной ЭП. Также с помощью системы можно намного проще проводить аудит. 

С помощью усиленной квалифицированной подписи можно взаимодействовать с поставщиками, которые раз в месяц выставляют счета. Провайдеры, арендодатели – таких контрагентов у организации может быть несколько десятков. Это большое количество регулярно входящих документов. На документооборот с каждым партнером организация затрачивает ресурсы: обработать документ, поставить подпись и печать, отправить его по почте обратно. Это деньги и время. Также иногда возникает соблазн поставить факсимиле вместо настоящей подписи. Нажать несколько кнопок в информационной системе намного проще и дешевле. 

Еще один способ использования неквалифицированной подписи – это трансграничный документооборот, когда вы взаимодействуете с иностранным контрагентом. Потому что сделать это с помощью квалифицированной подписи практически невозможно. Иностранному контрагенту придется получить российский ИНН. Затем прийти в удостоверяющий центр, чтобы сделать себе ЭЦП по стандартам российской криптографии. Поэтому лучше договориться об использовании неквалифицированной подписи. Этот способ документооборота только начинает работать, и его применяют несколько больших компаний.

С 1 января 2020 года право сдавать отчетность по НДФЛ на бумажном носителе сохранится только у тех компаний, которые за год выплатили доходы максимум 10 физическим лицам. Как только количество получателей дохода составит 11 или более человек, отчетность нужно будет представлять только в электронном виде. Значит, потребуется получить квалифицированную электронную подпись. 

«Но уже сейчас большинство организаций используют электронную подпись и никуда не ходят ногами. Сдача отчетности – процесс, который происходит в информационных системах. Это отдельные продукты, разработанные специально под эти цели. С их помощью юридические лица обмениваются документами с Федеральной налоговой службой, Пенсионным фондом, Фондом социального страхования и некоторыми другими государственными организациями». Игорь Колчинский

Выводы

  • Благодаря электронной подписи документы быстрее оформляются. Сделать электронный документ легко, особенно если у нас есть информационная система, которая умеет генерировать машинные форматы. Тогда, например, вы можете создать в 1С накладную, загрузить в ЭДО, подписать и сразу же отправить. 
  • Также можно напрямую работать с электронными документами прямо в 1С (мы рассмотрим этот вариант в следующем тексте).
  • Документы быстро отправляются, даже если ваш партнер по коммуникации находится на другом конце страны или мира. 
  • Легко проверить подлинность документа. При этом бумажные документы подделывают все чаще. Из-за повсеместного использования факсимиле и отсканированных бумаг возрастают риски для организации. Электронный документооборот обеспечивает прозрачность и безопасность. 
  • Организации имеют право хранить документы в электронном виде в информационной системе. 

Еще по теме