Наверх

On-line идентификация физического лиц для обмена ЭД

Архив
Время чтения: 8 минут
1
On-line идентификация физического лиц для обмена ЭД

Способы дистанционной идентификации физических лиц для обмена электронными документами. Идентификация через ЕСИА, с помощью сертификата КЭП или с привлечением третьей стороны.

В ряде ситуаций, когда коммерческие организации оказывают различные услуги (поставляют товар) обычным физическим лицам (ФЛ), между ними передаются различные документы с подписями сторон. Например, технологическое присоединение к электросетям для ФЛ, банковское обслуживание ФЛ, страхование ФЛ, межевание границ земельного участка ФЛ, покупка курсов обучения ФЛ и иные ситуации оказания услуг (поставки товара) со стороны бизнеса физическим лицам.

Если применительно к этим ситуациям рассматривать перевод передаваемых документов в электронный вид полностью on-line (дистанционно) без необходимости визита ФЛ в офис организации, то встаёт вопрос on-line идентификации ФЛ (с этим вопросом тесно связан способ подписания электронных документов (ЭД) со стороны ФЛ, но в данной статье я его рассматривать не буду, т.к. этот вопрос достоин отдельной публикации). Но прежде чем рассмотреть способы такой on-line идентификации ФЛ, необходимо определиться, в каких ситуациях идентификация ФЛ действительно востребована и решается (может быть решена) совершенно другими способами.

Пример №1: ФЛ единожды приходит в офис организации

ФЛ единожды приходит в офис коммерческой организации и далее пользуется услугами организации в личном кабинете (ЛК), предоставленным организацией. Такое характерно для банковского обслуживания. Однажды посетив офис банка и оформив договор с банком, ФЛ может получить доступ к ЛК и все часто повторяющиеся операции банковского обслуживания осуществлять в ЛК (банк-клиенте). Это удобно, быстро и многим привычно.

В данной ситуации первоначальная идентификация ФЛ происходит, когда он приходит в офис банка с подтверждающими личность документами и получает пароли, сертификат ЭП или что-то иное для последующей авторизации в банк-клиенте. Встречаются даже ситуации, когда подключение к банк-клиенту можно оформить в банковском терминале, но даже в этом случае ФЛ, при получении банковской карты необходимо посетить офис банка и быть там первоначально идентифицированным.

В представленной ситуации и ситуациях подобного рода первоначальная идентификация ФЛ происходит «в живую» в самой коммерческой организации, а в дальнейшем используется on-line идентификация.

Пример №2: представитель организации приносит документы с собой

ФЛ не приходит в офис организации, представитель компании приходит сам для оказания услуги (привозит товар) и вместе с этим приносит необходимые документы. В этом случае ФЛ сразу на месте подписывает необходимые документы и ему не требуется посещать офис организации. Такая схема работы используется часто, например, при подключении к интернет-провайдеру или установке в квартире пластиковых окон (договор подписываете с замерщиком на месте, а акт выполненных работ – с монтажниками).

В этом случае идентификация ФЛ происходит на месте или вообще фактически не производится, т.к. ФЛ является выгодоприобретателем, и оно же производит оплату, поэтому, часто данные ФЛ в документы записываются с его слов.

В ситуациях такого рода on-line идентификация ФЛ вообще не требуется.

Способы on-line идентификации ФЛ

Если же ситуация такова, что on-line идентификация ФЛ действительно экономит много времени ФЛ за счёт отсутствия необходимости посещения офиса коммерческой компании, а сама организация с предоставлением on-line идентификации ФЛ получает возможность улучшить качество предлагаемых услуг, то необходимо каким-то образом обеспечить on-line идентификацию ФЛ. Рассмотрим такие способы.

Сертификат КЭП

У ФЛ есть действующий сертификат квалифицированной электронной подписи (КЭП), в таком случае данный сертификат может использоваться для идентификации ФЛ. Сертификат КЭП ФЛ может получить для каких-либо целей или вместе с универсальной электронной картой (УЭК). Но ФЛ, обладающих сертификатами КЭП пока крайне мало, т.к. сертификат КЭП стоит денег (в случае УЭК считыватель карты стоит денег), и его получение требует посещения удостоверяющего центра (УЦ) (т.е. времени).

В этом случае за организацию идентификацию ФЛ уже выполнила специальная организация (УЦ) и фактически для коммерческой организации сразу возможно использование on-line идентификации ФЛ через сертификат КЭП.

Заверенные нотариусом копии оригиналов документов

ФЛ отправляет почтой заверенные нотариусом копии оригиналов документов в адрес организации. По этим данным ФЛ идентифицируется, а на указанные в документах индивидуальные средства связи ФЛ высылается пароль/ключ, который будет идентифицировать ФЛ.

Но нотариальное заверение стоит денег, почтой отправлять долго и не надёжно, к тому же при пересылке пароля/ключа его могут перехватить, т.е. необходимо обеспечивать защиту передаваемых данных.

Такой способ тоже предполагает идентификацию ФЛ 3-й стороной – нотариусом; и только после этого возможна on-line идентификация ФЛ.

ФЛ идентифицируется 3-й доверенной стороной

Организация доверяет задачу идентификации ФЛ 3-й доверенной стороне (выездному агенту), в момент идентификации ФЛ получает какой-либо индивидуальный пароль/ключ, а потом данные для идентификации 3-я доверенная сторона передаёт организации. Данный способ аналогичен выдаче сертификата КЭП, но, с одной стороны проще, а с другой, менее надёжный и не всегда сможет использоваться согласно действующим НПА.

*********

У всех представленных выше способов идентификации ФЛ есть одна общая составляющая: ФЛ сначала приходит куда-то для идентификации, и после идентификации ему выдаётся какой-то ключ/пароль (или что-то иное), который его однозначно on-line идентифицирует, т.к. он индивидуален, выдан только ему, и для него должна обеспечиваться конфиденциальность. Если данный ключ идентификации выдан ФЛ только под определённую коммерческую организацию, то в других ситуациях для ФЛ он будет не применим (почти всегда), исключение составляет сертификат КЭП.

Идентификация ФЛ через ЕСИА

ЕСИА – это Федеральная государственная  информационная  система  «Единая система  идентификации  и  аутентификации  в  инфраструктуре, обеспечивающей  информационно-технологическое  взаимодействие информационных  систем,  используемых  для  предоставления государственных и муниципальных услуг в электронной форме».

Основные функциональные возможности ЕСИА на сайте Минкомсвязи описаны так:

●    идентификация и аутентификация пользователей;

●    ведение идентификационных данных, а именно – ведение регистров физических, юридических лиц, органов и организаций, должностных лиц органов и организаций и информационных систем;

●    авторизация уполномоченных лиц органов государственной власти при доступе к следующим функциям ЕСИА;

●    ведение и предоставление информации о полномочиях пользователей в отношении информационных систем, зарегистрированных в ЕСИА.

ЕСИА была создана Минкомсвязи в рамках инфраструктуры так называемого электронного правительства. В отношении граждан она призвана обеспечить их доступ к электронным госуслугам.

Но согласно Распоряжению Правительства РФ от 09.06.2014 N 991-р (ред. от 27.09.2014) «Об утверждении плана мероприятий ("дорожной карты") по реализации Концепции развития механизмов предоставления государственных и муниципальных услуг в электронном виде, утв. распоряжением Правительства РФ от 25.12.2013 N 2516-р» планируется предоставить возможность использования ЕСИА коммерческим сервисам: «64.            Внесение необходимых изменений в правовые акты с целью закрепления порядка подключения и порядка использования инфраструктуры электронного взаимодействия, возможности предоставления коммерческих сервисов с использованием Единого портала и использования сервисов инфраструктуры электронного взаимодействия в целях, не связанных с предоставлением государственных и муниципальных услуг в электронной форме».

В  заявке на подключение к ЕСИА организации,  не  являющейся государственным учреждением  и не в целях оказания государственных или муниципальных услуг на подключение к ЕСИА (согласно Регламенту информационного взаимодействия Участников с Оператором ЕСИА и Оператором эксплуатации инфраструктуры электронного правительства (Версия 2.4)) должны  быть  указаны нормативные основания для подключения ИС (ссылка на пункт  правового акта)  и приложены документы,  подтверждающие принадлежность организации к роду деятельности и категории участников, допущенных  к  применению  ЕСИА  в  соответствии  с  указанным  актом.  Например, если  кредитная  организация подключается  к  ЕСИА  в  целях  исполнения  110-ФЗ,  то  она  должна  представить  копию  лицензии Центрального банка Российской Федерации (Банка России)  на право  осуществлять банковские операции.

Подробнее про банки, ЕСИА и всё что с этим связано можно почитать тут или тут. Т.е. у кредитных организаций сейчас есть возможность использовать ЕСИА, посмотрим, кто следующим получит такую возможность (может быть вы знаете, где это уже возможно?).

*********

Конечно идентификация ФЛ для оказания услуг (поставки товара) от коммерческих организаций требуется далеко не всегда и даже когда требуется, не всегда есть потребность именно в on-line идентификации ФЛ, но там, где это необходимо и применимо, полноценная on-line идентификация ФЛ для коммерческих организаций и самих ФЛ будет существенным плюсом.

On-line идентификация ФЛ для коммерческих сервисов через ЕСИА является, на мой взгляд, самым перспективным способом, т.к. она может быть универсальной для самых различных сервисов (не только там, где требуется обмен ЭД), и количество пользователей ЕСИА растёт. Согласно официальной статистике Минкосмвязи на 03 мая 2015 года, всего пользователей в ЕСИА насчитывалось 15,36 млн., и, согласно графику, число пользователей постоянно растёт.

Читайте Электронный договор. Особенности заключения онлайн-договоров с физическими лицами

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 1

Вполне прогнозируема политика государства под разным соусом загнать граждан в информационное стадо. Дальше через этот механизм можно санкционированно получать доступ к сведениям о гражданине из разных баз данных, подключенных к ЕСИА, причем без ограничений. Фактически это некий механизм нарушения п.3 ст. 5 152-ФЗ – «Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой».

С другой стороны так, как сейчас происходит идентификация граждан через ЕСИА (преимущественно это однозначный логин и пароль, передаваемые по незащищенному согласно требованиям законодательства России каналу связи), то осталось дождаться прецедента, когда бедолаге, подписавшемуся на текущие условия использования и политику конфиденциальности ЕСИА, придется доказывать, что его пароль украден, а в ЕСИА заходил не он, а от его имени какой-то злодей. Не трогая защищенность ЕСИА изнутри, можно пофантазировать, что уже сейчас можно сделать через эту чудо-систему доступа к информации о гражданине.

Общеизвестно, что защищенность системы определяется безопасностью самого слабого звена – нельзя полагаться на пароль, передаваемый по открытому каналу. Можно не пользоваться паролем, а применять сертифицированные криптографические средства защиты информации и квалифицированный сертификат. Да, аутентификация в этом случае будет максимально безопасной, но канал-то все равно не закрыт – не обеспечена конфиденциальность! Может быть, после прецедента поправят модель угроз/нарушителя государственной информационной системы.

Чтобы прокомментировать, или зарегистрируйтесь