Наверх

ECM-Journal обновился!

Если вы ещё не зарегистрированы на сайте, сделайте это прямо сейчас. Если у вас уже есть профиль, то просто обновите пароль.

Палец + iPhone = подпись?

Время чтения: 3 минуты
14
Палец + iPhone = подпись?

Мобильное приложение EasySign намекает на прорыв в делопроизводстве. Так ли это?

Некоторым людям и компаниям удается преподносить уже известные вещи, как нечто революционно-прорывное. В прошлом году компания  Apple явила миру  "невиданный" доселе сервис - видеозвонок FaceTime. Еще в 2003 году британский мобильный оператор "3" (связь третьего поколения, на тот момент UMTS) предлагал этот сервис всем желающим, переманивая абонентов с операторов "второго поколения".  Отечественные операторы с запуском 3G-сетей в 2007-2010 годах также стали предлагать услугу "видеозвонок". Несмотря на это, многие считают Apple пионером в области мобильной видеосвязи.

Примерно такое же чувство возникло у меня и моих коллег после прочтения заметки на engadget  о революционном приложении для iPhone/iPad/iPod touch - EasySign, позволяющем "на ходу" подписывать электронные документы. Если кому лень смотреть, могу рассказать. Пользователь пальцем на экране рисует подпись, и она сохраняется как картинка. "Подписанием" документа, по мнению авторов приложения, считается вставка этой картинки и заполнением вручную (!) полей с именем, должностью, датой подписи и комментарием. Документ преобразуется в pdf и отправляется адресату. Платить придется за каждый документ, точнее $4.95 за каждые 20 документов. Сие приложение преподносится как прорыв в области делопроизводства. Действительно, если ты не в офисе, тебе пришлось бы искать компьютер с принтером, распечатать документ, подписать его, потом сканировать, и уже скан отправить адресату. Жуть, одним словом.

 Удивительно, что среди комментариев сей новости немало восторженных отзывов. Другая половина комментаторов была более сдержана - были перечислены не менее полдюжины платных и бесплатных аналогов, высказаны сомнения в надежности такого способа подписания документов. Что же касается PC, то мне довелось видеть несколько приложений с подобным функционалом, и от зарубежных и от отечественных разработчиков. Вдобавок к нехитрым функциям вставки картинки эти приложения подписывали документы самой, что ни на есть настоящей ЭЦП. Картинка использовалась скорее для информативности, этакий экивок в бумажное прошлое. Я бы даже сказал стимпанк.

В EasySign никаких ЭЦП, судя по рекламному ролику, нет. Просто картинка и текст. Даже дата подписи ставится не автоматически, пользователь сам вводит дату... по своему усмотрению. Не знаю, можно ли это назвать простой электронной подписью? И какова легитимность у такого документа? Как вы думаете?

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 14


Не знаю, можно ли это назвать простой электронной подписью? И какова легитимность у такого документа? Как вы думаете?
В англосаксонских странах - это вполне легальная подпись, да и в Европе она допустима. Законодательство может, однако, для конкретных видов документов требовать чего-то посерьёзнее.
Даже дата подписи ставится не автоматически, пользователь сам вводит дату... по своему усмотрению.

Какой ужас! Ну прямо как ... при подписании бумажных документов!
Ну прямо как ... при подписании бумажных документов!
Вот именно! И это в то время когда космические корабли бороздят просторы Большого театра электронные технологии позволяют  четко фиксировать дату документа (time stamp), что, впрочем, может пригодиться и самому подписанту. А может, и как раз наоборот, не позволит ему смошенничать.
Что же до технологии, то, на мой неискушенный взгляд, вполне пойдет для случаев, когда сторонам и третьим лицам экономически невыгодно подделывать подписи и отказываться от них. Только ль много таких примеров наберется?

Только ль много таких примеров наберется?

За рубежом ЭЦП непопулярна (этот неудобный факт наши безопасники признавать не любят). За рубежом подавляющее большинство деловых доументов подписывается без использования криптографии, и даже у нас примеров использования такой "простой" подписи много, достаточно полистать ту же арбитражную практику.
и даже у нас примеров использования такой "простой" подписи много, достаточно полистать ту же арбитражную практику.
Не спорю. К тому же у Вас на блоге есть интересные примеры... Могу понять, когда признается сообщение электронной почты - есть авторизация при входе в почтовый клиент или ОС, есть сервер, где ведутся логи. Есть информационные системы типа АБС, где информация фиксируется в нескольких регистрах, и можно затребовать выписки из этих регистров, чтобы доказать/опровергнуть некоторое утверждение. Есть биометрические системы - планшеты для подписания, которые фиксируют степень надавливания, скорость, ритм и массу других параметров, позволяющих создать шаблон и потом сравнивать с ним. Есть собственноручная подпись, которая изучалась несколько веков, и  сложилась кое-какая практика ее анализа. Все перечисленные способы обладают определенной стойкостью против подделки.
В случае, что я привел в блоге, формируется документ, который просто содержит некую картинку. Если рассматривать это документ в связке с почтовым сообщением, то еще куда не шло, есть лог на сервере, есть пара "логин/пароль". Если же выгрузить документ из почтового приложения, то он лишается значительной степени защиты, что, на мой взгляд, нужно использовать какие-то дополнительные механизмы защиты.
Если же выгрузить документ из почтового приложения, то он лишается значительной степени защиты, что, на мой взгляд, нужно использовать какие-то дополнительные механизмы защиты.
Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо.
Но я читал про такой сценарий использования EasySign: получаем документ, подписываем и отправляем обратно вместо того, чтобы распечатать, подписать собственноручной подписью и отправить по факсу. И здесь уже с безопасностью (защитой) все отлично.
вместо того, чтобы распечатать, подписать собственноручной подписью и отправить по факсу. И здесь уже с безопасностью (защитой) все отлично. Изменить | Удалить
Не сказал бы, что использование EasySign будет полностью эквиваленто "традиционной" процедуре. В традиционном сценарии у подписанта остается на руках собственноручно подписанный бумажный документ, с которым можно будет сличить скан.
В традиционном сценарии у подписанта остается на руках собственноручно подписанный бумажный документ, с которым можно будет сличить скан.
Тогда мне остается только повториться: "Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо" :-)
Тогда мне остается только повториться: "Если превентивно рассматривать каждого человека, пользующегося подобной системой, как мошенника, то, конечно, все плохо" :-)
Безопасность системы должна быть адекватна рискам. Исли принятьна веру постулат, что стоимость системы безопасности не должна быть больше возможного ущерба, считайте сами, каков может быть максимальный ущерб для системы безопасности на EasySign. Как там в анекдоте про Неуловимого Джо?

Знаете основной принцип законодательного регулирования делопроизводства в англосаксонских странах, применяемый уже столетиями? "Те документы, которые устраивают коммерсантов, хороши и для суда". Законодательство, без крайней на то нужды, не должно лоббировать какую-то определенную технологию, хотя оно может и должно учитывать технологию при определении доказательной силы документов.

Кстати говоря, огромная слабость многих специалистов ИТ и безопасности состоит в том, что они знают только защиту на уровне индивидуального документа, и не в курсе того, что подлинность документа часто куда более надежно устанавливается по контексту (по месту документа во взаимоотношениях партнеров, по его взаимосвязи с другими документами,  по тому, наступили ли предусмотренные документом последствия и т.д.).

Безопасность системы должна быть адекватна рискам. Исли принятьна веру постулат, что стоимость системы безопасности не должна быть больше возможного ущерба, считайте сами, каков может быть максимальный ущерб для системы безопасности на EasySign. Как там в анекдоте про Неуловимого Джо?
Ничего не понял.
Рассмотрим конкретную ситуацию: У меня малый бизнес. Есть постоянный контрагент (не обязательно многолетний партнер, но появился не вчера и опыт успешной работы с ним есть). Я начинаю реальные действия (оплату, отгрузку, запуск в производство и т.д.), когда мне приходит факс/скан/EasySign с подписью директора (или другого уполномоченного лица). И где здесь проблема безопасности? Если постоянный контрагент решит меня "кинуть", ему и EasySign не понадобится. Скан подделывается намного проще на компьютере.
Вообще, я бы рекомендовал примерять ИТ-решения не только к крупным корпорациям с сотнями сотрудников во внутренней службе безопасности ;-)

Андрей, в твоем случае хватило бы и телефонного звонка, и просто e-mail с приаттаченным файлом в любом формате, безо всякой картинки с подписю. EasySign в данном случае - пятое колесо.

Андрей, в твоем случае хватило бы и телефонного звонка, и просто e-mail с приаттаченным файлом в любом формате, безо всякой картинки с подписю. EasySign в данном случае - пятое колесо.
Так мне и приходит e-mail с аттачем. Это контрагент использует EasySign. И если ему так удобнее, то меня как бы не должно волновать, какое это колесо :-)

Это контрагент использует EasySign.


А сам ты бы пользовался EasySign или его аналогом на Android по предложенной цене ($4.95 за 20 документов)?


А сам ты бы пользовался EasySign или его аналогом на Android по предложенной цене ($4.95 за 20 документов)?
В моем реальном текущем положении - нет, конечно. Будь я бизнесменом - все очень сильно зависело бы от специфики взаимоотношений с контрагентами. Но скорее нет, чем да. Приложения я люблю покупать раз и навсегда. А на полноценный реальный сервис по подписке это не тянет.
Чтобы прокомментировать, или зарегистрируйтесь