Нужно ли специальное решение для хранения электронных документов и другие вопросы об оптимизации ОЦО
В июне компания Directum провела вебинар, посвященный оптимизации процессов в ОЦО. Эксперты ответили на все вопросы участников – от особенностей применения электронной подписи, судебной практики и до опыта интеграции с системами SAP.
В июне компания Directum провела вебинар, посвященный оптимизации процессов в ОЦО. Эксперты ответили на все вопросы участников – от особенностей применения электронной подписи, судебной практики и до опыта интеграции с системами SAP.
Электронная подпись в ОЦО
– Кто владелец/держатель процесса использования электронных подписей (ЭП) в компании и оформления документов по ним?
– Единой сложившейся практики, чтобы кто-то один был владельцем этого процесса, не существует. На каких-то предприятиях эту роль берёт на себя служба информационной безопасности, которая как раз заведует криптографией, выполняет функции удостоверяющего центра (УЦ). Где-то инициативу в свои руки берут кадровые департаменты и юристы, которым необходимо перевести документы в цифровой вид. Самый распространённый вариант – это работа в связке: отдел ИТ или информационной безопасности и бизнес-заказчик (юристы, HR, бухгалтерия).
– Какая может быть ответственность, по вашему опыту, для сотрудника при неправильном использовании своей электронной подписи?
– В первую очередь здесь нужно обратить внимание не на санкции по отношению к сотруднику, а на сам факт компрометации информации. Если работник потерял сертификат ЭП, он должен незамедлительно сообщить об этом, например, администратору УЦ. Утерянный сертификат быстро аннулируют и выдадут новый. Так, будут сняты риски, связанные с информационной безопасностью, – работодатель может быть уверен, что этим сертификатом не воспользуется кто-то другой.
Если сотрудник не сообщает об утере, то, конечно, он нарушает соглашение участников электронного взаимодействия. Таким образом, порядок действий при компрометации сертификата снижает риски работодателя от разбирательств, связанных с тем, что «документы подписал не я, я свой сертификат вообще потерял».
– Про хранение: поясните, пожалуйста. Почему требуется специальное решение для электронных документов?
– Документы, которые мы переводим в электронный вид, естественно, также необходимо хранить, соблюдая установленные сроки хранения. 63-ФЗ «Об электронной подписи» говорит нам о том, что сертификат ЭП, с помощью которого подписывался электронный документ, должен быть действителен на момент проверки или необходимы доказательства даты подписания. Все это нужно для того, чтобы избежать подлога.
Например, вы подписали документы. С этого момента прошло два года, а сертификат ЭП действовал один год, и на сегодняшний день он уже недействителен. Документы представляются на проверку третьей стороне, и здесь возникает риск судебных разбирательств – нет прямых доказательств подписания именно этой датой.
Доказательством подписания документа в указанную дату являются метки времени (они же штампы времени), построенные на технологии CAdES (CAdES-T, CAdES-XL и CAdES-А). Эта технология позволяет хранить вместе с ЭП ещё и подтвержденное (доверенное) время, а также списки отозванных сертификатов ЭП или ответы УЦ о том, что данный сертификат действовал на момент подписания.
Возникает вопрос: для чего нужен штамп времени, если в ЭП указывается время подписания? В действительности это лишь серверное время, которое можно и «подкрутить», если потребуется. Служба штампов времени отражает так называемое доверенное время и гарантирует, что на момент проставления штампа времени существовал именно этот документ, а сертификат не был отозван. Вся эта информация хранится в виде единого контейнера. Реализуется автономный способ хранения документа и доказательств его юридической значимости при длительном хранении – в этом и есть суть перештамповки.
Если раньше приходилось ориентироваться на международные практики и технологии, то теперь термин «метки времени» появился в новой редакции 63-ФЗ, который говорит, что они являются доказательством подписания. Чтобы снять возможные риски, связанные с хранением юридически значимых электронных документов, нужно использовать специализированное решение, которое поддерживает описанную технологию. |
– Скажите, по вашему опыту, какая есть положительная или отрицательная судебная практика с использованием электронной подписи сотрудниками (кадровых документов), споры между сотрудником и работодателем?
– В ходе вебинара мы рассматривали судебную практику по документам, где использовалась ЭП сотрудников. Смотрите запись.
– Возможно, есть опыт работы по законодательству Республики Беларусь в области цифровых подписей?
– Такой опыт есть, в том числе у нашего партнера в Республике Беларусь, который разрабатывает специализированные решения и адаптирует систему к особенностям работы с ЭП в этой стране.
Чтобы мы могли с вами связаться, передать контакты, заполните, пожалуйста, форму обратной связи на сайте directum.ru.
Вопросы о Directum
– Расскажите, как вы планируете участвовать в эксперименте по 122-ФЗ? Ваше решение будет интегрировано с Госуслугами?
– Да, компания Directum как работодатель будет участвовать в эксперименте Минтруда. Совместно с нашим отделом внутренних технологий мы сейчас прорабатываем регламенты и определяем, какие именно документы будем переводить в цифровой вид.
Под интеграцией с Госуслугами, наверно, понималась интеграция с порталом «Работа в России»: да, мы сейчас активно прорабатываем этот вопрос. К сожалению, у самого портала на данный момент нет технического описания, как выстраивать взаимодействие, но мы запланировали техническое исследование и дальнейшую интеграцию. Как правильно заметили, интеграция с порталом «Работа в России» будет чуть ли не обязательным пунктом с точки зрения выгрузки документов для защиты прав работника.
– Про интеллект не совсем понятно: с кого спрашивать, если робот что-то не так сделает?
– Когда мы говорим об использовании интеллектуальных сервисов, мы не исключаем участие человека в процессе. Как минимум, остаётся тот, кто проверяет работу роботов и сервисов. Интеллектуальные ассистенты помогают уйти от рутины – собирают, извлекают данные, анализируют, представляют итоги, но окончательное решение всегда остается за человеком.
– Где можно посмотреть информацию по проектам, которые вы реализовывали? Особенно это касается предприятий, где основанная масса работников вне офиса?
– Наши проекты и отзывы опубликованы на сайте в разделе «Клиенты». Также мы часто приглашаем коллег выступить на наших вебинарах с докладами, поделиться опытом – так что следите за анонсами на странице мероприятий.
Если представленной информации вам недостаточно, вы можете оставить свои контакты в форме обратной связи – с вами свяжется наш менеджер, с которым сможете обсудить вопросы и детали интересующих вас проектов.
– Имеется ли опыт интеграции с SAP SF? Работает ли платформа как отдельная УС? Или возможна организация работы в невидимом для пользователя интерфейсе (в SF реализована некая кнопка «подписать ЭЦП», далее происходит переброс в систему и там осуществляется подписание, в SF появляется значок подписано)?
– У компании Directum накоплен обширный опыт глубокой интеграции с SAP-системами и, как правило, речь о проектах в крупных компаниях. Через такую интеграцию можно настроить подписание документов в учётной системе – кнопку «Подписать» нажимают в SAP, само подписание ведётся в Directum, но при этом пользователь не переключается между интерфейсами. Потребуется сразу учесть, где именно хранится подпись: на токене – тогда он должен быть в компьютере, или в реестре – тогда всё ещё проще, и дополнительных действий не требуется.
Подписание можно реализовать хоть на сервере, но в этом случае появляется риск компрометации закрытого ключа сертификата, так как его тоже нужно размещать на сервере. То есть нужно учитывать риски информационной безопасности.
– Возможно ли направление через чат-бот отчёта о выполненной работе конкретному сотруднику и получение подтверждения о выполненной работе? Фиксируется ли эта информация в системе?
– Да, в чат-боте можно реализовать процесс целиком, а не только представление отчёта. Например, работнику в чат-боте могут приходить задания-поручения с кратким содержанием, что именно от него требуется, по результатам выполнения он может отчитаться, нажав соответствующую кнопку или цифру. Также может приложить фото, скажем, отремонтированного объекта. Кроме того, решение Directum Bot работает с текстовыми данными – понимает естественный для человека язык и распознает его. Соответственно, после представления отчёта контролёру в системе приходит задание на приёмку работ.
Подобные кейсы легко реализуются, и такой опыт у нас есть.
– Возможна ли встройка в чат-бот сервисов, необходимых для работников (например, программ по обсчёту, обмеру), с передачей в систему для бухгалтерии?
– Наиболее простой видится реализация этой задачи с использованием отдельных специализированных ПО – когда на телефоне работника установлено приложение, которое позволяет проводить обсчёты, обмены, фотографирует объект, и доступна функция «Поделиться». Как правило, стандартные возможности ОС iOS и Android позволяют это делать и предлагают выбрать канал или приложение, через которое планируется поделиться информацией. Здесь достаточно выбрать Viber (или другой мессенджер), диалог с чат-ботом – туда и отправится вся информация. После отправки через Directum Bot данные оказываются в системе. Они могут даже автоматически обрабатываться, а затем направляются, например, в бухгалтерию.
Законодательство и эксперимент Минтруда
– Некоторые контрагенты размещают акты приёма-передачи комиссионного товара в свой личный кабинет, предоставляя доступ с помощью неквалифицированной ЭП (НЭП). Насколько это легитимно? Контрагент не может подменить данные в своём ЛК?
– Если ЭП выдана УЦ на стороне контрагента, то, конечно, он может манипулировать данными. Если подпись выдана третьей стороной, которая не является аффилированной компанией контрагента, тогда подменить данные очень тяжело.
В любом случае порядок взаимодействия, в том числе использования НЭП, должен быть зафиксирован в соглашении об электронном взаимодействии. Подписывая его, вы принимаете на себя все риски.
– Через вас можно войти в эксперимент согласно 122-ФЗ? Что для этого нужно?
– Через нас это сделать нельзя. Нужно обратиться в Министерство труда и социальной защиты с официальным письмом. Насколько нам известно, никаких ограничений по участникам нет. Компания Directum хоть и входит в состав экспертных групп Минтруда и Сколково, но не является представительством министерства. Соответственно, посредником выступать не может.
– Есть ли опыт перевода трудовых договоров в цифровой формат?
– Эксперимент Минтруда только стартовал, опыта работы с трудовыми договорами в цифровом виде пока нет ни у кого. У нас накоплены знания, проработана методология. Более того, это всё доступно для реализации с нашим решением «HR-процессы», но реальная практика только начинается.
Стоит заметить, что наши коллеги, клиенты и другие участники эксперимента не спешат переводить именно трудовые договоры в цифровой вид. Это достаточно редкий документ, реальный же эффект цифровизации заметен при переходе на электронные приказы и заявления. Трудовой же договор требует особого подхода – документ должен быть подписан обеими сторонами, при этом кандидату нужно выдать ЭП. Все перечисленные моменты – как выдавать сертификат, подписывать, с какими документами ознакамливать – всё это продумано в решении «HR-процессы», но проекты начались только сейчас.
Запись вебинара и презентация доступны на сайте directum.ru – смотрите и скачивайте, делитесь с коллегами.
Комментарии 3
Пока не появился, планируется позже.
Сегодня это штампы времени по RFC3161 или подтверждения оператора ЭДО. CAdES/XAdES/PAdES более сложная, но при этом более "доказательная" технология (включающая в себя TSP и OCSP) - усовершенствованная подпись. Что будет "в установленном уполномоченным федеральным органом порядке" увидим тоже позже.
Конкретно в описанной ситуации доказательства скорее всего найти будет сложно, но всё-таки можно. Правда для этого придётся идти в УЦ, выпустивший сертификат, поднимать сведения о списках отзыва сертификатов и доказывать, что в момент подписания ваш сертификат не числился в списках отзыва.
А вот если представить судебные разборки по документам длительного срока хранения (например, кадровым, 75 лет), когда на момент проверки ЭП уже скорее всего не будет существовать выдающего УЦ, - вот тут действительно лишь штамп может быть доказательством подписания в период действия сертификата.
Так это же вроде бы и есть СAdES-T с использованием TSP, разве нет?
Спасибо за статью!
Использование меток времени, действительно, позволяет избежать рисков при хранении документов в электронном виде в течение всего установленного срока. При этом организация может воспользоваться как внешним сервисом для простановки меток времени, так и установить Службу штампов времени на внутреннем сервере. Уточните, пожалуйста, при выборе второго варианта на какие ограничения нужно обратить внимание, чтобы документ, подписанный электронной подписью, имел юридическую силу и по истечение срока действия сертификата подписи? Есть ли какие-то требования к установке внутренней Службы штампов времени?