Какой документ свидетельствует о том, что владелец знает их на базовом и всезнающем уровнях

Основные изменения в области применения электронной подписи

К началу страницы

Федеральным законом от 27. 2019 № 476 – ФЗ вносятся значимые изменения в области регулирования применения электронной подписи.

В целях обеспечения подготовки всех информационных систем для выполнения нового порядка, положения закона вступают в силу поэтапно:

I ЭТАП (с 1 июля 2020 года)

Вступает в силу новый порядок идентификации владельца электронной подписи: исключена возможность получения электронной подписи представителем по доверенности.

IV ЭТАП (с 1 июля 2021 года)

• Курсы 1С
• Расписание экзаменов 1С:Специалист в регионах

Получить сертификат «1С:Специалист» — цель каждого начинающего внедренца, программиста или администратора программ «1С». Единственный способ попасть в число обладателей сертификата — пройти аттестационный экзамен. С первого раза это удается не всем — по статистике только четверым из десяти. Экзамен серьезный, на нем требуется продемонстрировать уверенное знание предмета. Данный раздел поможет выбрать оптимальный способ получения этих знаний.

Что такое SSL-сертификат

SSL (Secure Sockets Layer — уровень защищённых сокетов) — это протокол шифрования, который позволяет кодировать данные для более безопасного обмена.

Благодаря SSL информация, которая передаётся, защищена от посторонних: администратора Wi-Fi сети, провайдера, оператора и других лиц — значит она не может быть перехвачена и использована в мошеннических целях. Кроме того, SSL-сертификат выступает в качестве подтверждения надёжности ресурса и даёт возможность проверить, кто является его настоящим владельцем.

Можно сказать, что SSL-сертификат — это своего рода уникальная цифровая подпись сайта.

Проверить наличие SSL несложно. Для этого достаточно посмотреть на адресную строку в браузере. Слева от адреса сайта вы увидите значок с изображением закрытого замка.

А если на сайт установлен OV или EV сертификат, то при клике  на замочек, появятся данные об организации, которой принадлежит сайт.

В таких типах сертификатов во вкладке «Подробнее» вы найдёте следующую информацию:

• доменное имя, на которое оформлен SSL-сертификат;
• юридическое лицо, которое владеет сертификатом;
• физическое местонахождение его владельца (город, страна);
• срок действия сертификата;
• реквизиты компании-поставщика SSL-сертификата.

4 причины установить SSL-сертификат

Конечно же, стоит начать с этого пункта, ведь в этом заключается основная цель использования SSL-сертификатов. Если вы работаете с персональными данными пользователей, вам просто необходимо их шифровать при передаче к серверу. Само по себе использование сертификата не лекарство от всех бед, злоумышленники могут перехватить данные ещё до момента передачи их на сервер на заражённом компьютере или устройстве посетителя сайта. Однако использование протокола шифрования — значительный вклад в снижение уязвимости сайта.

Доверие к сайту

Пользователи привыкают, что все крупные проекты используют SSL-сертификаты. Надпись «Защищено» и замочек дают посетителю сайта представление о том, что он и его данные находятся в безопасности.

Поддержка сторонних сервисов

SSL-сертификат от авторитетного УЦ говорит о надёжной защите пользовательских данных — это не только хороший способ заслужить доверие пользователей и поисковых систем, но и большой вклад в стабильное продвижение и развитие сайта.

И не забывайте, что часто SSL бывают включены в пакеты с доменом и хостингом, что позволит ещё и сэкономить. Например, в REG. RU вы можете получить SSL-сертификат и хостинг в подарок к домену или любому из тарифов конструктора REG. Site. Также до 25 апреля 2021 года действуют скидки до 42% на SSL-сертификаты. Успейте купить SSL и больше не рискуйте ни своими клиентами, ни прибылью.

Последнее время доля валидных SSL-сертификатов в различных доменных зонах имеет тенденцию к росту, как и общая заинтересованность SSL-технологиями. Тем не менее еще не все осознали, с чем имеют дело, когда слышат это слово. Поэтому мы попытаемся всё же понять, что оно значит, и поможем выбрать именно тот сертификат, который нужен конкретно вашему проекту (и нужен ли вообще).

Для безопасной передачи данных между браузером пользователя и сервером используется инфраструктура ключей, которая позволяет шифровать передаваемую информацию с помощью открытого ключа (известен всем) и расшифровывать её с помощью закрытого (известен только его владельцу), что называется асимметричным шифрованием. Сама эта инфраструктура подчиняется международному стандарту x. 509, который определяет состав электронного сертификата:

• номер версии сертификата (1-3);
• порядковый номер;
• идентификатор алгоритма подписи;
• имя организации, выдавшей сертификат;
• срок действия сертификата;
• имя владельца сертификата;
• открытый ключ владельца сертификата;
• цифровая подпись.

Стандарт x. 509 не предусматривает конкретный алгоритм шифрования, однако наиболее распространённым является RSA, именно он и используется в SSL-сертификатах.

Перед тем, как выбирать сертификат, неплохо бы разобраться, зачем они нужны и какие функции выполняют.

Любой SSL-сертификат выполняет сразу три важные функции:

• шифрование передаваемой информации;
• проверка подлинности ресурса (аутентификация);
• обеспечение целостности передаваемой информации.

Таким образом, пользователю показывается, что веб-ресурсу, к которому подключён сертификат, можно доверять.

Чтобы понять, как работают эти три функции SSL-сертификатов, рассмотрим простой пример. Девочке Ане необходимо купить билет на самолёт через сайт авиакомпании, а для этого — отправить данные своей кредитной карты. Чтобы быть уверенной, что её данные не перехватят сторонние лица, Аня проверяет наличие SSL-сертификата на сайте выбранной авиа-компании.

Если SSL-сертификат компании, которую выбрала наша путешественница был выдан действующим сертификационным центром, то браузер Ани распознаёт его как доверенный (аутентификация) и при помощи открытого ключа зашифрует её данные. Даже если злоумышленник перехватит переданную Аней информацию, прочесть он её не сможет, так как не обладает закрытым ключом для её расшифровки.

Сертификат «1С:Профессионал» является официальным подтверждением того, что его владелец может эффективно использовать в своей работе весь спектр возможностей наиболее распространенных программ автоматизации бухгалтерского, оперативного торгово-складского учета и расчета заработной платы.

СЕРТИФИКАТ ПОДТВЕРЖДАЕТ, ЧТО ЕГО ВЛАДЕЛЕЦ ОБЛАДАЕТ ЗНАНИЯМИ И НАВЫКАМИ, ПОЗВОЛЯЮЩИМИ

• установить и подготовить к работе программный продукт системы программ «1С:Предприятие»;
• повысить эффективность управления предприятием в целом, его бухгалтерии, кадровой службы и торговых отделов, оперативность и качество ведения учета за счет использования всего спектра возможностей программ автоматизации;
• избежать ошибок в работе с бухгалтерской, финансовой, торгово-складской информацией, сократить время на подготовку внутренней и внешней отчетности;
• самостоятельно настроить программу при изменениях в законодательстве или методиках учета;
• свести к минимуму время простоя системы и сократить общие затраты на ее поддержку;
• администрировать систему, обеспечить сохранность данных, не допускать несанкционированного доступа к данным;
• организовать информационное взаимодействие с другими подразделениями, использующими компоненты системы программ «1С:Предприятие», обеспечить оперативное прохождение важной информации.

Что дает сертификация

Сотруднику:Предприятию:

Официальное подтверждение высокой квалификации, опыта и навыков работы с наиболее массовыми программами автоматизации управления и учета
Преимущества при продвижении по службе или приеме на работу. Уважение и доверие руководства и сотрудников. Уверенность в своих знаниях и способностях. Объективные критерии оценки профессиональных способностей при приеме сотрудников на работу, продвижении их по службе или поощрении. Уменьшение затрат времени и средств на обучение и подготовку сотрудников бухгалтерии и торговых служб. Повышение качества работы предприятия, минимизацию рисков и проблем.

Информация о выданных сертификатах и их владельцах заносится в специальный банк данных фирмы «1С».

Сертификационные экзамены принимаются Авторизованными Центрами Сертификации(АЦС) и
Сертифицированными Экзаменационными Центрами (СЭЦ) фирмы «1С»

• Подать заявку на экзамен
• Получить в АЦС счет на оплату экзамена. Рекомендуемая стоимость экзамена — 750 руб.
• Оплатить экзамен.
• После поступления оплаты на счет АЦС для Вас будет сформирован индивидуальный тест в фирме «1С» и назначено время тестирования.
• Заявку необходимо подавать минимум за 48 часов до предполагаемого экзамена.

Результат будет известен сразу после сдачи теста. Если задание выполнено успешно — через 1-2 недели на адрес центра сертификации приходит сертификат от фирмы «1С».

Экзамен
сдается на компьютере. Для всех экзаменов тест состоит из 14-и вопросов по разным темам и аспектам использования программы. Для каждого вопроса предлагается несколько вариантов ответа, из которых необходимо выбрать наиболее полный и правильный. Устанавливается общее ограничение по времени для ответа на все вопросы, равное 30 минутам. При этом время ответа на каждый отдельный вопрос не ограничивается.

Результат экзамена
оценивается по двухбалльной шкале «Сдано» — «не Сдано». Для получения положительной оценки («Сдано») необходимо правильно ответить на 12 из 14 вопросов в пределах установленного ограничения времени 30 минут. Порядок ответа на вопросы, время, затраченное на отдельные вопросы, исправления, вносимые в ходе ответа на вопросы, повторное обращение к одним и тем же вопросам — на результат влияния не оказывают. Досрочный ответ на все вопросы задания также не учитывается при оценке результатов.

Для подготовки
к сертификационному экзамену рекомендуется использовать учебные курсы, документацию, входящую в комплект поставки, комплекты вопросов сертификационного экзамена и методическую литературу

Выбор экзамена

Прежде всего, важно понимать, что «1С:Специалист» — это класс экзаменов, каждый из которых рассчитан на проверку отдельного блока знаний. Экзамены можно разделить на 3 группы:

• 1С:Специалист по платформе «1С:Предприятие 8» (проверяет понимание основных принципов проектирования конфигураций и технологических решений, заложенных в платформе «1С:Предприятие 8» и практические навыки конфигурирования и программирования).
• 1С:Специалист по прикладным решениям «1С:Предприятие 8» (проверяет знание возможностей программы и наличие практических навыков проектирования в среде «1С:Предприятие» для развития существующего и добавления нового функционала прикладных решений. Например, Аттестация «1С:Специалист» по конфигурированию и внедрению бухгалтерской подсистемы в прикладных решениях «1С:Предприятие 8»).
• 1С:Специалист-консультант по прикладным решениям «1С:Предприятие 8» (проверяет умение находить адекватные средства программы для решения специфических задач пользователя, верно диагностировать ситуации, требующие внесения изменений/дополнений в программу, умение ставить корректные задачи программистам по адаптации прикладных решений. Например, Аттестация «1С:Специалист-консультант» по внедрению прикладного решения «1С:Бухгалтерия 8»).

Выбирая экзамен, нужно учитывать сферу своей деятельности:

• если Вы специализируетесь на разработке программ — ваша цель «1С:Специалист» по платформе «1С:Предприятие 8»;
• если Вы собираетесь дорабатывать прикладные решения, выпускаемые фирмой «1С», то Вам нужен экзамен «1С:Специалист по прикладным решениям»;
• если у Вас хорошие знания предметной области, например налогового учета и Вы хотите стать консультантом, преподавателем или связующим звеном между программистами и пользователями, сдавайте экзамен «1С:Специалист-консультант».

Запись на экзамен

На любой экзамен нужно записываться предварительно. Форма подачи заявки зависит от способа сдачи экзамена «1С:Специалист»:

• Очно в Москве в 1С:Учебном центре № 1;
• Очно в вашем или ближайшем городе на выездной аттестации (периодически организуются аттестации для регионов, чтобы сэкономить на поездке в Москву);
• На дистанционной аттестации (решение передается на проверку в Москву).

Вне зависимости от способа — на экзамене будут одни и те же задачи. Поэтому выбирайте тот, который выгоден для Вас экономически. Если Вы неудачно сдали экзамен с первой попытки — в этом нет ничего страшного. Все экзамены можно пересдать, причем в 1С:Учебном центре № 1 — пересдача бесплатно, а на дистанционных аттестациях пересдача по льготной стоимости.

Пользователю

• Официальное подтверждение высокой квалификации, опыта и навыков работы с наиболее массовыми программами автоматизации управления и учета.
• Преимущества при продвижении по службе или приеме на работу.
• Уважение и доверие руководства и сотрудников.
• Уверенность в своих знаниях и способностях.

Предприятию

• Объективные критерии оценки профессиональных способностей при приеме сотрудников на работу, продвижении их по службе или поощрении.
• Уменьшение затрат времени и средств на обучение и подготовку сотрудников бухгалтерии и торговых служб.
• Повышение качества работы предприятия, минимизацию рисков и проблем.

Профессионал» подтверждает, что его владелец обладает знаниями и навыками, позволяющими

• Установить и подготовить к работе программный продукт системы программ «1С:Предприятие».
• Повысить эффективность управления предприятием в целом, его бухгалтерии, кадровой службы и торговых отделов, оперативность и качество ведения учета за счет использования всего спектра возможностей программ автоматизации.
• Избежать ошибок в работе с бухгалтерской, финансовой, торгово-складской информацией, сократить время на подготовку внутренней и внешней отчетности.
• Самостоятельно настроить программу при изменениях в законодательстве или в методике ведения учета.
• Свести к минимуму время простоя системы и сократить общие затраты на ее поддержку.
• Администрировать систему, обеспечить сохранность данных, не допускать несанкционированного доступа к данным.
• Организовать информационное взаимодействие с другими подразделениями, использующими компоненты системы программ «1С:Предприятие», обеспечить оперативное прохождение информации.

Самоподписные SSL-сертификаты

Получение SSL- сертификата, разумеется, стоит денег, при этом действует он ограниченное количество времени. Поэтому многие используют так называемые самоподписные SSL-сертификаты. Сгенерировать их можно с помощью панели управления хостингом прямо на веб-сервере, причём сделать это можно совершенно бесплатно. Однако, далеко не всегда целесообразно использовать самоподписной сертификат.

Любой браузер проверяет, выдан ли сертификат известным ему центром сертификации, и если нет (а это и есть случай самоподписного сертификата), то выдаёт на него ошибку и выводит на экран большую табличку с надписью “Сертификат безопасности сайта не является доверенным!”.

Такое сообщение наверняка отпугнёт потенциального клиента от ресурса, и тот захочет покинуть его, а владелец сайта в свою очередь потеряет значительную часть своей аудитории. Так что, если речь идёт о сайтах с большим трафиком или же интернет-магазинах, использовать самоподписанные SSL-сертификаты крайне не рекомендуется.

Уязвимости системы защиты с помощью SSL-сертификатов

Если же вы решили приобрести SSL-сертификат у одного из центров сертификации, то следует разобраться, какие же их разновидности существуют. С первого взгляда выбрать себе SSL-сертификат из множества тех, что представлены сегодня на рынке довольно сложно: разница в цене может достигать 100 000 рублей, и не всегда понятно, какие из возможностей того или иного сертификата действительно нужны конкретно вашему проекту. Однако разобраться в этом можно, воспользовавшись четырьмя основными критериями, которые следует учитывать при покупке SSL-сертификата:

• желаемая степень доверия к ресурсу;
• количество доменов и поддоменов, для которых осуществляется покупка сертификата;
• вид субъекта, приобретающего сертификат: физическое или юридическое лицо;
• размер финансовых возможностей для приобретения сертификата.

Разберёмся сначала с первым пунктом.

Валидность вашего ресурса может быть подтверждена тремя различными степенями его проверки. Соответственно, существует три разных вида SSL-сертификата, различающихся по типу валидации:

• сертификаты, подтверждающие право владения доменом (Domain Validation);
• сертификаты, подтверждающие помимо домена юридическое существование организации (Organization Validation);
• сертификаты с расширенной проверкой организации (Extended Validation).

Domain Validation

DV сертификаты подтверждают только факт того, что именно владельцу сертификата действительно принадлежит данный домен и являются наиболее доступной разновидностью SSL-сертификатов. Данные сертификаты лучшего всего подойдут для форумов и небольших сайтов или блогов с не очень большим количеством посетителей.

SSL-сертификат такого уровня:

• обеспечивает только начальный уровень защиты;
• доступен физическим и юридическим лицам;
• не требует предоставление дополнительных документов;
• выпускается в течение 5-10 минут;
• обойдётся примерно в 1-4 тысячи рублей за год.

Organization Validation

OV-сертификат подтверждает бизнес-статус организации и вызывает куда больше доверия пользователей, чем DV-сертификат. Данный тип сертификата хорошо подойдёт для онлайн-магазина и другого небольшого интернет-бизнеса.

Сертификат уровня защиты OV:

• обеспечивает средний уровень защиты;
• выдаётся только юридическим лицам;
• для регистрации необходимо предоставить копии документов организации, счёт телефонной компании с указанным названием организации и номером телефона её владельца;
• выпускается в течение 1-5 дней;
• обойдётся примерно от 4 000 рублей до 50 000 рублей в год.

Правовое регулирование

Отношения в области применения электронной подписи регулируются Федеральным законом от 06. 2011 № 63-ФЗ «Об электронной подписи» (Федеральный закон № 63 — ФЗ).

Федеральным законом № 63 — ФЗ определяются понятие электронной подписи и ее виды: простая, усиленные неквалифицированная и квалифицированная электронные подписи.

Особенности применения и конкретные виды электронных подписей при взаимодействии налогоплательщиков с налоговыми органами установлены Налоговым кодексом Российской Федерации (Налоговый кодекс).

При электронном взаимодействии хозяйствующих субъектов с налоговыми органами применяется квалифицированная электронная подпись. Получить квалифицированную электронную подпись можно в аккредитованном удостоверяющем центре (АУЦ). С перечнем АУЦ можно ознакомится на портале Минцифры России.

При электронном взаимодействии физических лиц с налоговыми органами может применяться неквалифицированная электронная подпись, которую получают в Личном кабинете налогоплательщика – физического лица.

Вид электронной подписи, применяемой в рамках взаимоотношений хозяйствующих субъектов или физических лиц между собой могут определяться соглашениями между участниками электронного взаимодействия, таким образом может применяться как простая электронная подпись, так и усиленная неквалифицированная. При использовании усиленной квалифицированной электронной подписи, заключение соглашений не требуется.

Обращаем внимание, что в Федеральный закон № 63 — ФЗ внесены значимые изменения (Федеральный закон от 27. 2019 № 476-ФЗ), часть которых вступает в силу с 01. 2022. Ознакомиться с ними более подробно возможно в разделе Основные изменения в области применения электронной подписи.

Доверенная третья сторона

Доверенная третья сторона (ДТС) – юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27. 2019 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27. 2019 № 476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Машиночитаемая доверенность

Машиночитаемая доверенность (МЧД) – доверенность, созданная в электронной форме и подписанная электронной подписью представителя ЮЛ/ИП, имеющего право на выполнение действий от такого ЮЛ/ИП без доверенности (уполномоченный представитель ЮЛ/ИП).

С 01 января 2022 вступает в силу пункт 14 статьи 1 Федерального закона от 27. 2019 № 476-ФЗ, в соответствии с которым, электронная подпись юридического лица выдается исключительно на имя уполномоченного представителя ЮЛ/ИП, а сотрудники ЮЛ/ИП должны в своей деятельности применять электронную подпись физического лица.

Для подтверждения полномочий сотрудника ЮЛ/ИП на выполнение действий от имени ЮЛ/ИП, необходимо представлять МЧД на его имя, подписанную электронной подписью уполномоченного представителя ЮЛ/ИП.

Формат такой МЧД публикуется на официальных сайтах информационных систем, в которых предполагается применение указанных МЧД.

Термины

Электронная подпись – это аналог собственноручной подписи для подписания электронных документов.

Сертификат ключа проверки электронной подписи (сертификат электронной подписи, квалифицированный сертификат электронной подписи) – это электронный и бумажный документ, который подтверждает связь электронной подписи с ее владельцем (человеком или организацией). Сертификат содержит сведения о его владельце, открытый ключ, информацию о сроке действия сертификата, информацию о выдавшем электронную подпись удостоверяющем центре, серийный номер сертификата и иные сведения.

Открытый ключ (ключ проверки электронной подписи) – это уникальный набор символов (байт), сформированный средством электронной подписи и однозначно привязанный к закрытому (секретному) ключу. Открытый ключ необходим для того, чтобы любой желающий мог проверить электронную подпись на электронном документе. Он передается получателю электронного документа в составе файла электронной подписи и может быть известен всем.

Закрытый (секретный) ключ электронной подписи – это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете.

Ключевая пара – это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу.

Ключевой носитель – это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает “флешку” для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство электронной подписи. В этом случае он является программно-аппаратным ключевым носителем и позволяет безопасно формировать электронную подпись на электронном документе. Хранить закрытый ключ также можно на компьютере пользователя.

Средство электронной подписи – это программно-аппаратное или только программное средство, предназначенное для создания ключевой пары, формирования и проверки электронной подписи на электронном документе. Его еще называют “криптопровайдером” или СКЗИ (средством криптографической защиты информации). Устанавливается на компьютерное устройство (мобильный телефон, смартфон, компьютер, планшет) или на ключевой носитель.

Противодействие мошенничеству в области применения электронной подписи

Вы получили квалифицированный сертификат электронной подписи?

Будьте внимательны и осторожны!

Электронная подпись — это аналог собственноручной подписи, ключ к вашему имуществу, деньгам и репутации!

Получение квалифицированного сертификата электронной подписи по значимости даже важнее получения паспорта! Когда вы используете паспорт для совершения юридически значимых действий, вас идентифицируют, сравнивая ваше лицо с фотографией в паспорте. Электронная подпись (авторство электронного документа) обычно проверяется дистанционно, то есть предполагается, что никто кроме вас не может поставить вашу электронную подпись на электронный документ. Усиленная квалифицированная электронная подпись (УКЭП) признается равнозначной «живой» подписи (ч. 2 ст. 6 Федерального закона от 06. 2011 № 63-ФЗ).

Поэтому если кто-то использует вашу электронную подпись вместо вас, юридически это расценят как ваши действия. В этом разделе описаны различные жизненные ситуации, которые могут привести к мошенничеству с УКЭП. ФНС России обращает внимание, что это не список потенциальных преступлений, а перечень ситуаций, когда стоит быть особенно внимательным.

Что произойдет, если ваша электронная подпись попадет в руки злоумышленников?

• На ваше имя могут оформить микрокредиты;
• Ваш автомобиль могут продать без вашего ведома;
• Вас могут сделать номинальным руководителем фирмы-однодневки;
• Если вы владелец организации, ее могут переоформить на другое лицо, вывести деньги компании на другой счет, незаконно возместить НДС;
• Вместо вас могут подписать любые документы;
• Вас могут привлечь к ответственности за нарушение законодательства Российской Федерации в области электронной подписи.

Выпуск электронной подписи при оказании сервисных услуг в качестве дополнительной услуги, без надлежащего информирования заявителя («УКЭП в придачу»)

Современный рынок диктует условия – сервис должен быть простым, понятным и проактивным. Организации, которые оказывают предпринимателям различные услуги, будь то регистрация ККТ или помощь в оформлении расчетного счета, в борьбе за клиента стараются сделать обслуживание максимально комфортным. При этом в погоне за простотой и удобством часто опускаются важные детали. Например, могут не обратить внимание клиента на то, что при регистрации в качестве индивидуального предпринимателя необходимо подписать от его имени электронные документы. То есть сертификат электронной подписи выпускается, но клиент даже не знает об этом.

В таких случаях заявление на выпуск УКЭП, как и согласие на обработку персональных данных присутствуют в общей массе документов, которые подписываются при заключении договора на получение услуг. Либо такого рода дополнительная услуга прописана в договоре, но при этом не привлекает внимание, так как документ объемный, формулировки – нечеткие, а представитель обслуживающей организации не дает никаких дополнительных устных пояснений.

Дальше события могут развиваться в зависимости от добросовестности организации. УКЭП могут выдать вам на носителе с пакетом документов об оказании услуги, а могут хранить ее в «облачном» хранилище организации. УКЭП могут аннулировать сразу после оказания услуги, а могут продолжить использовать ее для совершения юридически значимых действий от вашего имени.

Как избежать получения «УКЭП в придачу»:

• прочитайте внимательно договор и другие документы в рамках сделки;
• обратите внимание, есть ли там слова «электронная подпись»;
• обратите внимание на условия выдачи УКЭП, как она хранится и аннулируется, кто обеспечивает ее сохранность;
• спросите у представителя обслуживающей организации: можно ли отказаться от выпуска УКЭП и для чего это вообще требуется.

Далее действуйте по ситуации, оценив риски возможной компрометации электронной подписи в рамках предложенных условий.

Проверить, не выпущена ли на ваше имя УКЭП, можно в личном кабинете на Едином портале государственных и муниципальных услуг (Госуслуги). В разделе «Настройки и безопасность» необходимо выбрать «Электронная подпись». Здесь содержатся данные о выдавшем на ваше имя квалифицированную электронную подпись удостоверяющем центре, ее серийном номере и сроке действия.

Если вам стало известно о выдаче УКЭП на ваше имя без вашего ведома или о факте компрометации, то НЕМЕДЛЕННО аннулируйте ее, обратившись в удостоверяющий центр, в котором данная УКЭП выпущена.

Если есть подозрение о мошенничестве с вашей электронной подписью, то обращайтесь в полицию. Если в полиции откажутся возбуждать дело, то можно обратиться в прокуратуру и Минцифры.

Меры предосторожности

Не передавайте ключевой носитель третьим лицам, даже тем, кому вы доверяете!

Если вы руководитель организации и ваш сотрудник должен подписывать документы с помощью электронной подписи, обеспечьте его собственным ключевым носителем с закрытым ключом электронной подписи и сертификатом на его имя, а также выдайте доверенность на подписание документов.

Обеспечьте надежное хранение носителя с электронной подписью (ключевой носитель), которое исключает доступ к нему посторонних лиц (например, храните его в сейфе). Не оставляйте ключевой носитель подключенным к компьютеру без присмотра.

При потере или краже ключевого носителя незамедлительно обратитесь с заявлением на отзыв сертификата в удостоверяющий центр, который его выдал.

Замените «заводской» пароль (PIN-код) ключевого носителя на свой собственный при получении электронной подписи, как вы это делаете с банковской картой. Обеспечьте надежное хранение пароля, исключите доступ к паролю любых лиц.

Внимательно читайте документы при оформлении различных сервисов в организациях, оказывающих услуги для бизнеса и банках. Если вы видите в тексте соглашения словосочетание “электронная подпись”, уделите этому разделу особое внимание. Возможно, на вас оформят сертификат электронной подписи, закрытый ключ от которой будет храниться в недоступном для вас месте. Если к этому ключу будет доступ у третьих лиц, не исключено, что за вас и без вашего ведома могут подписать какие-либо документы в электронной форме.

Не соглашайтесь на предложения выдать электронную подпись без личной явки при первичном ее получении. Во-первых, это незаконно. Во-вторых, закрытый ключ могут скопировать, и так же, как в предыдущем сценарии, использовать его без вашего ведома для формирования электронной подписи на электронном документе.

Регулярно проверяйте информацию о выпуске на ваше имя сертификатов электронных подписей на Едином портале государственных и муниципальных услуг (Госуслуги). Информация о выпущенных на ваше имя электронных подписях и удостоверяющих центрах, которые их выпустили, размещены на сайте «Госуслуги» в вашем личном кабинете в разделе «Настройки и безопасность» => «Электронная подпись».

Что делать, если произошло мошенничество с использованием электронной подписи, выданной на ваше имя?

Незамедлительно обратитесь в удостоверяющий центр, который выдал этот сертификат электронной подписи на ваше имя, и напишите заявление на его аннулирование! Это не позволит злоумышленникам в дальнейшем совершать мошеннические действия с использованием этого сертификата.

Если злоумышленники за вас сдали отчетность, как можно скорее подайте в налоговую инспекцию заявление в произвольной форме о недостоверности сведений. Это можно сделать как при непосредственном посещении налоговой инспекции, так и по почте или через интернет.

Если на ваше имя зарегистрировано юридическое лицо или ИП, следует незамедлительно внести в реестр ЕГРЮЛ или реестр ЕГРИП информацию о недостоверности данных о вас, как о руководителе. Для этого в налоговую инспекцию следует направить заявление о недостоверности сведений о юридическом лице или ИП по форме № Р34001 (рекомендуем направить такое заявление непосредственно в инспекцию по месту регистрации юридического лица или ИП). Это можно сделать как при непосредственном посещении инспекции, так и по почте или через интернет.

Если вы потеряли пароль доступа к закрытому ключу (PIN-код) или сам ключевой носитель , или он сломан, то необходимо приостановить бизнес-процессы электронного документооборота до перевыпуска электронной подписи.

Если действия посторонних лиц с вашей электронной подписью причинили ущерб, от вашего имени совершена незаконная сделка в электронной форме, подписаны значимые документы в электронной форме, то необходимо обратиться с заявлением в полицию или прокуратуру и зафиксировать факт такого события. Возьмите с собой копии документов, выданных удостоверяющим центром при получении электронной подписи (при наличии). Также вы можете обратиться в суд и аннулировать договор или признать документы недействительными.

Применение электронной подписи

Удостоверяющий центр обязан провести идентификацию вашей личности – в вашем присутствии либо дистанционно. Дистанционно — при наличии у вас действующей квалифицированной электронной подписи, биометрического паспорта гражданина, подтвержденной учетной записи на Едином портале государственных и муниципальных услуг (Госуслуги) или учетной записи в Единой биометрической системе России (ЕБС).

Подписание электронного документа

SSL/TLS-сертификат ― это цифровая подпись сайта. С её помощью подтверждается его подлинность.

Каким сайтам нужен SSL?

SSL-сертификат необходимо подключать к сайтам, которые работают с финансами и персональными данными пользователей. Это интернет-магазины, банки, платёжные системы, социальные сети, почтовые сервисы и любые другие проекты.

SSL-сертификат лучше ставить с самого начала, чтобы иметь более высокие позиции в поисковых системах. Если всё же изначально не использовался сертификат, то переехать можно быстро, а вот поисковики могут увидеть это только спустя пару месяцев. Тем более сегодня поставить SSL можно и бесплатно.

Какие виды SSL-сертификатов есть и кто их выдаёт?

Есть специальные центры сертификации или как ещё называют — удостоверяющие центры (УЦ). Вы могли встречать названия таких УЦ: Symantec, Comodo, GlobalSign, Thawte, GeoTrust, DigiCert. Они подтверждают подлинность ключей шифрования с помощью сертификатов электронной подписи.

Печать доверия — это особый знак, позволяющий посетителям видеть, что соединение с вашим сайтом и все передаваемые данные надёжно защищены.

Итак, существует несколько типов SSL-сертификатов по источнику подписи и типу проверки данных.

Так вот, разница между самоподписанными сертифкатами и, выданными УЦ, как раз и заключается в том, что браузер знаком с УЦ и доверяет ему, и при использовании такого сертификата ваш посетитель никогда не увидит огромное уведомление о небезопасности ресурса. Купить такой SSL-сертификат можно как напрямую в УЦ, так и через хостинг-провайдеров.

Подписанные доверенным центром сертификаты, в свою очередь, тоже подразделяются по типу проверки данных:

• DV (Domain Validation) — базовый уровень сертификата, который обеспечивает только шифрование данных, но не подтверждает существование организации. Такие бюджетные сертификаты подойдут физическим и юридическим лицам.
• OV (Organization Validation) — обеспечивает не только шифрование данных, но и подтверждает существование организации. Такие сертификаты доступны только для юридических лиц.
• EV (Extended Validation) — это эффективное решение с самым высоким классом защиты, которое активно применяется в онлайн-бизнесе. Для оформления требуется пройти процедуру расширенной проверки, подтвердить законность организации и право собственности на домен.

Сертификаты всех указанных типов обеспечивают шифрование трафика между сайтом и браузером. Кроме того, у них есть дополнительные опции:

• WildCard — защищает соединение с доменом и всеми его поддоменами.
• SAN — защищает домены по списку, указанному при получении SSL-сертификата.

Какой SSL-сертификат выбрать?

Итак, мы определились с тем, что SSL-сертификаты различаются между собой не только брендом и ценой. Сегодняшний ассортимент предложений предусматривает широкий круг задач, для которых может потребоваться SSL.

Например, если вы просто хотите уберечь пользователей вашего веб-сайта от навязчивых предупреждений браузера о посещении непроверенного сайта, будет достаточно за несколько минут получить простой DV (Domain Validation) сертификат. Если же вы используете свою интернет-площадку для операций, требующих повышенного уровня безопасности данных компании и клиентов — стоит задуматься об EV (Extended Validation) сертификате. А если вы используете не один, а несколько веб-адресов для сайта или сайтов компании — для вас на рынке представлены сертификаты Wildcard и SAN.

Для выбора оптимального сертификата для определённого сайта нужно изучить, что предлагают центры сертификации, обращая внимание на следующие аспекты:

• насколько SSL совместим с основными браузерами;
• на каком уровне происходит защита данных пользователей;
• насколько масштабная проверка организации проводится;
• есть ли печать доверия.

Extended Validation

SSL-сертификаты с расширенным уровнем проверки являются самыми надёжными, но и самыми дорогими. Хорошо подойдут для крупной и серьезной организации, для которой важны престиж и безопасность.

Сертификат уровня EV:

• предлагает самый высокий уровень защиты и наивысший уровень доверия среди других SSL-сертификатов
• выдаётся только юридическим лицам;
• для регистрации необходимы следующие дополнительные документы: свидетельство о постановке на учёт в налоговом органе, уведомление о регистрации юридического лица, извещение о регистрации в качестве страхователя и другие;
• поддерживает кириллические домены;
• выпускается в течение 3-10 дней.
• обойдётся примерно от 10 000 до 100 000 рублей в год.

Также после документальной проверки провайдер может позвонить по официально заявленному телефону организации, совершив тем самым дополнительный этап проверки. Зато после прохождения всего этого документооборота ваш сайт будет обладать самым высоким уровнем доверия, о чём будет свидетельствовать зелёная панелька с названием компании в адресной строке. По ней пользователи и смогут определить высокий бизнес статус компании, а при нажатии на панель узнать полные сведения об организации. Сертификаты этого типа служат отличной защитой от фишинга: из-за строгих требований верификации, злоумышленники не смогут пройти все этапы проверки, в результате чего “липовые” EV-сертификаты встречаются в крайне редких случаях.

Вы спросите какой сертификат выбрать? Всё зависит от направленности вашего сайта и вашего бюджета. Также нелишним будет посмотреть какими SSL-сертификатами пользуются ваши партнёры, конкуренты или более крупные сайты. Например, известный сервис для бронирования отелей ostrovok. ru использует PositiveSSL Wildcard сертификат от Comodo; в популярном интернет-магазине wildberries. ru используется SGC OV SSL Wildcard сертификат максимальной защищённости. На сайте Tinkoff. ru применяется сертификат EV SSL сертификат от регистрационного центра Thawte.

Мы рекомендуем пользователям внимательно проверять название компании, так как мошенники могут создать «липовую» организацию с похожим названием и привязать к ней SSL-сертификат.

Что же делать, если необходимо защитить сразу несколько поддоменов или разных доменов, находящихся на одном сервере?

В этом случае необходимо будет приобрести SAN (UCC) сертификат, который отлично подойдёт для мульти-доменных проектов и продуктов MS Exchange. Для защиты только нескольких поддоменов существуют Wildcard-сертификаты. Приобретая такой сертификат, вы обеспечиваете шифрование не только основного домена, но и неограниченного количества поддоменов вида subdomain1. domain. com, subdomain2. domain. com и т. Однако не все провайдеры выпускают Wildcard-сертификаты с защитой основного домена, поэтому перед заказом стоит отдельно обратить на это внимание. Хотя основными преимуществами Wildcard-сертификата являются удобство и экономия (не нужно заботиться о сертификате на каждый поддомен и платить за него), тем не менее иногда дешевле всё же приобрести отдельные SSL-сертификаты на каждый поддомен, особенно если их не очень много.

Проведём небольшое сравнение крупных поставщиков SSL-услуг: Symantec, Thawte и Comodo. Несмотря на то, что по сути, все компании продают практически один и тот же продукт, есть значительные отличия в сервисе. Symantec обладает самой большой продлённой гарантией, достигающей 1 750 000 долларов. Данная сумма будет выплачена в качестве возмещения убытков, если Symantec нарушит условия гарантийных обязательств. Также, на вооружении компании есть антивирусная защита, которая осуществляет ежедневное сканирование страниц на вашем хосте, с целью выявления вредоносных программ. Но, стоит заметить, что и просят за этот функционал немало — у Symantec самые дорогие сертификаты из всех 3 представленных центров. Самые доступные сертификаты у Comodo, которые также предлагают сервис антивирусного сканирования и PCI-анализа. Thawte не предлагает каких-либо дополнительных функций и обладает средней из всех ценой за SSL-сертификат.

Хотелось бы отметить, что сегодня большинство владельцев сайтов приобретают SSL-сертификаты сразу же у хостинг-провайдеров. Несмотря на то, что они являются, по сути, посредниками, цена на сертификаты, за счёт больших объёмов продаж, может быть даже ниже чем у самого сертификационного центра!

Важно отметить, что не все сертификаты поддерживают IDN (Internationalized Domain Names). Вы можете подобрать себе сертификат с идеальным соотношением цены и качества, но, если вы приобретаете его для кириллического домена, совсем не факт, что он вам подойдёт. SSL-сертификаты с поддержкой IDN можно приобрести у таких компаний, как, например, GlobalSign, Thawte, Comodo или Symantec.