Единая система идентификации и авторизации (ЕСИА) – это единственный способ верифицировать личность пользователя. Если продукт работает с деньгами, решает юридические задачи или работает с медицинскими данными, без интеграции с ЕСИА не обойтись. Рассказываем, что нужно знать, чтобы работать с этой инфраструктурой.
ЕСИА появилась в 2010 году и изначально использовалась для авторизации на Портале госуслуг. За прошедшее время возможности системы постоянно развивались, и сегодня коммерческие организации используют её, чтобы связывать учётные записи пользователя с их оффлайн-личностью.
То есть если компании нужно удостовериться, что по ту сторону экрана действительно тот человек, которым представился пользователь, ЕСИА предоставляет такую возможность. И самое главное – эта идентификация имеет юридическую значимость.
Портал рассылает уведомления о действиях с электронными подписями, в которых указано имя пользователя. Какие оповещения могут приходить и как на них реагировать, рассказал руководитель Удостоверяющего центра Контура Сергей Казаков.
Сергей Казаков, руководитель Удостоверяющего центра Контура
Всем пользователям, которые зарегистрированы на Госуслугах, портал рассылает уведомления о действиях с их электронными подписями, а точнее сертификатами ЭП. Оповещения придут в виде смс или писем на электронную почту, указанную на портале.
Откуда у Госуслуг информация о ваших сертификатах? Ее порталу передают удостоверяющие центры. В итоге в настройках своего профиля на Госуслугах вы сможете посмотреть список выпущенных на ваше имя сертификатов. Для каждого сертификата будет указан УЦ, который его выдал, срок действия и серийный номер.
Разберем, какие действия с электронной подписью портал отслеживает и как это поможет вовремя заметить мошенническую активность
Кто выпускает сертификат?
Квалифицированный сертификат ключа проверки электронной подписи (далее – Сертификат) на владельца карты водителя выпускается аккредитованным удостоверяющий центром (УЦ).
Кто присылает уведомление?
После выдачи Сертификата УЦ, в соответствии с 63-ФЗ «Об электронной подписи», обязан направить информацию о выданном сертификате в Единую систему идентификации и аутентификации (ЕСИА). После получения информации о выпущенном сертификате ЕСИА информирует об это владельца сертификата через портал государственных услуг (Госуслуги).
Для чего нужен сертификат?
Сертификат необходим для проверки подлинности электронной подписи и ее принадлежности владельцу сертификата. Сертификат, в соответствии приказом Минтранса РФ N 440, должен в обязательном порядке содержаться в каждой карте тахографа (п. 94 Приложения N 1) и в блоке СКЗИ (НКМ) тахографа (п. 5 Приложения N 1). Сертификат выпускается в паре с ключом подписи. Ключ подписи хранится на карте тахографа или блоке СКЗИ (НКМ) тахографа.
Может ли кто-то незаконно завладеть электронной подписью из карты тахографа и использовать ее в преступных целях?
Нет, ключ подписи хранится на карте тахографа или в блоке СКЗИ (НКМ) тахографа в защищённом виде и не может быть извлечен.
С октября Госуслуги присылают своим пользователям письма о некоторых действиях с сертификатом КЭП на их имя.
Если вы зарегистрированы на Госуслугах, то вам будут приходить оповещения о действиях с сертификатом КЭП на ваше имя: сертификат выпущен, использовался для входа на портал или не зарегистрирован в базе Госуслуг. Оповещения приходят в виде смс или писем на электронную почту — по телефону или e-mail, которые указаны в профиле на портале.
Также на Госуслугах вы можете посмотреть, какие сертификаты выпущены на ваше имя. Список сертификатов находится в разделе «Настройки и безопасность», на вкладке «Электронная подпись». Для каждого сертификата указан серийный номер, срок действия и УЦ, который его выдал.
Данные о сертификатах Госуслуги берут у удостоверяющих центров — УЦ обязаны отправлять информацию о выданных сертификатах на портал.
Особенности электронной подписи на Госуслугах:
1. Список сертификатов
В личном кабинете клиент видит все сертификаты, в которых указаны его данные: и сертификаты физлица, и сертификаты юрлица. При этом название юрлица не указывается, поэтому клиенты часто принимают сертификаты юрлица за незаконно выпущенные сертификаты.
2. Директор не увидит сертификаты, выданные на сотрудников своего юрлица — только выпущенные на себя.
Если в личном кабинете отображается сертификат, который ни клиент, ни его работодатель не получали, сертификат нужно отозвать. Для отзыва клиент должен лично прийти в любой СЦ и удостоверить личность.
3. Дубль сертификата
Иногда на Госуслугах отображается дубль сертификата — два сертификата с одинаковой датой выпуска, но разными серийными номерами. Дублем является сертификат, в номере которого нет буквы, только цифры. Чтобы его скрыть, нужно написать в техподдержку портала.
4. Заблокировать сертификат на портале
На Госуслугах около сертификатов есть кнопка «Заблокировать», но с помощью нее сертификат невозможно отозвать полностью. Можно лишь заблокировать его работу на портале и на сайтах, где клиент авторизовался с учетной записью Госуслуг (ЕИС, налог.ру, некоторые банки). Для полноценного отзыва нужно обращаться в УЦ, который выдал сертификат.
Получить электронный сертификат
Если у вас остались вопросы по работе с электронными сертификатами, свяжитесь в нашими специалистами:
- Тел.: +7 (978) 838-36-86
- Почта:
С подписью зашли на Госуслуги
В таком случае придет оповещение «(Дата входа) ваша электронная подпись использована для входа на портал Госуслуг». Означает, что кто-то зашел на Госуслуги с помощью вашего сертификата.
Если вы не использовали эту подпись на портале, нужно уточнить у коллег, у которых был к ней доступ, пользовались ли они подписью. Если нет — можно подозревать, что кто-то скомпрометировал сертификат и отозвать его в УЦ.
Как информационная система работает с ЕСИА
ЕСИА является прослойкой между стандартным содержанием приложения и его защищёнными данными. Если пользователю не требуются услуги, которые требуют верификации личности, он может не проходить дополнительную авторизацию. Когда же он захочет попасть в этот раздел, приложение переадресует его на Портал госуслуг, а после успешной авторизации – вернёт обратно.
Технически процесс выглядит так:
1. Пользователь обращается к защищённому ресурсу информационной системы (например, при онлайн-покупке полиса ОСАГО).
2. Информационная система направляет в ЕСИА запрос на аутентификацию.
4. После успешной аутентификации ЕСИА передаёт в информационную систему пакет с идентификационными данными пользователя, информацию об уровне его учётной записи и контексте аутентификации.
5. На основании этой информации система открывает пользователю доступ.
Данных о подписи нет в базе Госуслуг
Бывает, что УЦ отправил на Госуслуги данные об электронной подписи, но произошла ошибка, и портал эти данные не учел. Если использовать такую подпись на портале, то придет сообщение «Зафиксирован факт использования КЭП при отсутствующем сертификате в ЕСИА». В этой ситуации ничего критичного нет, это техническая ошибка — обратитесь в УЦ, чтобы ее устранили и больше такие оповещения не приходили.
Какие возможности открывает такая идентификация
1. Клиент может подписывать юридически значимые электронные документы, получать защищённый доступ к конфиденциальной информации, медицинским данным и т.д.
2. Появляется возможность автоматически заполнять в анкетах и заявках персональные данные клиента: ФИО, данные паспорта, ИНН, информация о детях и др. При этом компания может быть уверена, что эти данные абсолютно верны и правдивы.
3. Страховые компании и банки могут продавать через приложение свои продукты. И никаких расходов, которые связаны с традиционными, оффлайновыми каналами продаж – не нужно собирать документы, приглашать человека в офис, достаточно разработать скрипт для колл-центра.
4. Для пользователя верификация с ЕСИА повышает доверие к сервису и делает саму процедуру удобнее – не нужно помнить дополнительные пароли, просто нажимаешь знакомую кнопку и всё.
В наших проектах интеграция ЕСИА активно используется в продуктах страховых компаний. Это позволяет клиентам покупать полисы ОСАГО, отправлять извещения о ДТП при оформлении заявок на урегулирование убытков. Это критически важная функция для сценариев заявления о страховых случаях по ОСАГО, когда пользователь не является клиентом данной страховой компании.
Хотя сейчас к ЕСИА могут подключиться не все организации, можно ожидать, что такая авторизация скоро станет де-факто стандартом для пользовательских сервисов. Просто потому, что это надёжно и удобно для клиентов – вместо отдельной учётной записи для каждого ресурса можно использовать единый аккаунт «Госуслуг» и бесшовно пользоваться любыми нужными услугами. Поэтому задумываться об интеграции стоит всем компаниям.
Как организации подключиться к ЕСИА
Процедура подключения занимает около месяца. Это время включает регистрацию необходимых аккаунтов, получение данных от Минцифры, работы по интеграции ИС.
1. Зарегистрируйте руководителя организации на Портале госуслуг. Регистрировать компании в ЕСИА могут только те их представители, которые вправе действовать без доверенности. Им понадобится подтверждённая учётная запись физического лица – т.е. нужно будет не только указать свои данные, но и обратиться в банк или МФЦ для верификации. В последнее время многие банки позволяют сделать это онлайн, через их приложения.
2. Зарегистрируйте вашу организацию.
a. Получите квалифицированную электронную подпись (КЭП) на руководителя организации.
b. Зарегистрируйте юридическое лицо в профиле ЕСИА.
c. Оформите КЭП для юридического лица.
Оформлением КЭП занимаются аккредитованные удостоверяющие центры. Подробная инструкция по этому процессу здесь.
3. Зарегистрируйте информационную систему в ЕСИА.
Регистрация системы происходит через технологический портал. Доступ к нему может получить один из сотрудников компании – действовать через аккаунт представителя уже не обязательно. Этот процесс подробно расписан в Руководстве пользователя технологического портала ЕСИА. В результате регистрации информационная система заносится в реестр ИС и получает мнемонический буквенно-цифровой код.
4. Доработайте систему для обмена данными с ЕСИА.
Аутентификация пользователей в ЕСИА происходит по OAuth 2.0 и OpenID Connect 1.0. Компании необходимо сгенерировать закрытый ключ и сертификат открытого ключа, зарегистрировать его на технологическом портале. Стоит отметить, что ЕСИА поддерживает только российские алгоритмы шифрования ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012.
Стоит отдельно отметить, что если в компании уже используются средства верификации пользователей посредством Single Sign-On, то особых технических трудностей при подключении к ЕСИА не будет.
5. Подключитесь к тестовой среде ЕСИА
6. Подключитесь к промышленной среде ЕСИА
Что следует знать владельцу сертификата электронной
подписи (КСКП ЭП)?
Выпуск электронной подписи возможен
только после идентификации личности и получения уполномоченным
представителем удостоверяющего центра подписанного заявления на ее выпуск. Пользователь КСКП ЭП обязан
расписаться на бланке сертификата, подтверждая состав сведений, включенных в сертификат.
Выпуск электронной подписи осуществляется
с использованием мобильного приложения и не подлежит передаче
пользователю или использованию на других ресурсах/порталах.
После завершения учетно-регистрационных действий
владелец подписи может подать заявление на отзыв электронной
подписи.
Для отзыва электронной подписи необходимо заполнить
«Заявление на прекращение действия квалифицированного сертификата ключа проверки электронной подписи» и
направить его скан или фотографию в УЦ СберКорус на электронную почту.
Особенности электронной подписи на Госуслугах
Видно подписи юрлица. В личном кабинете портала вы увидите все электронные подписи, где указаны ваши данные: и как физлица, и как сотрудника организации. Однако название организации указано не будет, поэтому подпись, которую вы когда-то выпустили для отправки электронного документа, можно принять за незаконную.
Директор не видит подписи, выданные на своих сотрудников. Чтобы отслеживать, какие подписи выпущены на ваше юрлицо, лучше вести внутренний реестр электронных подписей. А сотрудникам рассказать об этом материале — пусть проверят выданные на себя сертификаты.
На Госуслугах нельзя полностью заблокировать подпись. На портале около действующих электронных подписей есть кнопка «Заблокировать», но с помощью нее сертификат невозможно отозвать полностью. Можно лишь заблокировать его работу на портале и на сайтах, где вы авторизовались с учеткой Госуслуг (ЕИС, налог.ру, некоторые банки). Для полноценного отзыва нужно обращаться в УЦ, который выдал сертификат.
Оповещения от Госуслуг и список выданных сертификатов на портале — обновление, которое вывело безопасность в сфере электронной подписи на новый уровень. Теперь о подозрительных действиях со своей подписью можно оперативно узнать и помешать мошенникам.
Порядок аннулирования
Уведомление «Организация (название УЦ) выпустила электронную подпись с вашими персональными данными» придет, если на ваше имя был выдан сертификат. Это может быть сертификат физлица или сотрудника.
Если вы действительно недавно получили электронную подпись в таком УЦ, то все в порядке. Портал просто оповестил вас.
Предпринять действия понадобится, если вы не получали подпись. Сперва спросите своего работодателя или сотрудника, ответственного за электронные подписи — вдруг, он обновил ваш сертификат. Если это так, то все в порядке.
Если коллеги не причастны к новой подписи, то нужно отозвать сертификат. Скорее всего, некто смог обмануть сотрудников УЦ и незаконно выпустить подпись на ваше имя. Для отзыва обратитесь в УЦ, который выдал подпись, и подтвердите личность. Также проверьте свои данные на портале Госуслуг, налог.ру, в сервисах отчетности и бюро кредитных историй. Если не увидите неизвестных вам данных, то все хорошо — вы успели заблокировать подпись раньше, чем ей воспользовался мошенник. Если ущерб все-таки нанесли, напишите заявление в правоохранительные органы.
Уважаемый владелец квалифицированной электронной подписи, выпущенной удостоверяющим
центром СберКорус (ООО «КОРУС Консалтинг СНГ»)!
При выдаче квалифицированной электронной подписи портал
Государственных услуг (Госуслуги) направляет уведомление владельцу о загрузке сертификата в единую
систему идентификации и аутентификации (ЕСИА) с указанием наименования удостоверяющего центра,
выпустившего такой сертификат.
Если Вам пришло такое уведомление, значит некоторое
время назад Вы обращались к нашему партнеру — уполномоченному представителю УЦ СберКорус для получения
услуг по кадастровому учету или регистрации прав в электронном виде. Такие сделки осуществляются в
электронном виде, а документы подписываются электронной подписью участников сделки.