Об ЭП и УЦ
С 1 июля по 19 октября в Москве пройдет Конкурс «Лучший ЭДО в России и СНГ 2023» организованный группой «Просперити Медиа» и порталом CFO-Russia.ru. Номинации: 🏆Внедрение года в сфере ЭДО 🏆Лучший кадровый ЭДО 🏆Лучший ЭДО в бухгалтерии 🏆Лучший ЭДО в корпоративном…
Командой CFO Russia
подведены итоги конкурса «Лучший ЭДО в России и СНГ 2023»
🏆 Внедрение года в сфере ЭДО - УК «РОСВОДОКАНАЛ», Жюри подчеркнуло, что проект внедрения ЭДО в УК «РОСВОДОКАНАЛ» выделяется масштабностью, он охватывает несколько тысяч сотрудников, более тысячи контрагентов и различные виды документов, объединяет целый ряд ИТ-систем. Реализация таких проектов требует тщательной координации работы как внутренних команд, так и внешних подрядчиков. Что не менее важно, коллеги очень тщательно подошли к оформлению заявки на конкурс, достаточно детально описав проект.
🏆 Лучший кадровый ЭДО - ЦКР, «В данном решении хочется отметить несколько моментов, очень важных для кадрового ЭДО: практически полный спектр кадровых сервисов и почти 60000 пользователей, 75% из которых – производственный персонал, обычно более требовательный к удобству и простоте использования общекорпоративных систем в силу особенностей процессов».
🏆 Лучший ЭДО в бухгалтерии - АК Алроса, «За счет масштабной автоматизации процессов оптимизированы процессы отделов оперативного учета, центра сервиса по обработке первички, автоматизирован процесс подборки документов по требованию, исключены непрофильные работы».
🏆 Лучший ЭДО в корпоративном управлении - Гулливер Групп, «Достаточно небольшая команда (5 человек) смогла создать систему, в разы ускоряющую процессы согласования договоров с сопутствующим повышением исполнительской дисциплины и качества взаимодействия с клиентами. Также очень важно внедрение программной роботизации и мобильных решений»
🏆 Лучший внешний ЭДО - ЦЕС Аскона Лайф Групп, "проект компании интересен тем, что его реализовали полностью своими силами небольшой команды. При этом он охватывает все типы документов, которыми обмениваются с контрагентами, а объёмы документов измеряются сотнями тысяч. Это позволило коллегам получить ощутимый эффект как от сокращения расходов, так и от сокращения времени обработки документов"
🏆 Лучшая команда по внедрению ЭДО - Металлоинвест, «Команда МКС реализовала интересный и масштабный проект на довольно сложном „участке“ – производство. Именно на таких „участках“ встречается больше всего проблем и отрицаний. При реализации проекта команда использовала различные способы взаимодействия, перестраивала свои навыки, что заслуживает особого внимания».
🏆Лучший проект импортозамещения ЭДО - Гринатом, «Масштабы проекта поражают: количество подключенных предприятий корпорации – более двухсот, количество пользователей системы – более 110 тысяч, а количество интегрируемых систем – более сотни! Такие проекты достойны самых высоких оценок и, безусловно, задают вектор правильного развития ЭДО в России на ближайшие годы!»
подведены итоги конкурса «Лучший ЭДО в России и СНГ 2023»
🏆 Внедрение года в сфере ЭДО - УК «РОСВОДОКАНАЛ», Жюри подчеркнуло, что проект внедрения ЭДО в УК «РОСВОДОКАНАЛ» выделяется масштабностью, он охватывает несколько тысяч сотрудников, более тысячи контрагентов и различные виды документов, объединяет целый ряд ИТ-систем. Реализация таких проектов требует тщательной координации работы как внутренних команд, так и внешних подрядчиков. Что не менее важно, коллеги очень тщательно подошли к оформлению заявки на конкурс, достаточно детально описав проект.
🏆 Лучший кадровый ЭДО - ЦКР, «В данном решении хочется отметить несколько моментов, очень важных для кадрового ЭДО: практически полный спектр кадровых сервисов и почти 60000 пользователей, 75% из которых – производственный персонал, обычно более требовательный к удобству и простоте использования общекорпоративных систем в силу особенностей процессов».
🏆 Лучший ЭДО в бухгалтерии - АК Алроса, «За счет масштабной автоматизации процессов оптимизированы процессы отделов оперативного учета, центра сервиса по обработке первички, автоматизирован процесс подборки документов по требованию, исключены непрофильные работы».
🏆 Лучший ЭДО в корпоративном управлении - Гулливер Групп, «Достаточно небольшая команда (5 человек) смогла создать систему, в разы ускоряющую процессы согласования договоров с сопутствующим повышением исполнительской дисциплины и качества взаимодействия с клиентами. Также очень важно внедрение программной роботизации и мобильных решений»
🏆 Лучший внешний ЭДО - ЦЕС Аскона Лайф Групп, "проект компании интересен тем, что его реализовали полностью своими силами небольшой команды. При этом он охватывает все типы документов, которыми обмениваются с контрагентами, а объёмы документов измеряются сотнями тысяч. Это позволило коллегам получить ощутимый эффект как от сокращения расходов, так и от сокращения времени обработки документов"
🏆 Лучшая команда по внедрению ЭДО - Металлоинвест, «Команда МКС реализовала интересный и масштабный проект на довольно сложном „участке“ – производство. Именно на таких „участках“ встречается больше всего проблем и отрицаний. При реализации проекта команда использовала различные способы взаимодействия, перестраивала свои навыки, что заслуживает особого внимания».
🏆Лучший проект импортозамещения ЭДО - Гринатом, «Масштабы проекта поражают: количество подключенных предприятий корпорации – более двухсот, количество пользователей системы – более 110 тысяч, а количество интегрируемых систем – более сотни! Такие проекты достойны самых высоких оценок и, безусловно, задают вектор правильного развития ЭДО в России на ближайшие годы!»
Об ЭП и УЦ
Мифы об электронной подписи. Миф 6. Про обязательность метки доверенного времени при подписании МЧД В последнее время часто возникает вопрос об использовании метки доверенного времени при подписании МЧД, кто-то говорит, что она должна быть обязательно, а…
Мифы об электронной подписи. Миф 7. Файлы с электронными подписями переименовывать нельзя иначе ЭП станет недействительной
Данный миф является достаточно распространённым, многие уверены, что электронная подпись "слетит", если переименовать файл с отсоединенной ЭП и/или сам документ.
Стал искать откуда идёт данное заблуждение (его кстати, некоторые УЦ транслируют в массы) и нашел такое определение отсоединенной ЭП на Госуслугах: ... Хранить и пересылать нужно оба эти файла, переименовывать их нельзя.
Это утверждение ошибочное, переименование подписываемого документа, как и файла с ЭП не сказывается на проверке электронной подписи (вот если изменить содержимое подписываемого файла, например, договора в doc, это прямым образом скажется на целостности документа и действительности электронной подписи).
Таком образом, файлы с электронными подписями переименовывать можно, на статус проверки ЭП это не влияет
Данный миф является достаточно распространённым, многие уверены, что электронная подпись "слетит", если переименовать файл с отсоединенной ЭП и/или сам документ.
Стал искать откуда идёт данное заблуждение (его кстати, некоторые УЦ транслируют в массы) и нашел такое определение отсоединенной ЭП на Госуслугах: ... Хранить и пересылать нужно оба эти файла, переименовывать их нельзя.
Это утверждение ошибочное, переименование подписываемого документа, как и файла с ЭП не сказывается на проверке электронной подписи (вот если изменить содержимое подписываемого файла, например, договора в doc, это прямым образом скажется на целостности документа и действительности электронной подписи).
Таком образом, файлы с электронными подписями переименовывать можно, на статус проверки ЭП это не влияет
info.gosuslugi.ru
Отсоединённая ЭП | ЕСКС
Отсоединенная подпись формируется в отдельном от подписываемого документа файле.
Об ЭП и УЦ
Эксперимент по предоставлению комплексного сервиса по регистрации юридических лиц и индивидуальных предпринимателей Минфином России разработан проект постановления Правительства РФ, предусматривающий проведение эксперимента по реализации комплексной услуги…
Три в одном - регистрация бизнеса, дистанционное открытие счета и получение квалифицированного сертификата
В России со следующего года появится цифровая платформа, которая даст возможность оформить бизнес онлайн, открыть банковский счет и получить квалифицированный сертификат электронной подписи в режиме «один клик», сообщили «Известиям» в секретариате вице-премьера — руководителя аппарата правительства России Дмитрия Григоренко: «В 2024 году будет запущен сервис по открытию бизнеса онлайн. На этом сервисе будет доступны, в частности, электронная регистрация бизнеса, открытие счета и получение электронной подписи в рамках одной услуги».
Сервис позволит направить электронные документы, подписанные квалифицированной электронной подписью, для открытия первого счета в банке. Это можно будет сделать в дистанционном режиме, если ранее гражданин был идентифицирован банком при личном посещении, при этом он должен быть клиентом этого банка. Дистанционное открытие счета возможно и без соблюдения двух условий (быть клиентом банка и пройти там идентификацию), если речь идет о пользователе единой биометрической системы.
В Корпорации МСП подчеркнули, что в данный момент можно совершить дистанционно первые шаги к оформлению бизнеса, но для получения электронной подписи и открытия банковского счета все же придется прийти лично, причем в разные места: в налоговую и непосредственно банк.
Корпорация МСП кажется не в курсе, что 4 банка являются доверенными лицами УЦ ФНС России.
Опубликованная статья «Известий» - продолжение разработанного Минфином России проекта постановления Правительства РФ, предусматривающего проведение эксперимента по реализации комплексной услуги «Старт бизнеса онлайн», включающей в себя электронную регистрацию бизнеса, дистанционное открытие счета и получение квалифицированного сертификата.
В России со следующего года появится цифровая платформа, которая даст возможность оформить бизнес онлайн, открыть банковский счет и получить квалифицированный сертификат электронной подписи в режиме «один клик», сообщили «Известиям» в секретариате вице-премьера — руководителя аппарата правительства России Дмитрия Григоренко: «В 2024 году будет запущен сервис по открытию бизнеса онлайн. На этом сервисе будет доступны, в частности, электронная регистрация бизнеса, открытие счета и получение электронной подписи в рамках одной услуги».
Сервис позволит направить электронные документы, подписанные квалифицированной электронной подписью, для открытия первого счета в банке. Это можно будет сделать в дистанционном режиме, если ранее гражданин был идентифицирован банком при личном посещении, при этом он должен быть клиентом этого банка. Дистанционное открытие счета возможно и без соблюдения двух условий (быть клиентом банка и пройти там идентификацию), если речь идет о пользователе единой биометрической системы.
В Корпорации МСП подчеркнули, что в данный момент можно совершить дистанционно первые шаги к оформлению бизнеса, но для получения электронной подписи и открытия банковского счета все же придется прийти лично, причем в разные места: в налоговую и непосредственно банк.
Корпорация МСП кажется не в курсе, что 4 банка являются доверенными лицами УЦ ФНС России.
Опубликованная статья «Известий» - продолжение разработанного Минфином России проекта постановления Правительства РФ, предусматривающего проведение эксперимента по реализации комплексной услуги «Старт бизнеса онлайн», включающей в себя электронную регистрацию бизнеса, дистанционное открытие счета и получение квалифицированного сертификата.
17 марта прошла онлайн-конференция, на которой эксперты обсудили практику применения электронной подписи в России (запись), а 1 декабря состоится конференция, на которой обсудят технологию мобильной электронной подписи - как правильно дальше должна развиваться технология в целом, чтобы обеспечивать безопасность и удобство пользователей.
Ключевые вопросы дискуссии:
1. Технологическая основа мобильной электронной подписи
🔹Мобильная подпись: как это работает?
🔹Какие требования у бизнеса к мобильной подписи?
🔹Как вы думаете, что важно для граждан, которые ей пользуются или будут пользоваться?
🔹Способы идентификации пользователей при выдаче квалифицированных сертификатов?
🔹Какие информационные системы (государственные, коммерческие) уже работают с мобильной подписью?
🔹Какие есть риски при утере или краже телефона?
2. Практика
🔹Какие есть подходы к реализации мобильной подписи? В чём преимущества и риски каждого из них?
🔹Как защищать ключи в условиях отсутствия доверию клиенту и серверу? На каких принципах можно строить решения, обеспечивающие защиту в этом случае?
🔹Какими свойствами безопасности должна обладать мобильная подпись? Что уже реализовано в российских решениях, а что нет?
🔹Юридические аспекты оформления мобильной электронной подписи: какой юридический статус имеют документы, подписанные мобильной электронной подписью? Как определяется срок действия подписи?
🔹Какие информационные системы (государственные, коммерческие) уже работают с мобильной подписью?
🔹Как внедряется мобильная подпись существующие бизнес-процессы компании? Что важно предусмотреть при внедрении?
🔹Что, если все сторы заблокируют? Какие есть альтернативы подписания без использования мобильных приложений? Как быстро адаптировать мобильные приложения в условиях постоянных изменений?
🔹Не вызовет ли появление требований к облачной мобильной подписи еще больше сложностей для участников рынка при реализации этих требований?
🔹Встраивание в приложения СКЗИ разработчиками
🔹Как осуществляется защита конфиденциальной информации? Какие риски безопасности несет массовое внедрение технологии?
🔹Какие пробелы в плане понятий и регулирования есть в 63-ФЗ и 796 приказе ФСБ России?
3. Прогнозы
🔹Что можно считать следующей целью в массовом внедрении мобильной электронной подписи? Что важно учитывать кроме технологических аспектов, соблюдения compliance и требований регулятора?
🔹Как будет развиваться технология в ближайшие 1-3 года? Что будет влиять на этот процесс?
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Судебная практика: снова простая ЭП Банк попытался взыскать долг по кредиту. Ответчица требовала признать кредитный договор незаключенным - указано, что кредит от ее имени оформили и получили через мобильное приложение мошенники. Оферта на предоставление…
Порой читаешь статью, даже самую свежую, опубликованную вчера в Российской газете "Банкиров признали ответственными за мошеннический телефонный кредит": Важное решение принял Верховный суд РФ, когда изучил гражданское дело обманутой мошенниками клиентки банка. История до боли знакома - телефонные мошенники заставили клиентку банка скачать программу удаленного доступа и оформили на нее кредит.
и понимаешь, что ранее уже это читал. Всегда удивляло отношение авторов подобных материалов к их качеству - Верховный суд, местный суд, никакой конкретики, ни одной ссылки на судебное решение, как изучать судебную практику - не понятно.
В общем, в августе был пост про это решение Верховного суда, тогда дело было направлено на пересмотр в Похвистневский районный суд Самарской области.
и понимаешь, что ранее уже это читал. Всегда удивляло отношение авторов подобных материалов к их качеству - Верховный суд, местный суд, никакой конкретики, ни одной ссылки на судебное решение, как изучать судебную практику - не понятно.
В общем, в августе был пост про это решение Верховного суда, тогда дело было направлено на пересмотр в Похвистневский районный суд Самарской области.
Forwarded from Компания «Актив»
При получении квалифицированного сертификата электронной подписи от Удостоверяющего центра ФНС клиенты Сбера могут открыть расчетный счет и получить бесплатно устройство Рутокен по акции «Токен за 0».
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
МЧД сегодняшние проблемы и неясные перспективы
Выступление Н.А. Храмцовской, ведущего эксперта по управлению документацией ГК «ЭОС», на форуме «Осенний документооборот – 2023»
В ходе выступления был упомянут Роскомнадзор, а как с МЧД обстоят дела в данном ведомстве?
Мы же хорошо все помним письмо Минцифры от 6 апреля 2023 г. о внедрении машиночитаемых доверенностей, которое было направлено в 70 государственных органов о необходимости поддержки Единого формата к 01.09.2023. Роскомнадзор в настоящее время проводит мероприятия по доработке своих информационных систем в части внедрения механизмов обработки машиночитаемых доверенностей. В ответе чего идет ссылка на постановление от 12.09.2023 № 1481.
Выступление Н.А. Храмцовской, ведущего эксперта по управлению документацией ГК «ЭОС», на форуме «Осенний документооборот – 2023»
В ходе выступления был упомянут Роскомнадзор, а как с МЧД обстоят дела в данном ведомстве?
Мы же хорошо все помним письмо Минцифры от 6 апреля 2023 г. о внедрении машиночитаемых доверенностей, которое было направлено в 70 государственных органов о необходимости поддержки Единого формата к 01.09.2023. Роскомнадзор в настоящее время проводит мероприятия по доработке своих информационных систем в части внедрения механизмов обработки машиночитаемых доверенностей. В ответе чего идет ссылка на постановление от 12.09.2023 № 1481.
ФНС России в письме от 18.10.2023 № ЗГ-3-26/13425 ответила на вопрос о применении электронных доверенностей уполномоченными представителями налогоплательщика-организации:
🔹 в соответствии с пунктом 3 статьи 29 НК РФ уполномоченный представитель организации осуществляет свои полномочия на основании доверенности, выдаваемой в порядке, установленном ГК РФ, если иное не предусмотрено НК РФ.
🔹порядок и правила совершения, а также причины прекращения действия доверенностей устанавливаются положениями главы 10 ГК РФ, при этом применение доверенности в отношениях, регулируемых законодательством о налогах и сборах, в рамках НК РФ эти положения не нарушает.
🔹положениями статьи 188 ГК РФ установлены основания прекращения действия доверенности. Перечень оснований является исчерпывающим и расширительному толкованию не подлежит.
🔹положениями НК РФ установлены возможность создания доверенности в форме электронного документа, подписанного ЭП доверителя (электронная доверенность), и полномочия ФНС России по утверждению формата и порядка направления электронной доверенности.
🔹ФНС России издан приказ от 30.04.2021 № ЕД-7-26/445@.
🔹электронная доверенность применяется как еще один способ создания (совершения) доверенностей, не оказывает влияния на процесс приема от уполномоченных представителей налогоплательщиков налоговой и бухгалтерской отчетности по ТКС, отличного от оказываемого доверенностями, совершенными на бумажных носителях, и не предполагает их отмену.
🔹внедрение электронной доверенности при осуществлении электронного документооборота с налоговыми органами также не предполагает оснований прекращения действия доверенностей, отличных от установленных в статье 188 ГК РФ.
🔹обязанность, установленная Федеральным законом от 31.07.2023 № 389-ФЗ, вступающая в силу с 01.03.2024, в соответствии с которой уполномоченный представитель осуществляет свои полномочия на основании электронной доверенности, распространяется на доверенности, которые будут совершаться и применяться для подтверждения полномочий уполномоченных представителей после 01.03.2024.
🔹при этом прекращение использования квалифицированных сертификатов сотрудников юридических лиц или замена квалифицированной электронной подписи уполномоченного представителя в рамках действующей доверенности не являются основаниями для прекращения действия доверенности.
🔹 в соответствии с пунктом 3 статьи 29 НК РФ уполномоченный представитель организации осуществляет свои полномочия на основании доверенности, выдаваемой в порядке, установленном ГК РФ, если иное не предусмотрено НК РФ.
🔹порядок и правила совершения, а также причины прекращения действия доверенностей устанавливаются положениями главы 10 ГК РФ, при этом применение доверенности в отношениях, регулируемых законодательством о налогах и сборах, в рамках НК РФ эти положения не нарушает.
🔹положениями статьи 188 ГК РФ установлены основания прекращения действия доверенности. Перечень оснований является исчерпывающим и расширительному толкованию не подлежит.
🔹положениями НК РФ установлены возможность создания доверенности в форме электронного документа, подписанного ЭП доверителя (электронная доверенность), и полномочия ФНС России по утверждению формата и порядка направления электронной доверенности.
🔹ФНС России издан приказ от 30.04.2021 № ЕД-7-26/445@.
🔹электронная доверенность применяется как еще один способ создания (совершения) доверенностей, не оказывает влияния на процесс приема от уполномоченных представителей налогоплательщиков налоговой и бухгалтерской отчетности по ТКС, отличного от оказываемого доверенностями, совершенными на бумажных носителях, и не предполагает их отмену.
🔹внедрение электронной доверенности при осуществлении электронного документооборота с налоговыми органами также не предполагает оснований прекращения действия доверенностей, отличных от установленных в статье 188 ГК РФ.
🔹обязанность, установленная Федеральным законом от 31.07.2023 № 389-ФЗ, вступающая в силу с 01.03.2024, в соответствии с которой уполномоченный представитель осуществляет свои полномочия на основании электронной доверенности, распространяется на доверенности, которые будут совершаться и применяться для подтверждения полномочий уполномоченных представителей после 01.03.2024.
🔹при этом прекращение использования квалифицированных сертификатов сотрудников юридических лиц или замена квалифицированной электронной подписи уполномоченного представителя в рамках действующей доверенности не являются основаниями для прекращения действия доверенности.
Госуслуги с сегодняшнего дня ввели обязательное подтверждение входа вторым фактором, оставив пользователям только одну возможность осуществить вход по логину-паролю. Ранее подтверждение входа планировалось ввести в 2022 году, а также с 01.06.2023.
Количество аккредитованных УЦ уменьшилось до 47 УЦ
27.10.2023 истек трехлетний срок аккредитации УЦ АО Энергоцентр.
Заявка на получение новой аккредитации было отклонена в соответствии с Протоколом заочного голосования Правкомиссии от 29.10.2023 г. № 5пр (не были выполнены три пункта требований к деловой репутации руководителя и учредителей (участников) УЦ, утвержденным Правкомиссией (протокол от 27.01.2021 № 1 с изменениями от 24.08.2022 № 3). Указанные несоответствия более чем выполнимы (если не добавят справку из ГИБДД об отсутствии штрафов за превышение скорости и сертификат вакцинации от covid - шутка), но это уже новый цикл выхода на Правкомиссию.
Последний раз количество УЦ сокращалось 01.01.2022 , тогда была прекращена аккредитация удостоверяющего центра Генпрокуратуры в соответствии с ч. 5 ст. 3 Федерального закона от 27.12.2019 № 476-ФЗ (что не помещало им выдавать сертификаты и в 2023 году).
За оставшиеся 2 месяца до конца года аккредитация истекает у 8 УЦ.
⚡️ P.S. По оперативной информации от Минцифры - аккредитация была подтверждена, протокол от 26.10.2023 № 6пр, где решение положительное (15 «за»)
27.10.2023 истек трехлетний срок аккредитации УЦ АО Энергоцентр.
Заявка на получение новой аккредитации было отклонена в соответствии с Протоколом заочного голосования Правкомиссии от 29.10.2023 г. № 5пр (не были выполнены три пункта требований к деловой репутации руководителя и учредителей (участников) УЦ, утвержденным Правкомиссией (протокол от 27.01.2021 № 1 с изменениями от 24.08.2022 № 3). Указанные несоответствия более чем выполнимы (если не добавят справку из ГИБДД об отсутствии штрафов за превышение скорости и сертификат вакцинации от covid - шутка), но это уже новый цикл выхода на Правкомиссию.
Последний раз количество УЦ сокращалось 01.01.2022 , тогда была прекращена аккредитация удостоверяющего центра Генпрокуратуры в соответствии с ч. 5 ст. 3 Федерального закона от 27.12.2019 № 476-ФЗ (что не помещало им выдавать сертификаты и в 2023 году).
За оставшиеся 2 месяца до конца года аккредитация истекает у 8 УЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
1️⃣48 аккредитованных УЦ (получение аккредитации ООО УЦ Тензор и подтверждение АО Энергоцентр)
2️⃣Динамика выдачи квалифицированных сертификатов за 9 месяцев 2023 г.
3️⃣Опрос Минцифры о готовности к МЧД
4️⃣Банк России с 02.10.2023 перешел на использование Единого формата МЧД
5️⃣Зарегистрирован приказ Минцифры России от 14.07.2023 № 634 о возможности отзыва квалифицированных сертификатов через Госуслуги
6️⃣Письма госорганов: Ответ Минцифры о владельце квалифицированного сертификата, ФНС России о недопустимости требовать сканы XML-документов, разъяснения Росреестра участникам рынка недвижимости, банковских организаций о проверке паспортов, ФНС России о применении электронных доверенностей уполномоченными представителями налогоплательщика-организации:
7️⃣CFO Russia подведены итоги конкурса «Лучший ЭДО в России и СНГ 2023»
8️⃣Госдумой в первом чтении принят законопроект, предусматривающий, что до 2025 года страны ЕАЭС при заключении госконтрактов смогут обмениваться документами на бумажных носителях
9️⃣Аналитический материал от Anti-Malware.ru - сравнение средств электронной подписи
🔟Записи вебинаров: "Машиночитаемые доверенности: применение в ГИС ЕИС ЗАКУПКИ и ГИС ТОРГИ", Квантовая и постквантовая криптография, «Осенний документооборот – 2023» МЧД сегодняшние проблемы и неясные перспективы
1️⃣1️⃣Судебная практика: Арбитражный суд обязал налоговую инспекцию выдать конкурсному управляющем квалифицированный сертификат
1️⃣2️⃣Анонсирована онлайн-конференция "Мобильная электронная подпись"
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
О проверке действительности паспортов Негативная ситуация складывается с проверками паспортов, на которую обращают внимание сразу две банковские ассоциации - Ассоциация банков России и Ассоциация российских банков (это разные структуры). 📝 Ассоциация «Россия»…
Промежуточный ответ Росфинмониторинга на письмо АРБ «О проблемах проверки недействительных российских паспортов посредством сервисов МВД России и СМЭВ»
Об ЭП и УЦ
Внедрение МЧД в Росфинмониторинге 🔹МЧД планируется формировать в соответствии с Единым форматом версии 3.0. Разработка собственного формата не предусматривается. 🔹Проводятся работы по обеспечению механизма использования МЧД, в том числе в Личном кабинете…
ARB-letter-A23-01-5-501 27.10.2023.pdf
1.6 MB
Внедрение МЧД в Росфинмониторинге (часть 2)
Ассоциация российских банков просит Росфинмониторинг рассмотреть возможность разработки официальных рекомендаций по выпуску машиночитаемой доверенности для кредитных организаций, а также перечню полномочий физического лица, подлежащих включению в состав такой машиночитаемой доверенности [прим. @ep_uc - документа о полномочиях].
Интересное письмо АРБ. Называется "О размещении Росфинмониторингом форм машиночитаемых доверенностей, необходимых для целей направления отчетности с использованием личного кабинета кредитных организаций на сайте Росфинмониторинга", но Росфинмониторинг разрабатывать и размещать собственный формат МЧД не планирует, будет использован Единый формат.
Также указано, что согласно информации, полученной от технической поддержки Росфинмониторинга, функционал личного кабинета в части применения МЧД планировалось доработать после внесения соответствующих изменений в нормативные правовые акты, регламентирующие порядок представления информации кредитными организациями в уполномоченный орган. Вопросы о форме МЧД и порядке ее выпуска/отзыва было рекомендовано адресовать в Банк России, поскольку согласно пункту статьи 7 Федерального закона № 115-ФЗ порядок представления информации в уполномоченный орган кредитными организациями устанавливает Банк России. Кроме того, в соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона № 63-ФЗ Банк России устанавливает также порядок представления МЧД, подтверждающей полномочия физического лица действовать от имени кредитной организации.
В свою очередь, Банк России в ответ на запрос Ассоциации российских банков рекомендовал кредитным организациям обратиться в Росфинмониторинг по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, в том числе возможности использования формы Единого формата МЧД и срока публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом.
🚀 Об ЭП и УЦ
Ассоциация российских банков просит Росфинмониторинг рассмотреть возможность разработки официальных рекомендаций по выпуску машиночитаемой доверенности для кредитных организаций, а также перечню полномочий физического лица, подлежащих включению в состав такой машиночитаемой доверенности [прим. @ep_uc - документа о полномочиях].
Интересное письмо АРБ. Называется "О размещении Росфинмониторингом форм машиночитаемых доверенностей, необходимых для целей направления отчетности с использованием личного кабинета кредитных организаций на сайте Росфинмониторинга", но Росфинмониторинг разрабатывать и размещать собственный формат МЧД не планирует, будет использован Единый формат.
Также указано, что согласно информации, полученной от технической поддержки Росфинмониторинга, функционал личного кабинета в части применения МЧД планировалось доработать после внесения соответствующих изменений в нормативные правовые акты, регламентирующие порядок представления информации кредитными организациями в уполномоченный орган. Вопросы о форме МЧД и порядке ее выпуска/отзыва было рекомендовано адресовать в Банк России, поскольку согласно пункту статьи 7 Федерального закона № 115-ФЗ порядок представления информации в уполномоченный орган кредитными организациями устанавливает Банк России. Кроме того, в соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона № 63-ФЗ Банк России устанавливает также порядок представления МЧД, подтверждающей полномочия физического лица действовать от имени кредитной организации.
В свою очередь, Банк России в ответ на запрос Ассоциации российских банков рекомендовал кредитным организациям обратиться в Росфинмониторинг по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, в том числе возможности использования формы Единого формата МЧД и срока публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом.
Please open Telegram to view this post
VIEW IN TELEGRAM
Начало в данном посте.
В октябре апелляционная инстанция оставила решение суда первой инстанции без изменения, а апелляционную жалобу - без удовлетворения.
Из предоставленных ответчиком документов суд выявил следующие недочеты идентификации:
🔹предоставленная копия доверенности не содержит даты, а согласно абз. 2 п.1 ст. 186 ГК РФ доверенность, в которой не указана дата ее совершения, ничтожна.
🔹истец должен был оплачивать услугу, как юр. лицо, однако ответчик не задумываясь принял платеж третьего лица без каких либо вопросов по какой причине платеж не от истца.
🔹идентификация получателя сертификата проводилась с привлечением партнера УЦ, при этом получатель сертификата не снял головной убор при фотографировании, при этом очевидно, что при проведении идентификации физического лица важно сличение формы ушных раковин и формы головы. По внешним признакам фотография в паспорте неуполномоченного лица сильно отличается от лица идентификация, которого проводилась партнером УЦ.
P.S. Читатель нашего канала Вячеслав очень любит данную рубрику во всех своих ипостасях.
Please open Telegram to view this post
VIEW IN TELEGRAM
MITM-атака на JABBER.RU и XMPP.RU
Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle, «Человек посередине») на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии (подробнее, обсуждение).
🔹злоумышленнику удалось получить несколько TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.
🔹MiTM-атака для расшифровки XMPP-трафика клиента jabber.ru/xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223)
🔹атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM т.к. злоумышленнику не удалось перевыпустить TLS-сертификат.
Рекомендации для обнаружения атаки
🔹мониторинг выдачи TLS-сертификатов - настройка уведомлений о новых сертификатах, выданных для доменных имен.
🔹ограничение методов проверки, выбор учетной записи, с использованием которой можно получать новые сертификаты с помощью расширений записей авторизации центра сертификации.
🔹отслеживание изменений TLS-сертификатов с помощью внешнего сервиса.
🔹мониторинг MAC-адреса шлюза на предмет изменений.
🔹"Channel binding" («Привязка канала») - функция XMPP, которая позволяет обнаружить MiTM, даже если предоставляется действительный сертификат, при этом клиент и сервер обязательно должны поддерживать механизмы аутентификации SCRAM PLUS. На момент атаки на jabber.ru он не был активен.
Почему комментарий в заголовке относительно НУЦ некорректный.
В части НУЦ подозрения касались недобросовестности самого CA, а причиной данной атаки является дефект в системе Domain Validation (для выдачи DV-сертификатов используется самый базовый уровень проверки).
Какой можно сделать вывод? Кажется, что система публичных центров сертификации не вызывает доверия вне зависимости от деталей таких атак.
🚀 Об ЭП и УЦ
Обнаружен перехват TLS-соединений с шифрованием протокола обмена мгновенными сообщениями XMPP (Jabber) (атака Man-in-the-Middle, «Человек посередине») на серверах сервиса jabber.ru (он же xmpp.ru) на хостинг-провайдерах Hetzner и Linode в Германии (подробнее, обсуждение).
🔹злоумышленнику удалось получить несколько TLS-сертификатов через Let's Encrypt для доменов jabber.ru и xmpp.ru с 18 апреля 2023 года.
🔹MiTM-атака для расшифровки XMPP-трафика клиента jabber.ru/xmpp.ru подтверждена как минимум с 21 июля 2023 г. по 19 октября 2023 г., возможно (не подтверждено) с 18 апреля 2023 г., затронуто 100% подключений XMPP STARTTLS к порту 5222 (не 5223)
🔹атака была обнаружена в связи с истечением срока действия одного из сертификатов MiTM т.к. злоумышленнику не удалось перевыпустить TLS-сертификат.
Рекомендации для обнаружения атаки
🔹мониторинг выдачи TLS-сертификатов - настройка уведомлений о новых сертификатах, выданных для доменных имен.
🔹ограничение методов проверки, выбор учетной записи, с использованием которой можно получать новые сертификаты с помощью расширений записей авторизации центра сертификации.
🔹отслеживание изменений TLS-сертификатов с помощью внешнего сервиса.
🔹мониторинг MAC-адреса шлюза на предмет изменений.
🔹"Channel binding" («Привязка канала») - функция XMPP, которая позволяет обнаружить MiTM, даже если предоставляется действительный сертификат, при этом клиент и сервер обязательно должны поддерживать механизмы аутентификации SCRAM PLUS. На момент атаки на jabber.ru он не был активен.
Почему комментарий в заголовке относительно НУЦ некорректный.
В части НУЦ подозрения касались недобросовестности самого CA, а причиной данной атаки является дефект в системе Domain Validation (для выдачи DV-сертификатов используется самый базовый уровень проверки).
Какой можно сделать вывод? Кажется, что система публичных центров сертификации не вызывает доверия вне зависимости от деталей таких атак.
Please open Telegram to view this post
VIEW IN TELEGRAM
Проект нового порядка УЦ Банка России
Банк России разработал проект указания «О порядке создания и выдачи удостоверяющим центром Центрального банка Российской Федерации квалифицированных сертификатов ключей проверки электронных подписей».
В связи cо вступлением в силу 457-ФЗ и расширением состава субъектов, на которые распространяется действие нормативного акта, необходимо внесение изменений в преамбулу Указания Банка России от 10.03.2021№ 5750-У. Кроме того, уточнен порядок создания и выдачи квалифицированных сертификатов, в случаях если заявителем является иностранная организация, лицом, выступающим от имени заявителя, является иностранный гражданин.
Проект указания отменяет Указание № 5750-У.
Банк России разработал проект указания «О порядке создания и выдачи удостоверяющим центром Центрального банка Российской Федерации квалифицированных сертификатов ключей проверки электронных подписей».
В связи cо вступлением в силу 457-ФЗ и расширением состава субъектов, на которые распространяется действие нормативного акта, необходимо внесение изменений в преамбулу Указания Банка России от 10.03.2021№ 5750-У. Кроме того, уточнен порядок создания и выдачи квалифицированных сертификатов, в случаях если заявителем является иностранная организация, лицом, выступающим от имени заявителя, является иностранный гражданин.
Проект указания отменяет Указание № 5750-У.
Проект Банка России о порядке представления МЧД организациями финансового рынка
Банк России разработал проект указания «О порядке представления доверенности в электронной форме, подтверждающей полномочия физического лица, индивидуального предпринимателя или иного юридического лица действовать от имени участников финансового рынка, указанных в части 2 статьи 17.2 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»
Проект указания разработан в целях реализации норм, установленных 63-ФЗ, направленных на установление порядка представления доверенности в электронной форме, подтверждающей полномочия физического лица, ИП или иного ЮЛ действовать от имени кредитных и иных организаций, поднадзорных Банку России.
Проектом предусматриваются положения о возможности представления доверенности из информационной системы ФНС России (ЦПРР). Так при взаимодействии участника финансового рынка с Банком России представление доверенности осуществляется способом, не предусматривающим ее включение в пакет электронных документов, из информационной системы Банка России или информационной системы ФНС России.
После подписания признается утратившим силу Указание № 6206-У.
Банк России разработал проект указания «О порядке представления доверенности в электронной форме, подтверждающей полномочия физического лица, индивидуального предпринимателя или иного юридического лица действовать от имени участников финансового рынка, указанных в части 2 статьи 17.2 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»
Проект указания разработан в целях реализации норм, установленных 63-ФЗ, направленных на установление порядка представления доверенности в электронной форме, подтверждающей полномочия физического лица, ИП или иного ЮЛ действовать от имени кредитных и иных организаций, поднадзорных Банку России.
Проектом предусматриваются положения о возможности представления доверенности из информационной системы ФНС России (ЦПРР). Так при взаимодействии участника финансового рынка с Банком России представление доверенности осуществляется способом, не предусматривающим ее включение в пакет электронных документов, из информационной системы Банка России или информационной системы ФНС России.
После подписания признается утратившим силу Указание № 6206-У.
На мое имя выпущена электронная подпись - пост пикабушника
🔹Пришло уведомление на Госуслугах о том что на мое имя выпущена электронная подпись
🔹Затем пришло уведомление о том что мне отправлены документы на подпись от Билайн. Также был прикреплен файл с договором об оказании услуг связи. В договоре были указаны все мои паспортные данные, изменен был только контактный телефон и email.
🔹Затем этот договор был подписан
🔹Дозвонился до техподдержки Госуслуг, там сказали что идите в Госключ , так как все это было сделано через них. Написал в техподдержку гос ключа, пока молчат. Если возможно, разъясните насколько все плохо может закончится. Спасибо.
Пост с таким содержанием вчера был размещен. Обращает внимание дата и время операции - 31 октября 1.49-1.50 ночи. Может сразу возникнуть вопрос, но ведь Госуслуги с 28 октября ввели обязательное подтверждение входа вторым фактором. Да, ввели, но оставили пользователям одну возможность осуществить вход по логину-паролю. Кажется этой возможностью злоумышленники и воспользовались.
🔹Пришло уведомление на Госуслугах о том что на мое имя выпущена электронная подпись
🔹Затем пришло уведомление о том что мне отправлены документы на подпись от Билайн. Также был прикреплен файл с договором об оказании услуг связи. В договоре были указаны все мои паспортные данные, изменен был только контактный телефон и email.
🔹Затем этот договор был подписан
🔹Дозвонился до техподдержки Госуслуг, там сказали что идите в Госключ , так как все это было сделано через них. Написал в техподдержку гос ключа, пока молчат. Если возможно, разъясните насколько все плохо может закончится. Спасибо.
Пост с таким содержанием вчера был размещен. Обращает внимание дата и время операции - 31 октября 1.49-1.50 ночи. Может сразу возникнуть вопрос, но ведь Госуслуги с 28 октября ввели обязательное подтверждение входа вторым фактором. Да, ввели, но оставили пользователям одну возможность осуществить вход по логину-паролю. Кажется этой возможностью злоумышленники и воспользовались.
Пикабу
На мое имя выпущена электронная подпись
Пост пикабушника siskapopka
Mix by audio-joiner.com
Запись вчерашнего эфира с радио Максимум - пример того, как не нужно рассказывать про квалифицированную электронную подпись. А как нужно - здесь.
Ужасная терминология, "флешки, флешки, флешки", да токены, не флешки.
"чтобы спереть подпись - нужно спереть флешку, компьютер и человека",
" .. самозанятые это сегодня граждане, а не физические лица... "
"открытая часть ключа не может быть украдена, так как она распаковывается только при встрече с закрытой частью"
"криптографические машинки"
Ужасная терминология, "флешки, флешки, флешки", да токены, не флешки.
"чтобы спереть подпись - нужно спереть флешку, компьютер и человека",
" .. самозанятые это сегодня граждане, а не физические лица... "
"открытая часть ключа не может быть украдена, так как она распаковывается только при встрече с закрытой частью"
"криптографические машинки"