Петиция за дружбу удостоверяющих центров. Часть 2
Привет, хабровчане!
Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры — Контур и Тензор.
Прошлая проблема, которая возникла в мае, в общем-то решилась — когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно.
Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе.
В частности, если у тебя электронная подпись на носителе — ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо, у крупных удостоверяющих УЦ есть автоматизированные сервисы для этой задачи. А вот если действующая подпись облачная — начинаются проблемы.
Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.
У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.
Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачной подписью — настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.
Техподдержка Контура же отказалась сообщить эти url потому что:
«Это закрытая информация»
«Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ.»
«Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии.» (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)
(цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)
Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.
На всякий случай написал в поддержку КриптоПРО, вот что они ответили:
У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)
Тензор тоже «хорош». Предложил им альтернативный способ идентификации на существующих сервисах — я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время «первой волны» пандемии) . Мне было отказано:
Делегировать получение ЭЦП я тоже не могу, согласно новым поправкам ЭЦП можно получить только лично.
На мой взгляд, оба удостоверяющих центра своими действиями нарушили 63-ФЗ и собственные же договора и регламенты.
В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:
6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера;
6.5.2. использовать все функциональные возможности ПО
Кроме того, согласно п 3.1.4 ГОСТ Р 34.10–2012, которому якобы соответствует КриптоПРО DSS, «параметр схемы ЭЦП (domain parameter): Элемент данных, общий для всех субъектов схемы цифровой подписи, известный или доступный всем этим субъектам». Т.е. по ГОСТУ Контур не имеет права делать эту информацию закрытой.
А у Тензора в регламенте есть такая обязанность:
3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.
В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН «осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата». Конечно, есть принцип «Закон не заботиться о мелочах», но по букве закона и логике вещей подписание заявки на получение ЭП и отправку её через СЭД Тензор обязан засчитать за идентификацию.
Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?
Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.
Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ :) И юристов, которые специализируются на вопросах электронной подписи.