19 июня, среда 18:36
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Юридическая сила вложений в ЭД, подписанный электронной подписью

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Юридическая сила вложений в ЭД, подписанный электронной подписью

    Коллеги, такой вопрос.
    Клиенты присылают по ДБО (iBank2) письма, которые заверены ЭП (неквалифицированной)
    Юридическую силу они имеют в силу 63-ФЗ.
    А вот как быть с вложениями (прикрепленными к письму договорами и соглашениями)?
    Правильно ли я понимаю, что согласно пункта 4 статьи 6 63-ФЗ ОБ ЭЛЕКТРОННОЙ ПОДПИСИ

    Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов....

    Так как понятие "пакет электронных документов" не раскрыто в ФЗ, поэтому можно считать, что письмо полученное от клиента можно назвать "Пакетом электронных документов ", а следовательно "каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью".

    И все договора и соглашения, которые клиент пришлет как вложения в подписанное сообщения, будут считаться подписанными и с печатью (согласно пункта 3-4 статьи 6 63-ФЗ )

  • #2
    Сообщение от dnebyshe Посмотреть сообщение
    Одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов....
    Это вы должны просто прописать в договор по ДБО и всё будет как вы считаете.

    Комментарий


    • #3
      Сообщение от Zuz Посмотреть сообщение
      Это вы должны просто прописать в договор по ДБО и всё будет как вы считаете.
      Зачем прописывать в договоре то, что Федеральным законом отрегулировано?
      Меня смутила неопределенность в слове "Пакет". Под него можно притянуть и архив с документами и некий логический контейнер с документами и письмо с вложениями.
      Вы у себя в банке принимаете такие письма, как заверенные, если они как вложение?

      Комментарий


      • #4
        Сообщение от dnebyshe Посмотреть сообщение

        Зачем прописывать в договоре то, что Федеральным законом отрегулировано?
        Меня смутила неопределенность в слове "Пакет". Под него можно притянуть и архив с документами и некий логический контейнер с документами и письмо с вложениями.
        Вы у себя в банке принимаете такие письма, как заверенные, если они как вложение?
        чтобы отбросить сомнения?

        Комментарий


        • #5
          Сообщение от donZhukan Посмотреть сообщение

          чтобы отбросить сомнения?
          И было чем апеллировать в суде в крайнем случае

          Комментарий


          • #6
            Сообщение от dnebyshe Посмотреть сообщение
            Зачем прописывать в договоре то, что Федеральным законом отрегулировано?....
            По 63-ФЗ, неквалифицированная и простая ЭП обязательно требуют соответствующего договора "принятия ЭП" и регламента разбора конфликтных ситуаций.
            Если не хотите проблем при разборках с клиентами в суде, лучше всё детально прописать в договоре на ДБО, при каких условиях принимаются документы и т.д....

            Комментарий


            • #7
              Сообщение от dnebyshe Посмотреть сообщение
              как быть с вложениями (прикрепленными к письму
              Вложения имеют ценность только в рамках системы ЭДО (ДБО), они превращаются в тухлую тыкву, как только вы их сохраняете еще куда то, распечатываете и пр.

              Комментарий


              • #8
                Сообщение от Павлоний Посмотреть сообщение

                Вложения имеют ценность только в рамках системы ЭДО (ДБО), они превращаются в тухлую тыкву, как только вы их сохраняете еще куда то, распечатываете и пр.
                Где логика? Получается, что и платежки имеют ценность только в ДБО, и как только они выгружаются в АБС то превращаются в тухлую рыбу.


                У нас с клиентом договор на ДБО, на признание НЭП, на разбор конфликтных ситуаций. Созданы все условия для применения НЭП.
                При отрицании клиентом авторства документа, не важно платежки или письма, мы без труда оспорим это либо в конфликтной комиссии либо в суде.
                Вопрос ведь не про это.

                Комментарий


                • #9
                  Сообщение от dnebyshe Посмотреть сообщение
                  в АБС то превращаются в тухлую рыбу
                  Для клиента Ваша АБС - это Ваша тухлая рыба и ему она не нужна. Весь документооборот с клиентом организован либо на бумаге, либо в ЭДО (ДБО) ...

                  Комментарий


                  • #10
                    Сообщение от dnebyshe Посмотреть сообщение
                    Где логика? Получается, что и платежки имеют ценность только в ДБО, и как только они выгружаются в АБС то превращаются в тухлую рыбу....
                    Примерно по этой причине ЦБ и выпустил свой 552-П, в котором говорит о необходимости сравнения входящих и исходящих (в ЦБ) платежных документов.
                    Т.е., предложение обсудить обеспечение целостности клиентских документов после их выгрузки из ДБО достаточно здравое, хотя, возможно, не для всех актуально.


                    Комментарий


                    • #11
                      В ситуации когда письмо подписано ЭП, а вложения нет, равно как и наоборот - не выполняются принципы Целостности и неизменяемости передаваемой информации. Если извлечь вложения, то как определить кем он подписан или кем прислан подписанное вложение.

                      Комментарий


                      • #12
                        Сообщение от svarog.coop Посмотреть сообщение
                        В ситуации когда письмо подписано ЭП, а вложения нет, равно как и наоборот - не выполняются принципы Целостности и неизменяемости передаваемой информации. Если извлечь вложения, то как определить кем он подписан или кем прислан подписанное вложение.
                        равно как если извлечь платежку, то как определить кем она подписана.
                        для этого в договоре есть понятие конфликтной комиссии, которая и на стороне клиента и на стороне банка, изучая следа работы, определяет, был ли создан этот конкретный документ этим конкретным человеком, которому выдан ключ.

                        Комментарий


                        • #13
                          Сообщение от svarog.coop Посмотреть сообщение
                          В ситуации когда письмо подписано ЭП, а вложения нет, равно как и наоборот - не выполняются принципы Целостности и неизменяемости передаваемой информации. Если извлечь вложения, то как определить кем он подписан или кем прислан подписанное вложение.
                          Например, если прислали файл с отсоединенной ЭП, а через какое-то время всё, кроме присланного файла "рассосалось..." Как в такой ситуации проверить целостность файла и "определить кем он подписан или кем прислан"?
                          Т.е. подобных сколлизий можно нафантазировать для любого случая, а чтоб их избежать и существуют договора, регламенты и прочая внутренняя нормативка.

                          Комментарий


                          • #14
                            Разбор конфликтной ситуации заключается в доказательстве авторства подписи конкретного электронного документа конкретным исполнителем, что в случае наличия ЭП только либо на письме либо на вложении делает такой разбор затруднительным, а выводы довольно однозначными.

                            Комментарий


                            • #15
                              Сообщение от dnebyshe Посмотреть сообщение
                              Зачем прописывать в договоре то, что Федеральным законом отрегулировано?
                              Ваш вопрос про пакет. Определите в договоре, что такое пакет и всё.

                              Комментарий


                              • #16
                                А в случае если подписание идет не усиленной, а просто ЭП, то в таком случае как обосновать выполнение ст.9 63-ФЗ?
                                Зашел клиент в систему под логином и паролем, загрузил документ.
                                И как потом доказать что:
                                Ст.9
                                1. Электронный документ считается подписанным простой электронной подписью при выполнении в том числе одного из следующих условий:
                                1) простая электронная подпись содержится в самом электронном документе;
                                2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

                                У нас напрашивается второй пункт. С первой частью все понятно - Есть правила, соглашение, все участники приняли его.
                                А как быт со второй - "в созданном и (или) отправленном электронном документе содержится информация..." В приложенном скане или документ нет ничего. Но например в самой системе мы же видим кто, когда, во сколько загрузил этот документ.
                                Техническая информация системы может быть обоснованием определения лица?

                                Комментарий


                                • #17
                                  Сообщение от Sat_Kelman Посмотреть сообщение
                                  Техническая информация системы может быть обоснованием определения лица?
                                  Думаю, что да, в случае, если это тоже прописано в самом тексте договора и в регламенте разбора конфликтных ситуаций.

                                  Комментарий


                                  • #18
                                    А может кто-нибудь подсказать курсы по простой электронной подписи?
                                    А то у нас сейчас у всех разное понимание сути этих процессов.
                                    Гугл выдает много курсов, но они все по квалифицированным ЭП.

                                    Комментарий


                                    • #19
                                      Сообщение от Данко Посмотреть сообщение
                                      А то у нас сейчас у всех разное понимание сути этих процессов.
                                      Вот этой статьи достаточно для понимания: https://habr.com/ru/post/313982/

                                      Комментарий


                                      • #20
                                        Недостаточно. На примере. Есть у нас система учета кредитных заявок. На данный момент документы по ней оформляются и передаются в бумажном виде. Операционка предлагает уходить от бумаги по максимуму и оставлять все в электронном виде.
                                        И тут с юристами у нас затык. Мы сошлись на том, что логин и пароль в информационную систему это ПЭП. А вот по вопросу подписи документов они уперлись.
                                        Ссылаются на ч2 п1. ст 9 - в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
                                        У нас пользователь загружает скан паспорта. Мы им объясняем, что в системе админ может точно сказать кто и когда загрузил этот скан. Но они уперлись - не соответсвует формулировка закона, т.к. в самом документе (скане) нет указания на лицо подписавшее.
                                        Бред конечно, но они вот читают буквально текст и не хотят нашу точку зрения принимать.

                                        Комментарий


                                        • #21
                                          Данко, верно ваши юристы считают. И в указанной статье есть все ответы на ваши вопросы.
                                          У вас в системе должен быть электронный документ. К примеру, таблица в базе данных, в которой есть реквизит паспорт в виде BLOBа с бинарными данными скана и имя пользователя (логин), которое является открытым ключом в ПЭП + дата и время подписи и должен быть порядок проверки.
                                          Если документ «размазан» по разным таблицам в БД, так тоже может быть, но нужно в порядке проверки ЭП прописать как именно получить сам документ (собрать его по разным таблицам) и как проверить электронную подпись (в вашей терминологии "админ может точно сказать кто и когда загрузил этот скан" ) и указать, что пароль строго конфиденциален и является секретным ключом ПЭП.
                                          КМК, это уже можно считать выполнением закона.

                                          Комментарий


                                          • #22
                                            По 63-ФЗ, при использовании ПЭП обязателен некое соглашение или нормативный документ, регламентирующий условия принятия документов, "подписанных" ПЭП, и регламент разбора конфликтных ситуаций. Т.е., на самом деле, не 63-ФЗ должен регламентировать условия работы с ПЭП, а ваша внутренняя нормативка, ес-но, не противоречащая ФЗ.
                                            А это нужно донести до юристов.
                                            Не уверен, что логин+пароль это самый оптимальный вариант, подходящий для ПЭП, т.к. в 63-ФЗ есть требования конфиденциальности ПЭП. Но, с другой стороны, почему бы и нет, если так проще объясняться с юристами.
                                            Введение понятий закрытого/открытого ключа при работе с ПЭП, может просто навредить, т.к. добавляет лишние сущности. Но это, ес-но, ИМХО.

                                            Сообщение от Данко Посмотреть сообщение
                                            .....Ссылаются на ч2 п1. ст 9 - в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
                                            Строго говоря, и при использовании усиленной ЭП, сам документ ни на кого не указывает. А для подтверждения авторства, нужно "взять" некую дополнительную сущность (а лучше две), это саму ЭП от документа и сертификат, и только с их помощью получится установить авторство.
                                            Кроме того, неквалифицированная ЭП не требует никакого сертификата (по 63-ФЗ), и при использовании неквалифицированной подписи и отсутствии сертификата, процедура установления авторства превращается в некий "челендж", и требует соответствующего регламента проверки ЭП, как в техническом, так и в документарном плане. Т.е. в этом аспекте, использование неквалифицированной ЭП и простой ЭП практически равнозначны. Во всяком случае, на уровне 63-ФЗ.
                                            Последний раз редактировалось saches; 22.05.2019, 11:12.

                                            Комментарий


                                            • #23
                                              То есть мы подписываем не скан, а по сути таблицу БД? Чую не объяснить это народу.
                                              И какой может быть порядок проверки? Зайти в админку и сделать отчет или выгрузку?

                                              Комментарий


                                              • #24
                                                Сообщение от Данко Посмотреть сообщение
                                                То есть мы подписываем не скан, а по сути таблицу БД?
                                                В целом, вся "нормативная" логика должна быть максимально унифицирована и не зависеть от технической реализации ЭП.
                                                Пользователь разве является автором таблицы? Допустим, будет использоваться квалифицированная ЭП. Пользователи, что будут подписывать для подтверждения авторства?
                                                В отдельные поля, в базу, может грузится документ (или ссылка на блоб), сформированная ЭП(аналогично) и прочая шняга. Причем здесь таблица?

                                                Сообщение от Данко Посмотреть сообщение
                                                ....И какой может быть порядок проверки? Зайти в админку и сделать отчет или выгрузку?
                                                Да хоть журналы аудита, действий пользователей при загрузке сканов и т.п.

                                                Т.е. выстройте сначала технический процесс, как будет удобно работать и проверять кто и что загрузил.
                                                Можете, например, для упрощения понимания представить, что у пользователей 2-ух факторная аутентификация и при каждой загрузке пакета документов они должны еще раз аутентифицироваться (допустим приложить токен/ввести пинкод и т.д.). А как картинка в голове сложиться, просто исключите этот этап. Оставьте только первичную аутентификацию по паролю при входе в систему/домен или что-там используется.
                                                На самом деле, можно просто расписать в нормативке, что авторство определяется на основе протоколов доступа. Или юристы очень хотят именно ЭП?

                                                Комментарий


                                                • #25
                                                  Да, юристы хотят чтобы именно ПЭП фигурировало. Чтобы были нормативные акты на которые можно ссылаться. Придет проверка, а мы им вот 63-ФЗ Об электронной подписи, вот в соответствии с таким пунктом мы применяем ПЭП, вот такие условия у нас выполняются, поэтому у нас всё тип-топ.

                                                  Комментарий


                                                  • #26
                                                    То есть у нас должна быть примерно такая терминология: ?

                                                    Электронная запись - совокупность структурированных данных, обрабатываемых информационной системой.
                                                    Простой электронный документ - электронная запись, заверенная простой ЭП, в установленном формате и пригодная для отображения в информационой системе для востприятия пользователями.
                                                    Простая ЭП - реквизит простого электронного документа, подтверждающий факт формирования электронной подписи конкретным пользователем.
                                                    Журнал информационной системы - журнал работы пользователей в информационной системе, протоколирующий действия по авторизации пользователей в ИС, создание простых электронных документов, другие действия пользователя в ИС. Журнал исключает возможность изменения и удаления записей протоколируемых действий.
                                                    Проверка простой ЭП - средства информационной системы, позволяющие используя журналы информационной системы отобразить факт формирования электронной подписи в виде пригодном для восприятия человека.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от saches Посмотреть сообщение
                                                      Введение понятий закрытого/открытого ключа при работе с ПЭП, может просто навредить, т.к. добавляет лишние сущности
                                                      А как вы проверять будете подпись без этих понятий?

                                                      Сообщение от Данко Посмотреть сообщение
                                                      То есть мы подписываем не скан, а по сути таблицу БД? Чую не объяснить это народу.
                                                      Вы подписываете электронный документ, это же очевидно (он может быть в виде записи в таблице в базе данных или даже в виде совокупности разлинчых данных из разных таблиц, как напишете так и будет). Как вы скан то подпишете? )))

                                                      Сообщение от Данко Посмотреть сообщение
                                                      И какой может быть порядок проверки? Зайти в админку и сделать отчет или выгрузку?
                                                      В первом приблежении да, в при хорошей проработке у вас должно быть чётко описано, где и что в базе лежит, как обеспечена неизмененость этих сведений, чтобы им можно было доверять и т.п.

                                                      Сообщение от saches Посмотреть сообщение
                                                      На самом деле, можно просто расписать в нормативке, что авторство определяется на основе протоколов доступа.
                                                      Это может непринять тот же суд. А электронный документ со всеми формальностями по 63-ФЗ пусть с простой ЭП, вполне.

                                                      Сообщение от Данко Посмотреть сообщение
                                                      То есть у нас должна быть примерно такая терминология: ?
                                                      Погуглите, есть же примеры:
                                                      http://www.shpls.org/content/files/file/ecp.pdf



                                                      Комментарий


                                                      • #28
                                                        Сообщение от Zuz Посмотреть сообщение
                                                        В первом приблежении да, в при хорошей проработке у вас должно быть чётко описано, где и что в базе лежит, как обеспечена неизмененость этих сведений, чтобы им можно было доверять и т.п.
                                                        То есть на каждую систему нужно писать свой регламент? Сейчас у нас пока одна планируется, но есть еще как минимум 2 системы, где возможно тоже перейдут на ПЭП. И тогда подробное описание что и где лежит у них будет разное.
                                                        Вот есть у нас сейчас регламент криптографических ключей, и он один и хорошо подходит под все ключи которые у нас есть. И тут бы хотелось один документ по ПЭП чтобы не плодить кучу однотипных.

                                                        За пример спасибо!

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Zuz Посмотреть сообщение
                                                          А как вы проверять будете подпись без этих понятий?
                                                          А как проверяется собственноручная или, например, биометрическая подпись?

                                                          Комментарий

                                                          Пользователи, просматривающие эту тему

                                                          Свернуть

                                                          Присутствует 1. Участников: 0, гостей: 1.

                                                          Обработка...
                                                          X