18 апреля, воскресенье 05:57
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Ключи ЭЦП

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Ключи ЭЦП

    Оформляет ли кто-то договором выдачу новых боевых ключей шифрования и ЭЦП клиенту? Или у всех клиенты сами формируют запросы на сертификаты и ключи?
    34
    Клиент вормирует ключи сам
    85.29%
    29
    Банк формирует и выдает готовые ключи клиенту
    14.71%
    5
    Удачи!

  • #2
    У нас в договоре написано, что банк изготавливает ключи для клиента. Получает по акту. Законом об ЭЦП это не возбраняется, хотя и не рекомендуется.

    Комментарий


    • #3
      - каждая из Сторон самостоятельно вырабатывает свои закрытые и открытые ключи подписи.
      Т.е. клиент на своих программно-аппаратных комплексах.

      Комментарий


      • #4
        Сообщение от Berckut Посмотреть сообщение
        У нас в договоре написано, что банк изготавливает ключи для клиента. Получает по акту. Законом об ЭЦП это не возбраняется, хотя и не рекомендуется.
        А разборы были через суд?
        Удачи!

        Комментарий


        • #5
          Сообщение от BARD Посмотреть сообщение
          А разборы были через суд?
          А должны?

          Комментарий


          • #6
            Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.

            Комментарий


            • #7
              Сообщение от S_nick Посмотреть сообщение
              Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.
              Знаю. Но, к сожалению, не всегда это возможно

              Комментарий


              • #8
                В договоре русским по белому написать, что генерирует клиент.
                И никакого акта приема-передачи. Только регистрация полученного ключа (открытого) от клиента. Так хотя-бы юридически все чисто будет.
                А вообще нужно стремиться к полному запрещению генерации ключей клиентам сотрудниками и программно-аппаратными комплексами банка.

                Комментарий


                • #9
                  Сообщение от Berckut Посмотреть сообщение
                  А должны?
                  Не обязательно - но могут...
                  Могу описать ситуации с которыми сталкивался.
                  Удачи!

                  Комментарий


                  • #10
                    Сообщение от S_nick Посмотреть сообщение
                    Всё-таки "более правильно" чтобы клиенты сами себе ключи генерили. В будующем проблем меньше будет. Если у клиента украдут (скопируют) ключи, то к банку претензий не будет.
                    Ну не так чтобы совсем не будет, но их вероятность будет сильно ниже...
                    Удачи!

                    Комментарий


                    • #11
                      Сообщение от DmitriyM Посмотреть сообщение
                      В договоре русским по белому написать, что генерирует клиент.
                      И никакого акта приема-передачи. Только регистрация полученного ключа (открытого) от клиента. Так хотя-бы юридически все чисто будет.
                      А вообще нужно стремиться к полному запрещению генерации ключей клиентам сотрудниками и программно-аппаратными комплексами банка.
                      DmitriyM,
                      Вот это правильно

                      Только клиент присылает на регистрацию в банкне не открытый ключ, а запрос на сертификат, если конечно банк имеет свой УЦ.
                      Если УЦ внешний - тогда пожалуй так и есть.
                      Удачи!

                      Комментарий


                      • #12
                        Сообщение от BARD Посмотреть сообщение
                        Ну не так чтобы совсем не будет, но их вероятность будет сильно ниже...
                        У нас года полтора назад был случай, когда прошла платёжка подписанная клиентом от которой он потом отказался. После разбора выяснилось, что ключевой носитель был в свободном доступе, на обоих компах - рассадник вирусов. Но самое главное, что клиент сам генерил себе ключ и в банке его быть просто не могло.

                        Комментарий


                        • #13
                          Сообщение от BARD Посмотреть сообщение
                          Не обязательно - но могут...
                          Могу описать ситуации с которыми сталкивался.
                          А если нет технической возможности? Прикрывать лавочку?

                          Комментарий


                          • #14
                            Сообщение от Berckut Посмотреть сообщение
                            А если нет технической возможности? Прикрывать лавочку?
                            Оценивать риски и в случае необходимости менять систему
                            Удачи!

                            Комментарий


                            • #15
                              Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?

                              Комментарий


                              • #16
                                Сообщение от Sedow Посмотреть сообщение
                                Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?
                                Является. Было бы АСП, проблем бы не было. А ЭПЦ выдаётся на физическое лицо (см. определение владельца ключа в законе об ЭЦП), а не на организацию.
                                Я над этим вопросом у себя тоже голову ломал. Лучше просто закройте глаза на это. Только в договоре напишите, что клиент сам принимает решение о блокировке ключа.
                                Если пойдёте дальше, то просто придёте к следующей ситуации: вы предложите выдавать ключи не директору, а реальному пользователю (бухгалтеру) по доверенности. А ваш главбух скажет, что доверенность ему не указ и надо чтобы владелец ключа был в карточке подписей. Но бухгалтера в карточку подписей клиент добавлять не станет. Долго будете доказывать друг другу свою точку зрения, но спор так ничем и не кончится.

                                Комментарий


                                • #17
                                  Сообщение от Sedow Посмотреть сообщение
                                  Есть вопрос: Ключ ЭЦП в организации оформлен на генерального директора. непосредственную работу с банком ведет бухгалтер. ЭЦП ген.директор по приказу передал бухгалтеру. Является ли это компрометацией ЭЦП?
                                  Является, конечно. Мне попадалась ситуация, когда в организации клиент-банк работает с 2-мя ключами (ген. директора и главбуха), но на практике оба ключа, разумеется, у главбуха. Такова жизнь.

                                  Комментарий


                                  • #18
                                    Сообщение от Berckut Посмотреть сообщение
                                    Знаю. Но, к сожалению, не всегда это возможно
                                    Согласен, как не упрощай процедуру генерации, а все равно будут клиенты, которые не смогут самостоятельно сгенерировать ключи. И как на зло это будут ВИП-клиенты, знакомые руководства и т.п. По опыту работы в RS помню, что 90% автоматизаторов просили обязательно оставить возможность генерации ключей банком
                                    С уважением,
                                    Каленбет Денис

                                    Комментарий


                                    • #19
                                      Сообщение от BARD Посмотреть сообщение
                                      DmitriyM,
                                      Вот это правильно

                                      Только клиент присылает на регистрацию в банкне не открытый ключ, а запрос на сертификат, если конечно банк имеет свой УЦ.
                                      Если УЦ внешний - тогда пожалуй так и есть.
                                      Запрос на сертификат - это и есть открытый ключ клиента, только никем еще не подписанный. Сертификат - это открытый ключ клиента, подписанный УЦ (неважно чьим).

                                      Введение абсолютно излишних понятий, таких, как "запрос на сертификат" и "сертификат" - внесло путаницу в умы людей, слабо знакомых с основами криптографии.

                                      Комментарий

                                      Обработка...
                                      X