Уже несколько месяцев услугу Mobile ID может подключить любой украинец. Новый вариант дает возможность авторизоваться в электронных или удаленно и безопасно подписывать документы.
Но многие — особенно бизнес — до сих пор задают вопросы, что это и как работает. Какие у Mobile ID физические и юридические тонкости? Liga.Tech собрала ответы на самые распространенные вопросы.
СОДЕРЖАНИЕ
Часть 1: общие вопросы
1. О Mobile ID: что это, чем может быть полезна услуга, безопасно ли ее использование
2. Доступные сервисы, которые уже поддерживают Mobile ID. Как происходит взаимодействие при использовании услуги
3. Альтернативы Mobile ID
4. Сколько времени занимает оформление услуги, какие документы для этого необходимы
5. Что делать, если я потерял телефон с Mobile ID
Отвечает Константин Вечер, директор департамента по работе с государственными предприятиями Киевстар
Часть 2: вопросы от бизнеса
1. Несколько ключей электронной подписи на одну SIM-карту: возможность оформить, каковы нужды бизнеса в этом случае, проблема со связностью реестров
2. Зачем нужно так много документов для регистрации подписи как от юрлица
3. Mobile ID и суд
4. Нюансы с сертификатом для Mobile ID: обновление действующего, дополнение сертификата как для юрлица, действия при увольнении из компании
5. Что делать с Mobile ID сотрудников: оформление на корпоративный номер, действия при увольнении сотрудников, управление их сертификатами, ответственность за использование электронной подписи после увольнения
Отвечает Юрий Козлов, директор Департамента систем электронной цифровой подписи и электронной идентификации ГП Национальные информационные системы
1. Что такое Mobile ID?
Mobile ID — вариант реализации технологии квалифицированной электронной подписи (КЭП). Так она называется сейчас, в терминах Закона Украины “Об электронных доверительных услугах”, вступившего в силу в ноябре 2018 года. Ранее мы говорили “ЭЦП” или “электронная цифровая подпись”. Mobile ID предусматривает использование специализированных SIM-карт для хранения приватных ключей и создания электронной подписи с помощью криптомодуля и защищенного программного аплета.
2. Чем мне может быть полезна Mobile ID?
С помощью Mobile ID прямо с мобильного телефона можно:
— подтверждать вашу личность во время идентификации на электронных ресурсах в интернете — включая порталы предоставления государственных (административных) электронных услуг;
— подписывать документы в электронном виде;
— удаленно подтверждать операции, которые обычно требуют личного присутствия с оригиналами документов.
3. Как это сделано технологически и безопасно ли использование технологии?
В Mobile ID используется специальная SIM-карта. Она поддерживает все стандарты связи, но дополнительно содержит модули для хранения ключей электронной подписи и средства создания такой подписи. Получить специальную SIM-карту и подписку на Mobile ID можно в авторизированных центрах обслуживания. Пока что такие центры есть не во всех магазинах мобильных операторов.
Для работы с Mobile ID подходит любой мобильный телефон с любой операционной системой. Благодаря протоколам взаимодействия, основанных на USSD-запросах, сервис доступен и для кнопочных мобильных телефонов, и для смартфонов.
Все SIM-карты проходят государственную экспертизу в сфере криптозащиты информации. Она подтверждает, что SIM-карта — средство квалифицированной электронной подписи и является защищенным носителем приватных ключей. То есть приватные ключи для создания электронной подписи, никакими программными средствами нельзя считать, скопировать и, следовательно, украсть.
Кроме того, перед запуском системы Mobile ID мобильный оператор создает комплексную систему защиты информации, которая проходит аттестацию в соответствии с законодательством. В ходе аттестации оцениваются все аспекты, связанные с защитой информации в системе — и организационные, и технические.
4. Какие электронные сервисы уже сейчас позволяют использовать Mobile ID?
5. Какие существуют варианты реализации электронной подписи, альтернативные Mobile ID?
Технологии реализации КЭП в основном отличаются методом хранения приватных ключей. Например, раньше, до вступления в силу Закона Украины «Об электронных доверительных услугах», самым распространенным был метод хранения ключей в зашифрованных файлах.
Сегодня все больше используют метод хранения приватных ключей в защищенных носителях (электронные ключи, смарт-карты,
токены). Именно такой метод предусмотрен новым законом. Для доступа к ключу во время создания электронной подписи или
авторизации на портале электронных услуг нужен компьютер, сам носитель, иногда и карт-ридер и специальное программное обеспечение.
В случае с Mobile ID, с одной стороны, все проще — для доступа к приватному ключу нужен только пароль (PIN-код), а с другой – безопаснее, так как SIM-карта является защищённым носителем приватных ключей.
6. Как происходит взаимодействие между пользователем и системой?
Электронный портал, доступ к которому вы хотите получить, как пользователь услуги Mobile ID, должен быть подключен к платформе Mobile ID по программному интерфейсу (API). Cама же платформа Mobile ID подключена к провайдеру услуг квалифицированной электронной подписи АЦСК органов юстиции Украины. Провайдер услуг КЭП обеспечивает обслуживание сертификатов открытых ключей их владельца – неотъемлемой части технологии электронной подписи. В них, кроме открытых ключей электронной подписи, содержатся идентификационные данные подписчика – создателя КЭП.
К примеру, вам нужно зайти на электронный портал, где можно авторизоваться с помощью Mobile ID. Вы оставляете на электронном портале запрос на авторизацию в виде номера телефона. В ответ на ваш телефон отправляется запрос подтверждения доступа, который вы должны подписать с помощью приватного ключа. Для доступа к приватному ключу и наложению подписи вы вводите PIN-код на мобильном телефоне.
Подписанный запрос на подтверждение доступа по API с платформы Mobile ID передается в АЦСК органов юстиции Украины для проверки статуса сертификата открытого ключа. Если сертификат валиден, происходит идентификация на портале.
7. Сколько времени занимает оформление Mobile ID?
Оформление услуги включает в себя идентификацию пользователя по документам, замену SIM-карты, генерацию приватного и открытого ключей и выпуск сертификата открытого ключа. В среднем это занимает 15-20 минут.
8. Какие документы необходимы для подключения услуги Mobile ID?
Такие же, как как для получения услуги КЭП у любого провайдера доверительных услуг.
Для физического лица это оригинал паспорта гражданина Украины и оригинал учетной карты плательщика налогов (при наличии) — собственника сертификата.
Для представителя юридического лица или корпоративного абонента дополнительно требуется подготовить документы, позволяющие идентифицировать юридическое лицо, его руководителя и принадлежность пользователя к юридическому лицу.
Для самозанятых лиц (адвоката / нотариуса / частного исполнителя) — дополнительно свидетельство на право заниматься адвокатской / нотариальной деятельностью или деятельностью частного
исполнителя.
9. Что делать, если я потерял телефон с Mobile ID?
Услуга опирается на специальную SIM-карту. Поэтому в случае утери или кражи телефона вы можете стандартно заблокировать номер телефона по заявлению. Доступ к услуге Mobile ID также автоматически отключается. Сертификат остается действующим, пока вы не отзовете его через АЦСК органов юстиции Украины. Но услуга никому не будет доступна.
Чтобы восстановить доступ к услуге Mobile ID, нужно будет получить новую SIM-карту с сохранением номера. Оператор поможет провести генерацию на SIM-карту нового приватного ключа и сформировать новый сертификат.
10. Возможно ли записать на SIM-карту с Mobile ID несколько ключей квалифицированной электронной подписи и получить соответствующее количество сертификатов? Например, один для физического лица, один как для представителя юридического лица?
Практически на сегодня на одну SIM-карту генерируется один ключ и выдается один сертификат. Это либо сертификат физического лица, в котором содержатся персональной данные (фамилия, имя, отчество, код налогоплательщика). Либо сертификат представителя юридического лица, где помимо персональных данных подписчика содержится информация о юридическом лице, которое он представляет (наименование организации и код ЕГРПОУ).
Технологически SIM-карта поддерживает возможность работы с несколькими ключами и сертификатами. Однако такое хранение может повлиять на удобство пользования сервисом: пользователю придется выбирать тот или иной ключ для различных ситуаций.
11. В бизнес-структурах используется механизм, когда один человек возглавляет разные юридические лица. Либо номер подвязан к должности, но не к человеку. Юридически мы можем отзывать сертификат одного юридического лица, оставляя сертификат другого юридического лица. Если сертификат будет один, эта схема не работает.
Мы живем в правовом поле закона об электронных доверительных услугах. Он четко определил, что подписчиком (собственником приватного ключа и сертификата открытого ключа) является физическое лицо. В правовом поле нет такого подписчика, как юридическое лицо.
Для удаленной идентификации представителя юридического лица в информационной системе необходимо подтвердить свою принадлежность к организации. Для этого в сертификат физического лица добавляются идентификаторы, которые подтвердят эту принадлежность. А именно — код ЕГРПОУ и название организации, к которой относится подписчик.
При этом подписчик не перестает быть гражданином Украины, то есть физическим лицом. Сервисы, которые требуют подтверждения идентификации пользователя исключительно как физлица, должны безоговорочно принимать сертификат, в котором есть идентификаторы юридического лица. Если же сервису необходимо еще и подтверждение принадлежности физического лица юридическому, то сервис должен проанализировать сертификат еще и на наличие идентификаторов юридического лица.
Если же подписчик представляет несколько юридических лиц, ему необходимо иметь несколько приватных ключей и сертификатов. Увы, это правило действует не только в нашей стране. Проблема — в недостатке информационного обмена между базовыми реестрами страны, в которых обрабатывается информация о физических и юридических лицах. Если бы был настроен такой информационный обмен, например, через систему электронного взаимодействия “Трембита”, которая сейчас создается в Украине, то можно было бы по коду налогоплательщика из сертификата, выданного физическому лицу, связать это лицо с любым юридическим лицом, зарегистрированным, например, в ЕГРПОУ. В такой ситуации подписчикам вообще не нужен был бы сертификат, выданный на представителя юридического лица. Это проблема, и ее нужно решать.
12. Учитывается ли проблема с несвязностью реестров, например, при работе на сайте Государственной фискальной службы?
На сегодня Электронный кабинет налогоплательщика Государственной фискальной службы предоставляет сервисы как для физических лиц, так и для представителей юридических лиц. При этом для идентификации пользователей Электронного кабинета применимы как сертификаты физических лиц, так и сертификаты, имеющие реквизиты юридического лица.
Если пользователь Электронного кабинета закажет сервис для физического лица, например, получить информацию о годовом доходе, то система проанализирует его сертификат на предмет наличия идентификационного кода налогоплательщика и даст доступ к необходимой информации.
Если же во время пользования кабинетом будет заказана услуга о налоговых операциях юридического лица, то система выдаст необходимую информацию, если в сертификате пользователя будут содержаться реквизиты именно этой организации. В противном случае, пользователь не получит необходимой услуги.
13. Зачем нужно такое количество документов для регистрации подписи как от юрлица?
Квалифицированный провайдер доверительных услуг сейчас — единственный “электронный нотариус”, подтверждающий вашу личность и принадлежность к юридическому лицу в виртуальном мире и он несет за это юридическую ответственность. Более того, сертификату, выданному квалифицированным провайдером, должны доверять все без исключения субъекты электронного документооборота. Так говорит закон. Именно поэтому такой провайдер или его представительство требует от подписчика документы, подтверждающие личность гражданина и его принадлежность юридическому лицу. С развитием системы электронного взаимодействия, когда служащий сможет оперативно получать информацию о такой принадлежности из доверенных электронных источников, количество документов будет снижаться.
14. Допустим, я участвую в судебном деле. Как физическое лицо я подаю документы в суд в электронном виде, подписываю с помощью сертификата, в котором есть реквизиты юридического лица. Не будет ли в таком случае у суда ко мне вопросов?
По закону подписчик является физическим лицом. Юридическое лицо может выступать только как создатель электронной печати.
Подписчик должен отдавать себе отчет о том, какие обязательства он принимает на себя при наложении подписи. Решающую роль играет содержание документа. Следует отметить, что при выдаче сертификата провайдер гарантирует принадлежность подписчика к юридическому лицу только на момент выпуска сертификата. Теоретически возможна ситуация, когда подписчик оставляет юридическое лицо, не аннулирует сертификат и превышает полномочия, продолжая создавать документы как представитель организации.
15. Если у меня заканчивается сертификат, нужно идти и получать новый?
С марта 2019 года АЦСК органов юстиции запущен сервис обновления сертификатов. Если у пользователя есть действующий сертификат и он заканчивается, скажем, через неделю, провайдер уведомит об этом пользователя путем отправки соответствующего SMS-сообщения. Получив его, пользователь получит возможность провести генерацию нового ключа и сформировать новый сертификат без посещения офиса провайдера.
16. Если я получаю сертификат физического лица, а через неделю понадобится сертификат для представителя юридического лица, что необходимо сделать?
Если мы говорим об услуге Mobile ID, то на данном этапе будет необходимо посетить офис оператора мобильной связи и заменить SIM-карту. При этом пользователю выпустят новый сертификат для новой ключевой пары. В новом сертификате будет больше информации. Он будет действовать с момента подтверждения полномочий представителя юридического лица, что требует копий соответствующих документов. Напомню, что с помощью такого сертификата пользователь сможет и далее получать сервисы, адресованные физическим лицам.
17. Как быть в случае, если я увольняюсь из компании, при этом у меня оформлен Mobile ID с сертификатом для представителя юридического лица?
Провайдеры и пользователи (подписчики) — находятся в пространстве доверия, основанном на общих юридических нормах. Провайдер выполняет свои функции в соответствии с Законом “Об электронных доверительных услугах”. Он должен построить систему защиты, выдавать подписчикам ключи на защищенных носителях, проводить идентификацию подписчика в соответствии с политиками сертификации и т.д.
Закон также накладывает обязательства и на подписчика. Среди прочего они заключаются в необходимости аннулирования сертификата, если у подписчика меняются данные, указанные в сертификате.
Для получения услуг, предназначенных для физических лиц, нужно получить сертификат для такой категории пользователей.
18. Могут ли абоненты, которые пользуются корпоративным номером, оформить на него услугу Mobile ID?
Для провайдера доверительных услуг это непринципиально. Провайдер выдаст такой сертификат, какой закажет абонент. Однако пользователю следует помнить , что номер телефона оформлен на лицевой счет юридического лица и формально абоненту не принадлежит.
По договору с оператором мобильной связи номер принадлежит юридическому лицу, как и SIM-карта, которая является товарно-материальной ценностью юридического лица.
19. Может ли услуга Mobile ID быть предоставлена сотруднику, если у него нет доверенности от предприятия?
Если сотрудник пришел в пункт предоставления услуги без доверенности, он не подтвердил свою принадлежность к юридическому лицу. Поэтому он получит отказ в выдаче сертификата с реквизитами организации.
20. Бывает, что сотрудник увольняется из компании, но его сложно попросить пойти и аннулировать сертификат. Имеет ли право компания сама отозвать сертификат?
Есть политики, которые позволяют аннулировать сертификат по получению информации не от работника компании, а от организации. Если компания заказала услугу, она имеет право и отозвать сертификат. Провайдер доверительных услуг обязан его аннулировать, если к нему пришла подтвержденная информация о том, что в сертификате на данный момент находятся недостоверные данные, то есть пользователь больше никак не связан с данной организацией.
21. Есть ли возможность у предприятия через некий API управлять сертификатами своих сотрудников? Например, блокировать их или менять должностную привязку.
Такого API ни один провайдер в Украине не предоставляет. Это предусмотрено политиками безопасности. Такое право имеет только лицо, связанное с провайдером трудовыми обязательствами.
22. Допустим, человек уволился из компании, но не поменял сертификат, который подтверждает принадлежность к организации, на обычный сертификат физлица. Какая ответственность для него наступает?
Если после увольнения гражданин подписал документ от имени юридического лица и дал документу ход, значит, он превысил полномочия. За это наступает юридическая ответственность вплоть до уголовной. Превышены ли полномочия при создании электронного документа, как и в обычной жизни, решают компетентные органы согласно закону.
(function (d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = 'https://connect.facebook.net/ru_RU/sdk.js#xfbml=1&version=v3.2&appId=112838268763067&autoLogAppEvents=1'; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));
