Государственная фискальная служба в конце прошлого месяца обвинила тысячи налогоплательщиков в нарушении закона. При подаче налоговой отчетности за май многие бизнесмены, которые уже используют ключ электронной подписи (КЭП), получили в электронном кабинете сообщение от налоговиков, что их личный ключ цифровой подписи размещен не на защиненном носителе (токене), что противоречит нормам Закона «Об электронных доверительных услугах», - сообщает UBR.ua.
И хотя проблем с подачей самого отчета не возникало, сам факт такого уведомления не на шутку встревожил бухгалтеров. Которые тут же бросились перечитывать упомянутый чиновниками документ (он вступил в силу в ноябре 2018 года), в котором в самом деле обнаружили упомянутое требование. Правда, с одной оговоркой: до ноября 2020 года ЭЦП можно пользоваться и по старинке.
К слову, в ГФС быстро признали, что перегнули палку и откорректировали сообщение. Сейчас налогоплательщиков в электронном кабинете предупреждают иначе: «Личный ключ электронной подписи размещен на незащищенном носителе информации, при этом в соответствии с требованиями Закона «Об электронных доверительных услугах» личный ключ квалифицированного электронной подписи должен храниться на защищенном носителе информации».
Готовь токены летом
Как уточнили UBR.ua в ГФС, эти уведомления пользователи начали получать лишь потому, что ведомству подключили возможность проверки, хранится ключ на защищенном носителе или нет. Теперь, если в контролирующий орган поступает документ, подписанный ключом с обычной флешки, пользователь автоматически получает квитанцию об обработке его документов и отчетности, а также упомянутое предупреждение.
И тут же успокоили: сообщение никак не влияет на принятие и обработку электронной отчетности. Его цель - заранее поставить всех пользователей в известность о необходимости использовать защищенные носители личных ключей.
UBR.ua разобрался, что это за носители, с каких пор они обязательны, и какие носители выбрать для хранения ЭЦП.
Не все ключи равны
До мая 2019 центры сертификации ключей, в том числе аккредитованные при ГФС (АЦСК), использовали в качестве основного носителя ключей для пользователей флеш-накопители или компакт-диски, которые приносили с собой оформляющие сертификат украинцы и предприниматели.
Однако ст. 17 Закона «Об электронных доверительных услугах» действительно предусматривает, что органы государственной власти, органы местного самоуправления, предприятия, учреждения и организации государственной формы собственности, государственные регистраторы, нотариусы и другие субъекты, уполномоченные государством на осуществление функций государственного регистратора, могут засвидетельствовать действие открытого ключа только если у него есть квалифицированный сертификат.
Однако во время действия переходного периода (2 года с момента вступления в силу закона), определенного в самом законе, можно пользоваться и ЭЦП, которые были оформлены по старым правилам. Иными словами, до 7 ноября 2020 года допускается использование и ключа ЭЦП, записанного на обычную флешку.
Защищенные носители выпускаются двух видов:
- Электронный ключ (чаще всего с интерфейсом USB).
- Смарт-карта.
Внешне электронный ключ мало чем отличается от флэш-карты, но имеет встроенные аппаратно-программные средства, которые обеспечивают защиту записанных на нем данных от несанкционированного доступа. На практике это значит, что все операции с ключом осуществляются на носителе, с которого его невозможно прочитать, скопировать или удалить.
Кроме хранения информации токены выполняют несколько криптографических функций и должны обеспечивать:
- Симметричное шифрование.
- Вычисление электронной цифровой подписи.
- Протокол вычисления общего секрета.
- Содержать механизм, предотвращающий подбор PIN-кода.
Содержать механизм «двухфакторной аутентификации» с использованием PIN-кода и аппаратного элемента.
Какой носитель купить
При выборе между электронными ключами и смарт-картами стоит иметь в виду особенности использования. Смарт-карта гораздо дешевле электронного ключа - стоит около 200-500 грн. Однако для ее использования понадобится дополнительное считывающее устройство, которое обойдется в несколько раз большую сумму. Так что стоимость набора «смарт-карта + считыватель» превышает стоимость электронного ключа с USB-интерфейсом, цена которого находится обычно в диапазоне от 700 до 1600 грн. за ключ.
Кроме того, следует учесть, что далеко не все носители Минюст признает защищенными. Перечень токенов, с которыми работают реестры и базы данных ведомства содержит в настоящий момент всего несколько устройств:
Электронный ключ «Алмаз-1К» производства ЗАО «Институт информационных технологий», а также аналогичное устройство в металлическом корпусе.
Средство криптографической защиты информации «SecureToken-337К», а также «SecureToken-337м» производства ООО «Автор». Средство криптографической защиты информации «CryptoCard-337» производства ООО «Автор».
Чтобы не было очередей
Как видно, большим разнообразием покупателей устройств Минюст не порадовал, что, к слову, многим пришлось не по вкусу. Антимонопольный комитет Украины даже получил жалобы по поводу внесения в список защищенных носителей всего двух производителей.
Но, как сообщила UBR.ua государственный уполномоченный АМКУ Агия Загребельская, по данным предварительного анализа рынка Комитет не обнаружил препятствий для выхода на рынок других производителей или подтверждения, что ГФС требует использовать защищенный носитель какого-либо одного бренда.
При этом и в АМКУ, и в ГФС настоятельно просят всех, кому по закону следует записывать ключи ЭЦП на защищенные носители, не тянуть с покупкой устройства. Дело в том, что законодательство требует идентифицировать заявителя, обратившегося за получением услуги формирования квалифицированного сертификата открытого ключа. Это значит, что обязательно личное присутствие получателя ЭЦП.
Удаленно могут сформировать новые сертификаты только те пользователи, которые имеют:
- Действующие сертификаты (например, до окончания срока действия сертификатов осталось несколько дней).
- Неизменные регистрационные данные (ФИО, адрес регистрации места жительства, код ЕГРПОУ организации и т.п.).
- Личный ключ доступен только пользователю и не является скомпрометированным.
Учитывая правительственный девиз Digital First, по которому все услуги и взаимодействие с государственными органами по умолчанию осуществляются через интернет, с защищенными носителями лучше не затягивать.
Татьяна Рымаренко
***
Читайте также: