Коментар до листа Мінцифри від 16.02.2021 р. №1/06-3-1587
Що таке кваліфікований електронний підпис чи печатка?
Якщо виходити зі ст. 18 Закону «Про електронні довірчі послуги», то кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, серед іншого, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки:
- зберігається в засобі кваліфікованого електронного підпису чи печатки;
- під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов'язаний цей кваліфікований електронний підпис чи печатка.
Тобто кваліфіковані сертифікати відкритих ключів обов'язково повинні містити, в тому числі, відомості про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки (для кваліфікованого сертифіката електронного підпису чи печатки).
Але сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки. Під час перевірки удосконаленого електронного підпису чи печатки за допомогою кваліфікованого сертифіката відкритого ключа надається підтвердження того, що особистий ключ не зберігається в засобі кваліфікованого електронного підпису чи печатки
З цього випливає і відмінність кваліфікованого електронного підпису чи печатки від удосконаленого – особистий ключ кваліфікованого електронного підпису може зберігатися виключно в засобі кваліфікованого електронного підпису чи печатки (те, що ми називаємо «токен») та повинен бути пов'язаним з кваліфікованим сертифікатом електронного підпису.
Чи можна не використовувати кваліфікований електронний підпис чи печатку?
Поки що застосування удосконаленого кваліфікованого електронного підпису для приватного бізнесу і громадян не є обов’язковим. Але на звичайні КЕП їм довелося перейти ще у листопаді 2020 року. Ми про це докладно писали тут.
Платники податків згідно з постановою КМУ від 03.03.2020 р. №193 мають можливість використання удосконалених електронних підписів чи печаток, які базуються на кваліфікованих сертифікатах відкритих ключів.
Це не обов’язково, але така можливість в них є – для здійснення електронної взаємодії, електронної ідентифікації та автентифікації фізичних, юридичних осіб і представників юридичних осіб у разі, коли законодавством передбачено використання виключно кваліфікованих електронних підписів чи печаток (кваліфікованих електронних довірчих послуг) або засобів електронної ідентифікації з високим рівнем довіри, крім випадків встановлених законодавством.
Зверніть увагу: як наголошується у коментованому листі, таке право буде зберігатися до 31.12.2021 року.
Додатково з метою забезпечення технічного регулювання у сфері захисту інформації на офіційному вебсайті Державної служби спеціального зв'язку та захисту інформації України 09.09.2019 року розміщено роз'яснення з питань використання засобів електронного підпису та печатки при наданні кваліфікованих електронних довірчих послуг за посиланням.
Яка ж саме інформація має бути відображена на сайті центрального засвідчувального органу?
Перевірка кваліфікованого електронного підпису чи печатки проводиться будь-якою особою з метою отримання інформації про дійсність чи недійсність кваліфікованого електронного підпису чи печатки.
Крім того, надання кваліфікованої електронної довірчої послуги зі створення, перевірки та підтвердження кваліфікованих електронних підписів чи печаток передбачає, що така послуга:
- надається виключно надавачем;
- відповідає всім вимогам до перевірки кваліфікованих електронних підписів чи печаток;
- дає змогу отримувати результати перевірки зі застосуванням кваліфікованого електронного підпису чи печатки надавача автоматизованим способом, який є надійним, ефективним та захищеним.
Слід зазначити, що кваліфіковані надавачі електронних довірчих послуг мають право, зокрема, самостійно обирати, які саме стандарти будуть ними застосовуватися при наданні довірчих послуг з переліку стандартів, визначеного КМУ, крім сфери спеціального зв'язку. Водночас самі стандарти не містять вимог до того, в якій формі буде надано підтвердження.
З огляду на це, у коментованому листі робиться висновок, що законодавством у сфері електронних довірчих послуг не визначені вимоги до форми та змісту результату перевірки кваліфікованого електронного підпису.
Проте, якщо за результатом перевірки електронного підпису з'являється інформація, що тип носія – незахищений, то такий електронний підпис не може вважатися кваліфікованим.
Що таке захищений носій особистих ключів?
Захищений носій особистих ключів – засіб кваліфікованого електронного підпису чи печатки, що призначений для зберігання особистого ключа та має вбудовані апаратно-програмні засоби, що забезпечують захист записаних на ньому даних від несанкціонованого доступу, безпосереднього ознайомлення зі значенням параметрів особистих ключів та їх копіювання (п. 2 Порядку КМУ від 19.09.2018 р. №749).
При цьому на офіційному вебсайті Державної служби спеціального зв'язку та захисту інформації України розміщено Перелік засобів технічного захисту інформації, які мають експертний висновок про відповідність до вимог технічного захисту інформації, за посиланням.
***
Читайте також:
- Як отримати ЕДП від АЦСК ІДД ДПС: нагадування від податківців
- Як перевірити термін дії кваліфікованого сертифіката ЕЦП?
- Як заповнити повідомлення про надання інформації щодо КЕП
- Відтепер на підставі КЕП від АЦСК ІДД ДПС можна створити удосконалені ЕП
***
УВАГА!
Тепер ви можете читати бухгалтерські новини від «Дебету-Кредиту» у Telegram та VIBER. Приєднуйтесь і дізнавайтесь найважливіші новини першими!