Aigul_Shadrina4 мар в 07:00

Внедряем КЭДО в ИТ-компании правильно: знакомимся с четырьмя ловушками ФНС и ГИТ

Простой

18 мин

3.7K

Бизнес-модели * Финансы в ITIT-компании

Туториал

Комментарии 5

itGuevara 4 мар в 07:56

Приказ Минтруда № 578н от 20.09.2022 утвердил состав и форматы электронных кадровых документов

Подскажите, где четко указано какую подпись можно использовать в КЭДО? Присоединенная электронная подпись, Открепленная, Встроенная (PAdES - встроенная подпись в PDF).

2 Какие CADES разрешены для КЭДО?

3 Как минимизировать риск того, что на момент проверки на день Х подпись действительна, а на момент проверки на день Х+1 подпись становится недействительной? Я спрашиваю не про срок действия личных сертификатов.

Aigul_Shadrina 5 мар в 06:37

Добрый день!

Законодательство не ограничивает применение различных типов (присоединенная, открепленная, встроенная) ЭЦП для КЭДО. Ограничения встречаются, например, для судебных документов.
Конечно же - "Работа в России". Но можно и разработать свои (и можно из совмещать). МИНИСТЕРСТВО ТРУДА И СОЦИАЛЬНОЙ ЗАЩИТЫ РОССИЙСКОЙ ФЕДЕРАЦИИ, ПИСЬМО от 20 января 2023 г. N 14-6/ООГ-303: "Ограничений на осуществление работодателем электронного документооборота посредством цифровой платформы "Работа в России" и информационной системы работодателя одновременно Кодекс не содержит." Для систем работодателя - ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ, ПОСТАНОВЛЕНИЕ от 1 июля 2022 г. N 1192 "ОБ УТВЕРЖДЕНИИ ПРАВИЛ ВЗАИМОДЕЙСТВИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ РАБОТОДАТЕЛЯ, ПОЗВОЛЯЮЩЕЙ ОБЕСПЕЧИТЬ ПОДПИСАНИЕ ЭЛЕКТРОННОГО ДОКУМЕНТА В СООТВЕТСТВИИ С ТРЕБОВАНИЯМИ ТРУДОВОГО КОДЕКСА РОССИЙСКОЙ ФЕДЕРАЦИИ, ХРАНЕНИЕ ЭЛЕКТРОННОГО ДОКУМЕНТА, А ТАКЖЕ ФИКСАЦИЮ ФАКТА ЕГО ПОЛУЧЕНИЯ СТОРОНАМИ ТРУДОВЫХ ОТНОШЕНИЙ, И ФЕДЕРАЛЬНОЙ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ "ЕДИНЫЙ ПОРТАЛ ГОСУДАРСТВЕННЫХ И МУНИЦИПАЛЬНЫХ УСЛУГ (ФУНКЦИЙ)"
Один из таких случаев - истечение сертификата ключа проверки. Этот срок законодательством не установлен и на практике обычно составляет от 1 года до 3 лет в зависимости от возможностей технических средств аккредитованных удостоверяющих центров. Но действительность сертификата важна только тогда, когда нет достоверной информации о моменте его подписания ЭД. То есть - необходимо предусмотреть способ фиксации информации о времени подписания документа (разработав самостоятельно). Ну и - использовать УКЭП - Квалифицированные сертификаты хранятся в аккредитованных удостоверяющих центрах. Эти центры обеспечивают беспрепятственный доступ к реестру квалифицированных сертификатов, который содержит сведения о сроке их действия.

itGuevara 5 мар в 08:34

По первым двум вопросам - Ваши ответы неверные.

Посмотрите ответы двух ИИ, но и они "не очень", но будут более точными если по ним и далее задавать уточняющие вопросы.

По третьему вопросу - это из этого и этого.

Aigul_Shadrina 27 мар в 12:53

По видам подписи и форматам (CAdES / PAdES)Законодательство прямо не фиксирует конкретные форматы реализации подписи для КЭДО. Ключевое требование - тип подписи (например, УКЭП), а не её техническая форма.При этом на практике выбор формата - это уже вопрос технической реализации и последствий для хранения и проверки, а не только норм права.

По долгосрочной действительности подписи
Это самая уязвимая зона.
Важно обеспечить подтверждение, что сертификат был действителен на момент подписания (например, через фиксацию времени и результатов проверки).

Если удостоверяющий центр прекращает работу, полноценно восстановить проверку может быть невозможно - и это риск, который сейчас не закрыт на уровне регулирования.

На практике компании:

- используют крупных УЦ (ФНС, Сбер)
- фиксируют статус сертификатов
- выстраивают внутренние процедуры хранения

Но единого стандарта “на 50 лет” на сегодня нет.

itGuevara 27 мар в 13:14

Важно обеспечить подтверждение, что сертификат был действителен на момент подписания (например, через фиксацию времени и результатов проверки).

Про какой сертификат речь? Работника \ работодателя, OCSP \ TSP?

Важно чтобы не был просрочен только TSP.

Если удостоверяющий центр прекращает работу, полноценно восстановить проверку может быть невозможно - и это риск, который сейчас не закрыт на уровне регулирования.

Если TSP не просрочен, то УЦ, выдававшие сертификаты Работнику \ работодателю и даже OCSP, могут прекратить работу и это на значимость подписи никак не повлияет. Собственно в этом и есть суть перештамповки.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий