Привет, Хабр! На связи Артём Сидоров, руководитель центра информационной безопасности розничного бизнеса Росбанка, и Анна Хохлова, директор проекта КЭДО. Во время пандемии кадровый документооборот стал серьезной головной болью для многих компаний. К 2022 году все вроде бы приспособились к различным коробочным решениям для КЭДО, но фокус на импортозамещение поначалу добавил неопределенности в стратегии работы с поставщиками. Условия рынка менялись, но затягивать с развитием КЭДО мы не могли. В этом посте мы подробно расскажем о событиях тех месяцев и о том, к чему в итоге пришли в Росбанке.
Кадровый электронный документооборот позволяет подписывать кадровые документы прямо в электронном виде, без дублирования их на бумаге. Пандемия ускорила развитие законодательства в этой сфере, но мы проводили эксперименты еще до нее. В 2017 году, например, внедрили ПЭП, простую электронную подпись, для заявлений на отпуск и других кадровых документов, которые таким образом подписывать было можно.
Затем разразилась пандемия. Согласно законодательству, мы все еще не могли подписывать в электронном виде основные кадровые документы — приказы о переводе, трудовые договоры, дополнительные соглашения к ним и др., а обмениваться документами было необходимо. К тому же никто не отменял наём и увольнение — а некоторые новые сотрудники, которые собеседовались удаленно, не могли даже дойти до почты, чтобы получить или отправить документы.
К счастью, в конце 2021 года КЭДО был официально разрешен для всех сотрудников, а не только дистанционных. Так что в начале 2022 года мы начали выбор коробочного решения для КЭДО. Всего проанализировали 13 продуктов. Чисто облачные исключили сразу — безопасность требовала, чтобы всё было в инфраструктуре банка. Департамент ИБ активно продвигал идею создания собственного решения в банке, поскольку у Росбанка есть УЦ (удостоверяющий центр), выпускающий необходимые УНЭП (усиленные неквалифицированные электронные подписи). Но мы думали, что это будет слишком сложно и долго — а некоторые вендоры обещали, что их коробочное решение можно развернуть всего за 2–3 недели со всей функциональностью. Поэтому в феврале 2022 года выбрали одно из таких решений и готовились заключить контракт.
Но как раз в конце февраля 2022 года в Росбанке из-за изменения стратегии приостановили все внешние закупки. Мы решили получше присмотреться к сценарию создания своего КЭДО и сравнить его со сценарием внешнего решения. Руководство в итоге согласовало оба сценария — стороннего и своего решения — но мы воспользовались этой паузой, чтобы получше оценить оба варианта.
Свое или вендорское?
Риск любого внешнего решения — это подсесть на «вендорскую иглу». Коробочные варианты КЭДО лицензируются по числу сотрудников: в среднем 1000–2000₽ в год на каждого. Учитывая, что мы хотели тиражировать КЭДО на всех сотрудников, а не только на дистанционных, получилась очень внушительная сумма. С другой стороны, у вендоров есть опыт: они знают, как всё сделать четко в соответствии с законодательством, предлагают обкатанные интерфейсы и быстрые проверенные схемы внедрения.
Как упомянуто выше, у нас было дополнительное преимущество по сравнению с другими компаниями: собственный удостоверяющий центр, выпускающий УНЭП для клиентов Росбанка. УНЭП — это усиленная подпись, которую можно свободно использовать в рамках КЭДО в полном соответствии с законодательством. Взявшись за разработку самостоятельно, мы набьем шишки, но зато в будущем сможем увеличивать число сотрудников без дополнительных затрат. Через собственный удостоверяющий центр можно выпускать сколько угодно подписей — надо только при необходимости масштабировать поддержку и мощности. В итоге мы начали разработку собственного решения.
Создаем свой КЭДО
Мы начали работу после вторых майских праздников в 2022 году. Напрямую пускать сотрудников в удостоверяющий центр, конечно же, не стоило. У нас уже была рабочая интеграция с УЦ — для клиентов малого бизнеса в мобильном розничном приложении. Ее решили переиспользовать. Второй важный компонент, который лег в основу нового КЭДО, — это центр регистрации обращений клиентов, где создаются запросы, которые клиент может сам отслеживать в мобильном приложении. Мы решили переиспользовать эти системы, доработать их и объединить в соответствии с требованиями законодательства.
Важно было успеть запустить MVP к 1 июля — к началу ежегодного периода массового подписания документов сотрудниками, затрагивающего порядка 40% штата. Начинала проект команда из 4 человек — аналитик, разработчик, тестировщик и владелец продукта. Потом быстро расширились: только аналитиков стало четверо. Чтобы набрать темп, аналитика, разработка и тестирование работали параллельно, практически в авральном режиме. В последний день июня MVP работал на проде для удаленных сотрудников, и после 1 июля вся команда счастливо ушла в отпуск на пару недель :)
Затем полгода мы дорабатывали MVP: допиливали интерфейс, готовили нормативную базу, усиливали защиту, повышали качество и скорость обработки запросов. Подстраивались под новые требования законодательства — например, под приказ Министерства труда и социальной защиты РФ от 20 сентября 2022 г. № 578н «Об утверждении единых требований к составу и форматам документов, связанных с работой, оформляемых в электронном виде без дублирования на бумажном носителе».
16 января 2023 года мы предложили КЭДО всем сотрудникам банка, а не только удаленщикам. Теперь проводим демо, внутренние пиар-программы, чтобы все поняли, как это удобно. К концу года планируем перевести на КЭДО две трети сотрудников. Процесс идет активно, не нужно теперь печатать бумажки и ходить с ними на почту России; достаточно подписать документы с помощью приложения.
Решаем правовые вопросы
История проекта КЭДО была бы неинтересна без ограничений, которые накладывает на эту сферу законодательство.
Перед выдачей человеку квалифицированной электронной подписи федеральный закон «Об электронной подписи» требует обеспечить его идентификацию. У нас этот процесс давно отлажен в рамках онбординга новых клиентов банка. Осталось только встроиться в этот процесс: сделать так, чтобы все новые и действующие сотрудники становились нашими клиентами по умолчанию. Идентификация сотрудника проходит в момент онбординга его как клиента — при получении карты в офисе или через курьера. А последующая аутентификация — через мобильное приложение. После того как новый или действующий сотрудник Росбанка становится клиентом, мы можем выдать ему электронную подпись в полном соответствии с законодательством.
Закон обязывает нас в ряде случаев отзывать электронную подпись: при изменении персональных данных субъекта подписи или при отказе субъекта от хранения и использования подписи банком — например, при увольнении. Напомним, что все электронные подписи хранятся в удостоверяющем центре Росбанка.
Изменения персональных данных мы отслеживаем через клиентский сервис банка. Если данные меняются, мы автоматически отзываем электронную подпись и перевыпускаем ее в момент первого подписания документов сотрудником. Во втором случае мы решаем вопрос через контакт-центр: сотрудник может написать запрос на отзыв сертификата в чат мобильного приложения или позвонить в контакт-центр; для этого мы прописали операторам отдельные скрипты.
Планы развития КЭДО
Сейчас мы дорабатываем интеграцию КЭДО с Госуслугами в соответствии с Постановлением Правительства №1192 от 1 июля 2022 года. В третьем квартале ждем согласования от Минцифры и по плану станем первыми в России с подобной интеграцией в продакшене. В результате сотрудник банка может прямо через Госуслуги обратиться в банк за получением какого-либо ранее подписанного документа. Также мы активно дорабатываем визуальную часть приложения — актуальную версию можно оценить на скриншотах выше. Наконец, мы анализируем варианты предоставления сервиса КЭДО всем сотрудникам дочерних организаций Росбанка — здесь есть правовые ограничения, и мы ищем возможности.