Комментарии 45
>> Итак, с 1 января корпоративные системы бухучёта должны работать на серверах в РФ, иначе им грозят штрафы.
А можно уточнить - по какой статье штрафы?
В теории - статьи 15.11 и 13.25 КоАП РФ. Источник тут. На практике - надо дождаться 2024 года.
Вот 13.25:
2. Неисполнение обществом с ограниченной (дополнительной) ответственностью или унитарным предприятием обязанности по хранению документов, которые предусмотрены законодательством об обществах с ограниченной ответственностью, о государственных и муниципальных унитарных предприятиях и принятыми в соответствии с ним нормативными правовыми актами и хранение которых является обязательным, а также нарушение установленных порядка и сроков хранения таких документов -
влечет наложение административного штрафа на должностных лиц в размере от двух тысяч пятисот до пяти тысяч рублей; на юридических лиц - от двухсот тысяч до трехсот тысяч рублей.
3. Неисполнение страховщиком обязанности по хранению документов, перечень которых и требования к обеспечению сохранности которых предусмотрены страховым законодательством, а также непринятие страховщиком мер по обеспечению хранения информации, содержащейся в информационных системах, ведение и обеспечение сохранности которых предусмотрены страховым законодательством, -
(в ред. Федерального закона от 23.06.2016 N 222-ФЗ)
(см. текст в предыдущей редакции)
влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от ста тысяч до двухсот тысяч рублей.
(часть 3 введена Федеральным законом от 23.07.2013 N 249-ФЗ)
Про информационные системы написано только в отношении страховщиков
Господи! Вы реально не понимаете, или валяете дурака ? Бухгалтерию держат за границей ИМЕННО потому что никакие штрафы не сравняются с последствиями, которые наступят если с российского хостинга вытащат сервер и распотрошат.
Хотите заработать - предлагайте клиентам прокси-хост. Чтобы бухгатерия с точки зрения силовиков ВЫГЛЯДЕЛА как лежащая в россии (ибо все запросы исходят оттуда), но в реальности при изъятии сервера в загребущих руках оказывалась пустышка... Глядишь, к вам и люди потянутся...
Так силовикам мало, чтобы база ВЫГЛЯДЕЛА. Им же надо иметь возможность прийти к хостеру и изъять. Вот они пришли и увидели прокси. И сказали хостеру, что он соучастник? На месте хостера я бы не связывался с такой подставой
Давайте так - силовики сейчас могут прийти куда угодно, и сделать что угодно. Если вы хотите заниматься бизнесом и быть под защитой закона, то это не сейчас и не в РФ.
Другое дело - если вы согласны жить (и вести бизнес) в стране с распоясовшимися силовиками, получая норму прибыли выше чем в окружающем спокойном мире. Но и в этом случае, вы должны в первую очередь учитывать интересы ваших клиентов, а не силовиков. Потому что не силовики вам деньги платят. А клиентам надо предлагать закрывать их реальные потребности, а не предлагать переносить бухгалтерию с зарубежных ресурсов...
Думаю, любая крупная российская контора работает не потому, что хорошо прячется от силовиков, а потому, что владельцы нормально договорились с кем надо, или сами являются кем надо. Так что тут ничего особенно не меняется.
А конторы, по-тихому ведущие параллельную бухгалтерию, наверняка уже сами вынесли её на шифрованные диски на иностранном хостинге.
Хм... сразу пять-шесть вопросов:
Что есть оригинал в цифровом мире? Ведь речь идёт от цифровых сервисах - никаких бумажных документов тут быть не может (да и в век цифровых технологий вообще может и не быть в принципе бумажного носителя). А любом цифровой формате копия от оригинала не отличима (спецустройства не рассматриваю)
Что мешает работать как и ранее на зарубежных хостах - а в РФ просто дублировать хранение регламентированных данных (а хранение персональных данных - это особый случай)?
Что есть бухгалтерские данные? Не ну понятно - что есть некий перечень первичных документов и регл. отчётности, представленных в форме по ГОСТУ, но всё остальное (не беру в расчёт персональные данные) - можно считать управленческими данными - тогда - на это всё ведь не должно распространяться требование законодательства?
Ну и классический вопрос: как это всё отслеживать и контролировать - что и как хранится на недоступных серверах? То есть достаточно организовать в РФ проксик - где будут хранится данные, требуемые по законодательству - но весь объём данных через него в зашифрованном виде транслирвоать далее за пределы РФ. Такой проксик не обязательно даже хостить где-то - можно условно и на местах первичной обработки поставить простенькие серваки где и тупо складировать эти данные (сколько там их надо хранить - 5 лет - затем удалять) - а с них уже пересылать на центральный сервер и где хранить и обрабатывать вне поля зрения контролирующих органов!
А документы на серверах в РФ можно же ужимать до любого различимого качества (я в основном про сканы) - только бы была хоть какая-то читаемость - ведь закон же это никак не регламентирует? Только сроки хранения заданы.
С регл. отчётностью есть ещё сервисы по её сбору и передачи - типа Такском или Контутр - они ведь её тоже хранят - считается ли это достаточным хранением на территории РФ для данного вида бух. данных?
Но вот да - прямой удалённой работы, условно, через RDP клиенты тут уже не удастся организовать :-( хотя по извращаться с обратным трафиком документов можно!
Этот закон всего лишь один из многих законов и постановлений в рамках самоизоляции интернета, как я понимаю.
Логика такова:
Некоторое время назад: если мы выключим внешний интернет, то экономика встанет. Давайте вводить ограничения постепенно.
- локализовали данные
- добавили потенциальный файрвол
- создали отечественный репозиторий
- выдавили внешних поставщиков облачных услуг
- локализовали бухгалтерский учет
Все, еще пара-тройка шагов и дальше спокойно внешние каналы усиленно фильтруются и все кто заплачет о поломанных процессах сами себе виноваты. А государство все в белом.
Но это все лишь теория заговора, на самом деле государство о нас заботится.
Очень сильно подозреваю что решатся проблема будет просто:
кто-то из сисадминов (у крупных контор вопрос и так решен и без RuVDS) скажет что база не в России? нет оснований не доверять сотруднику компании. А заодно - он и детали расскажет где и как. И в суде свидетелем.
никто из сисадминов НЕ скажет - изымаем железо и смотрим доказательства (а пока - убеждаем админа что лично ему выгоднее предыдущий пункт)
А сисадмины которые готовы еще и такие схемы защищать на допросе - это другая статья расходов и нужна уже защита для них и вообще привет 90-е :(
Ну и кстати вот интересно - а что мешает разместить сервер да - в России. Но диски зашифрованы. При старте - надо передачу ключа, ключ не хранится на диске вообще, передается по команде с виртуалки, находящийся вне России. Чтобы команда была отдана - надо на эту виртуалку зайти, каким то хитровывернутым способом. ИПБ при этом нет. Бекап разумеется делаться на сервер вне России.
Ну или вообще вариант когда у сервера диски для декоративных целей если вообще есть а реально все грузится по сети в память и диски вообще не используются (вот не знаю с типичными объемами бухгалтерских баз - реально?). Опять же бекап - вне России.
Правда опять все упрется в то, что админы с паролями и инструкции как это поднимать с бекапа - находятся где? И можно ли их вежливо попросить поднять с бекапа.
Вот другое дело - интересно кто ответственность несет если бухгалтерия вообще на аутсорсе? Аутсорс-контора? Или тот мелкий ИП чья это бухгалтерия?
Правда опять все упрется в то, что админы с паролями и инструкции как это поднимать с бекапа - находятся где? И можно ли их вежливо попросить поднять с бекапа.
Это если у админов есть пароли. Мне доводилось настраивать сетевой накопитель для одного параноидального руководителя. Шифрование разделов, ключ - знает он, но не знаю я. То есть - взял, сгенерил 20+ символов, передал ему на флешке, а сам естественно не запомнил.
Кончилось, правда, ожидаемо - ключ был утрачен, и доступ к данным вместе с ним, безвозвратно.
По поводу шифрования вроде как есть закон (поправьте если ошибаюсь - я не специалист по ИБ) запрещающий применение средств шифрования, не сертифицированных ФАПСИ - детали не знаю, как и не скажу точно на что и на кого распространяются такие требования - но что-то такое слышал. А сертификацию того, что не возможно им вскрыть - ФАПСИ не сделает! Нарушение такого закона о шифровальных методах явно приведёт к последствиям когда это обнаружится. На западе вроде тоже такие же законы есть. И не факт, что ФАПСИ тем или иным путём (в т.ч. через посредников не из РФ) не сможет вскрыть зашифрованные не по ГОСТу диски. Но тут уже вопрос целесообразности - окупятся ли затраты.
Ну а ответственного за пароли и ключи явно надо выводить за пределы влияния РФ - условно в офшор. Ответственного сисадмина тоже не афишировать. Остальным сисадминам детали знать не нужно - а общую информацию о схеме и так поймут
Ответственность за бухгалтерию несут два человека: Гендиректор и Главный бухгалтер. Гендир не может быть на аутсорсе. Главбух, вроде бы, условно может - но ответственность это не отменяет. Но в процессе расследования часть ответственности в ряде случаев можно переложить на аутсорсинговую компанию - но это если таким образом договор составлен и будут прямые этому доказательства или признание вины - это всё очень мутно и не просто. Так что сажают обычно гендира и главбуха. На моей памяти такой случай уже был в компании где я работал, но уже после моего ухода, так что детали не знаю.
Но на чьей бы стороне не была ответственность - последствия для юридического лица, где были нарушения, будут серьёзные
админ "заболевает" и срочно увольняется и приходит новый админ, какой надо админ.....
Маски шоу приходят уже с точной инструкцией что и как делать и где, и как искать....мало того следователь еще и фин. возможности по возможной выручке знает и то на сколько он план закроет..... тк работали в 00-х....
кто-то из сисадминов (у крупных контор вопрос и так решен и без RuVDS) скажет что база не в России? нет оснований не доверять сотруднику компании. А заодно - он и детали расскажет где и как. И в суде свидетелем.
никто из сисадминов НЕ скажет - изымаем железо и смотрим доказательства (а пока - убеждаем админа что лично ему выгоднее предыдущий пункт
Как только придут к сисадмину и если ему заранее не заплатят - он сам всё расскажет и отдаст данные за бумажку об отсутствии претензий со стороны правоохранительных органов. При этом неважно где находятся данные. Зачем ему сидеть за чужого дядю и за дачу заведомо ложных показаний?
Что такое оригинал цифровой копии?
\s БД, на которой стоит подпись директора и печать организации
Приходят к вам органы для проверки. Изымают жёсткий диск. Разумеется, не для того, чтобы у вас бизнес колом встал и бухгалтерия не могла работать, а просто процедуры такие. Вернут в нужные сроки. Через месяц-два.
Вот если при изъятии (сделанном ни в коем случае ни для того, чтобы бизнес встал) бизнес не встал - значит айайай, вы не оригинальную копию для изъятия подсунули. Извольте предъявить заплатить штраф и предъявить именно ту совпадающую до последнего бита копию, изъятие которой заставит ваш бизнес остановиться.
Никто не будет разбираться где бэкапы, где БД, а где ваши личные фоточки.
У нас сотрудник в "день Д" принес на работу ноутбук, свой, личный, то ли спросить чет хотел, то ли не работало у него чета, хотел админам показать.
Итог - ноут со всем оборудованием уехал вместе с ОБЭПом недельки на 2-4 пылиться в хранилище (хорошо что вернули и не про*ли).
А еще весело, когда вам харды от серверов возвращают, вперемешку(никтож не подписывает). Если у вас рейды с шифрованием вот вы повеселитесь собирать все это.
P.s. проходили через изъятие техники году этак в 16, может сейчас чего и изменилось
с хардами Да веселуха - лучше Сразу купить новые и Собирать с копированием образов... да и оборудование проверить на предмет инъекций всякого..... с ТЗ ИБ я бы выставил железо на авито и какое-то время жил на VDS пока новое не куппят....
Харды имеет смысл менять только с точки зрения того что их там могли потрясти, попинать, покидать и пр. мех. воздействия.
В остальном - бред, никто не будет е**ся с закладками и инъекциями - это дорого, долго и сложно. Есть более простые и надежные методы - начиная от того что 100% чистых фирм в РФ нет, все нарушают (не потому что не хотят, а потому что все требования не выполнить), заканчивая тем что проще волшебный порошок подкинуть ген.диру - проблем на 5 минут, для любого суда, дело будет простым и понятным.
А с инъекциями? Нужен специалист который внедрит, нужно ПО которое не спалится первым же антивирусником, не помрет от штатного обновления, не будет зарезано NGFW (мы же понимаем что в компании от 100+ человек на обычных файрволах становится тяженько жить), потом нужен человек который будет сидеть и все полученные данные анализировать, потом надо в суде доказать что эти сведенья были получены законным путем, что это именно они и прочее-прочее.
про закладки и инъекции - от задачи зависит...
как минимум исключить смерть хардов от "механики" - Это самое разумное.
по Железу это скорее рекомендация,
а про размеры компании и наличие у них спецов - не смешите мои тапочки - пока не припрет никто не шевелится и бывает так что у клиентов частенько торчат левые флешки и WIFI Свистки в Серверах непонятного происхождения..... а потом ой унас кто-то деньги со счета увел... или откуда накладная возникла по которой на -цать миллионов от грузились...
и это только на моей не особо богато практике с 10-ок случаев....
да чаще всего это обиженные менеджеры и свои же админы но....
Вопрос только как отличить оригинальную копию от неоригинальной? Копия на то и копия что может на 100% совпадать с оригиналом. А может и не совпадать - ни быть его модификацией - но между двумя такими копиями определение что есть оригинал возможно только в сравнении с третьей копией - эталонной - которая есть у контролирующего. Но так ещё с конца прошлого века делали (и делают) вели двойную бухгалтирию - белую (читай регламентированную) и черную (читай управленческую) - вот белую можно держать в РФ - и она будет соответствовать эталонной, передаваемой в госорганы. А черную - соответственно сразу уводить куда подальше - и с эталонной никак не пересекать - и в ней вести основную работу, лишь периодически обновлять по нужным правила белую версию - которая, на новый манер, будет считаться оригиналом!
Кстати, иностранным компаниям оригинал регламентированной российской бухгалтерии там у себя нафиг не нужен - у них там свой GAAP, МСФО, и некоторые национальные стандарты
Достаточно долго проработав в сфере государственного бюрократического кретинизма - готов спорить, что речь идёт о слове "скан".
Сканов вовсе может не быть - сейчас уже Цифровая экономика - бумагу экономят - всё можно вести через ЭДО.
Но даже если говорить о сканах бумажных документов - что первичный скан, что его копия - не отличимы друг от друга. Да и по российскому законодательству (поправьте если что-то изменилось) - если оригинал был на бумаге - то и хранить его надо на бумаге 5 лет, а его скан - это уже всего лишь копия. Но хранить бумагу на сервере не возможно, тем более за пределами РФ её хранить никто не будет
Цифровая экономика у нас, все же, пока еще на словах. Думаю это не новость, что в той же медицине - врачи заносят все ваши данные в электронную карту, а потом печатают и бережно вклеивают в физическую (безусловно, в ситуациях есть исключения, но мы, все же, о подавляющем большинстве).
А по поводу скана - я закладывал в мысль понятие фразы "оригинал цифровой копии". Ну то есть оригиналом цифровой копии будет буквально бумажная версия. При чем (!) в некоторых ситуациях доходит до той степени, что даже документы, подписанные ЭЦП, печатают на цветном принтере, чтобы это был "тот самый первый неповторимый оригинал из принтера" - важным условием здесь является наличие цветных элементов на документе (s ведь только у вас есть цветной принтер /s).
Было бы смешно, если бы не было так грустно, но я свидетель этой безумной бюрократии и представлении этих людей о том, как переносить физическое в цифровое.
>врачи заносят все ваши данные в электронную карту, а потом печатают и бережно вклеивают в физическую
И правильно делают. Из-за аварии вышла из строя база медицинских данных Белгородской области
Боюсь, бремя доказательства места хранение возложат на юрлиц. А в качестве доказательства потребуется доступ фискалов к БД.
Уже несколько лет внедряется "налоговый мониторинг" - прямой доступ налоговиков к учетной базе предприятия. Так что процесс что называется пошел
Как создавали ранее базу болванку - так и будут создавать - её и хранить в РФ, и в неё пускать! Ничего особо не изменится - но у кого-то кто ранее об этом не подсуетился - будет нужно подсуетиться!
А я давно считаю - что весь регл. учет нужно всегда отделять от основной базы и вести в отдельной базе - лишь загружая из основной нужные данные! И это не связано только лишь с оптимизацией налогообложения!
И это я ещё не говорю про вторую излюбленную в РФ схему - создание фирм помоек - посредников - когда в отдельную базу можно вынести не только часть учёта, но и всю юр. фирму целиком - но всю её деятельность вести через управление из основной базы другой фирмы - оставляя в фирме помойке только минимально детализированный необходимый след регламентированных и персональных данных!
Вся бухгалтерская документация ведётся для налоговой. И обязанна быть предоставлена по первому требованию. Поэтому мне не понятно причем тут выемка серверов, шифрованные диски и чем здесь поможет заграница.
Шифровать и прятать стоит документы внутрннего пользования и двойную бухгалтерию. Но это же совсем доугое
С 1 января вся бухгалтерия — только на серверах в РФ