3.2 млн. НДС 5% это 64 млн выручки без НДС. То есть фирма наработала 60 млн, дальше еще 4 млн и вот за эти 4 млн они заплатили 3.2 млн налога. Притом что 4 млн - это выручка, допустим в ней 30% прибыли, 70% затрат (2.8 млн). 4 - 3.2 - 2.8 итого 2 млн убытка. Если Ваша компания реально ведет бухучет - ну видели же в декабре что выручка как раз подходит к пределу, почему не показали этот простейший расчет руководству ? По факту нужно было просто притормозить продажи чтобы не выходить за предел.
Относительно ООО. Вот письмо https://www.nalog.gov.ru/rn54/news/tax_doc_news/14169692/ где ФНС объясняет что для коммерческих организаций образование - это дополнительный деятельности, а как основной вид деятельности образование может быть только у некоммерческих организаций. У Вас же по описанию образование фактически стало основным видом деятельности ООО (безотносительно кодов ОКВЭД). Причем письмо еще от 2023 г. Почему не было сразу же дано рекомендаций оказывать образовательные услуги от некоммерческой организации ?
Каким образом вообще возникает мысль проложить кабель "неофициально" ? Земля имеет собственника. Если Вам по Вашему личному участку протянут кабель без Вашего разрешения - понравится ? Думаю что нет. С землей, принадлежащей городу тоже самое. Какие собственник условия выставил, такие и принимаете. Если собственник вообще прокладывать не разрешил, или слишком много запросил можно пойти в суд просить установить сервитут (право ограниченного использвания чужой недвижимости - для прохода, прокладки кабеля и т.п.). Там уже как суд решит. Что-то мне кажется, что в США, Европе за "проложить кабель неофициально" (по сути - воспользоваться чужим земельным участком без ведома собственника) штраф такой, что даже мысли ни у кого нет так делать.
Промежуточные звенья все относятся к отправителю или получателю. УКЭП есть у достаточно большго количества народу. Если нужно гарантированно безопасно получить документы из банка и банк готов зашифровать на нее, можно даже ради этого получить.
Правильно настроенная электронная почта использует TLS соединения. Точно такие же, как онлайн банк. Кроме того, письмо / вложение может быть дополнительно зашифровано локально перед отправкой.
Вопрос был как передать по недоверенному каналу. Если приложение считаете доверенным каналом, то можно передать через него в открытом виде. Причем доверие не только к самой передаче, но и к тому, что получатель не сможет удалить факт отправки документов из приложения.
сведения, составляющие банковскую тайну требовать по незащищённому каналу Так и объясните, что не согласны раскрывать банковскую тайну третьим лицам (оператору почтового сервиса). Попросите банк предоставить сертификат УКЭП, зашифруйте на локальном компьютере этим сертификатом и в таком виде отправьте.
Федеральный закон от 02.12.1990 N 395-1 (ред. от 23.07.2025) "О банках и банковской деятельности" Статья 30.1. Рассмотрение кредитной организацией обращений ... Кредитная организация обязана обеспечить прием обращений, направленных посредством почтовой связи или нарочным на бумажном носителе, в местах обслуживания потребителей банковских услуг по адресу в пределах места нахождения кредитной организации, адресу места нахождения филиала, представительства кредитной организации, указанным в едином государственном реестре юридических лиц, а также направленных на адрес электронной почты кредитной организации. Наличие подписи заявителя в обращении не требуется. ...
Можно проверить DKIM подпись и IP адреса откуда было отправлено. Основные почтовые сервисы проверяют автоматически.
Если по п.1 письмо действительно из банка, но вызывает сомнения (типа злоумышленники получили доступ к почтовому серверу банка, или просто было направлено по ошибке). То: согласно действующему законодательству можно обращаться в банк по электронной почте. Именно так. ЕМНИП обязаны в течение суток подтвержить получение обращения и в течение 2х недель ответить (по большинству вопросов). Можно написать запрос типа: я от Вас получил письмо о предоставлении документов, прошу уточнить о каких именно 3х лицах идет речь и т.п. То есть Вы не отказываетесь предоставить документы, просто их запрос непонятный. Дальше уже исходя от ответа будет понятно, реально от банка запрос или мошенничество. По сравнению с другими формами обращений (телефон, всякие чаты и проч), отправитель не сможет сказать, что такого не было. В почте нет функций удаления сообщения отправителем и т.п. Это документ, который можно использовать при необходимости обжалования действий банка
Во втором абзаце написано, что отправляются на емейл, в четвертом - что в "Личный кабинет". Куда отправляются то в итоге и где находится этот "Личный кабинет" ?
А почему "закупка железа" в категории "не смотрим" ? Сейчас большинство "железа" (если это, конечно, не стойки для стеллажей) имеет собственное ПО. С теми же проблемами, что ПО, закупаемое непосредствено.
По ссылке написано: "Злоумышленники проникли в корпоративную систему 1С: для входа не требовалась двухфакторная аутентификация".
Но там не написано что проникли через уязвимость в 1С. И не написано, для входа куда требовалась 2FA . Если получили доступ к SQL серверу с базой или к бекапам, вообще без разницы, какая в 1С аутентификация.
В любом случае отсутствие двухфакторной аутентификации - это уязвимость конкретной инсталляции. А никак не "уязвимость в 1С".
В Яндекс-почте отображение шифрования непонятное. Принудительно выключил шифрование на исходящих письмах в Postfix (smtp_tls_security_level = none), отправил себе письмо на Яндекс-почту. Письмо пришло с ESMTP в заголовке, но в пользовательском интерфейсе зеленый замок и Шифрование:Да. Хотя в Gmail при таких настройках замок перечеркнутый красный и написано шифрования нет. Час потратил на чат с техподдержкой, в итоге пообещали ответить уже по почте в течение 2х недель.
Которые сидят в терминале отменили, например, потому что терминал привык что данные на пассажиров должны к ним из базы поступить, и не способен за короткое время полностью перестроиться на ввод вручную. Там же все по времени расписано - прилеты, вылеты, погрузка выгрузка багажа, рабочее время экипажей, работа наземного транспорта и служб обслуживания самолетов. Плюс еще вообще полеты из за БПЛА приостанавливают. 1-2 рейса как-то можно задержать и в ручном режиме обработать, но не 10-20.
Важно знать число свободных мест на рейсе, чтобы их можно было продавать. Т.е. в самолете 200 мест, но неизвестно, сколько продано, значит непонятно, сколько можно продавать еще. Не продавать на уже объявленные к продаже рейсы вообще - явно не вариант, т.к. продавали их как минимум на несколько месяцев вперед.
А где писали что закрытый ключ утащили ? По нормальному такие вещи находятся на аппаратном носителе или отдельном компьютере, который имеет только функцию "выполнить действие с ключом", но не имеет функции "выдать ключ".
Не нужен тут никакой архив, достаточно открытого ключа DKIM подписи. Пассажир представляет письмо с билетом и DKIM подписью. Подпись проверяется открытым ключом и если она валида, значит билет достоверен и данные из него можно загрузить в систему. Билеты же по типовому шаблону оформлены, значит не должно быть проблемой из него все реквизиты извлечь.
Попробуйте попросить их. Мотивируйте тем, что Вы не имеете необходимых знаний, чтобы настроить собственный почтовый сервер, поэтому вынуждены пользоватся общедоступными. В тоже время вправе рассчитывать на защиту ПДн от доступа третьих лиц (в т.ч. операторов почтовых сервисов), тем более что медицинские данные это особая категория. А получить их в офисе на бумаге Вам не удобно. Обосновать можно например тем что по работа связана с командировками в труднодоступные места, где нет их офисов. А получить результаты анализов важно оперативно, в т.ч. могут выявиться заболевания которые требуют немедленного реагирования: назначения / отмены препаратов, изменения условий труда и т.п.
3.2 млн. НДС 5% это 64 млн выручки без НДС.
То есть фирма наработала 60 млн, дальше еще 4 млн и вот за эти 4 млн они заплатили 3.2 млн налога. Притом что 4 млн - это выручка, допустим в ней 30% прибыли, 70% затрат (2.8 млн). 4 - 3.2 - 2.8 итого 2 млн убытка.
Если Ваша компания реально ведет бухучет - ну видели же в декабре что выручка как раз подходит к пределу, почему не показали этот простейший расчет руководству ? По факту нужно было просто притормозить продажи чтобы не выходить за предел.
Относительно ООО.
Вот письмо https://www.nalog.gov.ru/rn54/news/tax_doc_news/14169692/ где ФНС объясняет что для коммерческих организаций образование - это дополнительный деятельности, а как основной вид деятельности образование может быть только у некоммерческих организаций. У Вас же по описанию образование фактически стало основным видом деятельности ООО (безотносительно кодов ОКВЭД). Причем письмо еще от 2023 г. Почему не было сразу же дано рекомендаций оказывать образовательные услуги от некоммерческой организации ?
Каким образом вообще возникает мысль проложить кабель "неофициально" ? Земля имеет собственника. Если Вам по Вашему личному участку протянут кабель без Вашего разрешения - понравится ? Думаю что нет. С землей, принадлежащей городу тоже самое. Какие собственник условия выставил, такие и принимаете. Если собственник вообще прокладывать не разрешил, или слишком много запросил можно пойти в суд просить установить сервитут (право ограниченного использвания чужой недвижимости - для прохода, прокладки кабеля и т.п.). Там уже как суд решит.
Что-то мне кажется, что в США, Европе за "проложить кабель неофициально" (по сути - воспользоваться чужим земельным участком без ведома собственника) штраф такой, что даже мысли ни у кого нет так делать.
УКЭП это закрытый ключ + сертификат. Сертификат получателя документа можно использовать для шифрования данных.
Промежуточные звенья все относятся к отправителю или получателю. УКЭП есть у достаточно большго количества народу. Если нужно гарантированно безопасно получить документы из банка и банк готов зашифровать на нее, можно даже ради этого получить.
Правильно настроенная электронная почта использует TLS соединения. Точно такие же, как онлайн банк. Кроме того, письмо / вложение может быть дополнительно зашифровано локально перед отправкой.
Вопрос был как передать по недоверенному каналу. Если приложение считаете доверенным каналом, то можно передать через него в открытом виде. Причем доверие не только к самой передаче, но и к тому, что получатель не сможет удалить факт отправки документов из приложения.
Чтобы нельзя было подделать домен отправителя должна быть настроена DKIM подпись. А она настроена не у всех.
Федеральный закон от 02.12.1990 N 395-1 (ред. от 23.07.2025) "О банках и банковской деятельности"
Статья 30.1. Рассмотрение кредитной организацией обращений
...
Кредитная организация обязана обеспечить прием обращений, направленных посредством почтовой связи или нарочным на бумажном носителе, в местах обслуживания потребителей банковских услуг по адресу в пределах места нахождения кредитной организации, адресу места нахождения филиала, представительства кредитной организации, указанным в едином государственном реестре юридических лиц, а также направленных на адрес электронной почты кредитной организации. Наличие подписи заявителя в обращении не требуется.
...
Можно проверить DKIM подпись и IP адреса откуда было отправлено. Основные почтовые сервисы проверяют автоматически.
Если по п.1 письмо действительно из банка, но вызывает сомнения (типа злоумышленники получили доступ к почтовому серверу банка, или просто было направлено по ошибке). То: согласно действующему законодательству можно обращаться в банк по электронной почте. Именно так. ЕМНИП обязаны в течение суток подтвержить получение обращения и в течение 2х недель ответить (по большинству вопросов). Можно написать запрос типа: я от Вас получил письмо о предоставлении документов, прошу уточнить о каких именно 3х лицах идет речь и т.п. То есть Вы не отказываетесь предоставить документы, просто их запрос непонятный. Дальше уже исходя от ответа будет понятно, реально от банка запрос или мошенничество. По сравнению с другими формами обращений (телефон, всякие чаты и проч), отправитель не сможет сказать, что такого не было. В почте нет функций удаления сообщения отправителем и т.п. Это документ, который можно использовать при необходимости обжалования действий банка
Во втором абзаце написано, что отправляются на емейл, в четвертом - что в "Личный кабинет". Куда отправляются то в итоге и где находится этот "Личный кабинет" ?
А почему "закупка железа" в категории "не смотрим" ? Сейчас большинство "железа" (если это, конечно, не стойки для стеллажей) имеет собственное ПО. С теми же проблемами, что ПО, закупаемое непосредствено.
По ссылке написано: "Злоумышленники проникли в корпоративную систему 1С: для входа не требовалась двухфакторная аутентификация".
Но там не написано что проникли через уязвимость в 1С. И не написано, для входа куда требовалась 2FA . Если получили доступ к SQL серверу с базой или к бекапам, вообще без разницы, какая в 1С аутентификация.
В любом случае отсутствие двухфакторной аутентификации - это уязвимость конкретной инсталляции. А никак не "уязвимость в 1С".
В Яндекс-почте отображение шифрования непонятное. Принудительно выключил шифрование на исходящих письмах в Postfix (smtp_tls_security_level = none), отправил себе письмо на Яндекс-почту. Письмо пришло с ESMTP в заголовке, но в пользовательском интерфейсе зеленый замок и Шифрование:Да. Хотя в Gmail при таких настройках замок перечеркнутый красный и написано шифрования нет. Час потратил на чат с техподдержкой, в итоге пообещали ответить уже по почте в течение 2х недель.
Которые сидят в терминале отменили, например, потому что терминал привык что данные на пассажиров должны к ним из базы поступить, и не способен за короткое время полностью перестроиться на ввод вручную.
Там же все по времени расписано - прилеты, вылеты, погрузка выгрузка багажа, рабочее время экипажей, работа наземного транспорта и служб обслуживания самолетов. Плюс еще вообще полеты из за БПЛА приостанавливают. 1-2 рейса как-то можно задержать и в ручном режиме обработать, но не 10-20.
Важно знать число свободных мест на рейсе, чтобы их можно было продавать. Т.е. в самолете 200 мест, но неизвестно, сколько продано, значит непонятно, сколько можно продавать еще. Не продавать на уже объявленные к продаже рейсы вообще - явно не вариант, т.к. продавали их как минимум на несколько месяцев вперед.
А где писали что закрытый ключ утащили ? По нормальному такие вещи находятся на аппаратном носителе или отдельном компьютере, который имеет только функцию "выполнить действие с ключом", но не имеет функции "выдать ключ".
Не нужен тут никакой архив, достаточно открытого ключа DKIM подписи. Пассажир представляет письмо с билетом и DKIM подписью. Подпись проверяется открытым ключом и если она валида, значит билет достоверен и данные из него можно загрузить в систему. Билеты же по типовому шаблону оформлены, значит не должно быть проблемой из него все реквизиты извлечь.
Билет же на почту присылается, у письма должна быть DKIM подпись. Попросить пассажиров прислать письма с билетами, по ним можно восстановить.
Попробуйте попросить их. Мотивируйте тем, что Вы не имеете необходимых знаний, чтобы настроить собственный почтовый сервер, поэтому вынуждены пользоватся общедоступными. В тоже время вправе рассчитывать на защиту ПДн от доступа третьих лиц (в т.ч. операторов почтовых сервисов), тем более что медицинские данные это особая категория. А получить их в офисе на бумаге Вам не удобно. Обосновать можно например тем что по работа связана с командировками в труднодоступные места, где нет их офисов. А получить результаты анализов важно оперативно, в т.ч. могут выявиться заболевания которые требуют немедленного реагирования: назначения / отмены препаратов, изменения условий труда и т.п.