Привет, хабровчане!

Хочу поделиться ещё одной зашкварной историей, связанной с ЭЦП. В главных ролях крупные удостоверяющие центры — Контур и Тензор.

Прошлая проблема, которая возникла в мае, в общем-то решилась — когда я подавал инициативу на РОИ, я не знал что с 1 июля 2020 вступают в силу поправки в 63-ФЗ «Об электронной подписи», согласно которым возможность удостоверять личность действующим сертификатом аккредитованного УЦ теперь закреплена законодательно.

Но технически с применением этого закона есть большие ограничения, о которых ничего не сказано в законе.

В частности, если у тебя электронная подпись на носителе — ты легко можешь воспользоваться новой редакцией ФЗ-63 и получить ЭЦП удалённо. А вот если действующая подпись облачная — начинаются проблемы.

Сегодня мне нужно было получить новый сертификат в УЦ Тензора на юрлицо для работы со СБИС. Действующий сертификат есть только от УЦ Контур. Он квалифицированный, но не на отдельном ключе, а облачный, по технологии КриптоПРО DSS.

У меня подтвержденный положительный тест на COVID, сижу дома на самоизоляции до повторных отрицательных тестов. Т.е. даже возможности лично приехать в УЦ и удостоверить личность по закону нет и остаётся вариант только удалённого выпуска.

Техподдержка Тензора сказала что единственная техническая возможность удостоверить личность облачной подписью — настроить работу с облачным хранилищем в КриптоПРО 5.0 Для этого нужно знать адрес Сервера авторизации и DSS серверов.

Техподдержка Контура же отказалась сообщить эти url потому что:

«Это закрытая информация»

«Мы не предоставляем доступ к ним для использования на стороннем портале. DSS сертификаты используются только для работы с сервисами нашей компании через внутренний авторизованный доступ.»

«Такая политика относительно серверов DSS связана с текущими недоработками в данной технологии.» (Эта отмазка вообще прекрасна. Если технология недоработана, почему её сертифицировала ФСБ?)

(цитаты из чатов с разными операторами техподдержки, номер обращения 28323177)

Просмотрев QR-код, который Контур выдаёт для настройки мобильного приложения myDSS, я нашёл адрес DSS сервера: https://mydss.kontur-ca.ru/MyDssServerExternal/InteractionService.svc. Но адреса сервера авторизации там не было. А стандартные url не работали. Короче, реверс-инжиниринг не удался.

На всякий случай написал в поддержку КриптоПРО, вот что они ответили:

У нас нет и не может быть адресов облачных сервисов на базе КриптоПро DSS, развернутых сторонними компаниями. Мы лишь предоставляем ПО, которые наши заказчики вправе использовать по своему усмотрению. (Обращение №33489)

Тензор тоже «хорош». Предложил им альтернативный способ идентификации — я отправляю в адрес компании через систему электронного документооборота (Контур.Диадок) подписанную облачной подписью заявку на выпуск ЭЦП и все необходимые документы (паспорт, СНИЛС). На основании которых подпись выпускается как новая. Ну и предложил созвониться по видеосвязи если они очень хотят понаблюдать моё лицо (знаю что такую идентификацию использовали некоторые банки при открытии расчётных счетов юрлицам во время «первой волны» пандемии) . Мне было отказано:

На мой взгляд, оба удостоверяющих центра нарушили 63-ФЗ и собственные же договора и регламенты.

В частности, у Контура в договоре есть такие пункты насчёт прав пользователя:

6.5.1. Круглосуточно получать доступ к серверу Удостоверяющего центра за исключением времени проведения профилактических работ и воспроизводить графическую часть (рабочий интерфейс) на экране персонального компьютера;

6.5.2. использовать все функциональные возможности ПО

А у Тензора в регламенте есть такая обязанность:

3.1.19. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием КЭП при наличии действующего квалифицированного сертификата.

(В самом регламенте нет подробной процедуры как именно происходит идентификация при помощи КЭП. А п.1 ст 18 ФЗ-63 говорит о том что удостоверяющий центр ОБЯЗАН «осуществлять идентификацию заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата». Конечно, есть принцип «Закон не заботиться о мелочах», но закону и логике вещей подписание заявки на получение ЭП и отправку её через СЭД обязаны засчитать за идентификацию)

Короче говоря, из-за бездействия удостоверяющих центров сегодня я не смог выпустить электронную подпись и как минимум просрочил отчёт РСВ по ООО за 9 месяцев (сегодня крайний день сдачи), в результате чего попал на штраф минимум в 1000 рублей. Я, конечно, отправил обращение в ФНС по данной ситуации, но штрафы там выписывают автоматически и мне видимо придётся их отменять через суд, что само-собой влечёт потери времени. Чтоб их компенсировать планирую обратиться в суд с встречным иском к Контуру и Тензору. Как думаете, какие шансы?

Еще слышал новость о том что с 1 января 2022 года УЦ не смогут выдавать подписи юрлицам — эти полномочия перейдут к Удостоверяющему центру ФНС. Тот факт что УЦ сейчас забивают на клиентский сервис и техническое развитие выглядит вполне логичным. Но не до такой же степени чтоб нарушать ФЗ.

Напишите пожалуйста в комментариях всё что вы думаете по описанной проблеме. Особенно хотелось бы увидеть здесь комментарии представителей Контура, Тензора, КриптоПРО, Минкомсвязи и ФСБ 🙂 И юристов, которые специализируются на вопросах электронной подписи.