Какие квалифицированные электронные подписи останутся в работе после 01.09.2023. Кому потребуются машиночитаемые доверенности (МЧД) от работодателя. Как с их помощью подписывать и пересылать электронные подлинники документов уже сейчас и после 01.09.2023, когда полноценно заработает единое блокчейн-хранилище таких доверенностей (оно позволит проверять действительность МЧД).
Какое разнообразие требований существует к формату МЧД и кодам предоставленных полномочий... и как «выкручиваться» в этой ситуации. Чему надо успеть научить свою СЭД, чтобы после 01.09.2023 продолжить в ней полноценно работать с электронными подлинниками.
Переход на новый формат электронных подписей с 1 сентября 2023 года закреплен законодательно и потребует от организаций изменить процедуры управления ключами электронных подписей (ЭП), обновить соответствующее программное обеспечение (ПО). До вступления изменений в силу осталось менее полугода, но на рынке не сформировалось точного представления о том, как бизнес должен адаптироваться. Постараемся дать ответы на основные вопросы.
Как раньше работали с ЭП организации
Мы привыкли, что организация получает ключи ЭП для выполнения какой-то операции, например для работы в системе ЕГАИС, для участия в тендерах, сдачи отчетности в налоговую. Поскольку стоимость ключей могла достигать 10 000 руб., сложилась практика передачи ключей другим пользователям для выполнения операций, что нарушает требования информационной безопасности. А необходимость закупки множества ключей и отслеживание их валидности (т.е. полноценности) делало процедуру электронного документооборота дорогостоящей и сложной в обслуживании.
Как будет с 1 сентября 2023 года
Последняя редакция Федерального закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ сформулировала новые правила работы с электронной подписью. Закон ввел 2 типа подписи:
1) подпись физического лица идентифицирует конкретного человека, который подписывает документ;
2) подпись юридического лица используется от имени организации и выписывается на руководителя организации или иное лицо, которое согласно уставу имеет право подписи официальных документов организации без доверенности.
С сентября рядовой сотрудник будет подписывать электронный документ подписью физического лица, которую самостоятельно получит в удостоверяющем центре (УЦ). Эту же подпись он может использовать за рамками должностных обязанностей, например, при оформлении сделки купли-продажи недвижимости, на портале госуслуг и т.д. Он не сможет передать этот ключ другим лицам, что повышает безопасность.
Чтобы подписать документ от имени организации, рядовому сотруднику потребуется новый вид документа – машиночитаемая доверенность (МЧД). Она определяет полномочия сотрудника и подписывается подписью юридического лица. МЧД содержит данные в формате XML:
- о пользователе, которому доверяют совершать ту или иную операцию;
- организации, которая доверяет совершать данные действия;
- том лице, кто выдал эту доверенность;
- типе операции, которую может выполнить пользователь.
В одной МЧД можно указать несколько полномочий, т.е. по одной доверенности один сотрудник может выполнять разные операции. Также одну доверенность можно выдать сразу на группу сотрудников. Полномочия по МЧД могут быть передоверены другому лицу, тогда порождаемая доверенность подписывается не первым лицом организации, а самим доверенным лицом.
Все данные МЧД должны храниться в структурированном виде. Коды полномочий должны проверяться с помощью ПО, т.е. факт выполнения операции конкретным пользователем и право на исполнение данной операции.
Что надо изменить в ИТ-системах
Изменения в правилах и процедурах подписания электронных документов значительные, поэтому потребуется адаптировать ИТ-системы. Мы видим, что изменился протокол подписания и верификации – теперь подпись сопровождает МЧД, которую также надо проверить на валидность (полноценность).
Что теперь должна контролировать ИТ-система при подписании документов:
-
если МЧД была передоверена, то требуется проверить всю цепочку подписей на корневой и последующих доверенностях;
-
если на пользователя, подписывающего документ, оформлено несколько доверенностей, то в момент нанесения подписи должна быть возможность выбора той или иной доверенности или автоматического подбора нужной доверенности в соответствии с текущим контекстом;
-
в момент работы с электронным документом требуется проверить подпись, наличие доверенности, верифицировать ее подпись – убедиться в том, что доверенность была валидна на момент подписания;
- в момент подписания или верификации требуется проверить полномочия, указанные в доверенности (желательно автоматически, если такая функциональность есть в системе).
Информационные системы должны поддержать новую функциональность для создания МЧД, их хранения и различных процедур их обработки: согласования и подписи МЧД, процедуры передоверия и отзыва МЧД. Также должна быть обеспечена возможность отслеживания сроков действия МЧД и выпуска новых версий до окончания действия предыдущих. Поскольку МЧД может быть выписана на нескольких сотрудников и фиксировать различные полномочия, то поддержка перечисленных задач сама по себе является достаточно сложным процессом.
Также в организации понадобится справочник полномочий, часть которого будет наполняться непосредственно в информационной системе, а часть – наполняться кодами полномочий, которые формируются в тех или иных госструктурах (например, ФНС России) и используются для фиксации в МЧД полномочий, подтверждающих право производить соответствующие действия при обмене информацией с данными ведомствами.
Таким образом, переход на новый формат ЭП сам по себе будет не очень простым. Дополнительные сложности при работе с МЧД:
-
формат МЧД не является универсальным для любых задач. Теоретически каждое ведомство, для обмена с которым может использоваться безбумажный документооборот, может разработать собственный XML-формат МЧД. Предполагается, что данные для каждого ведомства требуются уникальные, учесть их и заложить в единый формат заранее пока не представляется возможным. Хотя для обмена документами между компаниями и обмена с ФНС России будет разработан единый формат (именно такие форматы будут поддержаны в начале и на нашей платформе Docsvision);
-
МЧД имеет срок действия. Важно проверять, что документ был подписан до истечения срока действия доверенности – иначе подпись будет считаться невалидной. Однако доверенность может быть отозвана из-за увольнения сотрудника или по другим причинам. Как проверить валидность МЧД, если документы получены от контрагента? Требуется иметь доступ к хранилищу, где фиксируется информация об отзыве – аналогично тому, как идет проверка валидности сертификата на момент подписания документа на OCSP-сервисе.
Проверка МЧД через их хранилища
В законодательстве прописана необходимость передавать МЧД для обмена информацией с соответствующим ведомством в его базу данных для того, чтобы оно могло контролировать текущее состояние МЧД. То есть необходимо обеспечить не только подготовку МЧД в соответствующем формате, но и канал синхронизации между локальным хранилищем и хранилищем МЧД соответствующих ведомств.
В настоящее время продолжается проект создания единого межведомственного блокчейн-хранилища МЧД. Оно должно обеспечить единый доступ к МЧД. Когда оно будет создано, то достаточно синхронизироваться с этим хранилищем, а не с каждым ведомством.
Планируется использовать этот единый реестр для любых МЧД, которыми обмениваются любые юридические лица, а не только госструктуры. Ведет данный проект ФНС России. Создан портал https://m4d.nalog.gov.ru/ (см. Рисунок 1), на котором любое юрлицо сможет создать, проверить или отменить существующую доверенность. Плановая дата запуска была назначена на 1 января 2023 года, теперь она перенесена на 1 сентября 2023 года.
Рисунок 1. Реестр машиночитаемых доверенностей юрлиц (ведет ФНС России)
Получается, что ИТ-система должна обеспечить передачу МЧД после создания и подписания в центральное хранилище, а также проверять валидность получаемых документов от контрагентов на основе информации из этого хранилища. К 1 сентября 2023 г. ИТ-система вашей организации должна «подружиться» не только с единым хранилищем МЧД от ФНС России, но и с МЧД-хранилищами тех ведомств, с которыми вам надо участвовать в электронном документообороте.
То же касается и кодов полномочий, в которых определены типы операций с документами, на которые пользователям выдана доверенность. Эти коды будут определяться ведомством, с которым производится обмен документами. Таким образом, возникает необходимость синхронизировать коды полномочий, которые могут изменяться и дополняться из информационной системы ведомств в вашу ИС. Тут тоже ожидается определенное упрощение, благодаря созданию единого справочника кодов полномочий в рамках единой государственной системы нормативно-справочной информации (ЕСНСИ), который будет постепенно наполняться и к которому будет обеспечен доступ. При этом собственные коды полномочий для внутреннего документооборота, а также обмена информацией с контрагентами организация может определять самостоятельно.
Форма МЧД
Существует универсальная форма МЧД, ее можно использовать не только для взаимоотношений с ФНС России, которая ее утвердила своим приказом от 30.04.2021 № ЕД-7-26/445@ «Об утверждении формата доверенности, подтверждающей полномочия представителя налогоплательщика (плательщика сбора, плательщика страховых взносов, налогового агента) в отношениях, регулируемых законодательством о налогах и сборах, в электронной форме и порядка ее направления по телекоммуникационным каналам связи».
Другие ведомства тоже могут устанавливать собственные форматы МЧД (см., например, приказ Минцифры России от 18.08.2021 № 857, который перечисляет состав реквизитов, включенных в МЧД, они должны присутствовать в xml-файле, в данном случае не важно, кто и в каком конкретно виде эту доверенность формирует). Еще раз повторимся, что каждое ведомство устанавливает также свой классификатор полномочий. Например, ФСС России, который теперь слился с ПФР, разработал ресурс https://lk.fss.ru/mchd.html (см. Рисунок 2), где есть и классификатор полномочий, и требования к xml-доверенности, и xsd-файл, конвертирующий xml-доверенности в человеко-читаемую форму.
Для наглядности покажем МЧД:
- в формате xml (см. Пример 2) – как она выглядит в реальности, будучи написанной на языке программирования и
- человеко-читаемый вариант – как она может демонстрироваться в информационной системе пользователю (см. Пример 1).
Рисунок 2. Данные о МЧД для Фонда пенсионного и социального страхования РФ (https://lk.fss.ru/mchd.html)
Пример 1. Человеко-читаемый вариант МЧД в СЭД ДоксВижн (так могут выводиться данные о доверенности на экран пользователю)
Пример 2. МЧД в xml-формате (так МЧД выглядит в реальности)
Как контрагентам обмениваться документами, для подписания которых нужна МЧД
Допустим, уже сейчас одна коммерческая организация хочет направить другой электронный документ, подписанный ЭП рядового сотрудника с приложенной МЧД. Как это сделать?
Во-первых, подписанные электронные документы можно передавать любым способом – хоть курьером на флэшке, хоть по электронной почте (нет необходимости работать только по защищенным каналам связи, в доверенной среде). Главное, чтобы вместе с подписанным электронным подлинником документа была передана получателю МЧД как отдельный файл рядом (xml с УКЭП доверителя). Из файла подписанного документа есть ссылка на файл МЧД.
Во-вторых, мы помним, что единое блокчейн-хранилище МЧД от ФНС России пока полноценно не заработало. Как в этом случае получателю проверить валидность МЧД и УКЭП? Валидность УКЭП проверяется обращением в выдавший ее центр сертификатов. Это стандартная процедура, связанная с УКЭП, реализуемая в приложении одной кнопкой. Касается как подписи основного документа, так и подписи в доверенности. Валидность самой доверенности, передаваемой файлом, без участия блокчейн-реестра учета доверенностей гарантируется доверителем, точно так же как валидность переданного им бумажного документа. В будущем использование блокчейн-реестра позволит не передавать сам файл доверенности, а передавать ссылку на него в реестре. Это дополнительно гарантирует, что доверенность не была отозвана в момент подписания документа.
Получение ключей
Для начала работы в новом формате нам опять дали отсрочку – последний раз до 1 сентября 2023 г. К этому моменту надо еще успеть обновить электронные подписи.
УКЭП юрлица, которую раньше применяли сотрудники, можно использовать до 1 сентября 2023 года. После этой даты такие сертификаты электронных подписей перестанут действовать. Чтобы продолжить работать с электронными документами, необходимо выпустить УКЭП физлица всем сотрудникам, имеющим право подписи. Это можно сделать в любом аккредитованном удостоверяющем центре (УЦ) за отдельную плату.
Так же необходимо получить ключ УКЭП организации – это бесплатно:
- для коммерческих организаций их можно получить в удостоверяющем центре ФНС России или доверенном центре;
- финансовые организации получают ключи в УЦ Центробанка,
- а госучреждения – в УЦ Федерального казначейства.