ЭЦП для сотрудников организации - ЭЦП на работников
Меню

ЭП (ЭЦП) работника

Содержание статьи
  1. Что такое ЭП, сертификат ключа ЭП
  2. Сценарии проставления электронной подписи сотрудниками организации
    1. 1. Представление интересов организации
    2. Отличия в сценариях и перспективы развития
    3. 2. Использование ЭП сотрудника для КЭДО и внутреннего ЭДО

В данной статье поговорим об электронной подписи сотрудника. Какая она бывает, в каких случаях проставляется, как и кем выпускаются ключи электронной подписи и сертификаты к ним, начиная с 2022 года. Разберем новые правила использования машиночитаемой доверенности на сотрудника (МЧД) и не только.

То, что сотрудник получает в УЦ ФНС или у доверенных лиц, это еще не подпись, а средства для ее создания и использования. Поэтому, говоря о получении ЭЦП или выпуске ЭЦП, речь идет немного о более затейливом действии

Несмотря на то, что термины эти существуют уже довольно продолжительное время, все равно во многих материалах и даже на сайте регуляторов встречаем подобные словосочетания: получить ЭЦП, выпустить ЭЦП, ЭЦП на сотрудника, ЭЦП работника, ЭЦП для торгов и т.д. Хотя речь идет не о как таковых созданных электронных подписях, ЭП (и уже даже не о цифровых – слово убрали из официальных формулировок), а о средствах, с помощью которых эти подписи могут создаваться.

В данной статье независимо от привычных формулировок будем говорить именно о ключевой информации (ключах электронной подписи, состоящих из открытой части ключа проверки ЭП и закрытой части ключа), а также о сертификатах к ним. Поговорим об ЭЦП сотрудника, т.к. в связи с переводом кадрового документооборота в электронный вид и развитием систем внутреннего документооборота такая подпись становиться все более востребованной.

Что такое ЭП, сертификат ключа ЭП

Электронная подпись сотрудника – это созданный сотрудником реквизит (специальный файл) к подписываемому документу (информации) с помощью средств, полученных в удостоверяющем центре (а точнее, с помощью закрытой части ключа) и специальных программ шифрования информации. Этот созданный файл и будет файлом электронной подписи владельца сертификата к конкретному подписанному документу и будет защищать подписанный файл от внесения в него изменений. Он также несет информацию о лице, подписавшем документ.

Сертификат ключа проверки электронной подписи выпускается в удостоверяющем центре (УЦ) и содержит информацию, которая включена в состав открытой части ключа.

В зависимости от аккредитации УЦ и тех целей, для которых будут использоваться ключи, с их помощью могут создаваться квалифицированные и неквалифицированные электронные подписи (КЭП и НЭП) и выпускаться квалифицированные или неквалифицированные сертификаты.

Сценарии проставления электронной подписи сотрудниками организации

1. Представление интересов организации

Рассмотрим сценарии, когда сотрудник получает полномочия совершать юридически значимые действия от имени организации и использует для подписания документов в электронном виде (для входа в систему электронного взаимодействия, участия в торгах и т.д.) квалифицированный сертификат электронной подписи:

  1. Первый сценарий: использование ключей электронной подписи руководителя. Не секрет, что до недавнего времени во многих организациях носители (флешка или токен) с ключом ЭП руководителя перемещались по офису из рук бухгалтера в тендерный отдел. Более того, часто ключевая информация копировалась и одновременно использовалась разными сотрудниками для выполнения разного рода задач. Т.е. фактически задачи выполняли сотрудники, но документы подписывались электронной подписью руководителя. Также руководитель мог получить несколько сертификатов в разных УЦ или в одном, чтобы разделить их применение, так как у каждого есть свой серийный номер и отпечаток. В этом варианте доверенность у сотрудника была «виртуальная», он это делал, просто потому, что так было удобно и руководитель ему доверял.

    Пример визуализации электронной подписи руководителя на документе
    Пример визуализации электронной подписи руководителя на документе
  2. Второй сценарий: использование электронной подписи, выданной непосредственно на ответственного исполнителя. Как правило, если сотрудник подписывал, например, отчетность, то в контролирующий орган заблаговременно направлялась доверенность на сотрудника. Бумажный оригинал подписывал руководитель, а в самой доверенности были указаны действия, которые могло совершать доверенное лицо. Если подписание происходило на торговой площадке, то при аккредитации прикреплялся файл скана доверенности с указанием полномочий на подписание договора и ограничение суммы контракта сотрудника. Если сертификат выпускался на сотрудника юридической службы, то при подаче документов в суд прикладывался скан бумажной доверенности, который впоследствии предоставлялся на обозрение суда в оригинале.

    Пример визуализации электронной подписи сотрудника при подписании документов от имени юридического лица
    Пример визуализации электронной подписи сотрудника при подписании документов от имени юридического лица
  3. Третий сценарий тот, к которому идет планомерное движение. В нем используется сертификат электронной подписи, выданный на имя физического лица + МЧД (машиночитаемая доверенность) на действия, которые может совершить указанное доверенное лицо в отношении документов или при взаимодействии с тем органом или организацией, для которой такая доверенность выдана.

Примеры документов, подписанных физическими лицами по доверенности
Примеры документов, подписанных физическими лицами по доверенности

Примеры документов, подписанных физическими лицами по доверенности
Примеры документов, подписанных физическими лицами по доверенности

Примеры документов, подписанных физическими лицами по доверенности
Примеры документов, подписанных физическими лицами по доверенности
Внедряем и сопровождаем 1С с 2003 года. Знаем все подводные камни систем, поможем «переплыть»

Отличия в сценариях и перспективы развития

Какие же отличия существуют во всех сценариях и какие перспективы их дальнейшего существования:

1. Использование сотрудником сертификата руководителя (мы понимаем, что это еще практикуется).

Особенность: Все документы, подписанные сертификатом руководителя вне зависимости, кто непосредственно нажал «подписать», считаются подписанными руководителем. Если, конечно, на момент проставления подписи не было сообщения о компрометации ключа или отзыва сертификата.

Риски:

  • Руководитель полностью несет ответственность за правовые последствия такого подписания;
  • Существует риск неправомерного использования ключа ЭП руководителя, в том числе риск финансовых потерь;
  • Оформление передачи ключа ответственному сотруднику с указанием: серийного номера сертификата, списка разрешенных действий с использованием ЭЦП руководителя хотя бы чисто психологически «повышает» ответственность сотрудника при использовании ключей.

Перспективы:

  • В 2022 году сертификаты на руководителей, ИП и нотариусов выпускаются по новым правилам – только УЦ ФНС России – и выдаются в его точках выдачи, или его доверенных лиц;
  • Все вновь получаемые ключи ЭП на руководителя коммерческой организации (ИП, нотариуса) формируются некопируемыми (неизвлекаемыми) на токенах;
  • С 31 марта 2023 года у всех организаций (ИП, нотариусов) будут действовать только ключи, выданные по новым правилам, и они будут в единственном экземпляре, нельзя будет оформить ЭЦП дополнительный и передать сотруднику.

2. Использование квалифицированного сертификата, выданного на сотрудника.

Особенности:

  • Сертификат получает сотрудник в удостоверяющем центре ФНС РФ;
  • Заявление на выпуск сертификата для УЦ подписывает руководитель организации;
  • В сертификате в поле «Общее имя» (CN) указано наименование, ОГРН (ОГРИП для ИП), ИНН и адрес организации:

    Поля квалифицированного сертификата ЭП на сотрудника с наименованием, ИНН и адреса организации
    Поля квалифицированного сертификата ЭП на сотрудника с наименованием, ИНН и адреса организации
  • В сертификате есть указание на сотрудника, указаны его ФИО, ИНН, СНИЛС;
  • Сертификат используется без применения МЧД, бумажные оригиналы предоставляются по требованию. Например, при подписании налоговой отчетности оригинал доверенности должен быть на момент передачи декларации в ИФНС. Для торговых площадок требуется прикрепить скан бумажной доверенности;
  • В других случаях работает допущение того, что у сотрудника с таким типом сертификата есть полномочия (мнение регулятора на Форуме ЭДО 2022 в июне);
  • Срок сертификата возможен от 1 года до 15 месяцев;
  • Сертификат на сотрудника не может быть использован для личных целей физического лица.

Риски:

  • Сотрудник самостоятельно несет ответственность за хранение ключа и его надлежащее использование;
  • Во избежание претензий со стороны руководителя в превышении полномочий на подписание тех или иных документов, рекомендуется запросить доверенность, в которой будут изложены полномочия сотрудника;
  • Существуют риски при использования сертификата на сотрудника для автоматического проставления ЭП.

Перспективы:

  • Ранее срок действия квалифицированных сертификатов на сотрудников был определен датой 31 декабря 2022 года. К этому времени ожидался повсеместный запуск механизма использования МЧД в правоотношениях B2G, B2B;
  • В связи с переносом срока обязательного применения МЧД на 1 сентября 2023 года в случае использования сертификатов, выданных на доверенное лицо, сроки выдачи АУЦ КЭП на сотрудников и сроки действия таких сертификатов также будут продлены и ограничены этой датой;
  • Ожидается, что начиная с 1 сентября 2023 года квалифицированные сертификаты на сотрудников (ЭЦП сотрудника) с указанием в сертификате реквизитов организации более не будут применяться.

3. Квалифицированный сертификат ЭП выдан на физическое лицо

Особенности:

  • Состав сертификата, выданного на физическое лицо не содержит указания на организацию. Все данные принадлежат только физическому лицу:

    Данные на физическое лицо в квалифицированном сертификате ЭП, выданном сотруднику
    Данные на физическое лицо в квалифицированном сертификате ЭП, выданном сотруднику
  • Если сотрудник использует собственный сертификат для выполнения рабочих задач, то его обычно оплачивает работодатель (компенсирует стоимость). В остальных случаях сотрудник оплачивает самостоятельно;
  • Сертификат можно получить в АУЦ, список которых размещается на сайте Минцифры.

Риски:

  • Использование сотрудником собственного сертификата в комбинации с МЧД для целей организации может предполагать необходимость использовать такой сертификат для автоматического формирования подписи. В этом случае существует риск компрометации ключа для физического лица;
  • Выпуск, перевыпуск, отзыв КЭП полностью контролируются сотрудником и для организации существуют риски остаться в какой-то момент без возможности подписать документы или выполнить другие действия из-за отсутствия действующего сертификата;
  • Необходимо помнить, что сертификат позволяет осуществить юридически значимые действия в отношении имущества физического лица (например, подписать договор купли продажи личного имущества), а также принять на себя обязательства (подписать кредитный договор и т.п.).

Перспективы:

  • Поскольку в сертификате нет указания на юридическое лицо (ИП), то такой сертификат может быть использован как самим физлицом для личных целей, так и совместно с машиночитаемой доверенностью. Представлять интересы доверителя можно в соответствии с полномочиями, указанными в МЧД;
  • Важно различать типы сертификатов и их назначение;
  • Есть возможность получения квалифицированных и неквалифицированных сертификатов с облачным размещением закрытой части ключа (в специальной ячейке на стороне удостоверяющего центра) и идентификацией через Госуслуги.

2. Использование ЭП сотрудника для КЭДО и внутреннего ЭДО

В этом случае ключи и сертификаты выпускаются на физическое лицо.

Если организация планирует перейти на ведение кадрового документооборота в электронном виде (КЭДО), прежде всего, нужно будет решить несколько вопросов. Посмотрим, что в результате может получиться:

1. В какой системе (среде) будет осуществляться документооборот.

Вариант 1:

  • Типовые возможности существующих программ учета.

Возможности и ограничения:

  • использовать типовое решение можно без дополнительных затрат;
  • в организации могут быть ограничения по доступу в программу кадрового учета для всех сотрудников.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

Вариант 2:

  • Отдельное решение интегрированное с системой кадрового учета, позволяющее использовать личные кабинеты сотрудников.

Возможности и ограничения:

  • можно адаптировать решение «под себя»;
  • дополнительные затраты на интеграцию.

Что нужно сделать: анализ решений по организации кадрового ЭДО и выбрать оптимальное.

2. Определиться с видом электронной подписи.

Вариант 1:

  • Простая электронная подпись (ПЭП).

Ограничение: при использовании ПЭП существует ряд ограничений при подписании документов и придания им юридической значимости.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

Вариант 2:

  • Усиленная электронная подпись: квалифицированная, неквалифицированная (УКЭП, УНЭП).

Ограничение: усиленные сертификаты ЭП создаются с участием Удостоверяющего Центра.

Что нужно сделать: необходим анализ возможности использования того или иного вида ЭП.

Подключение сервиса 1С:Кабинет сотрудника от официального партнера 1С

3. Какой тип хранения ключей ЭП будет использоваться.

Вариант 1:

  • Ключи будут храниться на физической носителе (токене, флешке).

Возможности и ограничения:

  • может быть ограничение на использование usb носителей в связи с информационной безопасностью, а хранение иным способом (в реестре на компьютере владельца) может привести к компрометации ключа;
  • у части сотрудников по роду деятельности нет компьютера на рабочем месте;
  • есть возможность использовать ключи для взаимодействия владельца от своего имени для внутреннего и кадрового ЭДО;
  • есть возможность использовать ключи для взаимодействия владельца от своего имени для других юридически значимых действий, если они не содержат ограничений по виду ЭП.

Что нужно сделать: При использовании «железных» сертификатов необходимо настроить рабочее место сотрудника, установить программы криптозащиты информации для создания файла подписи. Дополнительные расходы и администрирование.

Вариант 2:

  • Хранение ключей будет в облачном хранилище УЦ ФНС.

Ограничение: хранение ключей в облаке может ограничить их применение только в той системе, с которой выполнена интеграция.

Что нужно сделать: необходима интеграция с облаком УЦ и использование второго фактора для подтверждения (программы myDSS или кода из СМС). Возможны дополнительные затраты.

4. Определиться, где и по какой схеме сотрудники будут получать ключи для создания подписи.

Вариант 1:

  • Самостоятельно в любом коммерческом УЦ.

Возможности и ограничения:

  • временные трудопотери для посещения точки выдачи УЦ;
  • стоимость сертификата.

Что нужно сделать:

  • необходим анализ для выбора УЦ;
  • выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

Вариант 2:

  • Централизованно с использованием инструментов интеграции с ресурсами выбранного УЦ (т.е. через корпоративный центр регистрации – КЦР).

Возможности и ограничения:

  • схема формирования запросов на выпуск сертификатов предусматривает минимальные трудозатраты сотрудников;
  • стоимость облачных сертификатов ключей ЭП значительно ниже «железных»;
  • интеграция с УЦ может сопровождаться ежегодными затратами на использование ресурсов КЦР (лицензии);
  • первичные затраты на интеграцию.

Что нужно сделать:

  • необходим анализ для выбора УЦ;
  • выбор интегратора для реализации использования облачных сертификатов в типовых решениях в учетных системах, а также для автоматизации формирования запросов для выпуска ЭП.

В завершении хочется отметить, что без делегирования полномочий невозможно будет успешно вести бизнес. И сотрудники, осуществляя доверенные действия, помогут успешно решать поставленные задачи. Главное, используя новые инструменты, хорошо понимать границы ответственности и риски.

Рассказать друзьям
Предыдущая статья статья
Порядок обмена электронными перевозочными документами
Следующая статья статья
Создание и настройка внешней печатной формы в 1С
Комментарии