Получение электронной подписи: Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Содержание

Приказ от 30.12.2020 № ВД-7-24/[email protected] | ФНС России

77 город Москва

Дата публикации: 04.08.2021

Об утверждении Порядка реализации Федеральной налоговой службой функций аккредитованного удостоверяющего центра и исполнения его обязанностей

Дата документа: 30.12.2020
Вид документа: Приказ
Принявший орган: ФНС России
Номер: ВД-7-24/[email protected]
Тип ситуации:

В соответствии с частью 61 статьи 15 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; 2019, № 52, ст. 7794), пунктом 1 Положения о Федеральной налоговой службе, утвержденного постановлением Правительства Российской Федерации от 30.09.2004 № 506 «Об утверждении Положения о Федеральной налоговой службе» (Собрание законодательства Российской Федерации, 2004, № 40, ст. 3961; 2017, № 15, ст. 2194), в целях обеспечения реализации Федеральной налоговой службой функций аккредитованного удостоверяющего центра и исполнения его обязанностей, в связи с принятием Федерального закона от 27.12.2019 № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона

«О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (Собрание законодательства Российской Федерации, 2019, № 52, ст. 7794; 2020, № 26, ст. 3997) приказываю:

  1. Утвердить Порядок реализации Федеральной налоговой службой функций аккредитованного удостоверяющего центра и исполнения его обязанностей согласно приложению к настоящему приказу.
  2. Руководителям (исполняющим обязанности руководителя) управлений Федеральной налоговой службы по субъектам Российской Федерации довести настоящий приказ до нижестоящих налоговых органов.
  3. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы, координирующего вопросы обеспечения работы Удостоверяющего центра Федеральной налоговой службы.
  4. Настоящий приказ вступает в силу с 1 сенября 2021 года и действует до 1 сентября 2027 года.

 

 

Руководитель Федеральной
налоговой службы
Д.В.Егоров

Порядок получения электронной подписи в удостоверяющем центре, как и где получить электронную подпись для торгов

Многие предприниматели задаются вопросом «где получить электронную подпись?» Все передовые российские компании уже принимают активное участие в электронных торгах, за которыми, несомненно, будущее мирового рынка.

Именно применение электронной подписи позволяет регистрироваться на торговых площадках и заключать сделки на расстоянии.

Как сделать электронную подпись?

Для того чтобы получить ЭП, вам необходимо обратиться в удостоверяющий центр (УЦ) вашего региона.

Удостоверяющий центр — специальная организация, имеющая лицензию на выдачу ЭП. Одними из таких организаций, к которым обращаются многие клиенты Центра Реализации, являются УЦ Компания «ТЕНЗОР», Удостоверяющий центр ekey. ru, Удостоверяющий центр ОАО «ИнфоТеКС Интернет Траст», Удостоверяющий центр ООО «Электронный экспресс», Удостоверяющий центр ООО «Центр информационной безопасности»,Удостоверяющий центр ООО «Интернет Технологии и Коммуникации», Удостоверяющий центр АНО «Белинфоналог», Удостоверяющий центр ФГУП «ЦентрИнформ», Удостоверяющий центр ЗАО «Национальный удостоверяющий центр»,Удостоверяющий центр ООО ИЦ «Выбор», Удостоверяющий центр ЗАО «ТаксНет», Удостоверяющий центр ООО «Сертум-Про», Удостоверяющий центр ЗАО «Производственная фирма «СКБ Контур», Удостоверяющий центр ООО «ПНК», Удостоверяющий центр ЗАО «Ирбис», Удостоверяющий центр ООО «РПЦ» Партнер», Удостоверяющий центр ООО «Центр развития», Удостоверяющий центр ООО «ЕСТП», Удостоверяющий центр «Е-Портал», Удостоверяющий центр ООО «Новаг-Сервис», Удостоверяющий центр ООО «Аском», Удостоверяющий центр ООО «Микротрейд», Удостоверяющий центр «Такском», Удостоверяющий центр ООО «ИСБ», Удостоверяющий центр ООО «КриптоСтандарт».

Порядок получения электронной подписи достаточно прост. Сначала вам необходимо отправить в УЦ заявку на получение ЭП. После этого сотрудник УЦ свяжется с вами и сообщит порядок ваших дальнейших действий, после проверки подлинности которых УЦ сможет выдать вам ЭП.

Прежде чем вам будет выдана электронная подпись, удостоверяющий центр проверит подлинность учредительных документов, сканированные копии которых вы должны будете отправить.

Завершается регистрация электронной подписи генерацией открытого и закрытого ключей на специальном носителе. Кроме того, вам будет выдан сертификат в электронном и бумажном виде, заверенный, соответственно, ЭП и печатью УЦ.

Теперь, когда ваша электронная подпись для торгов готова, остается начать ее применять. Настроить программное обеспечение вашего компьютера и научиться подписывать документы очень легко. В случае возникновения проблем специалисты помогут вам.

Заявка на получение сертификата ЭП

Форма заявки в УЦ order.ekey.ru:


 

АЭТП — Получение электронной подписи

Горячая линия
8-800-2000-100
(звонок бесплатный)

Заявка на получение электронной подписи

Приобретение USB-токен для электронных торгов АО «Самрук Казына» (Республика Казахстан)

Получение лицензии «КриптоАРМ»

Продуктовая линейка «КриптоПро»

Список регионов в которых возможен выпуск ЭП

Процедура получения электронной подписи

В течение рабочего дня после получения регистрационной карты ответственный сотрудник авторизованного Ассоциацией Удостоверяющего Центра связывается с Заказчиком для выставления счета на ЭП и оформления договора. Удостоверяющий центр вправе потребовать дополнительные документы в случае необходимости. Информация о дополнительных документах будет содержаться на сайте УЦ и в электронном письме.

Для корректной работы ЭП на торговых площадках выпущенный сертификат должен быть зарегистрирован в реестре Ассоциации электронных торговых площадок. Для регистрации открытую часть сертификата необходимо направить по адресу [email protected]

Для получения квалифицированного сертификата ключа проверки электронной подписи Заказчик в соответствии с требованиями Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» предоставляет в удостоверяющий центр следующие документы либо их надлежащим образом заверенные копии и сведения:

  1. основной документ, удостоверяющий личность;
  2. номер страхового свидетельства государственного пенсионного страхования заявителя — физического лица;
  3. идентификационный номер налогоплательщика заявителя — физического лица;
  4. основной государственный регистрационный номер заявителя — юридического лица;
  5. основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя заявителя — индивидуального предпринимателя;
  6. номер свидетельства о постановке на учет в налоговом органе заявителя — иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя — иностранной организации;
  7. доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц.

Получение ЭЦП в удостоверяющем центре ЗАО «Контур-Иркутск»

Удостоверяющий центр СКБ Контур — крупнейший коммерческий удостоверяющий центр России. Выпускает сертификаты электронной цифровой подписи (ЭЦП) и электронной подписи (ЭП) с 2003 года. В соответствии с требованиями действующего законодательства, с 01 июля 2013 года Удостоверяющий центр СКБ Контур будет выпускать сертификаты электронной подписи (ЭП) следующих видов: сертификаты усиленной квалифицированной электронной подписи (КЭП) и сертификаты усиленной неквалифицированной электронной подписи (НЭП). Вы можете приобрести электронную подпись для аукционов, а также купить ЭП для систем электронного документооборота или отправки электронных отчетов в контролирующие органы.

ЭП для участия в торгах от Удостоверяющего центра СКБ Контур действуют на всех электронных торговых площадках госзаказа, а также на ведущих коммерческих площадках страны. Начните получение ЭП для электронных торгов с заполнения заявки на нашем сайте.

По вашему запросу электронная подпись может быть выпущена в течение часа. Просто закажите специальный тариф, позволяющий получить ЭП для торгов в экспресс-режиме.

Преимущества Удостоверяющего центра СКБ Контур

Вам не нужно получать выписку из ЕГРЮЛ или ЕГРИП для получения ЭЦП! Своим клиентам ЗАО «Контур-Иркутск» предлагает уникальную услугу — получение выписки из ЕГРЮЛ/ЕГРИП за клиента! То есть вам не нужно ходить в ФНС за выпиской — мы это сделаем за вас! При переходе к нам из другого УЦ данная услуга бесплатна!

Скидка 10% при переходе из другого УЦ! Для получения скидки 10% на выпуск ЭЦП достаточно предоставить договор или акт от другого УЦ, в котором ранее выпускалась

ЭЦП.

Оперативность. Как правило, сертификат ЭЦП готов к выдаче клиенту уже в день оплаты! То есть изготовление занимает менее суток. Кроме того, предусмотрен специальный тариф, который предусматривает выпуск сертификата всего за 1 час!

Расширенное сервисное обслуживание. УЦ СКБ Контур предлагает клиентам пакет дополнительных услуг: от настройки ЭЦП и СКЗИ на компьютере абонента до неограниченной замены сертификата в случае его утери или поломки токена.

Круглосуточная техническая поддержка. Федеральный call-центр работает в режиме 24*7. Специалисты Удостоверяющего центра отвечают на вопросы пользователей в любое время.

Высокий уровень безопасности. УЦ СКБ Контур имеет необходимый уровень технической защиты в соответствии с требованиями ФСТЭК, что подтверждается наличием аттестата соответствия требованиям по безопасности информации по классу 1Г. Кроме этого, УЦ лицензирован ФСБ на работу со средствами криптографической защиты информации.

Надежность инфраструктуры. Сертификаты УЦ СКБ Контур — это гарантия вашей спокойной работы без рисков. Участвуйте в аукционах, заключайте контракты — ваша ЭЦП будет действовать в течение всего установленного срока.

Защита ваших рабочих мест. Своим клиентам ЗАО «Контур-Иркутск» бесплатно предоставляет антивирус Dr.Web Enterprise Security Suite на два месяца на 100 ПК и 10 серверов.

Как создать электронную подпись

4 способа поставить электронную подпись

Электронная подпись и все подписи кажутся надежными золотыми самородками юридического мира, но они более податливы, чем вы могли ожидать. Если вам нужны только методы для создания электронной подписи, переходите вниз, но для получения дополнительной информации сначала прочтите.

Немного истории об электронных подписях

Вы можете создавать различные виды электронной подписи разными способами.Вы можете ввести, коснуться, нарисовать или загрузить изображение, чтобы сделать свою подпись. Ваша подпись может состоять из отметки флажка или каракулей «X» (при условии, что вы всегда надежно делали это для своей подписи). Это может быть криптографический «ключ».

Вы можете использовать все это для подписи документа.

Но не всегда, даже если вы используете «подпись». Примените электронную подпись, и это все равно ничего не значит (подписание электронной карты), в то время как быстрая отметка флажка может означать, что вы только что подписали контракт…

Разница между «электронной подписью», которая что-то означает или ничего не означает, зависит от контекста.

Первым электронно подписанным контрактом в Великобритании было электронное письмо, «подписанное» именем, указанным внизу, или, другими словами, подписанное, как и любое другое электронное письмо, когда-либо отправленное. Но оказалось, что контент можно квалифицировать как контракт, и напечатанное имя в этом контексте было электронной подписью человека.

Ваша подпись является вашим изображением, и то, что вы ее написали, или ее применение, свидетельствует о ваших намерениях.Это подтверждение вашего намерения, необходимое для создания действующей электронной подписи.

Вот почему вы можете нацарапать «X» внизу документа или поставить галочку в поле, и при этом будет считаться, что вы подписали этот документ.

4 способа создания электронной подписи

1. Обычная подпись ручкой, бумагой и телефоном — «старый» метод электронной подписи. Подпишите свое имя на листе бумаги, сфотографируйте его, а затем вырежьте его в редакторе фотографий на рабочем столе, чтобы получить аккуратное изображение вашей подписи.Многие люди примут их, если они будут вставлены в документ и отправлены им обратно.

2. Базовая подпись с помощью Adobe Reader. Reader имеет встроенную функцию подписи. Вы увидите небольшой значок перьевой ручки вдоль верхней панели, нажмите на него, а затем на опцию «Подписать», которая появится ниже. Введите или нацарапайте свою подпись, а затем разместите ее на странице. Сохраните PDF-файл и отправьте его отправителю по электронной почте.

3. Квалифицированная электронная подпись. Европейский регламент об электронных подписях (eIDAS) определяет подпись верхнего уровня, называемую «квалифицированной» подписью.Вы можете получить квалифицированную подпись, основанную на криптографии. У каждого из них будет свой способ применения к документу. В некоторых европейских странах квалифицированная подпись может быть связана с вашей идентификационной картой. Если документ не требует квалифицированной подписи и у вас ее еще нет, возможно, вам лучше выбрать «расширенную» электронную подпись — читайте дальше.

4. Расширенная электронная подпись с помощью программного обеспечения для подписи Legalesign. Если кто-то отправил вам документ для подписи через Legalesign, это просто.Щелкните ссылку, отправленную вам по электронной почте, пройдите любую дополнительную проверку (например, проверку по SMS), а затем подпишите документ, используя параметры, разрешенные отправителем. Это может быть подпись, нарисованная касанием / мышью, напечатанная или загруженная подпись (даже если вы создали изображение с помощью метода 1 и загрузили его в Legalesign, в нашем контексте это становится «расширенной электронной подписью»). Заполните любые другие поля формы и сделайте окончательные подтверждения. Вам просто нужно будет подписать «расширенную» электронную подпись.Если вы хотите подписать отправленный вам документ или отправить документ для подписи, подпишитесь на бесплатную пробную версию сейчас, и вы получите пять бесплатных электронных подписей.

Если вы хотите узнать больше об электронной подписи или о программном обеспечении Legalesign и о том, как оно может вам помочь, свяжитесь с нашими экспертами для неформальной беседы сегодня.

Правильный способ сбора электронных подписей

Сбор подписей в Интернете может сэкономить вам много хлопот, но есть некоторые вещи, о которых вам нужно знать, если вы собираетесь максимально использовать программное обеспечение для электронной подписи.В этом руководстве мы рассмотрим важные элементы электронных подписей, чтобы вы могли уверенно двигаться вперед.

Зачем нужны электронные подписи?

Преимущества электронных подписей неоспоримы. Заменив бумажные подписи электронными версиями, вы можете сэкономить время, повысить безопасность, обеспечить соответствие требованиям и многое другое:

Электронные подписи более безопасны.

Поскольку электронные подписи сокращают потребность в печати, сканировании и отправке по электронной почте, они значительно снижают вероятность того, что подписанные документы попадут в чужие руки.Дополнительные функции, такие как шифрование и защита паролем, могут быть использованы для дальнейшего повышения безопасности — варианты, которые недоступны для бумажных подписей.

Электронные подписи собираются быстро.

Электронные подписи могут быть заполнены и сохранены в течение нескольких минут, что исключает длительное время ожидания, которое часто сопровождает запросы на подпись ручкой и бумагой. В зависимости от программного решения eSignature, которое вы используете, вы даже можете получать электронные подписи по электронной почте или текстовым сообщением.

Электронные подписи легко зарегистрировать.

Когда клиентам и коллегам предоставляется возможность подписывать документы в Интернете, готовые файлы можно автоматически отправлять в онлайн-хранилище. Это устраняет необходимость в ручном хранении и может сократить время, которое часто тратится на просмотр папок или перетасовку бумажных копий в поисках подписанного документа.


Когда нужна электронная подпись?

Каждый раз, когда вы просите кого-то отправить, отсканировать или отправить по электронной почте традиционно подписанный документ, есть возможность перейти на электронную подпись.Электронные подписи можно использовать для контрактов с поставщиками, соглашений об условиях обслуживания, конкурсов, петиций, освобождения от ответственности, соглашений о неразглашении информации, отчетов об инцидентах, форм HR и т. д. Например:

  • Высшие учебные заведения могут использовать программное обеспечение для электронной подписи, чтобы упростить процесс сбора подписанных регистрационных форм, заявок на этическую экспертизу, предложений по грантам и утверждений пожертвований выпускников мероприятий
  • CPA могут использовать программное обеспечение электронной подписи для ускорения налоговой декларации отправка документов и обеспечение безопасности данных клиентов.
  • Страховые агентства, которые полагаются на решения для электронной подписи, могут быстрее предоставлять расценки и обрабатывать претензии, что, в свою очередь, позволяет этим компаниям повысить производительность и улучшить качество обслуживания клиентов.

Законны ли электронные подписи?

В соответствии с Законом об электронных подписях в глобальной и национальной торговле (ESIGN) электронные подписи имеют такую ​​же юридическую силу, как и их ручные и бумажные копии.

Это означает, что собранные вами электронные подписи имеют обязательную юридическую силу в каждом штате, где применяется федеральный закон.Кроме того, некоторые юрисдикции разработали собственное законодательство или приняли Единый закон об электронных транзакциях (UETA).

Чтобы собрать электронные подписи, которые будут доказаны в суде, важно помнить о нескольких факторах:

Во-первых, должно быть законное намерение подписать. Это означает, что вы не можете оставить никаких сомнений в том, что подписавший намеренно подписал рассматриваемый документ. Один из способов добиться этого в электронном виде — включить обязательную кнопку «принять», которую нужно выбрать перед отправкой подписи.Другой вариант — заставить подписывающих лиц использовать курсор или сенсорную панель, чтобы целенаправленно «рисовать» свои имена.

Во-вторых, вы должны убедиться, что есть согласие на ведение бизнеса в электронном виде. Например, если ваша компания использует онлайн-формы для сбора подписей, вы можете добавить пункт о согласии и потребовать от подписывающих лиц «щелкнуть, чтобы принять» перед отправкой электронной подписи.

И, наконец, важно сохранить все записи, связанные с электронной подписью, например полную копию подписанного цифрового документа.

Рекомендации по сбору электронных подписей

По мере того, как вы приобретаете привычку собирать подписи в электронном виде, важно помнить о нескольких передовых методах:

Убедитесь, что ваше программное обеспечение безопасно.

При выборе решения электронной подписи обратите внимание на расширенные функции безопасности, такие как шифрование документов и 256-битный протокол AES SSL. Это обеспечит безопасность ваших электронных подписей с помощью той же технологии, которая используется для защиты банковских транзакций.

Следите за соблюдением требований.

Если вы работаете в отрасли, регулируемой конкретными стандартами или требованиями, убедитесь, что любые используемые вами решения облегчат соблюдение этих требований. Например, подписи, собранные для документации, содержащей данные пациентов, необходимо будет обработать с помощью программного обеспечения, предназначенного для снижения риска несоблюдения требований HIPAA.

Оптимизируйте процесс с помощью шаблонов.

Вместо того, чтобы заново создавать файлы и добавлять поле подписи к каждому из них, создайте шаблоны для документов, которые вы используете чаще всего.Еще лучше выбрать решение для электронной подписи, которое позволит вам использовать ваши данные для простого заполнения динамических разделов каждого шаблона в зависимости от того, кто будет отправлять электронную подпись.

Заключение

Электронные подписи могут помочь вашему бизнесу развиваться быстрее, работать лучше и повысить удобство для всех участников. С правильным программным обеспечением для электронной подписи все, что вам нужно сделать, это создать шаблон, перетащить поля и отправить документ соответствующим сторонам для подписи. Поскольку их так легко заполнить, ответ будет мгновенным.Это означает превосходный опыт для ваших клиентов и большую продуктивность для вас.


Готовы начать работу с электронными подписями? Получите все необходимые функции по одной доступной цене с Formstack Sign. Узнайте, что вы можете сделать с лучшим в отрасли решением для электронной подписи .

Электронная подпись — Начало работы

Общественные организации

Как вы можете внедрить электронные подписи в вашей государственной администрации или правительственном учреждении.Все инструменты и услуги CEF доступны бесплатно.

1 Ознакомьтесь с законодательством и стандартами

Регламент eIDAS (910/2014) устанавливает правовую основу для электронных подписей в ЕС. Он определяет, кто может использовать электронные подписи и в каком контексте. Чтобы обеспечить возможность создания и проверки электронных подписей в любой точке Европы, был определен ряд стандартов для их реализации.

Прочтите наше краткое изложение законодательства и узнайте, что вам нужно сделать, чтобы соответствовать требованиям.

2 Определите ваши потребности

Примите во внимание потребности вашей организации и определите, какие типы документов должны иметь цифровую подпись и в каких вариантах использования. Как правило, это соглашения большого объема с низким уровнем риска, такие как кадровые документы, но они также могут быть документами, используемыми при вашем взаимодействии с гражданами.

3 Выберите тип электронной подписи

Существуют разные типы электронных подписей с разным уровнем доверия: простые, расширенные и квалифицированные.Квалифицированные электронные подписи, например, имеют высший уровень доверия и имеют такой же юридический статус, что и собственноручная подпись. Оцените, какой тип электронной подписи подходит в вашем случае. Для этого необходимо принять во внимание практические детали и юридический риск, сбалансировать стоимость реализации с риском проиграть судебный иск.

Имейте в виду, что электронные печати аналогичны электронным подписям, но используются юридическими лицами, такими как предприятия или государственные организации.

4 Определите вашу ИТ-спецификацию

В зависимости от ваших потребностей и выбранного типа электронной подписи уточните свои требования и определите ИТ-спецификации, чтобы сформировать рабочий процесс, архитектуру приложений и средства контроля безопасности.

5 Решите, как включить цифровые подписи

Для электронной подписи документа вам потребуется цифровое приложение. Вы можете создать собственное решение самостоятельно или найти поставщика решений, который может адаптировать свой продукт к вашим потребностям. Ознакомьтесь с нашим обзором документации и службами поддержки, которые помогут вам разработать решение. Рассмотрите преимущества перехода на цифровую подпись с помощью CEF eSignature и оцените свое право на получение финансирования CEF.

Если вы выбираете подход поставщика решений, вы можете пропустить два следующих шага и перейти к разделу 8.

6 Использовать библиотеку с открытым исходным кодом eSignature DSS

Вы можете использовать библиотеку с открытым исходным кодом программного обеспечения цифровой подписи (DSS), чтобы гарантировать, что ваши электронные подписи и электронные печати созданы и проверены в соответствии с европейским законодательством и стандартами. Вы можете принять DSS как таковой или использовать его как эталонную реализацию. Нужна помощь на этом этапе? Свяжитесь с нашей службой поддержки для получения информации и поддержки.

7 Сделайте ваше решение совместимым

Если ваше решение основано на DSS, оно уже соответствует требованиям, и вы можете пропустить этот шаг.Если вы разработали собственное приложение для подписи без DSS, вы можете проверить совместимость и соответствие вашего решения для электронной подписи с помощью нашей ETSI Signature Conformance Checker. Вы также можете проверять квалифицированные и расширенные подписи и печати, используя нашу квалифицированную электронную подпись — алгоритм проверки QES.

8 Получите цифровой сертификат у Trust Service Provider

Для цифровой подписи документа с использованием расширенной или квалифицированной электронной подписи у вас должен быть действующий цифровой сертификат.Цифровые сертификаты похожи на цифровое удостоверение личности и предоставляются поставщиками услуг доверия. Получите доступ к нашему браузеру доверенных списков электронной подписи, чтобы выбрать из более чем 200 активных поставщиков услуг доверия.

Обратите внимание, что некоторые поставщики решений для подписи имеют партнерские отношения с TSP, чтобы облегчить предоставление цифровых сертификатов и упростить процесс.

9 Начало электронной подписи документов

Вы и ваше приложение готовы начать цифровую подпись документов.

Вопросы? Свяжитесь с нашей службой поддержки электронной подписи. Все инструменты и услуги CEF доступны бесплатно.

Вы работаете в учреждении ЕС?

Запросить семинар с CEF Digital

Мы предлагаем экспертные консультации и консультации по электронным подписям и связанным вопросам для учреждений и органов ЕС. Мы можем помочь вам приступить к использованию электронных подписей и электронных печатей, разбить юридические и технические концепции и помочь во внедрении этих услуг в ваши текущие бизнес-платформы и процессы.

Свяжитесь с CEF

Компании

Как начать подписывать документы в электронном виде в пределах ЕС

1 Ознакомьтесь с законодательством и стандартами

Регламент eIDAS (910/2014) устанавливает правовую основу для электронных подписей в ЕС. Он определяет, кто может использовать электронные подписи и в каком контексте. Чтобы обеспечить возможность создания и проверки электронных подписей в любой точке Европы, был определен ряд стандартов для их реализации.

Прочтите наше краткое изложение законодательства и узнайте, что вам нужно сделать, чтобы соответствовать требованиям.

2 Определите ваши потребности

Рассмотрите потребности вашей организации и определите, какие типы документов необходимо подписывать цифровой подписью и в каких вариантах использования. Как правило, это соглашения большого объема с низким уровнем риска, такие как документы по персоналу, но также могут быть документы о продажах и закупках или касающиеся адаптации клиентов.

3 Выберите тип электронной подписи

Существуют разные типы электронных подписей с разным уровнем доверия: простые, расширенные и квалифицированные.Квалифицированные электронные подписи, например, имеют высший уровень доверия и имеют такой же юридический статус, что и собственноручная подпись. Оцените, какой тип электронной подписи подходит в вашем случае. Для этого необходимо принять во внимание практические детали и юридический риск, сбалансировать стоимость реализации с риском проиграть судебный иск. Любая подпись может быть оспорена, но такие функции, как контрольный журнал электронной подписи, выбор реализации (одноразовый PIN-код через SMS; конкретный щелчок, чтобы принять положения и условия) или добавление квалифицированной подписи, дают вам уверенность, если вам придется защищать что-то в суде.

Обратите внимание, что вы также можете запросить подписи на основе сертификатов у подписывающих сторон за пределами вашей организации.

Имейте в виду, что электронные печати аналогичны электронным подписям, но используются юридическими лицами, такими как предприятия или государственные организации.

4 Определите свои ИТ-спецификации

В зависимости от ваших потребностей и выбранного типа электронной подписи уточните свои требования и определите ИТ-спецификации, чтобы сформировать рабочий процесс, архитектуру приложений и средства контроля безопасности.

5 Решите, как включить цифровые подписи

Для электронной подписи документа вам потребуется цифровое приложение. Вы можете создать собственное решение самостоятельно или найти поставщика решений, который может адаптировать свой продукт к вашим потребностям. Ознакомьтесь с нашей документацией и услугами поддержки, чтобы помочь вам составить решение. Рассмотрите преимущества перехода на цифровую подпись с помощью CEF eSignature и оцените свое право на получение финансирования CEF.

Если вы выбираете подход поставщика решений, вы можете пропустить два следующих шага и перейти к разделу 8.

6 Использовать библиотеку с открытым исходным кодом eSignature DSS

Вы можете использовать библиотеку с открытым исходным кодом программного обеспечения цифровой подписи (DSS), чтобы гарантировать, что ваши электронные подписи и электронные печати созданы и проверены в соответствии с европейским законодательством и стандартами. Вы можете принять DSS как таковой или использовать его как эталонную реализацию. Нужна помощь на этом этапе? Свяжитесь с нашей службой поддержки для получения информации и поддержки.

7 Сделайте ваше решение совместимым

Если ваше решение основано на DSS, оно уже соответствует требованиям, и вы можете пропустить этот шаг.Если вы разработали собственное приложение для подписи без DSS, вы можете протестировать совместимость и соответствие ваших решений для электронной подписи с помощью нашей ETSI Signature Conformance Checker. Вы также можете проверять квалифицированные и расширенные подписи и печати с помощью нашей квалифицированной электронной подписи — алгоритм проверки QES

8 Получить цифровой сертификат от Trust Service Provider

Для цифровой подписи документа с использованием расширенной или квалифицированной электронной подписи у вас должен быть действующий цифровой сертификат.Цифровой сертификат аналогичен цифровому идентификатору, и они предоставляются поставщиками услуг доверия. Получите доступ к нашему браузеру доверенных списков электронной подписи, чтобы выбрать из более чем 200 активных поставщиков услуг доверия.

Обратите внимание, что некоторые поставщики решений для подписи имеют партнерские отношения с TSP, чтобы облегчить предоставление цифровых сертификатов и упростить процесс.

9 Начало электронной подписи документов

Вы и ваше приложение готовы начать цифровую подпись документов.

Вопросы? Свяжитесь с нашей службой поддержки электронной подписи. Все инструменты и услуги CEF доступны бесплатно.

Поставщики решений

Если вы хотите предложить решения для электронной подписи, соответствующие Регламенту eIDAS, вам нужно сделать несколько вещей в первую очередь.

1 Ознакомьтесь с законодательством и стандартами

Регламент eIDAS (910/2014) устанавливает правовую основу для электронных подписей в ЕС.Он определяет, кто может использовать электронные подписи и в каком контексте. Чтобы обеспечить возможность создания и проверки электронных подписей в любой точке Европы, был определен ряд стандартов для их реализации.

Прочтите наше краткое изложение законодательства и узнайте, что вам нужно сделать, чтобы соответствовать требованиям.

2 Объем вашего предложения

Соберите бизнес-потребности рынка или целевой группы пользователей и преобразуйте их в требования. Имейте в виду, что электронные печати аналогичны электронным подписям, но используются юридическими лицами, такими как предприятия или государственные организации.Существуют разные типы электронных подписей и электронных печатей с разным уровнем доверия: простые, расширенные и квалифицированные. Квалифицированные электронные подписи, например, имеют высший уровень доверия и имеют такой же юридический статус, что и собственноручная подпись. Оцените требования для каждого типа и определите, какие типы продуктов для электронной подписи вы будете предлагать.

3 Развивайте свое решение с помощью наших услуг

Как поставщик услуг, вы можете создать свое решение с помощью нашей библиотеки с открытым исходным кодом, программного обеспечения цифровой подписи (DSS).DSS поддерживает создание и проверку совместимых и безопасных электронных подписей в соответствии с Регламентом eIDAS. Вы можете принять DSS как таковой или использовать его как эталонную реализацию. Ознакомьтесь с нашей документацией и услугами поддержки, чтобы помочь вам составить решение. Рассмотрите преимущества перехода на цифровую подпись с помощью CEF eSignature и оцените свое право на получение финансирования CEF.

4 Проверить совместимость и соответствие

Если ваше решение основано на DSS, оно уже соответствует требованиям, и вы можете пропустить этот шаг.Если вы разработали собственное приложение для подписи без DSS, вы можете протестировать совместимость и соответствие ваших решений для электронной подписи с помощью нашей ETSI Signature Conformance Checker. Вы также можете проверять квалифицированные и расширенные подписи и печати, используя нашу квалифицированную электронную подпись — алгоритм проверки QES.

5 Доступ к нашему браузеру доверенных списков

Получите доступ к нашему браузеру списков доверенных лиц, чтобы найти более 200 активных поставщиков доверенных услуг, которые аккредитованы для обеспечения высочайшего уровня соответствия Регламенту электронной подписи eIDAS ЕС.

6 Предлагать и продвигать услуги

Вы готовы начать предлагать и продвигать свои услуги.

Вопросы? Свяжитесь с нашей службой поддержки электронной подписи. Все инструменты и услуги CEF доступны бесплатно.

Третьи страны

Пилотный проект по международной совместимости трастовых услуг нацелен на то, чтобы проиллюстрировать, как взаимное признание между ЕС и третьей страной (далее третья страна) квалифицированных поставщиков трастовых услуг (QTSP) и квалифицированных трастовых услуг (QTSs) ) Они предоставляют (далее вместе QTSP / QTS) могут быть (технически) реализованы в соответствии со Статьей 14 eIDAS.

Для получения дополнительной информации щелкните здесь.

Citizens

Обработка бумажных документов может потребовать больших усилий. Подсчитайте время, которое обычно у вас уходит на то, чтобы распечатать документы один за другим, подписать документы, подготовить документы к отправке и дождаться, пока почтовое отделение или курьер дойдет до получателя.

Использование электронной подписи упрощает подписание документов. Получив документ, все, что вам нужно сделать, это подписать его электронной подписью и отправить документ получателю по электронной почте.

1 Получите цифровой сертификат от Trust Service Provider

Чтобы подписать документ цифровой подписью, у вас должен быть действующий цифровой сертификат, который похож на цифровое удостоверение личности. Цифровые сертификаты предоставляются поставщиками услуг доверия. Получите доступ к нашему браузеру доверенных списков электронной подписи и выберите из более чем 200 активных поставщиков доверенных услуг.

Обратите внимание, что некоторые поставщики решений для подписи имеют партнерские отношения с поставщиками доверенных услуг, чтобы облегчить предоставление цифровых сертификатов и упростить пользователям получение сертификатов.

2 Выберите поставщика решения для подписи

Далее нужно выбрать приложение для подписи. Поставщики доверенных услуг или поставщики решений для электронной подписи предлагают такие приложения и другие продукты для электронной подписи. Выберите провайдера, который соответствует вашим потребностям.

3 Подпишите свой документ

Каждый поставщик услуг предложит свой пошаговый процесс цифровой подписи.

4 Отправить документ

Отправьте подписанный документ получателю по электронной почте.

Электронные подписи имеют обязательную юридическую силу

Допустимость электронной подписи в суде

Документы, подписанные электронным способом, имеют такую ​​же правовую защиту, как и документы, подписанные шариковой ручкой. Несмотря на это, основная проблема большинства предприятий, заинтересованных в получении электронных подписей на контрактах и ​​других важных документах, заключается в том, будут ли эти документы, оформленные в электронном виде, юридически действительными и приемлемыми в суде.

В Соединенных Штатах судьи снова и снова выносят решения по электронной подписи.Во многом благодаря Закону об электронной подписи, который гласит, что транзакции не должны «лишаться юридической силы» исключительно из-за их электронной формы, бизнесмены и потребители могут быть полностью уверены в том, что их электронные подписи являются юридически действительными. Если электронная подпись получена надлежащим образом с использованием соответствующих технологий, сертификатов и аутентификации, она будет иметь полную юридическую силу в соответствии с законом. Но будет ли документ принят в суд и будет ли судья выполнять условия контракта?

Срок действия, приемлемость и исковая сила

Деловые люди и потребители должны знать, что юридическая сила, приемлемость в суде и возможность принудительного исполнения — это не одно и то же.У каждой концепции есть четкое определение, набор требований и, что наиболее важно, вклад в исход юридического спора.

Закон об электронной подписи гласит, что подписи не должны лишаться юридической силы только потому, что они являются электронными, что означает, что контракт, подписанный электронным способом, может быть передан в суд. Однако готовность судьи принять этот контракт будет зависеть от того, как был подписан электронный документ.

Для того, чтобы электронная подпись была допустима в суде, должны быть соблюдены определенные критерии.Любое лицо, которое надеется представить контракт, подписанный в электронном виде, перед судьей должно иметь возможность доказать намерение подписавшего и безопасность подписанного документа. Если документ мог быть подделан или изменен каким-либо образом после его подписания, высока вероятность того, что судья откажется допустить его к рассмотрению в суде. В частности, документ, подписанный электронной подписью, может быть юридически действительным, но признан неприемлемым в суде из-за недостатков в безопасности, журналах аудита или аутентификации.Вот почему так важно, чтобы компании выбирали решение для электронной подписи, которое имеет высокую репутацию и соответствует самым высоким стандартам технической целостности.

Наконец, возможность принудительного исполнения контракта зависит не только от его действительности и допустимости, но и от содержания самого соглашения. В споре судья может проверить, были ли: условия конкретного соглашения четкими и последовательными, имелось ли соображение (обмен ценностями между сторонами), имели ли стороны правоспособность (способность) подписать, находилась ли сторона под принуждением или ненадлежащее влияние, и была ли сторона подписана по ошибке или не зная о значении соглашения.Большинство предприятий имеют доверенность или проверяют свои соглашения перед исполнением с учетом этих критериев, чтобы обеспечить максимальную возможность принудительного исполнения в будущем, если содержание документа будет рассмотрено в суде.

Критерии приемлемости

При рассмотрении допустимости документа, подписанного электронной подписью, в судебном разбирательстве судья анализирует протоколы безопасности, аудита и аутентификации технологии и процесса электронной подписи.

Безопасность

Система электронной подписи должна быть усилена протоколами безопасности на уровне банка, чтобы гарантировать, что документы и аудиторские записи никогда не будут подделаны или доступны неуполномоченным лицам.Если есть какая-либо уязвимость в системе безопасности, которая подтверждает аргумент о том, что целостность выполненного электронного документа может быть сомнительной, судья может признать документ неприемлемым.

Журналы аудита

С судебной точки зрения журналы аудита являются важной частью соблюдения правовых норм. Журналы аудита с отметками времени позволяют сторонам, включая суд, проверять, когда документ был создан, просмотрен, подписан и заархивирован. Журналы аудита должны быть подробными и защищены цифровой подписью, контрольной суммой или аналогичным методом, чтобы гарантировать их защиту от несанкционированного доступа.

Аутентификация

Чем точнее электронный документ может быть аутентифицирован, тем выше вероятность того, что судья примет этот документ в качестве доказательства в суде. Однако аутентификация документов может быть скользкой дорогой, а некоторые меры аутентификации могут быть настолько обременительными, что они умаляют доступность и удобство, которые сделали электронные подписи столь популярными. Таким образом, ключевым моментом является поиск способов аутентификации документов, которые поддаются проверке, приемлемости и защите, без подавления вовлеченных сторон.Лучшие практики аутентификации с помощью электронной подписи включают многомерный подход, который включает биометрическую аутентификацию, журналы аудита и сертификаты подписи.

Биометрическая аутентификация

Биометрическая аутентификация идентифицирует людей по внутренним физическим характеристикам. RightSignature, например, имеет запатентованную технологию биометрической аутентификации, которая фиксирует уникальные характеристики, связанные со скоростью и временем подписи человека. Этот тип данных является репрезентативным для физических перемещений конкретного человека и служит доказательством личности и намерений подписывающего лица, если любой из них будет подвергнут сомнению в суде.

Электронная почта и IP-адреса

Подтверждая доступ к определенной учетной записи электронной почты и фиксируя IP-адрес, системы электронной подписи могут связать личность подписавшего с компьютером и программным обеспечением, используемым в событии электронной подписи.

Цифровые отпечатки пальцев

Используя SHA-1 или аналогичные цифровые контрольные суммы, сложные платформы электронной подписи могут записывать доказательства каждого этапа процесса создания и подписания контракта. Это отслеживает каждое изменение и модификацию и предотвращает вмешательство кого-либо в договор в любое время.

Аутентификация фотографий с веб-камеры

Фото-аутентификация — один из самых передовых инструментов, используемых для проверки личности подписывающих сторон. Когда веб-камера или камера мобильного телефона фиксируют лицо подписавшего во время события электронной подписи, все сомнения в личности этого человека и его способности подписывать снимаются.

Свидетельства о подписи

Сертификаты подписей

, разрешенные судом, позволяют судьям и юристам просматривать и проверять данные о действительности документа, журналы аудита и информацию о подписи, такую ​​как полное имя, подпись, IP-адрес, адрес электронной почты и любые другие идентифицирующие данные.Свидетельства о подписи являются важным компонентом при проверке подлинности подписанных документов в суде.

Дополнительная аутентификация

Ряд дополнительных методов аутентификации также может помочь обеспечить приемлемость электронного контракта. Некоторые высокопроизводительные платформы электронной подписи теперь могут подтверждать номера телефонов подписывающих лиц, требуя, чтобы они вводили код, полученный с помощью телефонного звонка или текстового сообщения, прежде чем контракт может быть завершен, а также требуя, чтобы подписывающие стороны вводили свои номера водительских прав и другие личная информация для проверки их личности.

Взвешивание плюсов и минусов

Одна из самых сложных задач для предприятий, которые пытаются проводить транзакции в электронном виде, — это знать, как далеко им следует зайти при проверке и аутентификации подписантов. Для многих компаний конечной целью является создание юридически действительного и допустимого в суде контракта без создания обременительного процесса для людей, подписи которых необходимы для завершения транзакций.

Достижение этого баланса может быть трудным, поэтому многие компании выбирают надежную платформу программного обеспечения для электронной подписи при решении важных деловых вопросов в Интернете.Используя устоявшиеся технологии, предприятия могут быть уверены в том, что контракты являются юридически действительными и допустимыми, при этом обеспечивая потребителям и бизнес-партнерам беспрепятственный и интуитивно понятный процесс подписания.

Как приступить к использованию электронной подписи IVES

Если вы хотите использовать электронные подписи в формах запроса 4506-C, 4506-T или 4506T-EZ, обратитесь в назначенный вам сервисный центр. Сервис не поддерживает и не рекомендует каких-либо поставщиков электронной подписи, однако любой используемый поставщик должен соответствовать всем критериям, установленным ниже.

Экспресс-служба проверки доходов (IVES) Требования к электронной подписи

Этот документ включает требования к предлагаемой структуре, которых должны придерживаться все участники IVES, чтобы участвовать с использованием электронной подписи для форм IRS 4506-C, 4506-T или 4506T-EZ.

Справочная информация

В связи с тем, что в настоящее время в режиме онлайн происходит все больше транзакций, в последние годы возникли юридические дебаты по поводу действительности электронных контрактов и возможности принудительного исполнения электронных подписей.Закон об электронной подписи в национальной и мировой торговле, обычно называемый E-Sign, Public Law 106-229 — 30 июня 2000 г., разрешает эти дебаты, разрешая создание электронных контрактов, а также использование электронных записей, относящихся к такие соглашения. При этом он обеспечивает единые национальные стандарты использования электронных подписей, которые стали более популярными и важными за последние несколько лет. Наиболее многообещающая технология электронной подписи представлена ​​в форме «цифровых подписей», в которых используется криптография с открытым ключом.Это включает два связанных ключа: уникальный «закрытый ключ» для пользователя, который шифрует информацию, и соответствующий «открытый ключ», который разблокирует информацию и удостоверяет личность пользователя. К другим популярным в настоящее время типам электронных подписей относятся подписи с переносом при нажатии (например, кнопка «Я принимаю» на веб-сайте), пароли и биометрические подписи (например, отпечатки голоса и отпечатки пальцев).

Электронная подпись определяется как электронный звук, символ или процесс, присоединенный или логически связанный с контрактом или другой записью и выполняемый или принятый лицом с намерением подписать запись.Закон об электронной подписи в целом гласит следующее:

  1. Применяется ко всем транзакциям, если потребитель утвердительно соглашается на использование электронных процедур, если только транзакция специально не исключена в соответствии с условиями самого закона.
  2. Разрешает использование электронной подписи в любой транзакции, если обе стороны согласны на использование.
  3. Указывает, что любой документ в электронной форме или оформленный с помощью электронной подписи имеет полную исковую силу.
  4. Устанавливает требования к хранению электронных записей.
  5. Указывает, что электронные записи полностью допустимы в любом судебном разбирательстве.

Определение электронной подписи

Технологически нейтральный термин, обозначающий различные методы подписи электронного сообщения, которые (а) идентифицируют и аутентифицируют конкретное лицо как источник электронного сообщения, и (б) указывают на то, что такое лицо одобряет информацию, содержащуюся в электронном сообщении (определение из GPEA). , Public Law 105-277).Примеры технологий электронной подписи включают PIN-коды, идентификацию пользователей и пароли, цифровые подписи, цифровые подписи, а также аппаратные и биометрические токены.

Требования закона об электронных подписях

В настоящее время мы предлагаем реализовать пять требований закона об электронных подписях:

1. Подпись должна находиться под личным контролем. Подписи на основе пароля следует использовать в сочетании с PKI, штампами для подписей, электронными печатями, а также простой перенос нажатием.Для IVES мы запрашиваем использование электронной подписи.
2. Подпись должна поддаваться проверке. Технология электронной подписи будет проверять в реальном времени с помощью сложных алгоритмов или путем судебно-медицинского анализа динамики или измерений подписи.
3. Подпись должна быть уникальной. Каждая собранная подпись должна быть уникальной для человека, независимо от того, является ли это физическим измерением, например отпечатком пальца, или виртуальным измерением, например щелчком мыши.
4. Подпись должна свидетельствовать о намерении лица участвовать в сделке.Подписавшаяся сторона должна полностью осознавать цель, для которой предоставляется подпись, независимо от используемой технологии.
5. Подпись должна быть нанесена с защитой от вскрытия. Необходимо использовать стандартное шифрование для защиты подписей пользователей и целостности документов, к которым они прикреплены.

Участники IVES должны соблюдать предлагаемую структуру требований к электронной подписи IVES

1. Аутентификация: участники IVES должны подтвердить, что подписывающий является тем, кем они себя называют, и что документ попал в нужные руки.Наиболее распространенной формой аутентификации является «Двухфакторная», относящаяся к чему-то, что подписавший имеет (например, успешно отправил по электронной почте в свой почтовый ящик), и к чему-то, что подписавший знает (например, код доступа). Другие распространенные варианты аутентификации включают в себя: аутентификацию на основе знаний (KBA), при которой подписывающей стороне предлагаются вопросы с несколькими вариантами ответов, и единый вход (SSO), когда «ключи» или учетные данные передаются с другого веб-сайта.
2. Согласие: участник IVES должен получить согласие подписывающей стороны на получение и подписание документов в электронном виде, прежде чем приступить к просмотру и церемонии подписания.Обычно это делается с помощью одностраничной формы согласия, предоставляемой подписывающему лицу после аутентификации и до сбора подписей. Подписывающая сторона должна принять или отклонить согласие.
3. Электронная подпись: Должен быть электронным символом, логически связанным с записью и выполненным или принятым лицом с намерением подписать запись. Для целей IVES нам потребуется электронная подпись, чтобы проверить имя (имена) по сравнению с именами, указанными в форме 4506-C, 4506-T или форме 4506T-EZ.
4. Печать с защитой от подделки: после сбора электронной подписи документ должен быть защищен от подделки, чтобы гарантировать его действительность.
5. Фиксация авторства: журнал аудита всей церемонии электронного подписания должен сопровождать документ для дальнейшего использования, если это необходимо для предотвращения отказа от авторства. Данные в журнале должны включать: дату и время создания, IP-адрес подписывающей стороны, уведомления о жизненном цикле документа, результат аутентификации, результат согласия и результат каждой электронной подписи в документе.
6. Хранение документации участником IVES: вся информация журнала аудита, а также соответствующая форма 4506-C, 4506-T или форма 4506T-EZ должны храниться участником IVES в течение 2 лет.
7. Проверка качества. Все участники IVES, использующие электронные подписи, должны использовать независимую сторону для проверки и обеспечения соответствия всех запросов на электронную подпись всем требованиям, изложенным в этом документе. Этот аудит вместе с его выводами будет ежегодно предоставляться аналитикам штаб-квартиры IVES.Участники IVES, обнаружившие несоблюдение всех требований, не будут допущены к использованию электронных подписей.

  • Результаты аудита должны сравнить информацию журнала аудита с формой 4506-C, 4506-T или формой 4506T-EZ для подтверждения имени (имен) и даты (й).
  • Ежемесячный размер выборки для проверки составит 125 из подписанных электронной подписью Формы 4506-C, 4506-T или Формы 4506T-EZ против журнала аудита. Все участники IVES будут разрабатывать свой собственный интервал пропуска каждый месяц, разделив общее количество запросов на размер выборки, равный 125.Каждый месяц участник выбирает первый запрос с электронной подписью и оттуда применяет интервал пропуска. Участник может остановить процесс отбора после того, как будет выбрано 125 запросов. Все участники выберут размер выборки из 125 запросов, независимо от колебаний их ежемесячного объема. Единственное исключение — месяцы, когда было обработано менее 125 запросов. Участники должны выбрать и просмотреть все запросы в течение месяца за те месяцы, когда было обработано менее 124 запросов.
  • Хотя мы просим предоставлять результаты аудита только ежегодно, эти результаты должны включать ежемесячные результаты, а также общие годовые вычисления. Ежегодные аудиторские заключения должны быть представлены до 31 января следующего года, если только срок не продлен и не предоставлен до установленной даты. Отчет можно отправить по следующему адресу электронной почты: [email protected]
  • По запросу журналы аудита и формы 4506-C, 4506-T и 4506T-EZ будут доступны в течение года аналитикам штаб-квартиры IVES.

Как создать электронную подпись в 2021 году

Все ненавидят подписывать документы. Печать документов, копание в стопках бумаги, проверка подписей и датирование каждого поля, а затем сканирование всего этого, чтобы отправить обратно, — это огромная и трудоемкая задача.

Вот почему электронные подписи стали находкой для малого бизнеса. Они позволяют легко подписать документ и вернуть его запрашивающему в течение нескольких секунд, чтобы вы могли вернуться к работе, которая продвинет ваш бизнес вперед.

Если вы хотите увеличить объем работы, которую вы выполняете за день, сократив бумажную работу, научитесь создавать собственные электронные подписи и добавлять их в документы, потому что это очень просто.

Это также хороший способ управления бизнес-документами, поскольку он создает упорядоченный и последовательный процесс обработки документации, не требующий передачи бумажных копий.

Но как это сделать? Это простое руководство поможет вам создать свои собственные электронные подписи.


Обзор: Что такое электронная подпись?

Электронная подпись или электронная подпись позволяет подписывать документы практически без использования пера и чернил на обычной бумаге, а затем сканировать, отправлять по почте или по факсу обратно получателю. По сути, это упрощает и ускоряет подписание официальных документов.

Онлайн-подпись может иметь форму собственно собственноручной подписи (обычно делается с помощью мыши) или простого ввода вашего имени или инициалов в отведенном для этого месте.В любом случае, если вы можете продемонстрировать, что получатель имел намерение согласиться с документом, он будет рассматриваться в суде как имеющий обязательную юридическую силу.

Электронная подпись отличается от цифровой подписи тем, что форма представляет собой фактическую подпись, предназначенную для утверждения документов, в то время как цифровая подпись относится к процессу шифрования, используемому для проверки подлинности документов и отсутствия изменений неавторизованными пользователями.

Итак, что выбрать — цифровой или электронный?

  • Выберите электронную подпись , если вас интересует только получение юридически обязательной подписи на цифровом документе и вам не нужно выполнять дополнительные шаги по шифрованию самого документа.Для создания документов с электронной подписью требуется программное обеспечение или услуга, позволяющая создавать их. Некоторые из них бесплатны; некоторые требуют подписки. После регистрации вы сможете добавить поля для подписи в документ, а затем отправить его получателю.
  • Выберите цифровую подпись , если вы хотите разместить цифровой «отпечаток пальца» в документе. Цифровая подпись добавит дополнительный уровень безопасности для важных документов, так что вы можете быть уверены, что никто не перехватил документ и не подделал его.Сертификат цифровой подписи сложнее создать, но программные платформы могут вам в этом помочь. Вам потребуются цифровые сертификаты от центра сертификации, а также открытый и закрытый ключи.

Законна ли электронная подпись?

Многие владельцы бизнеса обеспокоены тем, что электронные подписи не обладают такой же юридической силой, как собственноручная подпись на бумажном документе, но это не так.

В соответствии с Законом ENSIGN, электронные подписи имеют такой же вес, что и собственноручные подписи в Соединенных Штатах, что позволяет корпорациям переходить на эту форму подписи с уверенностью, что это не создаст юридических проблем.

Создавать документы с электронной подписью необходимо только в том случае, если вы хотите, чтобы документ имел юридическую силу.

Закон ENSIGN определяет электронную подпись как «электронный звук, символ или процесс, присоединенный или логически связанный с контрактом или другой записью и выполняемый или принятый лицом с намерением подписать запись», определение, которое дает гибкость компаний в отношении того, какой тип подписи они хотят использовать помимо стандартной подписи, поскольку все, что они должны показать, — это намерение подписать.

Это может включать использование мыши для подписи своего имени или простое нажатие кнопки «Принять».


Как создать электронную подпись

Создание электронной подписи несложно, но зависит от используемого программного обеспечения. Если вы хотите подписывать документы PDF или другие документы в электронном виде, несколько основных платформ — ваш лучший выбор.

Вот пять наиболее распространенных программных платформ электронной подписи и способы создания подписи на каждой из них.

Создание электронной подписи с помощью Adobe Acrobat

Неудивительно, что Adobe, будучи одним из самых известных разработчиков цифровых документов, обладает возможностями электронной подписи. Инструмент «Заполнить и подписать» в Adobe Acrobat поможет вам создать поля для подписи в документе.

Выполните следующие действия:

  • Щелкните «Заполнить и подписать» справа.
  • Введите адрес электронной почты получателя и сообщение, а затем нажмите «Далее».
  • Создайте поля формы и подписи.
  • Нажмите «Отправить».

Создание электронной подписи в Microsoft Word

Microsoft Word имеет возможности электронной подписи, если вы знаете, где искать среди их обширного списка функций.

Выполните следующие действия:

  • Щелкните в том месте, где вы хотите поставить подпись.
  • Щелкните вкладку «Вставка», затем щелкните «Строка подписи» справа.
  • Введите запрошенные данные, например подписывающее лицо и инструкции.
  • Линия подписи настроена.Вы или другой подписавший можете дважды щелкнуть по нему, чтобы ввести подпись.

Создание электронной подписи с помощью DocuSign

DocuSign стала одним из самых известных разработчиков электронных подписей. В отличие от других платформ, предлагающих множество бизнес-услуг, DocuSign ориентирована почти исключительно на электронные подписи и управление документами.

Выполните следующие действия:

  • Щелкните «Создать», а затем «Отправить конверт».
  • Щелкните ЗАГРУЗИТЬ и выберите документ, который хотите подписать.
  • Введите данные получателя.
  • Создайте тему и сообщение электронной почты.
  • Перетащите поля подписи с левой панели в документ, где вы хотите, чтобы получатель подписал.
  • Нажмите ОТПРАВИТЬ.

Создание электронной подписи с помощью PandaDoc

Электронные подписи — это одна из нескольких услуг, предлагаемых PandaDoc, которая предназначена для отделов продаж. Используя любое устройство, вы можете быстро создавать документы и запрашивать подписи.

Выполните следующие действия:

  • Загрузите документ.
  • Перетащите поле подписи в документ, где вы или получатель хотите подписать.
  • Подпишите документ, выберите получателя для подписи документа или и то, и другое.

Создание электронной подписи с помощью HelloSign

HelloSign — это бесплатная онлайн-служба электронной подписи, которая упрощает создание документа и немедленную отправку его получателю. Лучше всего для тех, кому нужно простое и бесплатное решение без наворотов.

Выполните следующие действия:

  • Загрузите документ.
  • Выберите, кто должен подписывать, и укажите их адреса электронной почты. Нажмите «Добавить подписывающего», если хотите добавить больше.
  • Щелкните Подготовить документ к подписанию.
  • Выберите тип поля подписи, которое вы хотите создать, на панели инструментов, а затем щелкните то место в документе, куда вы хотите добавить подпись.
  • Нажмите «Продолжить».
  • Введите заголовок и сообщение для подписывающих лиц, а затем щелкните «Запросить подпись».

Найдите программное обеспечение, подходящее для вашего бизнеса

Использование электронных подписей — один из нескольких передовых методов управления документами.Это одна из нескольких причин, по которым вы должны использовать новейшее программное обеспечение для бизнеса для управления своими операциями, особенно документацию, поскольку документы могут загромождать стол любого менеджера.

Программное обеспечение для управления документами сделает ваш бизнес более организованным, что необходимо при работе с юридическими документами.

Вы также можете ознакомиться с обзорами программного обеспечения на сайте The Blueprint в вашей отрасли и найти варианты программного обеспечения с возможностями управления документами. Затем попробуйте несколько из них, чтобы понять, подходят ли они для вашего бизнеса.Это может произвести революцию в том, как вы ведете свой бизнес.

Руководство правительства Канады по использованию электронных подписей

Из Казначейства Секретариата Канады

1.0 — Первая публикация —

Уведомление

В сентябре 2017 года TBS предоставила инструкции по электронной подписи всем сотрудникам службы безопасности департамента по электронной почте. Это руководство по-прежнему применяется и должно считаться неотъемлемой частью этого документа.Этот документ дополняет и расширяет это руководство. Руководство, выпущенное в сентябре 2017 года, представлено в Приложении D для удобства пользования. Этот руководящий документ предназначен для отделов и агентств GC, рассматривающих возможность использования электронных подписей для поддержки своей повседневной деловой деятельности. Это «живой» документ, который со временем будет развиваться в ответ на извлеченные уроки, изменения в соответствующих законодательных требованиях или будущие технологические достижения в области электронной подписи.Следует отметить, что ничто, указанное в этом документе, не предназначено для замены или отмены существующего законодательства или политики. Любые такие несоответствия должны быть доведены до сведения Управления Главного информационного директора Секретариата Казначейства Канады по адресу [email protected]

На этой странице

1. Введение

1.1. Справочная информация

В соответствии с целями инициативы правительства Канады ( GC ’s) в области цифрового правительства, GC продолжает:

  • оптимизировать внутренние и внешние бизнес-процессы
  • улучшить качество обслуживания канадцев

GC может достичь этих целей, отчасти путем замены бумажных процессов на более современные, быстрые и простые в использовании электронные методы.

В концепции ведения бизнеса в электронном виде нет ничего нового. Ряд юрисдикций, включая ГК и провинции и территории Канады, с середины 1990-х годов разработали законы, политику и стандарты для электронных документов и электронных подписей (электронных подписей). Эти законы:

  • полагаться на международно признанные правила для создания более определенной правовой среды для электронных коммуникаций и электронной коммерции
  • признает, что электронные сообщения не должны лишаться юридической силы только потому, что они находятся в электронной форме.

Независимо от того, является ли подпись бумажной или электронной, основная цель подписи одинакова.Подпись связывает человека с документом (или транзакцией) и обычно служит доказательством намерения этого лица утвердить или быть юридически связанными его содержанием. Основная функция подписи — предоставить свидетельство подписавшего:

  • идентификация
  • намерение подписать
  • согласие на обязательность содержания документа

Требование для подписи может быть:

  • наложено актом парламента
  • наложено политикой
  • обычная практика

Подпись может быть подписью государственного служащего или представителя общественности (физического лица или представителя бизнеса).

В контексте федерального правительства подпись может потребоваться для:

  • явное согласие, одобрение, согласие, принятие или разрешение повседневной деловой активности (например, для утверждения запроса на отпуск или официального согласия с условиями контракта)
  • подчеркивать важность транзакции или события или признавать, что транзакция или событие имели место, например, подтверждение того, что предложение подрядчика было получено к крайнему сроку
  • обеспечивает аутентификацию источника и целостность данных, например подтверждение того, что уведомление, связанное с общественным здравоохранением, было отправлено Министерством здравоохранения Канады и не было изменено.
  • удостоверяет содержание документа (то есть документ соответствует определенным требованиям или был соблюден определенный процесс)
  • подтверждают, что информация, содержащаяся в документе, верна или точна
  • поддерживает стороннюю аттестацию, например, для функции электронного нотариуса
  • поддерживает подотчетность, например, возможность отслеживать действия людей

В некоторых случаях требуется возможность поддержки электронных подписей более чем одного человека.Это требование может быть выполнено несколькими способами, в том числе с помощью электронной почты или системы управления рабочим процессом.

1.2. Назначение и сфера применения

В этом документе содержится руководство по использованию электронной подписи для поддержки повседневной деятельности GC. Он призван уточнить:

  • что такое электронная подпись
  • какие формы электронной подписи подходят в контексте деловой активности

Настоящий документ , а не , предназначенный для:

  • замена юридической консультации (владельцы бизнеса всегда должны консультироваться со своим юрисконсультом)
  • основа для защиты конфиденциальной информации от несанкционированного раскрытия (в этом документе не рассматриваются требования конфиденциальности)

1.3. Предполагаемая аудитория

Это руководство предназначено для отделов GC. Footnote 1 , которые изучают возможность использования электронных подписей для поддержки своей повседневной деловой активности.

2. Контекст электронной подписи

2.1. Законы об электронной подписи

Юрисдикции по всему миру приняли законы, признающие действительность электронных документов и электронных подписей. Хотя рамки и определения различаются в зависимости от юрисдикции, их принципы в основном одинаковы.В Приложении А перечислены некоторые из этих источников и связанные с ними определения.

В Канаде часть 2 Закона о защите личной информации и электронных документах ( PIPEDA ) предусматривает режим, устанавливающий электронные эквиваленты бумажных документов и подписей на федеральном уровне. Часть 2 PIPEDA определяет электронную подпись как «подпись, которая состоит из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенных в электронный документ, прикрепленных к нему или связанных с ним.По сути, электронная подпись может представлять собой практически любую форму электронного представления, которая может быть связана или прикреплена к электронному документу или транзакции, включая:

  • аутентификация пользователя во внутреннем приложении для утверждения чего-либо, например, когда супервизор входит в приложение для утверждения запроса на отпуск
  • с помощью стилуса на сенсорном экране планшета написать подпись от руки и записать ее в электронном виде
  • набранное имя или блок подписи в электронном письме
  • аутентификация пользователя для доступа к веб-сайту, в сочетании с щелчком мыши на какой-либо кнопке подтверждения для фиксации намерения
  • отсканированная рукописная подпись на электронном документе
  • звук, например записанная голосовая команда (например, словесное подтверждение в ответ на вопрос)

Также бывают случаи, когда Часть 2 PIPEDA требует использования определенного класса электронных подписей, называемых «безопасной электронной подписью».«Безопасная электронная подпись — это форма электронной подписи, основанная на асимметричной криптографии. Конкретные случаи использования, когда часть 2 PIPEDA требует безопасной электронной подписи:

  • документы, используемые в качестве доказательств или доказательств (см. PIPEDA Часть 2, раздел 36)
  • уплотнения (см. PIPEDA Часть 2, раздел 39)
  • оригиналы документов (см. PIPEDA Часть 2, раздел 42)
  • заявления, сделанные под присягой (см. PIPEDA Часть 2, раздел 44)
  • утверждения, декларирующие истину (см. PIPEDA Часть 2, раздел 45)
  • засвидетельствованные подписи (см. PIPEDA Часть 2, раздел 46)

Хотя часть 2 PIPEDA устанавливает пункты для общего применения, многие из электронных эквивалентов, описываемых в ней, основаны на структуре «согласия».Следовательно, такие положения не применяются к департаментам и агентствам, если они не решат принять участие и перечислить федеральный закон или положение, которое включает подпись (или другое применимое требование) в Приложении 2 или Приложении 3 PIPEDA. Сноска 2

За прошедшие годы, вместо того, чтобы выбрать PIPEDA, несколько департаментов и агентств внесли поправки в свои собственные уставы, чтобы внести ясность в отношении электронных подписей и электронных документов в целом. Например, Министерство занятости и социального развития Канады решило эту проблему в своем сообщении:

.

Соответствующие федеральные постановления (которые были приняты до вступления в силу PIPEDA):

Оба эти правила устанавливают требование поддержки цифровых подписей в связи с онлайн-электронными переводами.Правила о безопасной электронной подписи Сноска 4 также использует термин «цифровая подпись» в определении безопасной электронной подписи. Таким образом, с технической точки зрения цифровая подпись и безопасная электронная подпись по сути идентичны, поскольку обе:

  • — это форма электронной подписи на основе асимметричной криптографии
  • полагается на инфраструктуру открытых ключей ( PKI ) для управления соответствующими закрытыми ключами подписи и общедоступными сертификатами проверки

Однако Правила о безопасной электронной подписи ( SES Rules) идут дальше в нескольких отношениях, в том числе:

  • раздел 2 Регламента SES предписывает особый асимметричный алгоритм для поддержки цифровых подписей
  • Раздел 4
  • Регламента SES указывает, что выдающий удостоверяющий центр (ЦС) должен быть признан Министерством финансов Канады Секретариатом путем подтверждения того, что ЦС имеет «возможность выдавать сертификаты цифровой подписи безопасным и надежным способом.” Сноска 5
  • Раздел 5
  • Регламента SES включает презумпцию того, что при отсутствии доказательств обратного электронные данные были подписаны лицом, которое указано в сертификате электронной подписи или которое может быть идентифицировано с помощью этого сертификата.

2.2. Определение того, когда следует использовать электронную подпись

Как уже упоминалось, есть случаи, когда закон (или политика) определяет:

  • требование электронной подписи
  • тип необходимой электронной подписи

Также есть случаи, когда:

  • требование закона только подразумевается
  • необходимость подписи установлена ​​по иной, не законодательной причине
  • в любом случае тип электронной подписи может быть неуказанным или неясным

На рис. 1 показаны шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.Хотя на Рисунке 1 подчеркивается важность получения юридической консультации на протяжении всего процесса, обратите внимание, что различные шаги, показанные на Рисунке 1, необходимо будет выполнять в сотрудничестве с другим ключевым персоналом, где это необходимо, как указано в Приложении D. Кроме того, этот документ предлагает руководство по оценка уровней доверия (см. подраздел 2.3), которые можно использовать:

  • при отсутствии указанных требований законодательства или политики
  • , если требования к внедрению электронной подписи не указаны или неясны
Рисунок 1: шаги для определения требования к электронной подписи Рисунок 1 — Текстовая версия

Рисунок 1 описывает шаги для определения того, требуется ли электронная подпись, и если да, то какой тип электронной подписи требуется.На рисунке представлена ​​блок-схема процесса, представляющая следующие шаги:

  • Шаг 1. Определите бизнес-требования
  • Шаг 2: проинформированный юрисконсультом, определите, определено ли требование подписи в существующем законодательстве или политике, и если да, перейдите к Шагу 3; если нет, переходите к шагу 4
  • Шаг 3: проинформированный юрисконсультом, определите, идентифицируется ли также тип электронной подписи, и, если да, перейдите к Шагу 6; если нет, переходите к шагу 5.
  • Шаг 4: проинформировав юрисконсульта и данного руководящего документа, определите, есть ли неявное требование или другая законная деловая причина для подписи, и, если да, перейдите к шагу 5; в противном случае нет необходимости внедрять электронную подпись для идентифицированного бизнес-требования
  • Шаг 5: определите тип электронной подписи, необходимой для информирования юрисконсульта, оценки уровня уверенности и данного руководящего документа, и перейдите к Шагу 6
  • Шаг 6: внедрить идентифицированное решение электронной подписи с последующей повторной оценкой со временем

2.3. Оценка уровней доверия

Руководство по определению требований к аутентификации описывает методологию определения минимального уровня доверия Сноска 6 , необходимого для достижения целей программы, предоставления услуги или надлежащего выполнения транзакции.

Эта методология может применяться в контексте электронных подписей. Сноска 7 При оценке уровней доверия следует учитывать влияние угроз, например:

  • выдача себя за другое лицо (подписывающее лицо не то, за кого себя выдает)
  • отказ от авторства (подписавшая сторона пытается отрицать создание электронной подписи)
  • потеря целостности данных (электронные данные были изменены с момента подписания)
  • превышение полномочий (подписывающая сторона не уполномочена подписывать связанные электронные данные)

После завершения оценки и определения требований к уровню доверия можно выбрать и внедрить процедурные и технические средства контроля.Руководство по внедрению, основанное на каждом уровне гарантии, представлено в Разделе 3: Руководство по внедрению электронных подписей.

3. Руководство по внедрению электронной подписи

Как упоминалось в Разделе 2, особенности внедрения электронных подписей могут:

  • требуется законом или политикой
  • быть определено в результате оценки уровня доверия и других инструментов

В зависимости от контекста деловой активности или транзакции, вопросы реализации могут включать следующее:

  • причина или контекст для электронной подписи ясны (подпись предназначена для утверждения, согласия, согласия, авторизации, подтверждения, подтверждения, свидетельства, нотариального заверения, удостоверения или другой цели)
  • очевидно, что физические лица понимают, что они подписывают электронные данные (указание на намерение подписать)
  • уровень аутентификации соизмерим с соответствующим уровнем доверия
  • физическое лицо (лица) имеет право подписывать электронные данные
  • метод, используемый для создания электронной подписи, соизмерим с соответствующим уровнем доверия
  • При необходимости фиксируется следующая вспомогательная информация
  • :
    • дата и время подписания электронных данных
    • свидетельство того, что подпись действительна на момент ее подписания
  • , электронная подпись и вспомогательная информация связаны с подписанными электронными данными, и целостность этой информации поддерживается с использованием методов, соизмеримых с соответствующим уровнем гарантии
  • возможность проверки электронной подписи поддерживается с течением времени

Обратите внимание, что требования, связанные с каждой из этих областей, будут варьироваться в зависимости от уровня гарантии, необходимого для электронной подписи, как обсуждается в следующих подразделах.

3.1. Соображения по аутентификации пользователей

Как отмечалось ранее, привязка лиц к подписанной электронной записи является одним из фундаментальных требований для электронной подписи, и поэтому уровень гарантии процесса аутентификации и электронной подписи тесно связаны. Текущее руководство GC по аутентификации пользователей включает следующее:

По сути, уровень доверия, необходимый для электронной подписи, диктует уровень доверия, необходимый для аутентификации пользователя, который, в свою очередь, диктует уровень доверия, необходимый для подтверждения личности и подтверждения учетных данных.Перечисленные выше руководящие документы следует использовать для определения конкретных требований на каждом уровне доверия на основе следующих рекомендаций:

  • на Уровне доверия 1 :
  • на Уровне доверия 2 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 2
    • любой из типов токенов, указанных в ITSP.030.31 для уровня доверия 2 или выше может использоваться для аутентификации
  • при Уровне уверенности 3 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 3
    • требуется двухфакторная аутентификация (дополнительную информацию см. В Приложении B)
  • при Уровне уверенности 4 :
    • должны соблюдаться минимальные требования к удостоверению личности, изложенные в Руководстве по обеспечению удостоверения личности для уровня доверия 4
    • необходимо использовать аппаратное устройство с многофакторным шифрованием, например смарт-карту

Дополнительная информация о факторах аутентификации и типах токенов, связанных с аутентификацией пользователя, представлена ​​в Приложении B.

3.2. Определение метода, который будет использоваться для реализации электронных подписей

В разделе 2 обсуждались различные формы электронных подписей. В этом разделе указывается тип электронной подписи, рекомендуемый на каждом уровне доверия.

Рекомендации по электронной подписи на каждом уровне доверия следующие:

  • на уровне доверия 1, допустимы любые типы электронной подписи
  • на уровне доверия 2, любой тип электронной подписи может использоваться в сочетании с требованиями аутентификации для уровня доверия 2 или выше
  • на уровне гарантии 3, некриптографическая электронная подпись может использоваться в сочетании с приемлемой двухфакторной аутентификацией, или цифровая подпись или безопасная электронная подпись может быть предпочтительнее в некоторых обстоятельствах, в зависимости от целевой среды и мер безопасности. что на месте
  • с уровнем гарантии 4, требуется безопасная электронная подпись в сочетании с аппаратным устройством многофакторного шифрования.

С технической точки зрения, электронная подпись на более высоком уровне доверия может также использоваться на более низких уровнях доверия (например, электронная подпись уровня 3 может также использоваться для поддержки требований к электронной подписи уровня 1 и 2. ).Однако другие факторы, такие как стоимость, удобство использования и эксплуатационные требования, также должны быть приняты во внимание, чтобы определить наиболее разумный подход.

3.3. Вспомогательная информация

Как обсуждалось в подразделе 2.1, электронная подпись — это любое электронное представление, где:

  • личность человека, подписывающего данные, может быть связана с подписываемыми электронными данными
  • намерение физического лица при подписании электронной записи передано каким-либо образом
  • причина подписания электронных данных передана каким-либо образом

Могут быть требования о включении другой вспомогательной информации, например, времени подписания электронных данных.

Дополнительная информация, рекомендуемая на каждом уровне доверия, следующая:

  • при Уровне доверия 1 , вспомогательная информация должна включать:
    • электронная подпись
    • подписанные электронные данные
    Обратите внимание, что эта информация может быть неявно идентифицирована в зависимости от типа электронной транзакции.
  • при Уровне доверия 2 , вспомогательная информация должна включать:
    • метод аутентификации
    • электронная подпись
    • подписанные электронные данные
    • метка времени, основанная на стандартном времени локальной системы, которая указывает время, когда электронные данные были подписаны
    Обратите внимание, что часть этой информации может быть идентифицирована неявно, в зависимости от типа электронной транзакции
  • при Уровне уверенности 3 , вспомогательная информация будет зависеть от типа электронной подписи:
    • для электронной подписи, не основанной на криптографии, вспомогательная информация должна включать ту же информацию, что и для уровня доверия 2
    • для цифровых подписей или защищенных электронных подписей вспомогательная информация должна включать:
    • Свидетельство о поверке
    • путь сертификации
    • связанная информация об отзыве или статус на момент подписания электронных данных
  • при Уровне уверенности 4 , подтверждающая информация:
    • — это то же самое, что цифровая подпись или безопасная электронная подпись на уровне гарантии 3
    • также должен включать безопасную метку времени Сноска 8

Другая вспомогательная информация также может потребоваться для удовлетворения конкретных потребностей бизнеса.

3.4. Системная и информационная целостность

Целостность системы и информации — еще один ключевой фактор, относящийся к:

  • исходные подписанные электронные данные
  • электронная подпись
  • любая другая подтверждающая информация, которая может быть связана с электронной транзакцией (обсуждается в подразделе 3.3 этого документа)

Кроме того, целостность связи между всеми этими элементами должна оставаться неизменной с течением времени.Некоторые из этих элементов могут быть захвачены и защищены различными способами, включая использование журналов системного аудита и или как часть цифровой подписи или безопасной электронной подписи. Вся вспомогательная информация, независимо от того, где и как она хранится, в совокупности называется записью транзакции.

Ожидается, что будут введены определенные меры безопасности системы и целостности информации для защиты целостности:

  • электронные операции
  • записи транзакции

ITSG-33, Приложение 1, определяет три уровня целостности: низкий, средний и высокий.В этом документе предполагается, что системы и информация ГХ будут защищены на среднем уровне целостности. Профиль Protected B, средняя целостность и средняя доступность, определенный в ITSG-33, приложение 4A, профиль 1, следует использовать для определения минимальных мер безопасности, которые должны быть в наличии, особенно в отношении следующих семейств мер безопасности:

  • контроль доступа (AC)
  • Аудит и отчетность (AU)
  • идентификация и аутентификация (IA)
  • целостность системы и информации (SI)

Рекомендации по требованиям целостности на каждом уровне доверия следующие:

  • при Уровне доверия 1 , применяется средний уровень целостности; однако нет необходимости вести или хранить записи транзакций
  • при Уровень доверия 2 :
    • средняя целостность применяется к электронной транзакции и записи транзакции
    • , запись транзакции должна быть сохранена в соответствии с требованиями уровня доверия 2 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или применимым законодательством, политикой или бизнес-требованиями
  • при Уровне уверенности 3 :
    • Средняя целостность применяется к электронной транзакции и записи транзакции
    • при использовании цифровой подписи или безопасной электронной подписи, по крайней мере, некоторые из требований целостности будут поддерживаться самой подписью, включая целостность подписанных электронных данных
    • Алгоритмы
    • и связанные с ними длины ключей, утвержденные канадским ведомством безопасности ( CSE ), должны использоваться в соответствии с требованиями ITSP.40.111
    • любые вспомогательные элементы, целостность которых явно не защищена цифровой подписью или безопасной электронной подписью, должны быть записаны в журнал аудита.
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня гарантии 3 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями
  • при Уровне уверенности 4 :
    • безопасная электронная подпись, применяемая лицом, подписывающим электронные данные, защищает подписываемые электронные данные, а сочетание факторов защищает сам процесс подписи
    • требуется безопасная метка времени, которая может быть предоставлена ​​доверенной третьей стороной
    • Одобренные CSE алгоритмы и соответствующие длины ключей должны использоваться в соответствии с требованиями ITSP.40.111
    • Записи транзакций
    • должны храниться в соответствии с требованиями Уровня уверенности 4 в ITSP.30.031 (см. Таблицу 9, столбец «Хранение записей») или в соответствии с применимым законодательством, политикой или бизнес-требованиями

3.5. Соображения по поводу долгосрочной валидации

Для некриптографических электронных подписей ожидается, что вся информация, необходимая для проверки подлинности подписи, будет доступна до тех пор, пока запись должна храниться.Электронная подпись должна быть проверена и подтверждена с течением времени.

Для цифровой подписи или безопасной электронной подписи существует ряд шагов, чтобы гарантировать, что операция подписи выполняется с законными учетными данными во время подписания электронной записи. Эти шаги включают проверку того, что сертификат открытого ключа соответствует закрытому ключу подписи:

  • находится в пределах указанного срока действия
  • не отозван
  • успешно соединяется с признанным якорем доверия

Однако со временем некоторые аспекты проверки, которые были на месте, когда была подписана электронная запись, могут измениться.Например, срок действия сертификата открытого ключа может истечь или он может быть отозван. Кроме того, достижения в области криптографии и вычислительных возможностей могут сделать криптографический алгоритм (или соответствующую длину ключа), используемый для выполнения операции подписи, уязвимым в какой-то момент в будущем.

Здесь важна концепция долгосрочной проверки ( LTV ). Поскольку обстоятельства со временем изменятся, важно криптографически привязать определенную информацию к первоначально подписанному электронному документу или записи.К такой информации относятся:

  • время подписания электронного документа или записи
  • сертификаты открытого ключа, необходимые для проверки подписи
  • соответствующая информация о статусе отзыва сертификата на момент подписания электронной записи

Процедура LTV может быть рекурсивной, чтобы учитывать изменения обстоятельств в течение длительного периода, так что первоначально подписанный электронный документ или запись можно было проверять в течение многих лет или даже десятилетий.Технические спецификации были разработаны для поддержки LTV на основе следующего формата или синтаксиса электронного документа или записи:

  • Стандарты расширенной электронной подписи формата переносимых документов ( PAdES )
  • Стандарты расширенной электронной подписи расширяемого языка разметки ( XAdES )
  • Стандарты расширенной электронной подписи синтаксиса криптографических сообщений ( CAdES )

Еще одним соображением является изменение формата исходного электронного документа или записи с данными, например, когда он конвертируется для долгосрочного архивирования.Изменение формата сделает исходную цифровую подпись или безопасную электронную подпись недействительной, поскольку проверка целостности встроенных данных не удастся. На самом деле подпись может быть вообще удалена из-за конвертации. В некоторых случаях можно создать новую цифровую подпись или безопасную электронную подпись (например, используя надежный источник для проверки того, что преобразованный контент был первоначально подписан определенным лицом в определенное время). Другое возможное решение — принять стандарты, специально разработанные для решения проблем LTV, например PDF / A-2.Однако такие варианты могут быть возможны не во всех обстоятельствах, и может потребоваться другое решение, такое как сохранение метаданных, которые указывают обстоятельства, при которых исходный контент был подписан (например, кто его подписал, когда он был подписан и т. Д.) .

Хотя ожидается, что это будет крайне редко, могут быть случаи, когда сертификат открытого ключа отзывается с датой и временем недействительности, установленными на какое-то время в прошлом. Это могло произойти по нескольким причинам, включая обнаружение того, что закрытый ключ подписи был скомпрометирован, но компрометация не была обнаружена до определенного момента в будущем.Это может означать, что цифровая подпись или безопасная электронная подпись, которая считалась действительной на момент ее создания, на самом деле недействительна, поскольку статус сертификата должен был быть аннулирован во время подписания электронного документа или записи. В этом случае должны быть предприняты процедурные шаги (которые выходят за рамки этого документа), чтобы определить, была ли подпись создана заявленным лицом и при соответствующих обстоятельствах.

3,6. Использование сторонних поставщиков услуг

Сторонние поставщики услуг предлагают различные формы услуг электронной подписи, которые GC может использовать при соответствующих обстоятельствах.Владельцы бизнеса должны оценить, можно ли использовать сторонние сервисы на основании:

  • особые бизнес-требования
  • связанные минимальные уровни доверия

Кроме того, сторонние решения должны основываться на принятых в отрасли стандартах. По возможности следует избегать проприетарных решений, чтобы предотвратить привязку к поставщику и способствовать взаимодействию.

Есть ряд причин, по которым могут быть рассмотрены услуги, предоставляемые третьими сторонами.Например, сторонний поставщик может предложить подходящий продукт рабочего процесса, который отвечает потребностям отдела (то есть поддерживает заданное бизнес-требование и отвечает требованиям к электронной подписи и аудиту). Другой пример — поставщик облачных услуг предлагает приемлемые возможности электронной подписи для поддержки приложения GC, размещенного в облаке.

Еще одно соображение — когда GC взаимодействует с внешними организациями и частными лицами. Цифровые подписи, созданные GC, должны быть проверены этими внешними объектами, и поэтому необходимо будет использовать сертификаты, выпущенные CA, которые распознаются внешними по отношению к GC. Footnote 9 Также могут быть обстоятельства, когда цифровая подпись создается внешним объектом, который также должен быть распознан GC.

4. Резюме

Этот документ направлен на разъяснение практики интерпретации и реализации использования электронных подписей. Его цель — предоставить экономичные и разумные решения, которые улучшат взаимодействие с пользователем и сократят время, необходимое для выполнения повседневных деловых операций, когда электронные подписи могут применяться вместо бумажных подходов.

Таблица 2 суммирует рекомендации, представленные в разделе 3 этого документа на каждом уровне доверия для:

  • минимум допустимый тип электронной подписи
  • уровней аутентификации
  • требования к отметке времени
  • вспомогательная информация, рекомендуемая на каждом уровне доверия
  • Требования к целостности системы и информации
  • период хранения записей о транзакциях
Таблица 2: рекомендации по внедрению электронных подписей
Тип электронной подписи Уровень аутентификации Требование отметки времени Дополнительная информация Целостность системы и информации Срок хранения записи транзакции

Примечания к таблице 2

Таблица 2 Примечание 1

Выбор конкретного метода электронной подписи и связанных требований к реализации, предлагаемых на этом уровне (как указано в этой строке), должен определять владелец бизнеса.Дополнительные меры по снижению риска могут потребоваться для некриптографических электронных подписей на уровне гарантии 3. Если программный токен на основе PKI используется для поддержки требования электронной подписи, процесс аутентификации должен быть дополнен соответствующим вторым токеном аутентификации.

Вернуться к таблице 2 примечание 1 реферер

Таблица 2 Примечание 2

На этом уровне гарантии должно использоваться многофакторное аппаратное криптографическое устройство.Хотя устройство с многофакторным одноразовым паролем соответствует требованиям аутентификации для уровня надежности 4, оно не имеет необходимых функций для поддержки безопасной электронной подписи.

Вернуться к таблице 2 примечание 2 реферер

Уровень доверия 1 Э-подпись Любая форма аутентификации Нет условий электронная подпись, подписанные данные Средняя целостность Нет условий
Уровень доверия 2 Э-подпись Уровень доверия 2 или выше Дата и время локальной системы Метод аутентификации, электронная подпись, подписанные данные, отметка времени Средняя целостность Как предусмотрено для Уровня доверия 2 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 3 таблица 2 примечание 1 Э-подпись Уровень доверия 3 или выше
(двухфакторная аутентификация обязательна)
Дата и время локальной системы

Определяется по типу:

  • для некриптографической электронной подписи, включая метод аутентификации, ES, подписанные электронные данные, отметку времени
  • для криптографической электронной подписи, добавьте сертификат проверки и путь сертификации, а также связанную информацию об отзыве
Средняя целостность; для криптографической электронной подписи части будут иметь цифровую подпись Как предусмотрено для Уровня доверия 3 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями
Уровень доверия 4 Безопасная электронная подпись Только уровень доверия 4 таблица 2 примечание 2 Безопасная отметка времени SES, подписанные электронные данные, сертификат проверки и путь сертификации, а также соответствующая информация об отзыве, безопасная отметка времени Цифровая подпись Как предусмотрено для Уровня уверенности 4 в ITSP.30.031 или применимым законодательством, политикой или бизнес-требованиями

Приложение A: источники и определения, связанные с электронными подписями

В этом приложении перечислены источники информации из национальных и международных юрисдикций, касающиеся электронных подписей. Также приведены определения терминов, используемых в этих источниках.

Эта информация используется для определения основных концепций электронных подписей, изложенных в этом документе.Источники из неканадских юрисдикций включены в следующие номера:

  • демонстрируют широту охвата
  • выделяет терминологию, используемую в других юрисдикциях, что особенно полезно там, где может потребоваться совместимость с другими юрисдикциями.

Канадские федеральные законы и постановления, касающиеся электронных подписей, включают:

Кроме того, на веб-сайте Министерства юстиции Канады есть более 20 федеральных законов и почти 30 нормативных актов, которые содержат ссылки на «электронную подпись.” Сноска 10

Большинство канадских провинциальных и территориальных юрисдикций приняли законы об электронной торговле и транзакциях, которые предоставляют электронные эквиваленты бумажных подписей, наряду с другими требованиями, путем принятия принципов, установленных в Типовом законе Канадской конференции по единообразному праву (Закон о единой электронной торговле ( UECA )). Footnote 11 UECA является технологически нейтральным и определяет «электронную подпись» как электронную информацию, которую лицо создает или принимает для подписания записи и которая прикреплена к записи или связана с ней.Электронная подпись, определенная таким образом, действует как подпись в законе. Как указано в руководстве УЕКА, сам закон не устанавливает никаких технических стандартов для изготовления действующей подписи. В результате электронные подписи могут быть созданы разными способами, если иное не предусмотрено правилами. Сноска 12

Неканадские источники интереса, которые касаются терминов и понятий, связанных с электронными подписями, включают:

Конкретные термины, определенные в этих источниках, включают следующее (см. Таблицу A1):

  • электронная подпись
  • безопасная электронная подпись
  • цифровая подпись
  • расширенная электронная подпись ( AdES )
  • квалифицированная электронная подпись ( QES )
Таблица A1: термины и определения, относящиеся к электронным подписям
Срок Источник Определение
электронная подпись PIPEDA, Часть 2 «подпись, состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним»
УЕКА «информация в электронной форме, которую лицо создало или приняло для подписания документа и которая находится в документе, прикреплена к нему или связана с ним»
УЭТА «электронный звук, символ или процесс, прикрепленный к записи или логически связанный с ней и выполняемый или принятый лицом с намерением подписать запись»
ЭЛЕКТРОННАЯ ПОДПИСКА «Электронный звук, символ или процесс, прикрепленный к контракту или другой записи или логически связанный с ним, и исполняемый или принятый лицом с намерением подписать запись»
eIDAS «данные в электронной форме, которые присоединены к другим данным в электронной форме или логически связаны с ними и которые используются подписавшимся для подписи»
Типовой закон ЮНСИТРАЛ об электронных подписях «данные в электронной форме в сообщении данных, прикрепленные к нему или логически связанные с ним, которые могут использоваться для идентификации подписавшего в отношении сообщения данных и для обозначения согласия подписавшего с информацией, содержащейся в сообщении данных»
безопасная электронная подпись PIPEDA Часть 2

PIPEDA Часть 2, разделы 31 (1), 48 (1) и 48 (2) в совокупности определяют «безопасную электронную подпись» как «электронную подпись, которая является результатом применения технологии или процесса…» со следующими характеристиками :

  1. «электронная подпись, полученная в результате использования человеком технологии или процесса, уникальна для этого человека;
  2. использование технологии или процесса лицом для включения, прикрепления или связывания электронной подписи лица с электронным документом находится под исключительным контролем этого лица;
  3. технология или процесс могут быть использованы для идентификации человека, использующего технологию или процесс; и
  4. , электронная подпись может быть связана с электронным документом таким образом, что ее можно использовать для определения того, был ли электронный документ изменен после того, как электронная подпись была включена, прикреплена или связана с электронным документом.”
Регламент СЭС

«безопасная электронная подпись в отношении данных, содержащихся в электронном документе, — это цифровая подпись, которая возникает в результате выполнения следующих последовательных операций:

  1. применение хеш-функции к данным для создания дайджеста сообщения;
  2. применение закрытого ключа для шифрования дайджеста сообщения;
  3. включение в зашифрованный дайджест сообщения, прикрепление к электронному документу или связь с ним;
  4. передача электронного документа и зашифрованного дайджеста сообщения вместе с
  5. сертификат электронной подписи или
  6. средство доступа к сертификату электронной подписи; и
  7. после получения электронного документа, зашифрованного профиля сообщения и сертификата цифровой подписи или средства доступа к сертификату цифровой подписи,
  8. применение открытого ключа, содержащегося в сертификате цифровой подписи, для расшифровки зашифрованного профиля сообщения и создания профиля сообщения, указанного в параграфе (а),
  9. применение хеш-функции к данным, содержащимся в электронном документе, для создания дайджеста нового сообщения,
  10. проверка того, что при сравнении дайджесты сообщений, упомянутые в параграфе (a) и подпункте (ii), идентичны, и
  11. проверка того, что сертификат электронной подписи действителен в соответствии с разделом 3 (Регламента SES).”
цифровая подпись Правила электронных платежей и Правила проведения платежей и расчетов

«результат преобразования сообщения с помощью криптосистемы с использованием таких ключей, что лицо, имеющее исходное сообщение, может определить:

  1. , было ли преобразование создано с использованием ключа, соответствующего ключу подписавшего, и
  2. , было ли сообщение изменено с момента преобразования.”
ITSP.40.111 «криптографическое преобразование данных, обеспечивающее аутентификацию, целостность данных и неотказуемость подписывающего лица».
AdES eIDAS «электронная подпись, которая однозначно связана с подписавшим, способна идентифицировать подписавшего, создана с использованием данных для создания электронной подписи, которые подписавший может с высокой степенью уверенности использовать под своим единственным контролем, и связана с данные, подписанные таким образом, чтобы можно было обнаружить любое последующее изменение данных.”
QES eIDAS «усовершенствованная электронная подпись, которая создается квалифицированным устройством для создания электронной подписи и основана на квалифицированном сертификате для электронных подписей».

Хотя Типовой закон ЮНСИТРАЛ об электронных подписях ( PDF , 249 КБ) не дает четкого определения, в нем также используется термин «цифровая подпись» в соответствии с определением части 2 PIPEDA.

Определения, приведенные в таблице A1, приводят к следующим наблюдениям:

  • Хотя существует множество определений «электронной подписи», цель каждого из них, по сути, одинакова.
  • С технической точки зрения, термины «безопасная электронная подпись», «цифровая подпись», «AdES» и «QES» ar e по существу эквивалентны. Все они основаны на асимметричной криптографии и полагаются на инфраструктуру открытых ключей (PKI) для управления связанными ключами и сертификатами.Тем не мение:
    • В Регламенте SES есть особые требования, которые применяются к термину «безопасная электронная подпись»
    • есть также более строгие требования к реализации, связанные с QES

Следует также отметить, что описание, приведенное в Регламенте SES, настолько детально, что фактически предписывает конкретный алгоритм цифровой подписи. Footnote 13 Было ли это намеренно (для обеспечения взаимодействия) или нет (в то время предполагалось, что все алгоритмы цифровой подписи имеют одинаковые математические свойства), неясно.В любом случае следует проконсультироваться с ITSP.40.111 для утвержденных алгоритмов и связанных длин ключей.

Приложение B: факторы аутентификации пользователей и типы токенов

Цель этого Приложения — помочь прояснить, какие типы маркеров аутентификации, описанные в ITSP.30.031, могут использоваться на каждом уровне гарантии. Хотя для получения дополнительных сведений следует обращаться к ITSP.30.031, некоторые из основных концепций, связанных с факторами аутентификации и токенами, представлены здесь для удобства читателя.

По сути, факторы аутентификации описываются как:

  • то, что знает пользователь
  • что-то есть у пользователя
  • что-то у пользователя

Типы токенов для «чего-то, что знает пользователь»:

  • запомненных секретных токенов (пароль, связанный с учетной записью или идентификатором пользователя)
  • предварительно зарегистрированных токенов знаний (например, заранее заданные ответы на набор контрольных вопросов)

Типы токенов для «чего-то, что есть у пользователя»:

  • поисковые секретные жетоны (статическая сетка или карты «бинго»)
  • внеполосных токена (push-уведомление для внеполосного устройства, такого как смартфон)
  • устройства с однофакторным одноразовым паролем (OTP) (токен открытой аутентификации (OATH))
  • однофакторное криптографическое устройство (USB-ключ со встроенными криптографическими возможностями и безопасным хранилищем ключей)

Типы токенов «Что-то вы есть» включают биометрические данные, такие как отпечаток пальца, сканирование сетчатки глаза и распознавание лиц.Однако в соответствии с ITSP.30.031 биометрия может использоваться только в сценарии многофакторной аутентификации, например, при использовании сканирования отпечатка пальца для разблокировки аппаратного токена. Сноска 14

Многофакторные токены включают:

  • многофакторные устройства OTP, такие как устройство OTP, для которого требуется локальная аутентификация пользователя перед отображением кода доступа
  • многофакторные аппаратные криптографические устройства, такие как смарт-карта Сноска 15

Многофакторная аутентификация (или, более конкретно, двухфакторная аутентификация) также может быть достигнута путем объединения соответствующего токена «что-то, что вы знаете» с соответствующим токеном «что-то у вас есть».Рекомендации по приемлемым двухфакторным решениям представлены в Рекомендациях по двухфакторной аутентификации пользователей в корпоративном домене правительства Канады.

В таблице B1 приведены допустимые типы маркеров на каждом уровне доверия.

Таблица B1: электронные подписи и методы аутентификации
Запомненный секретный токен таблица B1 примечание 1 Предварительно зарегистрированный токен знаний Поисковый секретный токен Внеполосный токен Однофакторное устройство OTP Однофакторное криптографическое устройство Многофакторный программный криптографический токен Многофакторное устройство OTP Многофакторное криптографическое устройство

Таблица B1 Примечания

Таблица B1 Примечание 1

Запомненный секрет обычно представляет собой пароль, связанный с определенным идентификатором пользователя.Разница между запомненным секретом уровня доверия 1 и запомненным секретом уровня доверия 2 заключается в надежности пароля. Пароль должен соответствовать минимальным требованиям к стойкости и энтропии, прежде чем его можно будет считать достаточным для запомненного секрета уровня доверия 2. Дополнительную информацию см. В Приложении B к ITSP.30.031.

Вернуться к таблице B1 примечание 1 реферер

Таблица B1 Примечание 2

Как отмечалось выше, соответствующая комбинация двух токенов уровня доверия 2 также может использоваться для достижения эквивалента токена уровня доверия 3, как указано в ITSP.30.031. Например, запомненный секретный маркер уровня гарантии 2, используемый в сочетании с соответствующим внеполосным маркером (например, «push-уведомление» на смартфон, управляемый сборщиком мусора), эквивалентен маркеру уровня гарантии 3 и, следовательно, может быть используется в тандеме для поддержки электронных подписей на уровне доверия 3.

Вернуться к таблице B1 примечание 2 реферер

Таблица B1 Примечание 3

Многофакторного устройства OTP достаточно для аутентификации уровня надежности 4; тем не менее, он не имеет необходимых функций для создания цифровой подписи или безопасной электронной подписи, что является обязательным на уровне доверия 4.

Вернуться к таблице B1 примечание 3 реферер

Уровень доверия 1 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 2 Есть Есть Есть Есть Есть Есть Есть Есть Есть
Уровень доверия 3 таблица B1 примечание 2 Есть Есть
Уровень доверия 4 таблица B1 примечание 3 Есть

Приложение C: примеры хозяйственной деятельности

Цель этого Приложения — предоставить примеры видов деловой активности, которые могут соответствовать каждому уровню доверия.В общем, по мере того, как возрастает важность и / или ценность деловой активности, увеличивается и соответствующий уровень доверия. Тем не менее, следует отметить, что примеры деловой активности, представленные здесь, предназначены только для иллюстративных целей и никоим образом не предназначены для предписания .

Отдельные отделы должны проводить свои собственные оценки в контексте своих бизнес-потребностей и требований. Общей целью должно быть:

  • использовать существующие инвестиции там, где это возможно (отделы должны использовать то, что у них уже есть, где это имеет смысл)
  • улучшить пользовательский опыт
  • внедрять рентабельные, разумные решения, соизмеримые с оцененным уровнем гарантии
Таблица C1: примеры хозяйственной деятельности
Уровень доверия Деловые операции (только примеры)
Уровень доверия 4
  • Финансовые онлайн-транзакции, где действующее законодательство требует цифровой подписи или защищенной электронной подписи (например, Положения об электронных платежах и Положения о требованиях к платежам и расчетам )
  • Сценарии использования PIPEDA, часть 2 (если применимо)
  • Обязательные контракты с внешними организациями, стоимость которых превышает определенную долларовую стоимость (на основе допуска к риску, определяемого оценкой департамента)
Уровень доверия 3
  • Утверждение руководством финансовых операций, не требующих цифровой подписи или безопасной электронной подписи (например, утверждение требований о расходах сотрудников)
  • Обязательные контракты с внешними организациями, стоимость которых ниже определенной долларовой стоимости (на основе допустимости риска, определяемой ведомственной оценкой)
  • Здесь могут применяться один или несколько примеров деловой активности, приведенных ниже в рамках Уровня гарантии 2 (допуск к риску зависит от отдела; некоторые отделы могут принять решение о внедрении более строгих мер безопасности для некоторых видов деятельности, указанных ниже в рамках Уровня гарантии 2)
Уровень доверия 2
  • Оставить заявку и согласовать
  • Запросы и разрешения на поездки
  • Подача и согласование табелей учета рабочего времени
  • Подача претензий по расходам (но не утверждения)
  • Подача онлайн определенных заявок или форм от внешних пользователей
  • Межведомственные меморандумы о взаимопонимании
Уровень доверия 1
  • Ежедневная переписка практически без подразумеваемых обязательств от имени отправителя или GC

Приложение D: руководство отправлено DSO по электронной почте

(Обратите внимание, что заголовки и ссылки на некоторые ссылки на исходную документацию были обновлены, чтобы отразить самые последние доступные версии.)

Кому: DSO

Следующее руководство по использованию электронных подписей для проверки безопасности предоставляется в ответ на обсуждения в Совете безопасности правительства Канады (GCSC), и было сочтено, что это будет полезно для всех DSO.

Целью получения подписи лица на формах проверки безопасности является подтверждение того, что они признают, что они были проинформированы о том, что их личная информация будет собрана, и получить их согласие на то, что их личная информация будет раскрыта для целей проверки безопасности (как указано в Положения о конфиденциальности и согласии), а также в соответствии с разделами 7 и 8 Закона о конфиденциальности .Также важно продемонстрировать, что лицо намеревается быть связанным обязательствами, прилагаемыми к этой подписи.

В форме проверки безопасности подпись не обязательно должна иметь определенную форму, чтобы иметь юридическую силу, и служит той же цели, независимо от того, является ли она «мокрой» или электронной. Мокрая подпись создается, когда человек маркирует документ своим именем чернилами, которым требуется время для высыхания. Электронная подпись определяется в Законе о защите личной информации и электронных документах (PIPEDA) как «состоящая из одной или нескольких букв, знаков, цифр или других символов в цифровой форме, включенная в электронный документ, прикрепленная к нему или связанная с ним. .”

Департаменты и агентства, желающие продолжить использование электронных подписей в качестве альтернативы традиционной мокрой подписи, должны учитывать следующее, чтобы определить, является ли такой шаг жизнеспособным в их операционной среде, и иметь возможность снизить любой потенциальный правовой риск, который может возникнуть .

  • Внедрение электронных подписей в отделе или агентстве должно осуществляться в сотрудничестве с заинтересованными сторонами в области ИТ и бизнеса (при необходимости), и, при необходимости, можно проконсультироваться с юрисконсультом отдела
  • Тип используемой технологии и подход к ее внедрению должны соответствовать Стратегическому плану правительства Канады по управлению информацией и информационным технологиям на 2017–2021 годы.
  • Положения о конфиденциальности и согласии должны быть такими же, как и в бумажных формах, чтобы гарантировать отсутствие расхождений между двумя форматами.
  • Базовый процесс и стандартные рабочие процедуры, связанные со сбором, получением и хранением электронных документов и соответствующих подписей, должны быть задокументированы и последовательно реализованы.
  • Если использование электронной подписи когда-либо будет оспорено в суде, департамент или агентство должны будут иметь возможность продемонстрировать надежность системы / технологии и лежащих в основе процессов и процедур и предоставить доказательства того, что во всех существенных случаях ИТ-система (системы) ) / используемое (ые) устройство (а) работали должным образом или, в противном случае, нет других разумных оснований сомневаться в целостности электронной подписи.

Для получения дополнительных указаний вы можете обратиться к стандарту Канадского совета по общим стандартам под названием «Электронные записи как документальные доказательства», который предоставляет информацию и рекомендации по разработке политик, процедур, процессов и документации, подтверждающих надежность, точность и подлинность электронных записей. Кроме того, Директива по управлению идентификацией и Стандарт по удостоверению личности и удостоверению личности содержат рекомендации по проверке личности физических лиц, которые в равной степени применимы к использованию электронных подписей.

Мы надеемся, что это поможет. С любыми вопросами обращайтесь по адресу [email protected]

С уважением,
Рита Уиттл
Генеральный директор, Политика безопасности и управления идентификационной информацией, Главный информационный директор, филиал
Казначейство Секретариата Канады / Правительство Канады
[email protected] / Тел: 613-369-9683 / TTY: 613-369-9371

Сноски

Сноска 1

В этом документе «департаменты» обозначают федеральные департаменты и агентства.

Вернуться к сноске 1 реферер

Сноска 2

Исключением из требования о включении является раздел 36 PIPEDA.

Вернуться к сноске 2 реферер

Сноска 3

В настоящее время существует более 20 федеральных законов и почти 30 нормативных актов, перечисленных на веб-сайте Министерства юстиции Канады, которые содержат ссылки на «электронную подпись» (на основе поиска термина «электронная подпись» с использованием инструмента расширенного поиска Министерства юстиции Канады. ).

Вернуться к сноске 3 реферер

Сноска 4

Правила о безопасной электронной подписи прилагаются как к PIPEDA, так и к Закону о доказательствах Канады .

Вернуться к сноске 4 реферер

Сноска 5

В настоящее время рассматривается как описание алгоритма, так и процесс распознавания.

Вернуться к сноске 5 реферер

Сноска 6

Обратите внимание, что уровни доверия не следует путать с уровнями полномочий.

Вернуться к сноске 6 реферер

Сноска 7

Обратите внимание, что другие инструменты, такие как ITSG 33: Руководство по категоризации безопасности , также могут использоваться для помощи в процессе оценки.

Вернуться к сноске 7 реферер

Сноска 8

Безопасная метка времени получена из надежного источника. Целостность безопасной отметки времени защищена криптографически.

Вернуться к сноске 8 реферер

Сноска 9

Обратите внимание, что электронные подписи, созданные с использованием сертификатов, выпущенных внутренними центрами сертификации GC, такими как CA Internal Credential Management (ICM), обычно не способны поддерживать взаимодействие с внешними объектами, поскольку выдающий CA не является признанным якорем доверия за пределами GC. (Существует ограниченное количество исключений, когда ICM выдает сертификаты внешним объектам, но такие исключения не предлагают жизнеспособного долгосрочного решения.)

Вернуться к сноске 9 реферер

Сноска 10

На основе поиска по запросу «электронная подпись» с помощью инструмента расширенного поиска Министерства юстиции Канады.

Вернуться к сноске 10 реферер

Сноска 11

Электронные эквиваленты подписи, содержащиеся в законах провинций и территорий об электронных транзакциях, не применяются к GC.

Вернуться к сноске 11 реферер

Сноска 12

УЕКА заявляет, что органы, ответственные за требование о юридической подписи, могут принимать постановления, если считается, что ситуация предполагает определенную степень надежности идентификации или связи с документом, который нужно подписать. Точно так же подписи, представленные правительству (провинциальному и территориальному), должны соответствовать требованиям информационных технологий и любым правилам, касающимся метода их создания или их надежности.См. Обсуждение на Канадской конференции по единообразному праву Единого закона об электронной торговле № .

Вернуться к сноске 12 реферер

Сноска 13

Свойства, указанные в Регламенте SES, описывают цифровую подпись на основе алгоритма Rivet, Shamir, Adleman (RSA). Другие алгоритмы цифровой подписи, такие как алгоритм цифровой подписи с эллиптической кривой (ECDSA), также действительны, но имеют другие математические свойства, которые не полностью соответствуют описанию в Правилах SES.

Добавить комментарий

Ваш адрес email не будет опубликован.