Підприємцям розсилають повідомлення про необхідність купити захищені носії для їх ЕЦП
Державна фіскальна служба в кінці травня звинуватила тисячі платників податків в порушенні закону. При поданні податкової звітності за травень багато бізнесменів, які вже використовують ключ електронного підпису (КЕП), отримали в електронному кабінеті повідомлення від податківців, що їх особистий ключ цифрового підпису розміщений не на захищеному носії (токені), що суперечить нормам закону «Про електронні довірчі послуги».
І хоча проблем з подачею самого звіту не виникало, сам факт такого повідомлення не на жарт стривожив бухгалтерів. Вони тут же кинулися перечитувати згаданий чиновниками документ (він набрав чинності в листопаді 2018 року), в якому справді виявили згадану вимогу. Щоправда, з одним застереженням: до листопада 2020 року ЕЦП можна користуватися і по-старому.
До слова, в ДФС швидко визнали, що перегнули палицю і відкоригували повідомлення. Зараз платників податків в електронному кабінеті попереджають інакше: «Особистий ключ електронного підпису розміщений на незахищеному носії інформації, при цьому відповідно до вимог закону «Про електронні довірчих послуги» особистий ключ кваліфікованого електронного підпису повинен зберігатися на захищеному носії інформації».
Готуй токени влітку
Як уточнили журналістам в ДФС, ці повідомлення користувачі почали отримувати лише тому, що відомству підключили можливість перевірки, зберігається ключ на захищеному носії чи ні. Тепер, якщо до контролюючого органу надходить документ, підписаний ключем з звичайної флешки, користувач автоматично отримує квитанцію про обробку його документів і звітності, а також згадане попередження.
І тут же заспокоїли: повідомлення ніяк не впливає на прийняття й оброблення електронної звітності. Його мета – заздалегідь поставити всіх користувачів до відома про необхідність використовувати захищені носії особистих ключів.
Журналісти розібралися, що це за носії, відколи вони обов`язкові, і які носії вибрати для зберігання ЕЦП.
Не всі ключі рівні
До травня 2019 року центри сертифікації ключів, в тому числі акредитовані при ДФС (АЦСК), використовували як основний носій ключів для користувачів флеш-накопичувачі або компакт-диски, які приносили з собою оформлювачі сертифікату.
Однак стаття 17 Закону «Про електронні довірчих послуги» дійсно передбачає, що органи державної влади, органи місцевого самоврядування, підприємства, установи та організації державної форми власності, державні реєстратори, нотаріуси та інші суб`єкти, уповноважені державою на здійснення функцій державного реєстратора, можуть засвідчити дію відкритого ключа тільки якщо у нього є кваліфікований сертифікат.
Однак під час дії перехідного періоду (2 роки з моменту вступу в силу закону), визначеного в самому законі, можна користуватися і ЕЦП, які були оформлені за старими правилами. Іншими словами, до 7 листопада 2020 року допускається використання і ключа ЕЦП, записаного на звичайну флешку.
Захищені носії випускаються двох видів:
- Електронний ключ (найчастіше з інтерфейсом USB).
- Смарт-карта.
Зовні електронний ключ мало чим відрізняється від флеш-карти, але має вбудовані апаратно-програмні засоби, які забезпечують захист записані на ньому дані від несанкціонованого доступу. На практиці це означає, що всі операції з ключем здійснюються на носії, з якого його неможливо прочитати, скопіювати або видалити.
Крім зберігання інформації токени виконують кілька криптографічних функцій і повинні забезпечувати:
- Симетричне шифрування.
- Обчислення електронного цифрового підпису.
- Протокол обчислення загального секрету.
- Мати механізм, що запобігає підбір PIN-коду.
- Мати механізм «двофакторної аутентифікації» з використанням PIN-коду і апаратного елемента.
Який носій купити
При виборі між електронними ключами і смарт-картами варто мати на увазі особливості використання. Смарт-карта набагато дешевша від електронного ключа – коштує близько 200-500 грн. Однак для її використання знадобиться додаткове пристрій, що зчитує, який обійдеться в кілька разів більшу суму. Так що вартість набору «смарт-карта + зчитувач» перевищує вартість електронного ключа з USB-інтерфейсом, ціна якого зазвичай в діапазоні від 700 до 1600 грн. за ключ.
Крім того, слід врахувати, що далеко не всі носії Мін`юст визнає захищеними. Перелік токенов, з якими працюють реєстри та бази даних відомства містить зараз всього кілька пристроїв:
- Електронний ключ «Алмаз-1К» виробництва ЗАТ «Інститут інформаційних технологій», а також аналогічний пристрій в металевому корпусі.
- Засіб криптографічного захисту інформації «SecureToken-337К», а також «SecureToken-337м» виробництва ТОВ «Автор».
- Засіб криптографічного захисту інформації «CryptoCard-337» виробництва ТОВ «Автор».
Щоб не було черг
Як видно, великою різноманітністю покупців пристроїв Мін`юст не порадував, що, до речі, багатьом довелося не до смаку. Антимонопольний комітет України навіть отримав скарги з приводу внесення до списку захищених носіїв всього двох виробників.
Але, як повідомила державний уповноважений АМКУ Агія Загребельська, за даними попереднього аналізу ринку Комітет не виявив перешкод для виходу на ринок інших виробників або підтвердження, що ДФС вимагає використовувати захищений носій якогось одного бренду.
При цьому і в АМКУ, і в ДФС настійно просять усіх, кому за законом слід записувати ключі ЕЦП на захищені носії, не зволікати з покупкою пристрою. Справа в тому, що законодавство вимагає ідентифікувати заявника, який звернувся за отриманням послуги формування кваліфікованого сертифіката відкритого ключа. Це означає, що обов`язково особиста присутність одержувача ЕЦП.
Віддалено можуть сформувати нові сертифікати тільки ті користувачі, які мають:
- Діючі сертифікати (наприклад, до закінчення терміну дії сертифікатів залишилося кілька днів).
- Незмінні реєстраційні дані (ПІБ, адреса реєстрації місця проживання, код ЄДРПОУ організації і т.п.).
- Особистий ключ доступний тільки користувачеві і не є скомпрометованим.
З огляду на урядовий девіз Digital First, за яким всі послуги та взаємодія з державними органами за замовчуванням здійснюються через інтернет, з захищеними носіями краще не затягувати.
ubr.ua