ЧаВо (F.A.Q.)

Так как SIGEX, помимо готовых приложений, предоставляет открытый для всех API, то возможности не ограничены:

• ИП и совсем небольшие организации могут хранить документы в папках на компьютерах, но мы настоятельно рекомендуем внедрить резервное копирование важных данных чтобы защититься от вирусов и шифровальщиков;
• малый бизнес может внедрить централизованное хранение документов на папках на сервере;
• для всех тех, кто хранит документы в папках на компьютерах или серверах, мы разработали приложение SIGEX Desktop for Windows, позволяющее подписывать файлы ЭЦП и проверять подписи кликом правой кнопкой мыши в Проводнике Windows;
• те, кто привык пользоваться электронной почтой для всей важной переписки, могут пользоваться функцией отправки уведомлений SIGEX - сервис прикрепляет к уведомлениям подписанные документы, документы останутся в электронной почте;
• средние и крупные организации, зачастую, разрабатывают системы электронного документооборота под свои задачи, их очень просто интегрировать с SIGEX через API.

Все очень просто - потому что это невозможно.

Позвольте пояснить. ЭЦП формируется с помощью криптографического алгоритма из закрытого ключа и подписываемого документа (об этом детальнее читайте в статье Что такое ЭЦП?). То есть в момент подписания документа ЭЦП еще не сформирована. С другой стороны ЭЦП вычислена из содержимого документа, проверка ЭЦП под документом подразумевает проверку того, что содержимое документа не изменилось с момента подписания. Таким образом если мы будем как-то пытаться встраивать ЭЦП в документ, то этот документ перестанет проходить проверку ЭЦП и, соответственно, не будет иметь никакой юридической значимости (немного о юридической значимости электронных документов написано в статье Как предоставлять документы, подписанные электронной цифровой подписью, в суд).

Важный нюанс во всем вышесказанном заключается в том, что наш сервис под электронным документом (в соответствии с формулировкой в Законе “об электронном документе и ЭЦП”) понимает именно тот файл, который Вы подписываете. Это может быть и PDF и DOC/X и XLS/X - любой файл.

Некоторые информационные системы, такие как портал Электронного правительства, умеют формировать PDF файлы (либо DOC, либо что-то в каком-то другом формате), в которые встроена информация об ЭЦП. Яркий пример таких документов - справки с EGOV.

Важно понимать что такие PDF файлы не являются электронными документами (опять же в соответствии с формулировкой в Законе “об электронном документе и ЭЦП”). Электронными документами, подписанными ЭЦП, в этом случае являются блоки XML данных, а PDF документ - это визуальное представление какой-то части данных из XML и цифровых подписей, сам он юридической силы не имеет.

К сожалению с такими документами нередко возникают проблемы: https://ct.kz/looking-for-a-digital-signature/

На самом деле наш сервис умеет работать и с XML подписями, но мы не стали добавлять поддержку XML подписей в веб интерфейс, так как XML - это формат для машин, а не для людей. Большинство наших сограждан не смогут разобраться в XML.

Для того, чтобы предоставить нашим пользователям возможность распечатывать подписанные документы, мы разработали функцию печати информации о цифровых подписях, она доступна прямо на странице подписанного документа.

Но, по большому счету, Вам достаточно просто файла с идентификатором SIGEX в имени. По этому файлу Вы всегда можете открыть страницу подписанного документа и ознакомиться с тем, кто подписывал документ.

Идентификатор подписанного документа в SIGEX, или просто идентификатор SIGEX - это последовательность латинских букв и цифр, уникально идентифицирующая зарегистрированный в сервисе SIGEX подписанный документ.

Интегрированные с сервисом информационные системы используют этот идентификатор для получения информации о подписях под документами, для регистрации новых подписей и для проверки подписей и документов.

Идентификатор принято добавлять в имя файла подписанного документа, по такому файлу легко открыть страницу подписанного документа на https://sigex.kz, так же такие файлы корректно обрабатывает приложение SIGEX Desktop for Windows.

Имя файла со встроенным идентификатором SIGEX имеет следующий вид: "Договор №12-SigexIdc49rHgTTmgJupChZ.pdf", то есть к оригинальному имени файла (перед расширением) добавлен суффикс "-SigexId" + идентификатор.

Очень широкий вопрос, если кратко:

• мы ставим безопасность во главу разработки программного обеспечения - используем современные языки программирования, применяем инструменты статического анализа исходных кодов, автоматически детально тестируем каждое изменение, каждый релиз проходит стадию ручного тестирования;
• мы непрерывно обновляем компоненты и системы;
• мы применяем современные средства защиты телекоммуникационных каналов (TLS);
• мы храним электронные документы в зашифрованном виде;
• мы следуем лучшим практикам обеспечения безопасности инфраструктуры;
• у нас внедрены средства мониторинга большого количества метрик наших сервисов, это позволяет нам быстро выявлять нестандартные ситуации;
• у нас внедрены средства анализа событий информационной безопасности, то есть мы можем в автоматическом режиме выявлять подозрительную активность на наших серверах;
• у нас внедрен контроль доступа административного персонала к серверам и сервисам;
• у нас реализован контроль доступа пользователей к данным.

Мы с полной серьезностью относимся к документам, в частности:

• по умолчанию мы не храним документы, только подписи под ними;
• мы просим предоставлять документы в процессе их регистрации и в некоторых других случаях (к примеру для формирования Карточек или CMS ezSigner), в этих случаях мы обрабатываем документы в оперативной памяти наших серверов, они не попадают на жесткие диски;
• сервис защищен от перебора идентификаторов документов;
• реализована возможность помечать документы как документы с ограниченным доступом;
• в том случае, если пользователь активирует опцию архивного хранения документов, то перед помещением документов в архив мы их шифруем.

В соответствии с Законом РК “Об электронном документе и электронной цифровой подписи”:

• Электронный документ, соответствующий требованиям настоящего Закона и удостоверенный посредством электронной цифровой подписи лица, имеющего полномочия на его подписание, равнозначен подписанному документу на бумажном носителе.
• Электронная цифровая подпись равнозначна собственноручной подписи подписывающего лица и влечет одинаковые юридические последствия при выполнении следующих условий:…

То есть, подписав электронный документ с помощью ЭЦП, Вы можете быть уверены в том, что такой документ будет полностью соответствовать требованиям законодательства и будет равнозначен документу подписанному от руки.

ЭЦП, в отличие от СМС, обеспечивает авторство (документ был подписан определенным субъектом), неотказуемость (субъект не сможет утверждать что подписал не он) и неизменяемость документа (если после подписания документа в него внесут изменения, то подпись перестанет проходить проверку).

Таким образом, если Ваш контрагент заявит, что он не подписывал определенный документ или что текст его изменен, экспертиза сможет однозначно доказать обратное выполнив проверку ЭЦП.

Да, мы совместно с Казахстанской ассоциацией автоматизации и робототехники (KAAR) разработали универсальный формат - Карточка электронного документа (КЭД).

КЭД - это контейнер для универсальной работы с подлинником электронного документа, включающий в себя визуализацию документа, визуализацию подписей (в виде текста и QR-кодов), подлинник документа и файлы подписей, то есть содержит все необходимые данные для проверки цифровых подписей и подлинности документа, при этом не внося изменений в сам подлинник документа. Подробности читатйте в статье Представляем карточки электронных документов.