Построение систем юридически значимого ЭДО


Всем привет!

Построение систем юридически значимого ЭДО (электронного документооборота) затрагивает широкий спектр технологий. В этой заметке мы расскажем Вам как использование сервиса SIGEX поможет избежать многих подводных камней в области криптографии, а так же получить доступ к дополнительным уникальным возможностям.

Системы электронного документооборота уже много лет внедряются в различные области жизни и деятельности граждан нашей страны оптимизируя бизнес процессы, позволяя быстрее и дешевле получать услуги, добавляя прозрачности корпоративной и государственной деятельности. Дополнительным стимулом для развития этого направления стала государственная программа “Цифровой Казахстан”. Карантин и принудительный переход множества организаций на удаленную работу в период эпидемии COVID-19 еще больше подтолкнули развитие.

В данной заметке речь пойдет о частном случае - системах юридически значимого электронного документооборота. Юридическая значимость документов в ЭДО такого типа обеспечивается применением электронной цифровой подписи, но только в том случае, если реализация обработки цифровых подписей в системе ЭДО соответствует изложенному в “Законе об ЭЦП” и “Приказе о правилах проверки ЭЦП”.

Обеспечение юридической значимости электронных документов накладывает, как минимум, следующие технические требования на реализацию системы ЭДО:

  • необходимость обеспечить неизменность подписанных цифровой подписью электронных документов, так как даже в случае мизерного изменения в документе цифровые подписи под ним перестанут проходить проверку и он потеряет юридическую значимость;
  • необходимость реализовать проверки поступающих в систему ЭДО электронных документов и цифровых подписей под ними в соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан “Об утверждении Правил проверки подлинности электронной цифровой подписи”;
  • необходимость подготавливать электронные документы и цифровые подписи под ними к долгосрочному хранению в соответствии с вышеупомянутым Приказом - иначе юридическая значимость цифровой подписи под электронным документом будет ограничена сроком действия сертификата лица подписавшего документ;
  • необходимость обеспечить сохранность цифровых подписей под электронными документами.

Вопросы связанные с проверкой цифровых подписей и их подготовке к долгосрочному хранению уже были освещены ранее в заметке Проверка цифровой подписи. Важно понимать то, что ошибки в их реализации приведут не только к взломам и несанкционированному доступу к данным информационной системы, но и к проблемам с признанием юридической значимости электронных документов. То есть подорвут сам смысл создания системы ЭДО.

Для того, чтобы минимизировать риски, ускорить разработку и сократить ее стоимость мы предлагаем переложить задачи связанные с проверкой и обработкой цифровых подписей на плечи сервиса SIGEX. В этом случае Вы получаете следующие преимущества:

  • Аутсорсинг обеспечения юридической значимости цифровых подписей — в соответствии с законодательством РК для обеспечения юридической значимости цифровой подписи должен быть выполнен ряд проверок, ответственность за корректность выполнения которых ложится на разработчиков и операторов ИС.
  • Централизованный реестр подписей — возможность получать актуальную информацию о цифровых подписях под электронными документами в любой момент времени, возможность получать уведомления о новых подписях под электронными документами.
  • Аутсорсинг обеспечения сохранности цифровых подписей — архив цифровых подписей с возможностью поиска.
  • Готовые инструменты для подписания любых электронных документов — веб портал https://sigex.kz и приложение SIGEX Desktop for Windows позволяют не только подписывать электронные документы, но также проверять цифровые подписи и целостность (неизменность) подписанных электронных документов.
  • Дополнительные инструменты для упрощения построения систем ЭДО — backend аутентификации по цифровым сертификатам позволит легко внедрить строгую двухфакторную аутентификацию, протестирована поддержка мобильных платформ.
  • Повышенное доверие - обеспечивается тем, что все участники ЭДО имеют доступ к дополнительным инструментам позволяющим проверять цифровые подписи и целостность (неизменность) подписанных электронных документов, следовательно быть уверенными в том, что именно было подписано ЭЦП.
Схема базового взаимодействия

Интеграция с SIGEX позволит Вашей системе ЭДО стать полноправным участником экосистемы обмена цифровыми подписями.

Экосистема

При разработке B2C/B2B систем ЭДО больше не будет необходимости разрабатывать отдельные модули для внешних пользователей, заставлять их регистрироваться, управлять их учетными записями, обеспечивать им техническую поддержку.

Вместо этого внешние пользователи смогут подписывать предоставленные им электронные документы с помощью готовых инструментов:

Система электронного документооборота сможет получить информацию об электронных подписях под документом в режиме реального времени через API SIGEX.

Системы B2C/B2B ЭДО

В этом случае возможен следующий сценарий взаимодействия:

  • исполнитель (сотрудник организации) регистрирует в системе ЭДО электронный документ;
  • электронный документ проходит внутреннее согласование;
  • обладающий необходимыми полномочиями сотрудник организации подписывает электронный документ цифровой подписью от имени организации, система ЭДО регистрирует подпись в SIGEX;
  • исполнитель передает электронный документ внешнему контрагенту по электронной почте или каким-либо другим удобным способом;
  • внешний контрагент проверяет подпись под полученным электронным документом через веб портал https://sigex.kz либо с помощью приложения SIGEX Desktop for Windows, удостоверяется в том что документ не был изменен после подписания и получает информацию о том, кто уже подписал документ;
  • внешний контрагент подписывает электронный документ через веб портал https://sigex.kz либо с помощью приложения SIGEX Desktop for Windows, происходит автоматическая регистрация новой подписи в SIGEX;
  • исполнитель через интерфейс системы ЭДО видит, что документ был подписан еще одной подписью, так как система ЭДО получает эти сведения из SIGEX.

Подобный подход масштабируется и на комплексные системы ЭДО состоящие из нескольких узлов, даже нескольких разрозненных систем ЭДО.

Комплексные системы ЭДО

Базовый функционал сервиса SIGEX предоставляется бесплатно, но для тех организаций, которым необходимы приоритетная техническая поддержка, SLA и юридически закрепленные гарантии корректности проверки подписи, ТОО “Множество” предлагает заключать договора оказания услуг.

Краткое изложение данной заметки приведено в презентации “Преимущества применения SIGEX при построении систем юридически значимого ЭДО”.

Благодарим за внимание!