Чем отличаются электронные подписи для разных площадок
Как выбрать электронную подпись для торгов: обзор для поставщиков
В электронном виде проходят большинство госзакупок и значительный объем коммерческих тендеров. Чтобы участвовать в них, поставщикам нужна электронная подпись (ЭП). Из нашего обзора вы узнаете, какой вид подписи выбрать для торгов, на кого оформить ЭП и как ее получить.
иллюстратор — Марго Федосеева
Электронная подпись для госзакупок по 44-ФЗ
С 2019 года большая часть государственных закупок проходит в электронном виде. Извещения о них размещают в Единой информационной системе закупок (ЕИС), а проводят на восьми федеральных электронных торговых площадках (ЭТП):
Какая нужна подпись?
Для участия в электронных госзакупках по 44-ФЗ нужен квалифицированный сертификат электронной подписи (КЭП). Подпись подойдет и для закупок по капремонту (615-ПП) и торгов по 223-ФЗ среди малого и среднего бизнеса, которые тоже проходят на указанных восьми площадках.
Участники госзакупок используют КЭП на всех этапах торгов:
Отправить заявку на участие в закупке.
Подать свое ценовое предложение на аукционе.
Электронная подпись для торгов по 223-ФЗ и коммерческих закупок
Торги по 223-ФЗ проводят компании с государственным участием, их «дочки» и «внучки», а также естественные монополии. Например, РЖД, Газпром, Сбербанк и Россети.
Закупки по 223-ФЗ для крупного бизнеса и коммерческие тендеры публикуют на отдельных электронных торговых площадках. Активно работают около 200 таких ЭТП. Их можно разделить на две группы:
Какая нужна подпись?
Не всем коммерческим ЭТП подойдет обычная КЭП. На некоторых площадках работает только КЭП со специальным платным расширением — OID-ом. Какую подпись принимать, решают сами ЭТП. Например, стандартную КЭП принимают коммерческие секции площадок Сбербанк-АСТ, ЕЭТП, РТС‑тендер. А КЭП с OID-ом — B2B-center и Фабрикант.
Это не означает, что поставщикам нужно покупать несколько разных подписей для разных ЭТП. Можно заказать одну квалифицированную подпись и добавить в нее все необходимые OID-ы. Такую услугу оказывают удостоверяющие центры, которые сотрудничают с торговыми площадками. Правда, за каждый OID площадка требует доплаты.
Так, в подпись для торгов от Контура можно добавить OID интересующей вас площадки. Сделать это можно даже после того, как начнете пользоваться подписью — например, если захотите участвовать в закупке на новой площадке. Добавить до трех OID-ов можно через месяц после выпуска подписи, если подключите специальную услугу, или в любое время при покупке подписи для торгов «Марафон».
В обоих случаях удостоверяющий центр перевыпустит вашу подпись, добавив к ней необходимое расширение.
Электронная подпись для торгов банкротов
Имущество обанкротившихся предприятий тоже продают на электронных торгах. Их проводят примерно на 60 площадках, треть из которых требует электронную подпись с платным OIDом. Например, расширение нужно для самых популярных ЭТП — uTender, B2B-center, Фабрикант, Центр реализации и Центр дистанционных торгов.
С 2019 года все больше площадок запрашивают КЭП с дополнительным расширением. Поэтому, если вы хотите участвовать в торгах банкротов, проверьте, требует ли ваша площадка OID.
Как получить электронную подпись для торгов
Заказать КЭП в любом аккредитованном удостоверяющем центре (УЦ) могут:
— поставщики по 44-ФЗ,
— заказчики и поставщики по 223-ФЗ,
— участники торгов по реализации имущества банкротов.
Чтобы получить электронную подпись, будущий владелец должен лично приехать в офис УЦ либо прислать курьера с доверенностью. После того как сотрудники удостоверяющего центра подтвердят личность владельца, они оформят заявку на выпуск КЭП. Время проверки и согласования заявки — от одного часа до нескольких дней.
Для выпуска электронной подписи нужно будет вновь посетить УЦ. С собой нужно взять оригиналы или заверенные копии документов, на основании которых был оформлен сертификат.
Цена КЭП начинается с 3 000 рублей и зависит от расширений, которые включены в сертификат. Сертификат выпускают максимум на 15 месяцев, по окончанию этого срока нужно получать новую подпись.
Что понадобится для работы подписи
Дополнительно к сертификату подписи нужно приобрести инструменты для его работы:
Кроме того, некоторые УЦ добавляют к подписи дополнительные услуги. Например, в составе Электронной подписи 3.0 идут опции, упрощающие участие в закупках:
Документы для оформления подписи
Для получения сертификата КЭП подготовьте:
Это стандартный список документов. Какие документы нужны именно вам, расскажут в удостоверяющем центре.
На кого оформить
Электронную подпись для участия в торгах нужно оформлять на сотрудника, который будет работать на ЭТП и подписывать контракты. Это может быть руководитель компании, тендерный специалист или другой человек, имеющий полномочия участвовать в закупках. Если он уволится или поменяет фамилию, подпись придется перевыпустить.
КЭП на руководителя обязательно нужна, чтобы зарегистрировать компанию в ЕИС. После прохождения регистрации руководитель может не заниматься торгами, а передать эту работу сотрудникам. Таким сотрудникам понадобится своя КЭП.
Не советуем оформлять подпись на одного человека, например, гендиректора, а потом передавать ее другим сотрудникам. Если подпись окажется в руках у ненадежного человека, он сможет взять кредит на гендиректора, продать имущество компании или ликвидировать юрлицо. Безопаснее выпустить КЭП для каждого сотрудника, который на основании доверенности будет подписывать документы от имени компании.
Ответим на вопросы
Электронная цифровая подпись (ЭЦП): виды и их отличия
Активное внедрение сдачи отчетности через интернет не только для крупных и средних, но и для небольших компаний и ИП привело к тому, что электронная цифровая подпись (ЭЦП) сейчас есть практически у каждого налогоплательщика. В данной статье рассказано, какие преимущества дает такая подпись, как она устроена, и что надо учитывать, работая с электронными документами в 2020 году.
Что такое ЭЦП: определение
В настоящее время термин «электронная цифровая подпись» в официальных документах не используется. С 2011 года он заменен более коротким понятием — электронная подпись. Таковой является информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с этой информацией, и которая используется для определения лица, подписывающего информацию. Данное определение содержится в статье 2 Федерального закона от 06.04.11 № 63-ФЗ «Об электронной подписи».
Электронная подпись, как и собственноручный автограф, является реквизитом подписываемого документа, призванным удостоверить его авторство. Заметим, что и «бумажную» подпись можно рассматривать как информацию (указание на должность, ФИО и собственно автограф), которая связана с основным документом и нужна для определения того, кто его подписал.
Принцип работы ЭЦП
Выдачей ЭЦП занимаются удостоверяющие центры. Они решают важнейшую задачу, а именно: подтверждают подлинность информации о владельце ключа и его полномочиях. Центр выдает сертификат открытого ключа подписи. Электронный сертификат — это файл, который представляет из себя открытый ключ клиента, подписанный ЭЦП удостоверяющего центра. После оформления документов в удостоверяющем центре у клиента на руках оказывается носитель, на котором записаны следующие файлы: открытый ключ, закрытый ключ, сертификат открытого ключа.
Допустим, бухгалтер хочет отправить в инспекцию декларацию. Он формирует файл с отчетностью. Затем подписывает файл с декларацией своим закрытым ключом. В результате образуется новый, оригинальный файл. В подписанном ЭЦП документе ни получатель, ни отправитель уже не могут изменить ни одного символа — подобное нарушение целостности документа легко выявляется при проверке с помощью сертификата открытого ключа.
Далее программа, с помощью которой бухгалтер отправляет отчетность, шифрует декларацию открытым ключом инспекции. Зашифрованный файл отправляется в инспекцию. Налоговики получают файл и расшифровывают его своим закрытым ключом. Затем проверяют электронную подпись плательщика с помощью реестра сертификатов открытых ключей. Проверка отвечает на два вопроса: была ли после подписания ЭЦП плательщика нарушена целостность документа, и действительно ли данная ЭЦП принадлежит плательщику, сдавшему отчетность.
После проверки инспекция отправляет организации протокол входного контроля. Инспектор подписывает протокол своим закрытым ключом. Затем шифрует протокол открытым ключом организации и направляет файл с зашифрованной информацией в адрес компании. Бухгалтер открывает зашифрованную в файле информацию своим закрытым ключом.
Теоретически можно перехватить зашифрованный файл. Однако расшифровать файл, направленный в адрес инспекции, получится только при наличии закрытого ключа инспекции. Соответственно, зашифрованный файл, который инспекция направила налогоплательщику, может открыть только тот, у кого есть закрытый ключ этого налогоплательщика.
Подписывать документы можно только личным ключом подписанта. Передавать его третьим лицам нельзя, иначе произойдет компрометация (т. е. фактически подделка) подписи. Это, среди прочего, означает, что директор не может отдать носитель с ключом своей подписи бухгалтеру для подписания отчетности перед отправкой. Проведем аналогию с традиционной подписью. Передача токена с подписью директора в руки третьих лиц равнозначно ситуации, когда секретарь подделывает на документе подпись руководителя. Даже если подпись будет похожа на оригинал, собственноручной подписью руководителя она не является. И если этот факт будет установлен, документ признают фальсифицированным.
Виды электронной подписи
По закону электронные подписи делятся на два вида: простые и усиленные. В свою очередь усиленные подразделяются на квалифицированные и неквалифицированные (п. 1 ст. 5 Закона № 63-ФЗ).
Простой считается электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования ее определенным лицом (п. 2 ст. 5 Закона № 63-ФЗ). Это логины-пароли, СМС-коды, пуш-уведомления и др. Для простых электронных подписей, как правило, не требуется установка специальных шифровальных программ. Также в этом случае не используется описанная выше схема с шифровкой и дешифровкой документа. Такие подписи применяются в закрытых системах (внутри банковской организации, портала и т.п.), когда требуется подтвердить факт совершения действия только одной из сторон (клиентом, заявителем и т.п.). При этом сам документ (платежное поручение, заявление и т.д.) не попадает во внешнюю среду и, следовательно, не может быть злонамеренно изменен.
Усиленные электронные подписи предполагают работу с отпечатками документов. Разница между неквалифицированной и квалифицированной подписями состоит в степени серьезности проверок, которые нужно пройти для их получения. Неквалифицированную можно создать самостоятельно при помощи различных программ (в т.ч. почтовых). А вот усиленную квалифицированную электронную подпись (УКЭП) может выдать только специальный удостоверяющий центр, который прошел установленные государством процедуры аккредитации и лицензирования.
Электронная подпись для госзакупок
Для работы на электронных торговых площадках заказчикам и поставщикам требуется квалифицированная электронная подпись. Без нее не получится участвовать в госзакупках. Они проводятся на основании федеральных законов от 05.04.13 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и от 18.07.11 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц».
Также только квалифицированная подпись необходима тем, кто хочет принять участие в торгах по реализации имущества банкротов, или в коммерческих торгах, которые проводятся через специализированные площадки.
ВАЖНО. Для госзакупок нужна УКЭП, которую выдают только удостоверяющие центры.
Электронная подпись для госуслуг
На Едином портале государственных и муниципальных услуг используется простая электронная подпись. Для ее получения сначала нужно пройти оффлайн-идентификацию. Затем нужно авторизоваться на портале при помощи обычного логина и пароля (т.е. простой ЭЦП). После этого можно подписывать и подавать в государственные органы заявления и другие документы в электронном виде.
Такие электронные аналоги приравниваются к документам, подписанным собственноручно (п. 3 ст. 21.2 Федерального закона от 27.07.10 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»). Наличие простой электронной подписи позволяет установить, кем был создан файл. Этих данных достаточно для целей предоставления государственных и муниципальных услуг.
Использование электронной подписи в электронных документах
С помощью квалифицированной электронной подписи юридические и физические лица (в т.ч. ИП) могут удостоверить любой документ. ЭЦП придаст ему юридическую силу, приравняв к бумажному аналогу, который заверен собственноручной подписью и скреплен печатью. Поэтому электронные документы с УКЭП могут использоваться как внутри компании, так и во взаимоотношениях с контрагентами и госорганами.
Например, с помощью квалифицированной электронной подписи руководитель компании может подписывать налоговую отчетность и договоры с поставщиками или покупателями. Помимо этого, такая подпись позволит издавать электронные распоряжения и приказы в рамках самой организации (например, при общении с территориально удаленными обособленными подразделениями или дистанционными работниками).
Также электронный документооборот, в котором используется УКЭП, может быть интегрирован в бухгалтерское программное обеспечение. Это позволит не дублировать на бумаге не только договоры, но и счета-фактуры, и первичные документы.
СПРАВКА. В определенных случаях «первичку» можно подписывать простой или усиленной неквалифицированной электронной подписью. Для этого контрагентам придется заключить специальное соглашение. Подробнее см.: « Как подписывать электронную «первичку» и как делегировать право её подписания ».
Документы, которые подписаны с помощью квалифицированной электронной подписи, можно использовать в качестве доказательств в суде, а также при общении и контролирующими органами (п. 1 ст. 6 Закона № 63-ФЗ).
Оформление электронной подписи
СПРАВКА. Недавно у клиентов некоторых банков появилась возможность пройти идентификацию для портала Госуслуг в онлайн-режиме — на сайте или в мобильном приложении кредитной организации.
Иной сценарий применяется при оформлении усиленной неквалифицированной подписи. П орядок выдачи сертификатов НЭП определяется регламентом или соглашением сторон в информационной системе, в которой она применяется. Обычно е е создание происходит полностью в автоматическом режиме с использованием соответствующего программного обеспечения. Но при отсутствии нужной программы (или специалистов, способных с ней работать), такую подпись можно оформить через удостоверяющий центр. А физические лица вправе бесплатно получить неквалифицированную подпись в личном кабинете налогоплательщика (если таковой подключен). Правда, действует она только при отправке документов налоговым инспекциям через сам кабинет (п. 2 ст. 11.2 НК РФ).
Что касается квалифицированной электронной подписи, то для ее получения необходимо обратиться в любой аккредитованный удостоверяющий центр.
Юридическая сила ЭЦП
Подписать документ простой электронной подписью можно только в двух случаях. Первый — на это прямо указано в соответствующем нормативном акте. Например, возможность использования простой ЭЦП для портала госуслуг предусмотрена пунктом 3 статьи 21.2 Закона № 210-ФЗ. Второй случай — стороны предварительно договорились применять такую подпись. Например, так происходит при подключении к интернет-банкингу. В остальных случаях использовать простую электронную подпись для работы с государственными органами, получения доступа к электронным торгам или подписания документов (внутренних или внешних) не получится.
Аналогичные правила действуют в отношении усиленной неквалифицированной подписи. Хотя она и обладает большей защищенностью, чем простая ЭЦП, так как идентифицирует не только подписанта, но и подтверждает неизменность подписанного документа, применять неквалифицированную ЭЦП можно только на основании предварительного согласования сторон, либо в силу прямого указания закона. Без этого неквалифицированная подпись юридической силы не имеет. Этот вид подписи нельзя использоваться при общении с госорганами, а также для доступа к торговым площадкам в рамках госзаказа.
И только усиленная квалифицированная электронная подпись придает документам юридическую силу без каких-либо дополнительных условий. Ведь тут гарантом выступает прошедший государственную аккредитацию и лицензирование удостоверяющий центр. Поэтому электронный документ, подписанный УКЭП, сразу же имеет юридическую силу, и является разнозначным бумажному аналогу, который подписан собственноручно. Так, пострадавший от коронавируса бизнес может использовать усиленную квалифицированную электронную подпись в заявлении на безвозвратную субсидию. Такое заявление можно подать через личный кабинет налогоплательщика на сайте ФНС, а для работы с этим кабинетом организациям необходима усиленная квалифицированная электронная подпись.
Срок действия ЭЦП
Сама электронная подпись бессрочная. Однако если речь идет об УКЭП, то с рок действия ключа электронной подписи, как правило, не может превышать 15 месяцев, поэтому и сертификаты не выдаются на более долгий срок. Обычно срок действия сертификата составляет один год. Это, среди прочего, обусловлено особенностями применяемых алгоритмов шифрования — их эксплуатация не должна превышать один год.
В заключение отметим, что получить и использовать электронную подпись в 2020 году совсем не сложно. В некоторых случаях это можно сделать самостоятельно и бесплатно. Но для получения полноценной ЭЦП, которую можно использовать в отношениях со всеми госорганами и организациями, нужно обратиться в специальный удостоверяющий центр. Наличие такой подписи существенно упростит взаимоотношения с контролирующими органами и контрагентами, а также откроет доступ к электронным торговым площадкам, в том числе в рамках госзаказа.
Электронная подпись для участия в закупках
Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.
Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.
Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.
Давайте разберём основные понятия, связанные с ЭП и УЦ.
Что делает УЦ?
Удостоверяющие центры выдают своим клиентам: а) носители, содержащие ключевую пару; б) комплект документов к ним (в т. ч. руководство по безопасности); в) бумажные сертификаты.
Также УЦ занимается:
Все ли ЭП подходят для участия в закупках?
Нет, не все. Нужно иметь тот вид электронной подписи, который предусмотрен действующим законодательством. Для закупок по 44-ФЗ и 223-ФЗ это усиленная квалифицированная электронная подпись. Сертификаты, с помощью которых формируются такие ЭП, выдаются только в УЦ, которые аккредитованы Минкомсвязи. Отношения в области использования электронных подписей регулируются Федеральным законом № 63-ФЗ «Об электронной подписи», в котором, помимо всего прочего, содержатся требования по аккредитации удостоверяющих центров и описание процедуры выдачи сертификатов такими УЦ. А на сайте самого министерства можно ознакомиться со списком всех аккредитованных УЦ.
Также важно отметить, что коммерческие электронные торговые площадки (ЭТП) и иные информационные системы вправе устанавливать свои дополнительные требования к составу сертификатов. Эти требования представляют собой дополнительные расширения — OIDы. Так что если вам будет необходимо применять свою ЭП на каких-то конкретных площадках, то лучше сразу уточнить в УЦ возможность выпуска сертификата для этих площадок.
Что записывается на носитель?
На носитель записывается ключевая пара в виде ключа электронной подписи и сертификата ключа проверки электронной подписи. Наш УЦ, например, дополнительно записывает туда ещё автоустановщик и специализированный антируткит, потому что машины многих компаний в России, увы, бывают поражены эпидемиями вирусов и шпионским ПО. Кроме того, носитель может использоваться и как обычная флешка для хранения данных. Туда можно сразу записать инструкции и прочие данные. Но это делается уже опционально и индивидуально.
ЭП подходит ко всему сразу?
Нет. Обычно ЭП применяется для чего-то конкретного. Но все требования различных информационных систем хорошо известны УЦ, и как вариант можно получить «универсальный» сертификат, подходящий для максимально широкого круга различных систем. Так что, если вы планируете использовать свою ЭП в большом количестве различных сервисов с дополнительными требованиями, то будет выгоднее приобрести «универсальный сертификат». Вот, например, цены таких сертификатов в нашем УЦ.
Они plug & play?
Ну, почти. Может случиться так, что всё сразу запустится, а может — что придётся «пошаманить» с сисадмином. Ключевой фактор тут — понимание того, что приобретён нужный сертификат, и что у площадки и УЦ есть нормальная поддержка. Поскольку мы заинтересованы в том, чтобы у участников закупок на нашей площадке не возникало технических неполадок и ошибок, то для наших ЭП мы разработали автоустановщик. Также у нас есть круглосуточная техподдержка.
Какие существуют лицензии на ПО для работы с сертификатом?
Вообще общепринятое название ПО для работы с сертификатом — это «Криптопровайдер» (Cryptography Service Provider, CSP). Он представляет собой независимый модуль, который при помощи функций CryptoAPI осуществляет криптографические операции в Microsoft. Различают следующие виды лицензий на криптопровайдер:
У компании изменились реквизиты. Что делать?
Обратиться в УЦ. В связи с технической особенностью структуры сертификата изменять его содержимое не представляется возможным, поэтому придётся делать запрос об изменении данных и получать новый сертификат. Записать его можно на тот же самый носитель, что использовался раньше. Не забудьте только отозвать свой старый сертификат.
Можно ли сделать копию ключей ЭП?
Можно. Для этого опять же необходимо обратиться в удостоверяющий центр, где получался сертификат, и попросить сделать резервную копию своей ключевой пары. В целом это хорошая и полезная практика — иметь резервную копию, потому что, если перед самыми торгами окажется, что ваш носитель, например, сломался, то будет возможность оперативно его заменить на резервный вариант.
Удостоверяющие центры чем-то отличаются друг от друга?
Да. Всего по стране их более 400 штук. На заре формирования этого рынка встречалось немало сомнительных серых схем. Говорят, что небольшие УЦ и сейчас нарушают закон, выдавая сертификаты без установления личности владельца. А это может впоследствии всплыть и аукнуться. Во избежание недоразумений лучше выбирать всё-таки крупные УЦ (аккредитованные Минкомсвязи), которые уже давно работают на рынке. В общем, всё как с центрами сертификации в Интернете.
Сами по себе ЭП тоже отличаются. Есть простая ЭП, которая банально подтверждает факт того, что подпись была создана конкретным лицом. Подтверждение делается с помощью какого-либо кода или письма на электронную почту.
Есть ещё усиленная неквалифицированная ЭП и усиленная квалифицированная ЭП. Оба вида этих подписей формируются с помощью криптографических средств, но в случае с усиленной квалифицированной ЭП подтверждается еще и факт того, что УЦ, который выдал сертификат, аккредитован Минкомсвязи, и используются сертифицированные средства электронной подписи.
Квалифицированная ЭП признаётся равнозначной собственноручной без каких-либо дополнительных условий. А простая и неквалифицированная ЭП приобретают юридическую силу при наличии дополнительных условий, в том числе когда между участниками электронного взаимодействия заключено какое-либо дополнительное соглашение.
Сколько времени надо на получение сертификата?
У нас сертификат выдается за три часа по ускоренной процедуре (с личным присутствием, то есть закладывайте время ещё и на дорогу). Обычная процедура (с учётом подготовки документов и оплаты счёта) занимает около 1–2 рабочих дней.
Напоследок выговорите скороговорку: «ИП с ЭП для ЭТП». Надеюсь, что некоторые из вас прочитают этот материал и перестанут бояться быть вот этими «ИП с ЭП для ЭТП». Ну и задавайте свои вопросы про ЭП, мы с коллегами из УЦ ответим.