Что такое dss сертификат
Как выпустить новую электронную подпись вместо Контур.Сертификата
Инструкция для тех, кто перевыпускает Контур.Сертификат.
Контур.Сертификата больше нет
Удобен, как Контур.Сертификат, только отправку отчёта надо подтверждать не с помощью СМС, а через мобильное приложение.
Достаточно установить приложение myDSS на телефон и привязать к нему свою электронную подпись. Каждый раз, когда вы будете отправлять отчёт из Эльбы, в приложение будет приходить запрос на подтверждение отправки. Вы соглашаетесь — отчёт из Эльбы отправляется. Для этого вам нужен телефон на iOS или Android с доступом в интернет.
Чтобы выпустить сертификат DSS, в задаче по выпуску подписи нажмите «У меня есть телефон на iOS или Android» и следуйте инструкции.
Подпись на носителе
Такой сертификат нужно установить в реестр компьютера или на флэшку. Подойдёт тем, кто планирует пользоваться подписью на Госуслугах, nalog.ru и других сервисах.
Чтобы установить электронную подпись на носителе, нажмите в задаче на ссылку «У меня нет подходящего телефона».
Разница между DSS и подписью на носителе
Если ещё не определились с типом подписи, посмотрите таблицу ниже:
Подпись на носителе
Где хранится подпись
На нашем сервере, но доступ к ней — только с вашего мобильного телефона
компьютер или флэшка
только iOS не ниже 8.0 версии или Android не ниже 4.0 версии
удобнее работать на Windows, чем на Mac, потому что на Mac сложно установить специальное ПО для подписи
— пока телефон рядом, сможете отправить отчёт с любого компьютера или мобильного;
— если потеряете телефон или забудете пароль, то восстановите доступ к подписи без перевыпуска.
— пока на компьютере установлена подпись/вставлена флэшка с подписью, отчёт отправляется без дополнительного подтверждения;
— можно использовать в сервисах других компаний (на сайте налоговой, Госуслуг).
если телефон без доступа к интернету, то отчёт отправить не получится
— если потеряете флэшку с подписью, то придётся её перевыпускать;
— если установили подпись на компьютер, то будете к нему привязаны;
— не получится отправить отчёт с телефона.
Статья актуальна на 01.02.2021
Получайте новости и обновления Эльбы
Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур
PCI DSS – как и зачем получать сертификат соответствия
Привет, %username%!
Этот пост мы подготовили для тех, кто работает в сфере интернет-коммерции и планирует принимать (или уже принимает) платежи на собственном сайте. Мы расскажем о международном стандарте безопасности данных PCI DSS. Поговорим о его основных требованиях к информационной инфраструктуре, которая обеспечивает обработку и обеспечение безопасности данных банковских карт. Также мы рассмотрим основные причины прохождения сертификации и возможности, которые получает сертифицированная компания.
PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.
Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы «под себя». Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы – фильтрация операций, определяемых как мошеннические, по ряду признаков (например, несовпадение банка-эмитента со страной оплаты или проживания плательщика).
На стадии построения и отладки анти-фрод системы много времени «съест» сбор и анализ данных об операциях по банковским картам. Цель сбора данных – выявление отличительных признаков мошеннических операций. В процессе сбора статистики компании придется столкнуться с большим объемом «charge-back» операций.
Построение собственной анти-фрод системы логично и финансово обосновано для компаний с большим оборотом платежей по банковским картам. Для таких компаний гибкость и полный контроль над системой фильтрации платежей являются критически важными. Плюс, у такой компании есть возможность выделить ресурсы на разработку и постоянное развитие технологий и инструментов собственного “мини процессингового центра”.
Стоит отметить, что в мониторинге рисков сложно найти лучшего поставщика услуг, чем процессинговый центр. Благодаря разнообразию и значительному количеству клиентов, ПЦ обладает обширной историей мониторинга и фильтрации. Даже если компания занимается построением собственной анти-фрод системы, она может отдавать на обработку в ПЦ транзакции, вызывающие сомнения у внутренних специалистов по рискам.
Для принятия взвешенного решения о выборе способа обработки данных банковских карт, необходимо оценивать все составляющие процесса от подачи документов до поддержки кардхолдеров. Для того чтобы принять решение было проще, мы провели сравнение двух основных подходов по приему и обработке данных банковских карт: если ввод данных осуществляется на стороннем сайте (например, ПЦ) – и если данные вводят на сайте предприятия с последующей авторизацией платежа в банке.
| Ввод данных банковской карты осуществляется на сайте предприятия с последующей авторизацией платежей (например в банке) | Ввод данных банковской карты осуществляется на стороннем сайте (например на защищенной платежной странице ПЦ) | |
|---|---|---|
| PCI DSS | Прохождение сертификации на соответствие требованиям PCI DSS обязательно. | Прохождение сертификации не обязательно. |
| Подключение | Для приема платежей напрямую, необходимо самостоятельно подключиться к банку. Решение банка зависит, в том числе, от оборота компании. | Для подключения необходимо передать пакет документов личному менеджеру, который будет взаимодействовать с банком и заниматься подготовкой договора. |
| Комиссия | Комиссия, взимаемая банком за обработку платежей, составляет от 2% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. Процент комиссии, полученный клиентом от банка напрямую, зачастую равен проценту, предоставляемому ПЦ. Это связано с “оптовыми” условиями работы для ПЦ и высоким уровнем надежности мониторинга транзакций, в котором заинтересован банк. | Комиссия, взимаемая ПЦ за обработку платежей и комплекс дополнительных услуг, составляет от 2,5% от суммы транзакции и зависит от объема оборота и сферы деятельности компании. |
| Бухгалтерия | Взаимодействием с банком по вопросам бухгалтерской отчетности и проведением платежей компания занимается самостоятельно. Для составления отчетов требуется активная работа с банком и построение собственной биллинговой системы. | Биллинговая система ПЦ предоставляет клиентам возможность производить online-учет осуществленных транзакций. Возможность самостоятельно выгружать бухгалтерские документы (акт, детализированная выписка системы PayOnline, счет) в интерфейсе личного кабинета. |
| Поддержка плательщиков | Для оказания квалифицированной поддержки плательщиков необходимо организовать собственный Call-центр или покупать услуги стороннего (от 25 000 руб. /мес. за работу специалиста). Если у Вас уже есть Call-центр, необходимо провести дополнительную обучение специалистов для работы с держателями карт. Также требуется построение инфраструктуры Call-центра: софт, телефония. | Поддержка держателей карт, совершающих платежи в Вашем интернет-магазине, осуществляется специалистами Call-центра ПЦ. |
| Мониторинг транзакций | Мониторинг транзакций должен осуществляться штатными квалифицированными специалистами предприятия e-commerce, обрабатывающего данные банковских карт. Заработная плата специалиста по рискам — от 35 000 руб. / мес. | Мониторинг транзакций, с том числе программный, осуществляется специалистами департамента рисков ПЦ. |
| Железо | Требуются вложения в серверную часть, необходимые для прохождения сертификации и обеспечения достаточного уровня безопасности. Сумма зависит от Level-a сертификата и предполагаемой инфраструктуры. | Вам не требуются дополнительные расходы на развитие серверной части, так как обработка транзакций происходит на защищенных серверах ПЦ. |
| Разработка | Для организации самостоятельного приема платежей необходима разработка или покупка биллинговой системы, в том числе сервисов безопасной передачи данных в банк, безопасных форм приема платежей, дополнительных интерфейсов. Требуется постоянная работа специалиста высокой квалификации стоимостью не менее 65000 руб. / мес. | Для подключения к ПЦ требуется единоразовое привлечение разработчика для внедрения платежной формы на сайт компании. При необходимости, брендированая платежная форма разрабатывается специалистами ПЦ. |
| Прием платежей на сайте (без перехода на сторонний ресурс) | Вы обрабатываете данные банковских карт на сайте без перехода на сторонний ресурс. | Возможна реализация приема платежей без прямого перехода на сайт ПЦ с использованием технологии IFrame. |
Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ). Они касаются сайта предприятия e-commerce, корректности контента и ценовых предложений, организационной формы компании.
Если после прочтения этого поста у Вас появились вопросы – пишите в комментарии. Со стороны аудитора и специалиста по требованиям стандарта PCI DSS Вас проконсультирует Евгений Безгодов aka Bezgodov, исполнительный директор компании Deiteriy, CISA, PCI QSA. Со стороны платежного шлюза как всегда на связи специалисты процессингового центра PayOnline.
Как выпустить сертификат DSS
Для получения квалифицированной электронной подписи DSS (КЭП DSS) необходимо перейти в личный кабинет по адресу https://i.kontur-ca.ru в любом из браузеров: Internet Exlorer, Goggle Chrome, Mozilla Firefox, Opera или Яндекс.Браузер.
В открывшемся окне указать номер телефона, который вы сообщали сотруднику сервисного центра, и нажать «Получить смс с кодом». Смс-сообщение с паролем поступит в течение двух минут.
Затем ввести поступивший пароль и нажать кнопку «Войти». Если сообщение с паролем не поступило, нажмите на ссылку «Получить код повторно». Эта ссылка появится через 2 минуты после первого нажатия на кнопку «Получить смс с кодом». Если сообщение снова не поступит — обратитесь в техническую поддержку.
Вы также можете воспользоваться другим способом входа в сервис: по логину и паролю, по сертификату и по ссылке.
Если появляется сообщение «Пользователь не зарегистрирован», необходимо нажать на ссылку «Зарегистрироваться» и заполнить необходимые поля. После регистрации повторно зайти в сервис.
После входа в кабинет вы сможете перейти к выпуску сертификата.
В новом окне сперва необходимо выполнить установку и настройку приложения. Для этого следует пройти несколько этапов:
1. Скачать приложение MyDSS по кнопке «Отправить СМС со ссылкой на приложение», либо напрямую загрузить его с магазина приложений App Store или Google Play.
Необходимо обратить внимание, что если бухгалтер готовит отчетность, а отправку подтверждает директор, то приложение нужно установить на телефон директора. Также если системный администратор помогает другому сотруднику с выпуском сертификата, то приложение должно быть установлено на телефон сотрудника. После установки приложения следует нажать на ссылку «Я установил и открыл приложение».
2. В приложении нажать кнопку «Сканировать» и навести камеру на QR-код на экране.
3. Следующие этапы необходимо выполнять в приложении на телефоне.
Если потребуются подсказки по работе с приложением, то можно воспользоваться инструкцией, кликнув на соответствующую ссылку
После того, как ключ в приложении будет сохранен, на компьютере нужно нажать кнопку «Далее».
Начнется процесс выдачи сертификата удостоверяющим центром, который занимает до 120 минут.
После запроса на выпуск сертификата в течение двух минут на номер телефона, указанный в заявлении на изготовление сертификата, вновь поступит сообщение с паролем. В открывшемся окне личного кабинета следует ввести полученный пароль и нажать на кнопку «Подтвердить».
Теперь необходимо проверить работу сертификата. Для этого достаточно нажать на кнопку «Отправить». В приложение на телефон будет отправлен тестовый документ.
В приложении нажать «Подтвердить», ввести пароль, если он был задан, и подтвердить подписание.
Если при подписании возникли ошибки, то следует воспользоваться предложенными действиями по кнопке «Если что-то не работает или нет приложения».
После успешного подписания появится сообщение, что проверка завершена.
Проверка не является обязательным этапом. Ее можно пропустить, если есть уверенность, что сертификат работает корректно.
Сертификат выпущен и готов к использованию!
После получения нового сертификата в системе Контур.Экстерн необходимо обратиться в УПФР и уточнить, нужно ли перезаключать соглашение об электронном документообороте с ПФР или можно отчитываться со старым.
Сертификация PCI DSS: Что это и с чем её едят
Последнее время Visa и MasterCard начали требовать от торговых предприятий и поставщиков услуг, работающих с карточными данными, соответствия стандарту PCI DSS. В этой связи вопрос требований этого стандарта становится важным не только для крупных игроков на рынке, но и для небольших торгово-сервисных предприятий.
Стандарт PCI DSS был разработан Советом по стандартам безопасности данных индустрии платежных карт PCI SSC (Payment Card Industry Security Standards Council) и регламентирует определенный перечень требований к обеспечению безопасности данных платежных карт (ДПК), которые затрагивают как техническую, так и организационную сторону организаций.
В первую очередь стандарт определяет требования к организациям, в информационной инфраструктуре которых хранятся, обрабатываются или передаются данные платёжных карт, а также к организациям, которые могут влиять на безопасность этих данных. Начиная с середины 2012 года все организации, вовлечённые в процесс хранения, обработки и передачи ДПК должны соответствовать требованиям, определяемым PCI DSS, и компании на территории Российской Федерации не являются исключением.
Чтобы понять, необходимо ли вашей компании соблюдать требования стандарта PCI DSS, следует ответить на два главных вопроса: хранятся, обрабатываются или передаются ли данные платежных карт в вашей организации? И могут ли бизнес-процессы вашей организации повлиять на безопасность этих платежных карт? Если ответ на оба вопроса отрицательный, то сертифицироваться по PCI DSS нет нужды.
Очевидно, что для соответствия стандарту необходимо выполнение определенных требований, вот некоторые из них: защита вычислительной сети, управление доступом к данным о держателях карт, конфигурация компонентов информационной инфраструктуры, механизмы аутентификации, физическая защита информационной инфраструктуры, защита передаваемых данных о держателях карт и так далее. В общем, стандарт требует прохождения порядка 440 проверочных процедур.
Существуют различные способы подтверждения соответствия требованиям стандарта PCI DSS, которые заключаются в проведении внешнего аудита (QSA), внутреннего аудита (ISA) или проведении организацией самооценки (SAQ).
Внешний аудит QSA выполняется внешней аудиторской организацией, сертифицированной Советом PCI SSС. В ходе проверки аудиторы собирают свидетельства выполнения требований стандарта и сохраняют их на период длительностью в три года.
Внутренний аудит ISA выполняется внутренним, прошедшим обучение и сертифицированным по программе Совета PCI SSC, аудитором. Что касается самооценки SAQ, то она выполняется самостоятельно путём заполнения листа самооценки. В этом случае сбор свидетельств выполнения требований стандарта не требуется.
Чтобы ответить на вопрос, в какой ситуации необходимо проводить внешний аудит, а в какой – внутренний, и стоит ли это вообще делать, нужно взглянуть на тип организации и оценить количество обрабатываемых транзакций в год. Существует классификация, согласно которой выделяют два типа организаций: торгово-сервисные предприятия и поставщики услуг.
Торгово-сервисное предприятие является организацией, принимающей для оплаты товаров и услуг платежные карты (магазины, рестораны, интернет-магазины и другие).
Поставщик услуг же, в свою очередь, является организацией, оказывающей услуги в индустрии платежных карт, связанные с обработкой транзакций (это дата-центры, хостинг-провайдеры, международные платежные системы и другие).
В зависимости от количества обрабатываемых в год транзакций, торгово-сервисные предприятия и поставщики услуг могут быть отнесены к различным уровням. Например, торгово-сервисное предприятие обрабатывает до 1 млн транзакций в год с применением электронной коммерции.
По классификации Visa и MasterCard организация будет относиться к уровню 3. Следовательно, для подтверждения соответствия PCI DSS нужно проведение ежеквартального внешнего сканирования уязвимостей компонентов информационной инфраструктуры ASV (Approved Scanning Vendor) и ежегодной самооценки SAQ.
Что касается поставщиков услуг, то количество сервисов, предлагаемых облачными провайдерами, растет ежегодно. Потому для организаций, использующих облачную инфраструктуру, становится актуальным вопрос PCI DSS-хостинга.
PCI DSS-хостинг – это услуга, обеспечивающая безопасное обращение платежных карт для организаций, разместивших свою инфраструктуру на стороне сертифицированного PCI DSS хостинг-провайдера, внутри которой хранятся, обрабатываются или передаются данные платежных карт.
Выбрав такую услугу, организация автоматически закрывает значительную часть требований стандарта PCI DSS – это означает, что провайдер берет на себя выполнение части требований, например, физическую защиту размещаемых северов и администрирование операционных систем.
Как известно, аутсорсинг решает множество задач, облегчая и упрощая жизнь организациям. Если раньше многие компании разворачивали информационную инфраструктуру в собственном серверном помещении и выполняли все требования соответствия стандартам самостоятельно, то сейчас многие отдают эти задачи на откуп сертифицированным поставщикам услуг, тем самым повышая уровень защищенности среды обработки карточных данных и снижая риски финансовых потерь от возможных инцидентов информационной безопасности.
Любая организация, использующая собственный карточный процессинг, рано или поздно сталкивается с необходимостью сертификации по стандарту PCI DSS. Обращение к сертифицированным поставщикам услуг помогает существенно упростить процесс сертификации для торгово-сервисных предприятий и обеспечить защиту данных платежных карт на должном уровне.
Обзор КриптоПро DSS 2.0 и мобильного приложения КриптоПро myDSS
Сертификат AM Test Lab
Номер сертификата: 238
Дата выдачи: 12.12.2018
Срок действия: 12.12.2023
Введение
Активная цифровизация общества позволяет экономить финансы, а также сокращает временные затраты. Также с каждым годом увеличивается количество услуг, которые можно выполнить в электронном виде (отправка документов в налоговую, передача платежных поручений в банк, электронная регистрация сделок по объектам недвижимости, участие в электронных торгах и т. д.), необходимо лишь иметь электронную подпись. На сегодняшний день электронная подпись является неотъемлемым атрибутом не только многих организаций, но и многих физических лиц. Но это лишь один из срезов применения электронной подписи. В крупных организациях ее часто используют для внутреннего документооборота: цифровые сертификаты являются универсальным средством строгой аутентификации, а использование ассиметричной криптографии обеспечивает надежное шифрование. С каждым днем поддержка цифровых сертификатов становится более трудоемкой и сложной задачей. Рост числа цифровых сертификатов увеличивает нагрузку на службы ИТ и ИБ, так как необходимо контролировать срок их действия, своевременно обновлять, также нужно отслеживать использование ключевых носителей (смарт-карт и токенов). Поэтому для управления (в том числе и удаленного) и хранения сертификатов и ключей подписи все чаще применяют централизованные системы, одной из которых является КриптоПро DSS.
КриптоПро DSS позволяет применять как традиционную электронную подпись, так и облачную (что обеспечивает компаниям полноценную работу с ЭП без аппаратных носителей — токенов и смарт-карт). Также КриптоПро DSS имеет мобильное приложение КриптоПро myDSS для смартфонов на базе Android и iOS, которое позволяет подписывать квалифицированной электронной подписью.
Напомним, что, согласно Федеральному закону от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», электронная подпись бывает следующих видов:
Таким образом, с помощью КриптоПро myDSS можно подписывать документы, которые будут иметь юридическую значимость. Стоит отметить, что контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.
Общие сведения о программно-аппаратном комплексе КриптоПро DSS
В статье мы рассматриваем программно-аппаратный комплекс КриптоПро DSS, который предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ (программно-аппаратного криптографического модуля) КриптоПро HSM.
Главным преимуществом использования КриптоПро DSS является технология облачной электронной подписи. Компания КриптоПро предлагает понимать под облачной электронной подписью следующее: это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
То есть все вычислительные операции с использованием ЭП переносятся в облако, а от пользователя требуется лишь подтвердить свою личность.
В традиционном понимании, привычном для подавляющего большинства пользователей, ключ ЭП хранится у ее владельца. Например, для хранения ключа ЭП используется защищенный ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой.
Следовательно, можно сказать, что КриптоПро DSS — это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования ЭП.
КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью пользователей ЭП, например, удостоверяющие центры, банки, страховые и производственно-сбытовые компании. При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к. компания КриптоПро предлагает «Сервис электронной подписи» на собственной инфраструктуре. При этом хранение ключей электронной подписи и реализация криптографических операций осуществляются централизованно в КриптоПро DSS и КриптоПро HSM, а установка дополнительных средств криптографической защиты информации на рабочих местах пользователей не требуется. Вся работа с КриптоПро DSS осуществляется через web-браузер или мобильное приложение myDSS.
При использовании облачной электронной подписи ключевыми вопросами являются обеспечение сохранности ключей подписи, безопасный доступ к ним, а также признание ее юридической значимости.
Тем самым, с использованием КриптоПро DSS можно формировать облачную квалифицированную электронную подпись и подписывать ей документы даже с помощью приложения для смартфона.
Помимо этого, ПАК КриптоПро DSS v. 2.0 имеет свидетельство о государственной регистрации программы для ЭВМ № 2018613440 от 14.03.2018 г.
Компания «КриптоПро» успешно завершила интеграцию КриптоПро DSS с сервисами других поставщиков услуг. В рамках сотрудничества с компанией Positive Technologies в веб-интерфейсы КриптоПро DSS и КриптоПро DSS Lite был интегрирован сервис проверки безопасности SurfPatrol.Ru для устранения рисков, связанных с уязвимостями браузера.
Компании «КриптоПро» и «Индид» завершили совместную разработку средства аутентификации и подтверждения операций электронной подписи на смартфоне пользователя, основанного на технологиях AirKey и предназначенного для работы в составе программно-аппаратного комплекса КриптоПро DSS.
Совместное решение называется КриптоПро AirKey DSS и позволяет пользователям КриптоПро DSS в удобной форме подтверждать операции с электронной подписью: мобильное приложение на смартфоне пользователя отображает подписываемый документ (как и myDSS), уведомление при появлении запроса на подпись, а также показывает детали транзакции (например, сумму и получателя денежного перевода).
Банк ВТБ запустил новый сервис для предпринимателей — онлайн-регистрацию ООО и ИП с использованием электронной подписи на мобильном телефоне. Решение реализовано при помощи сертифицированного приложения myDSS и технологии КриптоПро DSS для подписания юридически значимых документов непосредственно на смартфоне.
Компания «Аванпост» также объявила о выпуске модуля сопряжения (коннектора) Avanpost PKI (система управления сертификатами ключей и удаленного выполнения операций по созданию электронной подписи) с сервером электронной подписи КриптоПро DSS.
Функциональные возможности КриптоПро DSS
Рассмотрим основные функциональные возможностиКриптоПро DSS. В частности, ПАК КриптоПро DSS обеспечивает:
КриптоПро DSS поддерживает следующие форматы электронной подписи:
Электронная подпись создается с использованием криптографических алгоритмов в соответствии с ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи», ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи».
Архитектурные решения ПАК Крипто Про DSS
КриптоПро DSS предлагается в трех вариантах:
КриптоПро DSS Lite позволяет подписывать документы всех распространенных форматов на различных платформах, используя любые веб-браузеры и ключевые носители.
Гибкая модель лицензирования позволяет отказаться от покупки и установки плагинов и дополнительных приложений для подписания различных форматов документов.
Поддерживаются следующие форматы документов:
Предоставляет единую точку входа для подписания документов и управления сертификатами пользователя.
КриптоПро myDSS – это приложение для смартфона (myDSS доступен для скачивания в Google Play и App Store), которое позволяет подписывать квалифицированной электронной подписью документы и контролировать действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах ЭДО, электронных торговых площадках и т. д.
КриптоПро myDSS представляет собой совместную разработку компаний КриптоПро и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи КриптоПро DSS и системы подтверждения электронных транзакций PayControl.
КриптоПро myDSS объединяет удобство и экономическую эффективность облачных технологий с максимальным уровнем безопасности, что позволяет использовать все юридические и технические свойства квалифицированной электронной подписи при построении систем онлайн-взаимодействия.
В основе КриптоПро myDSS лежит технология, которая обеспечивает строгую криптографическую аутентификацию пользователей, безопасное online-взаимодействие, отображение документа и подтверждение операций. Это позволяет сервису облачной электронной подписи КриптоПро DSS выполнить требования, предъявляемые регулятором к средствам электронной подписи.
Криптографическая аутентификация и защита канала между приложением и сервером КриптоПро DSS гарантируют, что только легальный пользователь сможет воспользоваться ключами подписи.
Ключи электронной подписи пользователей хранятся в сертифицированном КриптоПро HSM в неизвлекаемом виде.
Комплексное решение КриптоПро myDSS включает:
КриптоПро myDSS предназначен для применения в следующих сферах деятельности:
Благодаря максимальной гибкости и отсутствию ограничений на бизнес-процессы КриптоПро myDSS может применяться при автоматизации любых видов деятельности, в которых необходимо обеспечить юридическую значимость подтверждения пользователей.
ПАК Крипто Про DSS разворачивается на сервере (Сервер ЭП) и работает в связке с КриптоПро HSM. В частности, создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищенного модуля КриптоПро HSM.
КриптоПро HSM предоставляет криптографический сервис пользователям и предназначен для выполнения следующих функций: создание и проверка электронной подписи; вычисление хэш-функции; шифрование и расшифрование блоков данных; вычисление имитовставки блоков данных; генерация и защищенное хранение ключевой информации (все ключи хранятся в зашифрованном виде); управление учетными записями пользователей криптографического сервиса.
Одним из преимуществ использования КриптоПро DSS является отсутствие привязки пользователя к настроенному рабочему месту. Настройку криптографических механизмов и форматов, например, установку средства криптографической защиты (программы КриптоПро CSP), и управление ключами берут на себя серверные компоненты КриптоПро DSS. Доступ к ключу ЭП можно получить с настольного компьютера, с ноутбука, с планшета и со смартфона. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации. Варианты аутентификации пользователей для работы с КриптоПро DSS рассмотрены ниже.
Для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей применяется КриптоПро HSM, который выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных. КриптоПро HSM снабжен датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, защитой от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.
Пользователь получает доступ к своим ключам только после прохождения процедуры надежной многофакторной аутентификации в КриптоПро DSS. При этом дополнительно каждый ключевой контейнер может защищаться индивидуальным PIN-кодом, который знает и может сменить только владелец ключа электронной подписи.
Для прохождения аутентификации в КриптоПро DSS реализуются следующие способы:
Управление пользователями КриптоПро DSS осуществляется администратором (оператором), который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
КриптоПро DSS позволяет интегрировать использование сервера электронной подписи в существующие бизнес-процессы и системы (например, ЭДО, ДБО и т. д.). На рисунке 1 приведен пример того, как может быть развернут КриптоПро DSS и приведены стадии подписания электронного документа ЭП в системе электронного документооборота (ЭДО). При этом вместо ЭДО может быть и другая система, например, система дистанционного банковского обслуживания (ДБО).
Рисунок 2. Пример архитектурного решения КриптоПро DSS, интегрированного с системой ЭДО
Обеспечение отказоустойчивости и доступности
Для обеспечения отказоустойчивости компания КриптоПро предлагает использовать горячее резервирование и кластеризацию всех компонентов КриптоПро DSS и КриптоПро HSM с помощью специализированных балансировщиков нагрузки (например, HAProxy) и SQL-кластера на базе технологий MS SQL Server AlwaysOn availability groups.
В случае нарушения функционирования любого из зарезервированных компонентов переключение на резервные, в т. ч. размещенные на территориально удаленных технологических площадках (резервных ЦОД), осуществляется автоматически без участия обслуживающего персонала и без потери сохраненных данных.
Мониторинг функционирования и доступности
Продукты компании КриптоПро хорошо взаимодействуют между собой. В составе с КриптоПро DSS может использоваться специальный программный комплекс класса Network Performance Monitoring and Diagnostics (NPMD) «КриптоПро Центр мониторинга»для мониторинга работоспособности и оперативного уведомления администраторов о выявленных сбоях, ошибках функционирования и прочих внештатных ситуациях.
Системные требования КриптоПро DSS
КриптоПро DSS предоставляет пользователям интерактивный веб-интерфейс для управления криптографическими ключами и создания ЭП под документом, который пользователь загружает на КриптоПро DSS. Таким образом, для работы с КриптоПро DSS пользователю необходим только веб-браузер, никаких СКЗИ или средств электронной подписи устанавливать не нужно. Благодаря этому использовать функции КриптоПро DSS можно с любого устройства с любой аппаратной платформой с любой операционной системой, где есть веб-браузер.
КриптоПро DSS поддерживает все основные операционные системы, такие как Microsoft Windows, macOS, Linux.
При этом на персональном компьютере должны отсутствовать установленные криптопровайдеры, несовместимые с КриптоПро CSP. А также должны отсутствовать установленные программные продукты, использующие КриптоПро CSP версии ниже 4.0.
Веб-браузеры, которыми пользователи могут воспользоваться для работы с КриптоПро DSS:
В процессе работы возможна перенастройка параметров безопасности обозревателя Microsoft Internet Explorer (добавление надежных узлов, разрешение выполнения сценариев ActiveX для узлов из зоны надежных). При этом могут потребоваться действия по корректированию доменной политики безопасности.
Перед началом работы с КриптоПро DSS необходимо установить расширение для браузера CryptoPro Extension for CAdES Browser Plug-in и плагин.
Мобильное приложение КриптоПро myDSS поддерживает Android 4.0 и выше, iOS 8.0 или более поздние версии.
Работа с Крипто Про DSS
Работа с КриптоПро DSS проводилась на базе тестового сервиса ЭП, предоставляемого компанией «КриптоПро».
Перед началом работы с КриптоПро DSS необходимо установить расширение для браузера (CryptoPro Extension for CAdES Browser Plug-in) и плагин. Если вы не сделаете этого до входа в КриптоПро DSS, то система после аутентификации сама предложит вам, что нужно сделать.
Рисунок 3. Установка расширения и плагина для работы с КриптоПро DSS
Для входа в веб-интерфейс пользователя КриптоПро DSS нужно пройти регистрацию или войти с уже имеющимися учетными данными.
Рисунок 4. Вход в веб-интерфейс пользователя КриптоПро DSS
После регистрации или ввода логина и пароля пользователь попадает на стартовую страницу КриптоПро DSS, на которой отображается список его сертификатов. Если у пользователя их нет, то он может либо отправить запрос на получение сертификата, либо подгрузить уже имеющийся.
Рисунок 5. Интерфейс пользователя КриптоПро DSS
Для создания запроса на сертификат необходимо в разделе «Сертификаты» нажать кнопку «Создать запрос на сертификат».
Рисунок 6. Создание запроса на сертификат в КриптоПро DSS
В появившейся форме необходимо:
1. Выбрать удостоверяющий центр.
Рисунок 7. Выбор УЦ при создании запроса на сертификат в КриптоПро DSS
2. Выбрать криптопровайдера.
Рисунок 8. Выбор криптопровайдера при создании запроса на сертификат в КриптоПро DSS
3. Заполнить поля формы.
Рисунок 9. Заполнение данных при создании запроса на сертификат в КриптоПро DSS
4. Выбрать шаблон сертификата
Рисунок 10. Заполнение данных и выбор шаблона сертификата в КриптоПро DSS
5. Задать PIN-код к закрытому ключу.
Рисунок 11. Ввод PIN-кода для доступа к закрытому ключу в КриптоПро DSS
Также доступна загрузка уже имеющегося сертификата из файла.
Рисунок 12. Загрузка файла сертификата в КриптоПро DSS
После того как мы создали запрос на сертификат или загрузили его на вкладке «Сертификаты», можно следить за статусом наших сертификатов.
Рисунок 13. Статус сертификатов в КриптоПро DSS
Теперь рассмотрим остальные возможности КриптоПро DSS.
Электронная подпись документов
В разделе «Подписать» можно формировать электронные подписи электронных документов пользователя. Но чтобы пользователь мог подписывать электронные документы, ему необходимо иметь хотя бы один действующий сертификат.
Рисунок 14. Раздел «Подписать» в КриптоПро DSS
Для формирования ЭП электронного документа нужно загрузить электронный документ, который нужно подписать, выбрать нужный формат ЭП, выбрать параметры ЭП, после чего выбрать нужный сертификат и подписать документ, при этом будет запрошен PIN-код к ключу.
Рисунок 15. Запрос PIN-кода к закрытому ключу в КриптоПро DSS
Усовершенствование электронной подписи
Раздел «Усовершенствовать подпись» предназначен для усовершенствования или дополнения ЭП до формата усовершенствованной ЭП: CAdES-T (добавление штампа времени к ЭП), CAdES-XLT1 (добавление статуса сертификата на момент подписания и штампа времени).
Рисунок 16. Раздел «Усовершенствовать подпись» в КриптоПро DSS
Шифрование электронных документов
Для адресного шифрования электронного документа нужен файл электронного документа и сертификат адресата.
Рисунок 17. Раздел «Зашифровать» в КриптоПро DSS
Для адресного шифрования электронного документа необходимо загрузить файл документа, который нужно зашифровать, после чего загрузить сертификат адресата, для которого будет шифроваться электронный документ. Нужно нажать кнопку «Зашифровать» и загрузить полученный зашифрованный электронный документ.
Рисунок 18. Шифрование документа в разделе «Зашифровать» в КриптоПро DSS
Расшифрование электронных документов
Для расшифрования электронного документа нужен зашифрованный файл электронного документа. Чтобы пользователь мог подписывать электронные документы, ему необходимо иметь хотя бы один действующий сертификат.
Рисунок 19. Раздел «Расшифровать» в КриптоПро DSS
Проверка электронной подписи
Также с помощью КриптоПро DSS можно проверить ЭП. Раздел «Проверить подпись» предназначен для проверки подписи электронных документов (присоединенная/отсоединенная, подпись данных / подпись хэш-функции). Для проверки подписи электронного документа нужен файл подписи электронного документа и файл электронного документа (для отсоединенной подписи).
Рисунок 20. Раздел «Проверить подпись» в КриптоПро DSS
Рисунок 21. Проверка подписи загруженного документа в разделе «Проверить подпись» в КриптоПро DSS
Проверка статуса сертификата
В разделе «Проверка сертификата» можно проверить статус сертификатов (действителен ли сертификат) — для этого нужен файл сертификата.
Рисунок 22. Раздел «Проверка сертификата» в КриптоПро DSS
Аудит действий пользователей и операторов
В разделе «Аудит» отображается журнал событий, связанных с действиями пользователей и операторов, с возможностью фильтрации по типам событий.
Рисунок 23. Раздел «Аудит» в КриптоПро DSS
Интерфейс мобильного приложения КриптоПро myDSS
Приложение myDSS является интерфейсной частью КриптоПро DSS и предназначено для осуществления аутентификации, управления ключами и осуществления подтверждения операций (вход пользователя в КриптоПро DSS, подписание документа и т. д.).
С помощью мобильного приложения КриптоПро myDSS:
Рисунок 24. Перечень возможностей КриптоПро myDSS
В качестве примера рассмотрим, как проходит процесс подписания документа с использованием приложения myDSS:
Первоначально необходимо загрузить в КриптоПро DSS документ, выбрать сертификат для подписи и нажать кнопку «Подписать».
Рисунок 25. Выбор параметров для создания подписи документа в КриптоПро DSS
Далее предлагается подтвердить операцию с использованием мобильного устройства.
Рисунок 26. Запрос на подтверждение операции подписания документа в КриптоПро DSS
После — ввести PIN-код от контейнера ключа подписи.
Рисунок 27. Запрос PIN-кода к ключевому контейнеру в КриптоПро DSS
Далее следует предложение на подтверждение операции с использованием мобильного приложения.
Рисунок 28. Запрос на подтверждение операции в КриптоПро DSS
После в приложении myDSS придет уведомление о том, что есть операции, требующие подтверждения. Для подтверждения операции нажимаем кнопку «Подтвердить», выбираем нужный ключ авторизации и вводим пароль к нему.
После чего в приложении для ознакомления и подтверждения отобразится информация о подписываемом документе. Нажимаем кнопку «Подтвердить», и затем появится уведомление об успешном подтверждении операции.
Рисунок 29. Подтверждение операции подписания документа в приложении КриптоПро myDSS
После успешного подтверждения операции в приложении в КриптоПро DSS у пользователя появится сообщение об успешном завершении операции.
Рисунок 30. Успешное завершение операции подписания документа в КриптоПро DSS
Также в приложении myDSS можно осуществлять управление ключами (переименование, изменение пароля и удаление ключа).
Рисунок 31. Возможности по управлению ключами в КриптоПро myDSS
Таким образом, мы рассмотрели основные возможности работы КриптоПро DSS и мобильного приложения myDSS, доступные пользователям.
Выводы
Электронная подпись все чаще применяется современными компаниями. В связи с этим вопрос централизованного хранения ЭП в настоящее время весьма актуален.
В данной статье мы рассмотрели, как с этой задачей может справиться ПАК КриптоПро DSS, который предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию ЭП с использованием ПАКМ КриптоПро HSM.
Стоит отметить, что ввиду технических и организационных особенностей реализации КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании. При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к. КриптоПро предлагает сервис на собственной инфраструктуре. А вся работа с КриптоПро DSS осуществляется через web-браузер. КриптоПро DSS поддерживает все основные web-браузеры. В том числе у КриптоПро DSS есть приложение и для смартфонов.
Для крупных компаний удобство заключается в гибкости КриптоПро DSS и возможности интеграции с различными системами, уже функционирующими в компании, например, с IdM/IAM-системы (системы управления доступом).
Это позволяет формировать и использовать квалифицированные электронные подписи, в том числе и юридически значимою облачную квалифицированную электронную подпись.
Достоинства:
Недостатки: