Електронен подпис чрез пълномощник #еп
Наскоро сред колегите беше обсъдена доста интересна и, разбира се, често срещана ситуация, когато директорът на компанията дава на секретаря своя токен с електронен подпис, така че той да подписва изходящите електронни документи в службата за вътрешнокорпоративно управление на документи. Подписването на документи от името на директора от неговия заместник или секретар е ежедневие, особено в България. Българският ни лидер рядко седи дълго пред компютъра.
Електронният подпис изглежда органично се вписва в тази практика, ако не вземете предвид, че частният ключ не може да бъде прехвърлен на никого, той винаги е само при собственика на ES сертификата и идентифицира само него. Иначе как да приравним електронния подпис към саморъчния? Ако направим паралел с обикновен автограф, тогава се оказва, че собственикът му прехвърля собствената си ръка на друг човек. Именно „едноръкостта” е определящият фактор за доверие в ЕП!
Друг проблем е сигурността. Формално при прехвърляне на друго лице се нарушава тайната на ключа и автоматично се поставя под въпрос невъзможността за фалшифициране на електронен документ и електронен подпис. Оказва се, че прехвърляйки своя токен на друго лице, собственикът на сертификата доброволно позволява неговият ES ключ да бъде компрометиран. И това е основанието за отнемане на удостоверението.
Това проблем ли е за онези организации, в които често трябва да одобрявате документи без участието на директора? Факт е, че… не!
Първо, законодателството изобщо не регулира процедурата за прехвърляне на ES за използване от трети страни. За България това означава нещо подобно: „правете каквото искате“. Интересен факт: някои компании дори издават вътрешна заповед за прехвърляне на правото за подписване на ES надиректор на трета страна. Дори дава известна увереност.
Второ, безопасността на самия частен ключ е много хлъзгава тема, която в крайна сметка повдига въпроси повече за осигуряването на сигурност в цялото предприятие като цяло, а не за конкретна технология. За съжаление човешкият фактор не може да бъде изключен.
При използване на усъвършенствани електронни подписи участниците в електронното взаимодействие са длъжни: 1) да гарантират поверителността на ключовете за електронен подпис, по-специално да не допускат използването на техните ключове за електронен подпис без тяхно съгласие; 3) да не използва ключа за електронен подпис, ако има причини да смята, че поверителността на този ключ е нарушена;Това е почти дословно дублирано в разпоредбите на сертифициращия орган. Тоест няма действителна забрана за прехвърляне на частния ключ на някой друг. Именно тези „без съгласие“ и „основания да се вярва“ дават официална възможност за прехвърляне на правото да подписват документи за главата. Вярно е, и е напълно неясно какво да се прави, ако подписът е намерен на грешното място - как да се докаже в съда, че не директорът го е подписал? Всъщност е невъзможно да се определи кой е използвал подписа в този случай - и принципът на неотричане ще работи в пълна степен.
Какво може да се посъветва тук? Ако лидерът не се страхува от никого и нищо, тогава можете да оставите всичко както е. Ако проявите поне малко внимание, тогава е най-логично да закупите отделен сертификат за ES за заместник или изпълняващ длъжността ръководител. Ако искате да заверявате документи изключително сами, тогава токен със сертификат винаги може да се използва за подписване чрез уеб клиента на услугата за електронно управление на документи. Можете да вземете вашия лаптоп със себе синавсякъде.
И, разбира се, чакаме разпространението на решенията CryptoPro на мобилни платформи, когато започват да се появяват iOS и Android клиенти за EDI услуги. Има чувството, че чакането не е дълго. Тогава проблемът с дистанционното подписване на електронни документи най-накрая ще отпадне.