Внедрение и применение УКЭП физлиц и машиночитаемых доверенностей (МЧД) — одна из самых острых тем этого года для владельцев бизнеса. Компании должны в сжатые сроки перейти на новые правила.
Но вопросов о том, как это сделать, пока больше, чем ответов — особенно от крупных производителей, которые раньше использовали УКЭП сотрудников для подписания отчетов о маркированных товарах и их передачи в государственные ИС. Сергей Игнаткин, директор продуктов Utrace — о том, какие варианты есть у руководителей.
Содержание:
Что изменилось
В 2023 году внесены поправки в 63-ФЗ «Об электронной подписи». Раньше цифровые документы могли подписывать все сотрудники, имеющие квалифицированный сертификат юридического лица (УКЭП). Каждая организация могла оформлять необходимое количество УКЭП на юридическое лицо: неэкспортируемую для гениерального директора и экспортируемые УКЭП для сотрудников.
По новым правилам организации смогут получать только неэкспортируемую УКЭП генерального директора с реквизитами юрлица. Сотрудники же для подписания электронных документов должны будут использовать их собственный УКЭП физического лица. Для признания легитимности подписи физлица в качестве подписи сотрудника организации вводится машиночитаемая доверенность (МЧД) — своего рода аналог «бумажной» доверенности.
Это усложнит процесс подписания документов для компаний, которые подпадают под требования о маркировке товаров.
МЧД и маркировка
Все производители, продукция которых подлежит маркировке, обязаны передавать сведения о движении своих товаров в государственную систему мониторинга «Честный знак» — ИС «МДЛП» для лекарственных препаратов или ГИС МТ для других товарных групп.
Крупные производители ежедневно выпускают тысячи SKU и отправляют сотни отчетов в «Честный знак» в течение дня. Подписать каждый из таких отчетов УКЭПом вручную “по кнопке” физически невозможно. Поэтому в track&trace-системах — ИТ-решениях уровня L4, которые бизнес использует в процессе сериализации товаров, налажен автоматический процесс оформления отчетов о маркированной продукции и передачи их в государственные ИС. В систему единожды загружается УКЭП, которой автоматически подписываются все отчёты, направляемые в «Честный знак». С введением МЧД и УКЭП физлиц процедура подписания документов в системе уровня L4 технически не изменилась.
Но раньше для подписания использовалась корпоративная УКЭП, привязанная к ИНН организации. И несмотря на то, что УКЭП относилась к конкретному сотруднику, она могла использоваться только для подписания документов данной конкретной организации, поэтому с загрузкой УКЭП в track&trace-систему проблем не возникало.
Теперь же, с использованием УКЭП физлица, сотрудник может отказаться загружать свой личный УКЭП в какую-либо систему. Для многих вариант “никуда не загружать” выглядит надёжнее, несмотря на то, что УКЭП в системах маркировки как правило хорошо защищён, экспортируемый компонент сертификата зашифрован. Поэтому сегодня бизнесу приходится дорабатывать внутреннюю юридическую практику применения УКЭП физлиц, а также методы дополнительной защиты своих сотрудников.
Что делать?
По нашим наблюдениям, в текущей ситуации организации могут выбрать для себя несколько путей. Забегая вперед можно сказать, что идеального варианта на текущий момент нет. Вот наиболее реалистичные:
Сценарий 1. Использовать УКЭП физлица своего сотрудника
Первый сценарий — ответственному за подписание сотруднику выпустить УКЭП физлица (если ее еще нет), загрузить УКЭП в систему L4 и оформить на него МЧД. А также обязательно рассказать о безопасности хранения УКЭП в системе L4, показать, что решение согласовано со стороны департаментов ИТ и безопасности. Если возможно, в трудовом договоре закрепить ответственность перед сотрудником за неправомерное использование МЧД, механизм возмещения ущерба в случае компрометации, премию за риск.
По такому пути пошел один из наших клиентов — крупная компания в сегменте FMCG. Организация согласует новую схему со службой информационной безопасности, а также готовит большую информационную кампанию для сотрудников. Руководство будет разъяснять пользователям смысл всех нововведений и механизмы безопасной работы — такой подход позволит повысить уровень доверия к нововведениям среди команды. В компании считают, что важно привлекать подписанта к процессу загрузки УКЭП в информационную систему, чтобы не передавать его токен системному администратору или другим лицам.
Юристы FMCG-производителя также советуют ответственным за подписание сотрудникам запретить сбор биометрических данных о себе и оформить в МФЦ заявление о разрешении любых транзакций, связанных с применением их подписи для личных нужд, только при условии их физического присутствия.
В случае, если система L4 является облачной, важно убедиться, что оператор системы L4 несет ответственность за безопасное хранение и целевое использование УКЭП. Альтернативной является вариант с вынесением сервиса подписания (компонента системы, ответственного за подписание отчетов УКЭП) из облака оператора и размещение его на собственных серверах компании.
Сценарий 2. Использование обезличенной УКЭП
Второй сценарий — использовать новый вид УКЭП — обезличенную подпись, в сертификате которой не указывается физлицо в качестве владельца. В данный момент её поддерживает и ГИС МТ, и МДЛП. Однако обезличенный УКЭП хотя и предназначен, согласно ФНС, «исключительно для автоматического создания (проверки) электронной подписи в электронном документе», является не экспортируемым, что сильно ограничивает его использование по прямому назначению.
Суть ограничения в том, что если система, взаимодействующая с «Честным Знаком», является облачной, то отсутствует возможность физически вставить токен в сервер. А если система не облачная, то физически вставленный в сервер токен означает, что он является точкой отказа и снижает надежность бизнес-критичной системы, то есть ставит под угрозу возможность своевременного нанесения кодов маркировки и продажу маркированных товаров.
Выходом из положения видится подход, при котором обезличенный УКЭП будет являться экспортируемым. Тогда данный сценарий будет идеальным решением для всех компаний, работающих с маркировкой. Однако пока это, к сожалению, не так.
Один из наших клиентов — крупная фармацевтическая компания — столкнулся с отказом сотрудников применять УКЭП физлица в корпоративных целях. Здесь исследуют возможности перехода на обезличенную УКЭП. На фармацевтическом рынке уже есть примеры компаний, получивших такой сертификат. Однако, как, выяснилось, для его получения нужен статус оператора информационной системы или приказ на разработку ИС — это второе, хотя, безусловно, не главное, препятствие на пути использования обезличенного УКЭП.
Сценарий 3. Использования УКЭП поставщика решения по маркировке
Ряд производителей рассматривает возможность передачи прав на подписание отчетов о маркировке продукции на сторону поставщика track&trace системы. Для этого нужно выпустить МЧД на сотрудника компании, предоставляющей такую систему, и использовать его УКЭП. В этом случае стоит внимательно подойти к подписанию дополнительного соглашения с поставщиком системы: прописать зоны ответственности и предусмотреть санкции на случай нарушений, а также позаботиться о том, чтобы процесс не приостановился в случае ухода сотрудника из компании поставщика track&trace системы.
Также, так как по сути внешний сотрудник получает доступ в ЛК «Честного знака», некоторые наши клиенты подписывают с ним напрямую соглашение о неразглашении (NDA), чтобы иметь дополнительные гарантии безопасности собственных данных.
Когда нужно решить вопрос
Стоит отметить, что все наши респонденты воспользовались правом «отсрочки» и продлили возможность применения «старой» УКЭП сотрудника на максимально возможный срок. Компании консультируются и обмениваются опытом в профессиональных сообществах, надеясь на то, что за год, оставшийся на переход к МЧД, ситуация прояснится.
Сроки окончательного перехода на МЧД переносились несколько раз: с 1 января 2022 года вплоть до 1 сентября 2024 года. До этого времени вводится переходный период, когда компания может пользоваться и старыми УКЭП сотрудников, и новой схемой с МЧД. Но с 1 сентября 2023 года компания уже не имеет возможности оформить УКЭП сотрудников по старому образцу, а ранее выпущенные подписи можно использовать лишь до окончания срока их действия.
Причины этих переносов связаны, скорее всего, с многочисленными нюансами применения МЧД. Регуляторам необходимо время на то, чтобы дополнить законодательную и методологическую основу для перехода на МЧД, а компаниям — на то, чтобы провести организационные и технологические изменения.
Тем не менее, похоже, что срок окончательный. Поэтому компаниям нужно как можно скорее озаботиться вопросом перехода на новые правила и минимизировать риски финансовых и репутационных потерь.
Новые комментарии: