Selama 10 tahun terakhir, masalah penyimpanan dokumen yang nyaman dan berjangka panjang (atau bahkan "arsip") dengan tanda tangan elektronik (ES) dan pertukarannya dengan rasa saling percaya belum terselesaikan secara fundamental. Ya, ada versi khusus "arsip" dari format ES yang diperpanjang (CAdES-A dan XAdES-A), yang berisi beberapa cap waktu, daftar sertifikat yang dicabut dan rantai otoritas sertifikasi (CA) pada saat pembuatan ES. Ada opsi untuk solusi dengan "penandatanganan ulang" dokumen dengan tanda tangan elektronik atau pembuatan lingkungan tepercaya untuk penyimpanannya. Namun, semua ini tidak menambahkan "kegunaan". Masalah baru juga muncul: kurangnya kebijakan terpadu untuk penggunaan sertifikat yang memenuhi syarat dalam sistem informasi komersial (terutama di lantai perdagangan), itulah sebabnya OID yang sangat terspesialisasi mulai ditambahkan ke sertifikat;kurangnya daftar terpadu dari sertifikat yang diterbitkan dengan peningkatan jumlah yang signifikan; sejumlah besar CA dan perputarannya; percobaan penipuan dengan real estat dan pengembalian pajak menggunakan sertifikat yang memenuhi syarat dengan ES, diperoleh dengan cara curang.
Amandemen Undang-Undang Federal "Tentang Tanda Tangan Elektronik" yang diadopsi pada 27 Desember 2019 bertujuan untuk akhirnya menghilangkan sebagian besar masalah ini, melegalkan tanda tangan elektronik berbasis cloud, dan benar-benar merestrukturisasi pasar pusat sertifikasi. Undang-undang juga memperkenalkan lembaga baru - pihak ketiga tepercaya (TTP). Peraturan TPA mulai berlaku pada 1 Januari 2021. Meski demikian, hampir semua yang terkait dengan TPA masih menunggu klarifikasi dan regulasi dari regulator. Saya akan mencoba menjelaskan secara rinci apa yang menanti kita.
Masalah tidak jelas apa dari "jangka pendek" tanda tangan elektronik konvensional yang ada saat ini?
Saya bekerja di departemen integrasi aplikasi. Kebetulan kami tidak harus menerapkan tanda tangan elektronik "standar" untuk aliran dokumen "di luar kotak" atau menerapkan aplikasi klien yang sudah jadi untuk bekerja dengan tanda tangan elektronik. Hampir selalu, tugas implementasi bermuara pada penyematan tanda tangan elektronik (termasuk berbagai jenis otomatisasi untuk melayani siklus hidup sertifikat, kunci, dan operatornya) ke dalam alur kerja atau sistem informasi yang ada dan tidak ada di kotak, termasuk yang memiliki penyimpanan dokumen jangka panjang. Pada tahap awal desain, proses pembentukan tanda tangan elektronik biasanya tidak menimbulkan kesulitan yang besar bagi siapa pun. Tampaknya, apa itu? Buat hash pada dokumen dan tanda tangani dengan kunci pribadi menggunakan format tanda tangan elektronik dasar, misalnya, CAdES-BES atau XAdES-BES.Tetapi kebutuhan untuk penyimpanan dokumen jangka menengah dan jangka panjang lebih lanjut dengan tanda tangan elektronik, verifikasi tanda tangan elektronik dalam aliran dokumen (termasuk otomatis) selalu pada akhirnya mempengaruhi arsitektur solusi. Format EDS menjadi lebih rumit, mulai dari CAdES-T dan XAdES-T (dengan stempel waktu) dan diakhiri dengan versi “A” yang diperpanjang dan khusus (Arsip). Dan kemudian segala sesuatu dalam lingkaran kembali ke proses pembentukan tanda tangan elektronik untuk memberikan konteks yang diperlukan untuk format yang dipilih untuknya.untuk memberikan konteks yang diperlukan untuk format yang dipilih untuknya.untuk memberikan konteks yang diperlukan untuk format yang dipilih untuknya.
Lantas bagaimana cara mengecek tanda tangan elektronik dokumen tersebut, setidaknya dalam 10-15 tahun? (Kami akan menghilangkan detail sedemikian rupa sehingga, kemungkinan besar, setelah bertahun-tahun tidak akan ada alat perlindungan informasi kriptografi bersertifikat (CIPF) yang mendukung algoritme kriptografi yang diperlukan dan format yang diperlukan, dan penampil dokumen elektronik yang diperlukan tidak akan berjalan pada OS saat ini.)
Mari beralih ke undang-undang tentang ES (tanggal 06.04.2011 No. 63-FZ). Apa syarat untuk pengakuan (verifikasi) dari tanda tangan elektronik yang memenuhi syarat yang terkandung dalam Pasal 11 "Pengakuan tanda tangan elektronik yang memenuhi syarat" (Saya hanya akan memberikan ayat 2 artikel, karena dialah yang mempengaruhi verifikasi dokumen dengan tanda tangan elektronik pada waktunya):
[…] :
2) ( ) , .
Informasi kunci (terutama dalam konteks penyimpanan dokumen jangka panjang) diberi tanda kurung di sini. Sertifikat yang memenuhi syarat tidak hanya harus valid pada saat penandatanganan dokumen elektronik, tetapi saat menandatangani dokumen elektronik harus dicatat, terlebih lagi, "secara otentik" - dan ini merupakan prasyarat.
Legislator tidak menyarankan dan bahkan tidak mengisyaratkan cara untuk memastikan keakuratan informasi tentang saat penandatanganan dokumen elektronik... Namun, ini normal. Persyaratan proses harus diungkapkan oleh regulator yang bertanggung jawab. Dan 9 tahun kemudian, setelah amandemen undang-undang tentang tanda tangan elektronik keluar pada akhir 2019, Kementerian Urusan Digital Rusia dan FSB Rusia (dalam hal bekerja dengan stempel waktu, tetapi lebih dari itu nanti), akhirnya, telah mengembangkan draf pesanan. Sementara itu, beban pembuktian keaslian momen penandatanganan masih berada di pundak pengembang CIPF dan pemilik sistem informasi. Misalnya, dengan mengandalkan spesifikasi dan standar internasional terbuka, mereka dipaksa untuk memilih sendiri format tanda tangan elektronik, termasuk yang memiliki cap waktu, dan menunggu, praktik pengadilan akan mengkonfirmasi atau mengoreksi pendekatan mereka.
Solusi apa yang biasanya digunakan untuk melewati sifat "jangka pendek" dari ES dasar?
Standar tunggal untuk format ES dengan cap waktu dalam proses pengembangan. Yang paling jelas, dalam hal penyimpanan dokumen jangka menengah (5-10 tahun) dan jangka panjang dengan ES, adalah penerapan ES yang memenuhi syarat dalam salah satu format yang diperpanjang (atas kebijaksanaan pemilik IP) setidaknya:
- dengan stempel waktu tertanam untuk menentukan secara andal saat penandatanganan dokumen elektronik untuk jangka waktu hingga 15 tahun (periode validitas maksimum teoritis dari sertifikat kunci verifikasi ES "layanan stempel waktu");
- dengan informasi tentang fakta verifikasi sertifikat dalam bentuk respon terlampir dari layanan OCSP (layanan pemeriksaan status sertifikat online) atau lampiran daftar pencabutan sertifikat (memberikan konfirmasi keabsahan sertifikat yang memenuhi syarat pada saat penandatanganan), didukung dengan stempel waktu.
Solusi yang kurang jelas dan kurang umum yang menyediakan verifikasi tanda tangan elektronik dokumen dalam N-tahun mencakup pembuatan lingkungan penyimpanan tepercaya. Dalam lingkungan seperti itu, dokumen dengan ES paling sering ditempatkan selama validitas sertifikat ES yang memenuhi syarat yang dikeluarkan untuk pengguna (misalnya, segera setelah penandatanganan) dengan kumpulan metadata maksimum. Ketika dokumen dengan tanda tangan elektronik ditempatkan di lingkungan tepercaya, tanda tangan elektronik diperiksa, status sertifikat, dan laporan tambahan tentang fakta pemeriksaan dibuat. Integritas dokumen dan semua metadata terkait kemudian dipastikan oleh lingkungan tepercaya. Solusi tersebut mencakup, misalnya, register internal / industri dari organisasi besar, di mana kumpulan metadata maksimum yang mungkin untuk dokumen dengan ES terdaftar (setidaknya, atribut dokumen dan hash-nya, ES, pengidentifikasi sertifikat dan sertifikat ES itu sendiri,fakta verifikasi sertifikat dengan stempel waktu, stempel waktu terpisah pada tanda tangan elektronik). Jika diinginkan, semua ini dapat ditandatangani dari atas dengan tanda tangan teknis dari "arsiparis". Secara umum, ini cocok untuk kebutuhan internal perusahaan dan organisasi besar di mana dokumen dengan ES tidak terasing dari sistem atau ES itu sendiri pada awalnya diterapkan tanpa stempel waktu.
Lingkungan penyimpanan dokumen tepercaya dalam jumlah besar membantu menghindari beberapa potensi masalah dengan gangguan tanda tangan elektronik, karena dokumen yang ditandatangani disimpan dengan seluruh kumpulan metadata. Namun tetap saja mereka tidak berkontribusi pada implementasi aliran dokumen elektronik dengan tanda tangan elektronik antar organisasi. Dan lagi, sayangnya, mereka tidak membatalkan kebutuhan untuk membuktikan keakuratan informasi tentang saat penandatanganan dokumen tersebut.
Bagaimana pengenalan pihak ketiga tepercaya akan membuat perbedaan?
Kami sampai pada hal yang paling penting. Selain "Tanda Tangan Elektronik" 63-FZ tanggal 27 Desember 2019, bersama dengan sejumlah perubahan, termasuk pengakuan hukum atas tanda tangan elektronik berbasis cloud, muncul lembaga pihak ketiga yang tepercaya (Pasal 18.1). Ini adalah jenis organisasi baru, yang dirancang untuk memberikan kepercayaan dalam pertukaran dokumen elektronik dengan tanda tangan elektronik.
Undang-undang menetapkan daftar layanan yang akan diberikan TTP kepada peserta dalam interaksi elektronik:
- untuk memastikan keabsahan tanda tangan elektronik yang digunakan saat menandatangani dokumen elektronik, termasuk menetapkan fakta bahwa sertifikat terkait berlaku pada waktu tertentu, dibuat dan dikeluarkan oleh pusat sertifikasi terakreditasi, yang akreditasinya berlaku pada hari sertifikat tersebut diterbitkan;
- untuk memverifikasi kepatuhan semua sertifikat yang memenuhi syarat yang digunakan saat menandatangani dokumen elektronik dengan persyaratan yang ditetapkan oleh Undang-Undang Federal ini dan tindakan hukum peraturan lainnya yang diterapkan sesuai dengannya;
- tentang memeriksa kekuatan peserta dalam interaksi elektronik;
- pada pembuatan dan penandatanganan tanda terima dengan tanda tangan elektronik yang memenuhi syarat dari pihak ketiga tepercaya dengan hasil verifikasi tanda tangan elektronik yang memenuhi syarat dalam dokumen elektronik dengan informasi yang dapat dipercaya tentang saat penandatanganannya;
- penyimpanan data, termasuk dokumentasi operasi yang dilakukan oleh pihak ketiga tepercaya.
Dengan kata lain, organisasi terakreditasi muncul (dan bukan hanya serangkaian layanan di CA terakreditasi), menyediakan serangkaian layanan yang diperlukan:
- verifikasi keabsahan tanda tangan dan sertifikat elektronik pada waktu tertentu;
- verifikasi kekuasaan pemilik sertifikat ES;
- penerbitan tanda terima hasil verifikasi tanda tangan elektronik yang memenuhi syarat;
- memelihara register aktual dari operasi yang dilakukan (diverifikasi).
Faktanya, ini semua adalah tugas-tugas tersebut dan solusi "terakreditasi" yang sesuai untuk memverifikasi tanda tangan elektronik tepat waktu, yang dirancang untuk memastikan sirkulasi dokumen elektronik tepercaya eksternal dengan tanda tangan elektronik dan setidaknya penyimpanan dokumen jangka menengah.
Apa yang salah dengan cap waktu dan kapan harus berfungsi?
Izinkan saya menekankan bahwa, pertama-tama, saya tertarik pada konsolidasi hukum penggunaan stempel waktu dan penyatuan format ES dengan stempel waktu, dan bukan format ES yang diperpanjang itu sendiri (berdasarkan standar internasional yang berbeda), di mana stempel waktu telah lama digunakan.
Sayangnya, legislator (hingga Desember 2019) dan regulator (hingga September 2020) tidak mengungkapkan fungsi "stempel waktu". Dari sinilah muncul berbagai format tanda tangan elektronik yang tidak kompatibel. Mereka tampaknya diperkuat dengan kualifikasi dan dilakukan dengan cara bersertifikat, tetapi pertukaran dokumen dengan tanda tangan elektronik semacam itu dengan kepercayaan otomatis antara sistem informasi yang berbeda melewati sistem interaksi elektronik antar departemen (SMEV) tidak mungkin. SMEV, tentu saja, menggunakan stempel waktu yang dikeluarkan oleh layanan internal untuk tanda tangan elektronik dalam format XAdES-T, tetapi lebih memecahkan masalah transportasi saat mentransfer dokumen.
Saat ini, ada kejelasan lebih dengan stempel waktu, tetapi sejauh ini belum diabadikan dalam peraturan perundang-undangan.
"Stempel waktu tepercaya" (persis seperti yang tercantum dalam undang-undang tentang tanda tangan elektronik, tetapi di mana pun saya hanya menulis "stempel waktu") telah ditambahkan dengan amandemen undang-undang tentang tanda tangan elektronik tertanggal 27 Desember 2019. Benar, istilah ini disebutkan sekali dalam Art. 2 "Konsep dasar yang digunakan dalam Hukum Federal ini" dan tidak digunakan di tempat lain. Peraturan meterai waktu berlaku bersamaan dengan peraturan TPA (mulai 01/01/2021), karena saling terkait.
Hukum mendefinisikan "stempel waktu" sebagai berikut:
"Informasi terpercaya dalam bentuk elektronik tentang tanggal dan waktu penandatanganan dokumen elektronik dengan tanda tangan elektronik, dibuat dan diverifikasi oleh pihak ketiga terpercaya, pusat sertifikasi atau operator sistem informasi [...]".
Dengan demikian, cap waktu dapat dibuat dan diverifikasi oleh operator TTP, CA dan IS, jika diterima:
"[...] pada saat menandatangani dokumen elektronik dengan tanda tangan elektronik dengan cara yang ditentukan oleh badan federal yang berwenang menggunakan perangkat lunak dan (atau) perangkat keras yang telah lulus prosedur untuk memastikan kepatuhan dengan persyaratan yang ditetapkan sesuai dengan Hukum Federal ini."
Hampir setahun kemudian (14 September 2020) setelah munculnya cap waktu dalam undang-undang tentang tanda tangan elektronik, perintah Kementerian Industri Digital Rusia No. 472 "Dengan persetujuan Format Tanda Tangan Elektronik, wajib untuk diterapkan dengan semua alat tanda tangan elektronik" dikeluarkan . Dia akhirnya:
- menyatukan format ES,
- memperkenalkan persyaratan adanya "waktu pembuatan ES" dalam komposisi ES (tanpa indikasi yang jelas dari stempel waktu)
- memberikan kemungkinan opsional untuk menyertakan daftar sertifikat yang dicabut dalam tanda tangan elektronik.
Lebih lanjut. Selain perintah Kementerian Keamanan Digital Rusia No. 472 (di mana, seperti yang saya tulis di atas, tidak ada definisi cap waktu, atau referensi untuk itu, tetapi ada persyaratan untuk menempatkan "waktu pembuatan ES" di ES ), 2 draf tindakan hukum muncul:
- , « » 09.10.2020. « » ( ), « » ( ), ;
- « № 1 2 27 2011 . № 796 « ». , « » « » .
Tentunya, TPA juga membutuhkan stempel waktu atau sertifikat ES, yang belum kedaluwarsa , untuk mencatat “momen tertentu dalam waktu” . Stempel waktu harus "terpercaya" dan "benar" (TTP harus memahaminya). Dan, kemungkinan besar, algoritme yang ideal untuk memeriksa dokumen elektronik dengan tanda tangan elektronik, di mana stempel waktu diterapkan, di TTP adalah sebagai berikut:
- Pembuatan dokumen elektronik dengan tanda tangan elektronik, di mana tanda tangan elektronik diimplementasikan dengan cara dan dalam format dengan dukungan cap waktu (perintah Kementerian Ilmu Digital Rusia No. 472)
- Memperoleh cap waktu di TTP atau di tempat lain (di CA atau dari operator IS)
- Menyematkan stempel waktu (dikeluarkan oleh layanan "terakreditasi" - operator TTP / CA / IS) ke dalam dokumen dengan tanda tangan elektronik.
Dan hanya jika semua tahapan ini dilewati, TTP akan dapat "mengkonfirmasi keabsahan tanda tangan elektronik" dengan semua "roti dan laporan tambahan." Apa selanjutnya dari ini? Siapapun yang ingin menggunakan TPA untuk memeriksa dokumen dengan ES setelah berakhirnya sertifikat ES harus memiliki:
- Tanda tangan elektronik format diperpanjang (urutan yang sama dari Kementerian Industri Digital Rusia No. 472, di mana, saya ulangi sekali lagi, cap waktu tidak ditentukan);
- alat untuk bekerja dengan tanda tangan elektronik (alat perlindungan informasi kriptografi, perangkat lunak aplikasi) yang mendukung bekerja dengan cap waktu (secara teknis, dapat berupa file terpisah dengan tanda tangan elektronik lain yang terputus dari layanan cap waktu);
- kepatuhan dengan algoritme untuk mendapatkan stempel waktu dan menyematkannya dalam dokumen dengan tanda tangan elektronik.
Format cap waktu
Tindakan hukum regulasi dari regulator belum diadopsi, namun teka-teki dengan cap waktu mulai menyatu:
- ada persyaratan untuk tanda tangan elektronik (pesanan Kementerian Federasi Rusia No. 472, yang menentukan kebutuhan untuk memperhitungkan waktu pembuatan tanda tangan elektronik)
- ada persyaratan untuk layanan dan format stempel waktu (draf pesanan Kementerian Ilmu Digital, lihat di atas);
- ada persyaratan untuk CIPF, di mana stempel waktu harus dipertahankan (draf urutan FSB, lihat di atas);
- ada persyaratan untuk CA dan TTP, yang harus menyertakan "layanan stempel waktu tepercaya" (draf urutan FSB yang sama, lihat di atas).
Fungsionalitas kompleks untuk memeriksa kredensial di TPA
Mari kembali ke TPA dan fungsi memverifikasi penggunaan yang benar dari sertifikat dan kewenangan ES. Sesuai dengan amandemen Undang-Undang Tanda Tangan Elektronik tanggal 27 Desember 2019, DTS bertindak antara lain sebagai pusat "otorisasi" yang melakukan:
- memeriksa kepatuhan semua sertifikat kualifikasi yang digunakan saat menandatangani dokumen elektronik dengan persyaratan peraturan perundang-undangan;
- memeriksa kredensial peserta dalam interaksi elektronik.
Bersamaan dengan itu, paragraf pertama juga harus mencakup pengecekan kebenaran penerapan Qualified Electronic Signature Certificate (CEP):
- afiliasi departemen atau organisasi CA, yang sertifikat CEP-nya digunakan dalam hubungan hukum elektronik tertentu (hubungan hukum badan hukum - CA dari layanan pajak; hubungan hukum organisasi keuangan dan kredit - CA Bank Sentral; hubungan hukum orang-orang yang mewakili otoritas publik dan badan pemerintahan sendiri setempat - CA dari Perbendaharaan Federal; hubungan hukum individu - CA terakreditasi komersial);
- jenis sertifikat tanda tangan elektronik yang memenuhi syarat (perorangan, badan hukum, pengusaha perorangan) untuk kebenaran penerapannya dalam hubungan hukum elektronik tertentu.
Kami akan membahas secara terpisah poin kedua - verifikasi kredensial. Selain penerapan yang benar dari jenis sertifikat yang dikeluarkan untuk individu, badan hukum atau pengusaha perorangan, dokumen kewenangan harus diperiksa di sini, yang harus “ditandatangani oleh CEP pejabat dari badan negara bagian yang relevan atau pemerintah daerah yang berwenang sesuai dengan prosedur yang ditetapkan untuk membuat keputusan yang tepat” . Kekuasaan itu sendiri harus "ditentukan atas dasar pengklasifikasi kekuasaan, yang diperbarui oleh badan federal yang berwenang"... Sesuai dengan Pasal 17.2 dan 17.3 UU ES, keberadaan dan isi surat kuasa elektronik juga perlu diperiksa, karena dialah yang memberi wewenang kepada pihak tersebut untuk hubungan hukum tertentu. Jadi, saat memeriksa kewenangan, TPA juga harus memeriksa:
- dokumen otorisasi yang dikeluarkan untuk individu;
- surat kuasa elektronik yang dikeluarkan untuk individu (dalam kasus yang membutuhkan penggunaannya).
Tentu saja, sistem aplikasi akan dapat melakukan pemeriksaan ini. Dia memahami konteks hubungan hukum elektronik, tahu kuasa dan kuasa apa yang diperbolehkan dengan sertifikat CEP dan dengan CA mana Anda dapat / harus bekerja sama. Pertanyaan lainnya adalah bagaimana TPA akan melakukan pemeriksaan tersebut, karena tidak memiliki informasi tentang konteks hubungan hukum.
Di satu sisi, operasi "otorisasi" saat menggunakan sertifikat ES disatukan. OID yang ditentukan dalam sertifikat ES sekarang harus diabaikan, dan skema otorisasi yang didasarkan pada prinsip OID sendiri / asing dilarang mulai 01.06. Di sisi lain, penggambaran kewenangan dan aturan penggunaan sertifikat ES telah menjelma menjadi proses yang lebih kompleks yang masih perlu diatur pada 01.01.2022.
: - ?
"Legalisasi" penyimpanan dan penggunaan jarak jauh melalui CA tanda tangan digital berbasis cloud dari 01.01.2021 harus meluncurkan babak baru perkembangannya. Ini berlaku untuk peningkatan jumlah layanan yang diimplementasikan berdasarkan tanda tangan elektronik (terutama di zaman modern kita) dan layanan yang nyaman untuk bekerja dengan tanda tangan elektronik untuk klien seluler dan klien di tempat kerja, yang pada gilirannya akan membutuhkan layanan layanan eksternal untuk memverifikasi tanda tangan elektronik (berdasarkan TPA) ...
Kemungkinan besar, baik pada Malam Tahun Baru atau segera setelah liburan, pesanan yang saya sebutkan akan diterapkan. Kemudian pengembang sistem perlindungan informasi kriptografi akan membutuhkan 3-4 bulan lagi untuk menyesuaikan perangkat lunak klien dan perpustakaan untuk format ES baru dengan stempel waktu dan layanan layanan stempel waktu tepercaya. Ngomong-ngomong, yang terakhir telah diimplementasikan dan dioperasikan oleh pengembang utama alat perlindungan informasi kriptografi sebagai layanan cap waktu TSP.
Lebih lanjut, akan membutuhkan lebih banyak waktu untuk mengembangkan fungsi TTP, yang jelas tidak terikat pada format apa pun, tetapi diperlukan menurut undang-undang tentang tanda tangan elektronik:
- pembuatan kuitansi dengan hasil pemeriksaan CEP dalam dokumen elektronik;
- penyimpanan data, termasuk dokumentasi operasi yang dilakukan oleh TPA.
Dengan mempertimbangkan semua peningkatan perangkat lunak yang diperlukan, serta prosedur organisasi untuk akreditasi, saya rasa tidak ada gunanya menunggu TPA pertama muncul sebelum musim panas 2021. Mungkin Dinas Pajak Federal dan pengembang kunci CIPF akan merilis sesuatu lebih awal sebagai versi uji coba TTP.
Layanan TTP jelas tidak akan gratis untuk semua orang, dan semua biaya akan langsung atau tidak langsung menjadi tanggungan peserta interaksi elektronik.
Munculnya TPA di pasar pada akhirnya harus berkontribusi pada munculnya layanan yang berguna (terutama dalam bentuk API untuk penyematan) yang dapat menyediakan:
- konfirmasi keabsahan tanda tangan elektronik,
- verifikasi kekuatan peserta dalam interaksi elektronik;
- pembentukan tanda terima yang dialihkan hasil pemeriksaan CEP dokumen elektronik;
- pembentukan stempel waktu yang dapat digunakan tidak hanya untuk dokumen dengan tanda tangan elektronik, tetapi juga untuk korespondensi elektronik, untuk layanan lain yang memerlukan penetapan waktu.
Layanan ini dapat dibangun ke dalam sistem informasi, misalnya:
- untuk penyimpanan dokumen jangka menengah,
- untuk mengekspor / mengasingkan dokumen kepada pengguna tanpa khawatir dokumen tersebut menjadi tidak dapat diverifikasi dalam satu tahun,
- untuk pengambilan keputusan otomatis berdasarkan hasil pemeriksaan tanda tangan elektronik.
Layanan ini juga akan menemukan aplikasi di klien seluler dari berbagai sistem informasi, termasuk yang bekerja dengan tanda tangan digital berbasis cloud. Opsi kedua sesuai dengan proposal Maksut Shadayev, Menteri Pengembangan Digital, Komunikasi, dan Media Massa Rusia yang baru-baru ini diumumkan:
« , — . , ».
Hal ini disampaikan dalam konteks dukungan kementerian terhadap inisiatif penerbitan tanda tangan elektronik gratis bagi pengguna portal layanan publik.
Total: perubahan yang diumumkan dalam undang-undang tentang ES dan fungsi TPA yang diusulkan benar-benar menarik, telah lama ditunggu dan pasti akan diminati. Stempel waktu (yang diperkenalkan bersamaan dengan TPA dari 01/01/2021) akan "secara otomatis" menyelesaikan masalah penyimpanan dokumen jangka menengah. TPA dan format terpadu untuk tanda tangan elektronik dengan stempel waktu akan memungkinkan sirkulasi dokumen tepercaya dengan tanda tangan elektronik lebih dari 1 tahun dan memeriksanya setelah keterasingan dari sistem. Tentu saja, banyak hal tergantung pada implementasinya, termasuk peraturan dan perintah Kementerian Industri Digital Rusia dan perintah FSB Rusia, yang idealnya mengarah pada denominator umum solusi teknis untuk semua TPA.
Alih-alih PS Masa depan pasar CA dan TPA
Dan akhirnya, saya ingin menulis tentang kemungkinan jatuhnya pasar CA.
Undang-undang yang sama mengubah jangka waktu akreditasi CA dari 5 menjadi 3 tahun. Jangka waktu yang sama - 3 tahun - ditentukan untuk akreditasi TPA. Pada saat yang sama, persyaratan CA telah meningkat secara signifikan. Sekarang Anda membutuhkan:
- setidaknya 1 miliar rubel dana sendiri (modal) atau 500 juta rubel modal, tetapi pada saat yang sama satu atau beberapa cabang atau kantor perwakilan CA harus ditempatkan di setidaknya 3/4 dari entitas konstituen Rusia (persyaratan serupa untuk TPA);
- keamanan finansial kewajiban untuk kerugian yang ditimbulkan kepada pihak ketiga dalam jumlah setidaknya 100 juta rubel untuk CA (sekarang menjadi 30 juta rubel). Untuk TPA, besarannya belum ditentukan.
Menurut para ahli, peningkatan persyaratan modal minimum akan menyebabkan penurunan jumlah CA lebih dari 10 kali lipat pada tahun 2021 (dari sekitar 450 menjadi 20-40). Dengan analogi, kemunculan sejumlah besar TPA tidak diharapkan, yang kemungkinan besar akan dibuat di CA kunci (Bank Sentral, Pelayanan Pajak, Perbendaharaan) untuk melayani kebutuhan internal mereka. Mungkin mereka akan muncul di hadapan beberapa CA terakreditasi komersial besar yang "masih hidup".
Pengguna atau pengembang sistem aplikasi kecil (mereka yang ingin mengimplementasikan alur kerja dengan tanda tangan elektronik berbasis cloud), tentu saja, lebih tertarik untuk bekerja dengan TTP yang tidak bergantung pada pusat sertifikasi, serta berinteraksi dengan semua atau sebagian besar CA besar.
Saya yakin akan menarik bagi TC yang ada untuk membuat TPA sendiri. Bagi mereka, ini sebenarnya adalah pusat pemrosesan untuk memeriksa aliran dokumen yang konstan dengan tanda tangan elektronik, yang dijalankan pada produk dan solusi mereka sendiri. Apalagi, undang-undang tidak secara tegas melarang penggabungan CA dan TPA dalam satu badan hukum. Tetapi dengan persyaratan modal seperti itu, hanya bank teknologi besar yang memiliki peluang nyata untuk memasuki pasar untuk layanan ini.
Tulis jika Anda memiliki pertanyaan bukan untuk komentar - ini surat saya: SGontzov@croc.ru.