Використання КЕП / УЕП
Користувачі системи Шрифт під час підписання документів можуть використовувати електронний підпис системи Шрифт, а також кваліфікований електронний підпис (КЕП) та удосконалений електронний підпис (УЕП), які базуються на кваліфікованому сертифікаті (далі - КЕП).
КЕП використовується фізичними та юридичними особами для ідентифікації особи, що підписує, та підтвердження цілісності даних в електронному документі та має юридичну силу і презумпцію його відповідності власноручному підпису.
Система Шрифт під час підписання КЕП застосовує позначку часу, що дає можливість гарантувати юридичну чинність документів і дає змогу підтвердити достовірність електронного підпису навіть після того, як термін дії сертифіката завершився або він був анульований.
Про різні види підпису, варіанти їх застосування та законодавче регулювання, читайте у статті на нашому сайті.
Підписання КЕП
Використання КЕП для підписання електронних документів гарантує захист від підробки підпису. За допомогою криптографічних методів КЕП пов'язано з документом та з особою, яка його підписує, таким чином, він не може бути підроблений.
Для підписання КЕП не потрібно встановлювати жодних спеціальних додатків, плагінів та іншого. Достатньо лише будь-якого веб-браузера, на якому відкрито систему Шрифт. Винятком є підписання ключем КЕП з апаратного носія (USB-пристрою), для зчитування даних з якого потрібне встановлення спеціального плагіна.
Система Шрифт забезпечує можливість підписання безліччю підписів безлічі файлів будь-якого формату, що знаходяться в одному документі.
ASIC-E - це сучасний стандарт збереження КЕПів (у файлі з розширенням asice), який забезпечує зберігання всіх підписів та підписаних файлів документа.
Технологія підписання, яку використовує система Шрифт, забезпечує підписання на локальному пристрої користувача. Таким чином, ні дані, ні ключі підпису не залишають локальний пристрій користувача, який підписує документ.
Після підписання одного документа зчитані дані ключа можуть використовуватися для підписання інших документів у цьому браузері, без введення пароля під час кожного нового підписання. Оновлення сторінки браузера очистить збережені дані та вимагатиме введення пароля до ключа під час наступного підписання документа.
Про використання європейських алгоритмів підписання для українських КЕПів та використання європейських КЕПів у Шрифт, читайте в цій статті.
Підписання файловим ключем
Про створення документа читайте у відповідної статті.
Для підписання документа потрібно зчитати дані з файлового ключа, вказавши його розташування. Далі вибрати центр сертифікації, яким він виданий, або залишити варіант автовизначення, тоді система автоматично його визначить. Після введення пароля до ключа, натиснути Зчитати ключ. Система зчитає ключ і покаже дані сертифіката підпису.
Якщо ви вже використовували на цьому пристрої файлові ключі та вибрали варіант збереження інформації про них, то система запропонує вибрати один зі збережених ключів.
Якщо користувач вибере чекбокс «Зберегти ключ на цьому пристрої (браузері)», наступні документи можна буде підписувати збереженим ключем без введення пароля до ключа і після оновлення сторінки, і навіть після перезавантаження комп'ютера.
Для припинення доступу до збереженого ключа достатньо видалити інформацію про нього (іконка «Видалити» в плашці з інформацією про ключ).
Система Шрифт не зберігає інформацію про ключі користувача на своїх серверах. Дані ключа використовуються тільки на локальному пристрої користувача як у процесі підписання, так і в будь-який інший час. Збереження інформації про ключ також відбувається тільки на локальному пристрої користувача.
Підписання хмарним ключем
Для того, щоб підписати документ хмарним ключем, на сторінці підписання потрібно обрати спосіб підписання Хмарний ключ та обрати один із доступних варіантів хмарних ключів. QR-код, що з'явився на екрані, потрібно відсканувати в мобільному застосунку відповідного видавця ключа. Після успішного виконання відобразяться дані сертифіката підпису і стане доступна кнопка Підписати. Після її натискання знову відобразиться QR-код і після виконання тих самих дій, що й на попередньому кроці, документ буде підписано.
Наразі в системі доступно три варіанти хмарних ключів - Приватбанк, Вчасно та ДІя.Підпис.
Згенерувати Дія.Підпис можна безкоштовно в мобільному додатку “Дія”(Google Play и Apple Store). Для цього необхідно мати хоча б один біометричний документ у «Дії»: ID-картку або закордонний паспорт. І ви отримаєте електронний підпис у вашому смартфоні одразу у двох варіантах: за українським та міжнародним стандартом.
Дія.Підпис вже використовують понад 10 мільйонів українців!
Існують деякі технологічні обмеження використання хмарних ключів під час підписання документів з боку провайдерів цих ключів. Наприклад усі хмарні ключі не можуть використовувати формат підпису XaDES (xml файл).
Також хмарні ключі, крім Дія.Підпис, не можуть:
підписувати файли з використанням контейнера asice;
використовувати інші формати підпису крім CaDES (p7s файл), якщо в документі 2 і більше файлів.
Підписання ключем КЕП з апаратного носія (токена)
Токен - це спеціальний пристрій, у формі USB-пристрою або картки з чіпом. Приватний ключ, що знаходиться на такому пристрої, захищений від копіювання та зміни.
Для підписання документа за допомогою ключа, розміщеного на токені, необхідно підключити його до вашого пристрою.
Якщо на пристрої раніше не використовувався токен, веб браузер запросить встановити відповідне розширення для взаємодії з токеном. Необхідно встановити запропоноване розширення, яке є сертифікованим в Україні.
СЭД Шрифт автоматично визначить наявність підключеного токена та його тип. Після введення пароля будуть показані дані власника сертифіката ключа і стане доступним підписання.
Якщо ключ залишається підключеним до пристрою, його можна буде використовувати під час підписання наступних документів без введення пароля під час кожного нового підписання. Оновлення сторінки браузера очистить збережені дані та вимагатиме введення пароля до ключа під час наступного підписання документа.
Якщо після встановлення або оновлення бібліотеки залишається інформація про необхідність оновити бібліотеку, рекомендується перезавантажити браузер або весь ПК, після чого за необхідності знову виконати встановлення бібліотеки.
Ідентифікаційні коди під час підписання
Будь-який КЕП містить у собі інформацію про ідентифікаційний код фізособи - власника ключа, а також ідентифікаційний код організації, якщо ключ було випущено на співробітника організації.
Система Шрифт автоматично перевіряє та унеможливлює помилку використання ключа одного співробітника (власника ключа) для підписання документа, у якому очікується підпис іншого співробітника або зовнішнього контакту, щоб користувач не переплутав ключі, якими він може розпоряджатися. Для цього система порівнює ідентифікаційний код з даних сертифіката ключа в момент його зчитування і з даних довідника компанії. Якщо вони не збігаються, то система дасть відповідне попередження.
Якщо в довіднику не вказано значення ідентифікатора співробітника або зовнішнього контакту (його РНОКПП), то під час першого підписання це значення буде заповнено в довідник з інформації ключа.
Якщо в інформації про ідентифікаційний код було допущено помилку, її може виправити співробітник із роллю адміністратор, внісши відповідні зміни в довідник.
Відповідність ідентифікаційного коду організації з ключа і з даних довідників (орг. структури або контрагентів), також перевіряється, якщо використовується ключ, виданий для співробітника певної організації.
Якщо у посади налаштоване її «дзеркало» в юридичній структурі, то контроль відповідності ідентифікаційного коду відбувається за кодом організації з юридичної, а не функціональної структури.
Система Шрифт навмисно не обмежує використання ключів фізособи для підписання документів від імені організацій. Тобто не вимагає і не контролює, щоб ключ був випущений саме на ту організацію, від імені якої відбувається підписання. Ми виходимо з того, що заборони багатьох органів на використання ключа фізособи для підписання документа від імені організації є незаконними і викликані технічною відсталістю інформаційних систем цих органів.
Особливості підписання КЕП для СЕВ ОВВ
Документи, які пересилаються через шину СЕВ ОВВ, мають відповідати вимогам СЕВ ОВВ. Про налаштування інтеграції з СЕВ ОВВ читайте в статті.
Для таких документів має використовуватися підпис формату CaDES.
ASIC контейнер не потрібно вибирати.
У документі має бути 1 підпис типу Підпис.
Наявність погоджень, віз і затверджень не має значення, так само як і тип електронного підпису в них.
Кількість файлів, що підписуються, у документі не обмежена.
Імпорт готових КЕП у систему
У документ можуть бути імпортовані готові підписи (КЕП) у будь-якому форматі (p7s, xml, asice), які були створені (поставлені) на будь-якому іншому ресурсі (майданчиках, сайтах або СЕД), якщо ці ресурси не блокують скачування підпису у вигляді файлу.
Будь-який готовий (поставлений) КЕП є самодостатньою сутністю, оформленою у вигляді файлу. Це означає, що його унікальність пов'язана тільки з його автором і файлом (файлами), які цей підпис засвідчив. Таким чином, не існує жодної причини, щоб пов'язувати КЕП з будь-якою СЕД, сайтом тощо, в яких цей підпис було сформовано.
З цього випливає, що сторони можуть просто обмінятися файлами, що містять підпис певного документу, переславши їх будь-яким зручним способом. І в результаті, сторони матимуть оригінал підписаного ними документа.
Імпорт готового підпису зручний, якщо, наприклад, контрагент був ініціатором документа і підписав його в іншій системі. Ви можете його підписати для нього в тій самій системі. Після чого завантажити файли підпису (контрагента і свого) та імпортувати у відповідний документ своєї компанії в Шрифт.
Якщо ініціатором документа були ви, контрагент може підписати його в Шрифт і, за необхідності, імпортувати файли підпису у свою систему.
Це поки що єдиний на цьому етапі розвитку ринку СЕД в Україні, спосіб розв'язання проблеми відсутності працюючих схем інтеграції різних СЕД між собою.
Контрагент може відмовитися підписувати документ у Шрифт через відсутність у його системі можливості імпорту підпису або через ігнорування ваших інтересів (зазвичай так буває, коли він вважає себе «крутішим» за вас). Якщо ця ситуація не має іншого виходу, можна підписати файли в його системі і після цього імпортувати підписи в документ у Шрифт.
Після успішного імпорту в документ такий підпис відображатиметься в документі та проходитиме перевірку дійсності як усередині системи, так і на зовнішніх ресурсах так, ніби його було поставлено всередині системи.
Імпорт підпису можна здійснювати на будь-якому етапі роботи з документом, який передбачає можливість його зміни.
Імпорт файлу підпису може бути виконаний самим підписантом замість «живого» підписання документа в системі. Така ситуація може виникнути через неможливість використання ключа підпису безпосередньо в системі Шрифт. Наприклад, коли підписант використовує хмарний підпис якогось провайдера, який не підтримується в Шрифт. У цьому випадку, підписавши документ на одному з ресурсів, де ця підтримка забезпечується, можна імпортувати файл підпису в Шрифт.
Файли з підписом можуть бути імпортовані в модальну форму створення документа або надалі - в таб Деталі документа. Для цього просто перетягнете відповідні файли в документ.
У документ можна імпортувати один або відразу кілька підписів. Система запитає - якій посаді всередині компанії або зовнішньому контакту відповідає імпортований підпис. Якщо система визначить відповідність ідентифікатора співробітника або контакту зазначеному в його даних тому, що міститься в КЕП, то буде запропоновано відповідний варіант вибору. За необхідності запропонований варіант можна буде змінити.
Система повідомить про помилку, якщо під час імпорту готової КЕП у документі будуть знаходитися підписувані файли, які не відповідають цьому підпису.
Існують обмеження на імпорт готових PaDES підписів (коли КЕП усередині pdf файлу) до іншого pdf файлу хоч і того самого змісту. Це викликано технологічними особливостями стандарту формування підпису такого формату.
Для підписів з роздільним зберіганням оригінального файлу та файлу підпису, форматів CaDES (p7s файли) і XaDES (xml файли), файл підпису може бути імпортований тільки окремо, якщо підписаний файл уже знаходиться в документі.
Як перевірити електронний підпис
У підписаному документі підписи зберігаються та можуть бути перевірені в будь-який час.
Поруч із датою та часом підписання відображається прізвище і ініціали підписанта та іконка КЕП. При наведенні курсору на це поле, з'являється інформація з докладними відомостями про підпис.
Другим способом перевірки дійсності КЕП є онлайн запит системи Шрифт до відповідного КНЕДП (кваліфікованого надавача електронних довірчих послуг), який повертає відповідь-підтвердження про дійсність підпису та час підписання. Найбільш актуальний факт перевірки відображається після цього в інформації про КЕП.
Третім способом перевірки дійсності КЕП є перевірка на зовнішньому ресурсі, наприклад на сайті державного засвідчувального органу Міністерства цифрової трансформації України (Мінцифри). Для цього достатньо скачати файл підпису та завантажити його на зазначеній сторінці сайту.
Система Шрифт дозволяє скачування у вигляді файлів готових (поставлених) КЕП будь-яким користувачем системи, на будь-якому етапі роботи з документом.
Після успішної перевірки сервіс надасть результати.
За результатами проведеної перевірки буде сформовано протокол створення та перевірки КЕП, у якому буде зазначено підписантів (ПІБ, податковий номер і дата підписання), тип підпису (вдосконалений або кваліфікований) та іншу інформацію.