PayControl – программный комплекс, предназначенный для подтверждения пользователем операций в системах дистанционного банковского обслуживания и/или электронного документооборота.
Статья 5 63-ФЗ “Об электронной подписи” вводит определение трех типов электронной подписи:
1. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
2. Неквалифицированной электронной подписью является электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
3. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
PayControl обладает всеми свойствами НЕКВАЛИФИЦИРОВАННОЙ ЭП (НЭП) в соответствии с 63-ФЗ, благодаря следующим характеристикам:
При этом PayControl использует два вида криптографических преобразований для выработки электронной подписи:
Однако, в законодательстве Российской Федерации есть ряд коллизий, которые не позволяют однозначно считать PayControl НЭП. Основным камнем преткновения является требование 63-ФЗ «получена в результате криптографического преобразования». Деятельность по разработке криптографических средств на территории РФ подлежит лицензированию, которое накладывает на лицензиата ряд требований. В том числе, ведение разработки в соответствии с приказами и правилами регулятора (Федеральной службы безопасности РФ). А эти правила подразумевают, что криптографией признаются только утвержденные в качестве государственных стандартов алгоритмы и параметры их работы. Плюс разработанные криптографические средства должны проходить оценку соответствия указанным требованиям, то есть процесс сертификации. И сертификация также подразумевает использование только ГОСТ-алгоритмов. Это следует из п. 6.1 683-П:
В случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.
Что интересно – при импорте криптографических средств, разработанных вне РФ, таких требований нет.
Перечисленные пункты законодательства не запрещают использовать PayControl в соответствии с 63-ФЗ как простую ЭП (ПЭП). При этом, с точки зрения безопасности, юридической значимости и даже процедур разбора конфликтной ситуации, PayControl не отличается от НЭП, поскольку в случае с ПЭП, как и в случае с НЭП необходимо оформлять взаимоотношения сторон и порядок использования электронной подписи.
Согласно п. 2 статьи 6 63-ФЗ:
2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 настоящего Федерального закона.
То есть признание как неквалифицированной, так и простой подписи определяется соглашением сторон, в котором прописывается, в том числе, процедура разбора конфликтных ситуаций.
Соглашение, по сути, полностью аналогично любому другому соглашению, на основании которого признается любая другая электронная подпись: простая (SMS, скретч-карты, многоразовый пароль, коды через push-уведомления и пр.) или неквалифицированная (токены, программные криптосредства и др.).
Кроме того, PayControl обеспечивает соответствие требованиям, налагаемым на кредитные организации Положением Банка России №683-П, а в частности подпункту 5.1:
Где в абзаце первом:
Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
PayControl позволяет полностью обеспечить целостность и авторство указанного электронного сообщения, а также получить от клиента подтверждение совершенной банковской операции.
А также абзаце втором, внесенном Указанием Банка России №6071-У:
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Для соответствия данному требованию, в дополнение к описанным выше механизмам выработки подтверждения, PayControl обладает функциональностью формирования имитовставок для данных электронных сообщений с использованием СКЗИ, реализующего ГОСТ-алгоритмы.
PayControl позволяет сформировать бумажный документ, на основании которого пользователь и оператор информационной системы признают, что они сформировали и зарегистрировали ключи для формирования/проверки подтверждения (Акт признания ключа).
Также PayControl позволяет в любое время получить информацию о попытках подтверждения, включая:
Данная информация является основой для проведения технической экспертизы при возникновении конфликтных ситуаций и полностью защищает интересы оператора информационной системы при условии его добросовестности.