PayControl ГОСТ — программный комплекс, предназначенный для подтверждения пользователем операций в системах дистанционного банковского обслуживания и/или электронного документооборота.
Статья 5 63-ФЗ “Об электронной подписи” вводит определение трех типов электронной подписи:
1. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
2. Неквалифицированной электронной подписью является электронная подпись, которая:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи.
3. Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
PayControl ГОСТ обеспечивает соответствие всем требованиям к НЕКВАЛИФИЦИРОВАННОЙ ЭП (НЭП), благодаря следующим характеристикам:
Дополнительно, PayControl ГОСТ обеспечивает соответствие требованиям, налагаемым на кредитные организации Положением Банка Росси №683-П, а в частности подпункту 5.1:
Где в абзаце первом:
Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.
PayControl ГОСТ позволяет полностью обеспечить целостность и авторство указанного электронного сообщения, а также получить от клиента подтверждение совершенной банковской операции.
А также абзаце втором, внесенном Указанием Банка России №6071-У (п.1.9 757-П):
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
Так как PayControl ГОСТ использует два типа криптографических преобразований (асимметричные и симметричные - см. раздел “Выработка и проверка подписи” в документе Архитектура и принципы работы), то это позволяет использовать его при составлении юридических конструкций для удовлетворения данного требования с одним из видов ЭП по выбору:
Кроме того, PayControl ГОСТ соответствует Пункту 6.1 (п.1.3 757-п), согласно которому банки при работе с российскими разработчиками должны приобретать только сертифицированные продукты:
В случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.
Стоит отметить, что в базовой версии PayControl ГОСТ не предусмотрена работа в рамках инфраструктуры открытых ключей PKI (это дополнительный опциональный модуль) и, соответственно, создание такой сущности, как сертификат ключа проверки электронной подписи, также не предусмотрено.
Согласно п. 5 ст. 5 63-ФЗ, сертификат ключа проверки ЭП может не создаваться, если соответствие признакам НЭП может быть обеспечено без него:
При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.
PayControl ГОСТ, в свою очередь, обеспечивает соответствие всем требованиям, предъявляемым к НЭП в рамках 63-ФЗ (см. п. PayControl ГОСТ в рамках 63-ФЗ).
Если сертификат ключа проверки электронной подписи не создается, то в части взаимоотношений между банками и их клиентами PayControl ГОСТ позволяет сформировать документ, на основании которого пользователь и оператор информационной системы признают, что они сформировали и зарегистрировали ключи для формирования/проверки электронной подписи (Акт признания ключа проверки электронной подписи).
PayControl ГОСТ позволяет в любое время получить информацию о попытках подтверждения, включая:
Данная информация является основой для проведения технической экспертизы при возникновении конфликтных ситуаций и полностью защищает интересы оператора информационной системы при условии его добросовестности.