Міністерство цифрової трансформації України надало роз'яснення з питань застосування кваліфікованого електронного підпису, виклавши їх у форматі питання-відповідь.
В чому полягає відмінність між удосконаленим та кваліфікованим електронним підписом?
Кваліфікований електронний підпис чи печатка вважається таким, що пройшов перевірку та отримав підтвердження, якщо, серед іншого, під час перевірки за допомогою кваліфікованого сертифіката електронного підпису чи печатки отримано підтвердження того, що особистий ключ, який належить підписувачу чи створювачу електронної печатки, зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки підтверджено цілісність електронних даних в електронній формі, з якими пов'язаний цей кваліфікований електронний підпис чи печатка. Разом з тим засоби кваліфікованого електронного підпису чи печатки повинні забезпечувати, серед іншого, захист від доступу до особистих ключів сторонніх осіб
Таким чином, особистий ключ кваліфікованого електронного підпису може зберігатися виключно в засобі кваліфікованого електронного підпису чи печатки та повинен бути пов'язаним з кваліфікованим сертифікатом електронного підпису. Водночас, кваліфікований сертифікат відкритого ключа, сформований для удосконаленого електронного підпису чи печатки, не містить відомостей про те, що особистий ключ зберігається в засобі кваліфікованого електронного підпису чи печатки; під час перевірки удосконаленого електронного підпису чи печатки за допомогою кваліфікованого сертифіката відкритого ключа надається підтвердження того, що особистий ключ не зберігається в засобі кваліфікованого електронного підпису чи печатки.
Яка саме інформація має бути відображена на сайті центрального засвідчувального органу, за результатами перевірки електронного підпису для підтвердження наявності саме кваліфікованого електронного підпису (тип носія, алгоритм, тип підпису, сертифікат тощо)?
Законодавством у сфері електронних довірчих послуг не визначені вимоги до форми та змісту результату перевірки кваліфікованого електронного підпису.
Слід зазначити, що кваліфіковані надавачі електронних довірчих послуг мають право, зокрема, самостійно обирати, які саме стандарти будуть ними застосовуватися при наданні довірчих послуг з переліку стандартів, визначеного Кабінетом Міністрів України, крім сфери спеціального зв'язку.
Таким стандартом, зокрема, є ДСТУ ETSI TS 119 101:2016 (ETSI TS 119 101:2016, IDT) "Електронні підписи та інфраструктури. Вимоги та політики безпеки для додатків формування та перевірки підписів", затверджений наказом державного підприємства "Український науково-дослідний і навчальний центр проблем стандартизації, сертифікації та якості" від 23.09.2016 р. № 279.
Відповідно до пункту 8.2.6 зазначеного стандарту застосунок для перевірки підпису надає: основний результат перевірки (дійсний, недійсний, невизначений), час перевірки та, якщо вимагається, звіт про перевірку. Застосунок для перевірки підпису повинен надавати додаткову інформацію про елементи перевірки підпису, які є підтвердженими або не підтвердженими, та додаткову інформацію, що стосується перевірки підпису (сертифікати, інформація про відкликання та позначки часу).
Якщо при перевірці електронного цифрового підпису на сайті ЦЗО з'являється інформація, що тип носія - незахищений, тип підпису - удосконалений, чи може такий підпис вважатися кваліфікованим?
Якщо за результатом перевірки електронного підпису засіб кваліфікованого електронного підпису чи печатки надає інформацію, що тип підпису "удосконалений", то такий електронний підпис не може вважатися кваліфікованим.
Крім того, на офіційному вебсайті Державної служби спеціального зв'язку та захисту інформації України розміщено Перелік засобів технічного захисту інформації, які мають експертний висновок про відповідність до вимог технічного захисту інформації, за посиланням.
Джерело: лист Міністерства цифрової трансформації України від 16.02.2021 р. № 1/06-3-1587
Ефективне управління бізнесом можливе з LIGA360:ПІДПРИЄМЕЦЬ - унікальним комплексом інформаційно-аналітичних продуктів від ЛІГА:ЗАКОН, який допоможе бути в курсі всіх законодавчих змін та забезпечить надійне партнерство. Дізнайтеся більше про рішення LIGA360:ПІДПРИЄМЕЦЬ.
Підписуйтеся на наш канал у Telegram і сторінку в Facebook, щоб завжди бути в курсі бухгалтерських подій.