Для каких документов можно использовать электронную подпись и безопасно ли это? Почему в компании сотрудникам нужны отдельные ЭП? Рассказывает руководитель Удостоверяющего центра «Контура» Сергей Казаков
«Контур» — экосистема продуктов для бизнеса. Ключевые направления деяельности: интернет-отчетность и онлайн-бухгалтерия, сервисы для ЭДО и работы с маркировкой, облачный товароучет и онлайн-кассы, проверка контрагентов и электронные подписи
1. Что такое электронная подпись и как ее получить?
Электронная подпись — цифровой аналог собственноручной подписи. Он нужен, чтобы совершать сделки и подтверждать подлинность документов онлайн. ЭП состоит из двух элементов: закрытого ключа, с помощью которого ее владелец подписывает бумаги, и сертификата, подтверждающего принадлежность подписи конкретному человеку.
Юридические лица и индивидуальные предприниматели используют квалифицированную электронную подпись — ее сертификаты выдают сотрудникам компаний за один день в аккредитованном удостоверяющем центре за 2000–6000 рублей либо бесплатно в налоговой, если вы руководитель организации или ИП. Список удостоверяющих центров есть на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ.
Для оформления квалифицированной электронной подписи понадобятся паспорт, номера СНИЛС и ИНН. Сотруднику компании нужна доверенность, которая подтверждает право выступать от имени организации.
Чтобы получить сертификат подписи впервые, подать документы нужно лично. Если у вас уже есть ЭП и ее действие заканчивается, оформить новую можно удаленно через сайт удостоверяющего центра или налоговой.
2. Какие документы можно подписать с помощью ЭП?
Согласно Федеральному закону №63-ФЗ, квалифицированной цифровой подписью можно подписывать любые документы, для которых существует электронная форма, то есть почти все. На практике бизнес использует ее для нескольких сфер:
• Отчетность в ФНС, ПФР, Росстат, ФСС и другие контролирующие органы.
• Электронный документооборот между бизнесами в b2b-области — счета-фактуры, акты, договоры.
• Электронная коммерция — например, участие в государственных закупках сейчас проходит только в цифровом виде; b2b-закупки тоже быстрее и удобнее совершать в таком формате.
• Внутрикорпоративный документооборот — кадровые документы, приказы, распоряжения.
3. Где хранить электронную подпись и какой способ самый безопасный?
Закрытый ключ электронной подписи нужно хранить так, чтобы его не могли использовать посторонние. Потому что с ним злоумышленник может подписать любой документ, и доказать, что это сделали не вы, будет сложно.
Наиболее безопасный способ хранения ключа — токен. Это защищенный паролем носитель, похожий на флешку. Если носитель похитят, получить доступ к ключу подписи все равно не получится.
Внешне токен выглядит как флешка, но защищает подпись намного лучше. (Фото: kontur.ru)
В будущем электронную подпись возможно будет хранить в защищенном интернет-облаке — так владелец сможет получить доступ к ЭП с компьютера, смартфона, планшета и любого другого устройства.
Сейчас в России разрабатывают правила, по которым должна работать облачная подпись. Когда они будут утверждены государством, ЭП позволит вести дела более мобильно. Например, сейчас, если руководитель оставил свой токен в офисе и уехал в командировку, он не сможет ничего подписать — придется возвращаться. А облачная подпись будет доступна с телефона, который точно не забудешь.
4. Почему директору и всем сотрудникам компании нельзя пользоваться одной подписью?
Иметь отдельные подписи для руководителя и каждого сотрудника безопаснее. Иначе можно столкнуться с серьезными проблемами: например, бухгалтер, который использует ключ директора для сдачи отчетности, подпишет от имени организации кредитный договор в банке и выведет средства, а директор узнает об этом, только когда придет время первого платежа. Пока в компании выясняют, кто взял кредит, банк предъявляет законные требования по возврату. Если бухгалтер будет пользоваться своей подписью по доверенности на сдачу отчетности от организации и не будет иметь полномочий на подписание кредитных договоров, такой ситуации не произойдет.
Каким сотрудникам нужна отдельная подпись:
• Бухгалтеру, чтобы сдавать отчетность. Если ее ведет несколько специалистов, каждому лучше использовать свою подпись: например, один занимается НДС, другой — общей отчетностью, третий — фондами.
• Менеджерам по закупкам и отгрузкам.
• Тендерным специалистам, которые готовят документы к подаче на конкурс и торгуются. Если этими задачами занимаются разные люди, каждому нужна своя подпись.
• Кадровым специалистам, чтобы подписывать локальные нормативные акты, приказы, распоряжения.
5. Может ли один человек иметь несколько подписей?
Чтобы руководитель компании не выпустил несколько сертификатов подписей и не отдал токены сотрудникам, государство с 2022 года ограничивает количество ЭП у директора. Глава организации может получить единственный сертификат, который нельзя скопировать. При выпуске нового сертификата подписи старый перестает действовать.
На сотрудников и их сертификаты электронной подписи такие ограничения не распространяются — они могут получить несколько сертификатов для разных задач или устройств.
6. Как компании быстро выпустить электронные подписи для всех сотрудников?
Есть два способа:
1. Каждый сотрудник сам обращается в удостоверяющий центр или налоговую, предоставляет доверенность от компании и получает сертификат.
2. Если у компании большой штат, она заключает партнерский договор с удостоверяющим центром. Тогда сотрудники приходят за сертификатом не в центр, а в свою организацию к ответственному лицу. Этим способом пользуются компании, которые массово переходят на электронный документооборот.
7. Если сотрудник получил электронную подпись в одной компании, сможет ли он использовать ее на другом месте работы?
Обычно в компании используют сертификаты, в которых указаны ее реквизиты и данные сотрудника. При смене должности или увольнении организация сообщает об этом в удостоверяющий центр, и такая подпись перестает действовать.
В 2023 году начнут действовать поправки, внесенные в Федеральный закон №63-ФЗ «Об электронной подписи». Сотрудники должны будут использовать сертификат физического лица — в нем указаны только личные сведения без места работы. Это удобно, потому что полномочия, должности и компании меняются, а физическое лицо остается тем же. Но тогда только сертификата недостаточно. Чтобы налоговая узнала, что вы представляете конкретную организацию и действуете от ее имени, понадобится электронная доверенность от руководства компании.
8. Можно ли посмотреть все документы, подписанные определенной ЭП?
Общей базы не существует, так как при подписании нет обязанности где-то регистрировать документ. Часто организации контролируют этот процесс — например, приглашают сотрудников в общую информационную систему электронного документооборота, через которую отслеживают все действия.
Но ничто не мешает сотруднику, как уже упоминалось выше, например, взять токен директора, подписать кредитный договор и отправить его по электронной почте в банк. Директор может никогда об этом не узнать. Согласно статье 10 Федерального закона «Об электронной подписи», владелец обязан следить, чтобы ЭП не использовали без его согласия. Но наказание для того, кто применил чужую подпись, не прописано.
9. Можно ли использовать российскую подпись для сделок с иностранными компаниями?
Если в России иностранная компания действует по российским законам, можно заключить соглашение, по которому подпись будет действительна. Когда во время сделки одна сторона в России, а другая за рубежом, нужны более сложные правовые конструкции.
Наше законодательство об электронной подписи содержит общие принципы с европейским, американским, китайским, но признание сертификата от другого государства — предмет межправительственных соглашений. Например, если Россия и Китай договорятся о том, что они признают между собой определенные электронные подписи, в РФ можно будет проверять и признавать документы, подписанные на территории КНР.
Пока соглашений о трансграничном ЭДО нет, но ведется активная работа по их созданию в рамках Евразийского экономического союза — с Беларусью, Азербайджаном и Киргизией: действует правовая база, но пока не на уровне правительства, а на уровне Евразийской экономической комиссии.