HG Wells explicou de forma muito simples o que é o telégrafo:Um artigo sobre como implementar o EDS no CRM e sobre as diferentes opções para resolver esse problema.
- Imagine um gato gigante, cujo rabo está em Londres e a cabeça em Liverpool. Se um gato pisar em seu rabo em Liverpool, ele miará em Londres.
- E o que é um telégrafo sem fio?
- É a mesma coisa, só que sem o gato.
Os co-autores do artigo são Denis Gurikov e Nikita Kalinin, agradeço a eles pelo material.
Pelo que?
Às vezes, os documentos precisam ser assinados e enviados, mas o gerente não está presente. É bem possível esquecer depois ou violar os termos. Os documentos se acumulam em montanhas inteiras. O gerente fica sentado e passa muito tempo assinando papéis.
E, em geral, “papel” no século 21 é um anacronismo não ecológico. Melhor sem eles. E você tem que assinar.
Qual é a essência de uma assinatura eletrônica? Como no “mundo offline”, quando uma pessoa concorda, ela assina. Apenas papel e assinatura não existem fisicamente.
Por que preciso de uma assinatura? Resumidamente - para autenticação de documentos (confirmação). Ou seja, para garantir que o signatário concordou com as disposições desta versão específica do documento.
Por que uma assinatura eletrônica em sistemas de CRM e portais de intranet?
Existem 2 cenários para usar uma assinatura digital no CRM:
- Para comunicação interna e confiança ao premir um botão. Muitas vezes, na interface de sistemas de CRM e portais de intranet, são coordenados documentos internos, bem como descontos, contratos e acordos de revenda.
- Para enviar respostas formais a clientes e agências governamentais.
Cenários diferentes, requisitos diferentes. No primeiro caso, eles assinam:
- Aplicativo de férias
- Pedidos de pagamentos de vários tipos
- Outras consultas (para eletrodomésticos, móveis, etc.)
- Contratos, acordos, notas fiscais para pagamento.
O segundo caso é mais sério - você não pode prescindir de uma assinatura eletrônica qualificada.
Técnica: O que é EDS e seus tipos
Existem três tipos de assinaturas eletrônicas:
- Assinatura Digital Eletrônica Simples (PEP)
- Enhanced Unqualified Digital Signature (NEP)
- Assinatura digital qualificada aprimorada (CEP)
Ao contrário de uma assinatura simples, uma assinatura aprimorada protege seu autor de modificações no documento depois que a assinatura é gerada.
Para gerar qualquer assinatura digital em um documento, você precisa de três coisas:
- O próprio documento
- Chave pública
- A chave secreta
Assinatura digital simples
Resumidamente sobre o trabalho da sonda:
- O sistema pega metadados do documento (data do documento, número do documento, título, senha do signatário, etc.) e faz o hash. A assinatura digital está pronta. A senha é armazenada e gerada pelo seu sistema.
- Envie o arquivo
- Nós temos
- Usando a senha, descriptografamos a assinatura. Comparamos os metadados recebidos e o login. Se tudo estiver correto - sucesso.
Um excelente exemplo é o uso de login e senha para entrar em sua rede social, por exemplo, Vkontakte. Para verificar sua identidade (assinar um documento), você precisa inserir seu nome de usuário e senha (metadados hash).
O sistema verifica a presença do usuário. Se houver uma no sistema, a verificação de senha será iniciada. Se a senha que você digitou coincidir com a do sistema - parabéns, você digitou sua página VK (compare os metadados após a descriptografia).
Das deficiências - a mesma doença. Se sua senha foi roubada de alguma forma, eles podem acessar a página e fazer o que quiserem nela. Alterar informações pessoais, foto, etc. O mesmo acontece com o documento.
Assinatura digital aprimorada
Uma assinatura digital aprimorada protege contra modificação de documentos. Ou seja, se, após a assinatura, forem feitas alterações no documento, a assinatura aprimorada se tornará automaticamente inválida.
Para gerar assinaturas, são usados certificados (como SSL, com base na mesma tecnologia). E o certificado tem um período de validade limitado.
Uma assinatura aprimorada pode ser desqualificada e qualificada. A diferença é quem emitiu o certificado. Se o certificado for emitido por um centro de certificação credenciado pelo Ministério das Telecomunicações e Comunicações de Massa, que possui um certificado FSB adicional, essa assinatura é chamada de qualificada.
Se um certificado autoassinado ou emitido por um CA não credenciado (Centro de Certificação) for usado, essa assinatura não será qualificada.
Como funciona a assinatura aprimorada
Considere um exemplo de um algoritmo de assinatura simples. O resultado deste algoritmo não depende do texto do documento. Se você alimentar esse texto com a entrada de uma função hash, obterá algo que parece uma assinatura reforçada. Ou seja, em decorrência de alterações no texto do documento, a assinatura antiga "não caberá" na nova versão do documento.
Na realidade, uma assinatura aprimorada é um hash de um documento, criptografado com a chave secreta do certificado.
Todos os participantes do fluxo de trabalho possuem a chave pública. É usado para verificar a autenticidade da assinatura. Privado - armazenado pelo usuário e usado para gerar uma assinatura.
Qual a aparência de uma assinatura aprimorada
Tecnicamente, uma assinatura é um arquivo separado (lembra, no caso de uma assinatura simples, era uma linha?). Ou seja, para transferir o documento assinado para a outra parte, é necessário transferir a fonte e o arquivo de assinatura. No entanto, alguns formatos de documento permitem que assinaturas digitais sejam incorporadas.
Por exemplo, PDF e quase todos os formatos do Microsoft Office suportam isso. E os próprios pacotes de software têm a função de criar e verificar essas assinaturas. Portanto, para usuários não qualificados tecnicamente, o processo de assinatura se parece com o de clicar em alguns botões do Word, Excel ou Adobe Reader.
Assinatura digital não qualificada (NEP)
Essa assinatura tem valor jurídico (do ponto de vista do tribunal) se as partes tiverem celebrado um acordo adequado. Esse acordo não pode ser concluído com o estado. estruturas.
Os usuários recebem um certificado com uma chave pública e privada na forma e da maneira que as partes confiam. Por exemplo, na forma de um arquivo enviado por e-mail.
Qualquer software em que as partes confiem pode ser usado para criar uma assinatura. Sejam utilitários OpenSSL, CryptoARM ou Microsoft Office integrado ou Adobe Reader.
Assinatura digital qualificada (CEP)
Essa assinatura tem valor legal e é reconhecida pelo estado. Por exemplo, você pode enviar documentos para a repartição de finanças. Não há necessidade de celebrar quaisquer acordos adicionais com os participantes do fluxo de trabalho - todos confiam em tais assinaturas "por padrão".
A chave secreta para tal assinatura é transferida para o usuário em uma mídia protegida certificada pelo FSB - um token USB ("unidade flash"), um cartão inteligente, etc.
Um software especial é usado para trabalhar com a mídia. Na maioria das vezes, esse software se integra ao sistema operacional para que o Microsoft Office, Adobe Reader e outros pacotes de software possam usar a mídia para criar assinaturas.
Ou seja, o processo de assinatura de documentos quase não é complicado para os usuários (basta lembrar de conectar uma unidade flash USB).
Usando essa assinatura, você pode interagir com sistemas governamentais, participar de leilões, trabalhar com clientes e parceiros.
Aprovação de documentos internos
Aplicativos de férias, memorandos, relatórios, viagens de negócios, etc. - Existem documentos em papel suficientes nas empresas. Normalmente, o procedimento para a emissão de tal documento se assemelha a uma missão. É necessário encontrar um formulário, preenchê-lo, entregá-lo pessoalmente ao aprovador, etc.
Se vocês estão todos no mesmo escritório, isso é questão de meia hora. E se a produção for em um lugar e o departamento de RH em outro? Tudo se arrasta por vários dias. A saída é a introdução de sistemas de gerenciamento de documentos. Temos até um módulo de gerenciamento de documentos separado.
Uma desvantagem é que os funcionários às vezes não levam os "documentos eletrônicos" a sério o suficiente. A introdução de uma assinatura eletrônica pode corrigir isso. É aqui que uma assinatura eletrônica não qualificada funciona bem.
De acordo com o caso de uso, duas possibilidades podem ser distinguidas:
- Assine o documento enviando-o em um formulário especial em uma página separada do CRM
- Aprovação automática de documentos durante o processo de negócios
Fluxo de documento externo
Para fluxo de documento externo, você precisa usar uma assinatura eletrônica qualificada. Assim, os documentos terão pleno valor jurídico. Você poderá trocá-los com clientes, parceiros e órgãos governamentais.
Do ponto de vista das interfaces, tudo parece um fluxo de trabalho interno - um formulário separado para aprovação ou confirmação automática como parte de um processo de negócios.
Um ponto importante - você precisa prestar mais atenção à segurança. Pois estamos falando de documentos que têm pleno valor jurídico. A segurança é fornecida por restrição de acesso, registro e notificações separadas.
Um exemplo simples de como usar uma assinatura no CRM é assinar um acordo em um negócio. Depois de assinado, você pode enviá-lo ao cliente. Não há necessidade de enviar documentos pelo correio, esperar vários dias, ou mesmo semanas (se o cliente estiver em outra cidade), e depois esperar o mesmo tempo para a devolução. O documento é aprovado por meio de assinatura eletrônica e é considerado juridicamente significativo.
A principal questão técnica permanece - como incluir um EDS na lógica do CRM ou portal interno?
Arquitetura da solução
Existem várias soluções para trabalhar com EDS. Vamos dar uma olhada neles.
Uma chave - muitas estações
Suponha que você precise assinar um documento e enviá-lo ao servidor. O servidor deve verificar o documento e enviar uma resposta na forma do mesmo documento assinado.
Deve haver verificação da autenticidade da assinatura. Suponha que você tenha apenas uma chave para assinar, mas há muitos funcionários e todos precisam assinar e enviar algo. E tudo isso deve acontecer diretamente no CRM.
Como funciona:
- Fazemos um servidor separado para EDS com uma chave conectada para EDS, que receberá solicitações XML
- , N . (TOTP). QR-, , . , USB-.
- , .
- , , XML- PDF- .
- PDF- CRM.
Nesse caso, temos a oportunidade de trabalhar em casa (se tivermos um smartphone, que até as avós agora têm). Não precisamos emitir nosso próprio EDS para cada funcionário, basta um.
Esta solução pressupõe que você confie totalmente nos funcionários que obtiveram acesso à interface. Até mesmo iniciantes podem começar a assinar documentos sem qualquer aprovação.
Esta é uma má decisão se a assinatura do documento tiver consequências legais. Isso só pode ser feito na integração com o Credit History Bureau ou outros serviços que fornecem respostas a solicitações assinadas por um EDS.
Número de chaves = número de estações
Suponha que cada funcionário que tem o direito de assinar documentos tenha uma chave para um EDS.
Como funciona:
- Estamos desenvolvendo um aplicativo para estações de trabalho que funcionará com um provedor de criptografia (o mais popular é cryptoPRO)
- Um funcionário forma e assina uma solicitação em sua estação de trabalho
- A solicitação é enviada ao servidor.
- A resposta recebida é convertida em um arquivo PDF ou qualquer outro
- O PDF é carregado no CRM
Nesse caso, aumentamos a segurança, porque apenas funcionários de confiança podem assinar documentos, e sabemos quem exatamente assinou uma solicitação específica.
Exemplo de aplicação em projeto real para CEDIS (Sistema Elétrico de Montenegro)
Desafio comercial: os funcionários devem assinar documentos e enviá-los aos clientes.
Quais recursos?
Um servidor, uma chave EDS, CRM.
O que deveria ser feito?
Adicione um documento PDF a uma transação, assine-o diretamente do cartão de transação usando um EDS. O documento assinado pode ser baixado e enviado ao cliente.
Como foi implementado
Um aplicativo especial foi desenvolvido, colocado em um servidor separado e envolvido na assinatura de documentos.
Foi criado um campo adicional no sistema, no qual o documento PDF foi carregado. Quando o documento foi carregado, o botão “Assinar” apareceu ao lado dele. Pressionar o botão abriu a interface do aplicativo.
Para assinar um documento, o usuário precisava inserir um código único que chegava até ele em seu smartphone e selecionar o certificado com o qual o documento estava assinado.
O documento é enviado ao servidor. Uma senha de uso único foi inserida e um certificado foi selecionado. O documento foi assinado e devolvido. Neste momento, o documento carregado na negociação é substituído por um documento assinado no servidor.
conclusões
A introdução de assinaturas de documentos em sistemas de CRM (e mesmo em qualquer lugar) é uma tarefa técnica interessante na interseção de desenvolvimento, segurança da informação e otimização de processos.
Esta tarefa pode ser resolvida pelo método descrito por nós. Opinião interessante sobre outras soluções para este problema.