Clever Geek Handbook

Terceiro de confiança: como sua assinatura eletrônica muda quando chega





Nos últimos 10 anos, as questões de armazenamento conveniente e de longo prazo (ou mesmo "arquivamento") de documentos com assinatura eletrônica (ES) e sua troca com confiança mútua não foram fundamentalmente resolvidas. Sim, existem versões especiais “arquivadas” de formatos ES estendidos (CAdES-A e XAdES-A), que contêm vários carimbos de data / hora, listas de certificados revogados e cadeias de autoridades de certificação (CA) no momento da geração do ES. Existem opções de soluções com "reassinatura" de documentos com assinatura eletrônica ou criação de um ambiente confiável para seu armazenamento. No entanto, tudo isso não adiciona "usabilidade". Também surgiram novos problemas: a falta de uma política unificada para a utilização de certificados qualificados em sistemas de informação comercial (especialmente em pregões), razão pela qual OIDs altamente especializados começaram a ser adicionados aos certificados;falta de registro unificado de certificados emitidos com aumento significativo do seu número; um grande número de ACs e seu volume de negócios; tentativa de fraude com declaração de imposto de renda e imobiliária com uso de certificados qualificados junto à ES, obtidos de forma fraudulenta.



As alterações à Lei Federal "Sobre Assinaturas Eletrônicas" adotadas em 27 de dezembro de 2019 visam finalmente eliminar a maioria desses problemas, legalizar a assinatura eletrônica baseada em nuvem e, de fato, reestruturar o mercado de centros de certificação. A lei também apresenta uma nova instituição - um terceiro de confiança (TTP). Os regulamentos da TPA devem entrar em vigor em 1º de janeiro de 2021. Apesar disso, quase tudo relacionado à TPA ainda aguarda esclarecimentos e regulamentação dos reguladores. Tentarei descrever em detalhes o que nos espera.





Que problemas não óbvios de “curto prazo” das assinaturas eletrônicas convencionais existem hoje?



Eu trabalho no departamento de integração de aplicativos. Acontece que não precisávamos implementar assinatura eletrônica "padrão" para o fluxo de documentos "pronto para uso" ou implementar aplicativos cliente prontos para trabalhar com assinatura eletrônica. Quase sempre, as tarefas de implementação resumiam-se à incorporação de assinaturas eletrônicas (incluindo vários tipos de automação para atender ao ciclo de vida de certificados, chaves e suas operadoras) em fluxos de trabalho ou sistemas de informação existentes e nem em caixas, incluindo aqueles com armazenamento de longo prazo de documentos. Nos primeiros estágios de design, o processo de formação de uma assinatura eletrônica geralmente não causava grandes dificuldades para ninguém. Parece, bem, o que há? Gere um hash em um documento e assine-o com uma chave privada usando formatos básicos de assinatura eletrônica, por exemplo, CAdES-BES ou XAdES-BES.Mas a necessidade de armazenamento adicional de médio e longo prazo de documentos com assinatura eletrônica, verificação de assinatura eletrônica no fluxo de documentos (inclusive automatizada) sempre influenciou a arquitetura da solução. Os formatos de assinatura eletrônica tornaram-se mais complicados, começando com CAdES-T e XAdES-T (com timestamps) e terminando com suas versões “A” estendidas e especiais (arquivamento). E então tudo em círculo voltou ao processo de formação da assinatura eletrônica de forma a fornecer o contexto necessário para o formato escolhido.para fornecer o contexto necessário para o formato escolhido para ele.para fornecer o contexto necessário para o formato escolhido para ele.



Então, como verificar a assinatura eletrônica do documento, pelo menos daqui a 10-15 anos? (Omitiremos tal detalhe que, muito provavelmente, depois de tantos anos, não haverá ferramentas de proteção de informações criptográficas certificadas (CIPF) que suportem os algoritmos criptográficos e formatos exigidos, e os visualizadores de documentos eletrônicos necessários não funcionarão no sistema operacional atual.)



Vamos voltar para a lei EP (datado de 06.04.2011 No. 63-FZ). Quais são as condições para o reconhecimento (verificação) de uma assinatura eletrónica qualificada contidas no artigo 11 "Reconhecimento de uma assinatura eletrónica qualificada" (darei apenas o n.º 2 do artigo, porque é ele quem afecta a tempo a verificação dos documentos com assinatura eletrónica ):

[…] :



2) ( ) , .



As informações importantes (especialmente no contexto de armazenamento de longo prazo de documentos) estão entre colchetes aqui. Um certificado qualificado não deve ser válido apenas no momento da assinatura de um documento eletrônico, mas o próprio momento da assinatura de um documento eletrônico deve ser registrado, e "autenticamente" - e este é um pré-requisito.



O legislador não sugeriu ou mesmo deu dicas de meios para confirmar a veracidade das informações sobre o momento da assinatura do documento eletrônico... No entanto, isso é normal. Os requisitos do processo devem ser divulgados pelos reguladores responsáveis. E 9 anos depois, após as emendas à lei sobre assinatura eletrônica terem saído no final de 2019, o Ministério de Assuntos Digitais da Rússia e o FSB da Rússia (em termos de trabalho com carimbo de data / hora, mas mais sobre isso depois), finalmente, desenvolveram projetos de ordens. Enquanto isso, o ônus de provar a autenticidade do momento da assinatura ainda recai sobre os ombros dos desenvolvedores do CIPF e dos proprietários dos sistemas de informação. Por exemplo, contando com especificações e padrões internacionais abertos, eles são forçados a escolher os próprios formatos de assinatura eletrônica, incluindo aqueles com carimbo de data / hora, e esperar, a prática do tribunal confirmará ou corrigirá sua abordagem.



Quais soluções geralmente são usadas para contornar a natureza de “curto prazo” do SE básico?



Um único padrão para o formato ES com um carimbo de data / hora no processo de desenvolvimento. O mais óbvio, do ponto de vista do armazenamento de médio prazo (5-10 anos) e longo prazo de documentos com assinatura eletrônica, é a implementação de assinatura eletrônica qualificada em um dos formatos estendidos (a critério do proprietário do IP) pelo menos:



  • com carimbo de data / hora embutido para determinar com segurança o momento da assinatura de um documento eletrônico por um período de até 15 anos (período de validade máximo teórico do certificado da chave de verificação ES "serviço de carimbo de data / hora");
  • com informações sobre o fato de verificação de certificado na forma de uma resposta anexada do serviço OCSP (serviço de verificação de status de certificado online) ou uma lista de revogação de certificado anexada (fornecendo confirmação da validade de um certificado qualificado no momento da assinatura), apoiada por um carimbo de data / hora.


Soluções menos óbvias e menos comuns que fornecem verificação da assinatura eletrônica de um documento em N anos incluem a criação de ambientes de armazenamento confiáveis. Em tal ambiente, um documento com ES é mais frequentemente colocado durante a validade de um certificado ES qualificado emitido para o usuário (por exemplo, imediatamente após a assinatura) com um conjunto máximo de metadados. Quando um documento com assinatura eletrônica é colocado em um ambiente confiável, a assinatura eletrônica é verificada, o status do certificado e relatórios estendidos sobre os fatos das verificações são gerados. A integridade do documento e de todos os metadados associados é então garantida pelo ambiente confiável. Tais soluções incluem, por exemplo, registros internos / da indústria de grandes organizações, em que o conjunto máximo possível de metadados para um documento com ES é registrado (pelo menos, atributos do documento e seu hash, ES, identificador de certificado e o próprio certificado ES,o fato da verificação do certificado com carimbo de data / hora, carimbo de tempo separado na assinatura eletrônica). Se desejar, tudo isso pode ser assinado de cima com a assinatura técnica do "arquivista". Em geral, isso é adequado para as necessidades internas de grandes empresas e organizações onde os documentos com ES não são alienados do sistema ou o próprio ES foi inicialmente implementado sem um carimbo de data / hora.



Ambientes de armazenamento de documentos confiáveis ​​e volumosos ajudam a evitar alguns problemas potenciais com o comprometimento da assinatura eletrônica, uma vez que o documento assinado é salvo com todo o conjunto de metadados. Mas ainda não contribuem para a implantação de fluxo eletrônico de documentos com assinatura eletrônica entre organizações. E mais uma vez, infelizmente, não anulam a necessidade de comprovar a veracidade das informações sobre o momento da assinatura do documento.



Como a introdução de um terceiro confiável fará a diferença?



Chegamos à coisa mais importante. Em adições ao 63-FZ "On Electronic Signatures" datado de 27 de dezembro de 2019, juntamente com uma série de alterações, incluindo o reconhecimento legal da assinatura eletrônica baseada na nuvem, a instituição de um terceiro confiável aparece (Artigo 18.1). Trata-se de um novo tipo de organização, que visa garantir a confiança na troca de documentos eletrônicos com assinatura eletrônica.



A lei define a lista de serviços que os TTPs fornecerão aos participantes da interação eletrônica:



  • confirmar a validade das assinaturas eletrónicas utilizadas na assinatura de um documento eletrónico, incluindo a constatação de que os respetivos certificados são válidos em determinado momento, elaborados e emitidos por centros de certificação acreditados, cujo credenciamento é válido no dia da emissão desses certificados;
  • verificar a conformidade de todos os certificados qualificados utilizados na assinatura de um documento eletrónico com os requisitos estabelecidos por esta Lei Federal e demais atos normativos adotados em conformidade com a mesma;
  • na verificação dos poderes dos participantes na interação eletrônica;
  • na criação e assinatura de recibo com assinatura eletrónica qualificada de terceiro de confiança com o resultado da verificação de assinatura eletrónica qualificada em documento eletrónico com informação fiável sobre o momento da sua assinatura;
  • armazenamento de dados, incluindo documentação de operações realizadas por terceiros de confiança.


Em outras palavras, uma organização credenciada aparece (e não apenas um conjunto de serviços em uma CA credenciada), fornecendo o conjunto necessário de serviços:



  • verificação da validade da assinatura eletrônica e dos certificados em um determinado momento;
  • verificação dos poderes dos titulares de certificados ES;
  • emissão de recibos com os resultados de verificação de assinatura eletrónica qualificada;
  • manter o registro real das operações realizadas (verificadas).


Na verdade, são todas essas tarefas e as correspondentes soluções "acreditadas" para a verificação atempada de assinaturas eletrónicas, que se destinam a garantir a circulação externa de documentos eletrónicos fiáveis ​​com assinaturas eletrónicas e, pelo menos, o armazenamento de documentos a médio prazo.



O que há de errado com o carimbo de data / hora e quando deve funcionar?



Deixe-me enfatizar que, em primeiro lugar, estou interessado na consolidação legal do uso de um carimbo de data / hora e a unificação do formato ES com um carimbo de data / hora, e não os próprios formatos ES estendidos (com base em diferentes padrões internacionais), nos quais o carimbo de data / hora tem sido usado há muito tempo.



Infelizmente, o legislador (até dezembro de 2019) e os reguladores (até setembro de 2020) não divulgaram a funcionalidade do "timestamp". Daí surgiram vários formatos de assinatura eletrônica incompatíveis. Pareciam fortalecidos e qualificados e realizados em meios certificados, mas a troca de documentos com tais assinaturas eletrônicas com confiança automática entre os diferentes sistemas de informação contornando o sistema de interação eletrônica interdepartamental (SMEV) era impossível. O SMEV, obviamente, utiliza o timestamp emitido pelo serviço interno para assinatura eletrónica no formato XAdES-T, mas resolve problemas de transporte na transferência de documentos.



Hoje, há mais clareza com um carimbo de data / hora, mas até agora ainda não foi consagrado em atos normativos.



"Registro de data e hora confiável" (é exatamente o que está declarado na lei sobre assinatura eletrônica, mas em todos os lugares que escrevo simplesmente "registro de data e hora") foi adicionado por alterações à lei sobre assinatura eletrônica datada de 27 de dezembro de 2019. É verdade que este termo é mencionado uma vez no art. 2 "Conceitos básicos usados ​​nesta Lei Federal" e não é usado em nenhum outro lugar. O regulamento de carimbo de data / hora entra em vigor em simultâneo com o regulamento de TPA (a partir de 01/01/2021), desde que estejam relacionados.



A lei define um "carimbo de data / hora" da seguinte forma:

“Informação fiável em formato electrónico sobre a data e hora de assinatura de um documento electrónico com assinatura electrónica, criado e verificado por um terceiro de confiança, centro de certificação ou operador de sistema de informação [...]”.


Assim, o carimbo de data / hora pode ser criado e verificado pelo TTP, CA e pelo operador IS, se recebido:

"[...] no momento da assinatura de um documento eletrônico com assinatura eletrônica na forma prescrita pelo órgão federal autorizado usando software e (ou) hardware que passou no procedimento de confirmação do cumprimento dos requisitos estabelecidos de acordo com esta Lei Federal."



Quase um ano depois (14 de setembro de 2020) após o aparecimento do carimbo de data / hora na lei sobre assinatura eletrônica, foi emitida a ordem do Ministério da Indústria Digital da Rússia nº 472 "Com a aprovação do Formato de Assinatura Eletrônica, obrigatório para implementação por todos os meios de assinatura eletrônica" . Ele finalmente:



  • unificou o formato ES,
  • introduziu um requisito para a presença da "hora de criação do ES" na composição do ES (sem uma indicação clara do carimbo de data / hora),
  • desde a possibilidade opcional de incluir uma lista de certificados revogados na assinatura eletrónica.


Mais distante. Além da ordem do Ministério de Segurança Digital da Rússia nº 472 (onde, como escrevi acima, não há uma definição de carimbo de data / hora, nem uma referência a ele, mas há um requisito para colocar o "tempo de criação do ES" no ES ), apareceram 2 projetos de atos jurídicos:



  • , « » 09.10.2020. « » ( ), « » ( ), ;
  • « ‎№ 1 2 ‎ 27 2011 . № 796 « ». , « » « » .


Obviamente, o TPA também precisa de um carimbo de data / hora ou um certificado ES, que ainda não expirou , para registrar um “determinado momento no tempo” . O carimbo de data / hora deve ser "confiável" e "correto" (o TTP deve entendê-lo). E, muito provavelmente, o algoritmo ideal para verificação de documentos eletrônicos com assinatura eletrônica, nos quais o timestamp é implementado, no TTP será o seguinte:



  1. Criação de um documento eletrônico com assinatura eletrônica, onde a assinatura eletrônica é implementada por meio e em um formato com suporte para um carimbo de data / hora (despacho do Ministério da Federação Russa nº 472).
  2. Obter um carimbo de data / hora no TTP ou em outro lugar (no CA ou do operador IS)
  3. Incorporação de um carimbo de data / hora (emitido por um serviço "credenciado" - operador TTP / CA / IS) em um documento com assinatura eletrônica.


E somente se todas essas etapas forem superadas, o TTP poderá "confirmar a validade da assinatura eletrônica" com todos os "pães e relatórios estendidos". O que se segue disso? Qualquer pessoa que deseja usar o TPA para verificar documentos com ES após a expiração do certificado ES deve ter:



  • Assinatura eletrônica em formato estendido (o mesmo despacho do Ministério da Indústria Digital da Rússia nº 472, no qual, repito mais uma vez, o carimbo do tempo não está definido);
  • ferramentas para trabalhar com assinaturas eletrônicas (ferramentas de proteção de informações criptográficas, software aplicativo) que suportam trabalhar com carimbos de data / hora (tecnicamente, pode ser um arquivo separado com outra assinatura eletrônica separada do serviço de carimbo de data / hora);
  • conformidade com o algoritmo de obtenção de carimbo de data / hora e incorporação em documento com assinatura eletrônica.


Formato de data e hora
, , rfc 3161 «Time-Stamp Protocol (TSP)» . , « ». :



  • ;
  • ­ ;
  • (), ;
  • -, -;
  • - , ;
  • , .


, , TimeStampToken :



image



, ( , ) rfc3161.





Os atos jurídicos regulatórios dos reguladores ainda não foram adotados, no entanto, o quebra-cabeça com o timestamp começa a convergir:



  • há requisitos para a assinatura eletrônica (despacho do Ministério da Federação Russa nº 472, que determina a necessidade de levar em consideração o momento da criação da assinatura eletrônica);
  • existem requisitos para o serviço e o formato do carimbo de data / hora (minuta de portaria do Ministério da Ciência Digital, ver acima);
  • existem requisitos para o CIPF, nos quais o carimbo de data / hora deve ser mantido (minuta de despacho FSB, ver acima);
  • existem requisitos para o CA e o TTP, que devem incluir um "serviço de registro de data e hora confiável" (o mesmo rascunho do pedido FSB, consulte acima).




Funcionalidade complexa de verificação de credenciais no TPA



Voltemos ao TPA e à funcionalidade de verificação do uso correto dos certificados e poderes ES. De acordo com as alterações à Lei de Assinatura Eletrônica de 27 de dezembro de 2019, o DTS atua, entre outras coisas, como um centro de "autorização" realizando:



  • verificar a conformidade de todos os certificados qualificados utilizados na assinatura do documento eletrônico com os requisitos dos atos normativos;
  • verificar as credenciais dos participantes na interação eletrônica.


Ao mesmo tempo, o primeiro parágrafo também deve incluir a verificação da exatidão da aplicação do Certificado de Assinatura Eletrônica Qualificada (CEP):



  • afiliação departamental ou organizacional da CA, cujo certificado CEP é usado em relações jurídicas eletrônicas específicas (relações jurídicas de pessoas jurídicas - CA do serviço tributário; relações jurídicas de organizações financeiras, de crédito - CA do Banco Central; relações jurídicas de pessoas que representam autoridades estaduais e autoridades locais - CA do Tesouro Federal; relações jurídicas indivíduos - ACs comerciais credenciados);
  • tipo de certificado de assinatura eletrónica qualificada (pessoa singular, pessoa colectiva, empresário individual) para a correcção da sua aplicação em determinada relação jurídica eletrónica.


Trataremos separadamente do segundo ponto - verificação de credenciais. Além da aplicação correta do tipo de certificado emitido para um indivíduo, pessoa jurídica ou empresário individual, um documento de autorização deve ser verificado aqui, que deve ser "assinado pelo CEP de um funcionário do órgão estadual ou governo local competente, autorizado de acordo com o procedimento estabelecido para a tomada de decisões apropriadas" . Os próprios poderes devem ser "determinados com base no classificador de poderes, que o órgão federal autorizado forma, atualiza"... De acordo com os artigos 17.2 e 17.3 da Lei ES, também é necessário verificar a presença e o conteúdo de uma procuração eletrônica, uma vez que é ela quem autoriza a parte em determinadas relações jurídicas. Assim, ao verificar a autoridade, o TPA também deve verificar:



  • um documento de autoridade emitido a um indivíduo;
  • uma procuração eletrônica emitida para um indivíduo (nos casos que requerem seu uso).


Claro, o sistema de aplicativo será capaz de realizar essas verificações. Ela entende o contexto das relações jurídicas eletrônicas, sabe quais poderes e procurações são permitidos com certificados CEP e com quais CAs você pode / deve trabalhar. Outra dúvida é como a TPA fará essas verificações, pois não possui informações sobre o contexto das relações jurídicas.



Por um lado, as operações de “autorização” ao usar certificados ES foram unificadas. Os OIDs especificados em certificados ES devem agora ser ignorados, e os esquemas de autorização baseados no princípio OID seu / de outra pessoa são proibidos a partir de 01/06/2020. Por outro lado, a delimitação de competências e as regras para a utilização de certificados ES transformaram-se em processos mais complexos que ainda precisam ser regulamentados até 01.01.2022.



Pontos brancos nas credenciais
« , » «» . , 2.3 :



« – , ».




, , , , ? ? , , 01.01.2022, .



. - , , «» .





: - ?



A "legalização" do armazenamento e uso remoto por meio do CA da assinatura digital baseada na nuvem a partir de 01.01.2021 deve lançar uma nova rodada de seu desenvolvimento. Isto aplica-se ao aumento do número de serviços implementados com base na assinatura eletrónica (especialmente nos nossos tempos modernos) e serviços convenientes para trabalhar com assinaturas eletrónicas para clientes móveis e clientes em locais de trabalho, que, por sua vez, necessitarão de serviços de atendimento externo para verificação de assinatura eletrónica (com base no TPA) ...



Muito provavelmente, na véspera de Ano Novo ou imediatamente após as férias, as ordens que mencionei serão adotadas. Em seguida, os desenvolvedores de ferramentas de proteção de informações criptográficas precisarão de mais 3-4 meses para ajustar o software cliente e as bibliotecas para o novo formato ES com um carimbo de data / hora e serviços de serviços confiáveis ​​de carimbo de data / hora. A propósito, os últimos já foram implementados e operados pelos principais desenvolvedores de ferramentas de proteção de informações criptográficas como serviços de carimbo de data / hora do TSP.



Além disso, levará mais algum tempo para desenvolver a funcionalidade TTP, que claramente não está vinculada a nenhum formato, mas é necessária de acordo com a lei de assinatura eletrônica:



  • criação de recibos com o resultado da verificação do CEP em documento eletrônico;
  • armazenamento de dados, incluindo documentação das operações realizadas pela TPA.


Levando em consideração todas as melhorias de software necessárias, bem como os procedimentos organizacionais para o credenciamento, acho que não vale a pena esperar que o primeiro TPA apareça antes do verão de 2021. Talvez o Serviço de Impostos Federal e o principal desenvolvedor do CIPF lançem algo mais cedo como uma versão de teste do TTP.



Os serviços TTP, obviamente, não serão gratuitos para todos, e todos os custos recairão direta ou indiretamente sobre os participantes da interação eletrônica.



O surgimento do TPA no mercado deve, em última instância, contribuir para o surgimento de serviços úteis (em primeiro lugar, na forma de uma API para incorporação) que podem fornecer:



  • confirmação da validade das assinaturas eletrônicas,
  • verificação dos poderes dos participantes da interação eletrônica;
  • formação de recibos alienados com o resultado da conferência de documentos eletrônicos no CEP;
  • formação de carimbos de hora que podem ser utilizados não só para documentos com assinatura eletrónica, mas também para correspondência eletrónica, para outros serviços que requeiram carimbo de hora.


Esses serviços podem ser integrados em sistemas de informação, por exemplo:



  • para armazenamento de documentos a médio prazo,
  • exportar / alienar documentos para usuários sem medo de que se tornem inverificáveis ​​em um ano,
  • para tomada de decisão automatizada com base nos resultados de verificações de assinatura eletrônica.


Os serviços também encontrarão aplicação em clientes móveis de vários sistemas de informação, incluindo aqueles para trabalhar com assinatura digital baseada em nuvem. A segunda opção está de acordo com a proposta recentemente anunciada de Maksut Shadayev, Ministro do Desenvolvimento Digital, Comunicações e Mídia de Massa da Rússia:



« , — . , ».




Isto foi dito no contexto do apoio do ministério à iniciativa de emissão de assinaturas eletrónicas gratuitas para os utilizadores do portal de serviços públicos.



Total: as mudanças anunciadas na lei sobre ES e a funcionalidade proposta do TPA são realmente interessantes, esperadas e certamente estarão em demanda. O carimbo de data / hora (que é introduzido em simultâneo com o TPA a partir de 01/01/2021) vai resolver "automaticamente" os problemas de armazenamento de documentos a médio prazo. O TPA e um formato unificado para assinatura eletrônica com carimbo de data e hora permitirão a circulação confiável de documentos com assinatura eletrônica com mais de 1 ano e verificação após alienação do sistema. Claro, muito depende da implementação, incluindo os regulamentos e ordens do Ministério da Indústria Digital da Rússia e ordens do FSB da Rússia, que idealmente deveriam levar a um denominador comum de soluções técnicas para todos os TPA.



Em vez de PS O futuro do mercado CA e TPA



E, finalmente, gostaria de escrever sobre um possível colapso do mercado da Califórnia.



A mesma lei alterou o período de credenciamento do CA de 5 para 3 anos. Um período semelhante - 3 anos - é determinado para o credenciamento da TPA. Ao mesmo tempo, os requisitos para o CA aumentaram significativamente. Agora você precisa de:



  • pelo menos 1 bilhão de rublos de fundos próprios (capital) ou 500 milhões de rublos de capital, mas ao mesmo tempo uma ou várias filiais ou escritórios de representação da CA devem ser colocados em pelo menos 3/4 das entidades constituintes da Rússia (um requisito semelhante para a TPA);
  • garantia financeira de responsabilidade por perdas causadas a terceiros no valor de pelo menos 100 milhões de rublos para a CA (agora é de 30 milhões de rublos). Para TPA, o tamanho ainda não foi determinado.


De acordo com especialistas, um aumento nos requisitos de capital mínimo levará a uma redução no número de ACs em mais de 10 vezes já em 2021 (de cerca de 450 para 20-40). Por analogia, não se espera o surgimento de um número significativo de TPA, que, muito provavelmente, serão criados em CAs chave (Banco Central, Serviço de Impostos, Tesouro) para atender às suas necessidades internas. Talvez eles apareçam na presença de várias CAs credenciadas comerciais "sobreviventes".



Os usuários ou desenvolvedores de pequenos sistemas de aplicativos (aqueles que gostariam de implementar um fluxo de trabalho com assinatura eletrônica baseada em nuvem), é claro, estão mais interessados ​​em trabalhar com TTPs independentes de centros de certificação, bem como interagir com todas ou a maioria das grandes CAs.



Acredito que seria interessante para o TC existente criar seu próprio TPA. Para eles, é na verdade uma central de processamento para a verificação do fluxo constante de documentos com assinatura eletrônica, executados em seus próprios produtos e soluções. Além disso, a lei claramente não proíbe a combinação de CA e TPA em uma pessoa jurídica. Mas, com essas exigências de capital, apenas os grandes bancos de tecnologia têm oportunidades reais de entrar no mercado desses serviços.



Escreva se tiver perguntas e não comentários - aqui está meu e-mail: SGontzov@croc.ru.


More articles:


All Articles