Зачем нужна электронная подпись?
Электронная подпись (аутентификация) в it-проектах служит для удостоверения в том, что лицо, которое претендует на то, чтобы считаться определённым лицом, является таким лицом, т.е., что Иван Васильевич – это Иван Васильевич и есть. Таким образом, вопросы электронной подписи и аутентификации становятся одними из важнейших при создании IT-проектов или e-com, везде где вы заключаете сделки с вашими пользователями с помощью некоей электронной платформы.
Я бы с самого начала отметил, что в конечном счёте аутентификация и электронная подпись – это одно и то же. Конечно, аутентификацию можно определять шире, чем электронную подпись, как нечто, подтверждающее пользователя, без обязательной привязки к некоему физическому лицу, но в конечном счёте и электронную подпись можно определять так же. Просто электронная подпись – это правовой термин, а право имеет дело с лицами, а не виртуальными сущностями.
Аутентификация может требоваться при входе на ресурс, либо в личном кабинете. Либо она может использоваться на бэкэнде, являясь частью предоставляемого сервиса. К примеру, на нашем сервисе Смарт-индексация реализованы все три варианта использования: при входе и в личном кабинете используется ПЭП, а на бэке все документы в суд подписываются УКЭП адвоката.
В разных странах приняты отличные друг от друга регулирования вопроса электронных подписей и аутентификации. Давайте коснёмся их в двух словах:
Регулирование
Несмотря на то, что электронные подписи в России используются с 90-х, долгое время регулирование их использования представлялось неоднозначным. Это изменилось вместе с намерением государства ввести электронную систему закупок, именно это и послужило толчком для развития технологии и, их лучшей разработке и легализации.
В настоящий момент электронные подписи в РФ бывают следующих видов. Простая электронная подпись (ПЭП) (читайте о ней), усиленная неквалифицированная электронная подпись (НЭП), усиленная квалифицированная электронная подпись (УКЭП) (вот здесь о ней). Разница между ними в том, что ПЭП просто отсылает на некое лицо, НЭП имеет закрытый ключ, УКЭП имеет закрытый ключ и выдаётся аккредитованными УЦ.
Таким образом, УКЭП – это самый надёжный способ подтверждения того, что некое лицо действительно является таким лицом, на которое он претендует. Интересно, что изначально законодатель хотел максимально ограничить действие УКЭП и использовать в большей степени, а также сократить использование ПЭП при осуществлении юридически значимых действий, но УКЭП – это слишком громоздкая и дорогая технология, и в итоге ПЭП устоял и им нельзя подписать только определённые сделки (например, с недвижимостью).
Обратите внимание, что сейчас вводятся новые МЧД для организаций.
В Европейском Союзе также есть своё регулирование электронной подписи, в частности, есть Регламент ЕС № 910/2014 (eIDAS), который устанавливает определённые стандарты для электронных идентификационных средств и услуг. А в США подобные вопросы регулируются различными законами штатов, а также Федеральным законом об электронной подписи (ESIGN Act) и Универсальным коммерческим кодом (UCC).
В действительности, технологии достаточно похожи и теоретически их можно использовать в России или за рубежом при заключении соглашения об этом. У ЮНСИТРАЛ даже есть модельный закон. Вот здесь об использовании электронных подписей за рубежом.
Практические рекомендации
Во-первых, необходимо ответить на вопрос, какую роль выполняет электронная подпись в вашем проекте. Это далеко не праздный вопрос, потому что в большинстве ситуаций вам нужна самая простая электронная подпись, аутентификация с помощью электронной почты или номера телефона, к примеру.
Более того, по факту она и удобнее всего. Можно её усложнить, с помощью двухфакторной аутентификации (2FA) и т.д. В целом, использование банковской карты при оплате товаров или услуг на сайте уже является довольно сильным подтверждением действительности сделки, и вы, скорее всего, уже будете достаточно защищены от претензий покупателя о том, что он ничего в действительности не приобретал, а его дальнейшие действия по приёму исполнения (поставка, оказание услуг и т.д.) будут работать на вас. Потому что само предоставление информации о лице усиливает привязку пользователя к этому лицу и усиливает валидность ПЭП.
Но если вы храните его персональные данные, и особенно информацию о банковской карте, это может стать проблемой, ведь тогда ваша политика приватности должна быть особенно тщательно проработанной. Конечно, обязанность о защите ПД возникает даже в случае, если пользователь использует свои ФИО, почту или телефон, но чем более интимные вещи хранятся на сайте, тем сложнее вам. Скоро будет статья о персональных данных, не пропустите, там много интересного.
В этом смысле порой хорошо и приятно переложить проблему с больной головы на здоровую: как можно больше использовать сторонние решения, сторонние эквайеры, СБП и т.д.
Кроме того, необходимо отметить, что как правило УКЭП используют при взаимодействии с государственными органами и в неких формализованных процедурах: при заключении госзаказа, при подаче документов в суд, при взаимодействии с налоговой и т.д.
Во-вторых, важно следить за тем, какое право регулирует правоотношение. Если вы, к примеру, кипрская компания, которая использует местный сервер, и с вами пришёл заключать сделку англичанин, я не вижу никакой привязки к российскому праву, даже если владелец компании сам выходец из России и вы ориентированы на россиян. В любой юрисдикции есть свои нюансы, поэтому в договорах в таких международных проектах стараются максимально снизить непредсказуемость регулирования и найти некую определённость, для чего нужен грамотный юрист-международник (у нас такие есть).
В-третьих, главная проблема, с которой вы можете столкнуться, это то, что пользователь не обязательно является тем лицом, на которое он претендует (проблема оторванности электронной подписи от физического лица). Что делать в этом случае?
В России лучше всего использовать аутентификацию через Госуслуги (как можно не доверять Госуслугам?!), УКЭП и т.д. В ЕС QES, в США система сложнее, но там тоже есть достаточно ясные механизмы подтверждения. Как я и говорил выше, необходимо найти баланс между дороговизной, эффективностью и рисками безопасности. И поможет вам в этом ответ на первый вопрос: а для чего именно и в каких обстоятельствах вам нужна электронная аутентификация (электронная подпись).
