Как хранить электронные документы подписанные усиленной квалифицированной подписью
Обновлено: 01.07.2024
Оригиналы документов в электронном виде постепенно получают все большее распространение. Однако при всех очевидных преимуществах, в течение ближайших нескольких лет организация, использующая электронные оригиналы столкнется с проблемой архивного хранения подобных документов. Эксперты компании ЭОС накопили значительный опыт как в методологическом, так и технологическом обеспечении хранения документов с электронной подписью.
В чем суть проблемы?
Срок действия сертификата электронной подписи (ЭП), аналога собственноручной подписи для бумажного документа, составляет 1-3 года. В тоже время срок хранения многих видов документов, установленный законодательством, зачастую превышает 3 года. Например, срок хранения счетов-фактур составляет 4 года.
Теряет ли документ с недействительным сертификатом юридическую силу?
В случае с недействительным сертификатом электронной подписи, документ автоматически не теряет юридической силы, однако потребуются доказательства того что на момент подписания сертификат ЭП был действителен, и ЭП была верна.
Почему бы просто не увеличить срок действия сертификата?
Срок действия сертификата ЭП определяет удостоверяющий центр, выдавший сертификат. При использовании сертифицированных средств, условия применения средств электронной подписи обязательны к исполнению. В них определены сроки действия ключей, а, следовательно, и сертификатов. Как правило, ограничения срока действия ключей вызвано необходимостью обеспечения криптографической стойкости ключей.
Как можно обеспечить долговременное хранение документа с электронной подписью?
Вариант 1. Автоматическое переподписание
Закон «Об электронной подписи» 63-ФЗ предусматривает возможность автоматического создания и (или) автоматической проверки электронных подписей в информационной системе. Таким образом, предвидя окончание срока действия сертификата электронной подписи, система хранения может подписать хранимый документ новым сертификатом, подтверждающим, что на момент переподписания, сертификат ЭП был действителен. Таким образом, «срок действительности» электронного документа может быть продлен на три года, потом еще на три года и так далее до истечения сроков хранения. Проводя аналогию с бумажным документом, на документ ставится своего рода штамп «Подпись верна» с подписью ответственного лица. Затем, еще один штамп «Подпись верна», и так далее.
Вариант 2. Использование квитанций переподписания ( DVCS)
Таким образом, при обнаружении документа с «истекающим сроком годности» сертификата ЭП, мы может получить, используя сервис DVCS, квитанцию подтверждающую действительность документа на момент проверки. И обеспечить действительность электронной подписи на документе на срок действия квитанции. При завершении «срока годности» электронной подписи квитанции, мы можем запросить квитанцию, подтверждающую действительность электронной подписи квитанции. И, таким образом, обеспечить действительность документа еще трех лет. Аналогично, до тех пор пока будет сохраняться необходимость в хранении выбранного документа. DVC квитанции о результатах проверки электронной подписи позволяют делать выводы о действительности электронной подписи даже после истечения срока действия сертификата благодаря механизму пролонгации квитанций (выпуска квитанции на квитанцию).
Для бумажного документа процесс выглядел бы примерно так – к документу прикрепляется отдельный лист, с текстом «документ проверен, подпись верна», затем еще один «документ подтверждающий действительность документа проверен, подпись верна».
Какой из вариантов правильный?
Однозначного ответа на этот вопрос на сегодняшний день не существует. К преимуществу использования квитанций DVCS можно отнести большую скорость работы (не требуется вычисление хэш-функций при переподписание). И это довольно существенный аргумент при хранении большого объема документов. С другой стороны, вариант технологического переподписания используется уже достаточно давно. В любом случае, сохраняются определенные риски, связанные с возможностью различных трактовок соответствующих законодательных норм и пока еще сравнительно большим числом прецедентов предоставления электронных оригиналов в судах.
Как практически организовать хранение электронных оригиналов?
В ряде проектов на базе системы eDocLib и других наших продуктов реализован и используется механизм автоматического переподписания (вариант 1). Также, совместно с партнерами ЭОС реализуются проекты по применению сервисов DVCS.
Важно заметить, что применение и архивное хранение электронных оригиналов документов требует не только технологических решений но и подготовки соответствующей нормативной базы.
Системы eDocLib и «АРХИВНОЕ ДЕЛО» позволяют обеспечить технологическую реализацию долговременного хранения электронных оригиналов.
Эксперты компании ЭОС готовы предоставить более подробную информацию.
Начальник группы телемаркетинга
Закажите демонстрацию системы
Мы свяжемся с вами, проконсультируем по интересующим вопросам, подготовим персональную демонстрацию в удобное для вас время.
Переход на отечественную АИС МФЦ
Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ
Акция«Амнистия» по техподдержке
Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015
Рассказываем о правилах хранения документов в электронной форме и особенностях хранения счетов-фактур для организаций и индивидуальных предпринимателей.
Общие принципы
Ключевые правила организации хранения документов, образующихся в деятельности организации или ИП, не зависят от способа изготовления этих документов – на бумажном носителе или в электронном виде. Они заложены в ст. 17 Федерального закона от 22.10.2004 № 125-ФЗ (ред. от 11.06.2021) «Об архивном деле в Российской Федерации»: следует обеспечивать сохранность документов, в том числе документов по личному составу, в течение сроков их хранения, установленных федеральными законами, иными нормативными правовыми актами Российской Федерации, а также перечнем документов, предусмотренным Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».
Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (п. 1 ст. 29) добавляет: первичные учетные документы, регистры бухгалтерского учета, бухгалтерская (финансовая) отчетность, аудиторские заключения о ней (в том числе, в электронном виде) подлежат хранению экономическим субъектом минимум 5 лет.
Срок хранения нужно отсчитывать с 1 января года, следующего за годом, в котором документы были закончены делопроизводством (п. 2 ст. 21.1 Федерального закона № 125-ФЗ).
Организация хранения электронных документов
В архиве организации (ИП) электронные документы нужно хранить по правилам, определенным Приказом Минкультуры России от 31.03.2015 № 526 (далее - Правила):
— Передача электронных документов в архив организации производится на основании описей электронных дел, документов структурных подразделений по информационно-телекоммуникационной сети (при наличии в архиве организации информационной системы) или на физически обособленных материальных носителях, которые представляются в двух идентичных экземплярах (п. 4.34 Правил).
— В течение срока хранения в наличии нужно иметь не менее двух экземпляров каждой единицы хранения электронных документов (основной и рабочий экземпляры должны находиться на разных физических устройствах) (п. 2.30 Правил).
— Не реже одного раза в 5 лет нужно производить технический контроль физического состояния носителей электронных документов и воспроизводимости электронных документов. Если обнаружена порча носителя, документы следует перезаписать на другой носитель, при необходимости перевести в новые форматы, с которыми к тому времени стало удобнее работать организации. При осуществлении перезаписи должна быть обеспечена аутентичность, полнота, достоверность, целостность и неизменность информации, содержащейся в электронных документах. Текстовые электронные документы, подвергшиеся перезаписи, рекомендуется хранить в формате PDF/A (п. 2.32, п. 2.40 Правил).
— Условия хранения электронных документов должны исключать их утрату, несанкционированную рассылку, уничтожение или искажение информации в течение всего срока хранения (п. 2.30 Правил).
— Электронные документы выдаются по требованию заинтересованных лиц в виде электронных копий или копий на бумажном носителе. При необходимости заверения копий электронных документов используется электронная подпись руководителя организации или уполномоченного им должностного лица или производится заверение копии документа на бумажном носителе в установленном порядке (п. 2.47 Правил).
— Электронные дела с истекшими сроками хранения подлежат выделению к уничтожению на общих основаниях, после чего проводится их физическое уничтожение или уничтожение программно-техническими средствами с соответствующей отметкой в акте о выделении к уничтожению документов (п. 4.13 Правил).
Сертификаты ключа проверки электронной подписи
5 лет после исключения из реестра сертификатов ключей проверки электронных подписей
Договоры, соглашения с Удостоверяющим центром о создании сертификата ключа проверки электронной подписи
5 лет после прекращения действия сертификата ключа проверки электронной подписи
Документы (заявления, запросы, уведомления, переписка) об изготовлении сертификата ключа проверки электронной подписи, о приостановлении, возобновлении и аннулировании действия сертификата ключа проверки электронной подписи
Списки уполномоченных лиц - владельцев сертификатов ключа проверки электронной подписи
В силу Методических рекомендаций по применению Правил организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов в государственных органах, органах местного самоуправления и организациях ответственность за сохранность электронных архивных документов несет:
— при их хранении в архиве организации – руководитель архива (лицо, ответственное за архив). Если такое лицо не определено, то его функции выполняет руководитель организации;
— при их хранении в архивной части информационной системы организации – руководитель подразделения IT-технологий.
Особенности хранения электронных счетов-фактур
Налогоплательщики и налоговые агенты обязаны хранить счета-фактуры в течение пяти лет (пп. 8 п. 1 ст. 23, пп. 5 п. 3 ст. 24 НК РФ, п. 10 Порядка выставления и получения счетов-фактур в электронной форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи, утв. Приказом Минфина России от 05.02.2021 № 14н, п. 317 Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения, утв. Приказом Росархива от 20.12.2019 № 236).
Течение указанного срока начинается после налогового периода, в котором документ использовался в последний раз для исчисления налоговой базы, вычета НДС (Письма Минфина России от 19.07.2017 № 03-07-11/45829, от 30.03.2012 № 03-11-11/104).
Хранение счетов-фактур (в том числе корректировочных, исправленных, а также подтверждений оператора электронного документооборота, извещений покупателей о получении счета-фактуры), выставленных в установленном порядке в электронной форме, обеспечивается налогоплательщиком в электронном виде самостоятельно без распечатки их на бумажном носителе (п. 10 правил заполнения счета-фактуры, утв. Постановлением Правительства РФ от 26.12.2011 № 1137, Письмо ФНС России от 19.07.2017 № СД-4-3/14079@)
Храните подлинники!
Многие компании в своем стремлении перейти не только на электронный документооборот, но и оцифровать архив организации, забывают, что необходимо хранить подлинники документов, а не их копии.
Так, ФНС России не раз подчеркивала, что замена подлинника документа его электронным скан-образом (копией) не предусмотрена действующим законодательством и не соответствует понятию оригинала документа. В случае оформления документа на бумажном носителе с собственноручными подписями лиц, ответственных за оформление операции, такой экземпляр и является подлинником. Электронный скан-образ, даже будучи подписанным усиленными квалифицированными электронными подписями ответственных лиц всех сторон, подписавших оригинал, останется лишь копией (Письма ФНС России от 28.04.2020 № ЕА-4-15/7166@, от 17.05.2016 № АС-4-15/8657@).
— подлинник документа – первый или единственный экземпляр документа;
— дубликат документа – повторный экземпляр подлинника документа;
— копия документа – экземпляр документа, полностью воспроизводящий информацию подлинника документа.
В новом ФСБУ 27/2021 «Документы и документооборот в бухучете» (п. 23 - 25) определено, что экономический субъект должен хранить подлинники документов бухгалтерского учета, составленных на бумажном носителе и (или) в виде электронного документа, за исключением случаев, установленных законодательством Российской Федерации. Документы бухгалтерского учета должны храниться в том виде, в котором они были составлены. Перевод документов бухгалтерского учета, составленных на бумажном носителе, в электронный вид с целью последующего хранения не допускается.
Совсем недавно Правительством РФ внесен в Госдуму законопроект № 1173189-7 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты (в части использования и хранения электронных документов). Если он со временем станет законом, это расширит возможности для маневрирования в сфере организации хранения документов. Могут быть на законодательном уровне разрешены конвертация электронных документов (преобразование исходного электронного документа посредством изменения его формата с сохранением структуры и содержания), а также создание и хранение электронных и материальных дубликатов документов. Это позволит хранить исходный документ один год, а весь оставшийся срок хранения – преобразованный документ равнозначный подлиннику. Безусловно, речь не идет о банальном копировании. Например, электронный дубликат бумажного документа согласно законопроекту будут получать так:
1. Создает его обладатель исходного документа (в отношении документа, подписанного им единолично) либо обладатели исходного документа совместно (в отношении документа, подписанного ими совместно).
2. В дубликате будут в неизменном виде сохранены содержание и форма (визуальное представление) исходного документа.
3. Дубликат подписывается УКЭП лица (лиц), создающего (создающих) его.
4. Сам дубликат и УКЭП, которой он подписан, должны позволять определить дату и время его создания, он должен содержать метку доверенного времени.
Как видим, над созданием дубликатов придется потрудиться. Если закон примут, преобразование документов для целей хранения будет добровольным. В любом случае, мы будем следить за рассмотрением данного законопроекта.
Переходя на электронный документооборот с контрагентами, организации нужно подумать о том, как в дальнейшем вести архив. На каких носителях хранить документы в электронном виде и как подтвердить их юридическую значимость?
В каком формате и на каких носителях хранить документы
В чем проблема?
Различные бухгалтерские, хозяйственные и кадровые документы организации должны хранить от несколько лет до нескольких десятилетий. Например, бухгалтерские первичные документы придется хранить пять лет после года, в котором их в последний раз использовали для бухгалтерской отчетности.
Электронный документ должен быть доступен для чтения и через несколько лет после создания. Проблема в том, что компьютерная техника и программное обеспечение устаревают, а у редакторов и ридеров появляются новые версии.
Велика вероятность, что документ, который создан несколько лет назад, невозможно будет прочитать из-за отсутствия нужного устройства или программы. Например, сегодня сложно прочитать информацию с 3,5 дюймовой дискеты, хотя 10 лет назад это был распространенный носитель информации.
Хранить документ нужно в формате, в котором он был создан. Если поменять формат, электронная подпись не будет соответствовать документу. Соответственно, доказать его подлинность будет уже невозможно.
Как решить?
Решить эту проблему поможет периодическая перезапись информации с устаревших носителей на более современные. Что касается программного обеспечения, все крупные разработчики при разработке новых версий своих продуктов поддерживают форматы предыдущих версий.
Если обмен велся через сервис оператора ЭДО, то документы будут доступны в любой момент. Крупные операторы бессрочно хранят документы в «облаке» и позволяют просматривать их, выгружать и получать данные о сертификате электронной подписи (ЭЦП), с помощью которого они были подписаны. Нужен только доступ в интернет.
Как подтвердить юридическую значимость документов
В чем проблема?
Электронная подпись используется для определения лица, подписывающего документ, и защищает документа от изменений после подписания. Но сертификат электронной подписи имеет срок действия — максимум 15 месяцев, а подтвердить действительность электронной подписи может потребоваться через несколько лет.
Как решить?
Эту проблему решает сервис метки времени, который предлагают удостоверяющие центры и некоторые информационные системы. К электронной подписи в момент ее создания добавляется дополнительный атрибут — штамп, или метка времени.
Также сервис прикрепляет к подписанному документу список отозванных на этот момент сертификатов. Подписывая список электронной подписью, сервис подтверждает, что подпись является действительной на момент подписания.
Подлинность подписи в этом случае можно будет подтвердить и после окончания срока действия самого сертификата. Электронная подпись с меткой времени называется усовершенствованной. Такая подпись не только упрощает архивное хранение электронных документов, но и является условием для электронного документооборота с информационными системами некоторых государственных служб (например, ГИС ГМП, ФТС) и электронными торговыми площадками (Фабрикант, ТЭК-Торг).
13. Порядок хранения и уничтожения электронных документов, подписанных ЭЦП:
1) организация хранения архивов отправленных (полученных) электронных документов осуществляется абонентами системы самостоятельно в порядке, установленном законодательством Российской Федерации;
2) электронные документы должны храниться в электронных архивах; в случае необходимости копии электронных документов, заверенные в порядке, установленном для документов на бумажных носителях, могут также храниться на бумажных носителях;
3) для выполнения текущих работ по ведению электронных архивов и их контролю абоненты системы назначают ответственных лиц;
4) электронные документы хранятся в оригинальном виде, т.е. в том виде, в котором они были сформированы, отправлены или получены, с сохранением всех реквизитов электронных документов, включая все заверяющие ЭЦП;
5) срок хранения электронных документов соответствует сроку хранения их бумажных аналогов;
6) одновременно с электронными документами хранятся соответствующие журналы учета, сертификаты ключей подписи, уведомления о доставке электронных документов, а также программные и технические средства, обеспечивающие возможность работы с электронными документами и ЭЦП;
7) для сертификатов ключей подписи хранимых электронных документов должны быть оформлены и храниться в установленном порядке документы, подтверждающие статус сертификатов ключей подписи (регистрационные карточки, справки об отзыве и приостановлении действия сертификатов ключей подписи и т.д.);
8) информация, содержащаяся в электронных архивах, и средства ее обработки (хранения) подлежат защите от несанкционированного доступа в соответствии с действующим законодательством Российской Федерации.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.
Рекомендуемая форма сбережения данных — на жестком диске ПК. К серверу с подобной информацией должен быть ограничен доступ. Установлены внешние и внутренние системы защиты.
Недостатки хранения на ПК:
ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются
Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.
Рекомендованное хранение ключей ЭЦП — специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.
Достоинствами этого метода хранения являются:
защита от чужого
проникновения
доступ к любому устройству
для работы без сертификата
автоматизация процесса входа
по СЭД и системе компьютера
Единственным неудобством можно считать дополнительные расходы на содержание хранилищ. Но при значительном увеличении безопасности это малая доля дискомфорта.
Требования к ответственности со стороны пользователя
Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.
Требования законодательной базы предписывают:
- Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
- Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
- Запрещается использовать скомпрометированный ключ.
- Применять методы проверки и соответствия электронного ключа.
Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.
Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.
Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.
Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.
Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.
Ответственность и передача прав пользования
Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.
Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.
Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.
От пользователя требуется:
сохранение тайны информации
и конфиденциальность
процесса обмена информацией
хранение закрытых ключей от
чужих лиц
соблюдение пунктов правил
эксплуатации АРМ системы
документооборота
В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.
За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.
Чужая ЭЦП: законодательная ответственность
В законодательстве РФ описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.
В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.
Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!
Читайте также: