Права Сторон
Стороны имеют право:
Ограничивать и приостанавливать использование Системы в случаях ненадлежащего исполнения другой стороной Соглашения с уведомлением не позднее дня приостановления, а по требованию компетентных государственных органов — в случаях и в порядке, предусмотренных законодательством Российской Федерации.
Производить замену программно-аппаратного обеспечения Системы с предварительным уведомлением не менее, чем за два рабочих дня другой стороны.
Остановить работу Системы по техническим причинам до восстановления ее работоспособности.
Производить плановую замену ключа ЭП, ключа проверки ЭП и сертификата ключа проверки ЭП по своей инициативе с уведомлением другой стороны не менее, чем за два рабочих дня.
Ответственность сторон и риски убытков
Стороны несут ответственность за содержание любого ПЭД при условии подтверждения подлинности ЭП.
Стороны несут ответственность за конфиденциальность и порядок использования ключей ЭП.
Сторона, допустившая компрометацию ключа ЭП, несет ответственность за ЭД, подписанные с использованием скомпрометированного ключа ЭП, до момента официального уведомления об аннулировании (отзыве) соответствующего сертификата и конкретных документов, подписанных указанным ключом.
Сторона, несвоевременно сообщившая о случаях утраты или компрометации ключа ЭП, несет связанные с этим риски.
В случае возникновения убытков сторона, не исполнившая (ненадлежащим образом исполнившая) обязательства по Соглашению, несет ответственность перед другой стороной за возникшие убытки. При отсутствии доказательств неисполнения (ненадлежащего исполнения) сторонами обязательств по Соглашению риск убытков несет сторона, чьей ЭП подписан ЭД, исполнение которого повлекло за собой убытки.
Если в результате надлежащего исполнения ЭД возникает ущерб для третьих лиц, ответственность несет Сторона, от имени которой ЭД подписан ЭП.
Стороны освобождаются от ответственности за частичное или полное неисполнение своих обязательств по Соглашению, если таковое явилось следствием обстоятельств непреодолимой силы, возникших после вступления в силу Соглашения, в результате событий чрезвычайного характера, которые не могли быть предвидены и предотвращены разумными мерами. Сторона обязана незамедлительно известить другую сторону о возникновении и прекращении действия обстоятельств непреодолимой силы, препятствующих исполнению ей обязательств по Соглашению, при этом срок выполнения обязательств по Соглашению переносится соразмерно времени, в течение которого действовали такие обстоятельства.
В случае прекращения действия Соглашения по любому основанию стороны несут ответственность по обязательствам, возникшим до прекращения действия Соглашения, в соответствии с законодательством Российской Федерации.
Порядок создания ключа ЭП, ключа проверки ЭП, сертификатов ключей проверки ЭП и их использования и передачи
Ключ ЭП, ключ проверки ЭП и соответствующий сертификат ключа проверки ЭП создаются средствами ЭП сторон или покупаются у сторонних организаций.
Используемые сертификаты и списки отозванных сертификатов должны соответствовать формату X.509v3, описанному в спецификации IETF RFC 5280.
Параметры сертификата должны быть следующими:
алгоритм подписи — RSA;
длина ключа — 2048 бит;
алгоритм хеширования — sha1;
срок действия — 1 год.
В поле «субъект» сертификата необходимо внести следующие сведения:
CN = ФИО ответственного сотрудника, или наименование организации, или псевдоним;
E = адрес электронной почты, совпадающий с адресом электронной почты, используемым для отправки ЭД;
OU = наименование подразделения организации;
O = название организации;
L = город размещения организации;
C = код страны (например, для России C=RU).
Остальные поля сертификата могут быть заполнены по желанию.
Сертификаты, используемые для формирования НЭП, должны иметь атрибуты расширенного использования ключа id_kp_clientAuth (OID 1.3.6.1.5.5.7.3.2) и id_kp_emailProtection (OID 1.3.6.1.5.5.7.3.4).
Сертификаты должны иметь запись с данными о точке распространения списка отозванных сертификатов, доступного по протоколу HTTP в интернете.
Удостоверяющий центр должен добавлять в СОС отозванные сертификаты в течение 1 рабочего дня и публиковать новый СОС в интернете после каждого добавления.
Удостоверяющий центр, который используется для выдачи сертификатов, должен соответствовать всем требованиям к неаккредитованным удостоверяющим центрам, установленным в ФЗ № 63-ФЗ «Об электронной подписи».
Стороны обмениваются следующими сертификатами:
корневой сертификат УЦ (если есть);
промежуточные сертификаты (если есть);
сертификат, который будет использоваться для подписи ЭД в Системе.
Файл сертификата должен быть в формате PKCS7.
Файлы сертификатов передаются другой стороне по электронной почте или через Систему, если она уже функционирует.
Корневой сертификат, а при его отсутствии самоподписанный, стороны печатают на бумажном носителе, подписывают ответственным лицом с оттиском печати организации и отправляют другой стороне курьером или передают друг другу в момент подписания данного Соглашения.
Стороны обязуются принимать все необходимые меры для сохранения конфиденциальности ключей ЭП.
Система средствами ЭП для каждого полученного ПЭД должна проверить:
подлинность ЭП для данного ПЭД;
факт того, что дата формирования ЭП находится в интервале от даты начала действия сертификата до даты завершения его действия;
корректность самого сертификата, используемого для формирования ЭП;
корректность цепочки выдачи сертификатов от используемого для подписи до корневого;
выполнение требований к ограничению использования сертификата, записанных в самом сертификате;
отсутствие используемого сертификата в списке отозванных сертификатов стороны, выдавшей этот сертификат.
При плановой замене сертификата ключа проверки ЭП сторона генерирует новые ключи и соответствующий сертификат и отправляет файл сертификата другой стороне по электронной почте или через Систему.
При компрометации ключа ЭП (или обоснованных подозрениях в компрометации), используемого для формирования НЭП в ПЭД, сторона должна:
остановить передачу ПЭД в Системе и немедленно (если невозможно, то в течение 1 рабочего дня) уведомить другую сторону о факте компрометации сертификата;
произвести генерацию нового ключа ЭП, ключа проверки ЭП и выпустить в УЦ новый сертификат ключа проверки ЭП;
передать другой стороне файл с новым сертификатом;
внести в список отозванных сертификатов своего УЦ серийный номер скомпрометированного сертификата и опубликовать новый СОС;
восстановить работу Системы по согласованию с другой стороной.
При компрометации корневого и (или) промежуточного ключа ЭП удостоверяющего центра сторона выполняет действия, указанные в предыдущем пункте, а также другие действия согласно своей нормативной документации.
Заключение настоящего Соглашения свидетельствует об обмене сертификатами.
Порядок разрешения споров, связанных с установлением подлинности ЭД
Любые споры между сторонами, предметом которых является установление подлинности, то есть целостности текста и аутентичности отправителя ЭД, передаются для разрешения специально создаваемой Экспертной комиссии.
Экспертная комиссия созывается на основании письменного заявления (претензии) любой из сторон. В указанном заявлении сторона указывает реквизиты оспариваемого ПЭД и лиц, уполномоченных представлять интересы этой стороны в составе Экспертной комиссии.
Не позднее 10 рабочих дней с момента получения другой стороной заявления (претензии), стороны определяют дату, место и время начала работы Экспертной комиссии, а также определяют, какая сторона предоставляет персональный компьютер и производит конфигурирование средства ЭП.
Полномочия членов Экспертной комиссии подтверждаются доверенностями.
Состав Экспертной комиссии формируется в равных пропорциях из числа представителей сторон.
Экспертиза оспариваемого ЭД осуществляется в присутствии всех членов Экспертной комиссии.
Экспертиза осуществляется в четыре этапа:
1-й этап: стороны совместно устанавливают, конфигурируют и тестируют средство ЭП.
2-й этап: стороны предоставляют свою копию сертификата ключа проверки ЭП, используемого для создания НЭП оспариваемого ПЭД, а также корневого и промежуточных сертификатов УЦ.
З-й этап: Экспертная комиссия с помощью средства ЭП получает ключи проверки ЭП из сертификатов, предоставленных сторонами, и сравнивает их с соответствующими ключами из сертификатов, переданными сторонам на основании пункта 8.11 настоящего Соглашения. Сертификаты, ключи проверки ЭП которых совпали, признаются подлинными. Также сравнивается корневой сертификат, переданный на бумажном носителе до подписания Соглашения, с только что предоставленным сертификатом. Экспертная комиссия с помощью средства ЭП проверяет, выпущен ли сертификат ключа проверки ЭП, использованный для подписи оспариваемого ПЭД, с использованием корневого и промежуточных ключа ЭП УЦ.
4-й этап: проверка правильности ЭП под оспариваемым документом, предоставленным стороной-получателем, проверяется по сертификату принимающей стороны, подлинность которого подтверждена как указано выше.
Подтверждением подлинности оспариваемого ПЭД является одновременное наличие следующих условий:
проверка подлинности ЭП оспариваемого ЭД дала положительный результат;
подтверждена принадлежность сертификата ключа проверки ЭП, использованного для проверки подлинности ЭП в оспариваемом ЭД;
ЭД сформирован в Системе и передан для обработки в соответствии с положениями настоящего Соглашения.
Результаты экспертизы оформляются в виде письменного заключения — Акта Экспертной комиссии, подписываемого всеми членами Экспертной комиссии. Акт составляется немедленно после завершения третьего этапа экспертизы. В Акте фиксируются результаты всех этапов проведенной экспертизы, а также все существенные реквизиты оспариваемого ПЭД. Акт составляется в двух экземплярах — по одному для каждой из сторон. Акт комиссии является окончательным и пересмотру не подлежит.
Подтверждение подлинности ЭП в оспариваемом ПЭД, зафиксированное в Акте, будет означать, что этот ПЭД имеет юридическую силу и влечет возникновение прав и обязательств сторон, установленных Основным договором и Соглашением. Неподтверждение подлинности ЭП в оспариваемом ПЭД, зафиксированное в Акте, будет означать, что этот ПЭД не имеет юридической силы и не влечет возникновение каких-либо прав или обязательств сторон, установленных Основным договором и Соглашением.
Стороны признают, что Акт, составленный Экспертной комиссией, является обязательным для сторон и может служить доказательством при дальнейшем разбирательстве спора в Арбитражном суде.
В случае отсутствия согласия по спорным вопросам и добровольного исполнения решения Экспертной комиссии, все материалы по этим вопросам могут быть переданы на рассмотрение в Арбитражный суд города Москвы.
Уполномоченными лицами на использование ЭП от имени Сторон являются: от Оператора — Председатель Правления Шабанова Татьяна Андреевна, от Контрагента — лицо, подписавшее от имени Контрагента Заявление.
|
Annexes to Contract on Information Technology Collaboration
when Completing Transfers by Individuals without Opening an Account
Revision approved by the Board of OOO NKO “Yandex. Money”
(Protocol #37 dated 22 November 2013)
ANNEX #1
Agreement on Electronic DocFLOW
Compliance of this Agreement with the Legislation
This Agreement is developed in accordance with the requirements of Federal laws # 63-FZ "On Electronic Signatures" as of 04/06/2011 and 149-FZ "On Information, Information Technology and Protection of Information" as of 7/27/2006.
Terms of the Agreement are also correlated with international practices and standards of electronic signatures application, in particular with the PKI (public key infrastructure) X. 509 regulation. The PKI procedure is described in RFC 1422, and X. 509 certificate format - in RFC 5280.
Terms Used in this Agreement
Electronic docflow— electronic document management system, where all electronic documents are created, transmitted and stored with the help of information and communication technologies on computers united in a network structure.
Electronic document (hereinafter also referred to as ED) — is the documented information provided in electronic form, i.e. in the form that is suitable for comprehension by people with the help of electronic computing machines, as well as for transmitting via information and telecommunication networks of information systems.
Electronic signature — (hereinafter also - ESig) is information in electronic form which is attached to the other information in electronic form (to the information being signed) or in other way related to such information that is used to identify the person signing the information (electronic document). There are simple and enhanced electronic signatures.
Enhanced non-certified electronic signature — (hereinafter also referred to as EEsig) is an enhanced ESig, which was obtained as a result of a cryptographic transformation of data using an electronic signature key; allows to identify the person signing the ED; allows to detect the changes in ED that took place after it was signed; is created with the help of ESig means.
Signed electronic document — (hereinafter also - SED) is an electronic document with the attached electronic signature which was created on the basis of ED and electronic signature key.
Electronic signature verification key certificate — (hereinafter also referred to as Certificate) is an electronic document or a paper document issued by a certificate authority or a trusted certificate authority representative that confirms that the electronic signature verification key belongs to the owner of the electronic signature verification key certificate. It is also called a public key certificate. The certificate contains the serial number, information about the owner, used cryptographic algorithms, use restrictions, Esig verification key and other information. The certificate has its own ESig created by a certificate authority.
The owner of the electronic signature verification key certificate (hereinafter also referred to as Certificate Owner) — is the person who the electronic signature verification key certificate was issued to. The certificate must contact the information on the owner.
|
