ПРИЛОЖЕНИЕ № 1
Соглашение об электронном документообороте
Соответствие данного Соглашения законодательным нормам
Данное соглашение разработано в соответствии с требованиями Федеральных законов № 63-ФЗ «Об электронной подписи» от 06.04.2011 и № 149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006.
Термины и понятия данного Соглашения также соотнесены с международной практикой и стандартами применения электронной подписи, в частности со стандартом PKI (инфраструктуры открытых ключей) X.509. Порядок работы PKI описан в RFC 1422, а формат сертификатов X.509 в RFC 5280.
Термины, применяемые в настоящем Соглашении
Электронный документооборот — система работы с электронными документами, при которой все электронные документы создаются, передаются и хранятся с помощью информационно-коммуникационных технологий на компьютерах, объединенных в сетевую структуру.
Электронный документ (далее также — ЭД) — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Электронная подпись (далее также — ЭП) — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией, и которая используется для определения лица, подписывающего информацию (электронный документ). Существует простая и усиленная электронная подпись.
Усиленная неквалифицированная электронная подпись (далее также — НЭП) — вид усиленной ЭП, которая: получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее ЭД; позволяет обнаружить факт внесения изменений в ЭД после момента его подписания; создается с использованием средств ЭП.
Подписанный электронный документ (далее также — ПЭД) — электронный документ с присоединенной электронной подписью, которая была создана на основе ЭД и ключа электронной подписи.
Сертификат ключа проверки электронной подписи (далее также — Сертификат) — электронный документ или документ на бумажном носителе, выданный удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи. Также называется сертификатом открытого ключа. Сертификат содержит серийный номер, сведения о владельце, используемых криптографических алгоритмах, ограничениях на использование, ключ проверки ЭП и другую информацию. Сертификат имеет свою ЭП, созданную удостоверяющим центром.
Владелец сертификата ключа проверки электронной подписи (далее также — владелец Сертификата) — лицо, которому выдан сертификат ключа проверки электронной подписи. Данные о владельце должны содержаться в сертификате.
Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания ЭП. Также называется закрытым ключом.
Ключ проверки электронной подписи — уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности ЭП (далее — проверка ЭП). Также называется открытым ключом. Значение ключа проверки электронной подписи содержится в сертификате.
Удостоверяющий центр (далее также — УЦ) — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом № 63-ФЗ «Об электронной подписи».
Средства электронной подписи (далее также — средства ЭП) — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание ЭП, проверка ЭП, создание ключа электронной подписи и ключа проверки электронной подписи.
Средства удостоверяющего центра — программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.
Корневой сертификат УЦ — сертификат, который был выдан удостоверяющим центром самому себе и является самоподписанным. Все остальные сертификаты, выдаваемые данным УЦ, подписываются ключом ЭП этого корневого сертификата. В понятии инфраструктуры открытых ключей: если есть доверие к корневому сертификату УЦ, то автоматически есть доверие ко всем сертификатам, выданным данным УЦ и подписанным ключом ЭП данного корневого сертификата. Обычно в УЦ есть только один корневой сертификат.
Промежуточный сертификат УЦ — сертификат, ключ ЭП которого использовался для подписи другого сертификата, а сам сертификат был подписан ключом ЭП корневого сертификата УЦ или другого промежуточного сертификата этого УЦ. Промежуточные сертификаты позволяют строить широкую иерархическую структуру сертификатов УЦ.
Самоподписанный сертификат — сертификат, который подписан ключом ЭП, соответствующим ключу проверки ЭП из этого сертификата. В полях издателя сертификата содержатся те же данные, что и в полях владельца сертификата.
Создание ЭП — результат работы средства ЭП при создании ЭП, в результате которого получается последовательность бит данных фиксированной длины после криптографического преобразования электронного документа в хеш и шифрования хеша ключом электронной подписи. Длина названия алгоритмов хеширования и шифрования задаются в Сертификате.
Подтверждение подлинности ЭП в ПЭД — положительный результат работы средства ЭП при проверке ЭП. Результат работы считается положительным, если после расшифрования ЭП с помощью ключа проверки ЭП по заданному в Сертификате криптографическому алгоритму получается значение, равное хешу электронного документа, полученному по заданному в Сертификате соответствующему криптографическому алгоритму.
Хеш — результат работы хеширующей функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины.
Участники электронного документооборота — лица, осуществляющие обмен информацией в электронной форме в рамках данного Соглашения.
Компрометация ключа ЭП — нарушение конфиденциальности ключа ЭП, при котором значение закрытого ключа стало известно лицу, не являющемуся владельцем Сертификата.
Основной договор — Договор об информационно-технологическом взаимодействии при осуществлении переводов физических лиц без открытия счета.
Система — комплекс программно-аппаратных средств, позволяющий осуществлять электронный документооборот между Оператором и Контрагентом в рамках настоящего Соглашения. Система включает в себя средства ЭП и обеспечивает подготовку ЭД, генерацию ЭП, прием, передачу и обработку ПЭД с использованием средств вычислительной техники каждой из сторон. Передача данных в Системе происходит по интернету.
Список отозванных сертификатов (далее также — СОС) — список, содержащий серийные номера сертификатов, которые были отозваны выдавшим их УЦ и к которым больше нет доверия. Сертификаты добавляются в СОС после извещения о компрометации ключа ЭП.
Экспертная комиссия — комиссия, создаваемая сторонами для разрешения разногласий, возникающих при обмене ПЭД.
Предмет Соглашения
Настоящее Соглашение устанавливает порядок организации и проведения электронного документооборота между сторонами во исполнение Основного договора.
Электронные документы, которые передаются по данному Соглашению, должны быть подписаны усиленной неквалифицированной электронной подписью. Далее в качестве ЭП подразумевается НЭП.
Электронные документы, которые передаются другой стороне: ежесуточные реестры, формируемые Оператором в соответствии с п.3.1.4 Основного договора.
Обмен иными ЭД в Системе не является основанием возникновения обязательств сторон по Основному договору и Соглашению. Стороны признают юридическую силу ПЭД, подписанных НЭП (при подтверждении подлинности ЭП в ПЭД), равной юридической силе документов на бумажном носителе, оформленных в соответствии с требованиями законодательства Российской Федерации и условиями Соглашения и Основного договора, и подписанных уполномоченными представителями сторон, с приложением оттисков печатей сторон.
ПЭД порождает обязательства сторон, установленные Соглашением и Основным договором, если передающей стороной он должным образом оформлен, подписан НЭП, а принимающей стороной получен, проверен и принят к обработке в установленном Соглашением порядке.
Данное соглашение распространяется только на обеспечение защиты информации в ПЭД при передаче по открытым каналам связи. Остальные требования по защите информации выполняются сторонами самостоятельно на основании требований действующего законодательства и требований внутренних нормативных документов сторон.
Передача ПЭД осуществляется через Систему между сторонами путем передачи сообщений электронной почты через интернет.
Подключение сторон к интернету выполняется самостоятельно и не является предметом Соглашения.
Общие принципы электронного документооборота
Каждая из Сторон при подписании ЭД применяет свой ключ ЭП, а при проверке подписи — ключ проверки ЭП, записанный в сертификате ключа проверки ЭП, другой стороны.
Стороны обмениваются сертификатами, которые будут использоваться для создания ЭП.
Для электронного документооборота стороны могут использовать самоподписанные сертификаты и сертификаты, подписанные другим ключом ЭП.
Если для документооборота используется несамоподписанный сертификат, выданный УЦ, то стороны также обмениваются корневыми сертификатами УЦ и, в случае существования, промежуточными сертификатами УЦ.
Перед началом работы стороны проверяют свои средства ЭП и с их помощью проверяют подлинность ЭП.
Стороны признают, что:
внесение изменений в ПЭД дает отрицательный результат проверки ЭП;
подделка ЭП невозможна без использования ключа ЭП владельца;
каждая сторона несет ответственность за сохранность своего ключа ЭП и за действия своего персонала при использовании средств ЭП;
моментом наступления юридической значимости ПЭД является момент получения этого ПЭД через Систему принимающей стороной и отраженный в журнале.
Средства ЭП должны быть встроены в Систему. Стороны признают эти средства достаточными для подписания ЭД и проверки подлинности ЭП в ПЭД.
В состав средств ЭП Системы входит программное обеспечение GnuGP, предоставляющее пользователю интерфейс для выполнения криптографических операций шифрования и расшифровывания данных, подписи данных и проверки корректности подписи, то есть являющееся средством электронной подписи.
Обязанности Сторон
Стороны обязуются:
Самостоятельно укомплектовать Систему необходимыми программно-техническими средствами и общесистемным программным обеспечением.
Назначить лиц, ответственных за работу с Системой в соответствии с настоящим Соглашением.
Назначить Администратора безопасности, отвечающего за генерацию, учет, обмен и сохранность ключей, используемых в Системе, за защиту от несанкционированного доступа и за поддержание средств ЭП Системы в рабочем состоянии.
Произвести обмен сертификатами.
Своевременно производить плановую замену ключей ЭП и соответствующих сертификатов ключей проверки ЭП в соответствии с регламентом УЦ и (или) действующего законодательства. Рекомендуется проводить плановую замену не реже 1 раза в год и за 10 дней до окончания срока действия сертификата.
Немедленно информировать другую сторону обо всех случаях утраты, хищения, несанкционированного использования ключей ЭП по следующим адресам: Оператора — по адресу merchants@money.yandex.ru, Контрагента — по адресу электронной почты, указанному Контрагентом в Заявлении. При этом работа в Системе приостанавливается до проведения внеплановой смены ключей.
Принимать на себя все риски, связанные с работоспособностью своего оборудования и каналов связи.
За собственный счет поддерживать в рабочем состоянии входящие в Систему программно-технические комплексы обеспечения работоспособности вычислительной техники и техники связи, обеспечивающих электронный документооборот.
Своевременно (не менее, чем за три дня) уведомлять друг друга об изменении своего фактического места нахождения, сетевого адреса в интернете, а также об изменении иных реквизитов, имеющих существенное значение для определения юридического статуса и идентификации сторон и исполнения обязательств по Соглашению.
Не предпринимать действий, способных нанести ущерб другой стороне вследствие использования Системы.
Своевременно информировать (по электронной почте и/или телефону) другую сторону обо всех случаях возникновения технических неисправностей или других обстоятельств, препятствующих электронному документообороту.
В случае обнаружения возможных угроз безопасности стороны обязуются своевременно извещать друг друга о таких угрозах для принятия согласованных мер по их нейтрализации.
Строго выполнять требования технической и эксплуатационной документации к программному и аппаратному обеспечению Системы.
Разработать и выполнять мероприятия по обеспечению конфиденциальности, целостности и сохранности программных средств Системы, передаваемых ПЭД, протоколов регистрации событий, действующей ключевой информации и парольной информации, используемой для доступа в Систему.
Организовать внутренний режим функционирования рабочего места ответственного лица таким образом, чтобы исключить возможность использования Системы лицами, не имеющими допуска к работе с ней, а также исключить возможность использования средств ЭП не уполномоченными на это лицами.
Обеспечивать сохранение в тайне сведений по вопросам технологии защиты информации, используемых при обмене ЭД между сторонами, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
Поддерживать системное время программно-аппаратных средств Системы в соответствии с текущим астрономическим временем с точностью до пяти минут. Стороны признают в качестве единой шкалы времени время GMT с учетом часового пояса г. Москвы.
Обмениваться ЭД, не содержащими компьютерных вирусов и (или) иных вредоносных программ.
Направлять другой стороне и обеспечивать прием от другой стороны ПЭД с контролем целостности и авторства в случаях и в сроки, установленные Соглашением и (или) Основным договором.
Принимать к исполнению ЭД в установленные Соглашением и (или) Основным договором сроки, если ЭД получены через Систему, подписаны НЭП и ЭП была успешно проверена.
При осуществлении операций на основании полученных по Системе ЭД руководствоваться требованиями законодательства Российской Федерации, а также условиями Основного договора и Соглашения.
Стороны организуют архивное хранение ПЭД в течение срока действия аналогичных документов, оформленных на бумажных носителях.
Права Сторон
Стороны имеют право:
Ограничивать и приостанавливать использование Системы в случаях ненадлежащего исполнения другой стороной Соглашения с уведомлением не позднее дня приостановления, а по требованию компетентных государственных органов — в случаях и в порядке, предусмотренных законодательством Российской Федерации.
Производить замену программно-аппаратного обеспечения Системы с предварительным уведомлением не менее, чем за два рабочих дня другой стороны.
Остановить работу Системы по техническим причинам до восстановления ее работоспособности.
Производить плановую замену ключа ЭП, ключа проверки ЭП и сертификата ключа проверки ЭП по своей инициативе с уведомлением другой стороны не менее, чем за два рабочих дня.
|
