Ответственность сторон и риски убытков
Стороны несут ответственность за содержание любого ПЭД при условии подтверждения подлинности ЭП.
Стороны несут ответственность за конфиденциальность и порядок использования ключей ЭП.
Сторона, допустившая компрометацию ключа ЭП, несет ответственность за ЭД, подписанные с использованием скомпрометированного ключа ЭП, до момента официального уведомления об аннулировании (отзыве) соответствующего сертификата и конкретных документов, подписанных указанным ключом.
Сторона, несвоевременно сообщившая о случаях утраты или компрометации ключа ЭП, несет связанные с этим риски.
В случае возникновения убытков сторона, не исполнившая (ненадлежащим образом исполнившая) обязательства по Соглашению, несет ответственность перед другой стороной за возникшие убытки. При отсутствии доказательств неисполнения (ненадлежащего исполнения) сторонами обязательств по Соглашению риск убытков несет сторона, чьей ЭП подписан ЭД, исполнение которого повлекло за собой убытки.
Если в результате надлежащего исполнения ЭД возникает ущерб для третьих лиц, ответственность несет Сторона, от имени которой ЭД подписан ЭП.
Стороны освобождаются от ответственности за частичное или полное неисполнение своих обязательств по Соглашению, если таковое явилось следствием обстоятельств непреодолимой силы, возникших после вступления в силу Соглашения, в результате событий чрезвычайного характера, которые не могли быть предвидены и предотвращены разумными мерами. Сторона обязана незамедлительно известить другую сторону о возникновении и прекращении действия обстоятельств непреодолимой силы, препятствующих исполнению ей обязательств по Соглашению, при этом срок выполнения обязательств по Соглашению переносится соразмерно времени, в течение которого действовали такие обстоятельства.
В случае прекращения действия Соглашения по любому основанию стороны несут ответственность по обязательствам, возникшим до прекращения действия Соглашения, в соответствии с законодательством Российской Федерации.
Порядок создания ключа ЭП, ключа проверки ЭП, сертификатов ключей проверки ЭП и их использования и передачи
Ключ ЭП, ключ проверки ЭП и соответствующий сертификат ключа проверки ЭП создаются средствами ЭП сторон или покупаются у сторонних организаций.
Используемые сертификаты и списки отозванных сертификатов должны соответствовать формату X.509v3, описанному в спецификации IETF RFC 5280.
Параметры сертификата должны быть следующими:
алгоритм подписи — RSA;
длина ключа — 2048 бит;
алгоритм хеширования — sha1;
срок действия — 1 год.
В поле «субъект» сертификата необходимо внести следующие сведения:
CN = ФИО ответственного сотрудника, или наименование организации, или псевдоним;
E = адрес электронной почты, совпадающий с адресом электронной почты, используемым для отправки ЭД;
OU = наименование подразделения организации;
O = название организации;
L = город размещения организации;
C = код страны (например, для России C=RU).
Остальные поля сертификата могут быть заполнены по желанию.
Сертификаты, используемые для формирования НЭП, должны иметь атрибуты расширенного использования ключа id_kp_clientAuth (OID 1.3.6.1.5.5.7.3.2) и id_kp_emailProtection (OID 1.3.6.1.5.5.7.3.4).
Сертификаты должны иметь запись с данными о точке распространения списка отозванных сертификатов, доступного по протоколу HTTP в интернете.
Удостоверяющий центр должен добавлять в СОС отозванные сертификаты в течение 1 рабочего дня и публиковать новый СОС в интернете после каждого добавления.
Удостоверяющий центр, который используется для выдачи сертификатов, должен соответствовать всем требованиям к неаккредитованным удостоверяющим центрам, установленным в ФЗ № 63-ФЗ «Об электронной подписи».
Стороны обмениваются следующими сертификатами:
корневой сертификат УЦ (если есть);
промежуточные сертификаты (если есть);
сертификат, который будет использоваться для подписи ЭД в Системе.
Файл сертификата должен быть в формате PKCS7.
Файлы сертификатов передаются другой стороне по электронной почте или через Систему, если она уже функционирует.
Корневой сертификат, а при его отсутствии самоподписанный, стороны печатают на бумажном носителе, подписывают ответственным лицом с оттиском печати организации и отправляют другой стороне курьером или передают друг другу в момент подписания данного Соглашения.
Стороны обязуются принимать все необходимые меры для сохранения конфиденциальности ключей ЭП.
Система средствами ЭП для каждого полученного ПЭД должна проверить:
подлинность ЭП для данного ПЭД;
факт того, что дата формирования ЭП находится в интервале от даты начала действия сертификата до даты завершения его действия;
корректность самого сертификата, используемого для формирования ЭП;
корректность цепочки выдачи сертификатов от используемого для подписи до корневого;
выполнение требований к ограничению использования сертификата, записанных в самом сертификате;
отсутствие используемого сертификата в списке отозванных сертификатов стороны, выдавшей этот сертификат.
При плановой замене сертификата ключа проверки ЭП сторона генерирует новые ключи и соответствующий сертификат и отправляет файл сертификата другой стороне по электронной почте или через Систему.
При компрометации ключа ЭП (или обоснованных подозрениях в компрометации), используемого для формирования НЭП в ПЭД, сторона должна:
остановить передачу ПЭД в Системе и немедленно (если невозможно, то в течение 1 рабочего дня) уведомить другую сторону о факте компрометации сертификата;
произвести генерацию нового ключа ЭП, ключа проверки ЭП и выпустить в УЦ новый сертификат ключа проверки ЭП;
передать другой стороне файл с новым сертификатом;
внести в список отозванных сертификатов своего УЦ серийный номер скомпрометированного сертификата и опубликовать новый СОС;
восстановить работу Системы по согласованию с другой стороной.
При компрометации корневого и (или) промежуточного ключа ЭП удостоверяющего центра сторона выполняет действия, указанные в предыдущем пункте, а также другие действия согласно своей нормативной документации.
Подписание настоящего Соглашения свидетельствует об обмене сертификатами.
Порядок разрешения споров, связанных с установлением подлинности ЭД
Любые споры между сторонами, предметом которых является установление подлинности, то есть целостности текста и аутентичности отправителя ЭД, передаются для разрешения специально создаваемой Экспертной комиссии.
Экспертная комиссия созывается на основании письменного заявления (претензии) любой из сторон. В указанном заявлении сторона указывает реквизиты оспариваемого ПЭД и лиц, уполномоченных представлять интересы этой стороны в составе Экспертной комиссии.
Не позднее 10 рабочих дней с момента получения другой стороной заявления (претензии), стороны определяют дату, место и время начала работы Экспертной комиссии, а также определяют, какая сторона предоставляет персональный компьютер и производит конфигурирование средства ЭП.
Полномочия членов Экспертной комиссии подтверждаются доверенностями.
Состав Экспертной комиссии формируется в равных пропорциях из числа представителей сторон.
Экспертиза оспариваемого ЭД осуществляется в присутствии всех членов Экспертной комиссии.
Экспертиза осуществляется в четыре этапа:
1-й этап: стороны совместно устанавливают, конфигурируют и тестируют средство ЭП.
2-й этап: стороны предоставляют свою копию сертификата ключа проверки ЭП, используемого для создания НЭП оспариваемого ПЭД, а также корневого и промежуточных сертификатов УЦ.
З-й этап: Экспертная комиссия с помощью средства ЭП получает ключи проверки ЭП из сертификатов, предоставленных сторонами, и сравнивает их с соответствующими ключами из сертификатов, переданными сторонам на основании пункта 8.11 настоящего Соглашения. Сертификаты, ключи проверки ЭП которых совпали, признаются подлинными. Также сравнивается корневой сертификат, переданный на бумажном носителе до подписания Соглашения, с только что предоставленным сертификатом. Экспертная комиссия с помощью средства ЭП проверяет, выпущен ли сертификат ключа проверки ЭП, использованный для подписи оспариваемого ПЭД, с использованием корневого и промежуточных ключа ЭП УЦ.
4-й этап: проверка правильности ЭП под оспариваемым документом, предоставленным стороной-получателем, проверяется по сертификату принимающей стороны, подлинность которого подтверждена как указано выше.
Подтверждением подлинности оспариваемого ПЭД является одновременное наличие следующих условий:
проверка подлинности ЭП оспариваемого ЭД дала положительный результат;
подтверждена принадлежность сертификата ключа проверки ЭП, использованного для проверки подлинности ЭП в оспариваемом ЭД;
ЭД сформирован в Системе и передан для обработки в соответствии с положениями настоящего Соглашения.
Результаты экспертизы оформляются в виде письменного заключения — Акта Экспертной комиссии, подписываемого всеми членами Экспертной комиссии. Акт составляется немедленно после завершения третьего этапа экспертизы. В Акте фиксируются результаты всех этапов проведенной экспертизы, а также все существенные реквизиты оспариваемого ПЭД. Акт составляется в двух экземплярах — по одному для каждой из сторон. Акт комиссии является окончательным и пересмотру не подлежит.
Подтверждение подлинности ЭП в оспариваемом ПЭД, зафиксированное в Акте, будет означать, что этот ПЭД имеет юридическую силу и влечет возникновение прав и обязательств сторон, установленных Основным договором и Соглашением. Неподтверждение подлинности ЭП в оспариваемом ПЭД, зафиксированное в Акте, будет означать, что этот ПЭД не имеет юридической силы и не влечет возникновение каких-либо прав или обязательств сторон, установленных Основным договором и Соглашением.
Стороны признают, что Акт, составленный Экспертной комиссией, является обязательным для сторон и может служить доказательством при дальнейшем разбирательстве спора в Арбитражном суде.
В случае отсутствия согласия по спорным вопросам и добровольного исполнения решения Экспертной комиссии, все материалы по этим вопросам могут быть переданы на рассмотрение в Арбитражный суд города Москвы.
Уполномоченными лицами на использование ЭП от имени Сторон являются:
от Оператора — Председатель Правления Шабанова Татьяна Андреевна;
от Контрагента - юридического лица — лицо, уполномоченное учредительными документами или доверенностью; от Контрагента – индивидуального предпринимателя – лицо, зарегистрированное в качестве индивидуального предпринимателя, или лицо, уполномоченное доверенностью.
ПРИЛОЖЕНИЕ № 2
Протокол обмена информацией
Вариант 1 Приложения № 2
Протокол обмена информацией при осуществлении переводов
HTTP-транспорт
Версия commonHTTP-3.0
от 13.06.2013
Общие сведения
Оператор предоставляет протокол, позволяющий Контрагентам мгновенно получать уведомления о принятых в их пользу переводах. Обрабатывая эти уведомления в своей информационной системе (ИС), Контрагенты могут сократить время между переводом и предоставлением физическому лицу — плательщику — оплаченной услуги или товара.
Далее приводится описание протокола, позволяющего доставлять уведомления Контрагенту, использующему любую программно-аппаратную платформу своих ИС.
Порядок взаимодействия
На веб-странице, где плательщик может инициировать перевод, Контрагент должен расположить «платежную форму» с данными, характеризующими покупку (сумма перевода, ID Контрагента и прочее). Платежная форма в минимальном варианте представляет собой статический HTML, возможно, с заполняемыми плательщиком полями. Например, для пополнения счета в онлайн-игре это могут быть «номер игрового счета» и «сумма».
Упрощенно можно считать, что интернет-браузер плательщика передает заполненную форму Оператору (см. шаг 1 на схеме). Реальный способ передачи всегда подразумевает шифрование передаваемых данных.
На основании данных, полученных на платежной форме, Оператор формирует контракт на оплату и запрос «проверка заказа» (checkOrder) в ИС Контрагента. Контрагент проверяет параметры заказа, Плательщик подтверждает контракт на оплату (шаги 2–5 на схеме).
Если Контрагент ответил положительно на запрос «Проверка заказа» и Плательщик подтвердил контракт на оплату, то Оператор уменьшает остаток электронных денежных средств плательщика (шаг 6 на схеме) и, в случае успеха, отправляет в ИС «Уведомление о переводе» — paymentAviso (шаги 8–9).
Контрагент может отказаться принимать перевод только на стадии «Проверка заказа» (checkOrder). Отправка Оператором Контрагенту «Уведомления о переводе» (paymentAviso) фиксирует факт принятого перевода.
В результате плательщик видит веб-страницу Оператора (интерфейс портала Яндекс.Денег), где сообщается об успехе или неуспехе перевода (шаг 7), а также отображается ссылка «Вернуться в магазин». URL, на который будет осуществлен переход при нажатии этой ссылки, определяется в параметрах Контрагента (successURL, failURL).
При нажатии ссылки может быть осуществлен переход на входную страницу сайта Контрагента или же Контрагент может показать состояние конкретного заказа (шаг 10–11).
Если после положительного ответа на запрос «Проверка заказа» Контрагент не получил «Уведомление о переводе» по этому переводу, ему следует обратиться в специальный сервис Merchant Web Services, чтобы получить информацию о том, был ли перевод успешно осуществлен. Раз в сутки Оператор отправляет Контрагенту по электронной почте список переводов («реестр»). Контрагент должен сверять реестр с полученными «Уведомлениями о переводах».
1.2. Пример сеанса взаимодействия Оператора и Контрагента
Плательщик заполняет платежную форму и отправляет Оператору.
Параметр
|
Значение
|
shopID
|
13
|
shopArticleId
|
456
|
Sum
|
87.1
|
|
|
scid
|
1643
|
CustomerNumber
|
8123294469
|
paymentType
|
GP
|
paymentTypeProvider
|
SVZNY
|
cps_email
|
name@domain.com
|
cps_phone
|
81231234567
|
MyField
|
Добавленное Контрагентом поле
|
| |
