Сертификаты открытого ключа удостоверяются Клиентом (руководителем и главным бухгалтером Клиента) и регистрируются Банком.
Все секретные ключи защищаются паролем и данный пароль является конфиденциальной информацией соответствующей стороны.
Владелец Сертификата ключа подписи несет персональную ответственность за необеспечение сохранности ключевой информации и защиту ключевых файлов (элементов) от несанкционированного доступа.
Все процедуры окончательной регистрации и проверки открытых ключей происходят в помещении, на программном обеспечении и оборудовании Банка.
При регистрации открытого ключа Клиента в Банке производятся:
сверка открытого ключа Клиента с открытым ключом, напечатанным в Сертификате открытого ключа подписи,
проверка персональных данных и полномочий лиц, на имя которых сформированы ключи, на соответствие имеющейся в Банке информации. (Идентификация)
Ключ активизируется только после завершения Банком процедуры регистрации Сертификата ключа подписи при положительных результатах проверки данных, указанных в п. 5.5 настоящего Регламента.
Срок действия каждой из ЭП определяется Клиентом самостоятельно, но не может превышать 1 (одного) года со дня регистрации Банком соответствующего Сертификата открытого ключа. По ЭП, предназначенным для визуального просмотра, срок действия ключа может быть предоставлен в индивидуальном порядке.
При подключении к Системе Клиент вправе создать два комплекта ключевой информации – рабочий (основной) для работы до наступления события, трактуемого им как компрометация секретных ключей, и резервный для оперативного введения в действие вместо скомпрометированных ключей.
Сертификаты открытых ключей Клиента – ЮЛ считаются удостоверенными, если на них имеются: подписи уполномоченных лиц и оттиски печатей Клиента и Банка.
Наличие надлежащим образом удостоверенных сторонами сертификатов открытых ключей ЭП Клиента означает его обязательство использовать для формирования электронных документов и проверки ЭП исключительно данные ключи в период их действия.
Порядок смены ключей ЭП
Смена ключей ЭП производится в следующих случаях:
Замена банковской карточки Клиента.
Прекращение действия ключей.
Компрометация ключей.
По письменному заявлению Клиента.
Смена ключа Клиента производится в порядке, аналогичном установленному п. 5.3 настоящего Регламента.
ЭД, подписанный ЭП с использованием нового ключа, принимается Банком только после регистрации соответствующего Сертификата открытого ключа.
Прекращение действия ключей ЭП
Действие секретного ключа прекращается:
истечением срока, указанного в соответствующем Сертификате открытого ключа;
по письменному заявлению Клиента;
по инициативе Банка.
Банк исключает (удаляет) ключ из каталога (базы) действующих открытых ключей, с момента наступления событий, указанных в п. 5.10.1 настоящего Регламента. Со дня исключения Ключа из каталога действующих открытых ключей, прием и обработка ЭД, подписанных данным ключом прекращается.
Порядок действий в случае компрометации секретных ключей
В случае компрометации или подозрения на компрометацию ключа Клиент должен незамедлительно известить Банк о прекращении действия соответствующего ключа, в соответствии с порядком, установленным Регламентом.
ЭД, подписанные скомпрометированным ключом, и открытый ключ ЭП хранятся в соответствии с разделом 6 настоящего Регламента.
ХРАНЕНИЕ КЛЮЧЕЙ ЭЦП
Надежность средств криптозащиты и подлинность передаваемой по каналам связи информации обеспечивается только при условии сохранности от компрометации (утрата, копирование и т.п.) действующих секретных ключей ЭП Клиента.
Секретный ключ ЭП Клиента хранится в файле на носителе Клиента (например, дискете, USB-токен).
Один экземпляр удостоверенного Банком Сертификата открытого ключа подписи хранится в Банке, а второй экземпляр – у Клиента. Электронный аналог Сертификата открытого ключа находится в каталоге ключей Банка и Клиента.
Выведенные из употребления (аннулированные) открытые ключи хранятся те же сроки, что и документы, подписанные и зашифрованные этими ключами.
Для разрешения возможных спорных вопросов в Банке ведутся контрольные архивы ЭД подписанных ЭП, а также архивы открытых ключей электронной подписи. Хранение контрольных архивов ЭД осуществляется в течение 5 (пять) лет с момента проведения операции.
ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА
Защита информации в Системе является многоуровневой и задействует возможности операционной системы, прикладного программного обеспечения и специализированных программных и технических средств и организационных мер, организации хранения программного обеспечения, используемого в Системе.
Система комплексной защиты информации, состоящая из набора аппаратно-программных средств и административных мер, обеспечивает:
создание ключей шифрования и электронной подписи;
электронную подпись под документами;
шифрование передаваемой информации;
аутентификацию Клиентов и разграничение их прав;
достоверность факта получения документа получателем;
подтверждение авторства и целостность электронных документов;
выявление ошибок, сбоев и несанкционированных действий обслуживающего персонала;
разбор конфликтных ситуаций.
ПОРЯДОК ФОРМИРОВАНИЯ И ПРОВЕРКИ ЭП под ЭД
Последовательность формирования электронной цифровой подписи под электронным документом следующая:
Подписываемый электронный документ состоит из набора полей и представляется в виде:
<Наименование поля 1>=<Значение поля 1> <символ перевода строки>
<Наименование поля 2>=<Значение поля 2> <символ перевода строки>
Подписываемый ЭД в виде набора полей, описанного в подп. 8.1.1 настоящего Регламента, преобразовывается в строку символов, и далее в соответствии с кодировкой UniCode преобразовывается в байтовый массив.
Электронная подпись формируется от указанного в подп. 8.1.2 настоящего Регламента байтового массива в соответствии ГОСТ Р 34.11-2012.
Публичные параметры P, Q, A и таблица подстановок для вычисления хеш-функции в соответствии с ГОСТ Р 34.11-2012 при контрольной проверке ЭП для указанного в подп. 8.1.2 настоящего Регламента байтового массива представляются Банком в шестнадцатеричном виде по запросу согласительной экспертной комиссии.
Контрольная проверка электронной подписи Клиента под электронным документом, пришедшим в Банк, осуществляется в АРМе “Операционист”, входящим в комплекс Системы.
При проверке ЭП Клиента в АРМе «Операционист», отображается:
содержание электронного документа»
идентификаторы ключей ЭП Клиента, которыми подписан ЭД»
время формирования ЭП (если документ подписан несколькими ЭП – время формирования каждой ЭП)»
результаты проверки каждой из ЭП под ЭД.
При проверке значения ЭП используется открытый ключ ЭП.
Система криптографической защиты информации позволяет выполнять проверку значения ЭП в течение установленного в Системе срока хранения открытых ключей и электронных документов (например, 3 (трех) лет), для чего в Системе должны быть предусмотрены средства ведения архивов электронных документов с ЭП и открытых ключей.
Порядок доказательства принадлежности ЭП.
Разбор конфликтной ситуации проводится с использованием программного обеспечения «АРМ разбора конфликтной ситуации» СКЗИ (далее по тексту – программа CONFLICT) для электронного документа, авторство или содержание которого оспаривается.
«Протокол проверки ЭП», формируемый данной программой, является основным документом работы комиссии и должен быть подписан всеми членами комиссии.
Содержащееся в протоколе проверки значение открытого ключа необходимо сравнить со значением открытого ключа из соответствующего сертификата открытого ключа ЭП и шифрования (далее – Сертификат).
При совпадении их значений, авторство подписи под документом считается установленным.
Описание программы «CONFLICT» приведено в документе «Программные средства автоматизированного рабочего места (АРМ) разбора конфликтных ситуаций. Руководство оператора».
Порядок действий:
Сформировать и вывести на печать регистрационный бланк Клиента, используя его открытый ключ из справочника ЭП (Содержащееся в полученном регистрационном бланке значение открытого ключа Клиента должно совпадать со значением из Сертификата, представляемого Клиентом в комиссию. В противном случае необходимо вручную ввести открытый ключ Клиента в справочник ЭП, используя его регистрационный бланк);
Произвести операцию выборочной проверки подписи файла, авторство подписи которого оспаривается с формированием файла подтверждения;
Распечатать протокол проверки подписи.
Регистрационный бланк и протокол проверки подписи, сформированные программой «CONFLICT», являются основными документами работы комиссии и должны быть подписаны всеми членами комиссии.
Авторство подписи под документом считается установленным, если в протоколе проверки подписи абонента сформирована запись «Подпись верна».
Случаи невозможности проверки значения ЭП:
При не обнаружении в архиве открытого ключа абонента, выполнившего ЭП, или регистрационной карточки ключа, заверенной администратором безопасности, доказать авторство документа невозможно. В связи с этим, архив с открытыми ключами необходимо подвергать регулярному резервному копированию, а регистрационные карточки администраторов безопасности и операторов должны храниться в течение всего установленного срока хранения.
ПОРЯДОК УРЕГУЛИРОВАНИЯ СПОРНЫХ ВОПРОСОВ, СВЯЗАННЫХ С ПОДЛИННОСТЬЮ ЭЛЕКТРОННЫХ ДОКУМЕНТОВ
Разрешение спорных вопросов между Банком и Клиентом, связанных с подлинностью ЭД подписанных ЭП, включает установление факта наличия или отсутствия ЭД, определение авторства и/или содержания документа и осуществляется в претензионном (досудебном) порядке.
Электронный документ считается подлинным, если он был, одной стороной, надлежащим образом оформлен и подписан, а с другой – проверен и принят.
При наличии сомнений в подлинности ЭД или его содержания сторона – инициатор спора обязана направить (вручить) другой стороне письмо (претензию) с подробным изложением нарушения и обстоятельств происшедшего с предложением создать согласительную экспертную комиссию.
До направления письменного заявления сторонам рекомендуется проверить, что причиной возникновения спора не является нарушение целостности программного обеспечения, целостности среды исполнения на компьютере Клиента, компрометация ключей ЭП или несанкционированный доступ к ресурсам.
В случае согласия с претензией, содержащейся в письме, сторона, получившая письмо, незамедлительно уведомляет об этом другую сторону и устраняет нарушения, описанные в письме. Согласительная экспертная комиссия в таком случае не создается.
Порядок образования и полномочия согласительной экспертной комиссии.
В случае возникновения спора между Клиентом и Банком, на основании письменного заявления одной из сторон, стороны создают согласительную экспертную комиссию (далее – СЭК). Дата начала работы СЭК определяется сторонами. В состав СЭК входит равное количество представителей обеих сторон. При необходимости, с согласия обеих сторон, в состав СЭК может быть привлечен представитель (эксперт) незаинтересованной организации (в т. ч. из числа разработчиков программ, используемых в Системе). Полномочия членов СЭК подтверждаются доверенностями, выданными в установленном порядке. Состав СЭК должен быть зафиксирован в итоговом документе (акте), отражающем результаты работы СЭК. Расходы, связанные с оплатой услуг представителей незаинтересованной стороны, возмещает сторона, признанная СЭК виновной, если иное не предусмотрено дополнительным соглашением сторон.
СЭК осуществляет свою работу на территории Банка, с использованием ПЭВМ, программного обеспечении и ключевых элементов.
Срок работы СЭК – 5 (пять) банковских дней. В особо сложных случаях, по обоюдному письменному согласию сторон, этот срок может быть увеличен, но не более чем до 1 (одного) месяца.
Целью работы СЭК является установление подлинности ЭД, исполненного в рамках договора банковского счета.
Стороны обязаны предоставить членам СЭК возможность ознакомиться с условиями и порядком работы Системы. Стороны способствуют работе СЭК и не допускают отказа от представления необходимых документов, имеющих отношение к рассматриваемому спору.
В ходе рассмотрения СЭК спора о подлинности документа, исполненного с помощью Системы и подписанного ЭП, каждая сторона обязана доказать лишь то, что она своевременно и надлежащим образом выполнила положения настоящего Регламента и принятые на себя обязательства.
СЭК определяет, включая, но не ограничиваясь, следующее:
предмет разногласий на основании письма стороны – инициатора разбирательства и разъяснений сторон;
правомерность предъявления претензии на основании текстов договоров, заключенных в связи с подключением и обслуживанием Клиента в Системе;
документы в электронной форме, относящиеся к предмету разногласий;
идентичность Сертификатов открытых ключей;
идентичность электронного документа документу на бумажном носителе;
истинность электронной подписи электронного документа;
наличие и содержание подтверждения по электронному документу;
даты и время поступления, отправки электронного документа и подтверждения по нему;
исправность используемых ключевых дискет.
Для разбора конфликтных ситуаций СЭК принимает на рассмотрение электронные документы и подтверждения по ним и обязана использовать следующие, признаваемые сторонами, эталонные данные:
данные архива оригиналов принятых, отправленных документов;
данные базы данных регистрационных записей (журнал регистрации приема и отправки электронных документов);
подписанные сторонами подлинники Сертификатов открытых ключей сторон;
хранимую у Банка программу.
Принимая во внимание математические свойства алгоритма электронной подписи, реализованного в соответствии с требованиями стандарта Российской Федерации ГОСТ Р 34.11-2012, гарантирующими невозможность подделки значения сертифицированной ЭП любым лицом, не обладающим секретным ключом подписи, стороны признают, что разбор конфликтной ситуации в отношении авторства электронного документа заключается в доказательстве авторства подписи конкретного электронного документа.
По итогам работы СЭК составляет акт, в котором в обязательном порядке отражаются:
установленные обстоятельства;
действия членов СЭК;
выводы о подлинности предъявленного электронного документа;
основания, послужившие для формирования выводов.
Акт подписывается членами СЭК – уполномоченными представителями сторон не позднее 10 (десяти) дней с момента окончания работы СЭК. В случае, если подписание акта в этот срок не состоится, заинтересованная сторона вправе обратиться в арбитражный суд и без выработанного сторонами решения, а в качестве доказательства в судебном споре представить акт, составленный в соответствии с настоящим Регламентом.
В случае, если предложение о создании СЭК оставлено другой стороной без ответа (по истечении 15 (пятнадцати) дней со дня получения данного предложения другой стороной), либо сторона отказывается от участия в СЭК, либо работе СЭК были учинены препятствия, которые не позволили оформить надлежащий акт, заинтересованная сторона составляет акт в одностороннем порядке с указанием причины составления его в одностороннем порядке. В указанном акте фиксируются обстоятельства, позволяющие сделать вывод о том, что оспариваемый электронный документ, произведенный в Системе в соответствии с Договором «Интернет Банк-Клиент», является подлинным, либо формулируется вывод об обратном. Указанный акт направляется другой стороне для сведения.
Порядок определения правомерности претензии.
СЭК должна сравнить тексты представленных сторонами документов.
При наличии текстуального различия, экземпляр, имеющий оговоренные сторонами правки, вставки и иные изменения (подтвержденные расположенным в непосредственной близости к ним текста: «Исправленному верить с указанием даты и подписей полномочных представителей обеих сторон)», имеет приоритет перед экземпляром, таковых не имеющих.
Невозможность или отказ какой-либо из сторон представить экземпляр документа протоколируется и рассматривается вопрос о согласии представителей сторон продолжать работу комиссии с имеющимся экземпляром.
Сторона, предъявившая с опозданием претензию по факту, по которому в Договоре «Интернет Банк-Клиент» предусмотрены временные ограничения подачи претензии, считается не выполнившей условия Договора «Интернет Банк-Клиент» и в этом случае резюмируется вина этой стороны. В частности, претензии, рассмотрение которых связано с предоставлением СЭК электронного документа из архива сторон, должны быть поданы в пределах 7 (семи) банковских дней от даты получения документа соответствующей стороной.
Рассматриваемые споры.
СЭК рассматривает споры следующих основных типов, (данный список не является исчерпывающим):
Сторона – получатель ЭД утверждает, что инициирующая сторона – отправитель должным образом оформила, заверила (подписала) ЭП и передала на обработку документ, а сторона – отправитель отрицает факт подготовки, заверения (подписания) ЭП и передачи на обработку этого документа. В этом случае сторона – получатель предъявляет СЭК открытый ключ подписи стороны – отправителя в электронном виде и файл, содержащий спорный ЭД, подписанный ЭП стороны – отправителя. На специально выделенном компьютере устанавливается эталонное программное обеспечение для проверки корректности ЭП под документом. С помощью программы проверки ЭП проверяется корректность ЭП файла, содержащего оспариваемый ЭД. В том случае, если корректность ЭП подтверждается программой, виновной признается сторона – отправитель ЭД, в противном случае виновной признается сторона – получатель ЭД.
Решения СЭК, оформленные в соответствии настоящим с Регламентом являются обязательными для исполнения в добровольном порядке и в установленные СЭК сроки.
В случае уклонения от досудебного урегулирования спора или исполнения решения СЭК, споры подлежат рассмотрению в Арбитражном суде г. Москва.
|
