Следующий в списке — Кабинет налогоплательщика. Думаю, это очень полезный интернет-ресурс. Сложно переоценить его значимость для налогоплательщиков. Но на нём, также как и в случае с порталом электронного лицензирования РК, обнаружены те же два замечания: одно замечание жёлтого уровня [😐], а другое — красного [🤬] (об уровнях).
В кабинете налогоплательщика не реализован контроль доступа к данным юридического лица на основании полномочий, указанных в сертификате (регистрационном свидетельстве) использованном для аутентификации. В результате, достаточно иметь сертификат сотрудника юридического лица без каких либо полномочий (в частности, без права подписи документов) для того, чтобы пройти аутентификацию и просмотреть все размещённые на нем материалы данного юридического лица.
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка полномочий лица подписавшего документ (подпункт 7, пункта 6).
При выпуске ключей ЭЦП для сотрудников юридического лица можно указать, какие полномочия имеет владелец выпускаемых ключей (первый руководитель, сотрудник отдела кадров и т.д.).
Соответственно, при выполнении проверки ЭЦП необходимо также проверять и полномочия подписанта согласно данным, записанным в сертификате ключа ЭЦП. Если провести параллель с бумажным миром, вряд ли подпись рядового сотрудника, при отсутствии соответствующей доверенности, будет принята при сдаче отчётности в налоговый орган.
Отсутствие такой проверки хотя бы в одной информационной системе нашей страны ограничивает возможность выпуска организациями сертификатов для таких своих сотрудников, которым не требуется возможность подписывать документы от имени организации, но требуется подписывать документы в качестве сотрудников организации, например, внутренние наряд-задания на производстве.
Как следствие, у компаний пропадает стимул выпускать ключи ЭЦП для сотрудников, кроме как ЭЦП первого руководителя с соответствующими полномочиями и использовать только её. То есть, данная ситуация ограничивает возможности отечественных компаний в использовании ЭЦП для своих бизнес-процессов в рамках программы цифровизации.
Кабинет налогоплательщика позволяет проходить аутентификацию по отозванному сертификату.
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка регистрационного свидетельства на отозванность (подпункт 2, пункта 6).
Для чего производится отзыв сертификата ключей ЭЦП? Например, если сотрудник юридического лица увольняется из организации. Или если владелец ключей ЭЦП подозревает, что посторонние могли получить доступ к закрытым ключам его ЭЦП.
К чему это может привести? Ключом ЭЦП может воспользоваться лицо, не уполномоченное владельцем ЭЦП на совершение действий от его имени (посторонний).
Кроме того, по моему мнению, если проверка ЭЦП совершена с нарушением законодательства РК, данная подпись не является юридически значимой, разумеется, с соответствующими юридическими последствиями.
В соответствии с пунктом 7 того же приказа, техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на информационную систему. Т.е. корректная проверка подлинности ЭЦП — обязанность собственника информационной системы.
Vladimir Turekhanov ・ December 22, 2020