Mobile ID: відповіді на актуальні запитання

  1. Що таке Mobile ID?

Mobile ID – це варіант реалізації технології кваліфікованої електронного підпису (КЕП), відповідно до Закону України «Про електронні довірчі послуги», який набрав чинності в листопаді 2018 року. Останнім передбачено, що кваліфікований електронний підпис має таку саму юридичну силу, як і власноручний підпис, та має презумпцію його відповідності власноручному підпису.

Mobile ID передбачає використання спеціалізованих SIM-карт для зберігання приватних ключів і створення електронного підпису за допомогою криптомодулю і захищеного програмного аплета.

  1. Чим мені може бути корисна simкарта з Mobile ID?

За допомогою Mobile ID прямо з мобільного телефону можна:

– підтверджувати вашу особу під час ідентифікації на електронних ресурсах в інтернеті – включаючи портали надання державних (адміністративних) електронних послуг;

– підписувати документи в електронному вигляді;

– віддалено підтверджувати операції, які зазвичай вимагають особистої присутності з оригіналами документів.

  1. Як це зроблено технологічно і чи безпечним є використання технології?

В Mobile ID використовується спеціальна SIM-карта. Вона підтримує всі стандарти зв’язку, але додатково містить модулі для зберігання ключів електронного підпису і засоби створення такого підпису. Отримати спеціальну SIM-карту і підписку на Mobile ID можна в авторизованих центрах обслуговування. Поки що такі центри є не в усіх магазинах мобільних операторів.

Для роботи з Mobile ID підходить будь-який мобільний телефон з будь-якою операційною системою. Завдяки протоколам взаємодії, заснованих на USSD-запитах, сервіс доступний і для кнопкових мобільних телефонів, і для смартфонів.

Всі SIM-карти проходять державну експертизу в сфері криптографічного захисту інформації. Вона підтверджує, що SIM-карта – засіб кваліфікованої електронного підпису і є захищеним носієм особистих ключів. Тобто особисті ключі для створення електронного підпису, ніякими програмними засобами не можна зчитати, скопіювати і, отже, вкрасти.

Крім того, перед запуском системи Mobile ID мобільний оператор створює комплексну систему захисту інформації, яка проходить атестацію відповідно до законодавства. В ході атестації оцінюються всі аспекти, пов’язані із захистом інформації в системі – і організаційні, і технічні.

  1. Які електронні сервіси вже зараз дозволяють використовувати Mobile ID?
СЕРВІС URL
Верифікація на сайті Мін’юсту https://ca.informjust.ua/sign
E-Gov https://id.gov.ua/
Сервісний центр МВС http://hsc.gov.ua/elektronnij-kabinet-vodiya/
Реєстр дозволів на Спеціальне водокористування https://e-services.davr.gov.ua/
Єдина система місцевих петицій https://e-dem.in.ua/
Харківський портал Електронна послуг https://e-kharkiv.org
ЦНАП Івано-Франківськ http://www.cnap.if.ua/
ЦНАП Дніпро https://cnap.dniprorada.gov.ua/
Deals (ЕДО) http://ds.loc/uk/
StarDocs (ЕДО) https://kyivstar.ua/ru/sme/stardocs

Також існує ряд інших сервісів при використанні яких можна використовувати Mobile ID і з кожним днем їх перелік збільшується.

  1. Як відбувається взаємодія між користувачем і системою?

Електронний портал, доступ до якого ви хочете отримати, як користувач послуги Mobile ID, повинен бути підключений до платформи Mobile ID з програмного інтерфейсу (API). Cама ж платформа Mobile ID підключена до провайдера послуг кваліфікованого електронного підпису АЦСК органів юстиції України. Провайдер послуг КЕП забезпечує обслуговування сертифікатів відкритих ключів їх власника – невід’ємної частини технології електронного підпису. У них, крім відкритих ключів електронного підпису, містяться ідентифікаційні дані передплатника – створювача КЕП.

Наприклад, вам потрібно зайти на електронний портал, де можна авторизуватися за допомогою Mobile ID. Ви залишаєте на електронному порталі запит на авторизацію в вигляді номера телефону. У відповідь на ваш телефон відправляється запит підтвердження доступу, який ви повинні підписати за допомогою приватного ключа. Для доступу до приватного ключу і накладенню підпису ви вводите PIN-код на мобільному телефоні.

Підписаний запит на підтвердження доступу по API з платформи Mobile ID передається в АЦСК органів юстиції України для перевірки статусу сертифіката відкритого ключа. Якщо сертифікат валідний, то відбувається ідентифікація на порталі.

  1. Скільки часу займає оформлення Mobile ID?

Оформлення послуги включає в себе ідентифікацію користувача по документам, заміну SIM-карти, генерацію приватного і відкритого ключів і випуск сертифіката відкритого ключа. В середньому це займає 15-20 хвилин.

  1. Які документи необхідні для підключення послуги Mobile ID?

Такі ж, як для отримання послуги КЕП у будь-якого провайдера довірчих послуг.

Для фізичної особи це оригінал паспорта громадянина України та оригінал облікової картки платника податків (за наявності) – власника сертифіката.

Для представника юридичної особи або корпоративного абонента додатково потрібно підготувати документи, що дозволяють ідентифікувати юридичну особу, його керівника і приналежність користувача до юридичної особи.

Для самозайнятих осіб (адвоката / нотаріуса / приватного виконавця) – додатково свідоцтво на право займатися адвокатською / нотаріальною діяльністю або діяльністю приватного виконавця.

  1. Що робити, якщо я втратив телефон з Mobile ID?

Послуга надається з використанням спеціальної SIM-карти. Тому в разі втрати або крадіжки телефону ви можете стандартно заблокувати номер телефону за заявою. В цьому випадку доступ до послуги Mobile ID також автоматично відключиться. Сертифікат залишається чинним, поки ви не відкличете його через АЦСК органів юстиції України. Але послуга нікому не буде доступна.

Щоб відновити доступ до послуги Mobile ID, потрібно буде отримати нову SIM-карту зі збереженням номера. Оператор допоможе провести генерацію на SIM-карту нового особистого ключа і сформувати новий сертифікат.

  1. Чи можливо записати на SIM-карту з Mobile ID кілька ключів кваліфікованої електронного підпису і отримати відповідну кількість сертифікатів? Наприклад, один для фізичної особи, один як для представника юридичної особи?

Практично на сьогодні на одну SIM-карту генерується один ключ і видається один сертифікат. Це або сертифікат фізичної особи, в якому містяться персональні дані (прізвище, ім’я, по батькові, код платника податків). Або сертифікат представника юридичної особи, де крім персональних даних передплатника міститься інформація про юридичну особу, яку він представляє (найменування організації і код ЄДРПОУ).

Технологічно SIM-карта підтримує можливість роботи з декількома ключами і сертифікатами. Однак таке зберігання може вплинути на зручність користування сервісом: користувачеві доведеться вибирати той чи інший ключ для різних ситуацій.

  1. У бізнес-структурах використовується механізм, коли одна людина очолює різні юридичні особи. Або номер мобільного телефону підв’язано до посади, але не до людини. Юридично ми можемо відкликати сертифікат однієї юридичної особи, залишаючи сертифікат іншої юридичної особи. Якщо сертифікат буде один, ця схема не працює.

Ми живемо в правовому полі закону про електронні довірчих послуги. Він чітко визначив, що передплатником (власником приватного ключа і сертифіката відкритого ключа) є фізична особа. У правовому полі немає такого передплатника, як юридична особа.

Для віддаленої ідентифікації представника юридичної особи в інформаційній системі необхідно підтвердити свою приналежність до організації. Для цього в сертифікат фізичної особи додаються ідентифікатори, які підтвердять цю приналежність. А саме – код ЄДРПОУ та назва організації, до якої відноситься передплатник.

При цьому передплатник не перестає бути громадянином України, тобто фізичною особою. Сервіси, які вимагають підтвердження ідентифікації користувача виключно як фізособи, повинні беззастережно приймати сертифікат, в якому є ідентифікатори юридичної особи. Якщо ж сервісу необхідно ще й підтвердження приналежності фізичної особи юридичній, то сервіс повинен проаналізувати сертифікат ще й на наявність ідентифікаторів юридичної особи.

Якщо ж передплатник представляє кілька юридичних осіб, йому необхідно мати кілька приватних ключів і сертифікатів. На жаль, це правило діє не тільки в нашій країні. Проблема – в нестачі інформаційного обміну між базовими реєстрами країни, в яких обробляється інформація про фізичних та юридичних осіб.

  1. Припустимо, я беру участь в судовій справі. Як фізична особа я подаю документи в суд в електронному вигляді, підписую за допомогою сертифіката, в якому є реквізити юридичної особи. Чи не буде в такому випадку у суду до мене запитань?

Згідно із законом передплатник є фізичною особою. Юридична особа може виступати тільки як творець електронної печатки.

Передплатник повинен віддавати собі звіт про те, які зобов’язання він приймає на себе при накладенні підпису. Вирішальну роль відіграє зміст документа. Слід зазначити, що при видачі сертифіката провайдер гарантує приналежність передплатника до юридичної особи тільки на момент випуску сертифіката. Теоретично можлива ситуація, коли передплатник залишає юридичну особу, яка не анулює сертифікат і перевищує повноваження, продовжуючи створювати документи як представник організації.

  1. Якщо у мене закінчується сертифікат, потрібно йти і отримувати новий?

В даному випадку у вас є можливість отримати нові сертифікати дистанційно. Відповідно до Закону «Про електронні довірчі послуги», допускається ідентифікація фізичної особи кваліфікованим надавачем електронних довірчих послуг за ідентифікаційними даними, що містяться у раніше сформованому ним кваліфікованому сертифікаті відкритого ключа, за умови чинності цього сертифіката.

Дистанційно сформувати нові сертифікати зможуть лише ті користувачі, які мають:

  • чинні сертифікати (наприклад, до закінчення строку чинності сертифікатів залишилось декілька днів);

незмінні реєстраційні дані (ПІБ, адреса реєстрації місця проживання, код ЄДРПОУ організації тощо);

особистий ключ доступний лише користувачу та не є скомпрометованим.

  1. Якщо я отримую сертифікат фізичної особи, а через тиждень знадобиться сертифікат для представника юридичної особи, що необхідно зробити?

Якщо ми говоримо про послугу Mobile ID, то на даному етапі буде необхідно відвідати офіс оператора мобільного зв’язку і замінити SIM-карту. При цьому користувачу випустять новий сертифікат для нової ключової пари. У новому сертифікаті буде більше інформації. Він буде діяти з моменту підтвердження повноважень представника юридичної особи, що вимагає копій відповідних документів. Нагадаю, що за допомогою такого сертифіката користувач зможе і далі отримувати сервіси, адресовані фізичним особам.

  1. Як бути у випадку, якщо я звільняюся з компанії, при цьому у мене оформлений Mobile ID з сертифікатом для представника юридичної особи?

Закон також накладає зобов’язання і на передплатника. Серед іншого вони полягають в необхідності анулювання сертифіката, якщо у передплатника змінюються дані, зазначені в сертифікаті.

Для отримання послуг, призначених для фізичних осіб, потрібно отримати сертифікат для такої категорії користувачів.

  1. Чи можуть абоненти, які користуються корпоративним номером, оформити на нього послугу Mobile ID?

Для провайдера довірчих послуг це не принципово. Провайдер видасть такий сертифікат, який замовить абонент. Однак користувачу варто пам’ятати, що номер телефону оформлений на особовий рахунок юридичної особи і формально абоненту не належить.

За договором з оператором мобільного зв’язку номер належить юридичній особі, як і SIM-карта, яка є товарно-матеріальною цінністю юридичної особи.

  1. Чи може послуга Mobile ID бути надана працівникові, якщо у нього немає довіреності від підприємства?

Якщо співробітник прийшов в пункт надання послуги без довіреності, він не підтвердив свою належність до юридичної особи. Тому він отримає відмову у видачі сертифіката з реквізитами організації.

  1. Буває, що працівник звільняється з компанії, але його складно попросити піти і анулювати сертифікат. Чи має право компанія сама відкликати сертифікат?

Є політики, які дозволяють анулювати сертифікат з отримання інформації не від працівника компанії, а від організації. Якщо компанія замовила послугу, вона має право і відкликати сертифікат. Провайдер довірчих послуг зобов’язаний його анулювати, якщо до нього прийшла підтверджена інформація про те, що в сертифікаті на даний момент знаходяться недостовірні дані, тобто користувач більше ніяк не пов’язаний з цією організацією.

  1. Чи є можливість у підприємства через якийсь API управляти сертифікатами своїх співробітників? Наприклад, блокувати їх або міняти посадову прив’язку.

Такого API жоден провайдер в Україні не надає. Це передбачено політиками безпеки. Таке право має тільки особа, пов’язана з провайдером трудовими зобов’язаннями.

  1. Припустимо, людина звільнилася з компанії, але не змінив сертифікат, який підтверджує приналежність до організації, на звичайний сертифікат фізособи. Яка відповідальність для нього настає?

Якщо після звільнення громадянин підписав документ від імені юридичної особи і дав документу хід, значить, він перевищив повноваження. За це настає юридична відповідальність аж до кримінальної. Перевищені повноваження при створенні електронного документа, як і в звичайному житті, вирішують компетентні органи відповідно до закону.

Джерело:

При створенні даного матеріалу було взято за основу статтю «Загадочный Mobile ID для бизнеса: 22 ответа от экспертов»

Усі новини