“Некислая” электронная подпись для Дмитрия Медведева

Микита Микадо
из Quote Roller написал для нас пост об особенностях электронной подписи по-русски и рассказал о своем новом сервисе 
PandaDoc
, который позволит подписывать документы онлайн.

***

Согласно
недавнему заявлению
Дмитрия Медведева, процесс получения электронной подписи в России выглядит “мягко говоря, кисло”. Более того, не только этот процесс, но и сама электронная подпись в России “кислые”. Программное обеспечение и средства для подписания электронных документов доисторичны, неудобны и не понятны простому человеку. Получение Электронной Цифровой Подписи (ЭЦП) стоит порядка $30, занимает некоторое время, и требует личного визита в удостоверяющий центр.

Недавно
мы закрыли раунд посевных инвестиций
на $655.000. Все договора были подписаны онлайн без всяких флешек с ключами и сертификатами. Подписавшие инвестиционные договора стороны находились на разных континентах. Только благодаря электронной подписи нам удалось “закрыть” весь раунд за неделю, что было бы невозможно, будь наша компания зарегистрирована в РФ или Беларуси (откуда я родом). За державу, как говорится, обидно. Я решил проанализировать причины непопулярности электронной подписи в России, а также предложить несколько вариантов решения данной проблемы.

Рыба гниет с головы

 Я сейчас открыл сайт Госуслуг. Регистрация сложная. Я смотрю, она не изменилась… Обычному человеку вообще не разобраться, что тут написано. Загрузить плагин веб-браузера и так далее… Далеко не все, кто стучит пальцами /по клавиатуре/ понимают, зачем это надо.

Дмитрий Медведев, к сожалению, не знаком с тонкостями веб-разработки и зря пеняет на портал Госуслуг. Российский принцип подписания документов онлайн
без костылей
невозможно реализовать технически. Для аутентификации пользователя необходимо сделать запрос к API операционной системы, что позволяет сделать только Internet Explorer с кучей дополнительных ухищрений. Подпись документов на мобильных устройствах невозможна в принципе — флешки в них не “втыкаются”.

Российский закон о электронной цифровой подписи
, одобренный Советом Федерации в 2011 году, базируется на исследованиях 1984 года, — которые, в свою очередь, базируются на проблемах и технологиях 80-х годов. Закон сложно понять как технарям, так и юристам. Если просто, то у каждого бизнеса или гражданина должна быть пара секретных ключей. Один ключ хранится на личной флешке и запаролен пин-кодом, а другой находится в открытом доступе. Ключи нужно получить в специальном центре по предъявлению паспорта и/или учредительных документов компании. Документ при подписании шифруются с использованием ваших ключей.

Для сравнения, 
в законе, принятом в 2000 году США
, «электронная подпись» обозначает электронный звук, символ, или процесс, присоединенный или логически соединенный с контрактом или иным документом (записью), и производимый или принимаемый лицом с целью подписания документа (записи).

По сути, в США, если вы согласились в электронном письме с тем, что вы принимаете условия какого-то договора (например, пообещали что-то купить), это имеет легальную силу. В суде необходимо доказать лишь то, что это были действительно вы и сообщение / договор не были подменены. Аутентифицировать подписывающего в случае судебного разбирательства достаточно просто: логин, история вашего почтового ящика, IP, предыдущие переписки с отправляющей стороной. В случае разбирательства, судебная система принимает на себя головную боль с разбирательством о легитимности вашей электронной подписи (делает запросы в почтовые провайдеры, проверяет адрес IP подписывающего, итд).

Закон об электронной подписи в США очень прост, что позволяет подписывать документы онлайн “без костылей”. Можно сканировать и посылать по электронной почте подписанные “от руки” документы, а можно воспользоваться одним из десятка сторонних веб сервисов.

Российский подход позволяет защитить подписывающие стороны на 100%, а также упрощает работу суда. Однако, большое количество документов не нужно защищать на 100%. Иногда их достаточно защитить на 50%, оставив остальные 50% на усмотрение судьи, если вдруг случилось разбирательство. Представьте себе, допустим, договор о неразглашении, подписанный между вашей компанией и фрилансером. Электронная подпись не популярна в России, так как излишне сложна. Поэтому Дмитрию Медведеву стоит пенять на собственные ведомства и, в первую очередь, упростить закон.

Для того, чтобы решить проблему безопасности электронной подписи, в России были придуманы запутанные схемы в виде флешек с уникальными ключами, центры, которые эти флешки выдают, сертификаты, програмные комплексы, которые хранят зашифрованные документы и т.д. Но и это не сделало электронную подпись безопасной, так как флешки с уникальным ключом можно украсть.

Задачи легальности электронной подписи можно решить проще и без бюрократии.

Статичность подписываемого соглашения

Подписываемый документ (соглашение) должен быть статичным, т.е. не должен меняться с течением времени. Данная задача легко решаема использованием стороннего сервиса, который хранит документ и подписи всех сторон. Одна сторона загружает туда документ, выбирает, где и кому его необходимо подписать, и посылает ссылку на документ всем участникам соглашения, которые могут подписать документ онлайн (курсором в браузере, нажатием кнопки “я согласен”, пальцем на тач-паде, и т.д.).

Нейтральный относительно всех участников соглашения сервис выступает гарантом сохранности оригинального текста соглашения. Сторонний сервис не будет менять текст соглашения по запросу одной из сторон. Это не имеет никакого экономического смысла, так как испортит репутацию сервиса. Кроме того, участники соглашения вправе пользоваться тем сервисом, которому они доверяют. В крайнем случае сервисы можно сертифицировать. Однако, это необязательно — рынок выберет лидеров, которым можно доверять.

Именно так работают Американские компании
DocuSign
и
EchoSign
(продукт Adobe). Так же работает и наш
PandaDoc
. Совершенно понятно, что договора о продаже контрольного пакета акций ОАО “Газпром”, используя сторонний сервис, подписываться не могут. Однако, подобного рода схема достаточна для львиной доли подписываемых в России контрактов. В случае судебного разбирательства достаточно сделать запрос в  компанию-разработчик сервиса.

Аутентификация подписывающей стороны

Для того, чтобы подписанный документ имел юридическую силу, необходимо удостоверится, что подписывающий человек это и есть тот, кто нужен, а не хакер и не секретарша, которая стащила флешку-ключ со стола директора.

Известен ряд способов верификации подписывающей стороны. Некоторые из способов, приведенных ниже, могут использоваться в совокупности.

1. Верификация электронной почты. Только человек, имеющий доступ к электронной почте, на которую отправляется ссылка на документ, может этот документ подписать. Как правило, любому подписанию документа предшествует переписка по e-mail. Если после намерения подписать документ вы открыли ссылку в принадлежащей вам электронной почте, значит вы, как минимум, имеете доступ к почтовому ящику подписывающего.


2. Сохранение IP адреса подписывающего. Каждый подписывающий документ человек имеет IP адрес, с которого он получает доступ к документу. Этот IP сохраняется и прикрепляется к подписанному документу. Через один адрес провайдер может выпускать в интернет всех своих клиентов; однако, если документ открыт по уникальной ссылке присланной на email подписывающего и был подписан со статического IP, закрепленного за подписывающей стороной, “отвертеться” будет очень сложно.


3. Временной штамп. К каждому действию над документом любой из сторон прикрепляется временной штамп, показывающий, когда оно было произведено, вместе с IP адресом того, кто произвел действие.


4. Верификация по телефону. Подписывающий человек получает СМС код на телефон, который он должен ввести в систему. Только тот, кто имеет доступ к мобильному телефону подписывающего может подписать документ. Доказать принадлежность телефонного номера конкретному человеку в суде можно очень просто, например через контракт с сотовым оператором или логи телефонных звонков. К тому же, мобильный телефон украсть значительно труднее, чем флешку с ЭЦП (прим. редактора — с хуяли это? переписать). Двойной аутентификацией при помощи мобильного телефона пользуются многие американские банки включая Bank of America. Переводы значительных сумм денег осуществляются после двойной верификации (имя пользователя и пароль, а так же СМС код на мобильный телефон клиента).


5. Видео верификация. Для 200% удостоверения личности и намерения подписать документ в нашем продукте
   PandaDoc
   есть опциональная возможность записи видео, где каждый из подписавших документ говорит “Я, Иванов Иван, согласен с условиями соглашения  и подписал документ номер XXX, посланный Петром Петровым”. Сегодня любой ноутбук, планшет и смартфон имеют видеокамеру. Подделать видео, в котором подтверждающая сторона говорит о принятии и подписании соглашения, невозможно, каким бы хакером вы ни были. Тут сработает лишь утюг из 90-х.


6. Онлайн нотаризация. Каждую из сторон может верифицировать частный или государственный нотариус. В PandaDoc эта услуга стоит $20 за верификацию. Нотариус может верифицировать человека, так, как ему удобно: по телефону, паспорту, через видео конференцию, свидетельству о государственной регистрации, а так же удостовериться, что обе стороны подписывают один и тот же документ.

Для подписания серьезных контрактов можно использовать все вышеизложенные способы одновременно. При этом, никаких технических сложностей ни у одной из сторон не возникнет. Кроме того будет не нужно платить $30 за флешку раз в 2-3 года.

Разработка продукта, реализующего электронную подпись на основе принципов, изложенных выше, проста. Документы можно создавать, отправлять и подписывать как на компьютерах, так и на мобильных устройствах. Все, что нужно сделать конечному пользователю, это открыть ссылку в электронном письме, прочитать документ и подписать, используя требуемый отправителем способ, в том числе и пальцем на экране.

Какая разница как я соглашаюсь с условиями договора? Главное, что я соглашаюсь, и это действительно “я”.

Что дальше

Электронная подпись в России работает плохо, что было признано даже премьер-министром. Физические и юридические лица предпочитают подписывать и хранить бумажные документы, пускай для этого и приходится часами трястись в пробках, тратить уйму денег и времени на курьеров. Бумажные документы сложнее найти, они теряются чаще электронных, их очень дорого и небезопасно хранить.

В случае, если закон об электронной подписи будет упрощен, то государству не нужно будет тратить деньги на центры выдачи ЭЦП. Переход на электронные документы и подписи произойдет сам по себе, и на российском рынке появятся удобные приложения, которые понравятся даже Дмитрию Медведеву. Любой из нас сможет выбрать наиболее безопасный и подходящий способ для хранения и  подписания бумаг, не ограничиваясь исключительно российскими продуктами.

Про PandaDoc

Наша команда работает над простым веб и мобильным приложением, которое позволит подписывать документы онлайн. Наше главное отличие от лидеров рынка вроде
DocuSign
заключается в том, что
PandaDoc
легко расширяется при помощи сторонних приложений. Сделали мы это отчасти и потому, что хотим чтобы нашим продуктом пользовались и в бывшем СССР. Мы понимаем, что законы вряд ли быстро поменяются; нам  придется создавать граблеобразные решения для реализации Российской ЭЦП.

В настоящее время
PandaDoc
находится в закрытой бета-версии, запуск запланирован на сентябрь.

Нам нужна ваша помощь для того, чтобы упростить процесс подписания документов не только для американского делопроизводства, но и для отечественного. Был бы признателен за идеи для продукта, отзывы и комментарии.