Я что-то не понимаю ничего. В России столько кидальных контор, выросло несколько поколений black & white lawyers, никто никогда никому не доверял.

Вот, например, был директор, он уволился, подписал документы, потом опять его приняли на работу директором. В российском суде позиция того, кого так кинули будет крайне слаба - ну, он подписал, но он не был директором.

Насколько я знаю, в буржуинстве такое уже давно прошли и победили. Судья там спросит - вы же знаете этого человека, вот он у вас пошел на повышение, и вы не знали, что он уволен и подписывает? Вы недобросовестны, решение вынесено в пользу истца.

И что же мы видим с развитием ЭДО? Я подключаю ЭДО, директор даже не знает, что за него подпись изготовили. Я подозреваю, что я могу наплодить десять элементов справочника Физические лица с фио гены. И для каждого изготовить подпись.

Я могу подключать клиенту ЭДО, а мне скажут, ну, контейнер закрытого ключа возьми вот с того компьютера. Я его возьму, а потом под эту подпись кто-то отгрузит вагон электроники. Вот дела. У меня все - прямо - протестует внутри. Это невиданный уровень доверия для России. Вам не кажется?

во всех известных мне конторах за директора и так расписываются менеджеры

ну, или секретарша

(2) ну, или за незначительные суммы (доставщику бумаги в офис, курьеру за полученный пакет). А вот за вагон электроники ой как трясутся. Обычно предупреждают, кто приедет от нас, что он выехал и приедет вот в это время, что вот на такой машине и с вот таким паспортом. И если он забыл доверку, то там греха не оберешься (он-то уже приехал, можно ли ему грузить), пока топменеджеры лично не созвонятся, никто экспедитору груз не отдаст. такая практика, если не дураки, конечно.

(3) Если уголовный кодекс не мешает, то никакие ручные подписи не спасут.

(0)Без ведома директора нельзя ЭЦП выпустить, он в документах и Сертификате должен расписаться. А так и раньше можно было подпись на бумаге подделать. В суде разберутся

(0) Так у нас все работает не на доверии, а на понятиях, соответственно, хоть девяностые годы у нас и прошли, но терморектальный криптоанализатор у нас еще никто не отменял, соответственно, лично тебе стоит бояться не суда, а применения этого самого крайне эффективного устройства к собственной Ж...

(5) Проблема не в получении ЭДО, а в
>>Я могу подключать клиенту ЭДО, а мне скажут, ну, контейнер закрытого ключа возьми вот с того компьютера

(7) А ты подключал ЭДО? Ты каждый раз контейнер делаешь? Если контейнер уже есть, ты его просто берешь. Не важно, на этом компьютере он или на другом. Но - вероятнее всего - его уже сделали до тебя. Потому что как-то отчетность они сдавали.

(7) Это не проблема, сейчас ЭЦП можно на токен выпустить с запретом копирования

(9) Не проблема для кого? Для того, кто подписывает. А для того, кто получает подписанные документы?

Вообще подделка подписи - уголовное преступление. В этом вашем "забугорье" - это еще и в культуре сложилось, расписаться за человека "западло", это как украсть из тумбочки мобильник.

(0) нет, не кажется. Если вы работали в крупных конторах, то должны понимать, что за гендира часто расписываются по приказу и он физически не может контролировать все бумаги. То есть уровень доверия действительно достаточно высок.

(0) А вот банк например. Уволился директор, прошел месяц, а платежки продолжают идти под ЭЦП старого директора. Как банк узнает, что директор уволился? У него несколько тысяч таких директоров, всех не посчитаешь. Что делать с такими платежками? Аннулировать? Тоже вроде не правильно.

Предлагаю блавбуху первую подпись отдать. Он никогда не уволится!

(13) Вообще-то главбух и директор первые на увольнение (по трудовому кодексу их уволить легче всего, просто не продлив контракт). А рядового сотрудника просто так не уволишь, пока сам не уволится или не будет сокращения. Это так, на минуточку юридическая сторона дела, то Трудовой кодекс.

(13) да хоть уборщице отдать можно

Вот почему ЭЦП должна быть только аппаратной. Некопируемой и с аппаратной пин-клавиатурой. Шифрование должно проводиться внутри микросхемы, защищенной от снятия и подмены информации.
А все эти сертификаты на компьютере и ключи на флешках - просто несерьезно всё это.

(13) Вообще-то аннулировать в такой ситуации старую подпись и выпустить новую на нового дира - в интересах не столько банка, сколько организации-клиента.

(17) Про то и речь, что никто не заморачивается в основном

(17) Для организации это только лишний гемор, ибо обычно тот же директор эту ЭЦП и в руках не держал ни разу.. расписался на запросе сертификата и всё. А собственно подписывал главбух или иное доверенное лицо.

(16) Есть разумная степень безопасности. Что один человек создал - другой завсегда сломать сможет (с). Подписи подделываются, печати печатаются на хорошем струйнике. Это жизнь. Неудивительно, что найдутся и те кто будет подделывать ЭЦП.

(16) да это для отчётности, а банковские в реестр не пишутся, да и на флешки единицы позволяют, в основном только на токен

(0) Ключевое слово .. директор . Он и гл. бух под статьей.

+(22) Так что в гроссе учитывается и этот фактор.

(20) пока не нашлось, там биологический датчик при генерации. генерация прямо на токен

(20) Просто если подписи ставит компьютер - то любой вирус или троян имеет доступ к ключам и к интерфейсу шифрования. И теоретически может натворить что угодно с финансами.
(21) Пин-код, введенный с клавиатуры компьютера, легко перехватить - и эти ваши токены летят как фанера над парижем, ибо он не сможет отличить живого пользователя от трояна

(25) "введенный с клавиатуры компьютера" ну ты динозавр, их давно с экранной клавы вводят

А что волнует? Сидеть будет директор, вот его это и пусть заботит.

(19) Понятно что гемор, но некоторые представления о безопасности у ответственных лиц должны быть. Там не нужно семи пядей во лбу быть для этого.

(25) Да я даже не про то, что что-то где-то перехватят. Просто делаешь подпись, а гена даже ни сном, ни духом. Общаешься-то с главбухом.

(29) на реализации делаются отгрузки в день на десятки лямов, а гена узнает об этом на следующий день из отчетов. Расписываются за него сотрудники склада. Странно, да?

То, что погромист имеет свободный доступ к подобным объектам (ЭЦП, ключи к клиент-банкам и т.п.) показывает не невиданный уровень доверия, а банальное ра3.14здяйство СБ, директора и главбуха вместе взятых. Многие просто всерьез не воспринимают важность этих данных.

(25) это понятно. А если есть большая контора и у десятка людей есть право подписи, то трояном может быть не очень добросовестный сотрудник. Бывает...

(25) + по этому ВСЕГДА есть 2 ступень защиты: это либо привязка по MAC, либо е токен пасс с одноразовыми паролями, либо смс подтверждение

(26) Чуть усложняется работа трояну, но не принципиально.

(31) будете смеяться но аудиторы безопасности обычно делают квадратные глаза когда узнают какой уровень доступа у системных админов, особенно в системах рядом с которыми какието клиентбанки меркнут по масштабности

(34) можно и принципиально усложнить. Капчу сделать, к примеру, на экранной клаве. Вопрос - нужно ли.

(35) а самое смешное, что если его понизить, может получиться так что контора встанет

Банки давно перешли на ЭЦП с одноразовыми ПИН (или на сотовый SMS, или на толкине экранчик). Пин генерится для каждой операции не попадаемой под понятие "упрощенная".

ЭЦП выпускаемые для документооборота то же делают с пином :)

(36) Принципиально - это аппаратный "шифратор-подписатор" с пин-клавиатурой и дисплеем. И с простейшим протоколом обмена - туда документ, оттуда зашифрованный подписанный бинарник.

(38) Иногда это так задалбывает, особенно когда смс застряют у оператора( Аппаратный токен с клавиатурой было бы лучшим решением. Многие организации предпочли бы переплатить пару тыщ за это, но не связываться с смс.

(40) идешь в банк и пишешь заявление "суммы менее 1 ляма без SMS", все....

(41) Ну это несерьезно.

(40)http://www.aladdin-rd.ru/catalog/antifraud/

(41) а толку от заявления. Банк говорит не положена, у нас безопасность и без СМС никак нельзя. И точка. И хоть обпишись

вот такой ставь http://www.aladdin-rd.ru/catalog/etoken/otp/

(0) > контейнер закрытого ключа возьми вот с того компьютера


пароль есть ещё к нему

(45) Это банк решает, какой ключ выдать клиенту, а не клиент.

(35) А мне-то чего смеяться, у меня дружище закадычный в банке крупном уже четвертый год в отделе инф. безопасности главспецом работает. Такое рассказывает порой, что квадратные глаза - это так, мелочи жизни =)

(0) Ты видимо еще не слышал про электронную подпись в ЕС. :) У нас самый суровый закон в этом смысле.
А исполнение - это кто как хочет. :)

(49) В примерно представляю себе уровень доверия. Он выше во всех областях. Там нотариус может позвонить человеку и спросить, вы такой-то такой-то, вы подписывали вот это? И верит на слово. Страна непуганных идиотов, с нашей точки зрения. Но если там выявляется мошество, то эта страна непуганных идиотов очень быстро реагирует: очень быстро суд накладывает арест на имущество (обеспечительные меры), буквально сразу, поэтом разбираются, что к чему. Ну, и общая культура, конечно, выше. Кредит-бюро работают - просто так тебе никто ничего не даст, а если у тебя история хорошая, никого не кидал, так почему же не отгрузить.