Жила была маленькая фирма. У Директора был КЭП. С помощью КЭП сотрудники работали - подписывали через ЭДО документы (первичку), заходили на порталы, сдавали отчетность.
Фирма выросла и встал вопрос о безопасности.
Вопрос: можно ли выдать сотрудникам свою КЭП что-бы они подписывали документы своей КЭП?
А отчетность? (Гл. буху и бухгалтерии свои КЭП) А порталы? (Допустим таможня)

Звонил в СБИС они толком пояснить не могут.

по крайней мере для ФСС на госуслугах можно выдать полномочия сотруднику (зарегистрированному на госуслугах), и там уже его КЭП

(0) можно оформить ЭП на сотрудника, а с нового года, для руководителя организации и ИП только КЭП от налоговой

причем оформлять ЭП нужно на каждого сотрудника, кто работает с эл. документами и отчетностью

(3) Сотрудник что может этим ключом делать?

(3) можно перевыпустить до нового года и они будут рабочими год, ну а потом в налоговую. )

(6) Мне интересно мне сотруднику (допустим менеджеру, выписывающему документы) можно персональную КЭП сделать с его ФИО?

Тут дело не только в УКЭП сотрудника, еще нужны машиночитаемые доверенности на них.

С 01.01.2022 года вступят в силу поправки в закон об электронной подписи (от 06.04.2011 № 63-ФЗ), внесенные Федеральным законом от 27.12.2019 № 476-ФЗ. Новые нормы содержат правовые основы для использования квалифицированной электронной подписи при участии в правоотношениях индивидуальных предпринимателей и юридических лиц, а также доверенностей для подтверждения полномочий представителей в электронном виде.

Физлица, представляющие компанию или ИП по доверенности (например, сотрудники компании или ИП), должны будут предоставлять контрагенту к подписываемым документам электронную машиночитаемую доверенность (МЧД), подписанную соответственно руководителем юрлица или ИП. Возможным также будет подписание МЧД иным уполномоченным лицом в порядке передоверия.

(3) причем КЭП от налоговой, будет не извлекаемой. А это значит один ключ с КЭП на всю организацию.
А теперь, с этим всем, мы попробуем взлететь.

(7) да, можно

еще ньюанс, для сотрудников ЭП, может выпустить любой удостоверяющий центр, а руководителю организации или ИП, только налоговая и аккредитованные ею организации

(11) справедливо для подписей, выпущенных после 01.01.2022

(7) Сделать-то можно, но полномочия (доверие этой КЭП) должно быть подтверждено КЭП Руководителя. Всё это через 14 дней.

(13) так бумажная доверка и раньше была от рукля сотруднику, на которого ЭП. Сейчас она внешне либо не сильно изменилась, либо вообще не изменилась, тут не знаю, не заметил изменений.

вот со следующего года для тех подписей, которые не будут содержать данные организации - будет какая-то машиночитаемая доверка, про которую никто ничего не знает и непонятно как она должна работать.

так что, ребята, кто хочет чтобы в следующем году жилось слегонца спокойней - перезаказывайте ЭП, пока можно, у своего родного коммерческого УЦ. Осталось полторы недели, вполне можно успеть.

(9) Налоговая пишет ЭЦП не только на неизвлекаемые носители, но и на Рутокен-лайт, который по сути хранит ключи в открытом виде.. и флажок "некопируемости" лишь в расчете на честность ПО, работающего с ключом. Того же КриптоПро. Технически можно например повесить сниффер на USB или прочитать токен через его низкоуровневое апи.

(15) По уму, не надо ничего изобретать. Просто сделать ЭЦП руководителя сертификатом промежуточного УЦ. Чтобы можно было им удостоверить сертификат сотрудника. Получилась бы цепочка доверия Сотрудник-Руководитель-ФНС-Головной УЦ минсвязи. Но всякие там сбисы и контуры явно против - это же у них кормушка исчезнет...

(18) Ну, со следующего года она так и так у них исчезнет, если я верно понял, выдавать они ничего не смотут, если не станут доверенными лицами ФНС.

(17) мне кажется, там не все так просто будет. Сертифицированные ключи продают недешево, это тоже кормушка, причем, скорее всего, для людей более серьезных, чем коммерческие УЦ. Взлом означает, что ключей станет нужно гораздо меньше, то есть уменьшится доход. Поэтому вряд ли они будут спокойно сидеть и смотреть как все это расхачат.

Какая разница,извлекаемый или нет,если он на токене,а токен в компьютере,то подписать сможет любой,кто к этому компьютеру имеет доступ.
Опять же,если на компьютере программа,которая сама подписывает по определенным условиям,то ничего не изменится.
И,неизвлекаемый млжет быть только ключ подтверждения сертификата - сам сертификат должен прекрасно читаться с носителя,т.к.суть сертификата,что это публичная информация.

(21) да, это верно, тут мы допустили термионологическую путаницу, на самом деле речь идет о ключе. То есть речь о том, что пропадает возможность скопировать полный комплект того, что нужно для подписания, на другой компьютер или носитель.
Ключ в компе - это не совсем то же самое что копия. Во-первых, некопируемый ключ автоматически означает, что подпись конкретным человеком (или ключом) может генерироваться только из одного места - из того, куда сейчас вставлен ключ. Нельзя взять подпись и разнести ее по нескольким машинам, тем самым сэкономив время на подготовке документов на получение подписи и деньги на стоимости ключей.
Если внезапно выяснилось, что подпись нужна еще для каких-то других новых нужд на другом компьютере, вы не можете просто скопировать данные имеющегося токена, вам надо заново готовить документы на нового человека. Из-за этого может быть простой и убытки для предприятия. Это реальная проблема.

Ну неизвлекаемый ключик из реестра вытащить очень просто. Жалко что эту лавочку прикрыли получается

(23) "Неизвлекаемый" и "некопируемый" - не одно и то же. Неизвлекаемость означает, что ключ в принципе не покидает токена, вся криптография производится аппаратно внутри ключа. Некопируемость же - это всего лишь флажок в свойствах ключа, что этот ключ нельзя скопировать средствами КрипроПро.

Сертифицированные для ФНС рутокены есть как с настоящей неизвлекаемостью ключа (Рутокен ЭЦП), так и с её имитацией в виде "некопируемости" (Рутокен Лайт).

Предполагаю, что в недалеком будущем появятся утилиты, которые смогут копировать "некопируемые" ключи - запрос на это в сообществе огромный. Далее или государство смирится с этим, или же обяжет перейти на настоящие токены с аппаратной криптографией.

(24) Сразу видно понимающего человека.

Я про тех. возможности знаю. Я про юридические. Т.е. мы подпись получаем и хотим ограничить права человека ну или хотя - бы сделать так что бы ключ был его через доверенность.