0
УКР
РУС
  • +38 (077) 397-97-97
  • +38 (066) 397-97-97
  • +38 (067) 962-24-42
Замовити дзвінок
Вхід Реєстрація
УКР
  • РУС
Каталог товарів
Мій кошик
Товарів: 0 Сума: 0.00 грн

Електронні ключі для програмних РРО

📅 11.02.2026

     Чи можливо вважати, що електронні ключі в програмних РРО є скомпроментовані?


Подробнее: https://djerelo.ks.ua/articles/komprometatsija_elektronnih_kljuchiv_v_programnih_rro

     Чи можливо вважати, що електронний ключ є скомпроментованим, якщо пароль для підпису передається електронному пристрою для автоматичного підпису документів? Це питання лежить на межі технічної зручності та юридичної безпеки. Якщо коротко: так, з точки зору чинного законодавства та кібербезпеки, це можна вважати дискредитацією (компрометацією) ключа.

     Ось чому це ризиковано і як це трактується:

     1. Юридичний аспект: «Особисте використання»

     Закон України від № 2155-VIII від 05.10.2017 «Про електронну ідентифікацію та електронні довірчі послуги». Цим Законом обумовлена робота з електронними ключами. В Законі також вказано, що власник ключа (підписувач) зобов’язаний забезпечувати конфіденційність та неможливість доступу інших осіб до особистого ключа.

  • Передача пароля пристрою: Як тільки ви вводите пароль у сторонню програму або скрипт для автоматизації (автоматичного підпису), ви втрачаєте одноосібний контроль над ним.
  • Відповідальність: Якщо пристрій підпише документ, який ви не бачили (через помилку або злам), ви не зможете в суді довести, що це "не ви". Юридично підпис, накладений за допомогою вашого ключа і пароля, вважається вашим особистим підписом, і прирівнюється до вашого власноручного підпису на папірці.

     2. Технічні ризики (Чому це небезпечно)

     Передача пароля автоматизованій системі створює кілька вразливостей:

  • Зберігання пароля: Де пристрій зберігає цей пароль? Якщо в коді скрипта, у файлі конфігурації або в базі даних — будь-який розробник або зловмисник, що отримав доступ до системи, автоматично отримує ваш підпис.
  • Логи та перехоплення: Пароль може потрапити в логи сервера або бути перехопленим під час передачі всередині системи.
  • Відсутність волевиявлення: Суть підпису — це підтвердження волі людини. Автоматизація перетворює підпис на технічний процес, де людина не контролює зміст того, що підписується.

     Якщо ваш пароль вже збережений у пам'яті якогось "несертифікованого" пристрою або скрипта:

  1. Вважайте цей ключ скомпрометованим.
  2. Змініть пароль або, що краще, відкличте сертифікат і згенеруйте новий.

   
 Щоб зрозуміти, чи можна довіряти програмі, пройдіть через цей "чек-лист безпеки":

     1. Перевірте тип інтеграції (Найважливіше)

     Програми можуть взаємодіяти з вашим підписом двома способами:

  • Безпечний (Локальний): Програма не "бачить" ваш пароль. Вона викликає спеціальний захищений модуль (наприклад, веб-віджет ЦСК або системну бібліотеку), ви вводите пароль у вікні, яке не належить програмі, і вона отримує лише готовий "результат" підпису.
  • Небезпечний (Передача вводу): Програма має власні поля для введення пароля і вимагає завантажити файл ключа (.jks, .zs2, .pfx) на свій сервер. Це величезний ризик, бо розробник технічно може зберегти ваш пароль і ключ.

     2. Юридичний статус розробника

     Перш ніж вводити дані, з’ясуйте, хто створив софт, наприклад офіційні банківські додатки: Приват24, ОщадPAY тощо. Вони проходять жорсткий аудит безпеки НБУ. Для державних систем та серйозних фінансових інструментів в Україні обов'язковою є сертифікація ДССЗЗІ (Держспецзв'язку).

     3. Наявність сертифіката КСЗІ

     Щодо програмних РРО: Приватні структури, софт яких працює з документами, які обробляють приватні дані, або інформацію з обмеженим доступом (Закон України «Про електронні документи та електронний документообіг» № 851-IV від 22.05.2003), в обов’язковому порядку повинні проходити «Комплексну систему захисту інформації»: Закон України № 80/94-ВР «Про захист інформації в інформаційно-комунікаційних системах» (в редакції від 05.07.1994, зі змінами). Якщо розробник заявляє, що його ПРРО або система документообігу має Атестат відповідності КСЗІ, це означає, що держава перевірила, як програма поводиться з вашими даними, і підтвердила її безпечність.

     Програмний РРО обробляє податкову інформацію, яка включає в себе як персональні дані, так і фінансову інформацію, самостійно підписує розрахункові документи та направляє їх до органів ДПС, а це означає що програмні РРО в обов’язковому порядку повинні мати Атестат відповідності КСЗІ. На сьогоднішній день жоден розробник ПРРО не заявив що його програма пройшла Атестацію відповідності КСЗІ.

     Для прикладу можна подивитися по цьому посиланню, як має виглядати процес Атестації

     4. Технічні ознаки "підвоху"

     Уникайте софту, який:

  • Просить прислати файл ключа та пароль у чат підтримки або на пошту.
  • Зберігає пароль "для зручності", щоб не вводити його наступного разу (якщо це не хмарний підпис типу SmartID наприклад для автоматичного підпису розрахункових документів та звітів).
  • Працює через HTTP (без літери S), тобто з’єднання не зашифроване.

     Як зробити це максимально безпечно?

     Якщо вам потрібно автоматизувати роботу (наприклад, ПРРО в магазині), найкращий шлях — розподіл ролей:

  • Не використовуйте основний ключ директора/ФОП у щоденних програмах.
  • Випустіть окремий ключ "Електронна печатка" для ПРРО або ключ на найнятого касира.
  • Навіть якщо цей ключ буде скомпрометовано через програму, зловмисники не зможуть з його допомогою, наприклад, переоформити ваше майно або подати змінену податкову декларацію, чи мати доступ до вашого банківського рахунку.

     Порада: Якщо у вас виникають сумніви, краще використовувати хмарні ключі (SmartID від Привату, ДІЯ-підпис). У такому разі ви підтверджуєте кожен підпис у своєму смартфоні самостійно.

     Висновок, чому наявність КСЗІ — це важливо для вас?

Коли ви вводите пароль від свого КЕП у програму, яка має атестат КСЗІ, ви захищені юридично та технічно:

  1. Державна гарантія: Експерти перевірили код програми на відсутність "закладок", які могли б вкрасти ваш пароль.
  2. Захист від зламу: Сервери компанії мають спеціальні контури захисту, що робить витік вашого ключа практично неможливим.
  3. Відповідність закону: Для деяких державних установ або великих корпорацій використання софту з КСЗІ є обов'язковою вимогою.

     Якщо розробник ПРРО не має атестата КСЗІ, юридичної та державної гарантії безпеки ваших ключів немає. Це не обов'язково означає, що програма "краде" ваші дані, але це означає, що ніхто не гарантує, що ваші ключі є безпеці, як саме зберігаються та передаються ваші паролі.

     Розбір ризиків та того, що ви отримуєте (або не отримуєте) у такому випадку:

     1. Відсутність незалежного аудиту

Без КСЗІ безпека тримається лише на "чесному слові" розробника.

  • З КСЗІ: Державні експерти (ДССЗЗІ) тестують софт на вразливості, перевіряють код і архітектуру серверів.
  • Без КСЗІ: Ви довіряєте внутрішнім стандартам компанії. Якщо в коді є помилка, через яку пароль зберігається в незашифрованому журналі (логах), ви дізнаєтеся про це тільки після того, як відбудеться злам.

     2. Юридична незахищеність

Це найслабша ланка. Якщо з вашим ключем виконають незаконну операцію (наприклад, подадуть підробну звітність):

  • Якщо ПРРО має КСЗІ, ви можете апелювати до того, що система сертифікована і стався технічний збій або злам захищеного контуру.
  • Якщо КСЗІ немає, податкова та суд стануть на позицію: «Ви самі передали ключ та пароль сторонньому софту, чим порушили правила конфіденційності. Отже, ви несете повну відповідальність за всі підписані документи».

     Резюме

     Гарантії без КСЗІ не існує. Є лише ваша довіра до репутації розробника софту. Для мікробізнесу (кав'ярня, невеликий магазин) це зазвичай припустимий ризик. Для великого бізнесу або компаній з великими оборотами — це критична вразливість, яку варто закривати переходом на сертифікований софт.

Потрібна консультація? Напишіть нам зараз!
c до
© 2016-2026 Компанія «ЕвроТехСервис»