18 июля 2016 г.

Базы и банки данных в новых законах. Часть 2. Реестры фискальных операторов, фискальных носителей и ККТ

Продолжаем обзор изменений законодательства, произошедших по результатам работы весенней сессии Государственной Думы.
15 июля вступила в силу новая редакция Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа», в который Федеральным законом от 03.07.2016 № 290-ФЗ внесены радикальные изменения. Фактически, начинает действовать совсем другой закон о совсем других кассовых аппаратах и совсем с другими правоотношениями.
В законе – много интересного с точки зрения информационной безопасности и обработки персональных данных, но почему-то об этом именно в среде ИБ-специалистов практически ничего не пишут. А зря. Фактически создается новый сегмент рынка средств защиты информации, возможно, гораздо больший по объему, чем тот, которой связывают с пакетом Яровой-Озерова. К антитеррористическому пакету правительство должно принять ряд НПА, только после которых станет ясно, кто, что и как будет хранить, а вот кассовые аппараты есть в каждом магазине, а с принятием закона их должно стать существенно больше.
Попробую кратко восполнить этот пробел.
Если коротко, теперь все (все, подчеркиваю!) кассовые чеки должны сразу же после их создания направляться прямиком в ФНС по защищенному каналу связи в интернете и там, в ФНС, храниться.
Для этого каждому продавцу товаров и услуг контрольно-кассовую технику (ККТ) надо заменить на другую, правильную, завести интернет в каждый магазин, ларек и машину такси, принять меры по целостности фискальных данных и т.д.
Создаются новые институты и реестры: кабинет ККТ на сайте ФНС; реестр ККТ, в котором регистрируются сведения о каждом изготовленном экземпляре (!) ККТ, и реестр фискальных накопителей также с регистрацией сведений о каждом таком накопителе; журналы учета ККТ, ведущиеся налоговыми органами (карточка регистрации ККТ с указанием ее регистрационного номера в таком журнале должна быть подписана усиленной квалифицированной электронной подписью); реестр экспертных организаций, соответствующих требованиям законодательства о применении ККТ; базы фискальных данных.
Вводится очень интересное определение ККТ – «электронные вычислительные машины, иные компьютерные устройства и их комплексы, обеспечивающие запись и хранение фискальных данных в фискальных накопителях, формирующие фискальные документы, обеспечивающие передачу фискальных документов в налоговые органы через оператора фискальных данных и печать фискальных документов на бумажных носителях в соответствии с правилами, установленными законодательством Российской Федерации о применении ККТ».
Фискальные данные – это сведения о расчетах, об организации или индивидуальном предпринимателе, осуществляющих расчеты, о ККТ, применяемой при осуществлении расчетов, и, как обычно, «иные сведения», сформированные ККТ или оператором фискальных данных.
Появилось понятие «средство формирования фискального признака» - это программно-аппаратное шифровальное (криптографическое) средство защиты фискальных данных, обеспечивающее возможность формирования фискального признака.
Такая ККТ должна быть у всех организаций России, осуществляющих расчеты, кроме случаев, прямо установленных статьей 2 закона. Например, новую ККТ не будут использовать банки, но только при использовании банкоматов и систем ДБО, или киоски, торгующие мороженым и газировкой в розлив (хотите продавать бутылки – ставьте ККТ). Не нужна она в церквях при продаже свечей и заказе отпевания или венчания и т.д.
Записывать фискальные данные ККТ будет не на какой-то тривиальный жесткий диск, а на фискальный накопитель – программно-аппаратное шифровальное (криптографическое) средство защиты в опломбированном корпусе, содержащее ключи фискального признака, обеспечивающее возможность формирования фискальных признаков, запись фискальных данных в некорректируемом виде (с фискальными признаками), их энергонезависимое долговременное хранение, проверку фискальных признаков, расшифровывание и аутентификацию фискальных документов, подтверждающих факт получения оператором фискальных данных фискальных документов, переданных ККТ, направляемых в ККТ оператором фискальных данных, а также обеспечивающее возможность шифрования фискальных документов в целях обеспечения конфиденциальности информации, передаваемой оператору фискальных данных.
Кассовые чеки, после полного вступления закона в силу, мы будем получать не в виде клочка бумаги, а как смс-сообщение или письмо на электронную почту, а также размещать их на неких ресурсах сети интернет, откуда покупатель сможет скачать их самостоятельно. Сами понимаете, для этого продавцу надо дать контактные данные, а он их будет где-то и как-то хранить. Каждая точка розничной торговли станет оператором в отношении персональных данных покупателей, которые пока для них анонимы в большинстве случаев (пока, например, не придут с паспортом сдавать товар обратно). Про шифрование трафика, содержащего кассовые чеки, в законе ничего нет.
Фискальные данные немедленно после расчета направляются в электронном виде в налоговые органы через операторов фискальных данных, которые будут хранить эти данные в специально создаваемых базах фискальных данных.
Вопреки растиражированной информации о том, что в каждом кассовом чеке, направляемом в налоговые органы, будут персональные данные покупателя, такого требования в законе нет –размещаемый на кассовом чеке абонентский номер либо адрес электронной почты покупателя персональными данными не является. Но зато на чеке есть должность и фамилия лица, осуществившего расчет с покупателем, которая вместе с данными о пользователе ККТ вполне подходит под определение персональных данных со всеми вытекающими отсюда для пользователя ККТ последствиями.
Соответственно, появляются абсолютно новые направления бизнеса – деятельность операторов фискальных данных и экспертных организаций.
Операторами являются организации, получившие разрешение на обработку фискальных данных. Каждый пользователь ККТ (владелец магазина, например) должен заключить возмездный договор как минимум с одним оператором фискальных данных. Сведения о заключении, расторжении и изменении условий каждого такого договора оператор направляет в налоговые органы через кабинет ККТ в форме электронного документа, подписанного, естественно, усиленной квалифицированной электронной подписью.
Экспертные организации – это те, кто организует и проводит экспертизы моделей ККТ и технических средств оператора фискальных данных или соискателя разрешения на такую деятельность. Все такие организации должны быть включены в специальный реестр.
Исходя из требований к ККТ, к фискальным накопителям и к фискальным данным, представляется, что такие операторы и экспертные организации без лицензий ФСБ и ФСТЭК обойтись никак не могут. Но в законе о лицензиях, как обычно, ни слова. Опять пойдут трактовки и позиции.
ККТ должна обеспечить передачу фискальных данных и прием квитанций об их получении оператором в зашифрованном виде.
К фискальным накопителям требований безопасности, и весьма жестких, предъявляется еще больше:
·         обеспечение противодействия угрозам безопасности информации фискальных данных (значит, должна быть для таких данных модель угроз; она, кстати, уже есть, и очень толковая, составленная на основании проведенного эксперимента по внедрению новой ККТ, но, на мой взгляд, требует доработки после внесения в законопроект изменений и принятия окончательного варианта закона);
·         шифрование фискальных документов, передаваемых оператору в электронной форме, и расшифровывание полученного от оператора подтверждения;
·         формирование фискального признака документов с использованием ключа фискального признака документов и фискального признака сообщений длиной не менее 256 бит, проверку фискального признака подтверждения с использованием ключа фискального признака сообщений;
·         обеспечение аутентификации и проверка достоверности подтверждений оператора, защищенных фискальным признаком подтверждения;
·         обеспечение невозможности коррекции записей и фискальных данных в своей памяти.
Фискальные накопители должны работать с любой моделью ККТ, для чего устанавливаются протоколы информационного обмена.
Встраивание криптографии в ККТ и фискальные накопители – тема крайне интересная, но в законе совершенно не раскрытая. Алгоритмы шифрования, сертификация ФСБ, лицензия разработчиков, параметры протокола информационного обмена, безопасность среды функционирования СКЗИ в составе ККТ и накопителя, порядок создания и утверждения модели угроз – это только небольшая часть проблем, которые видны при прочтении закона. Да и методику экспертизы ФНС должна утвердить ФНС, о согласовании ее с ФСБ и ФСТЭК тоже не упоминается, что не очень правильно, учитывая изложенное выше.
Правда, прямое указание на необходимость сертификации в ФСБ применяемой в фискальных накопителях СКЗИ есть в проекте «Требований к контрольно-кассовой технике, порядке и условиях регистрации, перерегистрации и снятия с регистрационного учета контрольно-кассовой техники в налоговых органах, а также порядок и условия применения контрольно-кассовой техники», который предполагается утвердить постановлением правительства, но, как и модель угроз, документ нуждается в переработке в связи с внесенными в законопроект при его принятии изменениями.
Времени на решение всех этих проблем совсем нет. Полное счастье наступит 1 июля 2017 года, когда можно будет использовать только ККТ, соответствующую новым требованиям, за исключением отдельных случаев. Осталось меньше года.
За невыполнение новых требований к ККТ и обработке фискальной информации тем же 290-ФЗ в КоАП РФ добавлено 12 новых составов административных правонарушений и установлена конкретная ответственность. Отсутствие ККТ влечет штраф в размере от трех четвертых до одного размера суммы расчета, осуществленного с использованием наличных денежных средств и (или) электронных средств платежа без применения ККТ, а рецидив приводит к дисквалификации руководителя и административной приостановки деятельности продавца на срок до 90 суток.
Ну, а мы, простые покупатели, готовимся к очередному повышению цен в рознице. Новую (наверное, сертифицированную) ККТ продавцам надо будет купить, обслуживать, оплачивать услуги операторов. Естественно, за наш с вами счет. А за чей же еще?
Если кому-то интересны детали встраивания в бизнес создание ККТ, фискальных накопителей, операторской и экспертной деятельности – обращайтесь, поможем разобраться.



42 комментария:

  1. 2 Михаил Спасибо за интересную заметку!
    Но мне кажется про персональные данные это с вашей стороны перебор. По мне - наименование организации, должность, фамилия - даже косвенно не позволяет определить физ. лицо.

    ОтветитьУдалить
  2. Не могу согласиться. На своих курсах и семинарах всегда привожу простой пример: Емельянников М.Ю. - неизвестный никому, кроме узкого круга лиц, субъект. Емельянников М.Ю., управляющий партнер Консалтингового агентства ... - абсолютно однозначно определяемое лицо. Ну, и РКН с эти согласен. Загляните в научно-практический комментарий: "фамилия, имя, отчество (возможно, фамилия и инициалы) плюс любая информация, выделяющая субъекта из уже ограниченного круга лиц".

    ОтветитьУдалить
  3. Михаил Юрьевич, волею судеб я теперь имею прямое отношение к операторам фискальных данных и их защите. Позволю в этой связи высказать некоторые комментарии. Первое, на счет лицензий. Вы не правы, часть 1 ст. 4.5 новой редакции закона о ККТ четко говорит, что оператор фискальных данных должен иметь 2 лицензии: на оказание телематических услуг (Микомсвязи) и на ТЗКИ (ФСТЭК). Лицензии ФСБ - не требуется. И это оправдано: оператор фискальных данных только ЭКСПЛУАТИРУЕТ средства проверки фискального признака и даже его не обслуживает, а на эксплуатацию лицензии не надо, да и для эксплуатации СКЗИ лицензия не требуется. Второе, соглашусь с комментариями Константина. Дело в том, что в чеке указывается только информация, которая уже есть в ЕГРЮЛ и ЕГРИП и которая по закону является открытой и общедоступной информацией (часть 1 ст. 6 ФЗ-129). Так что персональные данные действительно есть, но они ОБЩЕДОСТУПНЫЕ. Нужно их защищать? Да, безусловно, но не от нарушения конфиденциальности. Этим, как раз и объясняется отсутствие жесткого требования шифрования информации, передаваемой от ККТ, в отличие от обязательного требования обеспечения ее целостности. Однако, это не исключает возможности передачи (по желанию владельца ККТ) информации в зашифрованном виде. Об этом свидетельствует часть 5. ст. 4.5 ФЗ-54, где сказано, что технические средства оператора фискальных данных: "обеспечивают прием от любой контрольно-кассовой техники, содержащейся в реестре контрольно-кассовой техники, фискальных документов, сформированных с использованием любого фискального накопителя, включенного в реестр фискальных накопителей, в том числе в зашифрованном виде, их расшифровывание и проверку достоверности..." Ну, а по поводу ссылки на Комментарии... Вы уж меня извините...

    ОтветитьУдалить
  4. Михаил, спасибо за интересный материал!
    Хотелось бы услышать Ваши комментарии по следующему вопросу - А по каким методикам была выполнена модель угроз от ФНС?
    Если я правильно понял, в "Источниках разработки" (Приложение 1) модели угроз от ФНС указана ссылка на старые Методические рекомендации ФСБ от 21 февраля 2008 года
    № 149/5-144 (есть же более свежие Рекомендации от 31 марта 2015 года
    № 149/7/2/6-432) и, вообще, отсутствует какие-либо ссылки на методику от ФСТЭК. Хотя,17 приказ ФСТЭК упоминается, что подразумевает использование какой либо ФСТЭК-овской методики.
    На сколько такой подход корректен?

    ОтветитьУдалить
  5. Закон о персональных данных касается только персональных данных физ. лиц, пдн юр лиц не рассматриваются, а значит и не защищаются.

    ОтветитьУдалить
  6. Сергей Викторович, да, про лицензию оператора на ТЗКИ, каюсь, пропустил, недогляд. Про лицензию экспертной организации, которая будут проверять соответствие техники требованиям, в том числе - в части шифрования, так и не нашел. Даже если это будут ранее сертифицированные СКЗИ (а этого в законе нет, подождем требований), встает вопрос о корректности встраивания, возможности обхода СКЗИ и безопасности среды функционирования СКЗИ. Мне кажется, без лицензии ФСБ и ФСТЭК это сделать сложно.
    По поводу персданных согласиться не могу. В части 1 ст.4.7 указано "должность и фамилия лица, осуществившего расчет с покупателем (клиентом), оформившего кассовый чек или бланк строгой отчетности и выдавшего (передавшего) его покупателю (клиенту)". Это вовсе не владелец и не руководитель юрлица, чьи данные есть в ЕГРЮЛ. Это конкретный продавец, у которого тоже есть права как у субъекта.

    ОтветитьУдалить
    Ответы
    1. Так фамилия это ведь не ФИО)

      Удалить
    2. Михаил Юрьевич, для начала вспомним положения ПП-313, в частности, пп. з), п. 3 з) . Настоящее Положение не распространяется на деятельность с использованием шифровального (криптографического) оборудования, специально разработанного и ограниченного применением для банковских или финансовых операций в составе терминалов единичной продажи (банкоматов), POS-терминалов и терминалов оплаты различного вида услуг, криптографические возможности которых не могут быть изменены пользователями. Следовательно, на стороне продавца лицензии однозначно быть не должно. Теперь посмотрим, что говорит закон. Ст. 4.5 часть 1: Оператор фискальных данных должен иметь: иметь экспертное заключение о соответствии технических средств, позволяющих осуществлять обработку фискальных данных, требованиям законодательства Российской Федерации о применении контрольно-кассовой техники.
      Да, действительно, у оператора должен быть (исходя из модели угроз с которой, как я понимаю, Вы знакомы)некий HSM- сервер (криптосервер), который и проверяет фискальный признак. Это так, но оператор фискальных данных этот сервер только эксплуатирует! И, на сколько мне известно это положение закона о наличии экспертного заключения вызвало вопросы: а на что должно быть такое заключение? Сейчас, на сколько я знаю, пришли к выводу, что такое заключение должно быть на модуль сопряжение криптосервера с ИС оператора. И это исследование проводится непосредственно производителем этих серверов, так как именно они и поставляют этот модуль сопряжения. Следовательно, самому оператору лицензии ФСБ не требуется.
      Теперь о персданных. И я каюсь, не досмотрел по поводу фамилии кассира. Но и здесь есть выход. Смотрим п.11 ст. 6 ФЗ-152: 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
      В данном случае обязательное раскрытие предусмотрено ФЗ-54, упомянутая Вами ст. 4.7. Так что решить вопрос с кассиром - это головная боль владельца магазина (который, кстати, может также воспользоваться этой статьей), а не оператора фискальных данных, который согласно с. 4.5 части 1 обязан обеспечивать через сеть "Интернет" по обращению покупателя (клиента) возможность проверки факта применения контрольно-кассовой техники организацией или индивидуальным предпринимателем при осуществлении расчета с покупателем (клиентом) и предоставления в установленном порядке этому покупателю (клиенту) кассового чека. То есть информация с кассового чека должна быть доступна неограниченному кругу лиц...

      Удалить
    3. Да, забыл, экспертная организация проверяет соответствие "требованиям законодательства Российской Федерации о применении контрольно-кассовой техники". А эти требования есть и в законе: см. ст. 4, 4.1, 4.5, 4.7. Других требований в законе - нет и больше экспертная организация проверять не имеет права. Ну а СКЗИ - это прерогатива ФСБ, а не экспертной организации.

      Удалить
  7. Уважаемые коллеги, Михаил Юрьевич и Сергей Викторович до принятия ФЗ-54 на просторах нашей страны осуществляли и осуществляют свою деятельность тысячи Центров технического обслуживания и ремонта ККТ, которые по роду деятельности выполняли установку фискальных накопителей. Сейчас в новых моделях ККМ в составе накопителя встроены СКЗИ. По логике ЦТО должны получить лицензию ФСБ на проведение данных работ, но в законе об это ничего не сказано. Просьба пояснить нужно ли ЦТО получать лицензию или нет?

    ОтветитьУдалить
    Ответы
    1. Александр, при всем желании прояснить не могу, не уполномочен. Как видите, наши мнения даже с Сергеем Викторовичем разошлись. Думаю, надо ждать НПА, который все прояснит или еще больше запутает

      Удалить
    2. Спасибо. Как учили, неоднократно прочитал новый закон и пришел к выводу, что впереди реальная огромная работа всего сообщества по созданию новой системы. Меняется все! Вводятся новые структуры, новые определения. Во всяком случае, доктор - ВРЕМЯ лучше чем доктор - патологоанатом!

      Удалить
    3. Да, Александр, все именно так. Поэтому меня очень удивляет равнодушие нашего сообщества к совершенно новым направлениям деятельности в условиях кризиса и импортозамещения. А тут такие перспективы...

      Удалить
    4. Михаил Юрьевич, так уж повелось на Руси. Сначала кто то должен поле "распахать" выполнить всю самую тяжелую работу. А потом когда "урожай" созреет тут все "воронье" и слетается под лозунгом "Гуляй рванина. Воруй пока трамваи ходят..." Или я не прав? Слава богу ни в одном НПА нет явной записи "Воровство в РФ ЗАПРЕЩЕНО!!!"

      Удалить
    5. Позиция ФСБ http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html
      Обязательной сертификации средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну, в том числе в абонентских устройствах и базовых станциях мобильной связи, компьютерах, оборудовании информационно-телекоммуникационной сети Интернет, на соответствие требованиям по безопасности информации не требуется.
      Видимо уже сейчас пытаются откреститься от предстоящей головной боли.

      Удалить
    6. Михаил Юрьевич спасибо за взвешенный обзор ФЗ 290. Немного удивляет нарушение логики. В модели угроз (документ ФНС)одним из важнейших эффективных способов противодействия несанкционированному доступу к ККТ являетсяч контроль корпуса (по старым нормам это банальное пломбирование и мирки-пломбы для ККТ) Закон же допукает смостоятельную замену фискального накопителя (ФН)пользователем самостоятельно!Он же должен обеспечить и недопущение проникновения внутрь ККТ "третьих лиц" Каким образом и как это проконтролировать.Прописана некая процедура осмотра ККТ перед фискализацией на предмет ее исправности,при отсутствии сформулированных критериев оценки.Технические специалисты ЦТО,ранее отвечающие за ввод ККТ в эксплуатацию формально отстранены от этой процедуры.О каких эталонных версиях ПО прошивок можно рассуждать в этом случае?

      Удалить
    7. Ответов на Ваши вопросы нет. Могу лишь повторить, что писал ниже в дискуссии с СВВ - быстро и очень сыро. Я думаю, при внедрении на практике много еще чего повылезает.

      Удалить
  8. Да, инициалов не хватает, но, на мой взгляд, сути дела не меняет

    ОтветитьУдалить
  9. Сергей Викторович, среди требований закона к ККТ есть и такое: "обеспечивать ... в том числе возможность такой передачи в зашифрованном виде". Это требование и надо проверить Предполагалось издание требований как постановления правительства (это про другие требования), в посте есть ссылка.И да, крипта - дело ФСБ, но этим занимаются лицензиаты. Про то что еще надо проверять, я написал выше. И мне кажется вполне логичным наличие у экспертной организации для этого лицензии. Вопрос про выпуск и сертификацию (экспертизу?) фискальных накопителей в законе вообще пропущен. Являются ли эти накопители "техническими средствами оператора фискальных данных". Не вижу оснований, почему нет. Тогда их экспертиза - тоже дело экспертной организации, а к ним требований по безопасности - масса, хорошо бы и лицензию ФСТЭК иметь. И об этом тишина.
    Методику экспертизы делает ФНС, про необходимость согласования с ФСБ или привлечение к экспертизе лицензиатов - ни слова. В общем, как обычно сыро, зато быстро.

    ОтветитьУдалить
    Ответы
    1. Согласен, с экспертной организацией и наличием у нее лицензий - вопрос туманный. Но речь не об этом. Экспертная организация проверяет соответствие требованиям закона, а не качества технических средств. К примеру, описанное Вами требование может быть проверено наличием у оператора некоего СКЗИ и наличием у этого СКЗИ соответствующего сертификата. При этом совсем необязательно вникать как работает СКЗИ.

      И еще, видимо до Вас не дошел мой комментарий по поводу фамилии кассира. Повторюсь кратко: уже в силу рассматриваемого закона информация о фамилии кассира - раскрывается по закону и, следовательно, к ней применяются те же требования, как и к общедоступной информации. (Оператор обязан обеспечить доступ к этой информации любого - оператор обязан обеспечивать через сеть "Интернет" по обращению покупателя (клиента) возможность проверки факта применения контрольно-кассовой техники организацией или индивидуальным предпринимателем при осуществлении расчета с покупателем (клиентом) и предоставления в установленном порядке этому покупателю (клиенту) кассового чека (ст. 4.5 часть 2), А так как я оператор никак не может идентифицировать кто покупал, то получается, что это для всех...

      Удалить
  10. Наличие СКЗИ с сертификатом само по себе проблему не решает - я писал выше про обход шифрования, корректность встраивания и безопасность среды функционирования. Если все делать по-взрослому, все это надо проверять. Кто и когда это будет делать? Может, СКЗИ есть, но вообще не работает?
    По поводу ПДн. Ну, не такая уж у меня длинная шея, чтобы не доходило. Вы писали: "Дело в том, что в чеке указывается только информация, которая уже есть в ЕГРЮЛ и ЕГРИП". Именно с этим я не согласился. Комментарии Константина, с которыми Вы согласились выше, были о том, что фамилия кассира с должностью и наименованием работодателя - вообще не персональные данные. И с этим я не согласен. Персональные. Общедоступные по закону - да.

    ОтветитьУдалить
    Ответы
    1. Дело в том, что ФСБ уже давно отказалось от проверки корректности встраивания. Либо это СКЗИ со всем окружением (средой), либо - нет. ЭЛВИС-ПЛЮС с этим столкнулся при сертификации последней версии Заставы-VPN. Встроили КриптоПРО и просертифицировали всю систему. Иначе ФСБ не бралось. И ждесь тот же механизм: либо ты встраиваешь какое-либо СКЗИ в свою ИС, предварительно написав ТЗ и согласовав его с ФСБ, и после этого сертифицируешь ВСЮ систему как СКЗИ, либо используешь готовые СКЗИ, прошедшие сертификацию в определенной среде. Для оператора фискальных данных харакерен второй вариант: никто не будет в прикладуху встраивать СКЗИ - хлопотно. Вопрос работает или не работает СКЗИ - это вопрос работоспособности самого СКЗИ. Кстати, обратите внимание на то, что оператор фискальных данных (ст. 4.5) обязан обеспечивать защиту фискальных данных и иных сведений, полученных им от пользователей контрольно-кассовой техники, покупателей (клиентов) и налоговых органов, в соответствии с Федеральным законом от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации". И это выливается в необходимость аттестации его ИС. Вот и получается, что если оператор имеет аттестат, проверенный уполномоченным органом (ФСТЭК), то экспертной организации достаточно проверить только его наличие. А у самой такой организации, если она не аккредитована ФСТЭК права такой проверки - нет.

      По второму тезису, позволю Вас процитировать:
      "По поводу персданных согласиться не могу. В части 1 ст.4.7 указано "должность и фамилия лица, осуществившего расчет с покупателем (клиентом), оформившего кассовый чек или бланк строгой отчетности и выдавшего (передавшего) его покупателю (клиенту)". Это вовсе не владелец и не руководитель юрлица, чьи данные есть в ЕГРЮЛ. Это конкретный продавец, у которого тоже есть права как у субъекта".
      Ваше упоминание в этом контексте ЕГРЮЛ и того, что кассир не имеет данных в этом реестре, как раз и навели меня на мысль о том, что Вы не согласны, что это общедоступные данные (про то, что это ПДн - вопросов нет). Если я не так понял - не серчайте.

      Удалить
    2. от контроля встраивания в прикладных системах никто не отказывался пока.
      судя по вашему комментарию, у вас продукт функционально был vpn - это само по себе является скзи, поэтому позиция регулятора такая, что надо сертифицировать целиком.
      в остальных случаях типа "невходящий в состав операционок софт, использующий криптобиблиотеки", процедура оценки влияния программных средств до сих пор существует.
      правда по факту обычно никем в современности не применяется.

      Удалить
  11. Мы же дискутируем, что ж тут серчать? :-)
    Правильно ли я понял в окончательном варианте Ваши мысли, что ККТ с функцией шифрования и фискальный накопитель, неотделимый фактически от ККТ, - всегда сертифицированные СКЗИ, функционирующие на аттестованном объекте информатизации (в универсаме, ларьке про продаже воды у бутылках или машине такси, например)? Помимо СКЗИ, у них есть иные функции (требования к ККТ и ФН), корректность функционирования которых проверяет экспертная организация?

    ОтветитьУдалить
    Ответы
    1. Нет не совсем. фискальный накопитель - это отдельное СКЗИ, которое приобретается отдельно от ККТ. Требования к нему как к СКЗИ определены ТЗ, согласованным с ФСБ. Само изделие - просертифицировано ФСБ. Это изделие имеет интерфейс связи с ККТ и формирует внутри себя некий фискальный признак, который отражается на чеке. Сама ККТ здесь ни причем. Но, включение в Реестр ККТ осуществляется только после их проверки установленным порядком, в том числе и на готовность работы с фискальным накопителем. Для этого существует Государственная межведомственная экспертная комиссия по контрольно-кассовым машинам. Считайте, что это аналог аттестации, но не аттестация в истинном смысле этого термина. Поэтому получается, что везде и в ларьках и у таксиста и в супермаркетах:
      А) могут использоваться только ККТ, включенные в Реестр и прошедшие экспертизу (ответственность за их соответствие несет изготовитель)
      В) в каждом ККТ имеется свой фискальный накопитель, который является СКЗИ, прошел сертификацию в ФСБ и может использоваться с ЛЮБЫМ ККТ, включенным в Реестр (это как раз - среда).
      В). Эта схема не работает для оператора фискальных данных. У него должен быть некий криптосервер, который выполняет функции проверки фискального признака и формирует свой ответный фискальный признак. Этот криптосервер - также является самостоятельным и сертифицированным СКЗИ и НЕ встраивается в ИС оператора, а стоит рядом, практически до входа в ИС, расшифровывает все данные и передает сведения о соответствии фискального признака в ИС, где они накапливаются. Где-то так. Вот как раз возможность влияния ИС на формирование фискального признака определяется специальным модулем сопряжения после которого никакой проверки не требуется. Заключение по такому модулю и должна проверять экспертная комиссия. Здесь две разные экспертные комиссии отда по ККТ - которая уже сейчас есть и действует по своим законам и вторая по оператору фискальных данных - которая пока не ясно как будет проверять...

      Удалить
  12. А что делать с ККТ с функцией шифрования? И в законе предусмотрено, что экспертные организации занимаются и ККТ, и техсредствами оператора, т.е. это одна организация по закону. Кроме того, функционирование СКЗИ вовсе не гарантирует работоспосбность всего изделия (ФН) и обработка возможна в обход СКЗИ, о чем я писал. Никакой Государственной межведомственной экспертной комиссии по ККМ в законе нет, схема иная: выпуск, экспертиза по методике ФНС, включение ККТ в реестр ФНС. Шифрование есть, сертификация и ФСБ не упоминаются.
    В общем, как я писал, - сыро и быстро.

    ОтветитьУдалить
  13. > будут персональные данные покупателя, такого требования в законе нет –размещаемый на кассовом чеке абонентский номер либо адрес электронной почты покупателя персональными данными не является

    На самом деле, если смотреть не какую-то мифическую редакцию Роскомнадзора, а реально действующий Закон, то и e-mail, и номер телефона являются персональными данными как минимум, пока не доказано, что они не используются только одним лицом.

    А уж если на чеке из организации розничной продажи - типичная косвенная идентификация и данные, относящиеся к косвенно идентифицированному лицу.

    Права граждан нарушаются напропалую, но, при этом, считается, что всё нормально, никаких персональных данных нет.

    ОтветитьУдалить
    Ответы
    1. Сергей, Вы сильно перегибаете палку. Во-первых, что такое "косвенная идентификация"? Я либо знаю, кому принадлежат данные, либо нет. Скажите, как Вы "косвенно идентифицируете" обладателя адреса мыла abc@mail.ru или номера тлф +79851231234 и кому конкретно наносит вред указанные мною в комментарии адрес и номер? И никакие права граждан здесь не нарушаются. В чем конкретно это нарушение, каков вред? У нас масса случаев в законах, когда данные становятся общедоступными. А здесь даже общедоступности нет, чек передается покупателю, оператору и в налоговую. Я не вижу в этом для покупателя никаких проблем. Для продавца их больше, потому что указана его фамилия и место работы, но и это прямо предусмотрено законом. Не хотите - не идите работать продавцом.

      Удалить
    2. > +79851231234 и кому конкретно наносит вред указанные мною в комментарии адрес и номер?

      Не всегда опубликованные данные наносят вред. Но могут нанести. Защищаются они не потому, что наносят вред, а потому что могут нанести.

      Представьте себе, если все продавцы будут знать мой номер телефона. Зачем мне это?
      А если продавцы-мужчины будут названивать красивым девушкам-покупателям?

      В общем, здесь типичное и очень серьёзное нарушение конфиденциальности.
      Сейчас мой номер телефона знает не так много людей.
      Теперь его будут знать или смогут легко узнать сотни.

      Это само по себе вред с точки зрения ИБ. Я оставляю очень много информации, причём достаточно существенной информации.

      Если серьёзно, то я бы сказал, что вместо номера или e-mail, можно было бы оставлять хещ. Возможно, это было бы гораздо проще, но хоть как-то защищало бы человека (хотя всё равно перебрать можно, но это хоть делать надо).

      Удалить
    3. В рассматриваемом случае ваш номер телефона знает продавец (вы сами ему его дали,не хотите - не давайте, закон не обязывает вас это делать), оператор и ФНС. Все. Это не данные в широком доступе. И оператор, и ФНС, и продавец, не знают, чей это конкретно номер (продавец при оплате картой может это сделать. зафиксировав картхолдера, но это уже нарушение закона). При покупке ювелирки покупателя вообще идентифицируют по полной схеме. Так что нет тут никакого нарушения прав. Это все детские игры по сравнению, например, с тем, что пользователи раскрывают о себе сами или сканированием паспорта при входе в коммерческий бизнес-центр. Мой тлф вообще на блоге лежит, и ничего, живу. Мой выбор.

      Удалить
    4. Насколько я понял, закон как раз выбора не оставляет. Хочешь не хочешь, указывай что-то, если я верно понял ваш блог.
      Честно говоря, я читал закон только в части, касающейся организаторов распространения информации, так что, может быть, я что-то недопонял из вашего сообщения.

      Удалить
    5. Неправильно поняли. Вы можете:
      - не оставлять никаких своих координат и скачать чек сами с ресурса в интернете или потребовать бумажный чек. Он все равно уйдет в ФНС, но без привязки к вам;
      - дать тлф или мыло, и чек вам пришлют.
      В любом случае, общедоступной базы чеков не будет. Ну, или пока не будет.
      Пост - это не учебник. Это попытка привлечь внимание к чему-то важному по мнению автора. Ну, и позиция автора по этому вопросу, если она есть и изложена. А дальше - разбираться в деталях самому, если интересно.
      И еще. Про организаторов распространения - это не в этом законе.

      Удалить
    6. > И еще. Про организаторов распространения - это не в этом законе.

      :)))
      Поймали, Михаил Юрьевич :)
      Вот что бывает, когда в блогах обсуждается одновременно две похожих темы :)))

      > Неправильно поняли. Вы можете:

      Спасибо за пояснения. Тогда это и вправду выбор субъекта и все замечания снимаются.

      Удалить
    7. Согласие - продукт непротивления двух сторон, как писали классики :-)

      Удалить
  14. Поддержу Михаила Юрьевича. Вспомним классику: "персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу". Значит, если номер телефона стоит рядом с фамилией (определенное лицо, то есть оно уже определено), то это получается в совокупности персональные данные. По телефону сделать вывод об определяемом (то есть еще неизвестном, но которое можно по этой информации определить) лице - нельзя.

    Михаил Юрьевич, еще пока не ясно кто будет уполномоченным по ведению реестра ккт

    ОтветитьУдалить
  15. Михаил Юрьевич, есть такой любопытный документ: ПРОТОКОЛ N 4/69-2002
    ЗАСЕДАНИЯ ГОСУДАРСТВЕННОЙ МЕЖВЕДОМСТВЕННОЙ ЭКСПЕРТНОЙ КОМИССИИ ПО КОНТРОЛЬНО-КАССОВЫМ МАШИНАМ от 25 июня 2002 года. Старый, но действующий. Там полностью определен порядок экспертизы ККТ с фискальным накопителем и даже указаны конкретные уполномоченные организации, которые проверяют криптографию...

    ОтветитьУдалить
  16. Сергей Викторович, я так понимаю, новый закон создает новый условия деятельности. Ни про какую комиссию в нем ничего нет. Значит, ждем. Или появится новый документ и отменят старый, или появится новый, а стапрый отменит забудут (что тоже часто бывает, вот недавно ФСБ порадовало своим мнением про документы 2008 года, фактически отмененные в 2012), либо в НПА под закон появится комиссия. Мудрость про шаха, ишака и Насреддина никто не опроверг :-)

    ОтветитьУдалить
  17. А что, если в адресе эл. почты, которую мы любезно предоставляем продавцу, будет присутствовать Ф.И.О + год рождения (Ivanov_ivan_ivanovich1975@mail.ru)?
    Разве в этом случае это не персональные данные?
    Или в этом случае можно всё списать на конклюдентные действия, которые мы совершаем.

    ОтветитьУдалить
    Ответы
    1. Я думаю, это проблема владельца аккаунта - он сам выдумал себе такой адрес. Оператор не знает, чьи это данные, достоверные ли они, не просил их указывать и т.д. Т.е. не определял цель их обработки и состав. Ну, и конклюдентные действия налицо.

      Удалить
    2. > Ну, и конклюдентные действия налицо.

      Согласитесь, что в законе не написано, что это проблема владельца аккаунта :)
      Хоть десять раз конклюдентные действия, а разрешение в письменном виде всё равно нужно.

      Удалить
    3. Соглашаюсь. Но у меня в рукаве решения судов, вступившие в законную силу, где конклюдентные действия заменяют согласие в письменной форме :-)

      Удалить