Форум технической поддержки СБиС

[Алексей Кузнецов » 29 мар 2017, 11:10]

Добрый день!

На одного человека выпущено 3 ЭЦП на 3 разные организации.
ЭЦП все на физических носителях. Облачных ЭЦП нет.

Работать в СБИС online будут три разные бухгалтера и лазать не в свои организации они не должны.

Сейчас при авторизации по любому из 3х ЭЦП такие права есть.

Как настроить авторизацию, таким образом, чтобы при авторизации по ЭЦП был строго доступ только той фирме, которая указана в ЭЦП?

С Уважением, Алексей Юрьевич Кузнецов.

[Кованова Галина]

Алексей Кузнецов
Вам необходимо каждому пользователю настроить ограничение по организациям.

[Алексей Кузнецов » 29 мар 2017, 14:17]

И что это даст?

Хорошо я настрою трем бухгалтерам, получается, вход по логин/паролю? Настрою им все ограничения.
Но они в с СБИС online могу же входить не по логин/паролю, а по ЭЦП и тогда вуаля! полный доступ ко всем фирмам под человеком на которого выдавались ЭЦП.

[Кованова Галина]

Алексей Кузнецов
Если руководители доверяют свои ЭП бухгалтерам, то они несут ответственность за все действия, которые те, в свою очередь, выполняют с помощью данных ЭП - это прописано в правилах использования ЭП и СКЗИ.
Соответственно, либо администратор аккаунта ограничивает права пользователей, под которыми работают лица с ограниченным доступом (в предыдущем посте не было указано, что это обязательно пользователи - бухгалтера).
Либо ограничение накладывается на пользователей, созданных для бухгалтеров и им административно запрещается вход по сертификату.

[Алексей Кузнецов » 30 мар 2017, 10:35]

Если руководители доверяют свои ЭП бухгалтерам, то они несут ответственность за все действия, которые те, в свою очередь, выполняют с помощью данных ЭП - это прописано в правилах использования ЭП и СКЗИ.

Каждому бухгалтеру доверяется и вручается ЭЦП только по одной какой-то фирме.

(в предыдущем посте не было указано, что это обязательно пользователи - бухгалтера).

Странно, см. второй абзац первого сообщения: "Работать в СБИС online будут три разные бухгалтера и лазать не в свои организации они не должны."

Поймите есть очень серьезная проблема с безопасностью и конфиденциальностью. На которую требуется четкий и конкретный ответ, а не пространные рассуждения.

Попытаюсь более подробно описать ситуацию.
Три фирмы: Ф1, Ф2, Ф3.
Директор во всех одни: Иванов И.И.
Иванов И.И. получил ЭЦП на каждую фирму: ЭЦП1, ЭЦП2, ЭЦП3.
ЭЦП1 передал бухгалтеру Б1. ЭЦП2 - Б2. ЭЦП3 - Б3.

В Сбис онлайн в Сотрудниках мы видим сотрудника Иванов И.И. у которого все три подписи назначены.
Так работает СБИС и по другому видимо нельзя.

Бухгалтер Б1 входит в СБИС с ЭЦП1 и получает доступ ко всем данным фирм Ф2 и Ф3.

Такого быть не должно. Это бред. Руководитель доверил Б1 только ЭЦП1 почему же тогда Б1 получает доступ ко всем данным фирм Ф2 и Ф3.
У других бухгалтеров аналогичная ситуация.

Даже, если я назначу Б1 вход по логин/паролю и ограничу организацию Ф1. Б1 всегда может воспользоваться возможностью войти по ЭЦП и тем самым получит доступ
ко всем трем фирмам.

С уважением, Алексей Кузнецов.

[Кованова Галина]

Для ограничения возможности авторизации по ЭП руководителя всем бухгалтерам, необходимо прописать в карточке руководителя список IP адресов, с которых разрешена аутентификация под данным сотрудником. Если внешние IP на разных ПК (руководителя и бухгалтеров) разные, то это решит проблему возможной аутентификации бухгалтера по ЭП руководителя.

Если же внешний IP единый - есть несколько вариантов:
- ограничивать административно, о чем ранее писалось;
- выдавать ЭП на бухгалтеров с оформлением соответствующих доверенностей ;
- выпустить ЭП без носителя на руководителя, оформить доверие на использование соответствующих ЭП для бухгалтеров.

[Архипов_АВ » 05 сен 2017, 10:34]

Тоже озадачивался этим вопросом, бухгалтера у организаций разные, хотя один директор, бухгалтеру по одной фирме совсем не нужно знать, какие отчеты проходят по другой.
Еще, при входе по сертификату, может встать основной не та организация, по которой заходили, бухгалтера заводят отчет по недогляду, потом переделывают.
Нелогично получается, всё равно при отправке нужен ключ организации по которой отправляется отчет, единственное объяснение этому - Тензору это выгодно в плане выпуска новых сертификатов для бухгалтеров, иной логики не вижу.

[Кованова Галина]

Архипов_АВ
Как я уже писала в предыдущем посте, есть несколько вариантов решения данной задачи, в которых вы можете выпускать ЭП на бухгалтеров, а можете выпускать ЭП на руководителя.

Тензору это выгодно в плане выпуска новых сертификатов для бухгалтеров, иной логики не вижу.

Вы в любом случае на каждую орг-ю получаете ключ, а выпускать его на кого из представителей решаете сами. С т.з. безопасности правильнее выпускать именно на того, кто реально отправляет Отчетность, если ключ для сдачи отчетности, т.к. Владелец ЭП несет полную ответственность за действия , выполненные за подписью его сертификата - это прописано в правилах эксплуатации ЭП и СКЗИ на основании 63-ФЗ и 795 приказа ФСБ, которые вам должен выдавать любой УЦ при выдаче сертификата, не только Компания "Тензор".

Возвращаясь к первичному вопросу: варианты, которые были предложены покрывают весь спектр возможных требований, на мой взгляд. Если у вас остались вопросы или какая-то из ваших задач не решается таким образом - прошу уточнить запрос, мы вам с удовольствием поможем.