Здравствуйте!
Интересует вопрос необходимости наличия лицензий (ФСБ и/или ФСТЭК и/или какой-либо еще). Реализуем онлайн сервис ЭДО (исключительно веб-сайт), мы являемся разработчиками. В сервисе планируются следующие функции (каждая из которых, как нам кажется, потенциально должна лицензироваться):
1. Пользователь (отправитель) загружает документ и подписывает его своей ЭЦП средствами КриптоПро Browser Plugin
2. Мы данный документ шифруем с использованием алгоритма RSA (средствами OpenSSL) и сохраняем на сервере
3. Пользователь (получатель) просматривает документ (мы его предварительно расшифровываем), после чего также подписывает его средствами КриптоПро Browser Plugin, мы его опять шифруем RSA и сохраняем на сервере
Итого имеем: применение КриптоПро Browser Plugin + RSA-шифрование документов через OpenSSL и последующее их хранение + сам факт оказания услуг ЭДО (передача документов между пользователями).
Необходимо ли получение какой-либо лицензии на основании наличия в системе какого-либо из вышеперечисленных пунктов для:
а) нас, как разработчиков данной системы (работаем по договору подряда)
б) нашего Клиента, который будет являться владельцем данного сервиса (и продавать его для использования физическим и юридическим лицам)
Ознакомившись с
положениями лицензирования подобной деятельности ФСБ, отметили для себя следующее (пока-что не понимаем насколько это применимо в данной ситуации):
1) Лицензированию не подлежит деятельность с использвованием "
шифровальных (криптографических) средств, а также товаров, содержащих шифровальные (криптографические) средства, реализующих ... асиметричный криптографический алгоритм, основанный либо на методе разложения на множители целых чисел, размер которых не превышает 512 бит" - правильно ли я понимаю, что наш сценарий использования алгоритма RSA попадает под этот пункт?
2) Лицензированию не подлежит деятельность с использованием "
шифровальных (криптографических) средств, используемых для защиты технологических каналов информационно-телекоммуникационных систем и сетей связи, не относящихся к критически важным объектам" - правильно ли я понимаю, что услуги ЭДО (если они оказываются лицам, не включенным в реестр КИИ РФ) не подлежат лицензированию ФСБ (как с точки зрения нас, в качестве разработчика, так и с точки зрения нашего Клиента, как продавца этих услуг)? В нашем случае такие вещи как отправка отчетности в ФНС, допустим, не планируются. Хотя, возможно, лицензирование ЭДО все-таки требуется (например, просто потому что это обмен документами, которые подписаны ЭЦП)?
3) Пока-что не понимаем как можно сопоставить применение КриптоПро Browser Plugin с положениями о лицензировании - нужна ли лицензия (ФСБ или иная) нам как разработчику системы с использованием данного плагина и/или нашему Клиенту как владельцу сервиса с данным плагином.
4) Допускаем тот факт, что в нашей схеме есть какие-либо переменные, которые будут влиять на необходимость наличия лицензии. Например какие подписи будут у пользователей сервиса, какие алгоритмы шифрования будут применяться или что-то еще. Однако понимания по данным моментам (какие факторы могут стать основополагающими для наличия лицензии в нашем случае), к сожалению, не имеем.
Кроме лицензии ФСБ, возможно, в контексте нашей ситуации (нам и/или нашему Клиенту) потребуется лицензия ФСТЭК, Роскомнадзора или какая-то еще? Возможно, помимо лицензирования потребуется сертификация (и если да то по каким стандартам)?
Всем заранее спасибо за помощь!
Отредактировано пользователем 1 сентября 2021 г. 0:40:40(UTC)
| Причина: Опечатка