Clever Geek Handbook

Agregue una firma electrónica de solicitudes y documentos a la interfaz de CRM

HG Wells explicó de manera muy simple qué es el telégrafo:

- Imagine un gato gigante, cuya cola está en Londres y la cabeza está en Liverpool. Si un gato le pisa la cola en Liverpool, maullará en Londres.

- ¿Y qué es un telégrafo inalámbrico?

- Es lo mismo, solo que sin el gato.

Un artículo sobre cómo implementar EDS en CRM y sobre diferentes opciones para resolver este problema.



Los coautores del artículo son Denis Gurikov y Nikita Kalinin, les doy las gracias por los materiales.



¿Para qué?



A veces, los documentos deben firmarse y enviarse, pero el gerente no está presente. Es muy posible olvidar más tarde o violar los términos. Los documentos se acumulan en montañas enteras. El gerente se sienta y pasa mucho tiempo firmando papeles.



Y, en general, el “papel” en el siglo XXI es un anacronismo no ecológico. Mejor sin ellos en absoluto. Y tienes que firmar.



¿Cuál es la esencia de una firma electrónica? Como en el “mundo offline”, cuando una persona está de acuerdo, lo firma. Solo el papel y la firma no existen físicamente.



¿Por qué necesito una firma? Brevemente: para la autenticación de documentos (confirmación). Es decir, asegurarse de que el signatario esté de acuerdo con las disposiciones de esta versión particular del documento.



¿Por qué una firma electrónica en sistemas CRM y portales de intranet?



Hay 2 escenarios para usar una firma digital en CRM:



  1. Para comunicación interna y confianza con solo presionar un botón. A menudo, en la interfaz de los sistemas CRM y los portales de intranet, se acuerdan documentos internos, así como descuentos, contratos y acuerdos de distribución.
  2. Enviar respuestas formales a clientes y agencias gubernamentales.


Diferentes escenarios, diferentes requisitos. En el primer caso, firman:



  • Solicitud de vacaciones
  • Solicitudes de pagos de diversa índole
  • Otras consultas (para electrodomésticos, muebles, etc.)
  • Contratos, convenios, facturas por pago.


El segundo caso es más grave: no puede prescindir de una firma electrónica calificada.



Técnica: ¿Qué es la EDS y sus tipos?



imagen



Hay tres tipos de firmas electrónicas:



  1. Firma digital electrónica simple (PEP)
  2. Firma digital no calificada mejorada (NEP)
  3. Firma digital calificada mejorada (CEP)


A diferencia de una firma simple, una firma mejorada protege a su autor de la modificación del documento después de que se genera la firma.



Para generar cualquier firma digital en un documento, necesita tres cosas:



  1. El documento en sí
  2. Llave pública
  3. La llave secreta


Firma digital simple



Brevemente sobre el trabajo de la sonda:



  1. El sistema toma los metadatos del documento (fecha del documento, número de documento, título, contraseña del firmante, etc.) y los codifica. La firma digital está lista. La contraseña es almacenada y generada por su sistema.
  2. Enviar el archivo
  3. Obtenemos
  4. Usando la contraseña, desciframos la firma. Comparamos los metadatos recibidos y el inicio de sesión. Si todo es correcto, éxito.


Un excelente ejemplo es el uso de un nombre de usuario y una contraseña para ingresar a su red social, por ejemplo Vkontakte. Para confirmar su identidad (firmar un documento), debe ingresar su nombre de usuario y contraseña (metadatos hash).



imagen



El sistema comprueba la presencia del usuario. Si hay uno en el sistema, comienza la verificación de la contraseña. Si la contraseña que ingresó coincide con la del sistema, felicitaciones, ingresó a su página VK (comparó los metadatos después del descifrado).



De las deficiencias - la misma enfermedad. Si su contraseña fue robada de alguna manera, entonces pueden ir a la página y hacer lo que su corazón desee en ella. Cambiar información personal, foto, etc. Lo mismo ocurre con el documento.



Firma digital mejorada



Una firma digital mejorada protege contra la modificación del documento. Es decir, si, después de la firma, se realizan cambios en el documento, la firma mejorada deja de ser válida automáticamente.



imagen



Para generar firmas se utilizan certificados (como SSL, basados ​​en la misma tecnología). Y el certificado tiene un período de validez limitado.



Una firma mejorada puede ser no calificada y calificada. La diferencia es quién emitió el certificado. Si el certificado es emitido por un centro de certificación acreditado por el Ministerio de Telecomunicaciones y Comunicaciones Masivas, que tiene un certificado FSB adicional, dicha firma se llama calificada.



Si un certificado autofirmado es utilizado o emitido por una CA no acreditada (Centro de certificación), dicha firma no está calificada.



Cómo funciona la firma mejorada



Considere un ejemplo de un algoritmo de firma simple. El resultado de este algoritmo no depende del texto del documento. Si alimenta este texto a la entrada de una función hash, obtiene algo que parece una firma reforzada. Es decir, como resultado de cambiar el texto del documento, la firma anterior “no se ajustará” a la nueva versión del documento.



En realidad, una firma mejorada es un hash de un documento, cifrado con la clave secreta del certificado.



Todos los participantes del flujo de trabajo tienen la clave pública. Se utiliza para verificar la autenticidad de la firma. Privado: almacenado por el usuario y utilizado para generar una firma.



Cómo se ve una firma mejorada



Técnicamente, una firma es un archivo separado (recuerde, en el caso de una firma simple, ¿era una cadena?). Es decir, para transferir el documento firmado a la otra parte, debe transferir la fuente y el archivo de firma. Sin embargo, algunos formatos de documentos permiten incrustar firmas digitales.



imagen



Por ejemplo, PDF y casi todos los formatos de Microsoft Office lo admiten. Y los propios paquetes de software tienen la función de crear y verificar dichas firmas. Por lo tanto, para los usuarios técnicamente no capacitados, el proceso de firma parece hacer clic en algunos botones en Word, Excel o Adobe Reader.



Firma digital no calificada (NEP)



Tal firma tiene fuerza legal (desde el punto de vista del tribunal) si las partes han llegado a un acuerdo apropiado. Tal acuerdo no se puede concluir con el estado. estructuras.



Los usuarios reciben un certificado con una clave pública y privada en la forma y la forma en que las partes confían. Por ejemplo, en forma de archivo enviado por correo electrónico.



Cualquier software en el que las partes confíen se puede utilizar para crear una firma. Ya sean utilidades OpenSSL, CryptoARM o Microsoft Office o Adobe Reader integrados.



Firma digital calificada (CEP)



Tal firma tiene fuerza legal y es reconocida por el estado. Por ejemplo, puede enviar documentos a la oficina de impuestos. No es necesario concluir ningún acuerdo adicional con los participantes en el flujo de trabajo; todos confían en esas firmas "por defecto".



imagen



La clave secreta para dicha firma se transfiere al usuario en un medio protegido certificado por el FSB: un token USB ("unidad flash"), una tarjeta inteligente, etc.



Se utiliza un software especial para trabajar con los medios. La mayoría de las veces, este software se integra con el sistema operativo para que Microsoft Office, Adobe Reader y otros paquetes de software puedan utilizar los medios al crear firmas.



Es decir, el proceso de firma de documentos casi no es complicado para los usuarios (solo debe recordar conectar una unidad flash USB).



Con dicha firma, puede interactuar con los sistemas gubernamentales, participar en subastas, trabajar con clientes y socios.



Aprobación de documentos internos



Aplicaciones de vacaciones, memorandos, informes, viajes de negocios, etc. - Hay suficientes documentos en papel en las empresas. Por lo general, el procedimiento para emitir un documento de este tipo se asemeja a una misión. Es necesario encontrar un formulario, completarlo, entregarlo personalmente al aprobador, etc.



imagen



Si estáis todos en la misma oficina, es cuestión de media hora. ¿Y si la producción está en un lugar y el departamento de recursos humanos en otro? Todo se prolonga durante varios días. La salida es la introducción de sistemas de gestión de documentos. Incluso tenemos un módulo de gestión de documentos independiente.



Un inconveniente es que los empleados a veces no se toman los "documentos electrónicos" lo suficientemente en serio. La introducción de una firma electrónica puede solucionar este problema. Una firma electrónica no calificada es una buena opción.



Según el caso de uso, se pueden distinguir dos posibilidades:



  1. Firme el documento cargándolo en un formulario especial en una página CRM separada
  2. Aprobación automática de documentos a medida que pasa por un proceso comercial


Flujo de documentos externos



Para el flujo de documentos externos, debe utilizar una firma electrónica calificada. Entonces los documentos tendrán plena vigencia legal. Podrás intercambiarlos con clientes, socios y agencias gubernamentales.



Desde el punto de vista de las interfaces, todo parece un flujo de trabajo interno: un formulario separado para aprobación o confirmación automática como parte de un proceso empresarial.



Un punto importante: debe prestar más atención a la seguridad. Ya que estamos hablando de documentos que tienen plena vigencia legal. La seguridad es proporcionada por la restricción de acceso, el registro y las notificaciones separadas.



Un ejemplo simple de usar una firma en CRM es firmar un acuerdo en un trato. Una vez firmado, puede enviarlo al cliente. No es necesario enviar documentos por correo, esperar varios días o incluso semanas (si el cliente se encuentra en otra ciudad) y luego esperar el mismo tiempo para una devolución. El documento se aprueba mediante firma electrónica y se considera legalmente significativo.



La principal pregunta técnica sigue siendo: ¿cómo incluir un EDS en la lógica del CRM o del portal interno?



Arquitectura de soluciones



Hay varias formas de trabajar con EDS. Echemos un vistazo a ellos.



Una clave, muchas estaciones



Suponga que necesita firmar un documento y enviarlo al servidor. El servidor debe verificar el documento y enviar una respuesta en forma del mismo documento firmado.



imagen



Tanto allí como allí debe haber verificación de la autenticidad de la firma. Suponga que solo tiene una clave para firmar, pero hay muchos empleados y todos deben firmar y enviar algo. Y todo esto debería suceder directamente en el CRM.



Cómo funciona:



  1. Creamos un servidor separado para EDS con una clave conectada para EDS, que recibirá solicitudes XML
  2. , N . (TOTP). QR-, , . , USB-.
  3. , .
  4. , , XML- PDF- .
  5. PDF- CRM.


En este caso, tenemos la oportunidad de trabajar desde casa (si tenemos un smartphone, que ahora tienen incluso las abuelas). No necesitamos emitir nuestro propio EDS para cada empleado, uno es suficiente.



Esta solución asume que confía plenamente en los empleados que han obtenido acceso a la interfaz. Incluso los principiantes pueden comenzar a firmar documentos sin ninguna aprobación.



Esta es una mala decisión si firmar el documento tiene implicaciones legales. Esto solo se puede hacer cuando se integra con la Oficina de historial crediticio u otros servicios que brindan respuestas a solicitudes firmadas por un EDS.



Número de llaves = número de estaciones



Supongamos que cada empleado que tiene derecho a firmar documentos tiene una clave para un EDS.



Cómo funciona:



  1. Estamos desarrollando una aplicación para estaciones de trabajo que funcionará con un proveedor de cifrado (el más popular es cryptoPRO)
  2. Un empleado forma y firma una solicitud en su estación de trabajo.
  3. La solicitud se envía al servidor.
  4. La respuesta recibida se convierte a un archivo PDF o cualquier otro
  5. El PDF se carga en CRM


En este caso, hemos aumentado la seguridad, porque solo los empleados de confianza pueden firmar documentos y sabemos quién firmó exactamente una solicitud específica.



imagen



Ejemplo de aplicación en un proyecto real para CEDIS (Power System of Montenegro)



Reto empresarial: los empleados deben firmar documentos y enviarlos a los clientes.



imagen



Que recursos

Un servidor, una clave EDS, CRM.



¿Lo que debe hacerse?

Agregue un documento PDF a una transacción, fírmelo directamente desde la tarjeta de la transacción usando un EDS. El documento firmado se puede descargar y enviar al cliente.



Cómo se implementó

Se desarrolló una aplicación especial, que se colocó en un servidor separado y se dedicaba a firmar documentos.



Se creó un campo adicional en el sistema, en el que se cargó el documento PDF. Cuando se cargó el documento, el botón "Firmar" apareció frente a él. Al presionar el botón se abrió la interfaz de la aplicación.



imagen



Para firmar un documento, el usuario tenía que ingresar un código de un solo uso que le llegó en su teléfono inteligente y seleccionar un certificado con el que se firma el documento.



imagen



El documento se envía al servidor. Se ha introducido una contraseña de un solo uso y se ha seleccionado un certificado. El documento fue firmado y devuelto. En este momento, el documento cargado en el trato se reemplaza por un documento firmado en el servidor.



imagen



conclusiones



La introducción de firmas de documentos en los sistemas CRM (y de hecho en cualquier lugar) es una tarea técnica interesante en la intersección del desarrollo, la seguridad de la información y la optimización de procesos.



Esta tarea se puede resolver mediante el método descrito por nosotros. Interesante opinión sobre otras soluciones a este problema.


More articles:


All Articles