Электронная регистрация от ПИКа

Тема в разделе "Покупка и продажа квартир в ЖК Лефортово Парк", создана пользователем Sergey, 5 окт 2017.

  1. Григорий

    Григорий New Member

    Все верно говорите, процедура не безопасна. Я писал об этом выше.
     
  2. Саша

    Саша New Member

    Кому интересно, я вчера от застройщика добился более-менее вразумительный ответ. СМС придёт с указанием что собираются подписать, т.е. номер договора, дата ну и какая-то еще инфа. Ну, хоть так, а то ж вообще, просто код и передать его для подписания. Не секурно. Еще понимаю когда пришёл в офис, прочитал, подписал, а удалённо ...
     
  3. Саша

    Саша New Member

    Кстати! Григорий, спасибо Вам за ссылки, буду проверять по ним. Спасибо!
     
  4. Hakuna

    Hakuna New Member

    Григорий правильно говорит. Но человек, далёкий от информационых технологий, из этих нескольких фраз вряд ли поймёт, как в случае ПИКа работает система электронной подписи, и в чём заключаются риски её использования для покупателя квартиры. Попробую изложить подробно.
    Начну с информации об ЭЦП на сайте ПИКа:
    "Безопасность
    Электронно-цифровая подпись (ЭЦП), которой клиенты подписывают договор, изготавливается в единственном экземпляре. Подделать её невозможно. Любое подписание документов происходит с помощью уникального СМС-кода."

    Т.е. из вышеприведённой фразы клиент должен сделать вывод, что использование для подписи документов ЭЦП - это очень безопасно. Думаю, в случае ПИКа такой вывод был бы ошибочным: основным компонентом ЭЦП является файл закрытого ключа, который, собственно, используется для электронной подписи документов с помощью специализированного ПО. Поскольку электронная подпись считается аналогом собственноручной подписи, то, понятно, что закрытый ключ должен храниться владельцем в максимально безопасном месте и всячески оберегаться от доступа к нему посторонних лиц. ПИК же, в обмен на подписание доставляемого курьером заявления на выпуск ЭЦП, выдаёт клиенту бумажку с Сертификатом ключа проверки ЭП. Этот Сертификат ключа проверки ЭП никак не может быть использован для электронной подписи и служит лишь подтверждением выпуска ЭП на имя клиента. Спрашивается, а где же сам электронный ключ (файл закрытого ключа), который будет использоваться для подписи документов? А он находится у ПИКа. Т.е. ПИК, воспользовавшись вашим заявлением на выпуск ЭЦП, получил вашу ЭЦП в единоличное пользование. Т.е., формально, теперь ПИК может подписывать абсолютно любые документы от вашего имени. Не только ДДУ, но и кредитный договор, да и вообще - абсолютно любой документ, даже не имеющий отношения к сделке. Я бы сказал, что подобная ситуция не просто небезопасна, а несёт огромнейшие риски для клиента. На это ПИК бы возразил - сказал бы: "позвольте, но при каждом использовании ЭЦП клиенту отправляется уникальный СМС-код, который необходим для успешного совершения процедуры электронной подписи". Да, это в какой-то степени снижает риск, но для клиента, который лишён контроля над файлом закрытого ключа своей электронной подписи, такая дополнительная степень защиты в виде СМС-кода ничем не отличается по уровню безопасности от двухфактороной аутентфикации с использованием СМС-кодов, применяемой многими сайтами для доступа пользователей к своим личным кабинетам. Т.е. клиент вместо высокого уровня безопасности, который должно обеспечивать использование ЭЦП, получает всего лишь подтверждение сделки при помощи СМС-кода. А риски, связанные с тем, что клиент не контролирует свою ЭЦП никуда не исчезают.
    В данном случае, использование СМС-кода - это добровольная инициатива ПИК, которой он пытается как-то компенсировать риски для клиента в условиях, когда клиент вынужденно не контролирует свою ЭЦП. Но, я бы сказал, что это не может в полной мере компенсировать эти риски. Например, если допустить, что кто-то сможет получить доступ к файлу закрытого ключа клиента, который хранится на сервере ПИКа, то этот кто-то сможет осуществить электронную подпись, и, вероятно, никакого СМС кода ему для этого вводить не потребуется. Понятно, что ПИК всячески оберегает хранящиеся у него закрытые ключи клиента, чтобы если не полностью исключить, то свести подобные риски к минимуму  - по крайней мере, клиенту только и остаётся, что очень сильно на это надеяться.
    Очевидно, что ПИК предполагал следующий эксклюзивный сценарий использования ЭЦП клиентом: клиент заходит в свой личный кабинет на сайте ПИКа, видит там документы требующие подписи, скачивает для ознакомления эти документы, и, если он согласен с их содержимым, то нажимает кнопку Подписать, после чего ему приходит СМС-код, который он должен ввести на сайте для завершения процедуры подписи (при помощи файла закрытого ключа клиента, который хранится на сервере ПИКа). Только вот проблема в том, что хотя ПИК уже очень давно предлагает клиентам использовать электронный документооборот, но на данный момент клиент не может через сайт ПИКа подписать произвольные документы (похоже, что личный кабинет расчитан только на один сценарий выполнения сделки, и менеджеры ПИКа не могут выложить на подпись в личный кабинет клиента документы, не укладывающиеся  в этот единственный сценарий), и поэтому такие документы подписываются при помощи ЭЦП клиента сотрудниками ПИКа самостоятельно. Однако, сотрудники ПИКа не имеют прямого доступа к файлу закрытого ключа ЭЦП клиента, и при подписи им также необходимо ввести код СМС-подтверждения, который отправляется клиенту при попытке использовать ЭЦП. Например, клиент самостоятельно договорился с неким банком о заключении кредитного ипотечного договора. Если этот договор будет заключён в электронном виде, то клиент должен его подписать при помощи своей ЭЦП. А его ЭЦП, как мы помним, находится в ПИКе и контролируется ПИКом. Поэтому банк пересылает документы на договор в ПИК, менеджер ПИКа отправляет эти документы по электронной почте клиенту для ознакомления, и, если клиент, согласен с текстом документов, то менеджер инициирует подписание документов ЭЦП клиента на своей стороне - клиенту приходит СМС-код, который он диктует менеджеру ПИКа, менеждер ПИКа при помощи этого кода завершает процедуру подписи и в течение нескольких минут отправляет подписанные электронной подписью документы клиенту в качестве подтверждения. Т.е. фактически - передавая менеджеру ПИКа СМС-код, клиент не видит и не контролирует, какие документы подписываются при помощи его ЭЦП и подтверждающего СМС-кода. Клиенту остаётся только верить менеджеру ПИКа на слово. Кстати, при помощи одного СМС кода можно подтвердить подписание сразу нескольких документов, т.е. у клиента нет гарантий, что помимо тех документов, которые ему пришлёт по почте менеджер ПИКа после подписания, не окажутся подписанными ещё несколько "лишних" документов.
    Следует заметить, что на бумаге с Сертификатом ключа проверки ЭП, которую клиент получает в момент подписания заявления на выпуск ЭЦП, внизу находится QR-код с ссылкой на сайт, где можно увидеть имена всех файлов, подписанных данной ЭЦП. Но только имена файлов, а не их содержимое.
    Я подозреваю, что большинство клиентов ПИК не только до сделки, но и после её завершения не вполне понимают, что из себя представляет их электронная подпись и как она работает в процессе подписания документов. А сам ПИК не стремится посвятить клиента в эти детали. Буду рад, если изложенная мной информация окажется полезной. Если в чём-то я оказался не прав - не стесняйтесь, укажите на мою ошибку.
     
  5. Григорий

    Григорий New Member

    Есть еще Технокад, где, собственно, и хранится закрытый ключ. В общем рекомендую всем запретить операции в Росреестре без вашего личного присутствия. Можно сделать через МФЦ или личный кабинет в Росреестре.
     
  6. Hakuna

    Hakuna New Member

    "Есть еще Технокад, где, собственно, и хранится закрытый ключ."
    - Мне, признаться, приходила в голову мысль, что ПИКу было бы разумно воспользоваться услугами сторонней организации - как в данном случае, услугами издателя сертификата, для хранения там секретных ключей клиента, чтобы снять с себя ответственность за их хранение и ответственность за риски прямого доступа посторонних лиц к этим ключам. Но, я посчитал, что в этом случае ПИКу было бы выгодно раскрыть эту информацию, чтобы повысить степень доверия клиентов, и он мог бы, в качестве альтернативы, предложить клиентам использовать выпущенную электронную подпись для самостоятельной подписи документов.

    "рекомендую всем запретить операции в Росреестре без вашего личного присутствия"
    - В таком случае, квартиру у ПИКа купить не удастся. Поскольку сейчас ПИК предлагает всем клиентам только электронный способ оформления сделки.

    Мне тут в голову пришли ещё два интересных вопроса:
    1. Я действительно упустил из виду, в какой момент ПИК получил от меня разрешение на использование моей ЭЦП для подписи документов. По крайней мере, в тех документах, которые у меня на руках, ничего о  передаче этого права ПИКу не говорится. Или же считается, что я передаю это право ПИКу в момент, когда называю ему код из СМС? Но, в таком случае, было бы неплохо где-то в явном виде это прописать, чтобы избежать претензий со стороны клиентов.
    2. Если закрытый ключ хранится в Технокад, то, интересно, могу ли я потребовать у Технокада предоставить мне этот ключ, чтобы я самостоятельно подписывал им документы? Ведь этот ключ выпущен на моё имя. Конечно, мне также потребуется ПО для подписи документов, но, по крайней мере, я смогу обеспечить контроль над тем, какие документы я подписываю. Кстати, если бы я наперёд знал о том, что ПИК будет распоряжаться моей электронной подписью, то можно было бы заранее самостоятельно сделать себе электронную подпись и самому подписывать документы. А затем уже эти подписанные документы загружать на сайт ПИКа. Да, поздно мне в голову приходят умные мысли.
     
    Последнее редактирование: 12 сен 2020
  7. Григорий

    Григорий New Member

    Я имел в виду уже после получения собственности.
     
  8. Gold

    Gold New Member

    Уважаемые будущие соседи, большое спасибо за информацию про ЭЦП, стало чуть понятней как это работает и чем чревато. Но сразу возникает вопрос - а кка избежать всех описанных рисков? Из приведенной информации у меня сладывается впечатление - что никак, только если отказаться от покупки... но это не вариант.
    Инфрмация очень актуальна, т.к. на днях сделка
     
  9. Григорий

    Григорий New Member

    После оформления собственности запретить операции в Росреестре без вашего личного присутствия.
     
  10. Gold

    Gold New Member

    Григорий, спасибо! А до этого момента? Т.к. регистрация наступит минимум через полгода(
     
  11. Григорий

    Григорий New Member

    Надеяться на лучшее :)
     
  12. Gold

    Gold New Member

    Самая надежная мера:D:D:D
     
  13. Димыч

    Димыч New Member

    Зачем ? Подпись ЭЦП = личное присутствие.
    А после получения собственности по ЭЦП невозможно продать эту собственность если вы об этом не написали заявление в Росреестр.
     

Поделиться этой страницей

Загрузка...