Про ключі і їх секретність

[shovgenyuk]

Ситуація на роботі.

Директор одного з філіалів підприємства, отримує ключі від АЦСК "Україна".
Отримує особисті ключі і печатку філіалу.

Привозить і передає диск з ключами у центральний офіс аби там здавали звіти за філіал. Пароль також повідомляє.
Налаштовую Медок, завантажую сертифікати і виявляю що немає всіх особистих ключів директора.
Дивно, але один ключ директора є на томуж диску де печатка підприємста..

Починаю шукати другий диск з ключами директора, бо думаю, що особисті ключі логічно було би записати на інший носій, хоча не розумію чому один ключ є на тому ж носії де ключі підприємства.
Але все таки шукаю....телефоную.... і безуспішно.

Кажу бухгалтеру, шо потрібно тому директору їхати і особисто отримати нові ключі!
Бухгалтер починає телефонувати у підтримку медока і ще кудись там...і просити вислати ключі, сказати пароль і т.д.
До речі для бухгалтерів не існує різниці між підтримкою медока, центром сертифікації ключів, ключами і ліцензією на програму і сертифікатами і т.д.- для них це все одно й теж і всі питання про ці речі з якогось переполоху відноситься до того у кого купили медок.
Я сприймаю це скептично, думаю трохи повидзвонює і все одно прийдеться нові ключі отримувати бо загублені чи то недоотримані ключі вважаю скомпрометованими.

І що б ви думали? ))))
Кудись там вона дозвонилася і хтось підключився по тімвюверу до її ком і завантажив на її комп. ключі, які забули записати на диск директору і повідомив до них пароль!!!

Як вам такий розклад?

[Ирина Шадрина]

Скажу, что это вопиющие нарушение Регламента АЦСК, ну и должностной инструкции. С одной стороны. С другой - большинство ФОПов, да и директоров как-то сами несерьезно относятстя к этому. У моих администраторов большую часть времени занимает именно растолковывание о принципе действия и ответственности за сохранность полученных файлов. Все равно умудряются потерять, поломать, стереть или забыть пароли.

[Танюшка]

Так быть не должно, но это есть. Жизнь такая. Хотите что-то из этого поменять, начните менять. Идите к руководству, чтобы приказом по предприятию был назначен ответственный человек за ключи, место хранения и т.д. Обеспечьте их сохранность. Узнайте, кто когда и где заказывал эти ключи, и может знать пароль к ним. Обеспечьте тайну этой информации. Не можете, не в вашей компетенции, разъясните тому кто это может сделать. Все, других путей нет.
Есть еще вариант. Страну поменять.Но это не выход, мы же здесь живем.
А если серьезно, мои владельцы ключей вообще не знают где они находятся, им это не интересно. Потому как этими ключами можно подписать только отчетность, и это их не пугает. Потому как этот вопрос никто не контролирует. В этой стране обеспечивается только то, что контролируется. Нет контроля- есть беспредел.

[shovgenyuk]

Корінь проблеми у ценрі видачі ключів.
Для чого вони зберігають копії і паролі?
Не робили б цього, поїхав би кожний декілька разів за повторними ключами через компрометацію, заплатив би кожний бухгалтер штраф за те що не встиг здати звіт і всі б усвідомили що таке ключ і зберігали їх у таємниці як миленькі.

Конкретно за такий випадок, позбавили би права центр видавати ключі, влетіло би від керівництва не одному...от тоді б було все ок.

[Танюшка]

Да нет, центр выдачи ключей не сохраняет. А вот администратор, который оформлял заявки, может сохранить. Но опять же кто это контролирует? Сохранил, не сохранил. Может, потому и сохраняют, чтобы избавить себя от лишнего геморроя по пере заказу сертификатов, особенно если они бесплатные. Отдачи ноль, а работы в два раза больше.
Реальность.

[shovgenyuk]

Да нет, центр выдачи ключей не сохраняет. А вот администратор, который оформлял заявки, может сохранить.
Реальность.

))))))))))))) хахахаха
а той адміністратор у центрі типу як постороння особа видає ключі і зберігає їх також як посторонній, а не як працівник центру, так?
По моєму, щось логіка храмає у Вас Танюшка )

Якщо працівник центру зберіг ключі-то це означає, що центр їх зберіг!

[Танюшка]

Да нет, логика у меня не хромает. Вы о каких ключах говорите? Налоговые. Их оформляют сразу, без посредников. А я говорю о платных ключах. Их у меня оформляет посредник, администратор сертификации. Вот он, иногда одновременно и дилер медока, не является работником сертификационного центра. Только помогает оформить и составить заявку, собрать, отправить пакет документов. и т.д. Он то и слышит и знает пароль, потому как заявку формирует вместе с клиентом.
Да по сути, вопрос не в этом. Здесь играет роль человеческий фактор. Если работник сохраняет эту информацию, и при этом не должен, как Вы предлагаете такой вопрос решить? Повторюсь. Их же никто не контролирует. Вы, когда описывали ситуацию, собственно поинтересовались куда звонила бухгалтер и у кого она получила эту информацию? Что сделали, чтобы этого не было? Или опять это должен сделать кто-то другой. И самое смешное этого другого не существует в природе. Что дальше?

[shovgenyuk]

Центр сертифікації чи видачі ключів повинен видавати ключі тільки особисто і ніхто не має знати пароль крім власника. Якщо якийсь посередник дізнався пароль і ключ від центру, то основна проблема у центрі, що таке допускає.
Якби центр видачі ключів нормально виконував свою роботу і не розголошував ключі і паролі всяким посередникам, то проблеми би не було взагалі.

У моєму випадку бухгалтерія не здала би звіти. Директор філіалу поїхав би отримати нові ключі. За не здачу звітів він відшкодував би штраф. і наступного разу він би задумався і усвідомив що таке ключ і пароль і т.д.

Якщо навіть й існує посередник, доручення і т.д. то він не має зберігати у себе ніяких копій ключів. Зберіг-значить ключ компрометований, а до посередника довіри більше немає.

[Танюшка]

Так накажите их! Напишите письмо начальству центра, с указанием кто, что и когда. Их накажут, может даже уволят. А иначе, пока не будет действия ничего не случиться.В противном случае, это эмоции.
И кстати, почему же Вы не настояли на том, чтобы начальство поехало получать ключи, почему было допущено такое нарушение? Или бухгалтерия все же решала свои проблемы всеми способами?

[Ирина Шадрина]

И кстати, почему же Вы не настояли на том, чтобы начальство поехало получать ключи, почему было допущено такое нарушение? Или бухгалтерия все же решала свои проблемы всеми способами?

А у меня за годы работы АРом вообще создалось впечатление, что сдача отчетов - это личный головняк бухгалтера. Экономят на всем - компьютерах, программном обеспечении, даже канцтоварах. А уж выдача ключей без подписанта - это вообще отдельная песня. Это хорошо, когда бухгалтер приходит с готовыми и подписанными документами и заявками, а вот когда приходят и с пеной у рта суют невнятные ксерокопии, непонятно кем заверенные, и топают ногами, требуя выдать ключи - это отдельная песня.

Меня, честно говоря в этой истории удивило, что АР знал пароли. У нас это строжайше запрещено - АР заполняет карточку согласно документов, формирует заявки, но пароли клиент вводит сам. И тут дело не только в компрометации ключа (вы мне еще о банковских тайнах расскажите), а чисто из чувства самосохранения - АР тоже человек, может ошибиться и вина будет лежать на нем.

Тем не менее, умудряются забывать эти пароли и звонить с вопросом - А Вы не помните, что я вводила?

И да - все АРы являются работниками АЦСК, так что Вы вполне можете наказать конкретного работника, спасшего вашего бухгалтера от штрафов, нервотрепки и беготни нарушением инструкции. А вот законодательную базу директору и бухгалтеру стоит разъяснить подробно, как Вы это сделали здесь, а не методом наказания штрафами и через третьи руки.

[Колпаков Б.И.]

Уважаемые клиенты формируйте заявки на сертификаты на собственных ПК, в собственных офисах, а Администратору Регистрации АЦСК привозите только заявки(файлы с расширением *.pck) и да пребудит с Вами информационная безопасность! Аминь!

[Танюшка]

Вот по поводу "разъяснить" я и хочу посмотреть.Человек обвиняет кого угодно, АРа, бухгалтера и говорит о том, что они должны были сделать. Сам же при этом, ничего, кроме темы на этом форуме не сделал.

[shovgenyuk]

Так накажите их! Напишите письмо начальству центра, с указанием кто, что и когда. Их накажут, может даже уволят. А иначе, пока не будет действия ничего не случиться.В противном случае, это эмоции.
И кстати, почему же Вы не настояли на том, чтобы начальство поехало получать ключи, почему было допущено такое нарушение? Или бухгалтерия все же решала свои проблемы всеми способами?

Мені по великому рахунку, все одно і наказувати/настоювати і т.д. я не хочу.
Я просто роблю свою роботу, яка у даному випадку полягала у налаштуванню медока. Я встановив, налаштував, виявив проблему, вказав у чому вона полягає і як її вирішити.
Далі - мені по барабану )
Ще проведу лік-без і роз'яснювальну роботу і на цьому все.
Мені за більше не платять.
Було б це моє підприємство або входило б у мої обов'язки , наприклад забезпечити інформаційну безпеку, тоді я б наказував, а так для чого?

[shovgenyuk]

Вот по поводу "разъяснить" я и хочу посмотреть.Человек обвиняет кого угодно, АРа, бухгалтера и говорит о том, что они должны были сделать. Сам же при этом, ничего, кроме темы на этом форуме не сделал.

Танюшка, в и вже вдруге пишете, що я нічого не зробив.
Звідки вам відомо що я зробив чи не зробив? )))
Може ви маєте якийсь дар яснобачення?

А на рахунок АРа і бухгалтера-то так вони винні на всі 100% )
Вони порушники і винні.
Просто я не караючий орган для них і мені глибоко пофіг шо вони винні , але це вже інше питання.... )

[shovgenyuk]

...
Пан sobenko номер два.

Сильно подозреваю, что не два. Уж сильно и манера и темы и поведение на форуме похоже.Хотя я бы почитала их дискуссию на какую нибудь тему. Вот чтиво было бы. Война и Мир отдыхает. А вот если бы еще один с другим не согласился бы, так вообще сериал бы получился.

Ви ж мене підозріваєте, що я на когось там схожий і що я навіть кимось там є.
Я також маю таке право вас підозрівати , що ви на когось похожі. )

[digi]

СЕВАНЦ, ти мудак )

Я відповів цілком адекватно. Як до мене. так я і до дибіла - СЕВАНЦ

На все ваши "проблемы" были даны ответы. И оказалось - Вы действительно "не зная броду, полезли в воду". Если в программе что-то не логично, опять же, по Вашему индивидуальному мнению, это не означает, что нужно оскорблять пользователей форума, которые в силу различных обстоятельств, а также своему огромному личному вкладу, заслужили уважение большинства других пользователей форума.

Ще проведу лік-без і роз'яснювальну роботу і на цьому все.
Мені за більше не платять.

Тут Вы говорите одно, а за "халявщика" обиделись.... Будьте последовательны...

[shovgenyuk]

Тут Вы говорите одно, а за "халявщика" обиделись.... Будьте последовательны...

Податкова вимагає звіти у ел. формі, хоча закон дозволює здавати на папері (у моєму випадку).
Платити я не хочу принципово і не заплатив би.
У податкової є аргумент, що здача звітів у ел. формі можлива безкоштовно з допомогою програми медок.
Не давайте їм цього аргументу і не буде проблем.
Якщо медок підтримує у демо-версії здачу звітів, то він має підтримувати їх без всяких обзивань людей халявщиками.

[Нина Юрилина]

shovgenyuk
Ваши сообщения я почистила, еще одно оскорбление пользователей и получите бан!

[shovgenyuk]

shovgenyuk
Ваши сообщения я почистила, еще одно оскорбление пользователей и получите бан!

Тоді почистіть повідомлення, де мене ображають!
Я нікого першим не ображав, я відповідав на образи різних м....
Мене тут називають халявщиком і якимось собенком
Чистіть всі повідомлення, пане модераторе, відносьтеся до всіх об'єктивно, чому ви чистите тільки мої?

[digi]

Тут Вы говорите одно, а за "халявщика" обиделись.... Будьте последовательны...

Податкова вимагає звіти у ел. формі, хоча закон дозволює здавати на папері (у моєму випадку).
Платити я не хочу принципово і не заплатив би.
У податкової є аргумент, що здача звітів у ел. формі можлива безкоштовно з допомогою програми медок.
Не давайте їм цього аргументу і не буде проблем.
Якщо медок підтримує у демо-версії здачу звітів, то він має підтримувати їх без всяких обзивань людей халявщиками.

Никто не говорит Вам платить за программу, платите за обучение и консультации, если Вам нужно освоить смежную специальность. А вместо это, из-за того, что не смогли разобраться, несмотря на свой 10-тилетний стаж, оскорбляете других людей, которые Вам пытаются помочь, причем абсолютно бесплатно. Я своих клиентов консультирую и сопровождаю так, что они об этом форуме и не знают. А если Вы решили использовать бесплатный продукт, то к чему эти эмоциональные миазмы? Это Ваш выбор.