1. Общие положения
1.1. Настоящий Регламент электронного взаимодействия c Программой SKB.CHD разработан в соответствии с требованиями законодательства Российской Федерации и описывает процессы взаимодействия сторон, в целях организации безопасной передачи электронных документов, а также устанавливает порядок осуществления Бюро аутентификации Партнера, в т.ч. через проверку усиленной электронной подписи (далее – УЭП).
1.2. Электронное взаимодействие сторон осуществляется с использованием УЭП. В качестве УЭП применяются усиленная неквалифицированная ЭП (далее — УНЭП), усиленная квалифицированная ЭП (далее — УКЭП).
1.3. Стороны признают, что:
- используемые во взаимоотношениях между Бюро и Партнером электронные документы, подписанные действующей на момент передачи ЭП отправителя, подготовленные и переданные с помощью Программы в соответствии со всеми процедурами защиты информации, предусмотренными Регламентом и эксплуатационной документацией на СКЗИ, признаются равнозначным документам на бумажном носителе, подписанным уполномоченным лицом организации-отправителя с проставлением печати (при ее наличии), и имеют соответствующую юридическую силу, в частности, могут порождать для Сторон соответствующие права и обязанности;
- применение УНЭП или УКЭП стороны, является безусловным доказательством того, что электронный документ действительно исходит от соответствующей стороны, и сформирован и подписан уполномоченным лицом и не претерпел изменений при информационном взаимодействии сторон;
- такие сведения, как персональные адреса электронной почты, идентификационные пароли, регистрационные номера, пароли и криптографические ключи обеих сторон, используемые для разграничения доступа, передачи и защиты информации, а также материалы разбора конфликтных ситуаций являются конфиденциальной информацией и не подлежат разглашению Сторонами.
2. Термины и определения
2.1. Бюро – общество с ограниченной ответственностью «Спектрум Кредитное Бюро» (Сокращенное наименование – ООО «СКБ») ИНН 7701720592, ОРГН 5077746740121, КПП 712501001, юридический адрес: 1155ЗЗ, г. Москва, Проспект Андропова, д. 22, офис 51.
2.2. Договор об оказании информационных услуг – договор об оказании информационных услуг источнику формирования кредитных историй или пользователю кредитных историй.
2.3. 3акон №218-Ф3 – Федеральный закон от З0.12.2004 №218-ФЗ «О кредитных историях» со всеми его изменениями и дополнениями.
2.4. 3акон №152-ФЗ – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» со всеми его изменениями и дополнениями.
2.5. 3акон №63-ФЗ – Федеральном законе от 06.04.2011 №6З-ФЗ «Об электронной подписи».
2.6. База данных – электронная база данных кредитных историй, хранящихся в Бюро, структурированная в соответствии с правилами, установленным нормативно-правовыми актами Российской Федерации.
2.7. Квитанция – электронный документ, в котором зафиксирован результат получения и обработки переданной информации в Бюро.
2.8. Кредитная история или КИ – информация, состав которой определен Законом №218-ФЗ.
2.9. Кредитный отчет или КО — документ, который содержит информацию, входящую в состав кредитной истории, и который бюро кредитных историй предоставляет по запросу пользователя кредитной истории и иных лиц, имеющих право на получение указанной информации в соответствии с Законом №218-ФЗ.
2.10. Личный кабинет (ЛК) – это раздел сайта Бюро, который позволяет получить доступ к базовой функциональности Программы.
2.11. Пакет – архив, состоящий из набора файлов, которые могут содержать:
- данные для формирования кредитной истории Субъекта;
- запрос кредитного отчёта по Субъекту;
- кредитный отчет по Субъекту.
2.12. Партнер – источник формирования кредитной истории и/или пользователь кредитной истории, как они описаны в Законе №218-ФЗ.
2.13. Пользователь – сотрудник Партнера, которому официально предоставляется доступ в ЛК или по SFTP, что подтверждается указанием на такого сотрудника в Регистрационных сведениях Партнера в Программе SKB.CHD (Приложение №1).
2.14. Представитель Партнера – сотрудник Партнера, которому официально предоставлено право взаимодействия с Бюро по договорным/техническим вопросам, в части подписания электронных документов ЭП. Актуальный список Представителей должен быть зафиксирован в Регистрационных сведениях Партнера в Программе SKB.CHD (Приложение №1).
2.15. Программа – программное обеспечение для ЭВМ «SKB.CHD», исключительные права на которую принадлежат Бюро.
2.16. Регистрация – предоставление Пользователю доступа к Личному кабинету или SFTP Программы. Доступ предоставляется Бюро на основании заключенного договора и Регистрационных сведений Партнера в Программе SKB.CHD (Приложение №1).
2.17. Регламент — Регламент электронного взаимодействия c Программой SKB.CHD.
2.18. СКЗИ – средство криптографической защиты информации.
2.19. СКИ – субъект кредитной истории, как он описан в Законе №218-ФЗ.
2.20. Техническая поддержка – структурное подразделение Бюро, отвечающее за решение вопросов, возникающих в ходе работы с Программой. Контактная информация Технической поддержки находится на официальном сайте Бюро в сети интернет по адресу: https://cbch.ru/contacts/
2.21. Электронная подпись (ЭП) – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией, и которая используется для определения лица, подписывающего информацию.
2.22. Усиленная неквалифицированная электронная подпись или УНЭП – ЭП, которая получена в результате криптографического преобразования информации с использованием ключа ЭП, позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в электронный документ после момента его подписания. Создается с использованием средств ЭП.
2.23. Усиленная квалифицированная электронная подпись или УКЭП – ЭП, которая соответствует всем признакам УНЭП и следующим дополнительным признакам: ключ проверки ЭП указан в квалифицированном сертификате для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Законом №63-ФЗ.
2.24. SFTP-сервер – это информационный ресурс в составе Программы SKB.CHD, доступ к которому предоставляется по протоколу Secure File Transfer Protocol (протокол прикладного уровня передачи файлов, работающий поверх безопасного канала).
Термины, применяемые в настоящем Регламенте, если из контекста не следует иное, понимаются в смысле, указанном в Законе №6З-ФЗ.
3. Порядок подключения к Программе
3.1. Дополнительные технические требования для взаимодействия с Бюро:
- наличие заключенного договора с Бюро;
- наличие ПО СКЗИ КриптоПро CSP 4.0 или 5.0;
- наличие ПО для создания архивных файлов;
- наличие собственных закрытых ключей для формирования УЭП;
- передача в Бюро собственного сертификата открытого ключа;
3.2. Взаимодействие Партнера с Программой обеспечивается через:
- личный кабинет (интерфейс Программы);
- обмен данными с использованием SFTP-сервера.
3.3. После заключения между Бюро и Партнером договора об оказании информационных услуг, Партнер предоставляет в Бюро Регистрационные сведения Партнера в Программе SKB.CHD (Приложение №1), в котором определяет Представителя Партнера для взаимодействия с Бюро в рамках его исполнения и Пользователей Партнера.
3.4. На основании заявления стороны организуют защищенный канал связи для взаимодействия Партнера с Программой.
3.5. При изменении сведений о Партнере, его Представителе, Пользователях, используемых способах взаимодействия, контактных данных, данных сертификатов, Представитель Партнера подготавливает и направляет новые Регистрационные сведения Партнера в Программе SKB.CHD (Приложение №1), которые содержат актуальную информацию на дату отправки.
3.6. Бюро осуществляет регистрацию Пользователей в Программе в течении 3 (трех) рабочих дней, с момента получения Регистрационных сведений Партнера в Программе SKB.CHD (Приложение №1), и информирует Пользователей, путем направления письма с верификацией на e-mail, указанный в заявлении.
3.7. Пользователи осуществляют взаимодействие с Программой от имени Партнёра.
3.8. При возникновении вопросов в ходе работы с Программой, Пользователи обращаются в Техническую поддержку Бюро.
4. Требования к обеспечению защищенного соединения
4.1. В целях обеспечения Сторонами безопасного взаимодействия через сеть Интернет, Стороны организуют защищенный канал связи на основе криптоалгоритмов по технологии ГОСТ TLS между программными средствами Партнера и Программой.
4.2. Основным инструментом для создания защищённого канала связи является программное обеспечение «КСПК КриптоПро NGate».
«КСПК КриптоПро NGate» включает в себя:
- шлюз безопасности «КриптоПро NGate» (для обеспечения защищенного контура на стороне Бюро);
- клиентское программное обеспечение «КриптоПро NGate Клиент» (для защищенного и доверенного подключения со стороны Партнеров).
4.3. Для ограничения доступа к ресурсам Программы дополнительно используется фильтрация публичных IP-адресов, указываемых Партнером в Регистрационных сведениях Партнера в Программе SKB.CHD (Приложение №1).
4.4. Организация защищенного канала осуществляется в соответствии с технической документацией на официальном сайте Бюро в сети интернет в разделе «Документация» (https://cbch.ru/documentation/).
4.5. Для обеспечения работоспособности «КриптоПро NGate Клиент» необходимо наличие сертифицированной версии и сборки криптопровайдера «КриптоПро CSP». Установка и настройка криптопровайдера «КриптоПро CSP» осуществляется в соответствии с технической документацией, размещенной на официальном сайте разработчика https://cryptopro.ru/products/csp/.
Приобретение сертификата и лицензии криптопровайдера «Крипто-Про CSP» осуществляется Партнером самостоятельно.
4.6. Аутентификация Партнера осуществляется по сертификату ключа УЭП, который должен удовлетворять следующим требованиям:
- обеспечивает возможность работы с криптографией в соответствии с ГОСТ Р 34.11-2012/34.10-2012
- содержит расширение (OID) «Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)»;
- в составе сертификата обязательно присутствует поле «Organization (O)», в котором указывается сокращенное наименование организации (по данному полю будет проходить дополнительная проверка сертификата Партнера, который используется для аутентификации).
4.7. Для шифрования используются алгоритм — ГОСТ 28147-89.
4.8. Для Партнеров, использующих для работы с Программой личный кабинет, возможно применение браузеров с поддержкой технологии ГОСТ TLS.
5. Общая схема взаимодействия между Бюро и Партнёром
5.1. Доступ в личный кабинет осуществляется с сайта Бюро (https://cbch.ru/, «Вход» -> «Партнерам»).
5.2. Аутентификация в Личном кабинете производится с использованием учетной записи Пользователя, регистрация осуществляется по адресу электронной почты, указанной в Регистрационных сведениях Партнера в Программе SKB.CHD (Приложение №1), пароль Пользователь устанавливает самостоятельно.
5.3. Пользователь может самостоятельно изменить пароль в Программе, воспользовавшись соответствующим механизмом. При этом сообщение, которое содержит информацию необходимую для смены пароля, придёт на адрес, указанный в ходе регистрации.
5.4. Доступ к SFTP-серверу производится с помощью ПО, обеспечивающего работу по протоколу SFTP.
5.5. Аутентификация Пользователя на SFTP-сервере происходит с помощью логина Учетной записи Личного кабинета и рабочего ключа шифрования.
5.6. Обмен информацией производится в виде Пакетов, содержащих файлы со сведениями о КИ, либо запросы КИ.
5.7. Результат обработки Пакета, переданного в Бюро, доводится до Пользователя в виде Квитанции.
5.8. Все Пакеты и Квитанции подписываются УЭП.
5.9. Требования к составу и оформлению передаваемой информацией определены в документе «Формат передачи сведений кредитной истории». Документ размещён на сайте Бюро в разделе «Документация» (https://cbch.ru/documentation/).
5.10. Порядок работы с Личным кабинетом приведён в инструкции на сайте Бюро в разделе «Документация» (https://cbch.ru/documentation/).
5.11. Порядок взаимодействия с Программой с использованием SFTP-сервера и форматы передаваемой информации размещены на сайте Бюро в разделе «Документация» (https://cbch.ru/documentation/).
6. Взаимодействие с Программой для передачи КИ
6.1. Особенности взаимодействия при передаче КИ
6.1.1. Предусмотрены следующие виды документов, участвующих в процессе передачи КИ между Бюро и Партнером:
- переданный Пакет со сведениями о КИ;
- квитанция Бюро о результатах контроля полученного файла;
- квитанция Бюро о результатах обработки и загрузки в Программу сведений, содержащихся в Пакете.
6.1.2. Для передачи в Бюро Пакета с КИ Пользователь должен:
- подготовить Пакет со сведениями КИ в соответствии с требованиями;
- произвести подписание Пакета УЭП средствами ПО СКЗИ КриптоПро CSP;
- загрузить подписанный Пакет на ресурс Бюро (в зависимости от выбранного типа передачи).
6.2. Передача КИ через Личный кабинет
6.2.1. Подготовку информации, составляющей КИ, Пользователь может выполнить средствами Программы, в разделе «Подготовка пакета» Личного кабинета. Подготовленная информация подлежит загрузке в виде файла на локальный компьютер Пользователя для формирования и подписания Пакета.
6.2.2. Передача подготовленного и подписанного Пакета со сведениями КИ в Бюро производится Пользователем в разделе «Загрузка пакета» Личного кабинета.
6.2.3. Результат передачи КИ доступен Пользователю в списке операций (раздел «История загрузок» Личного кабинета). Пользователь может загрузить любой документ, связанный с операцией.
6.3. Передача КИ с использованием SFTP-сервера
6.3.1. Пользователь загружает подготовленный и подписанный Пакет со сведениями КИ в подкаталог inbox каталога Партнёра.
6.3.2. Бюро обрабатывает Пакет и размещает результаты обработки (Квитанции) в подкаталоге outbox каталога Партнёра.
6.3.3. Пакеты, содержащие ошибки и не принятые в обработку, размещаются в подкаталоге errors каталога Партнёра.
7. Взаимодействие с Программой для получения отчёта о КИ
7.1. Особенности взаимодействия при получении отчётов о КИ
7.1.1. Предусмотрены следующие виды документов, участвующих в процессе получения отчёта о КИ от Бюро:
- Пакет, содержащий запрос на получение отчёта о КИ в Бюро;
- Пакет, содержащий сформированные отчёты о КИ, направляемый Бюро в адрес Партнёра;
7.1.2. Квитанция с результатом обработки Пакета, содержащего запрос отчёта о КИ не формируется. При отсутствии информации по запрошенной КИ формируется специализированный отчёт об отсутствии сведений о КИ Субъекта в Бюро.
7.1.3. Для получения КИ от Бюро Пользователь должен:
- подготовить Пакет с запросом КИ в соответствии с требованиями;
- произвести подписание Пакета УЭП средствами ПО СКЗИ КриптоПро CSP;
- загрузить подписанный Пакет на ресурс Бюро (в зависимости от выбранного типа передачи).
7.2. Запрос отчёта о КИ через Личный кабинет
7.2.1. Подготовку запроса отчёта о КИ Пользователь может выполнить средствами Программы, в разделе «Подготовка запроса» Личного кабинета. Подготовленный запрос подлежит загрузке в виде файла на локальный компьютер Пользователя для формирования и подписания Пакета.
7.2.2. Передача подготовленного и подписанного Пакета с запросами отчётов о КИ в Бюро производится Пользователем в разделе «Загрузка запроса» Личного кабинета.
7.2.3. Пакет с отчётом по запросу о КИ доступен для загрузки Партнёром в разделе «История запросов» Личного кабинета Программы. Пакет доступен для загрузки в течение 3-х (рабочих) дней, следующих после дня его размещения.
7.2.4. Информация предоставляется Партнеру в файле формата XML, подписанном УЭП Бюро, а также в виде HTML-документа.
7.3. Запрос КИ через SFTP
7.3.1. Пользователь загружает подготовленный и подписанный Пакет с запросами отчётов о КИ в подкаталог inbox каталога Партнёра.
7.3.2. Бюро обрабатывает Пакет и размещает результаты обработки в подкаталоге outbox каталога Партнёра. Пакет с отчётами по КИ доступен для загрузки в течение 3-х (рабочих) дней, следующих после дня его размещения.
7.3.3. Пакеты, содержащие ошибки и не принятые в обработку, размещаются в подкаталоге errors каталога Партнёра.
8. Действия при компрометации ключа ЭП и/или пароля от ЛК
8.1. При компрометации ключа УЭП, Сторона, допустившая утрату носителя с ключевой информацией СКЗИ, независимо от наличия или отсутствия сведений о ее компрометации (несанкционированном использовании), обязана незамедлительно
- сообщить об этом другой Стороне, путем направления ей письменного уведомления об отмене действия соответствующего сертификата ключа проверки ЭП;
- приостановить обмен электронными документами, до ввода в действие новых ключей.
8.2. Бюро прекращает прием сведений, подписанных с помощью скомпрометированного ключа ЭП до получения от Партнера сведений о новом ключе ЭП.
8.3. При компрометации пароля учетной записи Пользователь прекращает работу с Программой и незамедлительно информирует об этом Техническую поддержку Бюро. Бюро производит блокировку доступа Пользователя к Личному кабинету и информирует об этом Пользователя и Представителя Партнера.
8.4. Смена пароля и разблокировка учётной записи Пользователя осуществляется Бюро после получения информации от Представителя Партнера о завершении внутреннего расследования у Партнера и возможности возобновления работы Пользователем. Информация предоставляется в Бюро в рамках переписки с Технической поддержкой.
9. Заключительные положения
9.1. Внесение изменений и дополнений в настоящий Регламент производится Бюро в одностороннем порядке.
9.2. Бюро, не менее чем за 30 дней до вступления изменений в силу, размещает новую редакцию Регламента и информирует Партнера. Регламент размещен на сайте Бюро в разделе «Документация» (https://cbch.ru/documentation/).
9.3. С момента вступления изменений в силу требования Регламента распространяются на всех Партнеров, заключивших с Бюро договор.
10. Список приложений
Приложение №1. Регистрационные сведения Партнера в Программе SKB.CHD
Приложение №1
ОБРАЗЕЦ
В Общество с ограниченной ответственностью
«Спектрум кредитное бюро» (ООО «СКБ»)
Регистрационные сведения Партнера в Программе SKB.CHD
1. ОБЩИЕ СВЕДЕНИЯ О ПАРТНЕРЕ
| Полное наименование ЮЛ /Фамилия Имя Отчество ИП | |
| ИНН Партнера | |
| Номер телефона | |
| Контактный e-mail | |
| Публичные IP-адреса Партнера (при наличии) | |
| Тарифный план |
2. ПРЕДСТАВИТЕЛЬ ПАРТНЕРА
| № | Фамилия Имя Отчество | Контактный телефон | |
Подписи лиц, указанных в качестве Представителя Партнера:
| Подпись | Фамилия и инициалы |
_________________________ | _________________________ |
| Подпись | Фамилия и инициалы |
_________________________ | _________________________ |
3. РЕГИСТРАЦИЯ ПОЛЬЗОВАТЕЛЕЙ
| Фамилия Имя Отчество | |
| Контактный телефон | |
| Способ взаимодействия | |
| Серийный номер сертификата | |
| Отпечаток сертификата |
| Фамилия Имя Отчество | |
| Контактный телефон | |
| Способ взаимодействия | |
| Серийный номер сертификата | |
| Отпечаток сертификата |
Подтверждаю корректность регистрационных сведений
| Должность | Подпись | Фамилия и инициалы |
| ___________________________ | ___________________________ | ___________________________ |
«___» ____________20_ г.
МП (оттиск должен быть получен той же печатью, что и оттиск печати на договоре/соглашении)
