Как зарегистрировать онлайн-кассу в 2020-м — пошаговая инструкция
Почему электронный документооборот на госсайтах теперь не работает в Chrome и другие сюрпризы на пути регистрации онлайн-кассы на сайте налоговой инспекции
Вот есть у вас интернет-магазин: свеженький, красивый, с загруженными товарами и подключенными доставками. Бери-работай? Но нет — сначала организуйте-ка выдачу чеков пользователю с каждой его покупки. Самый распространённый способ — онлайн-касса. Например, от АТОЛ. Но и тут не всё так просто — кассу нужно зарегистрировать в налоговой, чтобы не получить штрафов и прочих неприятностей.
Хорошая новость — это делается через личный кабинет предпринимателя или организации на сайте nalog.ru (ну вдруг вы не знали). Плохая — нужна электронная подпись, а с ней с 2020-го не всё так просто. Но начнём сначала:
Хорошая новость — это делается через личный кабинет предпринимателя или организации на сайте nalog.ru (ну вдруг вы не знали). Плохая — нужна электронная подпись, а с ней с 2020-го не всё так просто. Но начнём сначала:
1. Получаем данные кассы для регистрации в налоговой инспекции
Шаг 1. Заключить договор с компанией-поставщиком оборудования для онлайн-кассы. Можно убить сразу двух зайцев и решить вопрос по эквайрингу — например, у Тинькофф-банка.
Шаг 2. Заключить отдельный договор с оператором фискальных данных — например, с Платформой ОФД (обязательное звено цепочки, отвечает за передачу данных непосредственно в ФНС).
Шаг 3. Заполнить много-много полей. Оплатить счет (в минимальной конфигурации это порядка 35 тысяч рублей за год).
Шаг 4. Получить данные кассы, которую нужно зарегистрировать в налоговой.
На практике мы столкнулись с тем, что у того же АТОЛа данные предоставляются в таблице в личном кабинете, но половину из них там не видно — нам пришлось звонить в техподдержку и выяснять голосом то, что не вошло в ячейки.
Шаг 2. Заключить отдельный договор с оператором фискальных данных — например, с Платформой ОФД (обязательное звено цепочки, отвечает за передачу данных непосредственно в ФНС).
Шаг 3. Заполнить много-много полей. Оплатить счет (в минимальной конфигурации это порядка 35 тысяч рублей за год).
Шаг 4. Получить данные кассы, которую нужно зарегистрировать в налоговой.
На практике мы столкнулись с тем, что у того же АТОЛа данные предоставляются в таблице в личном кабинете, но половину из них там не видно — нам пришлось звонить в техподдержку и выяснять голосом то, что не вошло в ячейки.
2. Регистрируем кассу на сайте налоговой инспекции
Понадобится личный кабинет индивидуального предпринимателя (или юрлица) на сайте nalog.ru и электронная подпись (ЭП). Например, она у вас даже есть.
Электронная подпись (ЭП, или как раньше её звали — ЭЦП) состоит из секретного ключа, публичного ключа и сертификата публичного ключа. Секретный ключ шифрует подпись, публичный — расшифровывает. Сертификат публичного ключа фиксирует открытый ключ, данные владельца подписи и саму подпись.
Электронная подпись бывает:
Электронная подпись бывает:
- простой,
- усиленной неквалифицированной,
- усиленной квалифицированной (самый надежный вариант, поскольку выдается аккредитованным удостоверяющим центром и юзается на порталах госуслуг).
Вы заполняете заявление, пытаетесь его отправить и… у вас вряд ли это получится, если вы зашли на сайт налоговой в браузере Chrome или Safari (хотя ещё недавно, в декабре 2019-го, всё работало):
3. Настраиваем браузер, соответствующий новым ГОСТам
Предыстория
В 2015 году в России выпустили два новых стандарта, описывающих алгоритмы блочного шифрования («Кузнечик» и «Магма») и режимы их работы, — ГОСТ Р 34.12−2015 и ГОСТ Р 34.13−2015.
В 2018-м появилась программа «Цифровая экономика России», которая подразумевала перевод российского сегмента Интернета на российскую же криптографию. Причина — уязвимые реализации зарубежных SSL-сертификатов и TLS-сертификатов (последние — актуальнее), которые использовались во множестве пользовательских и бизнес-систем.
В 2018-м появилась программа «Цифровая экономика России», которая подразумевала перевод российского сегмента Интернета на российскую же криптографию. Причина — уязвимые реализации зарубежных SSL-сертификатов и TLS-сертификатов (последние — актуальнее), которые использовались во множестве пользовательских и бизнес-систем.
В 2019-м сертификату TLS 1.0 исполнилось 20 лет, а TLS 1.1 — 12. Обе версии морально устарели и используют слабые шифры и алгоритмы. Им на смену в 2008 году появился более криптостойкий протокол TLS 1.2, который сейчас используется большинством браузеров. В первой половине 2020-го все топовые браузеры планируют отказаться от TLS 1.0 и TLS 1.1 насовсем.
Чтобы решить проблему с уязвимостью зарубежных TLS, в России создали собственные криптонаборы TLS 1.2 с российскими алгоритмами хэширования, шифрования (тем самым «Кузнечиком») и электронной подписи, использующие современные практики использования криптоалгоритмов. В феврале 2019-го новые криптонаборы официально зарегистрировала в своем реестре международная организация IANA (Internet Assigned Numbers Authority), управляющая идентификаторами и параметрами протоколов сети Интернет. Регистрация была нужна, чтобы избежать блокировок TLS с ГОСТ из-за захвата номеров криптонаборами третьих стран.
С 1 июня 2019 в качестве национальных стандартов ввели 4 свежих:
- ГОСТ 34.10−2018 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» взамен ГОСТ 34.310−2004.
- ГОСТ 34.11−2018 «Информационная технология. Криптографическая защита информации. Функция хэширования» взамен ГОСТ 34.311−95.
- ГОСТ 34.12−2018 «Информационная технология. Криптографическая защита информации. Блочные шифры» взамен ГОСТ 28 147–89.
- ГОСТ 34.13−2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров» взамен ГОСТ 28 147–89.
Всё это здорово, но при чем здесь браузеры?
После появления нового TLS по ГОСТ возникла проблема — пользователи не хотели переходить на браузеры с поддержкой нового ГОСТ, потому что почти ни один сайт его не поддерживает. А владельцы серверов не хотели внедрять российскую криптографию, потому что почти никто не юзал поддерживающие российские алгоритмы браузеры.
Из-за этих противоречий работа по новому ГОСТ— пока опциональна и не запрещает использование зарубежной криптографии:
Исключение — сайты государственных структур: www.gosuslugi.ru и сайты в доменах .gov.ru, .kamgov.ru, .nalog.ru. Все они используют шифрование по ГОСТ алгоритмам — браузеру для этого понадобится установка КриптоПро CSP, чтобы передать этому криптопровайдеру управление.
Поскольку операции с электронной подписью тоже запрашивают шифрование (и тоже требуют установки криптопровайдера), на сайтах госструктур их можно производить только в браузерах, которые поддерживают новый стандарт TLS по ГОСТ. Это умирающий (но вечно живой) Internet Explorer, созданный в 2014-м российский Спутник и знакомый Яндекс.Браузер. Адекватнее всего использовать последний. Но настроить его для macOS для работы с электронной подписью — та ещё задачка.
Из-за этих противоречий работа по новому ГОСТ— пока опциональна и не запрещает использование зарубежной криптографии:
- при отсутствии установленного российского СКЗИ (средства криптографической защиты информации) пользователи могут спокойно юзать сайты с защитой зарубежными алгоритмами (и в любых браузерах),
- при наличии установленного российского СКЗИ в браузерах Internet Explorer, Edge, «Спутник» или Яндекс. Браузер доступно надёжно защищённое ГОСТом соединение.
Исключение — сайты государственных структур: www.gosuslugi.ru и сайты в доменах .gov.ru, .kamgov.ru, .nalog.ru. Все они используют шифрование по ГОСТ алгоритмам — браузеру для этого понадобится установка КриптоПро CSP, чтобы передать этому криптопровайдеру управление.
Поскольку операции с электронной подписью тоже запрашивают шифрование (и тоже требуют установки криптопровайдера), на сайтах госструктур их можно производить только в браузерах, которые поддерживают новый стандарт TLS по ГОСТ. Это умирающий (но вечно живой) Internet Explorer, созданный в 2014-м российский Спутник и знакомый Яндекс.Браузер. Адекватнее всего использовать последний. Но настроить его для macOS для работы с электронной подписью — та ещё задачка.
Например, у вас есть ЭП, сертификат к ней и закрытый ключ, которые хранятся на физическом носителе (токене — например, Рутокен). Но для полноценный работы одной подписи недостаточно — потребуется ещё пара компонентов:
1) криптопровайдер (ПО, которое реализует криптографические алгоритмы) — например, тот самый CryptoPro CSP;
2) расширение/плагин для браузера от КриптоПро.
3) плагин системы электронного правительства (нужен только для работы с сайтом Госуслуг и ЕСИА).
Расширение от КриптоПро можно установить в любой браузер — хоть на Chrome, при условии, что вы будете не работать с ЭП на госсайтах. Например, будете использовать ЭП на электронных торговых площадках — у Хрома для каждой есть своё расширение).
1) криптопровайдер (ПО, которое реализует криптографические алгоритмы) — например, тот самый CryptoPro CSP;
2) расширение/плагин для браузера от КриптоПро.
3) плагин системы электронного правительства (нужен только для работы с сайтом Госуслуг и ЕСИА).
Расширение от КриптоПро можно установить в любой браузер — хоть на Chrome, при условии, что вы будете не работать с ЭП на госсайтах. Например, будете использовать ЭП на электронных торговых площадках — у Хрома для каждой есть своё расширение).
С Windows особенных проблем нет, а вот на macOS приходится лезть в командную строку, вручную добавлять сертификат электронной подписи, прописывать команды и активировать этот сертификат. Нам даже пришлось написать внутреннюю инструкцию для этого процесса — потому что в зависимости от типа площадки, где будет использоваться КЭП, есть свои нюансы.
Сергей
Технический специалист
А теперь, когда все парадоксы с браузерами выяснены, и вы с горем пополам настроили Яндекс. Браузер (попробуйте эту инструкцию), вернёмся к регистрации онлайн-кассы.
4. Завершаем оформление онлайн-кассы
По регламенту оформление нужно завершить в течение суток — для этого нам понадобятся данные от АТОЛа.
Шаг 1. Копируем данные кассы из личного кабинета на сайте nalog.ru и заполняем их в поля личного кабинета у АТОЛа.
Шаг 2. Получаем от АТОЛа архив с двумя файлами.
Шаг 1. Копируем данные кассы из личного кабинета на сайте nalog.ru и заполняем их в поля личного кабинета у АТОЛа.
Шаг 2. Получаем от АТОЛа архив с двумя файлами.
Опять загвоздка: мы столкнулись с тем, что данные из второго файла не совпадают с теми, что просит налоговая инспекция. Нам снова пришлось звонить в техподдержку — там нам сказали, что всё хорошо: просто данных у налоговой и у них называются по-разному.
Шаг 3. Успех!
Шаг 3. Успех!
Порог входа в электронную коммерцию значительно вырос за последние два года. Это говорит о зрелости интернет-рынка. Государство нам дало понять, что теперь будут правила и будет сильный контроль. Похожие тенденции идут во всем мире. Более того, в других сферах все к этому привыкли: хочешь открыть кафе — будь добр, соблюдай СанПиНы. Хочешь возить людей на самолете за деньги — получай лицензию коммерческого пилота, свидетельство эксплуатанта и заполняй кучу бумажек.
Да, неприятно. Но это нормально. К сожалению, инфраструктура пока довольно сложная и сырая, а полностью делегировать получение всех ключей агентству — вряд ли хорошая идея (речь о безопасности). Однако работы постоянно идут, и я надеюсь, что через пару лет процедура станет в разы проще. Что делать сейчас? Разбираться.
Да, неприятно. Но это нормально. К сожалению, инфраструктура пока довольно сложная и сырая, а полностью делегировать получение всех ключей агентству — вряд ли хорошая идея (речь о безопасности). Однако работы постоянно идут, и я надеюсь, что через пару лет процедура станет в разы проще. Что делать сейчас? Разбираться.
Владимир
CEO & Founder
Пфф, всего-то четыре круга ада, и у вас в интернет-магазине на раз выдаются чеки :) Поделитесь статьёй с друзьями-партнёрами — вдруг они прямо в эту секунду испытывают сложности.
P. S. Наша редакция благодарит заместителя генерального директора компании КриптоПро Станислава Смышляева за помощь с написанием статьи.