Правильно ли я понял из вашего ответа, что ПИН хранится в файле конфигурации в явном виде?
Кроме того, полагаю, владелец КЭП будет вынужден сообщить ПИН третьему лицу (техническому персоналу), для внесения его в конфигурационный файл.

К сожалению, это совершенно не разрешит наших затруднений.
Такое применения функции ПИН на мой взгляд не допустимо и не делает ситуацию безопаснее для владельца КЭП.

Проблема:
С 1 сентября 2023 выпуск КЭП (Квалифицированная электронная подпись) на сотрудников организаций прекращен законодательно.
Выпуск более одной КЭП на генерального директора организации так-же не возможен.

Теперь государственные службы предлагают выпускать КЭП на сотрудников физических лиц, а организациям выпускать для этих сотрудников МЧД (Машиночитаемую доверенность) для наделения их полномочиями.

Это всё более или менее работает, кроме одного момента: ЕГАИС.
Для работы ЕГАИС на каждом торговом объекте, должна быть КЭП записанная на электронный ключ-носитель, к ней же на портале ФСРАР должен быть выпущен дополнительный сертификат.
Программное обеспечение систем учета, используемых на объекте соединяется с УТП (Универсальный транспортный модуль, ПО выпущенное ФСРАР) и отправляет данные по манипуляциям с алкогольной продукцией в надзорный орган.
При этом носитель с КЭП должен постоянно присутствовать подключенным к тому вычислительному устройству, на которое установлен УТП, для его работы.

Ранее такие КЭП для работы с ЕГАИС в множественном числе выпускались на ГД организации, или на ответственное лицо по доверенности (у нас пара десятков торговых объектов).
Теперь, оба этих варианта не доступны.

Единственным вариантом, который остаётся в нашем распоряжении и который озвучивают представители удостоверяющих центров: ваш сотрудник выпускает себе КЭП на физическое лицо и организация выпускает на неё МЧД на операции с ЕГАИС.

Однако, нам как участнику рынка, не ясно, каким образом мы должны обязать нашего сотрудника передать нам (как организации) его личную КЭП физического лица для работы с ЕГАИС. Сотрудники отказываются от такого варианта по понятным причинам - это не безопасно.

И в отличии от КЭП сотрудника организации такая подпись будет полностью "идентична натуральной", т.е. риски сотрудника, физического лица очень велики, в случае утери/кражи/злонамеренных действий в его отношении.

Конечно, для носителей существует возможность установить на них дополнительную защиту паролем.
Однако, мне не очень ясно, как в этом случае будет вести себя УТМ.
Будет ли он регулярно запрашивать аутентификацию паролем при отправке данных.
Ну и сам факт передачи (операция которую лично я считаю недопустимой) никуда не денется.

Так-же мне не ясна правовая основа такой передачи носителя с КЭП, если она будет осуществлена.
Возможно ли это с правовой точки зрения в принципе и какие риски могут в этом случае проявится не только по отношению к физическому лицу, но и к организации.

Как-то так ...
Что делать-то?