Než přijde identifikace podle eIDAS

30. 12. 2016

Sdílet

 Autor: © adimas - Fotolia.com
V září 2016 vstoupil v platnost zákon č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce, který harmonizuje použití evropského nařízení č. 910/2014 (tzv. eIDAS) v českých podmínkách. Zatímco český zákon upravuje především oblast elektronických podpisů a kvalifikovaných certifikátů, evropské nařízení eIDAS se zabývá také elektronickou identifikací, elektronickým doporučeným doručováním a právním účinkem elektronických dokumentů.

Nařízení eIDAS zavádí tzv. přeshraniční autentizaci a uznávání prostředků pro elektronickou identifikaci. V praxi se např. Čech bude moci přihlásit pomocí českého autentizačního prostředku třeba do německého daňového portálu. Tímto autentizačním prostředkem bude v ČR nový občanský průkaz, pro který se používá zkratka eOP.

A když už budeme mít eOP, byla by škoda jej nevyužít i pro přihlášení do elektronických služeb české státní správy. Pomocí nové „občanky“ bychom se mohli přihlašovat do datových schránek, žádat o výpisy z rejstříků a registrů v CzechPOINT@home, podávat elektronická daňová přiznání apod. Pro dosažení těchto „světlých zítřků“ ale musí být vybudováno patřičné technické zázemí.

Nicméně už dnes disponuje český e-government sdílenými službami, které umožňují identifikovat a autentizovat uživatele přistupující do jiných informačních systémů.

Identifikace úředníků

Takovou službou je autentizační služba JIP/KAAS systému Czech POINT.

JIP (Jednotný identitní prostor) je zabezpečený adresář všech orgánů veřejné moci a účtů jejich úředníků. KAAS (Katalog autentizačních a autorizačních služeb) je rozhraní webových služeb.

Proč by měl správce systému chtít využívat službu JIP/KAAS? Protože se tím zbaví nutnosti starat se o účty uživatelů a bude to pohodlnější i pro uživatele, neboť se budou hlásit stejným jménem a heslem jako do Czech POINTU.

A zájem o služby JIP/KAAS opravdu je. Kromě Czech POINTU jsou na JIP/KAAS napojeny různé agendové informační systémy (AIS) státních institucí – např. ISUI ČÚZK, Registr smluv, Systém o státní službě, Centrální registr řidičů, Centrální registr vozidel a další.

Uživatelé se přihlašují tak, že nejprve zadávají své přihlašovací údaje v perimetru JIP/KAAS a následně jsou přesměrováni do cílového systému. Ten zavolá webovou službu KAAS a v odpovědi získá informace o autentizovaném uživateli.

JIP/KAAS podporuje kromě jména a hesla také přihlášení certifikátem nebo jednorázovým OTP kódem. Správce AIS si může vynutit, aby se přistupující uživatelé autentizovali v JIP/KAAS některou pokročilou autentizační metodou.

JIP dále zajišťuje správu uživatelských účtů, založenou na principu tzv. delegované zodpovědnosti. Statutární zástupce každého úřadu určuje jednu nebo více osob do role lokálního administrátora. Ti pak zakládají a spravují účty uživatelů daného úřadu.

JIP/KAAS také nabízí mechanismus řízení přístupu do informačních systémů pomocí aplikačních rolí. Správce AIS nadefinuje seznam aplikačních rolí, které přiřadí konkrétním úřadům. Lokální administrátoři pak následně přiřadí aplikační role konkrétním uživatelům v subjektu.

Využívání JIP/KAAS novými AIS ve státní správě prosazuje odbor hlavního architekta ministerstva vnitra jako součást strategie rozvoje ICT služeb veřejné správy. JIP/KAAS je navíc uzákoněn jako tzv. autentizační informační systém v § 56a zákona č. 111/2009 Sb., o základních registrech.

JIP/KAAS má však z určitého úhlu pohledu jedno podstatné omezení. Může jej využívat pouze veřejná správa.

Alternativa pro komerční systémy

Státní správa má řešení i pro komerční sektor – autentizační službu Informačního systému datových schránek (ISDS).

ISDS má oproti JIP/KAAS výhodu, že obsahuje nejen účty úředníků, ale také uživatelů z právnických, podnikajících a nepodnikajících fyzických osob. Limitujícím faktorem je, že autentizovat lze pouze osoby s přístupem do datové schránky.

Službu nyní používá např. ePortál ČSSZ nebo Daňový portál. Další služby ISDS pro odesílání datových zpráv využívají zase systém CzechPOINT@home nebo Portál veřejné správy.

Autentizační služba ISDS funguje podobně jako JIP/KAAS. Uživatel zadává své přihlašovací údaje v perimetru ISDS a je přesměrován do cílového systému, který si voláním webových služeb ISDS vyzvedne informace o uživateli a jeho datové schránce. Uživatelé se do autentizační služby přihlašují stejně jako při přístupu do své datové schránky.

Správa uživatelských účtů probíhá buď ve webovém portálu ISDS, nebo na kontaktních místech Czech POINT.

Oproti JIP/KAAS si v ISDS nemůžete vytvářet vlastní aplikační role pro váš informační systém a musíte se spokojit s tím, co je k dispozici. ISDS rozlišuje role oprávněná osoba, pověřená osoba a administrátor.

Oprávněné osoby jsou u automaticky zakládaných schránek vytvářeny na základě údajů z veřejných rejstříků. U schránek zřízených na žádost probíhá před založením schránky důkladná kontrola totožnosti žadatele o datovou schránku. Oprávněné osoby následně zakládají účty pověřených osob a administrátorů.

Kde najít další informace

 

Více o JIP/KAAS či autentizační službě ISDS lze nalézt v technické dokumentaci. Dokumentace JIP/KAAS je dostupná na Portálu veřejné správy (portal.gov.cz) v provozní dokumentaci Seznamu datových schránek. Technický popis autentizační služby se nachází v provozním řádu ISDS, který lze stáhnout z www.datoveschranky.info.

 

Martin Šlancar, business analytik,NEWPS.CZ s.r.o.

Nařízení eIDAS zavádí tzv. přeshraniční autentizaci a uznávání prostředků pro elektronickou identifikaci. V praxi se např. Čech bude moci přihlásit pomocí českého autentizačního prostředku třeba do německého daňového portálu. Tímto autentizačním prostředkem bude v ČR nový občanský průkaz, pro který se používá zkratka eOP.

A když už budeme mít eOP, byla by škoda jej nevyužít i pro přihlášení do elektronických služeb české státní správy. Pomocí nové „občanky“ bychom se mohli přihlašovat do datových schránek, žádat o výpisy z rejstříků a registrů v CzechPOINT@home, podávat elektronická daňová přiznání apod. Pro dosažení těchto „světlých zítřků“ ale musí být vybudováno patřičné technické zázemí.

Nicméně už dnes disponuje český e-government sdílenými službami, které umožňují identifikovat a autentizovat uživatele přistupující do jiných informačních systémů.

Identifikace úředníků

Takovou službou je autentizační služba JIP/KAAS systému Czech POINT.

JIP (Jednotný identitní prostor) je zabezpečený adresář všech orgánů veřejné moci a účtů jejich úředníků. KAAS (Katalog autentizačních a autorizačních služeb) je rozhraní webových služeb.

Proč by měl správce systému chtít využívat službu JIP/KAAS? Protože se tím zbaví nutnosti starat se o účty uživatelů a bude to pohodlnější i pro uživatele, neboť se budou hlásit stejným jménem a heslem jako do Czech POINTU.

A zájem o služby JIP/KAAS opravdu je. Kromě Czech POINTU jsou na JIP/KAAS napojeny různé agendové informační systémy (AIS) státních institucí – např. ISUI ČÚZK, Registr smluv, Systém o státní službě, Centrální registr řidičů, Centrální registr vozidel a další.

Uživatelé se přihlašují tak, že nejprve zadávají své přihlašovací údaje v perimetru JIP/KAAS a následně jsou přesměrováni do cílového systému. Ten zavolá webovou službu KAAS a v odpovědi získá informace o autentizovaném uživateli.

JIP/KAAS podporuje kromě jména a hesla také přihlášení certifikátem nebo jednorázovým OTP kódem. Správce AIS si může vynutit, aby se přistupující uživatelé autentizovali v JIP/KAAS některou pokročilou autentizační metodou.

JIP dále zajišťuje správu uživatelských účtů, založenou na principu tzv. delegované zodpovědnosti. Statutární zástupce každého úřadu určuje jednu nebo více osob do role lokálního administrátora. Ti pak zakládají a spravují účty uživatelů daného úřadu.

JIP/KAAS také nabízí mechanismus řízení přístupu do informačních systémů pomocí aplikačních rolí. Správce AIS nadefinuje seznam aplikačních rolí, které přiřadí konkrétním úřadům. Lokální administrátoři pak následně přiřadí aplikační role konkrétním uživatelům v subjektu.

Využívání JIP/KAAS novými AIS ve státní správě prosazuje odbor hlavního architekta ministerstva vnitra jako součást strategie rozvoje ICT služeb veřejné správy. JIP/KAAS je navíc uzákoněn jako tzv. autentizační informační systém v § 56a zákona č. 111/2009 Sb., o základních registrech.

JIP/KAAS má však z určitého úhlu pohledu jedno podstatné omezení. Může jej využívat pouze veřejná správa.

Alternativa pro komerční systémy

Státní správa má řešení i pro komerční sektor – autentizační službu Informačního systému datových schránek (ISDS).

ISDS má oproti JIP/KAAS výhodu, že obsahuje nejen účty úředníků, ale také uživatelů z právnických, podnikajících a nepodnikajících fyzických osob. Limitujícím faktorem je, že autentizovat lze pouze osoby s přístupem do datové schránky.

Službu nyní používá např. ePortál ČSSZ nebo Daňový portál. Další služby ISDS pro odesílání datových zpráv využívají zase systém CzechPOINT@home nebo Portál veřejné správy.

Autentizační služba ISDS funguje podobně jako JIP/KAAS. Uživatel zadává své přihlašovací údaje v perimetru ISDS a je přesměrován do cílového systému, který si voláním webových služeb ISDS vyzvedne informace o uživateli a jeho datové schránce. Uživatelé se do autentizační služby přihlašují stejně jako při přístupu do své datové schránky.

Správa uživatelských účtů probíhá buď ve webovém portálu ISDS, nebo na kontaktních místech Czech POINT.

Oproti JIP/KAAS si v ISDS nemůžete vytvářet vlastní aplikační role pro váš informační systém a musíte se spokojit s tím, co je k dispozici. ISDS rozlišuje role oprávněná osoba, pověřená osoba a administrátor.

bitcoin_skoleni

Oprávněné osoby jsou u automaticky zakládaných schránek vytvářeny na základě údajů z veřejných rejstříků. U schránek zřízených na žádost probíhá před založením schránky důkladná kontrola totožnosti žadatele o datovou schránku. Oprávněné osoby následně zakládají účty pověřených osob a administrátorů.

Kde najít další informace

Více o JIP/KAAS či autentizační službě ISDS lze nalézt v technické dokumentaci. Dokumentace JIP/KAAS je dostupná na Portálu veřejné správy (portal.gov.cz) v provozní dokumentaci Seznamu datových schránek. Technický popis autentizační služby se nachází v provozním řádu ISDS, který lze stáhnout z www.datoveschranky.info.