Ahojte, je mozne nejako vycitat osobne udaje z pripojeneho eID? Mozeme pri tom vyzadovat od klienta BOK, pretoze sa to bude odohravat vo webovom prehliadaci na strane klienta.
Modelova situacia:
Klient vyplni fomular na webe (meno, priezvisko, adresa… ), nasledne tento formular podpise pomocou eID. Na podpisovanie sa pouzije dSigner a dBridge.js. Pouzivatel ma citacku a eID, naistalovane vsetko co treba, vie ako to podpisat.
My by sme vsak potrebovali skontrolovat, ci udaje, ktore vyplnil do formularu, su naozaj jeho. Nieco ako by pani za prepazkou skontrolovala obciansky pri podavani papieroveho formulara. Musime si byt isty, ze udaje vo formulari sa zhoduju s tymi na obcianskom preukaze.
Samotny podpis obsahuje nejake osobne data, ale je to ale malo. Potrebujeme vsetky, ktore je mozne vidiet v eID klient na zalozke “Udaje v cipe”.
Zatial je to pre mna spanielska dedina a snazim sa urobit len nejaky proof of concept. Hodiny uz citam dokumentaciu od Ditecu a nic podobne som nenasla. Nastastie prvy krok vytvorenia podpisu, sa nam uz podarilo implementovat.
cize ziaden problem, akurat potrebuju doplnit eID o tuto funkcionalitu, ze.
zaroven, ak by slo o citanie karty na mieste, tak je to uz zjavne realizovatelne (clovek zada BOK a system si nacita kartu). a teraz zacnime ucit pouzivatelov, kde maju a nemaju zadavat BOK, to este len bude srandy (malware, phishing atd.).
Teraz nam vypisane formulare so ziadostou o poskytnutie sluzby kontroluju fyzicky a porovnavaju s obcianskym ci vsetko sedi. Nas biznis to chce zelektronizovat, preto si vymysleli eID, avsak ponechat flow, teda aj kontrolu vsetkych udajov. Ak to nebude davat zmysel, presvedcime biznis, ze im stacia udaje v podpise a pripade nech si updatuju podmienky.
Asi nemozem byt konkretnejsia, ide o komercnu sluzbu. A udaje take cerstve, ako su na obcianskom. Uvedomujem si, ze ak na klientovi vycitam nejake udaje z eID, sikovny pouzivatel si ich aj tak moze zmenit este pred podpisanim. Skor by tu slo o ulahcenie - predvyplnenie udajov a nemusime sa spoliehat na to, ze pouzivatel je schopny spravne vyplnit formular a ten by nasledne podpisoval.
Ked nad tym takto dlhsie uvazujem, najidealnejsia by pravdaze bola online sluzba, aby sme udaje vedeli overit na serveri.
A ako som spominala, ide o proof of concept, este nic nemusi byt tak, ako sa v prvom kroku navrhlo
Toto mi pripomina statne formulare, kde sa vyzaduju veci, ktore v skutocnosti nikto nepotrebuje.
Ak sa tu podpisuje nejaka ziadost, tak v podpise je jasne identifikovana strana, s adresou, s RC, s menom. Toto vam nestaci na uzatvorenie zmluvneho vztahu? Co viac potrebujete a preco?
Ak ide len o predvyplnenie, tak v tomto su daleko pohodlnejsie veci (napr. AutoFill, ktory dnes ma snad kazdy prehliadac).
Nas biznis chce kontrolovat aj obcianstvo a miesto narodenia. A kedze cas su peniaze, nejake vyhlasenie, ze udaje su pravdive a pripadna zmena podmienok, im asi bude stacit. A udaje z podpisu budu pouzite na kontrolu.
Ak by to slo z eID a nasledne sa verifikovalo, tak preco nie? Prvy krok je zalezitost UX a druhy zalezitost zakona. Ten druhy moze byt v klude podpis, ktorym to overujes (ako by si overoval akekolvek manualne vlozene udaje).
Rovnako ako keby si to vyplnul rucne, podpisom. Rozumiem tomu tak, ze ciel je skratit dobu vyplnania formulara a dostat udaje z karty priamo. To ze rovnaka možnosť je to vyplnat, pripadne doplnit z prrhliadaca/addonom, je alternativny pripad.
podpisom garantujes pravdive udaje.
Problem je inde - udaje na eID nemaju byt podla dizajnu tychto dokladov pristupne pre neautorizovany terminal. Nestaci teda, ze majitel eID zada BOK, CAN alebo si oscanuje MRZ. Aplikacia musi mat autorizaciu, ktora ju opravnuje na citanie konkretnych udajov z eID. Pristup moze byt povoleny napr. iba k informacii, ci ma majitel eID 18 rokov.
Pri “osobnom” zasunutí eID do čítačky na prevádzke firmy malo byť, že môže čítať tie údaje na ktoré bude mať certifikát od minv. Toto už používa pošta pri kúpe SIM karty, načíta si z eID údaje bez zadania BOK.
Ale ak uzatváram zmluvu cez web zo svojho zariadenia, autorizujem sa s eID/mobilnou aplikáciou myslím žeby stačilo ak na API bráne zobrazí aké údaje chce získať a buď ich povolím alebo nie.
Potom netreba riešiť overenie cez “pošlite fotku OP z oboch strán”, urobte si selfie video a podobné veci.
Mohlo by to fungovať ako platba kartou, presmeruje ma na rozhranie slovensko.sk tam sa prihlásim odsúhlasím poskytnutie údajov a presmeruje naspäť na stránku poskytovateľa služby.
