Metodika zaručenej konverzie

dámy, pani, aj z UPVII, máte prosím niekto informácie o aktuálnom stave pôvodného topicu tohto vlákna ? Deje sa nieco na UPVII s metodikou zarucenej konverzie ? Prax totiz ukazuje ze konverzia sa v prktickych use caseoch moze robit aj dost hromadne … a to by chcelo robit plne. alebo polo automatizovane… avsak pri sucasnom zneni predpisov sa predpoklada iba manuálna konverzia … kdesi sa tu šuchlo že metodika sa už na UPVII finalizuje …

Ako to dopadlo by zaujímalo aj mňa. Ak zistíš, daj tu vedieť.

berem to tak ze ked sa sem nik neozve, tak pisem infoziadost …

2 Likes

Infoziadost napisana …

1 Like

No ja som sa bavil s advokatmi, starostami … zatial nikto nepozna jediny pripad zeby niekto robil konverziu s OCR, alebo rucnym prepisovanim. A ani ziaden notar, ci advokat sa take robit nechysta …
Tak naco su nam take nevykonatelne paragrafy ?
navrhujem ich zrusit …

no prislo mi nieco z coho nie som mudrejsi.
Poslali mi dokumnt, na ktory som sa pytal ci je platny … ale bez vyjadrenia ci je platny … v podstate mi na nic neodpovedali. Ked som sa pytal na vystup zo zaruc. konverzie, odkazali ma napredpis, kde sa nic o konverzii nehovori … a to som do toho nechcel rypat, len som chcel informaciu, lebo ju potrebujem…
scan0313.pdf (1.3 MB)

dnes bol zverejnený Návrh vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu z … 2018 o zaručenej konverzii
https://www.slov-lex.sk/legislativne-procesy/SK/PI/2018/118
pardon, je to len Predbezna informacia

2 Likes

Návrh Vyhlášky Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu z … 2018 o zaručenej konverzii
https://www.slov-lex.sk/legislativne-procesy/SK/LP/2018/421
navrh_metodiky_ZK.docx (93.5 KB)

2 Likes

Vďaka že to sleduješ. Pre doplnenie - MPK trvá do 12.7.2018.

Tak nakoniec oproti metodike je návrh vyhlášky dosť stručný - čo je len dobre (ak je riešené všetko čo treba).

Na prvé prečítanie zopár poznámok:

§3.1.a - formáty podpísaných dokumentov - z formulácie “je možné použiť na účely ZK” slabo vidno že má ísť o povinnosť vykonať ZK z týchto formátov

§3.1 - všetci čo robia ZK majú aj podľa §39.8 ZeGov povinnosť robiť konverziu zo “neštandardných” formátov, ktoré sami vytvárali - toto samozrejme vyhláška nemôže zrušiť, ale bolo by vhodné to v §3.1 pripomenúť, alebo aspoň nejako zohľadniť, lebo to teda nie je “ak sa dohodnú”

§3.1 - aj dôvodová správa k §3 je rozporuplná - prvá veta “musia byť vo formáte”, druhá veta “neplatia žiadne obmedzenia”

§3.2 - aký je dôvod neumožniť konverziu do ľubovoľných formátov, napr. podľa eIDAS, ak sa obe strany na tom dohodnú? Najmä ak ZK môže byť používaná aj v privátnej sfére, nielen pre eGov.

§4.1.a.3 a §4.1.b.3 - “Identifikácia osoby, ktorá pôvodný dokument podpísala alebo autorizovala” nemá byť vôbec čo pri ZK robená. Ak je ZK analógiou osvedčenej kópie, tam sa to tiež nerobí. Navyše “podpísanie” môže byť spravené tisíc spôsobmi, môžu tam byť viaceré podpisy, v rôznom čase … Nie je ani jasné, načo sa táto identifikácia má robiť. Totiž vykonávateľ ZK za túto identifikáciu neručí (nie je to v zákone), takže subjekt, ktorý používa produkt ZK si musí vždy túto identifikáciu vykonať sám, v rozsahu ako potrebuje. A do tretice, povinnosť identifikovať pôvodného podpisovateľa nie je ani uvedená v zákone, a teda nemôže byť “vyrobená” vyhláškou - aj keď sa text snaží tváriť že “na účely posudzovania úrovne záruk”, v skutočnosti to s týmto nemá nič spoločné.

§9 + Príloha č.7 - Super že sa stanovujú maximálne ceny, nie pevné ako boli doteraz. Na druhej strane, “maximálne” ceny výrazne vzrástli, napr. pri konverzii listinného dokumentu cena za list A4 vzrástla z 0,1 na 0,24 Eur, čiže o 140%. Prečo taký nárast? (Časť nárastu môže byť tým, že v novej vyhláške je explicitne započítaná DPH?)

Príloha č.1-6 Tieto doložky sú niekedy snáď až príliš podrobné a zložité. Pritom je vo viacerých prípadoch oveľa viac/detailnejších informácií treba dávať ak zdrojom je elektronický dokument, čo je nesprávne.

Príloha č.1 a 5 - Položka “Osoba, ktorá autorizáciu vykonala” vôbec nemá čo byť uvádzaná. Ani ak by sa §4.1.a/b.3 nezrušil, pri listinných dokumentoch nie je analogická položka, čo znamená že to vlastne nie je potrebná vec. Príklad: ak spravím konverziu el->papier->el, tak mám nakoniec el. dokument, v ktorom však o pôvodnom podpisovateľovi nemám (v doložke) nič konkrétne.

Príloha č.2 a 6 - Analogicky k predošlej pripomienke odstrániť atribúty “Identifikátor autorizujúcej osoby”, “Zastupujúca osoba” a “Mandát”.

Príloha č.1 a 5 - Položka “Ďalšie informácie o autorizácii” - či bol pôvodný podpis/pečať kvalifikovaný sa neurčuje podľa nejakých atribútov certifikátu, ale podľa zákona (a je vôbec otázne, či a na koľko sa toto má overovať)

Príloha č.2 a 6 - Položka “Elektronický podpis/pečať” nemá čo byť súčasťou záznamu o konverzii. Môže obsahovať osobné údaje (napr. rodné číslo, bydlisko…). Môže to byť veľký objekt. Môže byť ťažké ho “vytrhnúť” ho z pôvodného dokumentu. Nie je jasne daná štruktúra údajov tejto položky, ani čo všetko ešte je “podpis”. V papierovej forme tento údaj nemá analógiu. Nie je jasné prečo by mal byť naveky súčasťou nejakej evidencie, ako a kedy sa má použiť. Pre účely pochybnosti o správnom vykonaní konverzie sa použije kontrola el. odtlačku (hash). Ak by toto bolo vážne myslené na kontrolu, či pôvodný podpis bol správne overený, jediný zmysel by tu malo uchovávať “všetky údaje, ktoré boli použité na overenie podpisu”, čo je dobre známy súbor údajov (napr. certifikačné politiky všetkých CA v ceste), ale je to fakt objemné.

Príloha č.2 a 6 - Položka “Miesto autorizácie” nie je súčasťou osvedčovacej doložky a nie je žiadny dôvod ju uvádzať v zázname.

Príloha č.2 a 6 - “Časová pečiatka pripojená k prostriedku autorizácie” - v pôvodnom dokumente môže byť viacero ČP

Príloha č. 3 - Aký zmysel má “Prehlásenie žiadateľa” (že nevie o iných bezpečnostných prvkoch)? Vykonávateľ ZK skrátka sám niečo videl a popísal, voči tomu sa vzťahuje ZK. Ak by to tam zostalo, niekde by to musel žiadateľ autorizovať. Kde/ako? (a načo?)

Príloha č.1 a 5 - Položka “Názov pôvodného dokumentu” - spomína sa tu aj viacnásobný podpis, pričom jednotlivé podpisy sa môžu vzťahovať na rôzne časti dokumentu. Ak toto má byť seriózne riešené, tak na to treba akosi viac informácií než len názov dokumentu. Najmä by malo byť niekde identifikované, aká časť dokumentu je ktorým podpisom autorizovaná.

Pripájam zopár pripomienok, ktoré budem ešte priebežne dopĺňať alebo aktualizovať na základe spätnej väzby. Mohli by ste ich potom poslať spoločne:

  • § 6 Zaručená konverzia dokumentu v listinnej podobe do elektronického dokumentu podľa § 35 ods. 1 písm. b) zákona

    • bod (3) - uviesť jasne, akým spôsobom sa vkladá osvedčovacia doložka, spolu s novovzniknutým elektronickým dokumentom do podpisového kontajnera. Výnos Ministerstva financií Slovenskej republiky č. 55/2014 uvádza, že súbory vo formáte xml je potrebné pred podpisom vložiť najprv do kontajnera xml údajov. Súčasná prax, pokiaľ ide o zaručenú konverziu (z listinnej do elektronickej podoby), je taká, že doložka sa do kontajnera vkladá tak ako je, t.j. nepoužíva sa kontajner pre xml údaje.
    • bod (3) - okrem odvolávky na § 57b písm. a) výnosu Ministerstva financií Slovenskej republiky č. 55/2014 uviest jasne, aj konkretny typ podpisoveho kontajnera a sice, ze ide o podpisovy kontajner .asice
  • § 8 Evidencia záznamov o konverzii
    Vypustiť vedenie ďalšej evidencie v podobe záznamu o konverzii. Položky (napr. Príloha č. 4) sú duplicitné s osvedčovacou doložkou, ktorá obsahuje všetky potrebné údaje.
    Ak je potrebné skontrolovať vykonané konverzie, alebo robiť nad týmito konverziami štatistické operácie je tak možné spraviť na základe existujúcich osvedčovacích doložiek a údajov v nich.

  • Príloha č. 1 - Osvedčovacia doložka pre zaručenú konverziu elektronického dokumentu do dokumentu v listinnej podobe

    • Formát dokumentu - namiesto uvedených príkladov, ktorých výpočetm pokiaľ ide o formáty nie je konečný navrhujeme uvádzať mime type daného dokumentu
    • Stav autorizácie - na základe akých štandardov alebo špecifikácií má byť urobený záver: platný, neplatný, nie je možné zistiť?

Tak toto je dosť jasné. Vyhláška nemusí zdôrazňovať, že štandardy (to je iná vyhláška) sa majú dodržiavať a nemôže zmeniť čo tá iná vyhláška hovorí. Ak aj “súčasná prax” je v rozpore s štandardami, buď to treba riešiť, alebo zmeniť štandardy.

Čiže chceš, aby to nebol hocaký ASiC, ale vždy ASiC-E? Prečo?
Nie je to samozrejmé už preto, že ASiC-S je iba pre jeden objekt, a tu sú vždy aspoň dva - dokument+doložka?

Bez ohľadu na to, či je to dobrý alebo zlý nápad, záznamy o konverzii sa vytvárajú lebo to žiada zákon 305/2013, viď. §36.2.e, §36.3.d, §36.4.f, §36.5, §39.5 a 6, §59.1.e.4 a 5, §60d celý. Čiže vyhláškou sa to nedá “vypustiť”.
Teória je taká, že je dobré mať aj centrálne záznamy čo/kto/kde/ako konvertoval, asi ako si notári vedú denníky osvedčení. Nie je to kvôli štatistickým operáciám, ale pre prípad sporu o produkte ZK. (Koniec teórie.)
Osvedčovacie doložky si vykonávateľ ZK nemusí odkladať (ak si správne pamätám).
Ale dalo by sa to preformulovať tak, že predmetom evidencie je osv. doložka, a nič viac.

A čo ak mimetype nemáš?

Toto úmyselne nedali ako predmet vyhlášky, asi mali dôvod. (Môže sa to v nej riešiť, dá sa to schovať pod §59.1.e.6.)
Keďže to nie je špeciálne upravené, má si to každý spraviť ako potrebuje, v súlade so zákonom. Niektoré situácie sú jasné - napr. odpoveď kvalifikovanej overovacej služby pre KEP/pečať/ČP. Ale rozumiem Tvojej otázke, že niekedy spoľahlivá odpoveď “platný KEP” môže dlho trvať, a vtedy čo?
Problém je, že v MPK treba dať konkrétne návrhy, máš k tomuto nejaký?

lahko sa povie, tazsie vykona. Moja infoziadost ze kto ma dat vyklad, resp. posudit spravnost konvertovaneho suboru bola na UPVII odmietnuta s tym ze patri NBU. NBU ju vratilo na UPVII a tam si ju pohadzuju. Zatial na nu neodpovedali a myslim ze uz maju aj po termine. Takze ak som presvedceny ze mam spravny format… zd asa ze neexistuje institucia, ktora by mi to potvrdila, alebo vyvratila. Preto kazdy vyrobca konverzie si to robi po svojom.

Okrem toho centralna sluzba este nefunguje, takze ani tento paragraf sa nevykonava. Osvedc. dolozky v datovej vete, z ktorej sa budu dat aj vizualizovat nie je vobec zly napad. mohlo by sa to zludstit este pred tym, nez to niekto zacne robit.

BTW: Kedze tato sluzba chyba a o rok uz bude musiet existovat, lebo koncia vsetky vynimky pod ciarou … a rovnako aj sluzba pridelovania jedinecneho ID KOnverzie … viete o tom zeby sa na to uz robilo obstaranie ? Kedy to chcu akoze vyvinut a nasadit ?

Tej ktoru dodnes nik nerobi ? Bude vobec ?

Radsej nech to tam nechaju, lebo za cokoladku si dam vyrobit darovaciu zmluvu a nikto uz nikdy nedokaze ze original nikdy neexistoval. Aspon aka taka kontrola by tam mala byt. S oskenovanym podpisom nalepenym na lubovolny dokument by sa potom dalo robit neplechu.

Mozno ak niekto ma papierovy dokument, ktory bol povodne previazany snurkou a zapecateny, niekto ho dava na konverziu bez pecate alebo bez snurky tak by sa to malo niekde uviest. Lebo je to dost dolezita vec pre posudenie ked uz original existovat nebude. Lenze on stejne povie ze o tom ze bol dokument zabezpeceny pecatou nevedel a je to vybavene…

Je teda nejaký dôvod, aby autor vyhlášky neuviedol ako je to myslené, alebo to neupravil?

Ano mne sa to zdá samozrejmé, ale opäť sa pýtam, že či je problém to tam jasne uviesť. Moje čerstvé skúsenosti s infožiadostami sú také, že niektoré úrady majú problém jasne odpovedať na takéto (a iné) samozrejmé otázky.

Aj ja si to tak pamatám, a ak by sa to preformulovalo ako si písal, tak by to malo viac zmysel, ako prepisovať údaje z jedného xml do druhého s vyhliadkou nahrávania do centrálnej evidencia, ktorá doteraz nefunguje.

Neviem či sa nedá nemať mime type pri podpisovaní súborov. Podľa mňa ho máš vždy a myslím si, že je to lepší parameter ako päť odrážkový príklad, ktorý kombinuje koncovky súborov a typ archívneho PDF (, ktorý spoľahlivo zistiť nemusí byť vôbec jednoduché).

Celá problematika overovania, na ktorú autor zrejme (neviem prešo to tam ale nie je uvedené) narážal sa riadi ETSI štandardami. Tie definujú ako overovať a čo má byť výsledkom a dokonca aj obsah protokolu o overení. Z mojho pohľadu je nešťastné, že konverzia z elektornickej podoby do podoby listinnej definuje niečo (protokol o overení) čo už bolo vymyslené inde.

Podal som takéto pripomienky, to čo som tu popísal vyššie a všetko čo dal @janprochaska s konkrétnym návrhom.

2 Likes

Mam uz aj poslednu infoziadost.
UPVII-2.pdf (791.0 KB)

Vdaka ti .