Odovzdavanie cipovych kariet po skonceni pracovneho pomeru

Ty vzdy vytiahnes take info, ze padam na zadok :slight_smile: ÔÇŽ vies ma nasmerovat kde je to povedane ? rad by som si to precital.

Mne tie┼ż padla s├ínka, ale karty ktor├ę rozd├ívaj├║ OVM zamestnancom sa v pr├şpade ukon─Źenia slu┼żobn├ęho pomeru maj├║ vr├íti┼ą a zamestnanec m├í uvies┼ą aj svoje k├│dy, aby bolo mo┼żn├ę ÔÇťvymaza┼ąÔÇŁ jeho certifik├ít a op├Ątovne pou┼żi┼ą QSCD, poskytn├║┼ą ho in├ęmu zamestnancovi.

Toto je realita s kvalifikovan├Żmi mand├ítymi certifik├ítmi.

No a na ot├ízku, ako je dorie┼íen├í zaru─Źen├í konverzia je odpove─Ćou, ┼że konverziu aj tak netreba, lebo m├í┼í origin├íl v elektronickej podobe. Na─Źo by si ho potreboval konvertova┼ą do papierovej podoby.

Minister opust├ş ├║rad, bude vraca┼ą QSCD aj s kvalifikovan├Żm podpisom a k├│dmi ku karte. :slight_smile:

Treba si uvedomi┼ą, kto vsetko chod├ş na platformu a ─Ź├şta diskusie.

M├┤┼żme sa bavi┼ą o konkr├ętnom OVM, ktor├Ż ma taketo postupy? Lebo toto by nemal byt ┼ítandardn├Ż postup, ak niekde re├ílne tak├Żto postup je, tak z m├┤jho pohladu je to ve─żk├í chyba v metodike.

QSCD s mandatnyn certifik├ítom dostane dr┼żite─ż s default hodnotami PIN a PUK. Malo by byt jeho povinnos┼ąou si tieto hodnoty zmeni┼ą na vlastne tak, aby zamedzil zneu┼żitiu.

Ked zanikne mand├ít, s├ím dr┼żite─ż m├┤┼że, ja si dovol├şm tvrdi┼ą ze mus├ş, po┼żiada┼ą vydavate─ża mand├ítneho certifik├ítu o jeho zru┼íenie. Taktie┼ż si mysl├şm, za v┼íetky komer─Źne QSCD sa dod├ívaj├║ s programov├Żm vybaven├şm , ktor├ę umo┼ż┼łuje jednoduch├Ż mana┼żment karty, pomocou ktor├ęho si m├┤┼że dr┼żite─ż QSCD z neho vymaza┼ą k─ż├║─Źe s mandatnym certifik├ítom. Ked bude zru┼íen├Ż certifik├ít, vymazan├Ż obsah, nastav├ş na QSCD default hodnoty a s ─Źist├Żm svedom├şm m├┤┼że QSCD vr├íti┼ą poverenemu z├ístupcovi OVM.

2 Likes

Ka┼żd├ę podmienky pou┼ż├şvania kvalifikovan├Żch certifik├ítov, ktor├ę som doteraz videl, obsahovali povinnos┼ą dr┼żite─ża certifik├ítu:

  • chr├íni┼ą pr├şstupov├ę k├│dy pred stratou, odcudzen├şm, prezraden├şm inej osobe
  • pri podozren├ş na kompromit├íciu priv├ítneho k─ż├║─Źa povinnos┼ą zneplatni┼ą certifik├ít

Ak teda niekto ÔÇťodovzd├íÔÇŁ kartu aj k─ż├║─Źe a vopred nerevokoval certifik├ít, tieto pravidl├í [pravdepodobne] poru┼íuje.

1 Like

Z├íkon ─Ź. 272/2016 Z. z., ┬ž 8 hovori:
(4) O zru┼íenie mand├ítneho certifik├ítu bezodkladne po┼żiada
a) org├ín verejnej moci alebo osoba, u ktorej mandat├ír vykon├íval ─Źinnos┼ą alebo funkciu pod─ża odseku 1 po tom, ako mandat├írovi zanikne alebo skon─Ź├ş v├Żkon ─Źinnosti alebo funkcie pod─ża odseku 1,
b) mandant po tom, ako opr├ívnenie mandat├íra kona┼ą za alebo v mene mandanta zaniklo,
c) mandat├ír po tom, ako sa dozvie, ┼że mandant zomrel, bol vyhl├ísen├Ż za m┼Ľtveho alebo zanikol,
d) mandat├ír po tom, ako zaniklo jeho opr├ívnenie kona┼ą za alebo v mene mandanta alebo po tom, ako mu zanikol alebo skon─Źil v├Żkon ─Źinnosti alebo funkcie pod─ża odseku 1.

Neviem, ako presne dane OVM postupuje. Pokial zrusi certifikat a nasledne ÔÇťzrecyklujeÔÇŁ podpisovacie zariadenie (ÔÇťzmaze certifikatÔÇŁ - predpokladam, ze sa reinicializuje karta, resp. zmaze sa privatny kluc, ktory je aj tak na nic a verejny certifikat) a novy pouzivatel dostane novy PIN a PUK, je to asi OK. Ked daju napr. 50-60 EUR za USB token s kartou, je zmysluplne to nevyhadzovat.

S├║kromn├Ż k─ż├║─Ź by sa nemal vymaz├íva┼ą, mal by osta┼ą subjektu, ktor├Ż n├şm podpisoval. Certifik├ít by sa mal iba revokova┼ą tesne pred skon─Źen├şm platnosti.

QSCD zariadenie by malo osta┼ą subjektu, ktor├Ż ho pou┼ż├şval na podpisovanie (domnienka nepopieratelnosti - m├ím zariadenie QSCD pri sebe a pozn├ím PIN a PUK)

  • Ako moze sukromny kluc k mandatnemu certifikatu ÔÇťzostat subjektu, ktory nim podpisovalÔÇŁ, ked musi byt generovany na QSCD a nemoze ho opustit?
  • Ako sa moze mandatny certifikat zrusit ÔÇťiba tesne pred skoncenim platnostiÔÇŁ, ak povodna fyzicka osoba uz nema mandat konat a ┬ž8 Z├íkona ─Ź. 272/2016 Z. z. jasne hovori, kedy sa ma zrusit?
  • Ak je revokovany certifikat, o akej domnienke nepopieratelnosti hovorime?
  • Ak si odmyslime predosle body, aky by malo zmysel rusit ho tesne pred exspiraciou a preco by sa nemal nechat exspirovat? Co by sa tym dosiahlo?
  • Na zaklade coho by malo QSCD zostat osobe, ktora uz nema mandat zastupovat organizaciu, ak je vlastnikom QSCD dana organizacia?

QSCD zariadenie by malo by┼ą vo vlastn├şctve podpisovate─ża.

Kvalifikovan├Ż certifik├ít je v┼żdy ÔÇťmajetkomÔÇŁ fyzickej osoby, ├║pln├║ dispoz├şciu so s├║kromn├Żm k─ż├║─Źom m├í ma┼ą len fyzick├í osoba, na ktor├║ znie kvalifikovan├Ż certifik├ít. Kvalifikovane certifik├íty by sa nemali maza┼ą ale mali by sa iba revokova┼ą pred resp. s├║─Źasne so skon─Źen├şm platnosti (certifik├ít by sa mal s├║─Źasne so skon─Źen├şm platnosti ocitn├║┼ą na CRL zozname).

S kvalifikovanou pe─Źa┼ąou je to in├ę v tom smere, pln├ş dispoz├şciu s QSCD zariaden├şm m├í PO a rovnako aj s certifik├ítom, to znamen├í, ┼że napr. person├ílne oddelenie m├┤┼że po skon─Źen├ş slu┼żobn├ęho pomeru revokova┼ą, maza┼ą a to pod─ża intern├Żch smern├şc organiz├ície.

QSCD by malo by┼ą v ruk├ích tej istej osoby na ktor├║ znie certifik├ít vzh─żadom na domnienky nepopieratelnosti.

OVM nem├í mo┼żnos┼ą revokova┼ą certifik├ít, lebo heslo na revok├íciu nepozn├í a nem├í PIN ani PUK. kvalifikovan├Ż certifik├ít zostane nav┼żdy FO, lebo je naviazan├Ż len a len na tuto osobu. Povinnos┼ą vyda┼ą by mal zamestnanec iba elektronick├║ pe─Źa┼ą a QSCD zariaden├şm pri skon─Źen├ş PP, tieto mu toti┼ż nepatria.

QSCD s mandatnym certifikatom nemoze byt vo ÔÇťvlastnictveÔÇŁ podpisovatela, ked je to majetok daneho OVM. Moze byt akurat pod vylucnou kontrolou danej FO. V momente, ked certifikat revokujem, straca vylucna kontrola zmysel. Potom je uplne jedno, kto to QSCD ma.

Samozrejme, to, ze OVM moze ten certifikat revokovat sa vobec nevztahuje len na systemovy kvalifikovany certifikat pre pecat. Hore je citat zo zakona. Nie len, ze moze, ale musi. Naviac, ak mam napr. zamestnanca, ktory spacha defraudaciu, nemozem byt zavisly na jeho dobrej voli revokovat certifikat, ktorym som mu udelil nejake opravnenie.

Ako vykon├í revokaciu mand├ítneho certifik├ítu OVM ke─Ć nepozn├í revoka─Źn├ę heslo a a nem├í k dispoz├şcii PIN a PUK? Naviac OVM nie je ÔÇťvlastn├şkomÔÇŁ certifik├ítu. OVM je maxim├ílne vlastn├şkom elektronickej pe─Źate, nie kvalifikovan├ęho podpisu FO.

Naviac zamestnanec po┼żiada zamestnavatela, aby mu jeho kvalifikovan├Ż certifik├ít odovzdal, PO zrejme na nemo┼żnos┼ą exportovania s├║kromn├ęho k─ż├║─Źa nebude mat in├║ mo┼żnos┼ą ako odovzda┼ą certifik├ít aj s QSCD.

Samotn├Ż ├║kon zru┼íenia certifik├ítu nevykon├í ani dr┼żite─ż certifik├ítu a teda osoba, na koho je certifik├ít vydan├Ż, ani OVM. Zru┼íi┼ą certifik├ít m├┤┼że len vydavate─ż certifik├ítu. ─îo m├┤┼że dr┼żite─ż certifik├ítu alebo OVM urobi┼ą, je po┼żiada┼ą vydavate─ża o zru┼íenie certifik├ítu. Kvalifikovan├Ż podpis ani kvalifikovan├í pe─Źa┼ą sa neru┼íia, ani nie s├║ na QSCD zariaden├ş ulo┼żen├ę.

Samotn├Ż ├║kon zru┼íenia mand├ítneho certifik├ítu mus├ş by┼ą v zmysle nejak├Żch procesov, ani vydavate─ż certifik├ítu si nem├┤┼że len tak zru┼íi┼ą certifik├ít. Uvediem dva pr├şpady, kedy sa mus├ş zru┼íi┼ą - a to je z├ínik mand├ítu, toto si viem predstavi┼ą, ┼że doklad├í OVM, pokia─ż by ┼żiadal o zru┼íenie mand├ítneho certifik├ítu, alebo potom ─Ćal┼í├şm d├┤vodom zru┼íenia m├┤┼że by┼ą, ke─Ć sa zmen├ş ak├Żko─żvek ├║daj uveden├Ż v mand├ítnom certifik├íte. Vtedy je povinn├Ż po┼żiada┼ą o zru┼íenie mand├ítneho certifik├ítu s├ím jeho dr┼żite─ż.

Vydavate─ża certifik├ítu nezauj├şma PIN a PUK k zariadeniu, ale procesne mus├ş vydavate─ż certifik├ítu splni┼ą resp. dodr┼ża┼ą ist├ę podmienky, ktor├ę m├í uveden├ę v podmienkach poskytovania slu┼żieb. ─îi┼że to nefunguje tak, ┼że ktoko─żvek zavol├í, nap├ş┼íe ACA, ┼że zru┼íte tento mand├ítny certifik├ít, a on ho zru┼í├ş.

Asi nebudem od pravdy ─Ćaleko, ke─Ć nap├ş┼íem, ┼że ka┼żd├Ż OMV, ktor├Ż kupuje QSCD zariadenia pre svojich zamestnancov a plat├ş im aj mand├ítne certifik├íty, m├í vo svojich intern├Żch procesoch zadefinovan├ę, ak├Żm sp├┤sobom a za ak├Żch sp├┤sobov odovzd├í zamestnanec QSCD zamestn├ívate─żovi. Z m├┤jho poh─żadu je v├Żlu─Źne na dr┼żite─żovi mand├ítneho certifik├ítu, aby si tento certifik├ít spolu s k─ż├║─Źmi z QSCD s├ím vymazal.

Zoberme si ministersku spravodlivosti, skon─Ź├ş jej funkcia, osobn├Ż ├║rad d┼łom skon─Źenia funkcie po┼żiada ACA o revokaciu jej certifik├ítu. Tento bude revokovan├Ż (neviem s├şce ako, ale budi┼ą) . Ministerska spravodlivosti v┼íak bude trva┼ą na tom, ┼że s├║kromn├Ż k─ż├║─Ź je jej vlastn├şctvom. ┼Żiada teda aby jej bol s├║kromn├Ż k─ż├║─Ź odovzdan├Ż. Ako bude postupova┼ą osobn├Ż ├║rad? Na karte za 4 roky m├í u┼ż 4 s├║kromn├ę k─ż├║─Źe. V┼íetky si chce ponecha┼ą.

  1. Ako bolo uvedene, certifikat revokuje CA, ktora ho vydala a to ze nepotrebuje PIN ani PUK vychadza z toho, ze ho revokuje publikovanim prislusneho CRL alebo OCSP, naco pristup k zariadeniu nepotrebuje.
  2. Sukromny kluc je vygenerovany na QSCD a cele QSCD je o tom, aby sa odtial sukromny kluc nedal dostat. Ak si ministerka nechava vydavat sukromne certifikaty na QSCD, ktory je majetkom ministerstva, tak
    a) si moze zariadenie odkupit za nejaku zostatkovu hodnotu a vyradi sa z majetku ministerstva
    b) ma proste smolu
    Ked si da nasrobovat na svoje sluzobne auto nejaky tuning, ma kvoli tomu to auto automaticky dostat?

Len┼że s├║kromn├Ż k─ż├║─Ź jej mandatneho kvalifikovan├ęho certifik├ítu je jej vlastn├şctvom lebo zo z├íkona je s ┼łou jedine─Źn├ę spojen├Ż nav┼żdy a naveky :slight_smile: . Probl├ęm je teda v tom, ┼że svoj s├║kromn├Ż k─ż├║─Ź mandatneho certifik├ítu m├í ulo┼żen├Ż na karte, ktor├í je naopak vo vlastn├şctve ministerstva. A tento k─ż├║─Ź nevie kartu opusti┼ą. Ktor├║ m├║dri hlavu napadlo tla─Źi┼ą certifik├íty do QSCD zariaden├ş s vlastn├şctvom odli┼ín├Żm od vlastn├şka certifik├ítu.

Inak to iste plat├ş aj o certifik├ítoch na eID - QSCD.

cize problem sa vola ako znicit kartu a potom ju odovzdat:) alebo ako ju odivzdat a trvat na jej zniceni. karta je petsonalizovana a aj tak sa neda inak pouzit. ak niekto pouziva usb token, tak ten sa da sformatovat a znovu pouzit.

To, ze je nieco s tebou jedinecne spojene neznamena, ze je to tvoj majetok.

Kto tvrd├ş, ze sa ned├í pou┼żi┼ą. Bu─Ć sa z karty manu├ílne vsetko vyma┼że, alebo sa reinicializuje a nastavia sa pritom nov├Ż PIN a PUK.

ak je tam fotka a vytlacene meno, tak tazko

Nepredpokladam, ze sa nejaka organizacia snazi znovupouzit personalizovane smart karty s potlacouÔÇŽ

Kvalifikovan├Ż certifik├ít je jedine─Źn├ę spojen├Ż s osobou, ktorej je vydan├Ż. Tak┼że s├║kromn├Ż k─ż├║─Ź mus├ş zosta┼ą vo faktickej moci tejto osoby.

Asi ┼ąa sklamem ale ministerstvo nie je vlastn├şkom s├║kromn├ęho k─ż├║─Źa ministerky spravodlivosti.

Rovnako ├║rad vl├ídy nie je vlastn├şkom s├║kromn├ęho k─ż├║─Źa premi├ęra, ├║rad vicepremi├ęra nie je vlastn├şkom s├║kromn├ęho k─ż├║─Źa podpredsedu vl├ídy. Najvy┼í┼í├ş sud nie je vlastn├şkom s├║kromn├ęho k─ż├║─Źa predsedu s├║du.