Otvorený list "Za otvorené API"


#1

ZA OTVORENÉ ŠTÁTNE SYSTÉMY

Prečo by sme elektronický občiansky preukaz nemohli používať napríklad aj ako kartu do práce, do autobusu, vlaku alebo do knižnice? Prečo by sa štátne mobilné ID nemalo dať použiť aj v elektronickom obchode? Prečo by firmy nemohli podávať rôzne výkazy cez aplikáciu, ktorá už dnes aj tak zbiera všetky potrebné údaje?

Predstavte si svet, kde namiesto chodenia do schránky na slovensko.sk, zasielania mesačných výkazov, daňových priznaní, hlásení o zamestnancoch na rôzne štátne portály toto všetko vybavíte priamo z ekonomického softvéru alebo dokonca úplne automaticky.

Aby sa toto stalo potrebujeme otvoriť štátne systémy vonkajšiemu svetu. Preto dnes posielame otvorený list prvým úradom, s ktorými podnikatelia komunikujú najčastejšie a žiadame ich na otvorenie konkrétnych systémov. Nebude to stáť veľa, väčšina infraštruktúry je vybudovaná a stačí ju začať využívať.

Sme radi, že k našej výzve sa pridali aj kľúčové firmy, ktoré na tomto trhu už dlhodobo pôsobia a ponúkajú služby stovkám tisícom koncových zákazníkov.

Otvorením štátnych systémov sa zbytočnej byrokracie nezbavíme, no môže sa stať takou jednoduchou a takou automatizovanou, že sa stane takmer neviditeľnou.

Pridajte sa k signatárom tohto listu a zdieľajte.

Otvorený list: https://goo.gl/mrNa6A
Podpisová akcia: https://goo.gl/forms/d8XWe6Jkb3gz4lxA3

Za podporu ďakujeme: CARPATHIAN Advisory Group, CRYSTAL CONSULTING, s.r.o., EEA, s.r.o., ESET, spol. s r.o., Everlution s.r.o., Finecon Technologies s. r. o., FinStat, s.r.o., HOUR, spol. s r.o., KROS a.s., miniFAKTÚRA, O2 Slovakia, s.r.o., RadioLAN, spol. s r.o., Solitea Slovensko, a.s., SolverIT, s.r.o., STORMWARE, s.r.o., SunSoft plus spol. s r.o., superfaktura.sk, s.r.o., VNET a.s., WebSupport, s.r.o. a Spoločnosť pre Otvorené Informačné Technológie (SOIT), Slovenská informatická spoločnosť (SISp)


Finančná správa a Open API
OpenAPI / Otvorené API - plánované a realizované aktivity Slovensko.Digital
#2

Na list zareagovali a uz su dohodnute stretnutia s:

Socialna poistovna - 9.11.2018
Statisticky urad SR - 20.11.2018

V nadvaznosti na otvoreny list sa iniciativne ozval Urad pre verejne obstaravanie so zorganizovanim pracovneho stretnutia a prejdenia si moznosti OpenAPI v ramci ich domeny.


#3

Zdravím, kolegovia, na otvorený list po konzultáciách s Petrom Kulichom reaguje aj ITAS, stanovisko prezidenta asociácie Emila Fitoša sme poslali médiám, jeho celé znenie nájdete na webe https://itas.sk/stanovisko-prezidenta-it-asociacie-slovenska-k-otvorenemu-listu-open-api/

Juraj Kadáš
ITAS


#4

V stanovisku ma okrem iného zaujala pasáž: “Ak by sme sa opreli o príklady z listu, nič napríklad nebráni širokému používaniu elektronických občianskych preukazov. Po úspešnom registračnom procese na ministerstve vnútra je možné získať oprávnenie pre vyčítanie osobných údajov z eID karty.”

Je mi veľmi ľúto že prezident ITASu má evidentne úplne nesprávne informácie.

V súčasnosti MV umožní integrovať sa na používanie autentifikácie pomocou eID iba tomu, pre koho to zákon vyslovene vyžaduje.
Takýto opak “širokého používania” si MV aj ďalej betónuje, napr. v prebiehajúcej novele ZeGov - viď. najmä čl.IV a VI (odporúčam pozrieť v zloženom znení). Pokiaľ viem, Slovensko.Digital je jediný kto k tomu dal pripomienku a snažíme sa používanie eID skutočne otvoriť, viď. naša hromadná pripomienka, špeciálne body “K čl. I, bodu 7 a 8”, §19 ods.4 a “K čl. IV”.

Taktiež celá vec s “registračným procesom”, čiže integráciami ako dnes fungujú - vybavovanie na niekoľko mesiacov, zložité papierové aj technické podmienky - je samozrejme taktiež priamo v protiklade s OpenAPI konceptom. Doteraz som si myslel, že ani členom ITASu to takto nevyhovuje, ale zrejme žiadny problém nevidia, keďže aj v tomto stanovisku sa konštatuje že dnešný stav je dobrý a nič ďalej.

S ministerstvom vnútra o tejto veci “diskutujeme” už od začiatku vzniku S.D, to je skoro 3 roky, a musím povedať že komunikácia s nimi je katastrofálna. Hovorili sme o tom aj osobne s p.Sakovou (skôr než bola ministerkou), opakovane s p.Čapuškom atď. v línii. Dostávame rôzne výhovorky, od toho že “legislatíva to neumožňuje” až po “už za chvíľu to urobíme”. A potom sa zavrie hladina, MV veselo ignoruje všetko dohodnuté.
Skrátka “integrácia na eID” sú ďalšia vec levelu zúfalstva triedy “OpenData katastra”.

Aby som parafrázoval, áno, chceme informovať že tento subjekt nesprístupňuje svoje IS tretím stranám a nerieši znižovanie byrokratickej záťaže, špeciálne pokiaľ ide o použiteľnosť eID.

Prosím vyveďte prezidenta z omylov ktoré prezentuje, posuňte mu tieto informácie. Prípadne dajte vedieť ak ITAS má aj nejakú (verejne viditeľnú) aktivitu v tomto smere, radi sa skoordinujeme.


#5

No hm. Tych nespravnych informacii tam bude viac.

@lubor tu uz rozobral eID (co inak je uplne mimobezna tema voci tomuto otvorenemu listu - kedze tu ide o beznu firemnu agendu - ako je v liste uvedene) - eID bolo uvedene len ako jasny priklad OpenAPI/stat ako platforma - mozno trochu nestastne. Snad staci ako priklad toho, aky pristup ma MV k integraciam informacia, ze sme ich ziadali o integracne manualy, neboli schopni nam ich napriek prislubom dodat. Taktiez posledny nam znamy stav poctu integracii pravnickych osob na ucely prihlasovania cez eID je nula.

Teraz vsak k podstate listu a iniciativy.

a zároveň slogan „štát ako platforma“ je bez ďalšieho kontextu problematický.

Dovolim si nesuhlasit, kedze tento pojem sa pouziva roky, konkretne od roku 2010, ked ho Tim O’reilly uviedol ako svoju viziu toho ako ma vyzerat e-government. Vid https://www.mitpressjournals.org/doi/pdf/10.1162/INOV_a_00056

Zdá sa, že Finančná správa ponúka Open API riešenia právnickým a fyzickým osobám všade tam, kde jej to dáva zmysel. Pre informačné systémy colných deklarantov existuje otvorené rozhranie, ktoré presne napĺňa zámery a ciele otvoreného listu. Plne elektronická komunikácia medzi dvomi softvérovými riešeniami je podporená kombináciou autentifikačného certifikátu a kvalifikovaného elektronického podpisu.

Dovolim si silne nesuhlasit. Jednak clo v liste nie je nikde spomenute (kedze vieme, ze napojenie na systemy tretich stran existuje a nie je to vobec agenda, ktoru teraz chceme riesit).

Pri daňových podaniach existuje viacero možností, ako sa úplne vyhnúť papierovačkám. Jednou z nich je vytvorenie daňového výkazu a jeho upload do systému Finančnej správy. Inou možnosťou je integrácia rozhrania aplikácie eDane, prostredníctvom ktorej je možná priama elektronická komunikácia medzi účtovným systémom a Finančnou správou.

Tu prosim rozlisujme dve veci: Papierovacky - o tomto sa ani nebavme. Sme vo svete IT a elektronicka verzia “formularov” je snad uplna samozrejmost. Co sa tyka integracie na rozhranie aplikacie eDane, bohuzial nemate presne informacie. O tomto rozhrani vieme, dokonca ja osobne som ho spominal predstavitelovi Financnej spravy na PS (niekolko mesiacov dozadu). Nemal vedomost o tom, ze nieco take existuje. Dokonca pritomny pan Fric (jeden zo zastupcov dodavatela toho systemu, ak ma pamat neklame) ho presviedcal so mnou, ze to je tak je a ze to API staci “zoficialnit” - teda oficialne otvorit. Samozrejme sme priamo oslovili aj FS ohladom dokumentacie a integracneho postupu na toto existujuce neoficialne API a boli sme dost raznym tonom upozorneni, ze ziadna priama integracia NEexistuje. Vieme dolozit emailovou komunikaciou.

Nasledne na osobnom stretnuti s p. Imrezcem sme prezentovali nasu predstavu a dalsie kroky.

Finančná správa teda aj bez Open API umožňuje bezpapierové prepojenie IT systémov. Ak chceme mať istotu, že Open API je reálna priorita, mali by sme poznať aj stanovisko Slovenskej komory daňových poradcov a Slovenskej komory audítorov.

Opat sme si spravili domacu ulohu, dokonca verejne tu. Mali sme stretnutia so zivymi uctovnikmi, ktori denne tuto agendu riesia a zbierali ich postrehy. Predstava, ze Open API len “nahradi manualny krok uploadu” je znacne nepochopenie celeho problemu. Uz len pri tomto banalnom ukone to totiz v realite je ovela komplikovanejsie (prihlasovanie, hladanie spravneho formulara, upload, validacia, ak nastane chyba, navrat spat do ekonomickeho softveru, uprava, opat to iste, reupload, ziskavanie dorucenky - ak by ste sa rozpravali s nejakym naozaj koncovim pouzivatelom, tak by ste neverili, kde vsade sa da zaseknut a co sposobuje velke problemy.)

Samozrejme len taketo vyhodnotenie by nebolo poctive, takze sme oslovili klucovych hracov na trhu s ekonomickymi softvermi, ktory maju na SK trhu desiatky az stovky tisic zakaznikov. Nie je nahoda, ze signatari listu su prave firmy, co robia roky takyto softver. S nimi sme identifikovali klucove sluzby (vid link vyssie), ktore je potrebne otvorit. Niektore ako napriklad tie na FS - staci len “zoficialnit”.

A v neposlednom rade, mesačné výkazy do Sociálnej poisťovne a zdravotných poisťovní zasielajú zamestnávatelia elektronicky už roky.

Opat bohuzial nepochopenie toho, ze OpenAPI nie je o preklopeni papiera do el. formy. OpenAPI nie je to, ze si institucie vyrobia svoje weby, kde to ludia manualne uploaduju (v lepsom pripade ako predgenerovane xml) alebo nebodaj rucne vypisuju. Ano, niektore poistovne uz API na niektore sluzby maju.

Dalej by som chcel dat opat do pozornosti to, ze napriek tomu, ze dnes niektore API statu existuju, je to v porovnani s komercnym sektorom extremne zlozity proces: technologicky a organizacne pre poskytovatelov sluzieb, a naozaj velmi pouzivatelsky neprivetivy proces pre koncoveho pouzivatela. Predstava, ze pouzivatel bude musiet podpisovat trojstrannu zmluvu plnu technickych/integracnych a organizacnych detailov (ako to napr. dnes je pri integracii na sluzby UPVS) je pre nas neakceptovatelna.

Momentalne s NASES a UPVII riesime textaciu zakona o eGov, ktora by sucasny stav, ktory napr. potrebne splnomocnenia/opravnenia pre tretie strany vobec nezohladnuje. Na UPVII problem chapu, v NASES to vyzera tak, ze technologicky problem to nebude.

Tuto temu riesime ovela komplexnejsie ako sa na prvy pohlad moze zdat.

Aj ITAS by chcel touto cestou vyzvať všetky štátne úrady a inštitúcie, aby sa zamysleli nad tým, kde môže platforma Open API predstavovať pre občanov pridanú hodnotu.

Dakujeme za podporu nasej vyzvy aspon v tomto bode, uradom pri tomto budeme radi asistovat. Urady tuto informaciu pokial vieme uz dlho maju, kedze prioritne API z OGP 2017-2019, ktore identifikoval v ramci prieskumu Urad splnomocnenca vlady pre otvorenu spolocnost im boli aktivne komunikovane a ziadane. https://www.minv.sk/swift_data/source/rozvoj_obcianskej_spolocnosti/aktuality/otvorene_vladnutie/2017/Vyhodnotenie%20prieskumu_2018-08-25.pdf


#6

…temu OpeAPI sa snazime riesit komplexne, nielen technicky a nielen s OVM, ktore sme oslovili otvorenym listom…

…nizsie uvadzam zapis zo stretnutia (26.10.2018) v Nases k teme OpenAPI, ktore sme ako S.D iniciovali, nakolko sa teme OpenAPI venujeme systematickejsie a povazujeme za vhodne sa vzajomne koordinovat v aktivitach…

…islo o uvodne stretnutie, ktoreho sa zucastnili S.D, Nases a aj zastupca UPVII…riesilo sa viacero tem ako je napr. uprava legislativy, aby pouzitie OpenAPI bolo pre pouzivatelov komfortne, riesili sa zaklade technicke otazky k API GateWay, publikovanie pilotnych sluzieb do API GW a pod…

…ocenujeme moznost osobneho a spolocneho strenutia s Nases a UPVII v danej teme…zaroven verime, ze tieto stretnutia budu pokracovat v parcialnych temach OpenAPI…

zapis:

1. zakon o eGOV a riesenie OpenAPI

  • Slovensko.Digital a Nases si ujasnili pohlad na navrhovanu upravu zakona

  • Slovensko.Digital prednieslo, co mu v navrhu upravy chyba, aby tema OpenAPI bola z procesno-technickej roviny riesena komplexne

  • Slovensko.Digital rozporuje casovy termin navrhnuty v uprave zakona

  • Nases doriesi textaciu navrhovanej upravy zakona s UPVII

2. API GW - Runtime API GW

  • Slovensko.Digital posle strucny prehlad planovanych vystupov v ramci temy OpenAPI - S.D zrealizuje este tento tyzden

  • Nases pripravi harmonogram pre Runtime API GW + full API GW - dohodnuty termin na buduci tyzden

  • Nases pripravuje DFS k Runtime API GW - Nases si interne prejde moznosti sptistupnenia informacii/DFS pre Runtime API GW pre Slovensko.Digital

3. Pilotne API v ramci Runtime GW

  • Nases spristupni Slovensko.Digital navrh pilotnych sluzieb, ktore planuje publikovat v ramci Runtime API GW

  • je mozne doplnit/menit scope pilotnych sluzieb

4. Administrativne kapacity na riesenie OpenAPI

  • Nases nema v kompetencii riesit manazment API, ktore by mali byt spristupnene vo forme OpenAPI

  • gestorom tejto aktivity by mal byt asi UPVII

Za Slovensko.Digital navrhujeme buduci tyzden zrealizovat stretnutie/workshop k najma k bodu 2 a pripadne aj 3. Predmetom stretnuti by malo byt:

  • harmonogram pre Runtime API GW + full API GW

  • spristupnenie/prezentacia DFS k Runtime API GW

  • spristupenie/prezentacia dokumentov vytvorenych Slovensko.Digital k API GW a pohlad Slovensko.Digital na klucove funkcionality API GW + autentifikacia a autorizacia v ramci OpenAPI

  • vymedzenie aktivit, ktore budu pokryte v ramci Runtime API GW a aktivit, ktore musia OVM robit na svojej strane a za svoje financne prostriedky

  • debata o harmonograme a planovanom rozsahu (DFS) Runtime API GW

Za Slovensko. Digital navrhujeme 8.11.2018 doobeda. Osobne stretnutie v danom termine navrhujeme z dovodu, ze zaciname realizovat stretnutia s jednotlivymi OVM a chceme im na uvodnom stretnuti podavat korektne informacie o planovanych krokoch.


#7

@ITAS žiadna reakcia?


#9

Ale hej, čoskoro postneme, zbierali sme info :). Ďakujem za trpezlivosť.
Juraj
ITAS


#10

Do 15. marca tohto roku naša legislatíva, bohužiaľ, nedávala vôbec za povinnosť MV SR sprístupniť autentifikáciu prostredníctvom úradného autentifikátora ani pre tých, ktorým zákon stanovuje povinnosť zistiť a overiť identitu klienta podľa zákona, najmä podľa zákona 297/2008 o ochrane pred legalizáciou príjmov z trestnej činnosti a pred financovaním terorizmu. Považujeme za zásadný posun v sprístupnení úradných autentifikátorov (eID a eDoPP karty) ako jednej z možností pre spoľahlivú identifikáciu a jej overenie práve pre najčastejších a najväčších poskytovateľov elektronických služieb vo všeobecnosti. Medzi povinnými osobami zákon taxatívne uvádza tieto typy komerčných subjektov:

  • banka,
  • finančná inštitúcia, ak nie je bankou, ktorou je:
    • centrálny depozitár cenných papierov,
    • burza cenných papierov,
    • komoditná burza,
    • správcovská spoločnosť a depozitár
    • obchodník s cennými papiermi,
    • finančný agent, finančný poradca okrem výkonu činností súvisiacich s neživotným poistením,
    • zahraničný subjekt kolektívneho investovania,
    • poisťovňa pri vykonávaní poisťovacej činnosti v životnom poistení,
    • dôchodková správcovská spoločnosť,
    • doplnková dôchodková spoločnosť,
    • právnická osoba alebo fyzická osoba oprávnená vykonávať zmenárenskú činnosť,
    • právnická osoba alebo fyzická osoba oprávnená obchodovať s pohľadávkami,
    • právnická osoba alebo fyzická osoba oprávnená vykonávať dražby mimo exekúcií, finančný prenájom alebo iné finančné činnosti podľa osobitného predpisu,
    • platobná inštitúcia, agent platobných služieb a inštitúcia elektronických peňazí,
  • Exportno-importná banka Slovenskej republiky,
  • prevádzkovateľ hazardnej hry,
  • poštový podnik,
  • súdny exekútor - pri predaji nehnuteľnosti, hnuteľnej veci alebo podniku a pri prijímaní peňazí, listín a iných hnuteľných vecí do úschovy v súvislosti s výkonom exekúcie,
  • správca, ktorý vykonáva činnosť v konkurznom konaní, reštrukturalizačnom konaní alebo konaní o oddlžení podľa osobitného predpisu,
  • audítor, účtovník, daňový poradca,
  • právnická osoba alebo fyzická osoba oprávnená sprostredkovať predaj, prenájom a kúpu nehnuteľností,
  • advokát alebo notár, ak poskytne klientovi právnu službu, ktorá sa týka akejkoľvek finančnej operácie alebo iného konania, ktoré smeruje k pohybu finančných prostriedkov alebo ho priamo vyvolá, pri:
    • kúpe a predaji nehnuteľnosti alebo podniku alebo ich časti,
    • správe alebo úschove finančných prostriedkov, cenných papierov alebo iného majetku,
    • založení účtu v banke alebo v pobočke zahraničnej banky alebo účtu cenných papierov a pri ich správe, alebo
    • založení, činnosti alebo riadení obchodnej spoločnosti, združenia fyzických osôb, združenia právnických osôb,29) účelového združenia majetku30) alebo inej právnickej osoby,
  • poskytovateľ služieb správy majetku alebo služieb pre obchodné spoločnosti, ak nie je povinnou osobou podľa písmen h) alebo j),
  • právnická osoba alebo fyzická osoba oprávnená vykonávať činnosť organizačného a ekonomického poradcu, služby verejných nosičov a poslov alebo zasielateľstvo,
  • právnická osoba alebo fyzická osoba oprávnená prevádzkovať aukčnú sieň, právnická osoba alebo fyzická osoba oprávnená obchodovať s umeleckými dielami, zberateľskými predmetmi, starožitnosťami, kultúrnymi pamiatkami, kultúrnymi predmetmi, drahými kovmi alebo drahými kameňmi, právnická osoba alebo fyzická osoba oprávnená uvádzať na trh výrobky z drahých kovov alebo drahých kameňov, alebo právnická osoba alebo fyzická osoba oprávnená prevádzkovať záložňu,
  • veriteľ,
  • iná osoba, ak tak ustanoví osobitný predpis.

Impulz pre legislatívne zavedenie možnosti identifikácie a overenie identity zákazníka podľa tohto zákona vyšiel práve z proaktivity jedného z členov ITAS, ktorý si osvojil a dopracoval Úrad podpredsedu vlády, následne ho zaradil do legislatívneho procesu a nakoniec bol aj schválený NR SR aj napriek tomu, že pripomienkové konanie novely zákona 297/2008, ktorým sa transponovala EÚ smernica AMLD4, bolo realizované a uzatvorené už v roku 2016, no predloženie do parlamentu sa udialo až koncom roka 2017 a schválenie začiatkom roka 2018.

Nie je teda pravda, že iba Slovensko.Digital je aktívne v tejto oblasti. Považujeme to za veľký míľnik a obrovský úspech v ambícii sprístupnenia úradných autentifikátorov komerčným inštitúciám. Aj zo skúseností zahraničných partnerov vieme, že kooperácia komerčného a verejného sektora je v tejto oblasti kľúčová.

Zároveň tvrdenie, že MV SR umožní integrovať iba tých, ktorým to zákon vyslovene prikazuje, je subjektívne, pretože neexistuje oficiálne stanovisko MV SR, ktoré by potvrdzovalo intenciu zamietať žiadosti o integráciu tým žiadateľom, ktorí nie sú povinnými osobami podľa zákona 297/2008, rovnako neexistuje ani precedens zamietnutia žiadosti takýmto subjektom, či znenie akéhokoľvek zákona, ktoré by predstavovalo prekážku pre realizáciu integrácie.

Predpokladáme, že MV SR bude racionálne posudzovať každú požiadavku o integráciu, ktorá by ale mala byť legitímna a účelná, vrátane integrácii pre poskytovateľov dopravných služieb alebo knižníc a mnohých iných, ktorým z povahy služieb vyplýva potreba disponovať základnými osobnými údajmi o identite klienta resp. občana. Jednotlivé náklady (napr. infraštruktúra – čitačky kontaktných čipov atď.) a očakávania resp. business case si musia vyhodnotiť samotné subjekty a poskytovatelia služieb (napr. náhrada iných čipových kariet v mestskej hromadnej doprave, napr. Bratislavská čipová karta „BČK“, alebo náhrada za knižničný preukaz, preukazu zamestnanca atď.).

Zároveň je posudzovanie žiadostí MV SR vhodné vnímať aj z pohľadu zaťaženia infraštruktúry MV SR, bezpečnosti a opatrnosti, preto je podľa názoru ITAS MV SR oprávnené overiť legitimitu poskytovateľa služby, účel spracovania osobných údajov a ich požadovaný rozsah resp. proporciu pred tým, než zaregistruje nového poskytovateľa služieb s eID autentifikáciou a vydá certifikát pre prístup ku konkrétnym údajovým skupinám eID resp. eDoPP karty. Nakoniec, takto je koncept eID karty na báze nemeckého štandardu „BSI TR-03110 eIDAS Token Specification“ od úradu pre informačnú bezpečnosť navrhnutý a implementovaný, pričom zohľadňuje odporúčania Európskej agentúry pre informačnú a sieťovú bezpečnosť (ENISA) pre oblasť elektronickej identifikácie a autentifikácie aj z pohľadu ochrany osobných údajov občana a súladu s GDPR.

Oceňujeme aj Vašu snahu v tejto doméne a príspevky do poslednej novelizácie zákona č. 305/2013. Článok IV a článok VI, na ktorý odkazujete, však nehovorí o sprístupnení eID a eDoPP karty, ale údajov z registra fyzických osôb a evidencie občianskych preukazov, čo je odlišná téma (Open Data). Poskytovanie údajov z týchto registrov resp. evidencií sú v tejto téme irelevnantné - údaje z eID resp. eDoPP karty budú vyčítané priamo z čipu po vytvorení EAC kanála, pričom číslo dokladu eID resp. eDoPP je len overené v agende dokladov MV SR, či je karta v stave umožňujúcom prihlásenie (nie je stratený, odcudzený atď.). Nejde o sprístupňovanie údajov evidovaných v týchto registroch resp. evidenciách komerčnému sektoru. Rovnako nemôžeme komentovať postoj MV SR ku sprístupňovaniu údajov RFO ani evidencie OP pre tretie strany. Pokiaľ vieme, MV SR sprístupňuje overovanie údajov voči týmto registrom na základe individuálnej žiadosti.

Tu by som možno okrem kritiky od Vás očakával aj pozitívne podnety, napr. k téme už umožneného sprístupnenia eID „aspoň“ pre povinné osoby podľa zákona 297/2008. Rovnako by mohli pozitívne vlastnosti (nespochybnená bezpečnosť autentifikácie) a princípy fungovania eID približovať aj na stretnutiach so subjektami komerčného sektora – bankám, operátorom a mnohým ďalším, ktorí si aj na základe niekedy neobjektívnej kritiky, laických dezinformácii a neznalosti základných princípov fungovania eID vytvárajú negatívny sentiment ústiaci do neistoty a odmietania úvah o využití úradných autentififkátorov napriek potenciálu pozitívneho efektu na ich obchodný model. Aj to je jeden z faktorov, prečo MV SR konštatuje, že zatiaľ nikto nebol integrovaný na národnú schému.

Naším cieľom bolo v stanovisku konštatovať, že využitie eID resp. eDoPP je v komerčnom sektore – bez ohľadu na to či ide o zákonnú povinnosť alebo iba dobrovoľnú možnosť – možné už dnes, pričom je známy aj horizont, kedy je MV SR najneskôr povinné umožniť integráciu. Niektoré pokročilé technické podmienky vyplývajú aj zo samotného technického štandardu SAML, ktorý napr. predpokladá elektronické podpisovanie a šifrovanie prenosu SAML požiadavky (request) a SAML odpovede (assertion) pomocou kľúčových párov, ktoré si strany vzájomne vymenia počas registrácie atď. Samotné formálne náležitosti môžu byť predmetom optimalizácie v gescii MV SR pre poskytnutie prehľadu procesu, vzorových žiadostí a technicko-organizačných požiadaviek pre integráciu na národnú identifikačnú schému. MV SR by sa mohlo inšpirovať manuálom na integráciu autentifikácie s eID publikovaným na ÚPVS .

Obtiažna komunikácia s rezortom nás mrzí, ale ovplyvniť to nevieme. Myslíme si však, že aj vďaka aktivite členov ITAS sa situácia v sprístupňovaní eID resp. eDoPP zlepšuje. Aj vo svetle dosiahnutých prínosov v sprístupňovaní eID a eDoPP v kontexte zákona 297/2008 nie je celkom pravdivé konštatovanie, že tento MV SR nesprístupňuje svoje IS tretím stranám. Na byrokratickej záťaži, ktorá je s tým spojená, je priestor na zlepšenie, ktoré príde, dúfame, aj so zvyšujúcim sa počtom komerčných subjektov, ktoré budú mať záujem o využitie národnej identifikačnej schémy pre dosiahnutie pozitívnych efektov v prospech obchodných modelov s kladným dopadom na konkurencieschopnosť.

odpovede poskytol Michal Ševčík z DXC (člen ITAS)


#11

Tu by som chcel poopravit, nejde o Open Data ale skor My Data. Pointou urcite nie je plosne zverejnenie udajov o fyzickych osobach (read-only public data), ale naopak limitovane so suhlasom autentifikovanej osoby poskytnut udaje o tejto osobe tretej strane, ktora autentifikaciu/udaje vyzaduje. V realnom svete ekvialent scenarov napr. ano suhlasim, ze ti poviem svoje trvale bydlisko alebo suhlasim, ze sa dozvies, ze mam viac ako 18 rokov. Biznis scenare, kde je toto ziaduce je pomerne lahke si predstavit. Ci sa tieto udaje precitaju priamo z karty alebo registra je implementacny detail. Pokial sa nebavime o offline scenari, ktory by toto tiez mohol umoznit (vid nase navrhy na dorabku eid par rokov dozadu).