Prístup k databáze fotografií občanov MV SR

Tatra banka momentálne investuje do kampane na službu Tvárová biometria. Okrem iného k nej uvádza toto (bit.ly/2O13Bev):

Na založenie účtu stačí len občiansky preukaz a scan tváre prostredníctvom Tvárovej biometrie a následné overenie fotografie registrovanej ministerstvom vnútra.

„Občianskym preukazom“ sa myslí tradičná karta, ktorú treba nafotiť cez mobilnú aplikáciu, nie jej eID funkcionalita ako napr. v prípade uzatvárania zmlúv so Slovanetom.

Zaevidovali ste, že by existovali nejaké jednotné štandardy prístupu k databáze fotografií MV SR (tak, aby mal k tomu prístup ktokoľvek na základe nediskriminačných podmienok) a bezpečnostné pravidlá na prístup k tým dátam (tak, aby si občania mohli overiť, že je všetko v poriadku)? Je to vôbec legislatívne podchytené?

To API som videl a k fotke na strane MV pokial viem pristup nie je. API ktore som videl (netvrdim, ze je jedine) vyzera takto “posli nam fotku a my ti vratime percentualnu zhodu s tym co mame v db”. Je tam logovanie cize keby sa to niekto teoreticky snazil bruteforcom nejako sikovne aj ziskat von, tak to velmi rychlo vedia zistit kto to bol a kto ich zaujimal.

A to API je prístupné komukoľvek po splnení nejakých technických a bezpečnostných podmienok?

Videl som k tomu len dokumentaciu, cize neviem ci by to dali hocikomu. Ako poznam MV tak urcite nie.

To zavisi od vykladu:) Ak ide o opakovane spristupnovanie informacie, tak to MV musi de iure poskytnut kazdemu. Treba vidiet zmluvu s TB na zaklade coho taketo API poskytuju.

zaujimave ze MV nie je ochotne pouzit fotku z databazy na novy doklad ak je starsia ako 24hodin ale pritom povedzme 2rocnu fotku su ochotni pouzit na biometriu

@AdamValcek k tomuto mám od MV dosť podrobné info.
Ad legislatíva - MV tvrdí že pre TB to môže poskytovať, lebo v zákone je niekde uvedené, že pri zriaďovaní účtu sa má overiť identita človeka. A teda službu môže žiadať každý kto má zo zákona identitu overovať.

Čo máš na mysli pod bezpečnostnými pravidlami?

toto nie je pravda. pri elektronickej žiadosti o nový OP použili moju cca. 2 ročnú fotku na vydanie nového OP bez problémov.

1 Like

@Lubor - myslím napr. to, ako je zabezpečená komunikácia medzi TB (resp. akýmkoľvek iným partnerským subjektom) a MV, čo všetko sa uchováva na strane TB získané od MV, k čomu všetkému má TB prístup (z Janovho príspevku som pochopil, že v podstate k ničomu, iba k vyhodnoteniu percentuálnej zhody) a podobne. Ten právny základ je inak veľmi extenzívny, pretože povinnosť overovať identitu klienta v zákone o bankách je určená pre banky, vyvodiť z nej oprávnenie MV poskytovať dáta o občanoch, hoci aj v nejakej prežutej forme, chce veľkú dávku odvahy. Každopádne, to o čom sa tu s Tebou alebo s Janom rozprávame, je niekde verejné? Proste poskytol tento štát občanom akýkoľvek dokument, ako bude nakladať s ich osobnými údajmi pri poskytovaní súkromnému sektoru? A poskytol súkromnému sektoru dopredu pravidlá tejto spolupráce tak, aby o ňu mohol prejaviť záujem ktorýkoľvek kvalifikovaný subjekt?

@Miro_Babic „staršie ako 24 hodín“ – k tomu je zdroj? Lebo ja mám inú skúsenosť, naopak, mám pocit, že im neprekážajú aj staré fotky, čo som bol prekvapený.

1 Like

tak potom som mal akurat smolu na pracovnicku za okienkom, pytal som sa ci mozu pouzit fotku co maju v systeme (stara bola ak sa nemylim cca 2-3 roky) a ona mi na to povedala ze nie, maximalne 24hod stara fotka

ešte je možné aj to, že zatiaľ čo ich systém pri elektronickej žiadosti o nový OP s tým problém nemá, úradníci za okienkom majú iné pokyny…

1 Like

zrejme ludsky faktor, teta sa naucila jeden postup a je rada ze ho zvladla.
Ale tak otazka : je dobre ze MV robi pre banky lustraciu alebo nie ?
Je pravda ze banky zo zakona musia robit prisnejsie overenie identity pri otvarani uctu, nie je to z dovodu ich bussinesu ale su to poziadavky statu.
Vsade inde bohate staci ked overia podpis, tu nie. Tak je takato sluzba dobra alebo nie ?
Ak to chapem, tak klient tym ze posle ziadost banke, tak dava suhlas k lustracii. Banka ziska len zhodu, ziadne udaje. Zneuzitie by znamenalo ze posielam tu istu fotku a pytam sa na roznych ludi co je zneuzitie na strane banky a da sa lahko zistit.

Adam, pokiaľ viem, MV k tomu nemalo žiadnu verejnú komunikáciu.
Ja som sa s MV o tom rozprával lebo sa snažíme naštartovať možnosť použitia eID aj mimo verejnej správy a toto mi pripadalo ako analogická služba (z právnej aj technickej stránky).

Teraz túto službu využíva iba TatraBanka, ale odpovedali, že v zásade môže požiadať každý, kto spĺňa túto podmienku:
Capture

Zmluva MV-TB je tu: SOD_Dohoda_Tatrabanka_Rk.pdf (416.2 KB)

Technická špecifikácia API: SOD_specifikacia v2.2.docx (337.3 KB)
Request klienta obsahuje číslo dokladu a fotky (0 až 3), odpoveď info či ten doklad nie je stratený/odcudzený, či osoba je spôsobilá na právne úkony (toto je asi najvážnejší osobný údaj v tejto komunikácii), či žije a jedným číslom vyjadrená miera zhody každej z poslaných fotiek s fotkou z tohto dokladu v databáze MV.