ÚPVII Pracovná skupina K9.5 Lepšie služby


#62

Cize bavime sa vlastne o matici jednotlivych urovni autentifikacie a mechanizmov autorizacie, pre jednu AUTE moze byt viacero AUTH a este teda urobit vazbu AUTE-najslabsia AUTH-typ ukonu. Tak ?

…ale ano :slight_smile:


#63

Tá matica má zatiaľ nula riadkov a potenciálne 1. Lebo teda KEP nie je nijako viazaný na autentifikáciu (podpísať viem aj offline) a zatiaľ iná autorizácia štandardizovaná nie je. Ten jeden nový riadok by bol ak auth>=3 potom možno použiť autorizáciu kliknutím.


#64

Taketo analyzy mali byt predmetom usmernenia c.10 http://www.informatizacia.sk/usmernenia/10086s, vsetky projekty mali vyplnat takyto excel. Pokial viem aj ho vsetci odovzdali, lebo bez toho sa nedal ukoncit projekt.
Mozno stoji za pokus si to centralne zosumarizovat, otazne je vsak samozrejme kvalita a vzajomna porovnatelnost udajov.


#65

Ale eDesk aj ePodatelna pripajaju k podaniu casovu peciatku. Cize kazde podanie autorizovane (podpisane) ZEPom + casova peciatka = uradne osvedceny podpis.


#66

Myslis analyzu PKI?
Ale ta nehovorila o tom ako si tu uroven autorizacie vyberaju, okrem toho MV ma v egov zakone splnomocnovak na urovne autorizacie. To co chyba je

  • odovodnenie vybranej urovne autentifikacie,
  • urovne autorizacie a
  • odovodnenie vybranej urovne autorizacie.

#67

Do novely to pojde ako nova uroven autorizacie…
Ale musime stanovit jasne pravidla pre vyber úrovní…
A plus musime zabezpecit cistotu pravneho jazyka, aby bolo jasne, ze ked na danovom priznani je podpis ale nikto ho v papierovom svete neoveruje, staci ho autorizovat ak som autentifikovany voci pristupovemu miestu…


#68

Nariadenie kvalifikovanému podpisu s časovou pečiatkou nepriznáva účinky osvedčeného podpisu. Je to opäť slovenské špecifikum.

Autentifikácia a autorizácia musí byť postavená na dôveryhodných službách. Predstavme si, že stovky tisíc daňových priznaní bude autentifikovaných riešením od štart-upu a tento zanikne. Nebudeš vedieť overiť či došlo k autentifikácii. Alebo si bude generovať záznamy o neplatných autorizaciach ako mu príde.


#69

Kratky zapis z minuleho tyzdna:

  • diskusia o sposobe autorizacie - ako budeme vediet co ten clovek videl ked podpisoval?

  • iom - diskusia o token na ukon vs. zastupovanie on-behalf-of (o tom ako iomo tokeny funguju dnes)

  • ukazka end-2-end proces egov sluzby (ako to bude vyzerat od prihlasenia az po platbu a vykonanie/notifikaciu o uspechu/neuspechu)

  • zivotna situacia - moze mat aj dalsie atributy (napr. kupa bytu, chcem zmenit aj trvaly pobyt)

  • diskusia autentifikacia - kedy sa ma udiat? na zaciatku alebo na konci? bude zalezat od pripadu k pripadu - snaha tlacit na prihlasenie co najskor, aby sa dalo personalizovat. naopak, niekedy to moze byt zbytocna bariera a aj z pohladu legis to nemusi byt nutne.

  • diskusia aktivacia - ako sa bude aktivovat mobil? iom, eid? poziadavka, aby som egov mohol na mobile pouzivat aj bez eid

  • ako vypocitat poplatky? poplatok pred tym ako to odoslem, nie vzdy to je mozne dopredu, ale pouzivatel to chce vediet aspon priblizne.

  • je nutne aby podanie bolo najskor - platba potom ako pride podanie - aby sa nehromadili platby na podania, ktore “neprejdu”

  • za nas bola zopakovana poziadavka, zaviest sposob, kde si bude moct pouzivatel vypnut / zvysit level ochrany na nejake ukony. Napr. nechcem, aby sa nic za mna robilo cez IOMO. Nechcem, aby sa cez ZEP prevadzali moje nehnutelnosti. Toto je este dolezitejsie, ak je plan znizit level potrebny na autorizaciu niektorych ukonov, kedze tam bude riziko este vacsie.

Potrebujeme zozbierat poziadavky na to, co by som chcel zakazat. Napady a postrehy vitane.

Treba s tym totiz ratat uz teraz a v architekture tento “modul neopravneni” tam nasledne vhodne vlozit.

Dokument zašleme 14.12.2016. Cieľom je zozbierať pripomienky a relevantné podnety na doplnenie zo strany zástupcov pracovných skupín. Aktivita bude prebiehať do 4.1.2016. Termín pre finálny dokument je 1.2.2017.


#70

Ja by som chcel zakazat nic. Namiesto toho by som chcel mat moznost zvolit si viac kanalov autorizacie. Napr. komercnu sluzbu, ktora po tom ako autorizujem prevod nehnutelnosti ZEPom dostane zo systemu notifikaciu a moj ukon bude platit az ked to podpise aj ta firma. Ako ma overi firma je medzi nami. Od roznych automatizovanych fraud detection systemov az po kontroly roznej urovne (telefonat, osobna navsteva zastupcu, SMS s overovacim kodom, atd.). Paranoici si takto zaangazuju viacero kanalov (firiem). A naopak, napr. banky pri hypoteke alebo poistovne pri poisteni nehnutelnosti budu mat v zmluve, ze musia schvalovat kazdy prevod.


#71

dlhsie to citam … a zasnem. Podte spat na zem. Drviva vacsina ludi si ani nedokaze nastavit facebook a ma ho v default nastaveni, nie to taketo veci… Podla mna riesite nieco, co vyuzije 1 promile ludi … Nesnazme sa tu vyrobit na fore kde chodi ale ze absolutne nerelevantna vzorka ludi nejaku spolocensku objednavku … (Requirement Catalogue - a tzv. Req. development , vratane prioritizacie zalozenej na uveritelnych odhadoch by si mal predsa len urobit stat, resp. rezort vnutra, ci spravodlivosti)
Na vsetkych skoleniach architektury co som absolvoval sa minoritne poziadavky bud uplne vypustaju, alebo riesia niekde nakonci ako nice to have…


#72

Cize tvoj navrh je co? Uplne sa na to vykaslat a vo finale budeme ZEPom/klikom v mobile bezne podpisovat dan za psa a zaroven uplne to iste bude stacit na prevod celeho majetku?

Suhlasim s tym, ze nevymyslajme vzdusne zamky. Ale ak je v nkivs napisane, ze sa bude znizovat level autorizacie na nejake ukony, tak mi poziadavka na vypnutie na nejake ukony nepride vobec prehnana. Na karte ktorou platis bezkontaktne asi tiez nemas limit neobmedzny.


#73

radsej zrusit nebezpecne veci uplne, nez mat 20 dalsich nastaveni.


#74

ale od urcitej sumy si navysenie limitu vyzaduje navstevu banky a schvlaovanie banky … neviem ci to bol dobry priklad. :wink:


#75

Naopak, toto bol presne preto dobry priklad. Lebo ja napriklad nechcem v ziadnom pripade, aby sa moj majetok dal prevadzat cez ZEP alebo aj nejake IOMO. Az dva tri krat za zivot budem riesit prevod majetku tak rad pridem osobne.


#76

no mozno by bolo dobre mat na zaciatku vsetky nebezpecne (potrebny zoznam) ukony zakazane pre elektronicku cestu. To asi nebude az take tazke nejake funkcie zablokovat. Potom by som dorabal tu moznost ZAPINANIA. Cize defaulltne musia byt tie potencialne nebezecne ukony pre jednoduchych ludi vzdy VYPNUTE. A ak si budu niektori pouzivatelia priat zapnut prevod v katastri cez KEP tak nech si ten vypinac najdu, a nech si ho ZAPNU.


#77

Aha, cize ty chces len preklopit default, ale vlastne ten modul zakazovania/povolovania chces hej?


#78

Ako ho zapnu? KEPom? Osobnou navstevou? Lebo ak KEPom, tak sme presne tam kde sme boli.


#79

no ked si ma vyprovokoval sa zamysliet … .tak vlastne hej. Default musi byt vzdy tam kde je vacsina.


#80

sak rovnako ako by ho vypinali … :wink: vypinanie ste mali ako vymyslene ? Ale preco chces vyriesit vsetko ? Dolezite je aby sa vedelo ze to treba vyriesit. nechaj priestor aj peleho profikom.


#81

Uznavam, ze viackanalova autorizacia je nieco, co treba riadne premysliet (Co ked tretia strana prestane vykonavat autorizacie? Kde a kedy zrusit autorizacny kanal?) a mozno to nakoniec bude len komplikovana implementacia niecoho co sa da spravit jednoduchsie.

IMHO ale je potrebne mat moznost poistky pri ukonoch, ktore sa daju robit kartickou a dvoma ciselkami. Ci to bude viackanalova autorizacia alebo zakazanie ZEPu alebo nutnost overenia po uplynuti nejakeho casu (potvrdenie rozvodu po tyzdni? ;)) alebo nieco ine, je v kontexte planovacieho dokumentu implementacny detail.