Vidím že sa podarilo vyprovokovať diskusiu.
Tak, keď už sme pri tom, mám zopár ďalších otázok, napr.:
-
Keď tá definícia AA znamená že to vlastne môže byť hocičo, prečo sa to vôbec v zákone uvádza? Veď identifiácia/autentifikácia fungovala odjakživa aj kým o tom nebola v zákone ani zmienka. Takisto teraz si podľa §21.6 môže každý robiť autentifikáciu akú chce a nie je k tomu žiadny bližší popis. Plus ďalší príklad sú grid karty čo robí Nases, ktoré nie sú AA a pritom sa zjavne legálne vydávajú, používajú, vo väzbe na identity v IAM atď.
-
Fungovať musia aj všetky notifikované identifikačné/autentifikačné schémy v rámci eIDAS. Čo sa v tejto súvislosti bude v z.o eGov meniť?
-
Potrebujeme systém otvoriť aj pre iných správcov identity / služby autentifikácie, napr. komerčných. Umožňjue to teraz zákon? Alternatívnych autentifikátorov môže samozrejme byť viac typov. Je možné integráciu k inému poskytovateľovi považovať za AA formou procedúry? Napr. že prihlásenie do FB sa môže (ak si to používateľ takto nastaví) použiť aj na prístup k eGov, povedzme level 1.
-
To čo je napísané v §21.3.b znamená, že konateľ sa môže prihlásiť “ako právnická osoba”? Nie je zmysluplnejšie konzistentne hovoriť že prihlasuje sa FO, ktorý ak je konateľ, tak má (automaticky zo zákona?) oprávnenie na konanie v mene svojej PO? Lebo teraz ten postup podľa 3.b ani zdá sa nie je implementovaný. Alebo naopak, keď môže pre PO byť vydaný autentifikačný certifikát, prečo nie je možné normálne pre neho vydávať AA?
-
Autentifikačné certifikáty prečo nie je možné používať pre FO?
-
Načo je potrebný §21.5, nestačí na to §17.6? (A keďže RPO je referenčný, aj §17.5.)