Vyhláška o alternatívnom autentifikátore - MPK

Čo sa deje v e-Governmente Transparentnosť a participácia
21

Povinnost pouzit eid na pristup k edesku plati len pre PO a FO…
eGov zakon podla mna neupravuje pristup uradnika uradu k edesku,resp ho neviaze na eid…

22

Jednak to má inú vizuálnu stránku, čiže to musia byť iné kartičky (nie tie potlačené ako eID) a musí byť na to tým pádom separátny proces tlačenia (personalizácie) týchto preukazov. A aj z organizačného pohľadu je to skrátka iná vec ako eID, čiže minimálne iné okienka v aplikácii na polícii, vrátane iného procesu vydávania, napr. bez fotky.
Ale tiež je možné že toto všetko majú už na MV dávno technicky pripravené, len to z nejakého dôvodu doteraz nespustili (pre pripomenutie - oficiálny dôvod bol, že im to legislatíva neumožňuje).

23

Tak neviem, ale §22.1 sa podľa mňa viaže na každého.
Zároveň pozri §22.6 kde sa hovorí o inom spôsobe autentifikácie úmyselne len pre špecializované portály.
Ono je to tak, že ÚPVS má zo všetkých ISVS najprísnejší režim, lebo majú priamo v zákone napísaný výpočet možností ako prístup k schránke umožniť, všetci ostatní si môžu (zatiaľ) robiť čo chcú, len musia popri tom umožniť prístup aj cez eID+AA. Viď. portál finančnej správy.

Pre väčšiu zábavu: podľa §22a má fungovať aj autentifikačný certifikát, na strojový prístup. #OpenApi
Ktože má k tomu vydať vyhlášku?

24

ale tu sme sa bavili o cene úpravy IS na tieto alternatívne kartičky. a tam sa možno nemusí nič robiť, ak by sa tá kartička správala voči systému (bez ohľadu na to ako vyzerá) ako eID (rovnaký BOK, rovnaká technológia)… len by na nej nebol certifikát pre ZEP

25

ok, ale na slovensko.sk nevidím, kde mám túto možnosť využiť. kde sa tam môžem prihlásiť cez GRID kartu?
keď kliknem na “Prihlásiť sa”, automaticky spúšťa eID klient.

blob.jpg1192×103 59.7 KB

Meno a heslo (a teda potom asi aj GRID kartu) sa dá zadať iba v “pôvodnej verzii portálu”:

blob.jpg1171×666 154 KB

a to fakt neviem, či sa ešte používa/má používať…

26

Tu som asi nasiel odpoved: https://www.slovensko.sk/sk/faq/faq-eschranka/

27. Dokedy bude možné pristupovať do pôvodnej schránky správ, do ktorej sa prihlasovalo pomocou prihlasovacieho mena a hesla?

Tieto schránky správ sú pre používateľov v súčasnosti k dispozícií na pôvodnej verzii portálu na adrese https://portal1.slovensko.sk/sk/titulna-stranka. Prostredníctvom pôvodnej verzie portálu je možné odoslať elektronické podania v rámci služieb Jednotného kontaktného miesta (služby živnostenského registra, získanie oprávnenia na podnikanie podľa vybraných osobitných predpisov) a služieb Obchodného registra SR. O obmedzení prístupu k pôvodným schránkam budeme včas informovať používateľov prostredníctvom oznamu na Ústrednom portáli verejnej správy.

1 Like
27

Keďže dnes je posledný deň MPK, pripomienky som pripravil tu a ak to neofrflete, večer ich podám.

Ináč na ITAPA som o tomto zľahka hovoril p.Sakovou, št. tajomníčkou MV SR. Potvrdila, že vyhlášku ministerstvo myslí vážne. :open_mouth:

Tak @anton.janos, som zvedavý na pripomienky ÚPVII, ako gestora z.305/2013.

28

Pozitívne hodnotíme deklaráciu MV SR, že realizácia alternatívneho autentifikátora nebude mať žiadny vplyv na rozpočet verejnej správy.

je to ale realistické?
vedia to dokázať, že to vplyv mať nebude?

29

No … presne … uz len to ze sa musi robit tento alternativny id. ,tak to nieco (a nie malo) stoji.
Stoji to navrhnut, pripomienkovat, uviest do praxe …
Inak to znie rovnako doveryhodne ako vyhlasenie ze mame v prevadzke Perpetum mobile.

30

povedali, že kartičky majú a teda nemá to vplyv…

31

čo sú to za kartičky? rovnaké ako na eID?

32

biele nepopísané s čipom…

33

Identita sa v súlade s bežným chápaním definuje ako súbor znakov, ktoré odlišujú jednu osobu od druhej - inými slovami, unikátnym spôsobom „označujú“ konkrétnu osobu. S uvedeným súvisí preukazovanie identity, ktoré je zabezpečené identifikátorom osoby, ktorým je rodné číslo v spojení s menom a priezviskom, resp. IČO - teda súbor znakov, ktoré podľa dnešného stavu umožňujú bez chybovosti a jednoznačne určiť, o ktorú osobu ide.

Preukázanie identity je „tvrdením“ osoby o tom, kým je. S tým súvisí overenie identity, ktoré je zabezpečené prostredníctvom autentifikátora - teda predmetu, znakov či procedúry, ktorými disponuje výlučne daná osoba a žiadna iná a ktorými ono tvrdenie o identite (zadanie identifikátora osoby) je možné preukázať.

34

Pripomienky som za S.D podal.
Ešte som doplnil požiadavku na rozšírenie okruhu osôb, ktorým sa AA vydáva aj o občanov SR, ktorí nemajú trvalý pobyt v SR (a nie sú konateľmi).

Celkovo sme teda podali 11 pripomienok, z toho 5 zásadných a 2 pochvalné.

Zásadné pripomienky sme podali ako jediný. Od viacerých úradov viem, že sa s MV “dohodli” aby ich pripomienky boli iba obyčajné.

ÚPVII dali podobné pripomienky ako my v týchto veciach: rozšírenie okruhu osôb, ktorým je AA vydávaný (oni špeciálne riešia aj organizačné zložky PO), zrušenie prívlastku “dočasný”, neobmedzovať iba na použitie ku schránkam, požiadavka na komplexné riešenie AA, uvedenie doby platnosti karty vo vyhláške, ustanovenia o zneplatňovaní AA, doručenie na inú adresu ako sídlo firmy. Navrhli aj podávanie žiadostí o AA na veľvyslanectvách.
Viaceré organizácie poukázali na protizákonnosť vyhlášky, najmä ukladanie povinností mimo zákona.

35

Tato vyhlaska o AA len plata problem a neriesi ho.

Modelova situacia:
Som obcan SR, mam Obciansky s eID a odidem pracovat dva roky zo Slovenska. Odhlasim sa z trvaleho pobytu na SK tak ako to kaze zakon. Co bude nasledovat:

  • Vratim eID (podla zakona)
  • Poziadam o vydanie AA. Pocitam, ze AA nebude identicke s udajmi z eID. Takze to budu v ich systeme nejako preklopit aby som mal kontinuitu v pristupe?
  • Po navrate nazad na SK sa prihlasim na pobyt. Vratim AA a dostanem eID. Dostanem novy OP s eID (kedze to je “jedinecne”) Pocitam, ze to bude znova treba nejako poprepajat aby tam boli tie data priradene k tej istej osobe a aby tam neboli tri rozne identity s roznymi prihlasovacimi udajmi…

Takze budem riesit tri karticky s troma roznymi autentifikatormi len koli tomu aby som mal stale rovnaky pristup k tej istej (dufam!!) schranke a tym istym sluzbam.

Ovela jednoduchsie by bolo zmenit zakon o eID a namiesto tychto docasnych AA umoznit obcanom SR vlastnit eID aj ked maju trvaly pobyt mimo SR. V Cechach to zakon o OP upravuje jednou vetou (obcania mozu vlastnit OP bez trvaleho pobytu)

Mozno by bolo vhodne to dat do poriadku aj jazykovo - ak je Obciansky preukaz viazany na trvaly pobyt a nie na obcianstvo tak treba zmenit nazov “Obciansky preukaz” na “rezidencna karta” aby to bolo presnejsie…

Je to taka Hlava 22 - vela ludi zije mimo SK a nie je odhlasenych z tzv. “trvaleho” pobytu. Takze ten problem vyzera okrajovy pre malu skupinu co odhlasena z pobytu je (radovo iba v tisickach) A stat nema presny prehlad kolko ludi zije mimo SR pretoze nie su odhlaseni z pobytu :slight_smile:

Odhady ale hovoria o 300 000 - 400 000 obcanoch SR co ziju v zahranci. Vacsina sa neodhlasila z trvaleho pobytu na SK.

1 Like
36

Netreba nič preklápať, “prepojené” je to automaticky. Skrátka každá kartička čo Ti vydajú sa viaže na Tvoju identitu.

Zatiaľ nikde nie je daná povinnosť vrátiť AA keď získaš trvalý pobyt. Môžeš súčasne mať viacero kartičiek, všetky budú fungovať rovnako.

Pôvodná idea alternatívneho autentifikátora predsa bola, že ho budú mať vydaný aj tí čo už eID majú. Môžu byť určené AA fungujúce v nižších stupňoch autentifikácie. Prečo by napr. nemohla byť spravená federácia identity s Facebookom, povedzme pre eGov auth level 1. Alebo federácia s Battle.net pre level 2 (pri 2-faktorovej autentifikácii).

1 Like
37

Dakujem za vysvetlenie

38

Včera 1.12. bolo na MV prerokovanie našich pripomienok. Toto je zhruba môj (neoficiálny) zápis:

  • celá táto aktivita je myslená ako akútne riešenie problému konateľov čo nemajú eID, posunutím termínu povinnej aktivácie schránok sa stráca urgencia začatia vydávania AA, ale idú to robiť, vydávať asi od 1.2.2017, alebo 1.3.2017

  • poriadne plošné riešenie AA predpokladajú že bude zavedené tak do 2 rokov, plánované v zmysle ŠÚ čo vytvorili ešte v 2014

  • chcú k tomu robiť zmeny v zákone o eGov, podklady už poslali na ÚPVII (nie v tej urgentnej čo v stredu schválila vláda)

  • ad pripomienka 1 - §1.2: ich výklad je, že “jedinečná a konečná postupnosť znakov” je skrátka hocičo, na tomto bode sa nezhodujeme

  • ad prip. 2 - §1.1, že AA je iba pre schránky: ich plán bol riešiť iba čiastkový problém so schránkami, ale teda po diskusii dnes ešte interne preberú či to bude pre všetky služby plošne (za nás zostávame na názore, že zúžiť to na schránky ani nemôžu)

  • ad 3 - prečo “dočasný” - chceli zdôrazniť že je to teda na cca.2 roky a potom sa tieto kartičky zrušia, lebo bude poriadne riešenie, tento prívlastok z názvu odstránili

  • ad 4 - doručenie AA aj na adresu zadanú žiadateľom - potrebujú aby to bolo doručenie s doručenkou, čiže na Slovensktu, čiže to aj môžu rozšíriť o adresu zadanú žiadateľom na Slovensku - no ale teraz pozerám že pošta v pohode robí zásielky do vlastných rúk aj doručenku pre väčšinu sveta, napíšem im ešte nech to rozšíria aj na tieto krajiny

  • ad 5 - upravili rozsah vyhlášky, bude podľa §59.3.a,b,c,f; písm. d, e netreba v tomto nastavení AA riešiť

  • ad 6 - zapojenie do riešenia AA - vysvetlil som že chceme dávať k tomu “poriadnemu” riešeniu viaceré návrhy - napr. že autentifikácia ku eGov službám by mala byť otvorená aj pre integráciu od iných identity providerov - a že tiež riešenia sa teraz pripravujú v PS na ÚPVII

  • ad 7 - na vizuál nechcú nič viac pridávať, že to má byť biela karta s iba minimom natlačených informácií, nech si na to ľudia príliš nezvykajú

  • ad 8 - vydávať AA aj pre občanov, ktorí nie sú konateľmi, ale nemajú eID - toto asi počuli prvý krát od nás, že to nie je zlý nápad, ešte si to premyslia

  • ad 9 - doba platnosti AA má byť 2 roky, ich názor je že do vyhlášky to uvádzať netreba, ani info že vydanie AA nie je podmienené vydaním eID

  • ad 10 - preukazovanie že žiadateľ je konateľ - ich plán bol vyžadovať výpis z ORSR, vysvetlil som im náš pohľad, že v rámci 1x a dosť už k tomu nemôžu konateľa nútiť, ich obava je o kvalitu údajov OR/RPO, že čo sa stane ak sú tam zapísané nesprávne údaje, ako s tým spárujú žiadateľa - toto je samozrejme problém presahujúci vydávanie AA, z môjho pohľadu sa to rieši genericky tak, že na základe údajov čo žiadateľ predloží (doklady) ho skúsia stotožniť s konateľom ním uvedenej PO podľa RPO, ak sa stotožnenie podarí, AA vydajú, ináč nie - tento postup si ešte premyslia

  • ad 11 - že žiadne vplyvy na rozpočet - vysvetlili že ide o obmedený počet kariet, už ich aj majú nakúpené, technicky je to to isté ako eID, aj vyrábanie

Bude ešte jedno stretnutie, k tomu ako doriešia pripomienky 2, 8, 10.

39

Podla mna sa mylis.
§ 21 ods. 1 pism. b) definuje AA ako “jedinečná a konečná postupnosť znakov, ktorá sama nemá významovú hodnotu, ak je k dispozícii len ako postupnosť týchto znakov, prostriedok alebo procedúra alebo ich kombinácia”. Cize AA moze byt

  • postupnost znakov,
  • prostriedok,
  • procedura,
  • ich kombinacia.
    Imho karty, ako prostriedok, mozu byt AA a splnaju definiciu § 21 ods. 1 pism. b) zakona o eGov. Nakoniec, tak to bolo aj myslene a pisane, aby to mohlo byt cokolvek, vratane GRID, SMS kodov, hocico.
40

Vidím že sa podarilo vyprovokovať diskusiu. :wink:
Tak, keď už sme pri tom, mám zopár ďalších otázok, napr.:

  • Keď tá definícia AA znamená že to vlastne môže byť hocičo, prečo sa to vôbec v zákone uvádza? Veď identifiácia/autentifikácia fungovala odjakživa aj kým o tom nebola v zákone ani zmienka. Takisto teraz si podľa §21.6 môže každý robiť autentifikáciu akú chce a nie je k tomu žiadny bližší popis. Plus ďalší príklad sú grid karty čo robí Nases, ktoré nie sú AA a pritom sa zjavne legálne vydávajú, používajú, vo väzbe na identity v IAM atď.

  • Fungovať musia aj všetky notifikované identifikačné/autentifikačné schémy v rámci eIDAS. Čo sa v tejto súvislosti bude v z.o eGov meniť?

  • Potrebujeme systém otvoriť aj pre iných správcov identity / služby autentifikácie, napr. komerčných. Umožňjue to teraz zákon? Alternatívnych autentifikátorov môže samozrejme byť viac typov. Je možné integráciu k inému poskytovateľovi považovať za AA formou procedúry? Napr. že prihlásenie do FB sa môže (ak si to používateľ takto nastaví) použiť aj na prístup k eGov, povedzme level 1.

  • To čo je napísané v §21.3.b znamená, že konateľ sa môže prihlásiť “ako právnická osoba”? Nie je zmysluplnejšie konzistentne hovoriť že prihlasuje sa FO, ktorý ak je konateľ, tak má (automaticky zo zákona?) oprávnenie na konanie v mene svojej PO? Lebo teraz ten postup podľa 3.b ani zdá sa nie je implementovaný. Alebo naopak, keď môže pre PO byť vydaný autentifikačný certifikát, prečo nie je možné normálne pre neho vydávať AA?

  • Autentifikačné certifikáty prečo nie je možné používať pre FO?

  • Načo je potrebný §21.5, nestačí na to §17.6? (A keďže RPO je referenčný, aj §17.5.)