Elektronická identifikačná karta

Podobné dokumenty
Elektronická identifikačná karta projekt realizovaný z prostriedkov Operačného programu Informatizácia spoločnosti

Elektronická verejná správa v Slovenskej republike 24. október 2012 ITAPA kongres

Bezpečnostný projekt egovernmentu

Použitie novej eid karty s čipom ako autentifikačného mechanizmu v štátnej a komerčnej sfére. Milan Satala, HP

Elektronické jednotné kontaktné miesto v SR. Ministerstvo vnútra SR odbor živnostenského podnikania

Postup pri aktivácii elektronickej schránky na doručovanie pre právnické osoby, ktoré nie sú zapísané do obchodného registra

Vypracovalo: oddelenie redakcie ÚPVS, Národná agentúra pre sieťové a elektronické služby

12 OPATRENIE Národnej banky Slovenska z 25. septembra 2018

VÝZVA NA PREDLOŽENIE CENOVEJ PONUKY V ZADÁVANÍ ZÁKAZKY S NÍZKOU HODNOTOU

Príručka k elektronickej službe ES06 Poskytovanie poradenstva a vzdelávania pre podnikateľov a záujemcov o podnikanie

Postup pri zriadení a správe elektronickej schránky orgánu verejnej moci

Autentifikačné zariadenia:

7 krokov pre úspešné používanie ZEP pri komunikácii s finančnou správou SR

[1] ICAReNewZEP v1.2 Užívateľská príručka

Zoznam zmien: Dátum zverejnenia: Verzia dokumentu: 8. Dátum aktualizácie:

Návod na viacnásobné podpisovanie dokumentov prostredníctvom aplikácie D.Signer/XAdES v prostredí elektronickej schránky

Metodické usmernenie č. 4/2007 k poskytovaniu informácií prostredníctvom portálu Úradu pre dohľad nad zdravotnou starostlivosťou

Informatizácia Ministerstva vnútra Slovenskej republiky

Poznámka k prezentácii

Enviroportál a jeho zmeny vyvolané novelou zákona č. 24/2006 Z. z. o posudzovaní vplyvov na životné prostredie

Návod na udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou a jeho zneplatnenie

Elektronizácia služieb matriky

Koordinácia informatizácie verejnej správy v SR. Ako naskočiť na európsky vlak?

QSign. Cenník produktov a služieb

Usmernenie k zabezpečeniu pohľadávky Poskytovateľa zo Zmluvy o poskytnutí nenávratného finančného príspevku v rámci dopytovo orientovaných projektov

Štruktúra údajov pre kontajner XML údajov 1. Dátové prvky pre kontajner XML údajov

Návod na udelenie oprávnenia na prístup a disponovanie s elektronickou schránkou orgánu verejnej moci

Ministerstvo zdravotníctva SR

Návod na nastavenie oprávnení pre oprávnené osoby s udeleným čiastočným prístupom

ŽIADOSŤ O GRANT. Zaradenie projektu do oblasti. Názov projektu. Žiadateľ. Číslo projektu

Návrh postupu pre stanovenie počtu odborných zástupcov na prevádzkovanie verejných vodovodov a verejných kanalizácií v správe vodárenských spoločnosti

Smernica Fondu na podporu umenia o vnútornej finančnej kontrole

Po zadaní a potvrdení nového hesla a po oprave mailovej adresy systém odošle na uvedenú mailovú adresu mail s prístupovým kódom a heslom.

Výzva na predloženie ponuky ( 9 ods. 9 zákona č. 25/2006 Z. z. )

Metodické usmernenie č. 1/2016. Národná agentúra pre sieťové a elektronické služby

Ochrana osobných údajov v samospráve v kontexte nového zákona o ochrane osobných údajov JUDr. Lucia Kopná

VZOR PROTOKOLU O KOMPILÁCII

Vplyvy na rozpočet verejnej správy, na zamestnanosť vo verejnej správe a financovanie návrhu

Operačný program. a budovanie. Riadiaci orgán OPIS Úrad vlády SR

Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme

Ako na KRIS? Metodika a odporúčania ku tvorbe koncepcií rozvoja. Milan Ištván, Jana Mlynárčiková občianske združenie Partnerstvá pre prosperitu (PPP)

Obec Jablonov Obecný úrad Jablonov 165

Návod na postúpenie podania orgánom verejnej moci

Žiadosť o poskytnutie dotácie z FPU v roku 2016

Postup pri deaktivácii elektronickej schránky na doručovanie pre fyzické osoby

Inovácie v sociálnych službách - elektronizácia

KOMISIA EURÓPSKYCH SPOLOČENSTIEV. Návrh NARIADENIE RADY, ktorým sa mení a dopĺňa nariadenie Rady (ES) č. 974/98, pokiaľ ide o zavedenie eura na Cypre

ONLINE POBOČKA. pre zamestnávateľov MANUÁL

Všeobecne záväzné nariadenie Mesta Trenčianske Teplice č. x/2016 o používaní pyrotechnických výrobkov na území mesta Trenčianske Teplice

Finančné riaditeľstvo Slovenskej republiky

FORMULÁR pre fyzickú osobu

Možné elektronické služby katastra a ich realizácia v ČR

Pracovnoprávny vzťah závislá práca

Poskytované elektronické služby a prístup k nim

UŽÍVATEĽSKÁ PRÍRUČKA K DIGIPASS MOBILE

Príprava zákona o kybernetickej bezpečnosti. mjr. Ing. Ján Hochmann Národný bezpečnostný úrad

Smernica pre výkon finančnej kontroly na Mestskom úrade v Lipanoch

FORMULÁR pre právnickú osobu

Osoba podľa 8 zákona finančné limity, pravidlá a postupy platné od

Metodické usmernenie. č. 07/01/2015. Dátové rozhrania vstupných a výstupných dávok centrálneho registra poistencov

Poslanecký klub Srdce pre Žilinu

Efektívne riadenie a administrácia fondov EÚ pre obdobie

Pravidlá marketingovej akcie Tablety

Podrobnosti k procesu osvedčovanie zhody počítačového programu

Postup registrácie certifikátov do Windows

Návrh, implementácia a prevádzka informačného systému

Vzor PRÍDELOVÝ LÍSTOK KATEGÓRIE A

5. oddiel Používanie knihy elektronickej registračnej pokladnice po 1. januári 2014 v nadväznosti na 18c ods. 7

Finančné riaditeľstvo Slovenskej republiky

ZÁSADY SPRACOVANIA OSOBNÝCH ÚDAJOV DODAVATEĽOV SPOLOČNOSTI 2people s.r.o.

ELEKTRONICKÝ PORTÁ L KÁTEGORIZÁ CIÁ

U S M E R N E N I E č. 1/ k odbornej spôsobilosti a odbornej príprave v radiačnej ochrane podľa zákona č. 87/2018 Z. z. o radiačnej ochrane

v y d á v a m m e t o d i c k é u s m e r n e n i e:

Príručka pre používateľa bezpečnostného tokenu na účel autentifikácie do multiklientskeho platobného portálu -MKPP

MATURITA 2016 ZÁKLADNÉ INFORMÁCIE

EÚ a viacjazyčnosť. Digitálny nástroj na prepájanie Európy (CEF) Platforma CEF pre automatizovaný preklad

Základná škola Ul. 17. novembra 31, Sabinov

N i t r i a n s k y s a m o s p r á v n y k r a j Štefánikova 69, NITRA

Elektronické služby Finančnej správy SR zjednotenie procesov

Výzva na predloženie cenovej ponuky podľa 117 zákona 343/2015 Z.z o verejnom obstarávaní.

Postup pri aktivácii elektronickej schránky na doručovanie pre fyzické osoby

Výzva na predloženie ponuky ( 9 ods. 9 zákona č. 25/2006 Z. z. )

Mestské zastupiteľstvo v Pezinku Dňa : bod číslo: 10

7 OPATRENIE Národnej banky Slovenska z 29. apríla 2008, ktorým sa ustanovujú limity umiestnenia prostriedkov technických rezerv v poisťovníctve

ZÁKLADNÝ POPIS PROJEKTU PRE Radu ZMOS

POSTUP GENEROVANIA ŽIADOSTI O KVALIFIKOVANÝ CERTIFIKÁT POMOCOU PROGRAMU COMFORTCHIP.

Register priestorových informácií

A. VÝCHODISKÁ SPRACOVANIA STANOVISKA :

Systém riadenia verejných obstarávaní

Návod na používanie Centrálnej úradnej elektronickej tabule (CUET)

Projekt NewS4EESSI pohľad a očakávania VšZP

Z B I E R K A KRAJSKÉHO RIADITEĽSTVA HASIČSKÉHO A ZÁCHRANNÉHO ZBORU V PREŠOVE. Čiastka 14 Prešov dňa Ročník 2017.

ECB-PUBLIC ROZHODNUTIE EURÓPSKEJ CENTRÁLNEJ BANKY (EÚ) 2018/[XX*] z 19. apríla 2018 (ECB/2018/12)

Téma : Špecifiká marketingu finančných služieb

Tvorba rozpočtu a finančné pravidlá VV Martina Vrbiková, APVV Október 2011

Výzva na predloženie ponuky

...jednoduchšia cesta k riešeniu. Bezpapierový úrad. Mgr. Roman Hlubina ICZ Slovakia s.r.o.

NÁVRH NA ODPREDAJ POZEMKOV SPOLOČNOSTI OBYTNÝ SÚBOR KRASŇANY, S.R.O.

Správu o výsledku kontroly vybavovania sťažností a petícií za rok 2015

Cestovné náhrady z titulu dočasného pridelenia. Kontakty: Tel.: Web:

Transkript:

Sprostredkovateľský orgán OPIS Riadiaci orgán OPIS Európska únia TVORÍME VEDOMOSTNÚ SPOLOČNOSŤ Európsky fond regionálneho rozvoja Čiastková štúdia uskutočniteľnosti projektov prioritnej osi 1 Elektronizácia verejnej správy a rozvoj elektronických služieb OPIS zameraná na celkovú architektúru egovernmentu Elektronická identifikačná karta Realizované s finančnou podporou Európskej únie v rámci programu Európsky fond regionálneho rozvoja www.opis.gov.sk, www.informatizacia.sk

Obsah 1 Základné informácie 1 1.1 Prehľad 1 1.2 Dôvod 1 1.3 Rozsah 2 1.4 Rámec projektu 3 1.5 Použité skratky a značky 3 2 Manažérske zhrnutie 4 2.1 Odporúčania 5 3 Popis aktuálneho stavu 7 3.1 Popis aktuálneho stavu a služieb 7 3.1.1 Analýza požiadaviek a potrieb 8 3.1.2 Architektúra 13 3.1.3 Procesná analýza 15 3.1.4 Legislatívna analýza 16 3.2 Hodnotenie aktuálneho stavu 19 3.3 Návrh zmeny 19 4 Navrhnuté riešenie 21 4.1 Popis navrhovaného riešenia 21 4.1.1 eid karta 22 4.1.2 PKI infraštruktúra 35 4.2 Zlepšenie 38 4.3 Definície služieb 38 4.4 Uskutočniteľnosť a náklady 39 4.4.1 Dopady na technické a softwarové vybavenie 39 4.4.2 Organizačné dopady 41 4.4.3 Legislatívne dopady 42 4.4.4 Prevádzkové dopady 45 4.4.5 Dopady na lokalitu a stavebnú činnosť 45 4.4.6 Bezpečnostné dopady 45 4.4.7 Vývoj riešenia 46 4.4.8 Nasadenie riešenia 46 4.4.9 Cena riešenia 46 4.4.10 Marketingové požiadavky 48 4.5 Ekonomická analýza 48 4.5.1 Úvod 48 4.5.2 Strategický kontext 48 4.5.3 Odhad potrieb 48 4.5.4 Ciele a obmedzenia 49 i

4.5.5 Stručný popis alternatívnych riešení 49 4.5.6 Kvantitatívna analýza navrhnutého riešenia 49 4.5.7 Analýza rizík 49 4.5.8 Nefinančné prínosy a náklady 52 4.6 Návrh projektového zámeru 52 4.6.1 Príprava projektu 52 4.6.2 Metodika riadenia 52 4.7 Zdôvodnenie doporučení 53 A Definície elektronických služieb projektu 54 A.1 Podporné služby 54 A.1.1 Používateľské a aplikačné služby 54 A.1.1.1 Generovanie autentifikačného certifikátu pre eid kartu 54 A.1.1.2 Generovanie certifikátu na vytváranie elektronického podpisu pre eid kartu 55 A.1.1.3 Generovanie šifrovacieho certifikátu pre eid kartu 55 A.1.1.4 Zrušenie autentifikačného certifikátu pre eid kartu 56 A.1.1.5 Zrušenie certifikátu na vytváranie elektronického podpisu pre eid kartu 57 A.1.1.6 Overenie platnosti jednotlivých certifikátov držiteľa eid karty 57 A.1.2 Používateľské služby 58 A.1.2.1 Vydanie eid karty žiadateľovi 58 A.1.2.2 Nahlásenie straty eid karty 58 ii

1 Základné informácie 1.1 Prehľad Projekt je zameraný na definovanie parametrov elektronickej ID karty (eid karty) a podpornej infraštruktúry potrebnej pre fungovanie eid karty v rámci služieb a procesov egovernmentu. Štúdia je koncipovaná tak, aby definovala požiadavky a predpoklady na zabezpečenie možnosti identifikácie a autentifikácie občanov Slovenskej republiky (SR) v elektronickom prostredí v zmysle schválenej Národnej koncepcie informatizácie verejnej správy a navyše výsledné riešenie dávalo možnosť implementácie fyzického identifikačného preukazu, napríklad občianskeho preukazu formátu EÚ alebo dokladu o povolení na pobyt pre cudzích štátnych občanov s trvalým pobytom na území SR, v závislosti od fyzickej úpravy použitého nosiča elektronických údajov. 1.2 Dôvod S rozvojom elektronickej verejnej správy vznikla potreba jednoznačne identifikovať identity (používateľov), ktorí budú pristupovať k službám elektronickej verejnej správy, resp. k egovernmentu. Okrem potreby identifikovať a odlíšiť navzájom jednotlivých používateľov elektronických služieb vznikla aj potreba jednoznačného prepojenia a stotožnenia individuálnych identít v elektronickom svete s fyzickými identitami (občanmi), ktoré sú v súčasnosti reprezentované občianskym preukazom a ktorých údaje sú spracúvané jednotlivými orgánmi VS a komunikované prevažne v neelektronickej forme. Vzhľadom na iniciatívy Ministerstva vnútra SR, ktoré plánuje zaviesť do praxe občiansky preukaz, ktorý by bol použiteľný aj v elektronickom svete, a v súlade s iniciatívou Ministerstva zdravotníctva SR (ďalej len MZSR ) ohľadom preukazov poistencov zdravotných poisťovní, vznikla potreba koordinovať tieto aktivity a analyzovať identifikačné nástroje, ktoré by umožňovali integrovať požadovanú funkcionalitu. Týmto prvkom by mala byť práve elektronická identifikačná karta, ktorá by sa dala použiť na preukazovanie totožnosti v elektronickom styku s orgánmi verejnej správy, resp. potenciálne aj EÚ a pri poskytovaní zdravotnej starostlivosti. V tejto súvislosti je dôležité v prípade použitia eid karty pre účely ehealth systému reflektovať na skutočnosť, že národný ehealth program počíta s plnou pripravenosťou prostredia pre ehealth do konca roka 2013. Tento predpoklad zahŕňa plošné rozšírenie elektronických preukazov poistencov, v tomto prípade eid kariet. Dôvodom vykonania štúdie je vyhodnotenie uskutočniteľnosti zámeru zavedenia jednotnej elektronickej identifikačnej karty, ktorá by v rámci služieb egovernmentu umožnila: poskytnutie dôkazu fyzickej prítomnosti karty, bezpečnú identifikáciu a autentifikáciu držiteľa pri vzdialenom prístupe na ÚPVS alebo iný portál, prípadne k inej službe, jednoznačnú fyzickú identifikáciu a autentifikáciu osoby na základe identifikačných údajov a fotografie držiteľa, 1

vyjadrenie prejavu vôle držiteľa realizovaného zaručeným elektronickým podpisom, v prípade potreby šifrovať/dešifrovať dokumenty kľúčom fyzicky uloženým na karte, vecne a fyzicky prepojiť eid kartu s občianskym identifikačným dokladom pre osobný styk a s preukazom poistenca. Hlavným cieľom tejto čiastkovej štúdie je prispieť k: zavedeniu eid karty ako jednotného prostriedku pre identifikáciu a autentifikáciu v rámci služieb prostredia egovernmentu, ehealth, prípadne v iných oblastiach verejných aj súkromných služieb, identifikácii takého elektronického média, ktoré by umožnilo: - prepojenie elektronického identifikačného a autentifikačného dokladu s preukazmi pre osobný styk s verejnou správou a s preukazom poistenca, - zvážiť použiteľnosť média pre ďalšie služby zaručený elektronický podpis, šifrovanie komunikácie a podobne. Navrhnutá eid karta musí zabezpečiť bezpečnosť a právnu nepopierateľnosť úkonov ňou realizovaných. Cieľom projektu je vytvorenie podmienok na zrýchlenie administratívnych úkonov pre občanov, zlepšenie prístupnosti služieb štátu občanom ako aj vytvoreniu transparentného a auditovateľného elektronického administratívneho styku. Vyššie uvedené ciele majú prispieť k dosiahnutiu globálneho cieľa OPIS, ktorým je vytvorenie inkluzívnej informačnej spoločnosti ako prostriedku pre rozvoj vysoko výkonnej vedomostnej ekonomiky. 1.3 Rozsah Štúdia sa venuje: vlastnostiam a možnostiam jednotlivých možných typov eid zariadení a posúdeniu ich celkovej vhodnosti, vlastnostiam a možnostiam potrebnej podpornej infraštruktúry a jednotlivým možným variantom jej implementácie. Cieľom štúdie nie je návrh výberu konkrétneho modelu eid karty, zvolenia podpornej infraštruktúry, ani ich dodávateľov. 2

1.4 Rámec projektu Táto štúdia uskutočniteľnosti sa opiera o nasledujúce dokumenty: Operačný program informatizácia spoločnosti, Národná koncepcia informatizácie verejnej správy, Strategické ciele ehealth, Štúdia možností vydávania elektronického občianskeho preukazu pre použitie v elektronických systémoch verejnej správy Ministerstva vnútra SR, č. KM-73/VI-2006, Zákon č. 275/2006 Z.z. o informačných systémoch verejnej správy. Dokumenty Európskej komisie týkajúce sa eidm rámca (napr. A Roadmap for a pan- European eidm framework by 2010). 1.5 Použité skratky a značky P.č. Skratka / Značka Vysvetlenie 1 BIFO Bezvýznamový identifikátor fyzickej osoby 2 EC Elektronický certifikát 3 eid Elektronické identifikačné zariadenie prislúchajúce fyzickej osobe 4 EP Elektronický podpis 5 FO Fyzická osoba 6 IFO Identifikátor fyzickej osoby 7 KRIS Koncepcia rozvoja informačných systémov 8 MO Mobilný operátor 9 NBÚ Národný bezpečnostný úrad Slovenskej republiky 10 NKIVS Národná koncepcia informatizácie verejnej správy 11 OP Občiansky preukaz 12 OPIS Operačný program informatizácie spoločnosti 13 QC Kvalifikovaný certifikát 14 RA Registračná autorita 15 SCVA Signature Creation & Verification Application (aplikácia na vyhotovovanie a overovanie elektronického podpisu) 16 TC Trusted Center (dôveryhodné centrum) 17 TCO Total Cost of ownership (celkové náklady na vlastníctvo) 18 USB Universal Serial bus (rozhranie počítača) 19 ZEP Zaručený elektronická podpis 20 HIC Health Insurance card (preukaz poistenca) Tabuľka1: Prehľad použitých skratiek a značiek 3

2 Manažérske zhrnutie Čiastková štúdia uskutočniteľnosti Elektronická identifikačná karta (eid karta) bola vypracovaná na základe požiadaviek Ministerstva financií SR s cieľom analyzovať realizovateľnosť nevyhnutnej a dostatočnej infraštruktúry, ktorá by umožnila identifikovať entitu (určiť kto) a autentifikovať identitu (preukázať, že entita je skutočne tá, za ktorú sa vydáva) v prostredí elektronických služieb egovernmentu. Základný rozsah požadovaných funkcionalít je v Národnej koncepcii informatizácie verejnej správy. Na základe požiadaviek na zavedenie elektronickej identifikačnej karty a analýzy procesov vyplýva, že je nutné zavedenie autentifikačného prostriedku pre fyzické osoby pre tie procesy, kedy občan priamo nevyužíva existujúce mechanizmy zaručeného elektronického podpisu, ale iba preukazuje svoju identitu, aby mohol prijímať personalizované informácie zo systémom VS. Z bezpečnostných požiadaviek na autentifikáciu, ktorá by bola z pohľadu legislatívy neodškriepiteľná a nebola jednoducho napadnuteľného útočníkmi vyplynulo z analýzy ako jediné možné riešenie využitie čipových technológií, ktoré umožnia niesť autentifikačný PKI kľúč a príslušný certifikát a sú integrovateľné do PKI infraštruktúr. Súčasťou analyzovanej infraštruktúry v tejto štúdii sú: eid karta, ktorá umožní identifikáciu/autentifikáciu entít a pre fyzické osoby umožní integrovať eid kartu s občianskymi identifikačnými preukazmi pre osobný aj vzdialený elektronický styk tak v úlohe osoby ako občana aj poistenca verejného zdravotného poistenia, infraštruktúra verejných kľúčov (PKI) skladajúca sa z certifikačných autorít, ich registračných autorít, ako aj autorít časových pečiatok. PKI nie je priamym predmetom zadania žiadnej zo štúdií OPIS OP1, avšak bez PKI nie je eid karta použiteľná a realizovateľná efektívnym a bezpečným spôsobom. Z tohto dôvodu je PKI predmetom tejto štúdie. Infraštruktúra, ktorá by zabezpečovala naplnenie týchto cieľov vo VS v súčasnosti nie je implementovaná. Zároveň nie je zatiaľ vytvorená na rozdiel od zaručeného elektronického podpisu podpora bezpečného a právne rozpoznaného elektronického preukázania identity fyzickej osoby. Smerovanie v Európskej únii ukazuje prieskum vykonaný v rámci EÚ (štúdia IDABC eid Interoperability for PEGS zo 14. Marca 2008) za stav z roku 2007, v ktorom 87,5% krajín deklarovalo použitie alebo plánovanie využitia autentifikácie na základe PKI certifikátov. Finálne smerovanie pre eid kartu je naznačené projektom STORK (Secure identity across borders linked), ktorý umožní biznisu, administratíve a občanom použitie ich elektronických identít v hociktorom z participujúcich členských štátov EÚ. Základnými kritériami pre voľbu riešenia boli bezpečnosť, jednoduchosť ich použitia z pohľadu držiteľov (FO) a možnosť integrácie s občianskym preukazom a s preukazom poistenca. 4

2.1 Odporúčania V rámci štúdie sú analyzované technológie kontaktnej čipovej karty na polykarbonátovom nosiči (súčasný občiansky preukaz, doposiaľ bez čipu), USB kľúč alebo SIM karta. Z pohľadu naplnenia cieľov autentifikácie sú tieto riešenia zameniteľné ak budú spĺňať bezpečnostné a bezpečnostno-prevádzkové požiadavky uvedené v tejto štúdii, aby bolo zabezpečené dostatočné uistenie o skutočnej identite pristupujúcej FO. Odporúčaným riešením je vytvorenie eid karty, ktorá integruje kontaktný elektronický čip na polykarbonátovej karte občianskeho preukazu vo formáte EÚ. Pre účely identifikácie a autentifikácie je použitý BIFO, ktorý je previazaný na autentifikačný certifikát. Tento občiansky preukaz s čipom bude poskytnutý tým občanom, ktorí prejavia záujem o využívanie služieb egovernmentu a tým im bude umožnené zaobstaranie autentifikačného certifikátu. Podmienkou rozšírenia tohto riešenia je poskytovanie a dostupnosť čítačiek čipových kariet. Ako alternatívy, ktorých výhodou je existujúca dostupnosť čítacích zariadení na čipy sú vyššie uvedené USB tokeny a SIM karty. Z pohľadu elektronizácie je možné ponechať fyzickým osobám na výber, ktoré z týchto médií využijú na uloženie autentifikačných informácií, ak bude zriadená infraštruktúra (v prípade SIM kariet viazaná na mobilných operátorov). eid karta pri navrhovanom riešení integrácie s plastovým občianskym preukazom bude slúžiť primárne ako občiansky preukaz pri osobnom styku s VS a priamo nesie aj ďalšie elektronické informácie o občanovi. FO, ktoré budú mať záujem využívať elektronické služby egovernmentu si budú môcť doplniť eid kartu o certifikáty, ktoré im umožnia plnohodnotné využívanie elektronických služieb. Čip by mal kvôli flexibilite využitia z pohľadu FO podporovať nielen jej identifikáciu a autentifikáciu, ale aj vytváranie zaručeného elektronického podpisu a šifrovanie informácií. Používanie eid kariet musí byť podporené infraštruktúrou, ktorá pozostáva z: jednej alebo viacerých certifikačných autorít, personalizačného centra pre eid karty slúžiace zároveň ako občianske preukazy, aplikácie na generovanie identifikátora BIFO, autentifikačného servera, na ktorý sa obracajú dotazované systémy VS, lokálnej autentifikačnej aplikácie na počítači FO, s ktorou komunikuje autentifikačný server. Rýchlosť penetrácie využívania eid kariet na elektronickú komunikáciu s VS bude kriticky ovplyvnená tým, ako bude štát fyzickým osobám prispievať na zaobstaranie k tomu potrebných certifikátov alebo ako bude obstaranie finančne atraktívne k celkovému využívaniu služieb egovernmentu oproti súčasnej prevažne neelektronickému administratívnemu styku. Program zavádzania eid karty je potrebné koordinovať s inými aktivitami informatizácie verejnej správy, pri ktorých môžu vznikať požiadavky na sektorovo použiteľné identifikačné karty a systémy na identifikáciu a autentifikáciu identít (napr. preukaz poistenca). Je 5

predpokladateľné, že vo viacerých prípadoch identifikačných kariet by mohla vzniknúť požiadavka na využitie autentifikačných certifikátov alebo certifikátov pre vytváranie zaručeného elektronického podpisu. V rámci týchto aktivít bude potrebné dbať nato, aby nedochádzalo k duplikácii infraštruktúry a navyšovaniu duplicitných nákladov spojených napríklad s vydávaním viacerých kvalifikovaných certifikátov. Za týmto účelom bola už pri vytváraní tejto štúdie identifikovaná aktivita MZSR ohľadom preukazov poistencov a preto sú tieto aktivity, resp. požiadavky MZSR na preukaz poistencov zohľadnené pri návrhu a funkcionalite eid. 6

3 Popis aktuálneho stavu 3.1 Popis aktuálneho stavu a služieb V súčasnosti sa občiansky preukaz používa len na identifikáciu/overenie totožnosti držiteľa v osobnom styku. Komunikácia s verejnou správou prebieha pri riešení životných situácií väčšinou vo forme podania podpísanej žiadosti, na ktorú dostáva odpoveď. Občan požiada o službu, preukáže sa občianskym preukazom, prípadne iným identifikačným preukazom a prejav vôle deklaruje vlastnoručným podpisom. Overenie identity FO je na základe porovnania fotografie a vykonaním podpisu. Verejná správa mu po vykonaní potrebných úkonov zašle odpoveď na žiadosť alebo priamo vykoná aktivity, ktorých výsledkom je dodanie služby. Pri zavádzaní elektronických služieb je potrebné riešiť nasledovné otázky: identifikovanie občana (užívateľa) a overenie, že sa jedná skutočne o občana, za ktorého sa vyhlasuje bez možnosti osobnej vizuálnej autentifikácie FO, deklarácia prejavu vôle občana. V prípade elektronizácie klasického modelu služieb žiadosť odpoveď postačuje na identifikáciu občana a deklarovanie prejavu vôle občana zaručený elektronický podpis, ktorým by bola opatrená podaná žiadosť. Na vytvorenie zaručeného elektronického podpis občan potrebuje súkromný kľúč uložený v bezpečnom certifikovanom zariadení a kvalifikovaný certifikát s príslušným verejným kľúčom. Tento model však neumožňuje používanie interaktívnych elektronických služieb VS, napr. na báze portálov. Interaktívne služby verejnej správy slúžia na poskytovanie (okrem iného) nasledovnej funkcionality: personalizácia webových stránok, poskytnutie informácie o stave vybavovania podaných žiadostí, informovania občana prostredníctvom elektronickej schránky, do ktorej mu budú orgány verejnej správy zasielať poštu, ktorá bude ekvivalentom papierovej pošty, umožnenie prístupu k elektronickým informáciám, ktoré môžu byť sprístupnené len danému občanovi, umožnenie prístupu k verejným elektronickým informáciám, pri ktorých je potrebné pristupujúceho občana identifikovať, napr. z dôvodu spoplatnenia služby. Pre zabezpečenie prístupu k interaktívnym (portálovým) službám je potrebné zabezpečiť bezpečnú identifikáciu a autentifikáciu občana, t.j. možnosť spoľahlivo určiť, ktorý občan k týmto službám pristupuje. Pre tieto účely nie je možné využiť zaručený elektronický podpis z legislatívnych a bezpečnostných dôvodov a zároveň z dôvodu technicky komplikovaného 7

riešenia a z dôvodu, že podľa súčasnej legislatívy nemôže byť ZEP použitý na iné ako zákonom definované účely, medzi ktoré autentifikácia voči elektronickým systémom nepatri. Na základe vyššie uvedeného bolo navrhnuté používanie samostatného autentifikačného prostriedku pre účely identifikácie a autentifikácie držiteľa tohto prostriedku pri prístupe k službám verejnej správy a potenciálne aj k budúcim službám inštitúcií súkromného sektora. 3.1.1 Analýza požiadaviek a potrieb V súčasnosti používaný občiansky preukaz (resp. aj doklad o povolení na pobyt pre cudzincov) slúži na identifikáciu občana pri komunikácii s verejnou správou. Občiansky preukaz má formu zalievanej fólie alebo plastovej karty s natlačenými údajmi o držiteľovi a ďalšími bezpečnostnými prvkami. Súčasný OP neobsahuje identifikačné prvky použiteľné v elektronickom styku s VS. Analyzované súčasti pre implementácie infraštruktúry pre eid a kritériá pre ne relevantné sú: eid karta v držbe FO, pre ktorú budú posudzované nasledujúce kritériá: Aspekt Kritérium Váha Bezpečnosť Podpora ďalších funkcií Možnosť integrácie s fyzickým identifikačným preukazom Jednoduchosť použitia Impersonifikácia útočníkom Neodmietnuteľnosť použitia 5 5 Vytvorenie ZEP 4 Šifrovanie 2 Použitie vizuálnych informácií na médii Uloženie biometrických informácií 5 3 Rozmery 1 Životnosť média 2 Potreba čítacieho zariadenia Náklady Médium 3 2 Čítacie zariadenie 1 Personifikácia 2 Tabuľka 2:Posudzované kritéria pre eid kartu v držbe FO. Identifikátor jednoznačne priradený FO slúžiaci na jej identifikáciu identifikátor FO, bezvýznamové identifikátory FO a registre fyzických osôb sú predmetom samostatnej štúdie a nie sú ďalej v tejto štúdii analyzované. Certifikačné autority a ich registračné autority: 8

- jednoduchosť úkonov pri komunikácii CA a držiteľov eid kariet, - požiadavky kladené na akreditované CA z pohľadu relevantnej legislatívy, - nízke obstarávacie a prevádzkové náklady, - možnosť overenia platnosti eid karty v reálnom čase počas autentifikácie z pohľadu zrušenia certifikátu naviazaného napríklad na kompromitáciu eid karty. Autority časových pečiatok alebo centrálny zdroj presného času: - požiadavky kladené na akreditované CA z pohľadu relevantnej legislatívy, - dostupnosť služby. Lokálna autentifikačná aplikácia v mieste prístupu FO, ktorá zabezpečí súčinnosť karty pri identifikácii/autentifikácii držiteľa voči systému VS: - jednoduchosť použitia pre používateľa, - bezpečnosť, - dostupnosť aplikácie. Centrálny autentifikačný modul(y) je súčasťou IAM riešenia, ktoré nie je predmetom tejto štúdie. 3.1.1.1 eid karta Cieľom štúdie je vytvorenie eid karty len pre FO. Riešenia pre podnikateľské subjekty, administratívu a elektronické systémy nie sú predmetom tejto štúdie. Pre zabezpečenie identifikácie a autentifikácie identít je možné použitie viacerých technológií: meno a heslo, jednorázové heslá (angl. one-time password OTP), certifikáty na elektronických tokenoch: - kontaktné plastové (polykarbonátové) čipové karty, - bezkontaktné plastové (polykarbonátové) čipové karty (prípadne kombinované), - USB tokeny, - SIM karty. 9

Vlastností týchto technológií z pohľadov nákladov na riešenie, podporných nákladov, dosiahnuteľnej bezpečnosti, jednoduchosti použitia, prenositeľnosti a komplexnosti implementácie sú v nasledujúcej tabuľke (zdroj: prieskum KPMG). Použitie pre viac kanálov Náklady na riešenie Náklady na správu a údržbu Úroveň bezpečnosti Jednoduchosť použitia Prenosnosť Zložitosť zavedenia Komplexno sť útoku (do úvahy nie je braná krádež, útok hrubou silou a sociálne inžinierstvo) Pevné heslo Jednoduché heslo cez klávesnicu Jednoduché heslo cez klávesnicu na obrazovke Ke y Lo g g er Ke y-m o u se -S cre e n Lo g g er/ Stre a m er Jednoduché heslo cez klávesnicu, n znakov z m, m>n, napr. 3 zo 7 Komplex ná m atic a hesiel (gridka rta), cez klávesnicu Ke y-s cree n Lo g g er/ Stre a m er Ke y-s cree n Lo g g er/ Stre a m er Id + OTP heslo Digitálne certifikáty/podpis Zozna m predpriprav ených hesiel (napr. grid tabuľka) HW Token (Ke yfob, Keyca rd ale bo Sm artcard), časovo synchronizovaný alebo výzva/odpoveď Certifikát/kľúče na m édiu, ochrana pevným heslom Certifikát/kľúče na m édiu, ochrana pevným heslom, neexportovateľné Certifikát/kľúče na USB tok ene Certifikát/kľúče na sm artk arte Im p e rs on a to r Im p e rs on a to r Ke y- Lo g g er/ Stre a m er + Ba ckd o or Ke y- Lo g g er/ Stre a m er + Ba ckd o or Im p e rs on a to r Im p e rs on a to r Tabuľka 3:Vlastnosti technológií pre zabezpečenie identifikácie a autentifikácie identít. Pre identifikáciu a autentifikáciu pri prístupe k existujúcim službám egovernmentu sa v súčasnosti využíva: - kombinácia meno/heslo (napr. čiastočne aj systém Elektronické verejné obstarávanie Úradu pre verejné obstarávanie) alebo - certifikát (napr. Daňový úrad SR). Návrh budúceho stavu je uvedený v časti 4 Navrhnuté riešenie. 10

3.1.1.2 Preukaz poistenca požiadavky MZSR Pre účely budovaného ehealth systému v súlade s vládou SR schváleným materiálom Strategické ciele ehealth je cieľom tejto štúdie poukázať na možnosti zjednotenia eid a preukazu poistenca (HIC). Táto štúdia sa nezaoberá európskym preukazom poistenca (EHIC) a požiadavkami na uvedený preukaz. Rovnako, podobne ako pri eid pre právnické osoby, sa nezaoberá ani preukazom pre zdravotných profesionálov (tzv. HPC karta). Odhliadnuc od nižšie analyzovaných funkčných a bezpečnostných požiadaviek, jednou z kľúčových požiadaviek na kartu poistenca v súčasnom systéme zdravotného poistenia v SR je požiadavka vystavenia karty poistenca pre každého, aj neplnoletého, občana SR (výnimka v podobe novorodencov poistených v prvých týždňov života z poistenia matky je okrajová a nevýznamná z pohľadu celkového rámca analyzovaného v tejto štúdii). Požiadavky MZSR na HIC sú nasledovné. Obal karty (jej potlač) by mal slúžiť v prvom rade na fyzickú identifikáciu držiteľa, zatiaľ čo údaje uložené v elektronickom čipe karty (v kontexte PKI infraštruktúry) by mali slúžiť na identifikáciu a autentifikáciu držiteľa do ehealth systémov, resp. aplikácií, šifrovanie/dešifrovanie a na autorizáciu úkonov poistencami/pacientmi, resp. prijímateľmi zdravotnej starostlivosti. Ide o nasledovné funkcie: elektronické funkcie realizované prostredníctvom elektronického čipu: - identifikácia a autentifikácia samotnej karty pomocou PKI (t.j. potvrdenie prítomnosti karty), - identifikácia a autentifikácia držiteľa karty pomocou PKI (t.j. potvrdenie prítomnosti držiteľa karty), - šifrovanie/dešifrovanie, resp. kryptografická podpora, - vyhotovovanie elektronického podpisu (prípadne zaručeného elektronického podpisu), - prípadne bude v budúcnosti možné využiť funkciu nosiča dát pre definované účely (základné ID dáta, príslušnosť k poisťovni a pod.), identifikačné funkcie realizované prostredníctvom obalu karty: - fyzická identifikácia na základe ID údajov a fotografie na obale karty, - príslušnosť poistenca ku konkrétnej zdravotnej poisťovni (voliteľná požiadavka). 11

Podrobný popis požiadaviek a špecifikácie čipu a obalu HIC elektronických čipových kariet je z pohľadu požiadaviek na funkcionalitu a aplikovateľnosť karty popísaný v nasledujúcich kapitolách. Požiadavky na PKI identifikáciu a autentifikáciu HIC karty a jej držiteľa Pre zabezpečenie PKI identifikácie a autentifikácie (karty aj jej držiteľa, ako dve samostatné funkcie) musí byť karta schopná realizovať definovaný asymetrický kryptografický algoritmus (napr. RSA) a musí obsahovať príslušný tajný kľúč pre účely identifikácie a autentifikácie (I&A). Pre zabezpečenie generovania kľúčového páru na karte je potrebné, aby karta disponovala generátorom kryptografických kľúčov s požadovanými parametrami. Potvrdenie prítomnosti HIC karty bude realizované po technickej stránke prostriedkami elektronického podpisu (pozri nižšie sekciu Požiadavky na elektronický podpis ). V tomto prípade by elektronický podpis mal v prvom rade slúžiť najmä na preukázanie fyzickej prítomnosti karty, resp. nepriamo fyzickej prítomnosti jej držiteľa, pri niektorých procesoch v zdravotníctve, napr. pri poskytovaní zdravotnej starostlivosti. Jeho účelom nebude preukázanie neodmietnuteľnosti úkonu, takže bude možné vyhotoviť obyčajný elektronický podpis aj bez nutnosti zadania PIN (vhodné napr. pre starších občanov). Potvrdenie prítomnosti držiteľa karty, t.j. identifikácia a autentifikácia držiteľa karty pri realizácii niektorých úkonov (napr. pri poskytnutí zdravotnej starostlivosti alebo pri prístupe k ehealth službám) bude taktiež, po technickej stránke, realizované prostriedkami elektronického podpisu (pozri nižšie sekciu Požiadavky na elektronický podpis ). Na rozdiel od preukázania prítomnosti karty, v tomto prípade už bude dôležité pri PKI identifikácii a autentifikácii zadávať aj PIN kód, najmä z bezpečnostných dôvodov jednoznačnej identifikácie a autentifikácie a prístupu len autorizovaných osôb a z dôvodov ochrany dát. Požiadavky na kryptografickú podporu HIC karty pre účely šifrovania Pre účely šifrovania a dešifrovania musí karta disponovať kryptografickou podporou, t.j. využívať definované symetrické a asymetrické kryptografické algoritmy (napr. AES, RSA a pod.) a musí disponovať definovaným generátorom kryptografických kľúčov s požadovanými parametrami. Požiadavky na elektronický podpis Pre vyhotovovanie elektronického (digitálneho) podpisu musí karta vedieť realizovať príslušný asymetrický kryptografický algoritmus (napr. RSA) a musí obsahovať príslušný tajný kľúč pre účely zašifrovania HASH odtlačku, čiže vyhotovenia hodnoty elektronického podpisu. Pre zabezpečenie generovania kľúčového páru na karte je potrebné, aby karta disponovala generátorom kryptografických kľúčov s požadovanými parametrami. Rovnaké požiadavky platia aj pre vyhotovovanie zaručeného elektronického podpisu. Rozdiel je len v podmienke certifikácie karty na Národnom bezpečnostnom úrade, kde certifikácia zahŕňa posúdenie bezpečnosti príslušných kryptografických algoritmov a generátora kľúčového páru. 12

Požiadavky na dátovo-adresnú štruktúru čipu HIC karty Z uvedených základných elektronických funkcií čipu HIC elektronickej karty vyplývajú nasledujúce požiadavky na dátovo-adresný priestor a jeho kapacitu, ktorá by mala byť dostatočná pre: uloženie minimálne troch typov certifikátov (a príslušných tajných kľúčov) pre účely zaručeného elektronického podpisu, identifikácie a autentifikácie a šifrovania, V budúcnosti môžu byť požiadavky kladené na: vytvorenie dátovo-adresného priestoru pre základný data-set obsahujúci identifikačné údaje držiteľa karty, vytvorenie dátovo-adresného priestoru pre určenie jednoznačnej príslušnosti k zdravotnej poisťovni, vytvorenie ďalších dátovo-adresných priestorov dostatočných pre iné, budúce účely (napr. základné údaje o sociálnom poistení, zdravotnom poistení, epreskripcia, EDS, darcovstvo krvi, darcovstvo orgánov, kontaktné osoby v prípade mimoriadnej situácie a iné). Požiadavky na fyzickú identifikáciu Predná strana obalu HIC karty by mala obsahovať základné identifikačné údaje poistenca a jeho príslušnosť k poisťovni. Konkrétne požiadavky na presné usporiadanie údajov a iných prvkov, vrátane bezpečnostných prvkov na obale HIC karty je mimo rámca tejto štúdie a bude musieť byť definované MZSR a jednotlivými poisťovňami v detailnej analýze projektu. Rovnako je možné zvážiť využitie údajov na eid aj na ehealth účely, t.j. považovať eid aj za preukaz poistenca. Návrh budúceho stavu, ktorý zohľadňuje uvedené požiadavky MZSR na preukaz poistenca a jeho integráciu s eid je uvedený v kap. 4 Navrhnuté riešenie. 3.1.2 Architektúra Základné vzťahy jednotlivých subjektov vystupujúcich v rámci používania eid karty sú zobrazené na nasledujúcom obrázku. 13

Obrázok 1: Základné vzťahy jednotlivých subjektov vystupujúcich v rámci používania eid karty. Pre identifikáciu v osobnom úradnom styku sa využíva existujúci občiansky preukaz. Ako jednoznačný identifikátor občana sa používa rodné číslo. Tento identifikátor nie je vhodný ako jednoznačný identifikátor, nakoľko existujú duplicitné rodné čísla a rodné číslo poskytuje okrem identifikácie aj ďalšie informácie o jeho držiteľovi - rodné číslo nie je bezvýznamný identifikátor. Pri elektronickom prístupe je autentifikácia v súčasnosti zabezpečená prostredníctvom mena a hesla. Autentifikačné údaje sú spravované decentralizovane prevádzkovateľmi jednotlivých služieb verejnej správy. Pre potreby vytvárania zaručeného elektronického podpisu je vytvorená architektúra PKI (architektúra verejných kľúčov) pozostávajúca z koreňovej certifikačnej autority NBÚ a akreditovaných certifikačných autorít vydávajúcich kvalifikované certifikáty pre koncových používateľov. Akreditované certifikačné autority fungujú ako súkromné subjekty bez priameho spojenia so službami verejnej správu. ACA sú prevádzkované v súlade s požiadavkami NBÚ. 14

3.1.3 Procesná analýza 3.1.3.1 Vydanie občianskeho preukazu V súčasnosti prebieha vydanie občianskeho preukazu na základe žiadosti občana na príslušnom útvare Policajného zboru. Na základe predloženia požadovaných dokladov je občan odfotený a údaje z Registra obyvateľov spolu s fotkou sú laserom vygravírované na polykarbonátovú kartičku pre občiansky preukaz v EÚ formáte, ktorý si občan osobne prevezme pri druhej návšteve MV SR, resp. Policajného zboru. 3.1.3.2 Vydanie preukazu poistenca V súčasnosti sú preukazy poistencov vydávané vo forme papierových preukazov bez fotografie príslušnými zdravotnými poisťovňami. Poistenec má právo raz za rok zmeniť svoju poisťovňu. Uvedená zmena nemôže byť vykonaná počas roka a viackrát do roka. Žiadosť o zmenu poisťovne musí poistenec podať do 30. septembra príslušného kalendárneho roka a zmena poisťovne bude aktuálna až od 1.1. nasledujúceho roka. Pri procese zmeny zdravotnej poisťovne je potrebné zohľadniť skutočnosť, že ohlásenie zmeny poisťovne spôsobí vykonanie akcie (z pohľadu poistenca) až v budúcnosti a nie v momente nahlásenia zmeny. 3.1.3.3 Vydanie kvalifikovaného certifikátu Vydanie kvalifikovaného certifikátu pre vytváranie zaručeného elektronického podpisu akreditovanými certifikačnými autoritami sa riadi podľa certifikačného poriadku relevantnej CA, v princípe však pozostáva z podania/prijatia žiadosti o vydanie certifikátu, skontrolovania identifikačných údajov žiadateľa, vygenerovania a importovania certifikátu do bezpečného zariadenia, ktoré si žiadateľ osobne prevezme. 3.1.3.4 Používanie elektronických služieb Do poslednej novelizácie Zákona o elektronickom podpise zákona č. 214/2008 Z.z. nebolo možné, podľa vyjadrenia Úradu na ochranu osobných údajov, v certifikátoch uvádzať rodné číslo FO. Orgány VS poskytujúce elektronické služby postupovali pri zavádzaní FO do ich systému tak, že FO musela najskôr fyzicky prísť, aby vzniklo prepojenie medzi certifikátom (jednoznačne určeným sériovým číslom certifikátu a jeho vydavateľom), konkrétnou FO a interným systémovým identifikátorom FO v príslušnom systéme. Následne FO mohla služby elektronicky využívať až do vydania nového certifikátu. Príkladom je Daňový úrad SR, ktorý umožňoval prijímať daňové podania podané elektronicky podpísané zaručeným elektronickým podpisom. Aktivity v životnom cykle certifikátov a ich implementácie sa líšia v závislosti od poskytovateľa akreditovaných certifikačných služieb. Jedná sa najmä o: registráciu FO u niektorej z registračných autorít ACA, 15

vydanie certifikátu, zrušenie platnosti certifikátu, vydanie ďalšieho certifikátu, zistenie informácií o platnosti certifikátu. 3.1.4 Legislatívna analýza Základným schváleným koncepčným dokumentom, ktorý v základných rysoch charakterizuje zámer vytvoriť inštitút elektronickej identifikačnej karty je Národná koncepcia informatizácie verejnej správy. V nej sa pod elektronickou identifikačnou kartou rozumie občiansky preukaz s technickým zariadením umožňujúcim zaručenú identifikáciu a autentifikáciu v elektronickom prostredí. Výslovne sa požaduje, aby elektronická identifikačná karta bola technickým zariadením, ktoré umožňuje uchovávať zaručený elektronický podpis a aby sa dala používať ako prostriedok elektronickej identifikácie pri e-službách poskytovaných verejnou správou a inými inštitúciami na národnej a nadnárodnej úrovni. Z tohto vymedzenia vyplýva, že koncepcia elektronickej identifikačnej karty vychádza z týchto základných požiadaviek, vymedzených v NKIVS: bude elektronickou formou občianskeho preukazu, bude umožňovať identifikáciu držiteľa karty v styku s orgánmi verejnej moci, a to predovšetkým vo vzťahu k ich informačným systémom, registrom a ďalším databázam, obsahujúcim údaje o držiteľovi karty v elektronickom styku, umožní, aby jej prostredníctvom držiteľ karty mohol svoj prejav vôle opatriť zaručeným elektronickým podpisom, je technicky i právne otvoreným inštitútom, umožňujúcim plniť aj ďalšie možné funkcie v oblasti elektronických služieb. V súčasnosti takýto integrálny elektronický nástroj z právneho pohľadu neexistuje. Funkcie, ktoré by mal plniť sa v súčasnosti čiastočne zabezpečujú za pomoci viacerých inštitútov, ktoré vzájomne nie sú prepojené. Pre preukaz poistenca zdravotnej poisťovne, tzv. HIC kartu, je základným strategickým dokumentom materiál schválený vládou SR Strategické ciele ehealth. V rámci cieľa č. 2 Vytvorenie bezpečnej infraštruktúry pre realizáciu vízie a poslania ehealth je zadefinované použitie a vytvorenie infraštruktúry pre identifikáciu, autentizáciu a autorizáciu prijímateľov a poskytovateľov zdravotníckych služieb a zdravotnej starostlivosti prostredníctvom elektronického tokenu (napr. čipová karta). V súčasnosti nie je používaný žiadny nástroj, ktorý by spĺňal uvedené požiadavky. 16

3.1.4.1 Občiansky preukaz Zákon č. 224/2006 Z.z. o občianskych preukazoch v znení neskorších predpisov vymedzuje občiansky preukaz ako verejnú listinu, ktorou občan Slovenskej republiky preukazuje svoju totožnosť, štátne občianstvo a ďalšie údaje. Občiansky preukaz je povinný mať každý občan, ktorý dovŕšil pätnásty rok veku a má trvalý pobyt na Slovensku. Zákon ďalej ustanovuje aké údaje občiansky preukaz obsahuje. Sú to predovšetkým identifikačné údaje, medzi ktorými je i všeobecný identifikačný údaj: rodné číslo. Občiansky preukaz vo forme zalievanej fólie neobsahuje vlastnoručný podpis. Súčasne vydávaný občiansky preukaz obsahuje vlastnoručný podpis s výnimkou, ak občan nie je spôsobilý sa podpísať. Občiansky preukaz obsahuje i ďalšie povinné identifikačné údaje ako je adresa trvalého pobytu, dátum a miesto narodenia a niektoré administratívne údaje. Na žiadosť občana sa do občianskeho preukazu môžu uviesť i niektoré ďalšie praktické údaje, ako sú informácie o závažných chorobách, o krvnej skupine, akademický titul. Zákon obsahuje aj dôležité ustanovenie, že údaje uvedené v občianskom preukaze občan nemusí preukazovať ďalším dokladom. Z toho vyplýva, že občiansky preukaz je nástrojom na fyzickú identifikáciu občana. Ak občan potrebuje získať údaje, ktoré o ňom vedú vo svojich databázach verejnej správy, musí sa fyzicky dostaviť na príslušný úrad, a tam predložiť občiansky preukaz. Občiansky preukaz je koncipovaný ako verejná listina určená predovšetkým pre styk so štátnymi orgánmi tak, aby občan už nepotreboval iné doklady. 3.1.4.2 Preukaz poistenca Preukaz poistenca je definovaný v zákone č. 580/2004 Z. z. o zdravotnom poistení a o zmene a doplnení zákona č. 95/2002 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov. V súlade s 6 ods. 10 je zdravotná poisťovňa povinná doručiť poistencovi preukaz poistenca do siedmich dní odo dňa potvrdenia prihlášky na verejné zdravotné poistenie. 3.1.4.3 Rodné číslo ako identifikátor Keďže občiansky preukaz obsahuje aj všeobecný identifikátor (rodné číslo), ktorý umožňuje jeho identifikáciu v prevažnej väčšine databáz, ktoré o ňom vedú orgány verejnej moci, mal by postačovať na to, aby požadované údaje (výpis, či doklad) dostal. V rámci služieb štátu sú však zavedené aj iné identifikačné doklady. Je to hlavne preto, lebo rodné číslo sa ako všeobecný identifikátor stalo príliš všeobecným, a príliš dostupným údajom na to, aby bolo jediným identifikačným údajom, pod ktorým sa vedú všetky databázy, a to aj tie najcitlivejšie. Takto sa postupne vytvárajú rozličné špeciálne sektorové identifikátory, ako je napríklad daňové identifikačné číslo, číslo zdravotného poistenia a ďalšie. Tieto v občianskom preukaze uvedené nie sú, a občan si ich musí opatrovať na osobitných verejných listinách, alebo i na listinách (kartách), ktoré nemajú povahu verejnej listiny. Ak občan potrebuje údaje z databázy orgánu verejnej moci, ktorý využíva takýto špeciálny identifikátor, tak spravidla musí okrem občianskeho preukazu predložiť i príslušný osobitný kód alebo doklad. 17

3.1.4.4 Zákon o elektronickom podpise Novým prvkom, ktorý už v súčasnosti zasahuje do klasickej formy fyzickej komunikácie občana s orgánmi verejnej moci, je možnosť elektronickej komunikácie. Predovšetkým zákon č. 215/2002 Z.z. o elektronickom podpise v znení neskorších predpisov vytvoril nový nástroj, ktorý umožňuje jednoznačné preukazovanie totožnosti občana pri vykonávaní právnych úkonov a ďalších prejavov vôle v elektronickej podobe, bez priamej fyzickej prítomnosti na úrade. Treba tu zdôrazniť, že elektronický podpis zahŕňa okrem identifikácie občana vždy aj vôľovú zložku. Teda súhlas s nejakým textom, ktorý je týmto elektronickým podpisom opatrený. Zákon o elektronickom podpise, spolu so zákonom č. 275/2006 Z.z. o informačných systémoch verejnej správy v znení neskorších predpisov, položili základy elektronickej formy komunikácie občana s verejným sektorom. Už podľa súčasnej právnej úpravy možno takto robiť celý rad právnych úkonov a možno požadovať výpisy s rozličných databáz. Pomerne nejednoznačné je v súčasnej právnej úprave rozlišovanie, kedy v styku s orgánmi verejnej moci možno použiť akýkoľvek elektronický podpis (samozrejme v režime spomenutého zákona), a kedy je potrebný zaručený elektronický podpis. Zákon výslovne ukladá orgánom verejnej moci (povinným osobám podľa zákona č. 275/2006 Z.z.), aby prijímali aj jednoduchý elektronický podpis, avšak prakticky vo všetkých konkrétnych prípadoch, kde právna úprava reguluje využívanie tohto nového inštitútu v styku s verejnou mocou, sa požaduje zaručený elektronický podpis. Je to asi aj praktický problém, pretože zákon pomerne prísne stanovuje podmienky (i technické) pre používanie zaručeného elektronického podpisu, a istým spôsobom ich (i v súčinnosti s využívaním oprávnení Národného bezpečnostného úradu v tejto veci) štandardizuje. Je preto možno požadovať od orgánov verejnej moci, aby mali technické prostriedky a personálne vybavenie na elektronickú komunikáciu opatrenú zaručeným elektronickým podpisom. Využívanie jednoduchého elektronického podpisu však takto štandardizované nie je, a preto môže spôsobovať komunikačné problémy. Treba brať do úvahy, že orgánmi verejnej moci sú i malé obce, ktoré si nemôžu dovoliť také technické vybavenie a personálne zabezpečenie ako ústredné orgány štátnej správy. Dôležitou zásadou, ktorú právna úprava elektronického podpisu zakotvuje, je, že poskytovanie akreditovaných certifikačných služieb, t.j. správa kvalifikovaných certifikátov, dlhodobé uchovávanie elektronických dokumentov podpísaných zaručeným elektronickým podpisom a vydávanie časových pečiatok sa vymedzuje ako podnikanie ( 12 ods. 2 zákona). Ide o náročné podnikanie, ktoré vyžaduje investície, aby sa naplnili požiadavky zákona, ako i požiadavky NBÚ. Prepojenie problematiky preukazovania totožnosti a identifikácie občana klasickým spôsobom, prostredníctvom občianskeho preukazu, a základov elektronickej komunikácie medzi občanom a verejnou mocou za pomoci elektronického podpisu, v súčasnej právnej úprave výslovne zakotvené nie je. Výkladom je však možné dospieť k tomu, že tu predsa isté prepojenie jestvuje, a to pri vydávaní kvalifikovaných certifikátov. Akreditovaná certifikačná autorita je povinná preveriť totožnosť občana a zistiť jeho všeobecný identifikátor. V 5 ods. 1 zákona o elektronickom podpise sa výslovne požaduje, že v styku s orgánmi verejnej moci, pri použití zaručeného elektronického podpisu, musí byť kvalifikovaný certifikát vydaný akreditovanou certifikačnou autoritou, a musí obsahovať rodné číslo držiteľa certifikátu. Toto zrejme akreditovaná certifikačná autorita nemôže zistiť inak, ako tým, že žiadateľ o akreditovanú certifikačnú službu predloží svoj občiansky preukaz. 18

Z toho vyplýva, že medzi prostriedkami pre fyzické preukazovanie totožnosti a fyzickú identifikáciu občana, a prostriedkami jeho elektronickej identifikácie a autentifikácie, jestvuje i v súčasnej právnej úprave vzťah, aj keď nie je výslovne upravený. Z jestvujúcej právnej úpravy však vyplýva, že sa jedno od druhého nedá celkom oddeliť, a že predpokladom vytvorenia nástroja na elektronickú identifikáciu a autentifikáciu občana, je prvotné preukázanie jeho totožnosti a identifikácia klasickým spôsobom, prostredníctvom občianskeho preukazu. 3.2 Hodnotenie aktuálneho stavu Súčasný stav je možné zhrnúť nasledovne: Občan sa v osobnom styku preukazuje neelektronickým občianskym preukazom, ktorý neobsahuje čip, t.j. neumožňuje použitie v elektronickom styku. V elektronickom styku sa v súčasných systémoch VS používa autentifikácia menom a heslo, ktorá z bezpečnostného hľadiska neumožňuje dostatočne spoľahlivo a neodmietnuteľne overiť skutočnú identitu používateľa a navyše je nutná osobná návšteva s cieľom fyzicky overiť údaje na občianskom preukaze a tieto spárovať s prihlasovacím menom a heslom. Neexistuje centralizovaný register identít spolu so spoľahlivými autentifikačnými informáciami, ktoré by bolo možné použiť na centralizované overenie identity fyzickej osoby k službám egovernmentu tak, ako je požadované v NKIVS. Na vytváranie zaručeného elektronického podpisu je potrebné certifikované hardvérové zariadenie. Kľúčový pár určený na vyhotovovanie a overovanie elektronického podpisu nie je možné použiť na identifikáciu/autentifikáciu pri prístupe k službám egovernmentu. Bezpečný, resp. autentifikačný elektronický certifikát pre autentifikáciu nie je legislatívne ani technicky zavedený. Rodné číslo používané v súčasných občianskych preukazoch pre svoje nedostatky vyplývajúce zo vzťahu k ich držiteľovi a obsahu dodatočných identifikujúcich informácií o napr. veku a pohlaví držiteľa, nie je vhodným jednoznačným identifikátorom. Ako preukaz poistenca sa v súčasnosti používa papierový doklad bez fotografie držiteľa. 3.3 Návrh zmeny V rámci návrhu elektronickej identifikačnej karty sú definované tieto požiadavky: zaviesť eid kartu, ktorá by umožňovala elektronický styk s orgánmi verejnej správy a zároveň by slúžila ako fyzický prostriedok (preukaz) v neelektronickom styku pre občanov SR ako aj pre cudzincov s povoleným pobytom na území SR, eid karta bude slúžiť na identifikáciu voči verejnej správe tak v osobnom ako aj v elektronickom styku, 19

na karte budú laserom vygravírované údaje o držiteľovi spolu s fotografiou, pričom čistopis karty spĺňa požiadavky na bezpečnosť (bezpečnostné prvky znemožňujúce falšovanie), na elektronickom čipe kartu bude zapísaný autentifikačný certifikát používateľa, ktorý bude využívaný na autentifikáciu pri prístupe k službám egovernmentu a VS, čip eid karty bude spĺňať podmienky NBÚ na bezpečné zariadenie (v zmysle zákona o elektronickom podpise) tak, aby ju bolo možné použiť na uchovanie kvalifikovaného certifikátu a vytváranie zaručeného elektronického podpisu, na karte bude uložený kvalifikovaný certifikát na vytváranie elektronického podpisu, na certifikáte sa bude nachádzať identifikátor fyzickej osoby vhodný pre účely použitia na tieto účely, eid karta bude spĺňať podmienky NBÚ na bezpečné zariadenie tak, aby ju bolo možné použiť na šifrovanie a dešifrovanie údajov, na karte bude uložený certifikát na šifrovanie a dešifrovanie, eid by v budúcnosti mohol nahradiť identifikačné vlastnosti preukazu poistenca (HIC karty) preukazujúceho príslušnosť držiteľa ku konkrétnej zdravotnej poisťovni. Zavedenie takejto eid karty umožní: elektronický prístup na ÚPVS pre styk s verejnou správou, umožnenie využívania elektronických služieb verejnosťou, urýchlenie procesu, zvýšenie komfortu handicapovaným občanom, zabezpečenie využívania služieb spojených s poskytovaním zdravotnej starostlivosti, zabezpečenie využívania elektronických služieb iných rezortov. 20

4 Navrhnuté riešenie 4.1 Popis navrhovaného riešenia Pre dosiahnutie vyššie uvedených cieľov je navrhované vybrať vhodné zariadenie, ktoré integruje definovanú funkcionalitu v jednom celku. Na základe analýzy požiadaviek a potrieb pre eid a preukaz poistenca (ďalej len HIC ), definovaných v kap. 3.1.1, možno konštatovať, že ide o rovnaké požiadavky z technologického a funkčného pohľadu. Ide o nasledovné požiadavky: eid aj HIC majú spoločnú požiadavku na jednoznačnú identifikáciu osoby, t.j. držiteľa karty, resp. preukazu poistenca. Navyše súčasný papierový preukaz poistenca neobsahuje fotografiu, takže nie je možné bez použitia iného dokladu totožnosti s fotografiou (napr. občianskeho preukazu) jednoznačne určiť totožnosť fyzickej osoby. Z uvedeného pohľadu sa zlúčenie funkcionality eid a HIC javí ako rozumné a efektívne pre splnenie požiadavky jednoznačnej identifikácie osoby, ktorú eid plne zabezpečuje. Požiadavky na elektronickú identifikáciu a autentifikáciu eid a HIC sú úplne rovnaké. Jedinou podmienkou na realizáciu uvedenej požiadavky je akceptovanie jedného, spoločného autentifikačného certifikátu pre všetky egovernment služby vrátane ehealth služieb. Z bezpečnostných a organizačných dôvodov by bolo vhodné aby tento certifikát bol súčasťou eid už pri jeho vydaní a aby ho vydávalo MVSR. Taktiež požiadavka na vyhotovenie ZEP pomocou eid alebo pomocou HIC je rovnaká. Podmienkou je podobne ako pri autentifikačnom certifikáte akceptovanie akéhokoľvek kvalifikovaného certifikátu vydaného v zmysle platnej legislatívy o elektronickom podpise. Požiadavka na možnosť šifrovania pomocou kľúča uloženého v eid alebo HIC sa taktiež v ničom nelíši. Pokiaľ by z bezpečnostných alebo iných dôvodov existovala alebo v budúcnosti vnikla požiadavka na použitie iného šifrovacieho kľúča napr. pre egovernment služby a ehealth služby, nie je problém na eid doplniť požadovaný počet kryptovacích kľúčov pre zabezpečenie uvedenej požiadavky. Jedinou rozdielnou požiadavkou je informácia o príslušnosti držiteľa ku konkrétnej zdravotnej poisťovni, ktorá je uvedená v zdravotnom preukaze ale nenachádza sa v eid. Táto požiadavka môže byť realizovaná doplnením uvedenej informácie: na čip, t.j. vedenie tejto informácie len v elektronickom svete, na obal eid. V prípade, že bude informácia o príslušnosti k poisťovni doplnená aj na obal eid je potrebné počítať s možnosťou zmeny poisťovne raz za rok. Z tohto dôvodu bude potrebné na konci kalendárneho roka vydať nové eid, nakoľko na polykarbonátovú vrstvu nie je možné robiť zmeny (po vykonaní potlače je na kartu nanesená ochranná vrstva). Zároveň bude potrebné vhodným mechanizmom ošetriť obdobie, kedy držiteľ bude mať vydané nové eid ale ešte bude poistencom pôvodnej zdravotnej poisťovne (vydanie nového eid totižto nemôže prebehnúť na 21

počkanie behom pár sekúnd na prelome rokov, kedy zaniká poistenie jednou poisťovňou a od 1.1. je poistenie kryté novou poisťovňou). Taktiež občan nemôže byť držiteľom dvoch občianskych preukazov súčasne. Doplnením informácie o príslušnosti k zdravotnej poisťovni len na čip síce poskytovateľ zdravotnej starostlivosti stráca možnosť vizuálne túto informáciu zistiť, na druhej strane má možnosť ju zistiť elektronicky, čo zároveň umožňuje: jej strojové spracovanie a automatické doplnenie do zdravotného záznamu, prípadne receptu a pod., jej prípadnú on-line verifikáciu voči centrálnemu systému. V urgentných prípadoch poskytnutia zdravotnej starostlivosti, kedy nie sú k dispozícii technické prostriedky na získanie uvedenej informácie, ani nie je potrebné túto informáciu získavať, pretože jej hodnota nemôže byť prekážkou na poskytnutie urgentnej zdravotnej starostlivosti. Túto informáciu je možné získať až následne pri poskytovaní ďalších foriem zdravotnej starostlivosti, kedy sú k dispozícii aj technické prostriedky na jej zistenie. Bezpečnosť voči neautorizovaným zmenám je možné zabezpečiť prístupovým PIN kódom pre zápis požiadavky na čip do konkrétneho dátovo-adresného priestoru, kedy týmto kódom bude disponovať len vydavateľ eid. Zmena príslušnosti k zdravotnej poisťovni bude môcť byť vykonaná bez nutnosti vydania novej eid karty, t.j. vykoná sa len zmena v príslušnom dátovo-adresnom priestore, ktorá môže obsahovať aj informáciu a dobe, resp. konci platnosti pôvodného poistenia a dobe, resp. začiatku platnosti nového poistenia. Poznámka: Vzhľadom na uvedené skutočnosti, najmä spoločné vlastnosti a požiadavky na eid a HIC, sa v ďalšom texte navrhnuté riešenie pre eid týka aj HIC. Ak bude potrebné zdôrazniť niektoré vlastnosti alebo požiadavky HIC (najmä požiadavku HIC na uvedenie informácie o príslušnosti k zdravotnej poisťovni), bude to uvedené v príslušnom texte. 4.1.1 eid karta Základným kritériom pre návrh riešenia eid karty je bezpečnosť, ktorá je nevyhnutným kritériom pre možnosť zavedenia eid karty (tzv. KO kritérium). Z možných autentifikačných mechanizmov (meno/heslo, jednorázové heslá a certifikáty) vzhľadom na možnosť naplnenia bezpečnostných kritérií navrhujeme použitie certifikátov pre autentifikáciu. Tento autentifikačný mechanizmus je preferovaný podľa IDABC štúdie vo 28 krajinách EÚ. Ostatné mechanizmy nebudeme v tejto štúdii vzhľadom na ich nedostatočnú bezpečnosť pre účely neodškriepiteľnosti (neodmietnuteľnosti non-repudiation) vykonanej autentifikácie ďalej uvažovať. 22

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář