mojeid pravidla 1. Vyhlašovatel... 1 2. Vymezení pojmů... 1 3. Předmět a účel motivačního programu... 2 4. Podmínky účasti v programu... 2 5. Práva a povinnosti... 2 5.1. Poskytovatel... 2 5.2. Vyhlašovatel... 2 6. Finanční odměny, podmínky a způsob jejich vyplácení... 3 6.1. Výše finančních odměn... 3 6.2. Výplata odměn... 3 7. Trvání programu... 3 8. Způsob komunikace... 3 9. Závěrečná ustanovení... 4 9.1. Vyhlášení programu... 4 9.2. Ukončení programu... 4 9.3. Právní rámec programu... 4 10. Přílohy... 4 1. Vyhlašovatel CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2 IČ: 67985726 DIČ: CZ67985726 Zapsáno v registru zájmových sdružení právnických osob u Magistrátu hl. m. Prahy, č. reg. ZS 30/3/98. 2. Vymezení pojmů Služba: je otevřený decentralizovaný a svobodný systém pro správu elektronické identity Uživatelů umožňující používání jednotných identifikačních údajů pro přístup k různým informačním systémům provozovaným různými Poskytovateli. Poskytovatel: fyzická nebo právnická osoba provozující systémy, do nichž umožňuje vstup třetím osobám s využitím Služby. Uživatel: fyzická nebo právnická osoba, která užívá Službu. Registr identit: informační systém provozovaný Vyhlašovatelem, který obsahuje údaje o Kontaktech. Registr identit může být spojen s centrálním registrem, který Vyhlašovatel provozuje jako databázi o doménových jménech, jejich držitelích a dalších osobách, případně může být s centrálním registrem identický. 1
3. Předmět a účel motivačního programu Za účelem rozšiřování počtu Uživatelů Služby se Vyhlašovatel zavazuje za podmínek určených těmito pravidly odměnit ty Poskytovatele, kteří zavedou ve svých systémech používání Služby a umožní svým uživatelům založení účtu mojeid (uživatelského účtu Služby), a to pomocí údajů, které příslušný uživatel má již uloženy v systému Poskytovatele a které budou převedeny do Registru identit. Pro účely plnění Vyhlašovatele dle těchto pravidel se založeným účtem mojeid rozumí účet mojeid identifikovaný nebo podmíněně identifikovaný dle čl. 3.3. Pravidel poskytování služby mojeid pro koncové uživatele 1. 4. Podmínky účasti v programu Programu se může zúčastnit takový Poskytovatel, který má s Vyhlašovatelem uzavřenou Smlouvu o užití služby mojeid pro přihlášení k systémům poskytovatele, zavede Službu do svých systémů tak, že taková aplikace bude splňovat požadavky dle přílohy č. 1 těchto Pravidel, bude předávat data svých uživatelů speciálním rozhraním dle přílohy č. 2 těchto Pravidel. Náklady spojené s účastí v programu nese Poskytovatel, který nemá nárok na jejich úhradu ani v případě předčasného ukončení programu. 5. Práva a povinnosti 5.1. Poskytovatel 5.2. Vyhlašovatel Poskytovatel je oprávněn uspořádat na vlastní náklady komunikační kampaň směrem ke svým uživatelům tak, aby je motivoval k zakládání uživatelských účtů Služby; rozsah i forma této kampaně je libovolná a závisí na uvážení a možnostech každého Poskytovatele; na žádost poskytne Vyhlašovatel Poskytovateli sadu komunikačních materiálů (text, grafika a podobně), které bude moci Vyhlašovatel za tímto účelem použít; Poskytovatel nesmí provádět zakládání uživatelských účtů Služby bez vědomí a souhlasu svých uživatelů. Porušením této povinnosti zaniká nárok na vyplacení dosažených odměn. Pokud tato skutečnost vyšla najevo až po jejich vyplacení, je takový Poskytovatel povinen vyplacené odměny na výzvu Vyhlašovatele a v jím stanovené přiměřené lhůtě v plné výši vrátit; Poskytovatel je povinen upozornit Uživatele na předání údajů účtu Uživatele u Poskytovatele do uživatelského účtu služby mojeid. Vyhlašovatel je oprávněn v průběhu programu provádět vlastní komunikační aktivity spojené se Službou 1 Vhodným prostředkem pro ověření dokončení procesu identifikace nebo podmíněné identifikace může být ověření prostřednictvím přihlášení nově vytvořeným účtem Služby do systému Poskytovatele. 2
6. Finanční odměny, podmínky a způsob jejich vyplácení 6.1. Výše finančních odměn Za každý založený uživatelský účet Služby, který bude založen prostřednictvím údajů uložených v systému Poskytovatele a jehož data budou předána v souladu s ustanoveními těchto Pravidel, vzniká Poskytovateli nárok na odměnu ve výši 50,-- Kč za každý uživatelský účet Služby. 6.2. Výplata odměn 6.2.1. Počty založených uživatelských účtů a dosažená výše odměn se evidují za kalendářní měsíc. Každý Poskytovatel obdrží do 10. pracovního dne následujícího kalendářního měsíce přehled s uvedením počtu založených účtů a celkovou výši dosažené odměny. 6.2.2. Odměna je vyplacena Poskytovateli, jehož výše odměny za kalendářní měsíc dosáhne alespoň 1 000,-- Kč (dále jen minimální výše odměny ), a to na základě jím řádně vystaveného daňového dokladu (faktury). Tento daňový doklad musí být Vyhlašovateli doručen nejpozději do 20. dne kalendářního měsíce, bezprostředně následujícího po měsíci, za který má být odměna vyplacena. Není-li daňový doklad Vyhlašovateli doručen v této lhůtě, nárok na výplatu odměny zaniká. 6.2.3. Poskytovatel, který za kalendářní měsíc nedosáhne minimální výše odměny, může uplatnit nárok na vyplacení v okamžiku, kdy této výše dosáhne součet všech doposud dosažených a nevyplacených odměn, a to daňovým dokladem doručeným Vyhlašovateli nejpozději do 20. dne kalendářního měsíce, bezprostředně následujícího po měsíci, kdy bylo minimální výše odměny dosaženo. Není-li daňový doklad Vyhlašovateli doručen v této lhůtě, nárok na výplatu odměny zaniká. 6.2.4. Odměny nedosahující minimální výše se nevyplácejí, a to ani po skončení programu. 7. Trvání programu Program trvá od 15. 6. 2011 do okamžiku založení 100 000. uživatelského účtu Služby bez ohledu na to, který z poskytovatelů programu se účastnících jej dosáhl nebo do 31. 12. 2012, podle toho, jaká z těchto událostí nastane dříve. 8. Způsob komunikace Komunikace mezi Poskytovatelem a Vyhlašovatelem probíhá zásadně elektronicky. Vyhlašovatel pro komunikaci s Poskytovatelem používá e-mailovou adresu uvedenou v uzavřené Smlouvě o užití služby mojeid pro přihlášení k systémům poskytovatele. 3
9. Závěrečná ustanovení 9.1. Vyhlášení programu Program se vyhlašuje prostřednictvím webové stránky vyhlašovatele www.nic.cz a www.mojeid.cz. 9.2. Ukončení programu Vyhlašovatel si ponechává právo program ze závažných důvodů kdykoli zrušit. Zrušení bude provedeno prostřednictvím webových stránek vyhlašovatele použitých pro vyhlášení programu. 9.3. Právní rámec programu Program se řídí platnými právními předpisy České republiky. 10. Přílohy Příloha č. 1 Všeobecné principy podpory Služby Příloha č. 2 Technická specifikace rozhraní pro zakládání uživatelských účtů Služby 4
Příloha č. 1 - Všeobecné principy podpory služby mojeid Zavedení služby mojeid do webové aplikace Poskytovatele se musí řídit následujícími pravidly: 1. Přihlášení přes mojeid se výrazně liší od všech ostatních způsobů přihlašování, proto je nutné zajistit zřetelné vizuální oddělení od jiných přihlašovacích metod. Okno pro přihlášení přes mojeid musí dodržovat následující pravidla (viz obrázek níže): 1.1. Formulář bude obsahovat pole pro vložení username (uživatelské jméno). Toto pole bude doplněno fragmentem.mojeid.cz v needitovatelné části formuláře. 1.2. Pole pro vložení uživatelského jména bude doplněno o grafickou ikonou id 1.3. Formulář či okno bude vhodně doplněno o odkazy Proč mojeid? příp. Založit účet mojeid směřující na odpovídající text umístěný na webové stránce www.mojeid.cz. 2. Při každém přihlášení přes mojeid se předávají údaje o uživateli. Pokud má Poskytovatel tyto údaje uloženy v lokálním účtu, musí je při každém přihlášení přes mojeid aktualizovat těmi novými tak, aby uživatel viděl v aplikaci Poskytovatele své aktuální údaje z mojeid. 3. Všechny údaje, které jsou v systému Poskytovatele považovány za povinné a bez jejichž zadání nelze začít službu Poskytovatele používat, musí být vyžadovány jako povinné také při přihlašování prostřednictvím služby mojeid. 4. Přihlášení prostřednictvím služby mojeid nesmí být použito pouze jako prostředek pro vyplnění registračního formuláře pro běžné založení účtu v systému Poskytovatele. 5. Implementace služby mojeid musí zajistit propojení již existujících a používaných zákaznických účtů s mojeid identitou, a to konkrétně těmito způsoby: 5.1. Uživatel se nejdříve přihlásí přes mojeid v případě, že se jedná o vůbec první přihlášení dotyčného uživatele s použitím identity mojeid (tzn. uživatelského účtu ve službě mojeid), musí 5
být po provedení přihlášení a návratu do aplikace Poskytovatele nabídnuta možnost spárovat s již existujícím lokálním účtem v aplikaci Poskytovatele. 5.2. Uživatel se nejdříve přihlásí lokálním účtem - V případě, že se uživatel přihlásí nejprve lokálním účtem, musí mít možnost v administraci účtu připojit k tomuto účtu mojeid identitu. 6
Příloha č. 2 - Technická specifikace rozhraní pro zakládání uživatelských účtů Služby Tato kapitola popisuje mechanismus registrace mojeid účtů ze systémů Poskytovatelů. Poskytovatelé mohou tento mechanismus nabídnout svým uživatelům za účelem převedení u nich evidovaných údajů do mojeid. Základní proces je následující: 1. Uživatel si v systému Poskytovatele zvolí možnost založit mojeid se zvoleným uživatelským jménem. Výběr této možnosti vygeneruje v prohlížeči uživatele HTTPS POST požadavek na registrační server na adrese https://mojeid.fred.nic.cz/registration/endpoint/. V parametrech požadavku jsou spolu s požadovaným uživatelským jménem všechny evidované údaje o daném uživateli (jejich seznam a formát je v příloze) a navíc: identifikátor (realm) volitelné URI splňující podmínky v příloze, přičemž mělo by se jednat o stejnou hodnotu, která se používá pro OpenID přihlašování k službě MojeID jednoznačný identifikátorem transakce (registration_nonce) slouží ke spárování odpovědi na tento požadavek Poskytovatel má možnost volbou adresy https://mojeid.fred.nic.cz/transfer/endpoint/ nabídnout uživateli převod existujícího kontaktu v centrálním registru. V takovém případě se ignorují zaslané údaje o uživateli a musí být vyplněno uživatelské jméno. Uvedené adresy jsou validní pro testovací provoz a je tedy možné je používat libovolně. Účty vzniklé v rámci testování se nezapočítávají do motivačního programu. Při spuštění motivačního programu budou k dispozici následující adresy: nový účet: https://mojeid.cz/registration/endpoint/ převod existujícího účtu: https://mojeid.cz/transfer/endpoint/ 2. Registrační server zobrazí uživateli formulář zobrazující seznam údajů, které se po registraci vloží do mojeid. U základních údajů se zobrazí i hodnota a je možné je změnit. V případě volby transferu je možné změnit jenom uživatelské jméno. Dále na tomto formuláři uživatel: vybere metodu, jakou chce být ověřen (SMS, dopis) odsouhlasí podmínky služby zvolí, zda chce dostávat novinky o mojeid bude ověřen pomocí CAPTCHA 4. Registrační server po odeslání formuláře zkontroluje validitu dat a nechá uživatele opravit chyby. V případě validity dat je zahájen proces registrace nového účtu. Do tohoto účtu registrační server 7
uloží požadovaná data a připojí identifikaci. Následně je zahájena identifikace odesláním PIN1 a PIN2. 5. Registrační server se pokusí informovat o úspěšné registraci. S pomocí URI, jež označuje, se pokusí nalézt XRDS dokument s alespoň jedním <xrd:service> elementem obsahujícím elementy <xrd:type> s hodnotou http://specs.nic.cz/registration/assert_url a <xrd:uri> s URL, na které se zašle informace o registraci. Během tohoto procesu nesmí dojít k přesměrování a výsledná URL musí ležet v URI poskytovatele služeb, viz http://openid.net/specs/openid-authentication-2_0.html#realms 6. Poskytovateli je poslán přímo HTTPS POST zpráva na rozhraní, jehož adresy byly zjištěny v bodě 4. Obsahem zprávy jsou tři parametry: registration_nonce - jednoznačný identifikátor transakce zkopírovaný z bodu 1 pro spárováni s původním požadavkem claimed_id - zvolený mojeid identifikátor uživatele status - hodnota REGISTERED Poskytovatel musí tuto zprávu nejprve ověřit: - musí zkontrolovat, že zpráva byla doručena na některou z adres zjištěných v bodě 2 - musí ověřit, že response_nonce byla opravdu vytvořena v bodě 1 - musí ověřit, že klientský certifikát, který byl použit pro vytvoření SSL tuneluje platný a podepsaný cetifikační autoritou CZ.NIC. Její certifikát je dostupný na adrese http://www.mojeid.cz/page/877/motivacni-program-pro-poskytovatele-sluzeb/ Pokud jsou splněny všechny požadavky, může Poskytovatel při zpracování této zprávy spárovat mojeid identifikátor se svým záznamem o uživateli pro účely autentizace přes mojeid. Pokud není možné zaslat tuto zprávu bezpečným způsobem protokolem HTTPS, pokračuje registrace bez zaslání této zprávy. 6. Poskytovatel odešle odpověď na zprávu z bodu 5 v těle http odpovědi ve formátu klíč-hodnota dle bodu 4.4.1 OpenID protokolu: - výsledek (mode) hodnota accept nebo reject značící zda uživatelův účet byl úspěšně spárován - důvod zamítnutí (reason) - nepovinný parametr obsahující důvod, proč k párování nedošlo Pokud nebude odpověď poslána ve správném formátu, bude zpráva s výsledkem registrace poslána na další adresu z bodu 2 dokud nebude získána odpověď nebo nebudou adresy vyčerpány. 8
6. Registrace pak pokračuje buď přímou výzvou k vyplnění PIN1 a PIN2 a vstoupením do profilu nebo je uživateli zobrazena informace a dokončení registrace. Pokud má poskytovatel služeb rozšířený přístup, budou mu zasílány informace i o změně stavu uživatelova účtu. Tyto zprávy jsou posílány podobně jako v bodě 5, se dvěma parametry v každé zprávě: claimed_id - zvolený mojeid identifikátor uživatele status - jedna z hodnot CONDITIONALLY_IDENTIFIED, IDENTIFIED, VALIDATED Odpověď je očekávána ve stejném tvaru jako v bodě 6. Pokud selže odesílání této zprávy nebo na ni nebude správně odpovězeno, bude informace o změně stavu zaslána opakovaně. 9
Doporučený postup implementace Poskytovatel služeb musí implementovat tři komponenty ve svém systému: 1. V autentizovaném režimu uživatele přidat možnost odeslání HTTP(S) POST zprávy z uživatelova prohlížeče obsahující data uživatele na registrační server. 2. Zveřejnit XRDS dokument obsahující adresu pro zaslání výsledku registračního procesu. 3. Implementovat HTTPS rozhraní pro příjem zpráv s výsledkem registračního procesu. Formát registračního požadavku Povinné: realm url odpovídající definici ze specifikace OpenID Authentication 2.0. registration_nonce řetězec o maximální délce 255 znaků Volitelné: username řetězec o maximální délce 30 znaků odpovídající regulárnímu výrazu ^[a-z0-9](-?[a-z0-9])*$ first_name, last_name řetězec o maximální délce 50 znaků birth_date datum ve formátu RFC3339 (YYYY-MM-DD) address default street1, address default street2, address default street3, address default city, address default state, address billing street1, address billing street2, address billing street3, address billing city, address billing state, address shipping street1, address shipping street2, 10
address shipping street3, address shipping city, address shipping state, address mailing street1, address mailing street2, address mailing street3, address mailing city, address mailing state řetězec o maximální délce 200 znaků address default postal_code, address billing postal_code, address shipping postal_code, address mailing postal_code řetězec o maximální délce 50 znaků address default country, address billing country, address shipping country, address mailing country kód země podle ISO3166 email default email, email notify email, email next email emailová adresa ve formátu podle RFC2822 o maximální délce 200 znaků phone default number, phone office number, phone mobile number, phone home number, phone fax number řetězec odpovídající regulárnímu výrazu: ^\+[0-9]{1,3}\.[0-9]{1,14}$ id_card_num, passport_num, ssn_id_num řetězec o maximální délce 50 znaků organization řetězec o maximální délce 200 znaků vat_reg_num, vat_id_num 11
řetězec o maximální délce 50 znaků imaccount icq username, imaccount skype username, imaccount windows_live username, imaccount jabber username, imaccount google_talk username řetězec o maximální délce 255 znaků urladdress main url, urladdress blog url, urladdress personal url, urladdress office url, urladdress rss url, urladdress facebook url, urladdress twitter url, urladdress linkedin url řetězec o maximální délce 255 znaků 12
Formát XRDS dokumentu Tento dokument musí být dostupný na poskytnuté adresy (realm) stejným způsobem jako je to ve specifikaci OpenID Authentication 2.0 a musí obsahovat url adresu rozhraní, na které lze zaslat potvrzení o registraci. Vzorový dokument: <xrds:xrds xmlns:xrds="xri://$xrds" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service> <Type>http://specs.nic.cz/registration/assert_url</Type> <URI>URL rozhraní</uri> </Service> </XRD> </xrds:xrds> Formát odpovědi na registraci claimed_id url odpovídající definici ze specifikace OpenID Authentication 2.0. registration_nonce řetězec o maximální délce 255 znaků okopírovaný z požadavku. 13
Možnosti přizpůsobení vzhledu aplikace Poskytovatelé služeb mají možnost přizpůsobit některé vizuální vlastnosti aplikace podle svých potřeb. Přizpůsobení je realizováno zasláním hodnot následujících parametrů v textovém souboru e-mailem na adresu mojeid@nic.cz. Parametry musí být ve formátu název: hodnota, a to pro každý parametr na samostatném řádku. Spolu s parametry je třeba zaslat také identifikátor (realm). Těmito parametry bude modifikován CSS styl registračního formuláře, aktivačního formuláře, případně přihlašovacího formuláře pro všechny účty, které vzniknou ze systémů těchto poskytovatelů služeb. Následující přehled podporovaných parametrů je rozdělen do několika skupin podle významu parametru. Popis každého parametru začíná jeho názvem a k tomuto parametru dále zobrazuje jeho popis, vzorovou hodnotu a výsledný kód, který se promítne do CSS nebo HTML. Návod, jak si otestovat toto přizpůsobení a postup jak připravit seznam parametrů, je v přiloženém balíčku. Logo: - logo_src - URL obrázku - vzor: https://www.nic.cz/media/nic/gfx/logo_cs2.gif - výsledné HTML: <img src="<logo_src>" /> - href - URL na vlastní homepage - vzor: http://www.nic.cz/ - výsledné HTML: <a href="<href>"><img src="<logo_src>" /></a> Hlavní styly: - body_background_color 14
- barva pozadí stránky - vzor: #eeeeee body { background: <body_background_color>; } - text_color - barva textu - vzor: #666666 body, input, select, textarea, button { color: <text_color>; } - font_size - velikost textu (mimo hlavičku, atd.) - vzor 1: 14px - vzor 2: 75% - vzor 3: 1em body { font-size: <font-size>; } - font_family - typ fontu - vzor: Georgia, "Times New Roman", serif *, body input, body textarea, body select, body button { font-family: <font-family>; } 15
- link_color - barva odkazů - vzor: #666666 a, a:visited { color: <link_color>; } - link_hover_color - barva linku při přejetí myší - vzor: #00667D a:hover { color: <link_hover_color>; } Styly hlavičky: - header_background_color - pozadí hlavičky (blok s logem) - vzor: #ffffff #header { background: <header_background_color>; } - header_color - barva textu v hlavičce - vzor: #666666 16
#header { color: <header_color>; } #editor #header #account li { border-color: <header_color>; } - header_link_color - barva odkazů v hlavičce (t.j.. "Support", "Log out") - vzor: #666666 #header a, #header a:visited { color: <header_link_color>; } - header_link_hover_color - barva linku v hlavičce při přejetí myší - vzor: #00667D #header a:hover { color: <header_link_hover_color>; } - header_margin - okraje v hlavičce - vzor 1: 0px 0px -15px - vzor 2: 15px 0px #header { margin: <header_margin>; } Styly navigačního bloku: - nav_margin - okraje navigačního bloku 17
- vzor: 0px -15px #nav { margin: <nav_margin>; } - nav_background_color - barva pozadí v navigačním bloku - vzor: #00667D #nav { background-color: <nav_background_color>; } - nav_color - barva odkazů v navigačním bloku - vzor: #ffffff #nav a, #nav a:visited { color: <nav_color>; } - nav_active_background_color - barva pozadí zvýrazněné položky v navigačním bloku (např. aktuální stránka) - vzor: #11778E #nav.active { background-color: <nav_active_background_color>; } - nav_active_color - barva textu zvýrazněné položky v navigačním bloku (např. aktuální stránka) - vzor: #ffffff 18
#nav.active a, #nav.active a:visited { color: <nav_active_color>; } Styly obsahu: - content_background_color - barva pozadí obsahu (tj. hlavní blok textu mimo hlavičku a patičku) - vzor: #ffffff #content { background-color: <content_background_color>; }.js.popup { background-color: <content_background_color>; } - wrapper_width - šířka hlavního centrálního bloku na registračním formuláři a v profilu (doporučuje se víc než 900px) - vzor 1: 940px - exmaple 2: 85% #wrapper { width: <wrapper_width>; } - auth_wrapper_width - šířka hlavního centrálního bloku na přihlašovacím formuláři - vzor: 450px #auth #wrapper { width: <auth_wrapper_width>; } 19
#auth #wrapper.form-table { width: <auth_wrapper_width>; } Styly patičky: - footer_background_color - barva pozadí v patičce - vzor: #00667D #footer { background-color: <footer_background_color>; } - footer_color - barva textu v patičce - vzor: #ffffff #footer { color: <footer_color>; } - footer_outer_border_top - horní vnější okraj patičky - vzor 1: none - vzor 2: 1px dotted #000 #footer { border-top: <footer_outer_border_top>; } - footer_inner_border_top - horní vnitřní okraj patičky 20
- vzor 1: none - vzor 2: 15px solid #afbd21 #footer-wrapper { border-top: <footer_inner_border_top>; } Styly tlačítek: - button_background_color - barva pozadí hlavních tlačítek ("Save", "OK", "Create an account", etc.) - vzor: #00667D.button { background-color: <button_background_color>; } - button_color - barva textu hlavních tlačítek - vzor: #ffffff.button,.button:visited { color: <button_color>; } - button_border_color - barva okraje hlavních tlačítek (šířka okraje je nastavena na parametry 1px solid) - vzor: #00556C.button { border-color: <button_border_color>; } - button2_background_color 21
- barva pozadní dalších tlačítek ("Cancel", etc.) - vzor: #ffffff.button-2 { background-color: <button2_background_color>; } - button2_color - barva textu dalších tlačítek - vzor: #666666.button-2,.button-2:visited { color: <button2_color>; } - button2_border_color - barva okraje dalších tlačítek (šířka okraje je nastavena na parametry 1px solid) - vzor: #666666.button-2 { border-color: <button2_border_color>; } Další styly: - main_heading_color - barva hlavní hlavičky stránky - vzor: #00667D h2 { color: <main_heading_color>; } 22
#editor h5 { border-color: <main_heading_color>; color: <main_heading_color>; }.js.popup h5 { background-color: <main_heading_color>; } - fields_border_color - barva okraje vstupních, výběrových a textových polí - vzor: #dddddd input[type="text"], input[type="password"], select, textarea { border-color: <fields_border_color>; } 23