Parametrizácia ePodania
Obsah
1 Charakteristika oblasti........................................................................................... 2
1.1 Slovníček pojmov a skratiek................................................................................................. 2
1.2 Základný rámec parametrizácie ePodania....................................................................... 2
1.3 Aktuálne implementovaná ePodania................................................................................ 3
2 Nastavenia.............................................................................................................. 4
2.1 Externé organizácie................................................................................................................ 4
2.2 Verejné rozhrania pre elektronickú komunikáciu....................................................... 4
2.3 Parametrizácia podania......................................................................................................... 4
2.4 Certifikáty................................................................................................................................... 5
Tento dokument predstavuje základný rámec parametrizácie procesov elektronickej komunikácie, najmä pre oblasť komunikácie medzi zamestnávateľmi a orgánmi verejnej moci prostredníctvom ePodania.
Elektronická komunikácia medzi jednotlivými subjektmi je z hľadiska legislatívy na úrovni EÚ zaštítená nariadením č. 910/2014 o elektronickej identifikácii a službách vytvárajúcich dôveru pre elektronické transakcie (eIDAS). Nariadenie eIDAS stanovilo rámec, ktorý má zabezpečiť, aby elektronické interakcie medzi jednotlivými subjektmi (občanmi, firmami, orgánmi verejnej moci) boli bezpečnejšie, rýchlejšie a účinnejšie bez ohľadu na to, v akej európskej krajine sa nachádzajú.
V rámci českej legislatívy je potom táto oblasť riešená najmä v rámci týchto noriem:
· Zákonom č. 297/2016 Zb. o službách vytvárajúcich dôveru pre elektronické transakcie
· Zákonom č. 300/2008 Zb. o elektronických úkonoch a autorizovanej konverzii dokumentov, ktorý rieši dátové schránky, spadajúce pod služby elektronického doporučeného doručovania
· Zákonom č. 250/2017 Zb . o elektronickej identifikácii
|
Pojem |
Popis |
|
CA |
Certifikačná autorita |
|
DS |
Dátová schránka |
|
eIDAS |
nariadením č. 910/2014 o elektronickej identifikácii a službách vytvárajúcich dôveru pre elektronické transakcie |
|
ISDS |
Informačný systém dátových schránok |
|
OVM |
Orgány verejnej moci |
|
ZP |
Zdravotné poisťovne |
Na zabezpečenie procesov elektronickej komunikácie medzi zamestnávateľom a orgánmi verejnej moci je potrebné v rámci EGJE definovať vybrané objekty:
· Základné identifikačné, kontaktné a klasifikačné údaje komunikujúcich subjektov, teda zamestnávateľa (organizácie, správne jednotky) a orgány verejnej moci
· Nastavenie API dedikovaných pre elektronickú komunikáciu medzi týmito subjektmi
· Nastavenie procesov jednotlivých ePodaní
· Evidencia prostriedkov na zaistenie bezpečnej komunikácie, ide najmä o evidenciu certifikátov
|
Oblasť |
Predmet evidencie a parametrizácie |
Formulár |
|
Subjekty: Zamestnávateľ |
Na evidenciu zamestnávateľa je primárne využívaná evidencia organizácie a správnych jednotiek. Tu sú evidované potrebné identifikačné údaje a kontaktné údaje a ďalšie parametrické nastavenia organizácie a správnych jednotiek. |
Adm21 Adm22 |
|
Subjekty: OVM |
Orgány verejnej moci sú evidované v rámci číselníka Externých organizácií. Táto evidencia umožňuje spravovať ich identifikačné údaje (identifikátor OVM), štruktúru pobočiek a ich kontakty, nastavenia potrebné pre oblasť ePodania. |
Adm28 |
|
API tretích strán |
Nastavenie parametrov API a prostriedkov poskytovateľov rozhrania pre ePodanie |
Adm55 |
|
Certifikáty |
Evidencia certifikátov umožňuje spravovať certifikáty, ktoré sú využívané v rámci elektronickej komunikácie. Ide najmä o osobné kvalifikované a komerčné certifikáty, systémové certifikáty na šifrovanie komunikácie, autentizáciu. Formulár Adm27 „Evidencia certifikátov “ je určený pre správu všetkých certifikátov (osobných aj systémových), formulár Opv51 „Osobné certifikáty“ potom slúži iba pre evidenciu osobných certifikátov. |
Adm27 Opv51 |
|
Parametrizácia podania |
Parametrizácia ich využíva na nastavenie parametrov jednotlivých ePodaní a ich krokov, ide najmä o definíciu komunikačného kanálu, určenie spôsobu výberu podacieho miesta, požiadavky na certifikáty, audit atď. Táto parametrizácia je viazaná na implementáciu funkcionalít ePodania a jej definícia je metodicky v kompetencii Elanor a.s. |
Adm60 |
Procesy správy organizácií a správnych jednotiek (najmä formuláre Adm21, Adm22) sú popísané v samostatnej dokumentácii Adm_uzdoc. V rámci tejto dokumentácie sa teda zameriame na procesy evidencie a parametrizáciu orgánov verejnej moci (Externé organizácie), API tretích strán, parametrizácie ePodania a evidencie certifikátov.
|
ePodanie |
Popis |
|
VREP |
Elektronické podanie na ČSSZ cez verejné rozhranie pre ePodanie |
|
ÚP – Príjmy zamestnanca |
Elektronické podanie Príjmov zamestnanca prostredníctvom ISDS |
|
ePN (SP) |
Elektronické podanie pracovných neschopností SK |
Jedným zo subjektov elektronickej komunikácie sú orgány verejnej moci. Zamestnávatelia zo zákona musia v definovanom rozsahu komunikovať s Českou správou sociálneho zabezpečenia, zdravotnými poisťovňami, finančnou správou (resp. finančnými úradmi FÚ), Úradom práce (ÚP), poisťovňami štátom určenými pre poistenie zodpovednosti zamestnávateľa, orgánmi vykonávajúcimi exekúcie, súdmi, Českým štatistickým úradom (ČSÚ) atď.
Popis formulára pozri Adm_uzdoc.
Rad OVM využíva pre elektronickú komunikáciu verejné API, prostredníctvom ktorých je možné dáta posielať, či ich sťahovať. Na komunikáciu týmto kanálom tak potrebujeme mať definované nevyhnutné nastavenia a parametre pre pripojenie k API.
Táto oblasť je v rámci EGJE riešená pomocou formulára Adm55 „Evidencia API a prostriedkov služieb elektronickej identifikácie a autentizácie“, ktorý je určený pre parametrizáciu API tretích strán a služieb, ktoré sú v rámci daného API poskytované.
Popis formulára Adm55 pozri Adm_uzdoc.
Proces ePodania je definovaný radom parametrov:
· s kým komunikujeme – OVM, pobočka OVM
· čo je predmetom komunikácie – obsah dát podania a ich forma
· Komunikačný kanál – verejné rozhranie OVM, ISDS
a sledom krokov, v rámci ktorých je celý proces podania realizovaný. Napr. stiahnutie výzvy OVM a odpoveď na výzvu.
Ako celý proces podania, tak aj jednotlivé kroky podania, môžu mať špecifikované ďalšie parametre ako sú požiadavky na použité certifikáty na zabezpečenie komunikácie, požiadavky na spracovanie dát atď.
Popis formulára Adm60 pozri Adm_uzdoc.
Digitálne certifikáty sú „dokumenty/doklady“, ktoré sú určené na transparentnú identifikáciu jej držiteľa. Ide o digitálne podpísaný verejný šifrovací kľúč, ktorý vydáva certifikačná autorita. Podľa vymedzených účelov použitia môžu byť v rámci elektronickej komunikácie využité na overenie identity protistrany pri nadviazaní zabezpečenej komunikácie, šifrovania dát, podpisu atď.
Pri evidencii certifikátov je potrebné zohľadniť ako požiadavky vyplývajúce z ich použitia v rámci procesov EGJE, tak ich všeobecné parametre a povahu ich životného cyklu, kedy ide o proces začínajúci registráciou u vydávajúcej CA, cez vydanie certifikátu CA na definovanú dobu platnosti až po obnovenie certifikátu (predĺženie platnosti), prípadne zneplatnenie certifikátu (revokácia).
Certifikáty môžeme kategorizovať na základe viacerých kritérií (viď ďalej Certifikačné oprávnenie). Jednou z týchto kategorizácií je členenie certifikátov na:
· Osobné - sú vydávané len fyzickým osobám. Certifikát osvedčuje, že verejný kľúč, ktorý je súčasťou certifikátu, patrí osobe, ktorej identita je uvedená v certifikáte. Zároveň potvrdzuje, že držiteľ certifikátu je vlastníkom zodpovedajúceho súkromného kľúča. Tieto certifikáty sú využívané primárne na podpisovanie.
· Systémové – môžu byť vydané fyzickým aj právnickým osobám (vrátane OVM). Tieto certifikáty sú primárne určené na účely vytvárania elektronických značiek, časových pečiatok a ďalšie účely, ako sú identifikácia serverov, šifrovanie komunikácie so servermi atď.
Na účely procesov riešených v rámci EGJE (komunikácia s úradmi prostredníctvom ePodania, zabezpečenie komunikácie s API tretích strán atď.) je potrebné evidovať ako osobné certifikáty, tak systémové certifikáty. Zároveň je potrebné evidenciu certifikátov nadviazať na ďalšie dátové objekty v EGJE, ktoré umožnia ich napojenie na uvedené procesy a kategorizovať ich z hľadiska potrieb jednotlivých procesov. Čo sa týka napojenia na ďalšie dátové objekty, ide najmä o previazanosť evidencie certifikátov na organizačnú štruktúru, osoby, externé organizácie, API, parametrizáciu ePodania.
Ako už bolo uvedené, certifikát je určitou „obdobou“ dokladu totožnosti, ktorý oprávňuje držiteľa (či už ide o FO alebo PO) k definovaným úkonom (napr. podpis, autentizácia) v rámci zabezpečenej elektronickej komunikácie medzi subjektmi (občanmi, organizáciami/podnikmi a OVM), servery, a to s danou úrovňou dôveryhodnosti. Certifikát tak je spojený s určitými oprávneniami držiteľa v rámci elektronickej komunikácie na danej úrovni dôveryhodnosti po definovanú dobu platnosti vydaného certifikátu. Obnovenie certifikátu priebežne predlžuje platnosť tohto oprávnenia na ďalšie obdobie. Z hľadiska evidencie certifikátu tak rozlišujeme evidenciu
· toho, k čomu certifikát oprávňuje jeho držiteľa v rámci zabezpečenej elektronickej komunikácie (použitie certifikátu) a na akej úrovni dôveryhodnosti = > ďalej Certifikačné oprávnenie
· konkrétnych inštancií certifikátov s definovaným obdobím platnosti = > ďalej Certifikáty vydané
Certifikačné oprávnenie je tak zastrešujúcou evidenciou pre set 1 - N inštancií vydaných certifikátov (prvý vydaný certifikát a nadväzné obnovené certifikáty) danému držiteľovi s danou úrovni dôveryhodnosti a pre definované účely použitia.
Certifikačné oprávnenie a jej základná kategorizácia podľa vybraných kritérií
· Typ certifikátu: ide o detailnejší rozpad základnej klasifikácie certifikátov na osobné a systémové. Z hľadiska riešených procesov je účelné tieto dve hlavné kategórie typu certifikátov (osobné a systémové certifikáty) ďalej členiť detailnejšie na podtypy. Napr. v prípade osobných certifikátov používa daná osoba iný certifikát, pokiaľ podpisuje firemný dokument ako osoba týmto poverená k danému úkonu svojim zamestnávateľom – taký certifikát je vystavený na osobu a firmu (osobný pre organizáciu), alebo či podpisuje dokument za seba čisto ako fyzická osoba, napr. ako zamestnanec podpisuje svoju pracovnú zmluvu, potom je certifikát vystavený len na jeho osobu (osobný).
· Úroveň dôveryhodnosti: tento parameter certifikátu je odvodený od dôveryhodnosti CA, ktorá certifikát vydala a prostriedkov, na akom je certifikát uložený. Certifikát môže byť vydaný kvalifikovanou (resp. akreditovanou) CA na kvalifikovanom prostriedku (úroveň = kvalifikovaná), alebo kvalifikovanou CA na nekvalifikovanom prostriedku (úroveň = uznávaná) alebo neakreditovanou CA (úroveň = zaručená).
· Druh kľúča: Pokiaľ evidujeme certifikáty vydané organizácii a/alebo jej zamestnancom, potom súčasťou použitia certifikátu v rámci procesov EGJE môžu byť aj procesy vyžadujúce súkromný kľúč (napr. podpisovanie). Takýto certifikát je kategorizovaný Druh kľúča = Súkromný. V prípade evidencie certifikátov 3. strán evidujeme iba časť verejného kľúča certifikátu (napr. šifrovacie certifikáty pre komunikáciu s úradmi) az hľadiska kategorizácie ide o Druh kľúča = Verejný
· Druh certifikátu: kvalifikovaný/komerčný. Táto kategorizácia vychádza z toho, či požiadavky na certifikát a jeho obsah sú vymedzené zákonom (t.j. ide o certifikáty kvalifikované, ktoré môžu vydať len kvalifikované CA) alebo nie (t.j. ide o certifikáty komerčné a môžu ich vydať všetky CA). Kvalifikované certifikáty slúžia primárne na podpisovanie a overovanie podpisov a značiek, zatiaľ čo komerčné pokrývajú ostatné účely ako je šifrovanie, identifikácia a autentizácia atď.
Certifikáty vydané – pod certifikačným oprávnením evidujeme jednotlivé vydané certifikáty spadajúce pod dané certifikačné oprávnenie. Evidujeme teda prvý vydaný certifikát a naň nadväzujúce obnovené certifikáty.
Procesy EGJE pracujú primárne s tzv. koncovými certifikátmi, teda certifikátmi vydanými „koncovým používateľom“. Avšak v rámci komunikácie s niektorými subjektmi potrebujeme evidovať aj certifikáty nadradených certifikačných autorít, ktoré certifikát vydali. Ide o tzv. hierarchiu certifikátov. Každý certifikát obsahuje informáciu o svojom vydavateľovi, resp. vystaviteľovi. Teda o certifikačnej autorite, ktorá certifikát vydala. Tento údaj je súčasne aj odkazom na nadradený certifikát, v zmysle stromu dôvery, ktorý vydavateľ použil pri vystavovaní daného certifikátu (pre jeho podpísanie). EGJE umožňuje v týchto prípadoch evidovať pod dané certifikačné oprávnenie certifikáty všetkých úrovní, teda k danému koncovému certifikátu aj certifikáty nadradené (medziľahlý a koreňový).
V rámci aplikácie EGJE sú certifikáty evidované na formulároch Adm27 a Opv51. Evidencia certifikátov na Opv51 je určená pre správu osobných certifikátov ich držiteľmi (zamestnancami). Formulár Adm27 potom slúži na správu všetkých certifikátov, osobných i systémových.
Popis formulára Adm27 pozri Adm_uzdoc, popis formulára Opv51 pozri Opv_uzdoc.