eIDAS autentifikácia osôb z Talianska
Od 10. septembra 2019 je v IAM ÚPVS umožnené prihlasovanie pre zahraničné fyzické osoby s prostriedkami elektronickej identifikácie vydanými v Taliansku v rámci verejného systému digitálnych identít (SPID) na základe schémy elektronickej identifikácie notifikovanej Talianskou republikou. To znamená, že cudzinec s takýmto prostriedkom vydaným niektorým z ôsmych poskytovateľov v Taliansku sa pri dosiahnutí povinnej úrovne zabezpečenia bude môcť prihlásiť na ÚPVS a aj na všetky portály, ktoré prostredníctvom ÚPVS využívajú jednotné prihlásenie (WebSSO).
Pre integrované subjekty je teda pri prihlásení cudzinca z Talianska zabezpečená rovnaká funkčnosť ako v prípade prihlásenia identity používajúcej autentifikátor vydaný v SR podľa § 21 zákona o e-Governmente.
Údaje o cudzincovi sa pri prvom prihlásení zapíšu z eIDAS Node do IAM ÚPVS a vytvorí sa mu s jeho súhlasom elektronická schránka. Identita prihlásená cez eIDAS Node sa v súčasnosti nezapisuje automatizovane do Registra fyzických osôb, a to aj z dôvodu nedostatočných údajov pre takýto zápis. Ako zdroj údajov pre takéto identity je preto potrebné používať IAM ÚPVS.
Prostriedky elektronickej identifikácie zo štátov EÚ sú akceptované na ÚPVS postupne, v súlade s notifikačným procesom v zmysle nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 z 23. júla 2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (ďalej len „Nariadenie eIDAS“):
- od 28. septembra 2018 - Nemecko - umožnené prihlasovanie držiteľom nemeckého eID (občianskeho preukazu s čipom) alebo dokladu o pobyte v Nemecku (úroveň zabezpečenia "vysoká"),
- od 10. septembra 2019 - Taliansko - len použitím talianskeho systému "SPID", ktorý nezahŕňa talianske eID; prihlasovanie s talianskym eID Taliansko pripravuje na rok 2021 (úrovne zabezpečenia "pokročilá", "vysoká")
- od 7. novembra 2019
- Estónsko - eID, doklad o pobyte cudzinca, mobilné ID, diplomatický preukaz, digitálny preukaz,
- Chorvátsko - eID (úroveň zabezpečenia "vysoká"),
- Luxembursko - eID (úroveň zabezpečenia "vysoká"),
- Španielsko - eID (úroveň zabezpečenia "vysoká").
- od 27. decembra 2019 - Belgicko - eID, doklad o pobyte cudzinca (úroveň zabezpečenia "vysoká"),
- od 28. februára 2020 - Portugalsko - eID (úroveň zabezpečenia "vysoká"),
- od 2. mája 2020 - Spojené kráľovstvo - GOV.UK Verify (úroveň zabezpečenia "pokročilá"),
- od 13. septembra 2020
- Česká republika - eID (úroveň zabezpečenia „vysoká“,
- Taliansko - eID (úroveň zabezpečenia „vysoká“),
- Holandsko - eHerkenning (úrovne zabezpečenia „pokročilá", "vysoká“),
- od 18. decembra 2020
- Slovenská republika - eID, doklad o pobyte cudzinca (úroveň zabezpečenia "vysoká"),
- Lotyšsko - eID, eParaksts karte / karte+, eParaksts (mobilná identita), (úrovne zabezpečenia „pokročilá", „vysoká“),
- Belgicko - mobilná aplikácia itsme® (úroveň zabezpečenia „vysoká").
Aktuálny zoznam krajín, ktoré sú v notifikačnom procese eID schém, nájdete na portáli Európskej komisie.
Vzhľadom na požiadavky na minimálny súbor osobných identifikačných údajov určených vo Vykonávacom rozhodnutí Komisie EÚ 2015/1501 bude v IAM o cudzincoch prihlásených prostredníctvom eIDAS Node k dispozícii len obmedzené množstvo údajov, ktoré nie je totožné s rozsahom údajov osôb zapísaným v Registri fyzických osôb.
Povinný rozsah údajov:
- súčasné priezvisko(-á),
- súčasné meno(-á),
- dátum narodenia,
- jedinečný identifikátor vytvorený odosielajúcim členským štátom.
Rozsah údajov zasielaných o fyzickej osobe z Talianska je rozšírený o nasledovné voliteľné údaje (ktoré môže používateľ pri prihlasovaní zvoliť):
- miesto narodenia,
- súčasná adresa,
- pohlavie.
Jedinečný identifikátor v prípade Talianska nie je perzistentný. Jeden cudzinec môže mať viacero identifikátorov a keďže absentuje povinnosť členských štátov EÚ poskytovať cezhraničný mechanizmus stotožňovania identít, budú vznikať duplicitné identity. Taliansko do budúcna pripravuje dodatočný identifikátor „fiscal code“, ktorý môže byť použitý na automatizované stotožňovanie osôb pri prihlasovaní s rôznymi prostriedkami elektronickej identifikácie.
Adresa osoby z Talianska sa z eIDAS Node do ÚPVS IAM nezapisuje, nakoľko Taliansko tento údaj zasiela v neštruktúrovanom formáte odlišnom od zverejnenej technickej špecifikácie údajov eIDAS SAML profilu. Tento údaj je k dispozícii v NASES na vyžiadanie a jeho automatizovaný zápis do IAM sa predpokladá vyriešiť v ďalších mesiacoch.
Testovacia identita vo FIX prostredí ÚPVS:
- krajina - "IT",
- voliteľné osobné údaje - "Current Address", "Gender", "Place of Birth"; pri zadaní "First Names at Birth" prihlasovanie zlyhá na talianskej strane,
- poskytovateľ digitálnej identity - výlučne "INFOCERT ID" (variant s veľkými čiernymi písmenami v názve),
- prihlasovacie meno: "TESTEU01", heslo "db04827!Df" (ďalšie údaje sú dostupné online),
- URI testovacej identity rc://IT/INFC0001TESTEU_garbini_arianna
Pri prihlásení cudzinca budú v SAML tokene vydanom ÚPVS IAM nasledovné údaje:
- Úroveň zabezpečenia (QAALevel) = 4 a dočasne aj (QAALevel) = 3, ku ktorému bude zaslaný samostatný oznam; pri možnosti (QAALevel) = 2 alebo 1 bude prihlásenie Taliana zamietnuté,
- Typ identity (IdentityType) = 1 (fyzická osoba),
- Typ zdroja autentifikácie (authResourceType) = 9 (eIDAS),
- SubjectID - URI identifikátor (môže mať potenciálne neobmedzenú dĺžku vzhľadom na potenciálne neobmedzené dĺžky identifikátorov zo zahraničia),
- V pridelených roliach je aj hodnota GR_IAM_PHYSICAL_PERSON_FOREIGNER.
Technické informácie je možné nájsť aj v integračnom manuáli modulu IAM na Partner framework portáli.
URI identifikátor osoby si integrovaný subjekt musí zisťovať od ÚPVS prostredníctvom služieb IAM podľa integračného manuálu IAM. URI si integrovaný subjekt nemá vyskladávať a ani ho parsovať, pretože takýmto postupom by dochádzalo k vytváraniu neexistujúcich URI identifikátorov alebo chybnej identifikácii. Informatívne uvádzame, že URI identifikátor cudzinca prihláseného cez eIDAS Node bude mať napríklad nasledujúci tvar:
rc:///__
rc://IT/INFC0001TESTEU_garbini_arianna
Pre fyzické osoby prihlásené cez eIDAS zatiaľ nebude v IAM zapísané PČO (počítačové číslo osoby), a preto pre tieto identity nie je možné volať službu GetIdentity s PČO parametrom na vstupe.
Podrobnosti k téme eIDAS autentifikácie je možné nájsť v špecializovaných často kladených otázkach.
K téme elektronickej eIDAS identifikácie a autentifikácie cudzincov pripravujeme workshop, o ktorom budeme vopred informovať.
Úpravy portálu sú súčasťou zverejneného harmonogramu zmien nasadzovaných na ÚPVS, ktorých priebežne aktualizovaný release plán nájdete na odkaze: https://kp.gov.sk/pf/zdielane_dokumenty/Harmonogram/release_plán_nasadzovaných_zmien_na_ÚPVS.pdf