Oznam ASIC
Dobrý deň,
dovoľujeme si vás informovať o pripravovaných úpravách na portáli slovensko.sk (ÚPVS) v súvislosti s prechodom na formát ASiC a o povinnostiach vyplývajúcich z platnej legislatívy v oblasti dôveryhodných služieb. Dňa 22. septembra 2018 plánujeme pri vytváraní elektronických podpisov prostredníctvom klientskych aplikácií na ÚPVS v konštruktore správy prepnutie na nový predvolený formát: ASiC-E XAdES (.asice) z pôvodného formátu XAdES_ZEP (.xzep).
Prepnutie predvoleného formátu na ASiC-E sa týka:
- pečatí Úradu vlády SR - ÚPVS na všetkých doručenkách, potvrdeniach o odoslaní podania, príkazov na úhradu, potvrdení o úhrade a hromadných príkazov na úhradu vytváraných ÚPVS,
- pečatí jednotlivých organizácií, ktoré sú vytvárané prostredníctvom funkcie "podpisovať v mene inštitúcie" v POSP elektronického formulára a ktoré sú uložené v HSM module ÚPVS.
Prepnutie na ASiC-E sa netýka vytvárania pečatí prostredníctvom integrácie na Centrálnu elektronickú podateľňu, kde si každý integrovaný subjekt volaním služby sám určuje, ktorý formát pečate chce vytvoriť.
Pokiaľ používate integráciu na centrálnu elektronickú podateľňu alebo používate vlastnú elektronickú podateľňu, je v zmysle platnej legislatívy potrebné, aby ste si ako predvolený vytváraný formát podpisu nastavili jeden z formátov vyžadovaných podľa nariadenia eIDAS.
1. Povinnosti na základe nariadenia eIDAS
Na základe čl. 27 ods. 5 a čl. 37 ods. 5 nariadenia Európskeho parlamentu a Rady (EÚ) č. 910/2014 (nariadenia eIDAS) a prílohy vykonávacieho rozhodnutia Komisie č. 2015/1506 má subjekt verejného sektora povinnosť prijímať a validovať kvalifikované elektronické podpisy (QES) vo všetkých predpísaných formátoch - CAdES ( .p7s, .p7m), XAdES (.xml), PAdES (.pdf), ASiC-E (.asice, .sce), ASiC-S (.asics, .scs). Zároveň má aj povinnosť vyhotovovať minimálne jeden z uvedených formátov.
Zákon č. 272/2016 Z. z. o dôveryhodných službách v § 14 ods. 3 a 4 ustanovuje pokuty až do výšky 3 000 eur za správne delikty v prípadoch, ak orgán verejnej moci odmietne prijať alebo vytvorí kvalifikovaný elektronický podpis alebo kvalifikovanú elektronickú pečať vo formáte, ktorý nie je v súlade s vyššie uvedenými predpismi.
Formát XAdES_ZEP (*.xzep, *.zepx), definovaný podľa legislatívy účinnej do 30. júna 2016, nesmú podľa stanoviska NBÚ orgány verejnej moci vyhotovovať po 1. júli 2016 pri komunikácii s občanom alebo právnickou osobou, teda mimo uzavretých systémov (čl. 2 ods. 2 nariadenia eIDAS).
Ak orgány verejnej moci vytvárajú alebo manipulujú s formátom ZEPf (*.zep), nemôžu ho odosielať občanovi alebo právnickej osobe, ale podľa stanoviska NBÚ môžu podpis a podpísaný dokument uložený v ZEPf uložiť do formátu ASiC-S. Podrobnosti o jednotlivých formátoch nájdete aj v otázkach a odpovediach zverejnených na portáli slovensko.sk.
To, či konkrétne aplikácie pre QES umožňujú postup v súlade s legislatívou pri vyhotovení alebo validovaní QES, je možné podľa stanoviska NBÚ zistiť aj na základe vyplnenej deklarácie výrobcu aplikácie pre QES, v ktorej musia byť minimálne označené, ako splnené, zeleno označené položky. (V prípade používania kombinácie viacerých aplikácií musia byť splnené kumulatívne.) Formulár deklarácie výrobcu aplikácie pre QES sa nachádza na webovom sídle NBÚ a vyplnenú deklaráciu zverejňuje výrobca aplikácie pre QES alebo je možné o jej vyplnenie výrobcu požiadať. - http://www.nbu.gov.sk/doveryhodne-sluzby/e-formulare/index.html
Zároveň sa odporúča používať najmä aplikácie, ktoré vyhovujú príslušným bezpečnostným požiadavkám.
2. Formáty vytvárané na portáli slovensko.sk
Podpisy vytvárané na portáli slovensko.sk (ÚPVS) v podpisovacích klientskych aplikáciách D.Suite/eIDAS a D.Signer/XAdES, ako aj pečate v doručenkách a potvrdeniach o odoslaní vytváraných na ÚPVS, sa s ohľadom na časové požiadavky migrácie integrovaných inštitúcií zasielajú v pôvodných formátoch XAdES_ZEP (.xzep).
V období na prelome augusta a septembra 2018 plánujeme pri vytváraní elektronických podpisov prostredníctvom klientskych aplikácií na ÚPVS v konštruktore správy prepnutie na nový predvolený formát: ASiC-E XAdES (.asice). To znamená, že v prípade podpisovania, vrátane podpisovania mandátnymi certifikátmi, v elektronických formulároch vypĺňaných priamo v používateľskom prostredí ÚPVS (napríklad „Všeobecná agenda“) a pre ich prílohy, bude namiesto doterajšieho formátu XAdES_ZEP (.xzep) vytváraný formát ASiC-E (.asice). V prípade opakovaného alebo spoločného podpisovania už existujúcich súborov, ktoré sú vo formáte XAdES_ZEP (.xzep), sa prostredníctvom klientskych aplikácií na ÚPVS bude v najbližších mesiacoch dočasne vytvárať formát XAdES_ZEP.
V rovnakom období plánujeme prepnutie na formát ASiC-E XAdES (.asice) aj v doručenkách a potvrdeniach o odoslaní vytváraných na ÚPVS. O presných termínoch Vás budeme vopred informovať.
Centrálna elektronická podateľňa (CEP) podporuje základné formáty predpísané vo Vykonávacom rozhodnutí 2015/1506, vrátane formátu ASiC, od roku 2016 a integrované subjekty ich môžu prostredníctvom služieb CEP prijímať a aj vytvárať. Technické informácie o konkrétnych podporovaných formátoch podpisov a ich verziách sú uvedené vo zverejnenej technickej dokumentácii a podrobnosti o funkciách CEP sú uvedené v integračnom manuáli dostupnom na Partner framework portáli.
Z dôvodu lepšej koordinácie a riešenia problémov uvítame, ak nás budete informovať o vašej pripravenosti prechodu na formáty predpísané nariadením eIDAS a o prípadných problémoch s kompatibilitou.
3. Vzorky a testovanie
S cieľom zabezpečiť plynulý prechod na nové formáty podpisov boli na ÚPVS v januári 2018 zverejnené príklady vzoriek podpisov XAdES v podpisovom kontajneri ASiC (.asice) vytvorené v Centrálnej elektronickej podateľni ÚPVS. Vzorky ASiC-E XAdES obsahujú podpísaný súbor vo formáte XMLDataContainer, ktorý je pre informačné systémy verejnej správy v Slovenskej republike povinným formátom v prípade podpisovania XML údajov, vrátane údajov vyplnených podľa elektronického formulára. Táto povinnosť vyplýva z § 57a až § 57c Výnosu o štandardoch pre informačné systémy verejnej správy č. 55/2014 Z. z.
Orgánom verejnej moci, ktoré podpísané dokumenty spracúvajú vo svojich informačných systémoch, registratúrach a podateľniach odporúčame, aby si zverejnené vzorky vyskúšali a na prácu s nimi pripravili aj svoje systémy. Na tieto účely môže Národná agentúra pre sieťové a elektronické služby (NASES) na požiadanie do elektronickej schránky vašej organizácie zaslať testovaciu elektronickú správu s objektom vo formáte ASiC-E XAdES podpísanom v CEP. V prípade záujmu o pretestovanie kompatibility s ASiC-E XAdES nás, prosím, kontaktujte na e-mailovej adrese prevadzka[at]nases.gov.sk.
Pre používateľov elektronických schránok na ÚPVS sa pri pripravovanom prechode na nový formát ASiC-E (.asice,.sce) nič nezmení, s novými formátmi môžu už od roku 2016 pracovať rovnako, ako s doterajšími formátmi XAdES_ZEP (.xzep, .zepx) a ZEPf (.zep). Prácu s novými formátmi umožňuje aj aplikácia D.Viewer, ktorá je súčasťou balíka klientskych aplikácií D.Suite/eIDAS.
- Bližšie informácie o príponách elektronicky podpísaných súborov a možnostiach používania jednotlivých formátov nájdete v najčastejších otázkach a odpovediach.
- Technické informácie o formátoch podpisov a podpisových kontajnerov podporovaných v CEP sú uvedené aj v technickej dokumentácii.
- Povinné formáty kvalifikovaných elektronických podpisov a pečatí (QES) pre subjekty verejného sektora pri vyhotovovaní a validácii sú uvedené v dokumente zverejnenom NBÚ.
- V prípade komunikácie smerom do zahraničia sa podľa stanoviska NBÚ odporúča používať pre podpisovanie alebo pečatenie najmä externe podpísaný formát PDF (podpisom CAdES alebo XAdES) v podpisovom kontajneri ASiC alebo priamo podpísaný formát PDF (podpisom PAdES) namiesto podpisovania XML údajov vyplnených podľa elektronického formulára.
4. Chyby v elektronických správach a vytváraných podpisoch
V súvislosti s prechodom na nové formáty podpisov si dovoľujeme upozorniť na časté chyby, ktoré sa v praxi vyskytujú v systémoch rôznych dodávateľov a spôsobujú nemožnosť overenia podpisov alebo spracovania elektronickej správy.
Upozorňujeme, že v prípade nemožnosti overenia podpisov (stav „Neoveriteľná“) v dôsledku takýchto chýb centrálna elektronická podateľňa odosielateľa podania o tejto skutočnosti neinformuje. Nemožnosť overenia podpisov v mnohých prípadoch nie je spôsobená na strane podávajúceho, ale na strane špecializovaného portálu alebo iného systému, ktorý používa. Samotný podpísaný dokument môže obsahovať platnú autorizáciu, CEP ho však vzhľadom na túto chybu nedokáže overiť. Odporúčame preto v prípade, že je podpis vyhodnotený ako „neoveriteľná“ autorizácia, informovať podávajúceho o tejto skutočnosti, najmä ak dané konanie nevyžaduje podávajúceho na túto skutočnosť upozorňovať. NASES v súčasnosti zvažuje možnosť zasielania výsledkov overenia aj podávajúcemu.
Časté chyby:
- Nesúlad hodnoty v atribúte MimeType v elemente Object v elektronických správach so skutočným formátom podpísaného súboru: špecializovaný portál alebo systém pri vytváraní elektronickej správy vytvára nesprávnu hodnotu atribútu MimeType, napríklad hodnotu zodpovedajúcu formátu XAdES_ZEP (application/x-xades_zep), pričom podpísaný súbor je vo formáte ASiC-E alebo PDF a podobne. Dôsledkom takýchto chýb je neoveriteľná autorizácia. Je potrebné používať hodnoty presne zodpovedajúce formátu podpísaného súboru podľa technickej dokumentácie.
- Používanie chybných identifikátorov pri autorizácii údajov vyplnených podľa elektronického formulára: Pri podpisovaní údajov vyplnených podľa elektronického formulára je pre úspešné overenie autorizácie potrebné používať identifikátory (identifier), názvy (description) a referencie uvedené v technickej dokumentácii CEP.
- Označovanie podpísaných elektronických dokumentov atribútom IsSigned=“false“. V takýchto prípadoch sa podpisy neoverujú napriek tomu, že je dokument podpísaný.
- Elektronické úradné dokumenty vytvorené podľa elektronického formulára vo formáte XML musia byť v zmysle prílohy č. 11 Výnosu o štandardoch pre IS VS č. 55/2014 Z. z. pri autorizácii vo formáte ASiC vždy vložené vo formáte XMLDataContainer, ktorý je ako celok podpísaný. Formát XMLDataContainer obsahuje identifikačné údaje použitého elektronického formulára ako aj ďalšie metaúdaje predpísané štandardmi.
V prípade akýchkoľvek otázok k daným témam sa môžete obrátiť na sekciu prevádzky aplikácií ÚPVS prostredníctvom e-mailu zaslaného na adresu prevadzka@nases.gov.sk.