Zníženie vyžadovanej úrovne zabezpečenia pri zasielaní podaní cez ÚPVS na QAA Level 3
Vážení používatelia a integrační partneri,
dovoľujeme si vás informovať o plánovanom zosúladení vyžadovanej úrovne zabezpečenia pre zasielanie elektronických podaní v grafickom prostredí Ústredného portálu verejnej správy (ÚPVS) s úrovňou pre zasielanie elektronických podaní prostredníctvom integračných rozhraní.
Vyžadovaná úroveň zabezpečenia (Quality Authentication Assurance Level - QAA Level) pre prístup k elektronickej službe znamená úroveň zabezpečenia prostriedkov elektronickej identifikácie a samotného procesu prihlasovania na prístupové miesto.
V prípade elektronických podaní zasielaných prostredníctvom integračných rozhraní po autentifikácii autentifikačným certifikátom sa od vzniku Ústredného portálu verejnej správy používa úroveň zabezpečenia QAA Level 3 (ktorej ekvivalent je „pokročilá" podľa Nariadenia eIDAS). V grafickom prostredí ústredného portálu boli doteraz pre vytváranie elektronických podaní vyžadované prostriedky elektronickej identifikácie s úrovňou zabezpečenia QAA Level 4 (úroveň „vysoká" podľa Nariadenia eIDAS).
Národná agentúra pre sieťové a elektronické služby (NASES) v treťom štvrťroku 2021 plánuje zosúladiť vyžadovanú úroveň zabezpečenia na QAA Level 3 (úroveň „pokročilá").
K tomuto kroku NASES pristupuje z dôvodu povinnosti z Nariadenia Európskeho parlamentu a Rady EÚ č. 910/2014 (eIDAS) vyžadujúcej umožnenie prístupu k elektronickým službám prostriedkami elektronickej identifikácie najmenej na úrovni zabezpečenia, ktorá je subjektami verejného sektora vyžadovaná a zároveň s cieľom rozšírenia možností prístupu k elektronickým službám s pomocou mobilných zariadení. Keďže k elektronickým službám musí byť umožnený prístup prostredníctvom integračných rozhraní s využitím autentifikačného certifikátu, je v prípade väčšiny elektronických služieb v praxi vyžadovaná úroveň zabezpečenia „pokročilá". V prílohe pripájame súvisiace informácie.
V tejto súvislosti uvádzame, že elektronická služba „Všeobecné podanie" (Všeobecná agenda) má v Centrálnom metainformačnom systéme verejnej správy (MetaIS) vyžadovanú úroveň zabezpečenia QAA Level 3. Nastavenia grafického rozhrania ústredného portálu v súčasnosti pre prístup k tejto službe vyžadujú prostriedky s úrovňou zabezpečenia QAA Level 4. Navrhovanou úpravou konfigurácie tak v prípade tejto služby príde k zosúladeniu.
Dopady na existujúce systémy:
- Služby poskytované prostredníctvom konštruktora správy ÚPVS
Pokiaľ vaše elektronické služby sprístupňujete na vypĺňanie prostredníctvom grafického rozhrania Ústredného portálu verejnej správy (v tzv. konštruktore správy), po realizácii uvedenej zmeny vám budú môcť držitelia prostriedkov elektronickej identifikácie najmenej s úrovňou zabezpečenia „pokročilá" zasielať elektronické podania. Na informačné systémy prijímajúce elektronické podania zasielané cez integračné rozhrania táto zmena nemá dopad. V prípade, ak by vaše elektronické služby nevyhnutne vyžadovali výlučne úroveň zabezpečenia „vysoká", je potrebné, aby ste v doručených podaniach zo SAML tokenu identifikovali použitú úroveň zabezpečenia a zaslali podávajúcemu chybovú správu o nedostatočnej úrovni zabezpečenia.
- Služby poskytované prostredníctvom špecializovaných portálov
Ak vaše elektronické služby sprístupňujete na vypĺňanie prostredníctvom špecializovaného portálu a vyžadujete pre použitie služieb výlučne úroveň „vysoká", odporúčame, aby ste zvážili nevyhnutnosť tejto najvyššej úrovne a v prípade nutnosti jej vyžadovania používateľa informovali o nedostatočnej úrovni zabezpečenia použitého prostriedku už pri jeho autentifikácii na vašom portáli.
V súčasnosti okrem pripravovaného riešenia prístupu k službám použitím mobilných zariadení bude na úrovni „pokročilá" umožnený prístup k elektronickým službám aj používateľom s notifikovanými prostriedkami elektronickej identifikácie na úrovni „pokročilá" z Talianska, Lotyšska a počas roka 2021 aj z Holandska a Dánska. Prostriedkami elektronickej identifikácie na úrovni „vysoká" je v súčasnosti umožnený prístup k elektronickým službám z 10 členských štátov a na konci roka 2021 sa očakáva umožnenie prístupu z 13 členských štátov.
Informáciu o uvedenej plánovanej zmene NASES zverejňuje od roku 2019 v Release pláne nasadzovaných zmien na ÚPVS v časti „IAM - eIDAS prihlasovanie z ďalších štátov EÚ". (Aktuálne bola rozšírená o podrobnejšie informácie.)
Pokiaľ vami poskytované elektronické služby nevyžadujú najvyššiu úroveň zabezpečenia a v MetaIS uvádzate ako vyžadovanú úroveň 4, odporúčame vám zosúladiť evidenciu v MetaIS so skutočnými potrebami.
Dovoľujeme si vás požiadať, aby ste nás informovali, pokiaľ pre zasielanie elektronických podaní plánujete vyžadovať výlučne úroveň „vysoká" a poskytujete služby v grafickom prostredí ústredného portálu. Úroveň zabezpečenia nesúvisí s vyžadovanou autorizáciou elektronického podania, t. j. vyžadovaný kvalifikovaný elektronický podpis na podaní nijako nevyžaduje konkrétnu úroveň zabezpečenia pri autentifikácii. Napríklad je možné vyžadovať kvalifikovaný elektronický podpis (KEP), pričom QAA Level môže byť na úrovni 3 - t. j. úroveň „pokročilá".
Akceptovanie nižšej úrovne zabezpečenia autentifikácie nemení funkčnosť samotnej služby.
Dovoľujeme si vás požiadať, aby ste nás do 10. júna 2021 informovali, pokiaľ pre zasielanie elektronických podaní plánujete vyžadovať výlučne úroveň „vysoká" a poskytujete služby v grafickom prostredí ústredného portálu.
Pokiaľ k téme potrebujete viac informácií a máte záujem o workshop k tejto téme, zašlite nám prosím do 10. júna 2021 formou e-mailu žiadosť o účasť. V prípade záujmu sa bude workshop konať v druhej polovici júna 2021.
V prípade akýchkoľvek otázok nás neváhajte kontaktovať na adrese prevadzka@nases.gov.sk
Súvisiace prílohy: