Parametrizace ePodání
Obsah
1 Charakteristika oblasti........................................................................................... 2
1.1 Slovníček pojmů a zkratek.................................................................................................... 2
1.2 Základní rámec parametrizace ePodání........................................................................... 2
1.3 Aktuálně implementovaná ePodání................................................................................... 3
2 Nastavení................................................................................................................ 4
2.1 Externí organizace.................................................................................................................. 4
2.2 Veřejná rozhraní pro elektronickou komunikaci........................................................ 4
2.3 Parametrizace podání............................................................................................................ 4
2.4 Certifikáty................................................................................................................................... 5
Tento dokument představuje základní rámec parametrizace procesů elektronické komunikace, zejména pro oblast komunikace mezi zaměstnavateli a orgány veřejné moci prostřednictvím ePodání.
Elektronická komunikace mezi jednotlivými subjekty je z hlediska legislativy na úrovni EU zaštítěná nařízením č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce (eIDAS). Nařízení eIDAS stanovilo rámec, který má zajistit, aby elektronické interakce mezi jednotlivými subjekty (občany, firmami, orgány veřejné moci) byly bezpečnější, rychlejší a účinnější bez ohledu na to, v jaké evropské zemi se nacházejí.
V rámci české legislativy je pak tato oblast řešena zejména v rámci těchto norem:
· Zákonem č. 297/2016 Sb., o službách vytvářejících důvěru pro elektronické transakce
· Zákonem č. 300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů, který řeší datové schránky, spadající pod služby elektronického doporučeného doručování
· Zákonem č. 250/2017 Sb., o elektronické identifikaci
|
Pojem |
Popis |
|
CA |
Certifikační autorita |
|
DS |
Datová schránka |
|
eIDAS |
nařízením č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce |
|
ISDS |
Informační systém datových schránek |
|
OVM |
Orgány veřejné moci |
|
ZP |
Zdravotní pojišťovny |
Pro zajištění procesů elektronické komunikace mezi zaměstnavatelem a orgány veřejné moci je potřeba v rámci EGJE definovat vybrané objekty:
· Základní identifikační, kontaktní a klasifikační údaje komunikujících subjektů, tedy zaměstnavatele (organizace, správní jednotky) a orgány veřejné moci
· Nastavení API dedikovaných pro elektronickou komunikaci mezi těmito subjekty
· Nastavení procesů jednotlivých ePodání
· Evidence prostředků pro zajištění bezpečné komunikace, jde zejména o evidenci certifikátů
|
Oblast |
Předmět evidence a parametrizace |
Formulář |
|
Subjekty: Zaměstnavatel |
K evidenci zaměstnavatele je primárně využívána evidence organizace a správních jednotek. Zde jsou evidovány potřebné identifikační údaje a kontaktní údaje a další parametrická nastavení organizace a správních jednotek. |
Adm21 Adm22 |
|
Subjekty: OVM |
Orgány veřejné moci jsou evidovány v rámci číselníku Externích organizací. Tato evidence umožňuje spravovat jejich identifikační údaje (identifikátor OVM), strukturu poboček a jejich kontakty, nastavení potřebná pro oblast ePodání. |
Adm28 |
|
API třetích stran |
Nastavení parametrů API a prostředků poskytovatelů rozhraní pro ePodání |
Adm55 |
|
Certifikáty |
Evidence certifikátů umožňuje spravovat certifikáty, které jsou využívány v rámci elektronické komunikace. Jde zejména o osobní kvalifikované a komerční certifikáty, systémové certifikáty pro šifrování komunikace, autentizaci. Formulář Adm27 „Evidence certifikátů“ je určen pro správu všech certifikátů (osobních i systémových), formulář Opv51 „Osobní certifikáty“ pak slouží pouze pro evidenci osobních certifikátů. |
Adm27 Opv51 |
|
Parametrizace podání |
Parametrizace je využívá k nastavení parametrů jednotlivých ePodání a jejich kroků, jde zejména o definici komunikačního kanálu, určení způsobu výběru podacího místa, požadavky na certifikáty, audit atd. Tato parametrizace je vázaná na implementaci funkcionalit ePodání a její definice je metodicky v kompetenci Elanor a.s. |
Adm60 |
Procesy správy organizací a správních jednotek (zejména formuláře Adm21, Adm22) jsou popsány v samostatné dokumentaci Adm_uzdoc. V rámci této dokumentace se tedy zaměříme na procesy evidence a parametrizaci orgánů veřejné moci (Externí organizace), API třetích stran, parametrizaci ePodání a evidenci certifikátů.
|
ePodání |
Popis |
|
VREP |
Elektronické podání na ČSSZ přes veřejné rozhraní pro ePodání |
|
ÚP – Příjmy zaměstnance |
Elektronické podání Příjmů zaměstnance prostřednictvím ISDS |
|
ePN (SP) |
Elektronické podání pracovních neschopností SK |
Jedním ze subjektů elektronické komunikace jsou orgány veřejné moci. Zaměstnavatelé ze zákona musí v definovaném rozsahu komunikovat s Českou správou sociálního zabezpečení, zdravotními pojišťovnami, finanční správou (resp. finančními úřady FÚ), Úřadem práce (ÚP), pojišťovnami státem určenými pro pojištění odpovědnosti zaměstnavatele, orgány vykonávajícími exekuce, soudy, Českým statistickým úřadem (ČSÚ) atd.
Popis formuláře viz Adm_uzdoc.
Řada OVM využívá pro elektronickou komunikaci veřejná API, prostřednictvím kterých lze data posílat, či je stahovat. Pro komunikaci tímto kanálem tak potřebujeme mít definovány nezbytné nastavení a parametry pro připojení k API.
Tato oblast je v rámci EGJE řešena pomocí formuláře Adm55 „Evidence API a prostředků služeb elektronické identifikace a autentizace“, který je určen pro parametrizaci API třetích stran a služeb, jež jsou v rámci daného API poskytovány.
Popis formuláře Adm55 viz Adm_uzdoc.
Proces ePodání je definován řadou parametrů:
· s kým komunikujeme – OVM, pobočka OVM
· co je předmětem komunikace – obsah dat podání a jejich forma
· Komunikační kanál – veřejné rozhraní OVM, ISDS
a sledem kroků, v rámci kterých je celý proces podání realizován. Např. stažení výzvy OVM a odpověď na výzvu.
Jak celý proces podání, tak i jednotlivé kroky podání, mohou mít specifikovány další parametry jako jsou požadavky na použité certifikáty pro zabezpečení komunikace, požadavky na zpracování dat atd.
Popis formuláře Adm60 viz Adm_uzdoc.
Digitální certifikáty jsou „dokumenty/doklady“, které jsou určeny k transparentní identifikace jejího držitele. Jde o digitálně podepsaný veřejný šifrovací klíč, který vydává certifikační autorita. Dle vymezených účelů užití mohou být v rámci elektronické komunikace využity k ověření identity protistrany při navázání zabezpečené komunikace, šifrování dat, podpisu atd.
Při evidenci certifikátů je potřeba zohlednit jak požadavky vyplývající z jejich užití v rámci procesů EGJE, tak jejich obecné parametry a povahu jejich životního cyklu, kdy jde o proces počínající registrací u vydávající CA, přes vydání certifikátu CA na definovanou dobu platnosti až po obnovení certifikátu (prodloužení platnosti), případně zneplatnění certifikátu (revokace).
Certifikáty můžeme kategorizovat na základě řady kritérií (viz dále Certifikační oprávnění). Jednou z těchto kategorizací je členění certifikátů na:
· Osobní – jsou vydávané jen fyzickým osobám. Certifikát osvědčuje, že veřejný klíč, jež je součástí certifikátu, patří osobě, jejíž identita je uvedena v certifikátu. Zároveň stvrzuje, že držitel certifikátu je vlastníkem odpovídajícího soukromého klíče. Tyto certifikáty jsou využívány primárně pro podepisování.
· Systémové – mohou být vydané fyzickým i právnickým osobám (včetně OVM). Tyto certifikáty jsou primárně určeny pro účely vytváření elektronických značek, časových razítek a další účely, jako jsou identifikace serverů, šifrování komunikace se servery atd.
Pro účely procesů řešených v rámci EGJE (komunikace s úřady prostřednictvím ePodání, zabezpečení komunikace s API třetích stran atd.) je potřeba evidovat jak osobní certifikáty, tak systémové certifikáty. Zároveň je potřeba evidenci certifikátů navázat na další datové objekty v EGJE, které umožní jejich napojení na uvedené procesy a kategorizovat je z hlediska potřeb jednotlivých procesů. Co se týče napojení na další datové objekty, jde zejména o provázanost evidence certifikátů na organizační strukturu, osoby, externí organizace, API, parametrizaci ePodání.
Jak již bylo uvedeno, certifikát je určitou „obdobou“ dokladu totožnosti, který opravňuje držitele (ať už jde o FO nebo PO) k definovaným úkonům (např. podpis, autentizace) v rámci zabezpečené elektronické komunikace mezi subjekty (občany, organizacemi/podniky a OVM), servery, a to s danou úrovní důvěryhodnosti. Certifikát tak je spojen s určitými oprávněními držitele v rámci elektronické komunikace na dané úrovni důvěryhodnosti po definovanou dobu platnosti vydaného certifikátu. Obnovení certifikátu průběžně prodlužuje platnost tohoto oprávnění na další období. Z hlediska evidence certifikátu tak rozlišujeme evidenci
· toho, k čemu certifikát opravňuje jeho držitele v rámci zabezpečené elektronické komunikace (užití certifikátu) a na jaké úrovni důvěryhodnosti = > dále Certifikační oprávnění
· konkrétních instancí certifikátů s definovaným obdobím platnosti = > dále Certifikáty vydané
Certifikační oprávnění je tak zastřešující evidencí pro set 1 - N instancí vydaných certifikátů (první vydaný certifikát a návazné obnovené certifikáty) danému držiteli s danou úrovni důvěryhodnosti a pro definované účely užití.
Certifikační oprávnění a jejích základní kategorizace dle vybraných kritérií
· Typ certifikátu: jde o detailnější rozpad základní klasifikace certifikátů na osobní a systémové. Z hlediska řešených procesů je účelné tyto dvě hlavní kategorie typu certifikátů (osobní a systémové certifikáty) dále členit detailněji na podtypy. Např. v případě osobních certifikátů používá daná osoba jiný certifikát, pokud podepisuje firemní dokument jako osoba tímto pověřená k danému úkonu svým zaměstnavatelem – takový certifikát je vystaven na osobu a firmu (osobní pro organizaci), nebo zda podepisuje dokument za sebe čistě jako fyzická osoba, např. jako zaměstnanec podepisuje svou pracovní smlouvu, pak je certifikát vystaven jen na jeho osobu (osobní).
· Úroveň důvěryhodnosti: tento parametr certifikátu je odvozen od důvěryhodnosti CA, která certifikát vydala a prostředků, na jakém je certifikát uložen. Certifikát může být vydán kvalifikovanou (resp. akreditovanou) CA na kvalifikovaném prostředku (úroveň = kvalifikovaná), nebo kvalifikovanou CA na nekvalifikovaném prostředku (úroveň = uznávaná) nebo neakreditovanou CA (úroveň = zaručená).
· Druh klíče: Pokud evidujeme certifikáty vydané organizaci a/nebo jejím zaměstnancům, pak součástí použití certifikátu v rámci procesů EGJE mohou být i procesy vyžadující soukromý klíč (např. podepisování). Takový certifikát je kategorizován Druh klíče = Soukromý. V případě evidence certifikátů 3.stran evidujeme pouze část veřejného klíče certifikátu (např. šifrovací certifikáty pro komunikaci s úřady) a z hlediska kategorizace jde o Druh klíče = Veřejný
· Druh certifikátu: kvalifikovaný/komerční. Tato kategorizace vychází z toho, zda požadavky na certifikát a jeho obsah jsou vymezeny zákonem (tj. jde o certifikáty kvalifikované, které mohou vydat jen kvalifikované CA) či nikoliv (tj. jde o certifikáty komerční a mohou je vydat všechny CA). Kvalifikované certifikáty slouží primárně k podepisování a ověřování podpisů a značek, zatímco komerční pokrývají ostatní účely jako je šifrování, identifikace a autentizace atd
Certifikáty vydané – pod certifikačním oprávněním evidujeme jednotlivé vydané certifikáty spadající pod dané certifikační oprávnění. Evidujeme tedy první vydaný certifikát a na něj navazující obnovené certifikáty.
Procesy EGJE pracují primárně s tzv. koncovými certifikáty, tedy certifikáty vydanými „koncovým uživatelům“. Nicméně v rámci komunikace s některými subjekty potřebujeme evidovat i certifikáty nadřazených certifikačních autorit, které certifikát vydaly. Jde o tzv. hierarchii certifikátů. Každý certifikát obsahuje informaci o svém vydavateli, resp. vystaviteli. Tedy o certifikační autoritě, která certifikát vydala. Tento údaj je současně i odkazem na nadřazený certifikát, ve smyslu stromu důvěry, který vydavatel použil při vystavování daného certifikátu (pro jeho podepsání). EGJE umožňuje v těchto případech evidovat pod dané certifikační oprávnění certifikáty všech úrovní, tedy k danému koncovému certifikátu i certifikáty nadřazené (mezilehlý a kořenový).
V rámci aplikace EGJE jsou certifikáty evidovány na formulářích Adm27 a Opv51. Evidence certifikátů na Opv51 je určena pro správu osobních certifikátů jejich držiteli (zaměstnanci). Formulář Adm27 pak slouží ke správě všech certifikátů, osobních i systémových.
Popis formuláře Adm27 viz Adm_uzdoc, popis formuláře Opv51 viz Opv_uzdoc.