Υ.Α.Π. - Υπηρεσία Ανάπτυξης Πληροφορικής

Greek Dutch English French Italian Russian Spanish

Άρθρα

Πρακτικά 3ου Εργαστηρίου για το Πλαίσιο Αυθεντικοποίησης

Αντικείμενο: Πλαίσιο Ηλεκτρονικής Διακυβέρνησης

Θέμα: Πρακτικά 3ου Εργαστηρίου - Πλαίσιο Ψηφιακής Αυθεντικοποίησης

Ημερομηνία: 26-27/1/2012

Τόπος Διενέργειας: ΕΚΔΔΑ

  

ΣΥΜΜΕΤΕΧΟΝΤΕΣ

α/α

Φορέας

Ονοματεπώνυμο

1η ημέρα

2η ημέρα

1

Παν. Αθηνών

Βουτσινάς Νίκος

ΝΑΙ

ΝΑΙ

2

Υπ.Παιδείας ΔΒΜΘ

Θεοδώρου Ειρήνη

ΝΑΙ

ΝΑΙ

3

ΓΓΠΣ

Καρβούνης Άγγελος

ΝΑΙ

ΝΑΙ

4

ΥΑΠ

Κατσικογιάννης Γιώργος (Συντονιστής)

ΝΑΙ

ΝΑΙ

5

ΚτΠ ΑΕ

Κουρμούκης Ευθύμης

ΝΑΙ

ΌΧΙ

6

ΟμάδαΗΔ Γρ. Πρωθυπουργού

Κρανιδιώτης Παναγιώτης

ΌΧΙ

ΝΑΙ

7

ΑΧΠΠΔ

Λιμνιώτης Κώστας

ΝΑΙ

ΝΑΙ

8

ΕΛΑΣ

Πουλόπουλος Παναγιώτης

ΝΑΙ

ΝΑΙ

9

Α.Π.Θ.

Σαλματζίδης Γιάννης

ΝΑΙ

ΝΑΙ

10

ΕΛΑΣ

Σκουλαρίδου Βικτωρία

ΝΑΙ

ΝΑΙ

11

ΥΑΠ

Σούλης Κώστας (Rapporteur)

ΝΑΙ

ΝΑΙ

12

ATC

Τουντόπουλος Βασίλης

ΝΑΙ

ΌΧΙ

13

ΕΛ.ΑΣ.

Χαλβατζή Γιαννούλα

ΝΑΙ

ΌΧΙ

14

ΕΥΔ ΨΣ

Χαρόπουλος Χρήστος

ΝΑΙ

ΝΑΙ

ΘΕΜΑΤΑ ΣΥΖΗΤΗΣΗΣ

Το εργαστήριο για το Πλαίσιο Ψηφιακής Αυθεντικοποίησης ξεκίνησε την Πέμπτη 26 Ιανουαρίου το απόγευμα, με γνωριμία των συμμετεχόντων. Το κάθε μέλος του στρογγυλού τραπεζιού παρουσίασε συνοπτικά ποιος είναι, σε ποιος φορέα ανήκει, και την συνοπτική θέση του επί του Πλαισίου.

Εισαγωγή

Τον λόγο πήρε ο Γ. Κατσικογιάννης, ως συντονιστής του τραπεζιού αυτού, ο οποίος έκανε μία συνοπτική παρουσίαση του Πλαισίου Ψηφιακής Αυθεντικοποίησης. Παρουσιάστηκαν και συζητήθηκαν οι έννοιες για τα επίπεδα εμπιστοσύνης, εγγραφής και αυθεντικοποίησης, όπως και οι κατηγορίες των δεδομένων όπως αναφέρονται στο πλαίσιο προκειμένου να συμφωνηθεί η αρτιότητα των συγκεκριμένων αναφορών.

Οριοθέτησε το πλαίσιο και το συγκεκριμένο παράρτημα (παράρτημα ΙII) σε σχέση με το συνολικό κείμενο.  Κάλεσε τους συμμετέχοντες να συμφωνήσουν σε συγκεκριμένα σχόλια που θα συνοδεύονται από προτάσεις για αλλαγές, οι οποίες και θα παρουσιαστούν την επόμενη ημέρα στην ολομέλεια. Μοιράστηκαν handouts με το πρόγραμμα της ομάδας εργασίας, τα σχόλια της διαβούλευσης αλλά και το παράρτημα ΙΙΙ, ώστε να μπορούν όλοι να έχουν την απαιτούμενη πληροφορία προς συζήτηση.

Σε εθνικό επίπεδο, σε όλες τις δράσεις λαμβάνεται υπόψη η προστασία των δεδομένων προσωπικού χαρακτήρα κάτι που κατοχυρώνεται μεταξύ άλλων και στο νόμο για την Ηλεκτρονική Διακυβέρνηση ν. 3979/2011. Τέλος αναλαμβάνονται πρωτοβουλίες για κατασκευή σύγχρονων κέντρων δεδομένων που ως στόχο έχουν να εξασφαλίσουν την αδιάλειπτη παροχή των ηλεκτρονικών υπηρεσιών και τη φύλαξη και αρχειοθέτηση των δεδομένων.

Την πρώτη ημέρα έγινε μία συνοπτική παρουσίαση του Πλαισίου Ψηφιακής Αυθεντικοποίησης, έγιναν γενικές τοποθετήσεις των συμμετεχόντων για το Πλαίσιο και συζητήθηκαν τα πρώτα δύο σχόλια της ανοιχτής διαβούλευσης.

Την δεύτερη ημέρα ολοκληρώθηκε η συζήτηση επί των θεμάτων της ανοιχτής διαβούλευσης και συζητήθηκε τόσο το κυρίως σώμα του Παραρτήματος ΙΙΙ, όσο και οι Κανόνες που αναφέρονται. Τέλος, η συζήτηση ολοκληρώθηκε με σύνοψη των συμπερασμάτων και ειδικότερες τοποθετήσεις των συμμετεχόντων στα θέματα του Πλαισίου.

Τοποθετήσεις

Κατά την διάρκεια του στρογγυλού τραπεζιού, δόθηκε η ευκαιρία στους συμμετέχοντες να τοποθετηθούν και να εκφράσουν τις απόψεις τους. Οι παρατηρήσεις για τους σημερινούς κανόνες του Πλαισίου είναι οι εξής:


1. Ο ΚΥ.1 να συγχωνευθεί με τα ΚΠ.1 και ΚΠ.2 για λόγους απλότητας, κατανόησης και σύντμησης. Συγκεκριμένα, η διατύπωση θα μπορούσε να έχει ως:

ΚΥ.1: Ο Φορέας που προσφέρει την υπηρεσία ΠΡΕΠΕΙ ΝΑ συμμορφώνεται με το ισχύον θεσμικό-κανονιστικό Πλαίσιο Ψηφιακής Αυθεντικοποίησης. Συγκεκριμένα:

Α) ΠΡΕΠΕΙ ΝΑ συνταχθούν έντυπα για την παροχή και λήψη συγκατάθεσης, τα οποία θα δίδονται στους αιτούμενους της εγγραφής είτε με έγγραφο τρόπο είτε με ηλεκτρονικό.                                                                                      

Στην περίπτωση της ηλεκτρονικής συγκατάθεσης ΠΡΕΠΕΙ ΝΑ αναγράφονται οι σχετικοί όροι στο δικτυακό τόπο της ενημέρωσης και να επισημαίνονται στον εγγραφόμενο – ηλεκτρονικά συναλλασσόμενο.

Β) Κατά την αίτηση για εγγραφή σε διάφορες υπηρεσίες ΘΑ ΠΡΕΠΕΙ ΝΑ καθίσταται σαφές στους αιτούντες, ποια δεδομένα είναι αναγκαία για την εγγραφή

Γ) Η συγκατάθεση των αιτούμενων εγγραφής σε μία υπηρεσία ΠΡΕΠΕΙ ΝΑ είναι σαφής, ρητή, ειδική και «ενημερωμένη».


2. Στον ΚΠ.3 προτείνεται η αντικατάσταση των συγκεκριμένων προθεσμιών με τον όρο συγκεκριμένων διαδικασιών και ο κανόνας να γίνει υποχρεωτικός.

ΚΥ.2: Τα προσωπικά δεδομένα ΠΡΕΠΕΙ ΝΑ είναι ακριβή και να γίνεται επικαιροποίηση των δεδομένων με συγκεκριμένες διαδικασίες.


3. Ο ΚΥ.2 όσον αφορά την ιδιωτικότητα των χρηστών προτείνεται να μεταφερθεί στους Διαδικτυακούς τόπους αν αντιμετωπιστούν και τα υπόλοιπα θέματα της ιδιωτικότητας των δεδομένων για λόγους συνέχειας και πληρότητας.

4. Στον ΚΥ.3 θα πρέπει να αφαιρεθεί ο όρος «ιδιωτικούς» και αλλάξει  να αντί της προσφυγής να χρησιμοποιηθεί ο όρος συνεργασίας. Ο κανόνας προτείνεται να διαμορφωθεί ως εξής: «


ΚΥ.3
: Σε περίπτωση συνεργασίας με εξωτερικούς φορείς για την αποθήκευση και πρόσβαση σε προσωπικά δεδομένα χρηστών ΘΑ ΠΡΕΠΕΙ ΝΑ περιλαμβάνονται στη σχετική σύμβαση όροι για τη συλλογή και επεξεργασία των δεδομένων.


5. Ο ΚΥ.4 προτείνεται να τροποποιηθεί και να αλλάξει η διατύπωση προκειμένου να γίνεται παραπομπή στην κατηγοριοποίηση της Αρχής Προστασίας Προσωπικών Δεδομένων (απλά => Μη προσωπικά,  ευαίσθητα => Ευαίσθητα προσωπικά)  και να προστεθεί η κατηγορία Οικονομικά δεδομένα (να γίνει έλεγχος και διασταύρωση στο νόμο 2472/1998 για τους συγκεκριμένους όρους)  

6. Στους ΚΥ.7 και ΚΥ.8 να προστεθεί ο όρος «τουλάχιστον». Οι κανόνες προτείνεται να διαμορφωθούν ως εξής:

ΚΥ.7
: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 1 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 1 και β. Επίπεδο αυθεντικοποίησης τουλάχιστον 1.

ΚΥ.8: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 2 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 2 και β. Επίπεδο αυθεντικοποίησης τουλάχιστον 1.

Με την συγκεκριμένη προσθήκη δίνεται η δυνατότητα στους φορείς να προσφέρουν υπηρεσίες μεγαλυτέρου επιπέδου αυθεντικοποίησης.


7. Ο ΚΥ.9 προτείνεται να τροποποιηθεί ως εξής:

ΚΥ.9: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 3 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 3 και β. Επίπεδο Αυθεντικοποίησης τουλάχιστον 1 ενώ συνίσταται Επίπεδο Αυθεντικοποίησης 2


8. Οι ΚΠ.4 και ΚΠ.5 για λόγους απλότητας και σύντμησης προτείνεται να συμψηφιστούν με τον  ΚΥ.6. Η τελική διατύπωση του ΚΥ.6 προτείνεται να είναι η εξής:

ΚΥ.6: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 0 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 0 και δεν προτείνεται κάποια συγκεκριμένη διαδικασία εγγραφής β. Επίπεδο Αυθεντικοποίησης 0 και δεν προτείνεται η αξιοποίηση κάποιου μηχανισμού αυθεντικοποίησης.


9. Στο ΚΥ.10 να προστεθεί ο όρος «ή συνδυασμός τους με τα ψηφιακά πιστοποιητικά μίας χρήσης». Ο ΚΥ.10 προτείνεται να τροποποιηθεί ως εξής:

ΚΥ.10: Υπηρεσίες που έχουν υιοθετήσει το Επίπεδο Αυθεντικοποίησης 1 ΘΑ ΠΡΕΠΕΙ ΝΑ αξιοποιήσουν ως μηχανισμό αυθεντικοποίησης τα «ΣΥΝΘΗΜΑΤΙΚΑ» ή συνδυασμό των «ΣΥΝΘΗΜΑΤΙΚΩΝ» με «ΣΥΝΘΗΜΑΤΙΚΑ ΜΙΑΣ ΧΡΗΣΗΣ» ή συνδυασμό των «ΣΥΝΘΗΜΑΤΙΚΩΝ» με «ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗ ΔΥΟ ΠΑΡΑΓΟΝΤΩΝ» 


10. Στον ΚΥ.15 προτείνεται να συμπληρωθούν τα επίπεδα εγγραφής 1, 2 και 3 για μεγαλύτερη σαφήνεια. Συγκεκριμένα, ο κανόνας θα μπορούσε να διαμορφωθεί ως εξής:

ΚΥ.15: Ο Φορέας ΠΡΕΠΕΙ ΝΑ δημοσιοποιήσει τα απαραίτητα στοιχεία και έγγραφα που απαιτούνται για την εγγραφή των ενδιαφερόμενων στην υπηρεσία επιπέδου εγγραφής 1, 2 ή 3.


11. Ο ΚΜ.1 προτείνεται να γίνει υποχρεωτικός. Επίσης, να απαλειφθούν όλες οι αναφορές στην Πύλη ΕΡΜΗΣ καθώς επίσης και να διατυπωθεί ότι μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή της υπηρεσίας είναι απαραίτητο να υπάρχει και να λειτουργεί αποτελεσματικά μία καλά ορισμένη σχέση εμπιστοσύνης. Ο συγκεκριμένος κανόνας θα μπορούσε να διατυπωθεί ως εξής:

ΚΥ.16. Μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή της υπηρεσίας ΠΡΕΠΕΙ ΝΑ έχει εγκαθιδρυθεί και να λειτουργεί αποτελεσματικά μία καλά ορισμένη σχέση εμπιστοσύνης (trustrelationship).


12. Στον KY.16 όλες οι αναφορές για την πύλη ΕΡΜΗΣ να αλλάξουν σε Αρχή Εγγραφής ή εξυπηρετητής της υπηρεσίας. Πιο συγκεκριμένα:

ΚΥ.16: Κατά την εκτέλεση της υπηρεσίας, η Αρχή Εγγραφής ή ο εξυπηρετητής της υπηρεσίας ΠΡΕΠΕΙ ΝΑ αποθηκεύουν ασφαλώς στοιχεία που να αφορούν το ιστορικό κάθε επικοινωνίας (λήψη αιτήσεων, αποστολή απαντήσεων, χρόνος διενέργειας της επικοινωνίας κλπ) με το χρήστη και τον εξυπηρετητή της αντίστοιχης υπηρεσίας, αποκλειστικά και μόνον για σκοπούς διασφάλισης της δυνατότητας ελέγχου (auditing).

13. Ομοίως, στον KY.17 όλες οι αναφορές για την πύλη ΕΡΜΗΣ να αλλάξουν σε Αρχή Εγγραφής ή εξυπηρετητής της υπηρεσίας. Πιο συγκεκριμένα:

ΚΥ.17:  ΠΡΕΠΕΙ ΝΑ λαμβάνονται τα κατάλληλα μέτρα ασφάλειας ώστε να ικανοποιούνται οι απαιτήσεις ασφάλειας που τίθενται από το Επίπεδο Εμπιστοσύνης στο οποίο έχει ενταχθεί η υπηρεσία. Οι απαιτήσεις ασφαλείας ΠΡΕΠΕΙ ΝΑ ικανοποιούνται τόσο στο τμήμα επικοινωνίας μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή υπηρεσίας, όσο και στο τμήμα επικοινωνίας μεταξύ Αρχής Εγγραφής και χρήστη.

14. Οι ΚΥ.18, 19, 20 να τροποποιηθούν κατάλληλα και να συντμηθούν στον ακόλουθο κανόνα:

ΚΥ.18: H Αρχή Πιστοποίησης θα ΠΡΕΠΕΙ ΝΑ τηρεί το νομικό πλαίσιο όπως προβλέπεται από την κείμενη σχετική νομοθεσία


Γενικές Παρατηρήσεις

1. Θα πρέπει να καθοριστούν και να προβλέπονται οι διαδικασίες που αφορούν την απομακρυσμένη φυσική ταυτοποίηση.

Απάντηση: Ενσωματώθηκε στο κείμενο για το Επίπεδο Εγγραφής 2 και Επίπεδο Εγγραφής 3.

2. Καθορισμός επιπέδου εμπιστευτικότητας για σύνθετες υπηρεσίες με άντληση πληροφοριών από διαφορετικούς φορείς (πρόταση για την χρήση του αυστηρότερου)

Απάντηση: Ενσωματώθηκε στο κείμενο (εισαγωγή για τα επίπεδα εμπιστοσύνης)

3. Να υπάρξει σε μια πρώτη φάση πιστοποίηση για συστήματα (servers) (αφορά την συναλλαγή μεταξύ agents-trusted systems) και σε επόμενη για τους χρήστες

Απάντηση: Καλύπτεται από τον ΚΥ.16

4. Επισήμανση της λειτουργίας της χρονοσήμανσης (RFC 3161)

Απάντηση: Δημιουργήθηκε νέος κανόνας (ΚΥ.19)

5. Χρήση μεταβατικής περιόδου ώστε να μπορέσουν οι φορείς να ανεβάσουν το επίπεδο εμπιστευτικότητας (π.χ. προαιρετικότητα του κανόνα ΚΥ 9 μέχρι την χρήση ψηφιακών υπογραφών)

Απάντηση: Έγινε η αναγκαία αλλαγή στον ΚΥ.9

6. Επίπεδα αυθεντικοποίησης σύμφωνα με τα δεδομένα ή όχι

Απάντηση: Παρέμειναν τα επίπεδα αυθεντικοποίησης σύμφωνα και με τον τύπο των δεδομένων.

7. Θα πρέπει να προσδιοριστεί ότι το επίπεδο εμπιστοσύνης το καθορίζει ο Φορέας που προσφέρει την ηλεκτρονική υπηρεσία

Απάντηση: Ενσωματώθηκε στο κείμενο (εισαγωγή για τα επίπεδα εμπιστοσύνης)

8. Ανάγκη για να διατυπωθεί και με ποιον τρόπο, η ταυτοποίηση για πολύ-εισοδικές υπηρεσίες

Απάντηση: Περιγράφεται από τις περιπτώσεις aκαι bστην ενότητα διαδικασία εγγραφής σε πολυεισοδικές υπηρεσίες.

9. Επίπεδο αυθεντικοποίησης 1 … στο τέλος να προστεθεί η συνδυασμός τους.

Απάντηση: Έγινε η απαραίτητη προσθήκη στο Επίπεδο Αυθεντικοποίησης 1

10. Στα επίπεδα εγγραφής να υπάρχει το επίπεδο ολοκλήρωσης των υπηρεσιών για καλύτερη σαφήνεια και να προστεθεί πίνακας αντιστοίχισης.

Απάντηση: Προστέθηκε ο σχετικός πίνακας στην περιγραφή του Επιπέδου Εγγραφής 2.

11. Να αναφερθούν οι όροι για τα αναγνωρισμένα ψηφιακά πιστοποιητικά, ψηφιακή υπογραφή και προηγμένη ηλεκτρονική υπογραφή, σε σχέση με το ΠΔ150/2001 και να εξεταστεί η αναφορά αναγνωρισμένα στο κείμενο

Απάντηση: Προστέθηκαν οι όροι ψηφιακή υπογραφή και προηγμένη ηλεκτρονική υπογραφή στην εισαγωγή του Παραρτήματος ΙΙΙ.

12. Χρειάζεται να οριστούν πιο συγκεκριμένοι Κανόνες για υπηρεσίες G2G, σε σχέση με τις υπηρεσίες G2C και G2B που καλύπτονται σήμερα από το πλαίσιο.

13. Χρειάζεται να προσδιοριστούν με μεγαλύτερη σαφήνεια και ακρίβεια κανόνες στο Πλαίσιο που αφορούν την Ταυτοποίηση των τελικών χρηστών, αλλά και νόμιμων εκπροσώπων ενός Φορέα. Ειδικότερα, τα θέματα της Ταυτοποίησης δεν καλύπτονται ικανοποιητικά στο πλαίσιο και χρειάζεται να ακολουθήσει μεγαλύτερη ανάλυση και εξειδίκευση.

14. Χρειάζεται να προσδιοριστούν τα θέματα που αφορούν την Ενιαία Κοινή Αυθεντικοποίηση  και να καθοριστούν οι προδιαγραφές και απαιτήσεις στη λειτουργία των Identity Providers μεταξύ τους αλλά και με SPs για τα επίπεδα εγγραφής 1, 2 και 3