Opinia do dok ESP_2013 12 23 docxx

Opinia Polskiej Izby Informatyki i Telekomunikacji [PIIT]
dotycząca dokumentu
„Standard Elektronicznej Skrzynki Podawczej Wersja 1.0”
Streszczenie
Przedstawiony dokument prezentuje aktualny stan prawny i techniczny realizacji skrzynki
podawczej przez system ePUAP, natomiast nie daje przestrzeni dla zastosowania w tym
zakresie zmian normalizacyjnych i prawnych Unii Europejskiej, prezentując rozwiązania
opracowane 5 lat temu. Dokument opisując elementy skrzynki ePUAP nie wskazuje jaki zakres
stanowią wymagania standaryzacyjne, a co jest najlepszą praktyką, wobec czego dokument
nie pozwala na jednoznaczną interpretacje swoich zapisów i stosowanie zgodne ze swoim
przeznaczeniem.
Uwagi i rekomendacje
1.
W dokumencie zaprezentowano stan prawny realizowany przez ustawy: o
informatyzacji działalności podmiotów realizujących zadania publiczne oraz kodeks
postępowania administracyjnego (wraz z rozporządzeniami wykonawczymi). W tym
zakresie definicje i główne założenia odzwierciedlają wymagania prawa. Jednakże
należy zauważyć, że główne założenia są w tym zakresie nieuporządkowane, a
naprzemienne wymienianie elementów dotyczących przedkładania, doręczania,
doręczania przez podmioty publiczne mogą prowadzić do niejednoznaczności w
zakresie interpretacji założeń. Zaleceniem w tym zakresie jest uporządkowanie założeń
dotyczących zidentyfikowanych procesów administracyjnych.
2. Rozdział drugi prezentuje implementację skrzynki podawczej w systemie ePUAP, która
jest logicznie podzielona na Adresy, Bramki i Magazyny, ale podział ten nie może być
obowiązkowy dla wszystkich systemów, które realizują skrzynkę na własne potrzeby.
Konieczne jest podzielenie tego opisu na elementy wymagane standardem oraz takie
które są implementacją techniczną.
3. Standaryzacja skrzynki podawczej powinna przede wszystkim skupić się na elementach
obowiązkowych w zakresie zapewnienia interoperacyjności, tymi elementami są:
a. Zestawienie rodzajów interfejsów dla skrzynki podawczej
b. Sposoby udostępnienia informacji o interfejsie skrzynki podawczej
c. Przyjęte oraz referencyjne normy i standardy dla implementacji skrzynki
d. Katalog dopuszczonych formatów Urzędowego Potwierdzenia Odbioru
e. Wymagania bezpieczeństwa realizacji skrzynki podawczej
Opinia PIIT do dokumentu ESP, 2013-12-23
Strona 1
f.
4.
5.
6.
7.
8.
9.
Warunki techniczno-organizacyjne dla generacji urzędowego potwierdzenia
odbioru w trybie automatycznym jak i ręcznym, w trybie przedkładania i
doręczania
g. Mechanizmy budowania zaufania wobec urzędowych potwierdzeń odbioru i
skrzynki podawczej
h. Warunki prawidłowej weryfikacji urzędowego potwierdzenia odbioru
i. Możliwe rozszerzenia
Dokument nie opisuje standardów dotyczących formatu dokumentu stanowiącego
Elektroniczne Potwierdzenie Odbioru, ograniczając się jedynie do prezentowanej
zawartości informacyjnej. Zakres tego dokumentu powinien zostać rozszerzony o
szczegółowy opis formatów realizacji urzędowego potwierdzenia odbioru, zależnych od
przyjętych interfejsów, sposobów generacji oraz warunków prawidłowej weryfikacji.
Dokument nie opisuje sposobu zapewnienia integralności UPO wraz z przekazywanym
dokumentem, zapewnienie integralności jest wymaganiem prawnym a jego możliwe
implementacje powinny odwoływać się do norm.
Dokument nie odnosi się w jaki sposób może być realizowane UPO dla zestawów
dokumentów, zamiast pojedynczego dokumentu. Mechanizm papierowy pisma
przewodniego nie realizuje wymagań integralności obowiązkowych w przetwarzaniu
elektronicznym, wobec czego standard powinien to zaadresować.
Przepis prawa wskazują, że skrzynka podawcza powinna być identyfikowana przez
adres URI, natomiast nie określają że jedynym dopuszczalnym mechanizmem dla
skrzynki podawczej jest mechanizm opisany protokołem http lub https. Aktualny
rozwój informatyki nie powinien ograniczać się jedynie do standardów opartych o
mechanizmy web i umożliwić różne mechanizmy komunikacji. Dotyczy to zarówno
możliwości
wykorzystania
powszechnie
stosowanego
mechanizmu
poczty
elektronicznej jak i coraz częściej stosowanych mechanizmów związanych z
urządzeniami mobilnymi. Ma to szczególne znaczenie w kontekście faktu iż dla
mechanizmów poczty elektronicznej są przyjęte w Europie standardy realizacji usług
zapewnienia niezaprzeczalności przesłania i doręczenia.
Parlament Europejski pracuje nad rozporządzeniem Parlamentu Europejskiego i Rady
w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji
elektronicznych na rynku wewnętrznym (eIDAS), który w rozdziale 7 określa ramy
prawne dla standaryzacji usług doręczeń. Usługa skrzynki podawczej powinna być w
tym zakresie niesprzeczna z projektowanymi przepisami i umożliwiać łatwe
dostosowanie. Standard powinien zakreślić rekomendacje w zakresie zgodności z
wymaganiami projektowanego rozporządzenia.
ETSI w ramach realizowanego mandatu Unii Europejskiej (M/460) przeprowadza
reformę ram standaryzacyjnych dla usług zaufania, która mam być odpowiedzią na
mechanizmy prawne opisane rozporządzeniem eIDAS. W ramach działań ETSI
przygotowano grupę standardów realizujących elektroniczne doręczenia (skrzynkę
podawczą) – ETSI TS 102 640 Electronic Signatures and Infrastructures (ESI); Registered
Electronic Mail (REM). Standaryzacja skrzynki podawczej, która powinna
Opinia PIIT do dokumentu ESP, 2013-12-23
Strona 2
funkcjonować w UE nie może pomijać standardów wskazanych dla realizacji skrzynki
podawczej. Bardzo ważny jest fakt iż wskazana norma opisuje strukturę elementów
potwierdzenia nadania, odbioru wskazując sposób zapisu i standaryzując proces
weryfikacji. Realizacja struktury UPO zgodnie z wymaganiami normy zapewni jej
międzynarodową rozpoznawalność i możliwość współpracy z innymi systemami
realizującymi ww. usług.
10. Stosowanie skrzynki podawczej wymaga zbudowania mechanizmów zaufania do
wytwarzanych przez nią dokumentów, a w szczególności do uwierzytelnienia się jej
wobec odbiorcy jej usług, zapewnienia wiarygodności podpisów elektronicznych. W
tym zakresie należy w standaryzacji przyjąć założenia dotyczące certyfikatów SSL
stosowanych do uwierzytelnienia skrzynki wobec odbiorców, w tym podjęcie decyzji w
oparciu o jakie mechanizmy będzie budowane zaufanie. Drugim elementem jest
zapewnienie zaufania do certyfikatów służących do weryfikacji podpisów HSM
(pieczęci elektronicznych) składanych w poświadczeniach przedłożenia. Rekomendacją
standardu ETSI TS 102 640 jest zastosowanie struktury list zaufania TSL. W tym
zakresie należy podjąć decyzję, czy Minister ds. informatyzacji nie powinien
publikować listy TSL dla skrzynek podawczych.
11. Aktualne standardy podpisu dają możliwość wydawania poświadczeń dla
dokumentów, które pozostają na serwerach zdalnych w stosunku do wydającego
poświadczenie. Przykładem może być przekazanie dokumentu do urzędu gminy, która z
wykorzystaniem systemu wojewódzkiego lub ePUAP wystawia UPO, jednakże w tym
procesie dokument elektroniczny dla którego zostało wystawione potwierdzenie
przedłożenia pozostaje na serwerach urzędu gminy. Propozycja standardu nie odnosi
się do warunków interoperacyjności, technicznych i bezpieczeństwa realizacji takiego
scenariusza.
12. Projekt rozporządzenia eIDAS wprowadza możliwość realizacji usług elektronicznych
administracji publicznej na podstawie elektronicznej identyfikacji – opisanej w artykule
3. Proces ten jest jeszcze nieustalony, ale zarówno wspomniany projekt jak i przepisy
artykułu 20a ust. 2 Ustawy o informatyzacji podmiotów realizujących zadania
publiczne dają podstawy do stosowania mechanizmów identyfikacji innych niż
kwalifikowany podpis elektroniczny i profil zaufany ePUAP. Mechanizmami tymi są
przede wszystkim systemy lokalne potwierdzające tożsamość usługobiorców. Nie ma
ograniczeń techniczny ani prawnych aby poświadczenie przedłożenia zawierało
potwierdzone informacje o tożsamości osoby, która składa pismo uprzednio
uwierzytelniwszy się w systemie identyfikacji. Takie urzędowe poświadczanie odbioru
zapewniałoby integralność danych i autentyczność dokumentu także w kontekście
osoby, która składała dane podanie. Możliwość rozszerzenia UPO o potwierdzone dane
osoby składającej pismo daje przestrzeń do równego traktowania dokumentów
otrzymanych przez podmioty publiczne, ich przekazywania dalej w procesie
administracyjnym i traktowania jak dokumentu podpisanego. Takie rozszerzenie może
znacząco zwiększyć dostępność usług administracji publicznej.
Opinia PIIT do dokumentu ESP, 2013-12-23
Strona 3
13. Standaryzacja skrzynki podawczej powinna dawać przestrzeń dla realizacji usług
komercyjnych w oparciu o wskazane mechanizmy. W szczególności jeżeli usługa
kurierska jest dopuszczona w kontakcie obywatela z administracją publiczną, to
niezrozumiały jest brak dopuszczenia usług komercyjnych realizujących usługi
elektroniczne. Dopuszczenie takich usług ma zasadnicze znaczenie dla rozwoju
elektronicznej gospodarki, która dostarcza jednolite narzędzia i interfejsy
użytkownikom do obsługi ich procesów biznesowych, a kontakt z administracją
publiczną jest jednym z nich.
14. Stosowanie mechanizmów zabezpieczeń informacji – jednym z nich jest mechanizm
UPO – wymaga określenia warunków bezpieczeństwa stosowania takiej usługi.
Warunki te dotyczą organizacji, technologii i nadzoru. Standard dla skrzynki podawczej
powinien określać zabezpieczenia których stosowanie jest rekomendowane i
obowiązkowe w zakresie skrzynki podawczej. Taka rekomendacja wraz z wymaganą
przez Krajowe Ramy Interoperacyjności analizą ryzyka dają podstawę do ustanowienia
warunków bezpieczeństwa implementacji skrzynki podawczej. Jednocześnie autorzy
niniejszej rekomendacji są przeciwni ustaleniu stałego katalogu zabezpieczeń
obowiązkowych, ponieważ taki katalog nie pozwala na zapewnienie bezpieczeństwa
zmieniającego się katalogu podatności i zagrożeń.
15. Elementem obowiązkowym standardów ustalających formaty poświadczeń
elektronicznych jest dokładne opisanie warunków prawidłowej ich weryfikacji.
Weryfikacja UPO nie może podlegać domysłom i powinna być szczegółowo opisana
standardem w zakresie wszystkich elementów. Opis taki stanowi podstawę do
prawnego uznania danego dokumentu elektronicznego w procesie dowodowym, a brak
takiego uszczegółowienia może prowadzić do zaprzeczenia ważności UPO. Standard
powinien szczegółowo opisać elementy UPO i sposób ich prawidłowej i jednoznacznej
weryfikacji.
Opinia PIIT do dokumentu ESP, 2013-12-23
Strona 4