Ministarstvo uprave Republike Hrvatske - Projekt e-Građani · • Ministarstvo uprave Republike Hrvatske • Financijska agencija • Klijenti • Korisnici . 4.1 Ministarstvo uprave

MINISTARSTVO UPRAVE

e-Hrvatska

Dokument poslovne specifikacije Protokol rada NIAS-a

Projekt: e-Građani Komponenta: NIAS Djelokrug: FINA

Datum: 06.09.2013. Namjena: Za dionike u projektu Verzija: 1.0 Status: Službeno

| 0BUvod 1

Projekt e-Građani

Nacionalni identifikacijski i autentifikacijski sustav (NIAS)

Protokol rada NIAS-a

Verzija 1.0

MINISTARSTVO UPRAVE

e-Hrvatska




2 0BUvod |

Sadržaj

1. Uvod ............................................................................................ 5

2. Osnovni koncept NIAS-a .............................................................. 6

3. Mogućnosti koje NIAS-a pruža klijentima i korisnicima ............... 7

3.1 Klijent: Izdavatelj vjerodajnice ..................................................... 7

3.2 Klijent: Pružatelj elektroničke usluge ........................................... 7

3.3 Korisnici: vlasnici vjerodajnice ...................................................... 8

3.3.1 mojID .................................................................................... 8

4. Organizacijski model NIAS-a ....................................................... 9

4.1 Ministarstvo uprave Republike Hrvatske ....................................... 9

4.2 Financijska agencija .................................................................... 10

4.3 Klijenti NIAS-a ............................................................................ 11

4.4 Pružatelj elektroničke usluge ...................................................... 11

4.5 Tehnička integracija e-usluge u NIAS ......................................... 13

4.6 Izdavatelj vjerodajnice ............................................................... 14

4.7 Tehnička integracija vjerodajnice u NIAS ................................... 16

4.8 Razine osiguranja kvalitete autentifikacije vjerodajnice ............. 17

4.9 Fina kao Izdavatelj vjerodajnica ................................................. 17

4.10 Prihvat podatka drugih izdavatelja vjerodajnica u Finin sustav radi izdavanja novog korisničkog imena/lozinke za potrebe projekta e-Građani ......................................................... 18

4.11 Korisnici ...................................................................................... 19

5. Osnove rada NIAS-a ................................................................... 20

5.1 Generički dijagram rada NIAS-a .................................................. 20

5.2 Korisnik ...................................................................................... 21

5.3 Izdavatelj vjerodajnice ............................................................... 21

5.4 Pružatelj e-usluge ....................................................................... 21

MINISTARSTVO UPRAVE

e-Hrvatska




| 0BUvod 3

5.5 SAML poruke ............................................................................... 21

5.6 Višerazinska autentifikacija ........................................................ 22

5.7 Jednostruka autentifikacija Korisnika ......................................... 22

5.8 Jednostruka odjava Korisnika sa e-usluga .................................. 22

5.9 Odjava sa NIAS-a ........................................................................ 23

5.10 Aplikacijski i poslužiteljski certifikati .......................................... 23

5.11 Podaci u NIAS-u .......................................................................... 23

5.12 Okolina ....................................................................................... 23

5.13 Evidencija o osobnim identifikacijskim brojevima (OIB sustav) ........................................................................................ 24

5.14 Sigurnost informacijskih sustava ................................................ 24

6. Razina kvalitete usluga (SLA) .................................................... 25

6.1 Prekid rada ................................................................................. 25

6.2 Stadardni SLA uvjeti ................................................................... 25

6.3 Informacijska i komunikacijska infrastruktura Fine .................... 27

7. Pojmovnik .................................................................................. 28

MINISTARSTVO UPRAVE

e-Hrvatska




4 0BUvod |

Povijest promjena

Verzija Datum Opis Autori

0.1 01.07.2013 Nacrt - inicijalna verzija Fina 0.2 18.07.2013 Radna verzija Ministarstvo uprave,

e-Hrvatska 0.3 23.08.2013 Dopuna: poglavlje 5.14 Fina

1.0 06.09.2013 Službeno objavljeno uz Program razvoja elektroničkih usluga

Ministarstvo uprave, e-Hrvatska

MINISTARSTVO UPRAVE

e-Hrvatska




| 0BUvod 5

1. Uvod

Vlada RH je na svojoj 87. sjednici dana 25.04.2013. donijela Odluku o pokretanju projekta e-Građani (NN 52/13, dalje: Odluka). Projekt e-Građani će omogućiti građanima pristup javnim informacijama i informacijama o javnim uslugama na jednom mjestu, siguran pristup osobnim podacima i elektroničku komunikaciju građana i javnog sektora. Projekt e-Građani je koncipiran kroz tri sastavnice i to: Sustava središnjeg državnog portala, Nacionalnog identifikacijskog i autentifikacijskog sustava (NIAS) i Sustava osobnog korisničkog pretinca.

NIAS je informacijsko-tehnološki sustav središnje identifikacije i autentifikacije korisnika elektroničkih javnih usluga, definiran Odlukom.

Temeljem Odluke, posao uspostave i operativnog vođenja Nacionalnog identifikacijskog i autentifikacijskog sustava povjeren je Fini. Također, temeljem Odluke, Fina je s Vladom Republike Hrvatske sklopila Ugovor o obavljanju poslova uspostave i operativnog vođenja Nacionalnog identifikacijskog i autentifikacijskog sustava (dalje: Ugovor) u kojem je ugovorena obveza izrade i donošenja Protokola rada NIAS-a.

Fina je temeljem Ugovora uspostavila NIAS koji obuhvaća:

• informacijsko tehnološki sustav središnje identifikacije i autentifikacije građana kao Korisnika elektroničkih javnih usluga,

• podatke koji se generiraju u tom sustavu i

• poslovno-tehnološku podršku sustavu.

Fina je kroz Pilot projekt, kao izvođač, od srpnja – listopada 2012. godine, dokazala tehničku izvedivost NIAS-a kroz integraciju sa stvarnim e-uslugama i stvarnim Izdavateljima vjerodajnica.

Ovim Protokolom rada NIAS-a osobito se definiraju pravila uključivanja, rada i korištenja sustava NIAS.

MINISTARSTVO UPRAVE

e-Hrvatska




6 1BOsnovni koncept NIAS-a |

2. Osnovni koncept NIAS-a

NIAS je cjelovito informacijsko-tehnološko rješenje, izgrađeno na načelima utvrđenima u Prijedlogu koncepta integriranog središnjeg sustava autentifikacije i autorizacije (Središnji državni ured za e-Hrvatsku, Verzija 1.1, od 8. lipnja 2010. godine), za autentifikaciju Korisnika na nacionalnoj razini, koje uključuje više tipova vjerodajnica različitih razina sigurnosti.

Temeljna funkcija NIAS-a je sigurna elektronička identifikacija i autentifikacija Korisnika e-usluga.

NIAS funkcionalno razlikuje tri osnovne vrste subjekata:

• Izdavatelje elektroničkih vjerodajnica

• Pružatelje e-usluge

• Korisnike e-usluge

NIAS ima ulogu posrednika između Korisnika e-usluge, Pružatelja e-usluge i Izdavatelja vjerodajnice. Pri tome, NIAS umjesto e-usluge šalje upit Izdavatelju vjerodajnice kako bi se provjerila njezina autentičnost. Nakon uspješne provjere autentičnosti vjerodajnice, NIAS Pružatelju usluge dostavlja identifikacijske podatke (atribute) o Korisniku na temelju kojih e-usluga odobrava pristup Korisniku. Ključne karakteristike vjerodajnica u procesima autentifikacije su njihova sigurnosna razina.

Skup podataka koji NIAS prosljeđuje e-usluzi je dovoljan za jednoznačnu identifikaciju Korisnika.

Rad NIAS-a se temelji na upravljanju atributima elektroničkih identiteta (e-ID/e-identiteta) Korisnika NIAS-a. Korisnik svoj e-ID dokazuje uporabom vjerodajnice uključene u NIAS-a u procesu prijave na e-usluge. NIAS e-usluzi dostavlja korisničke podatke (atribute) iz OIB sustava.

Svi subjekti komuniciraju razmjenjujući poruke sukladno SAML 2.0 standardu.

MINISTARSTVO UPRAVE

e-Hrvatska




| 2BMogućnosti koje NIAS-a pruža klijentima i korisnicima 7

3. Mogućnosti koje NIAS-a pruža klijentima i korisnicima

S aspekta poslova integracije i načina reguliranja prava i obveza, NIAS razlikuje Klijente i Korisnike.

Klijenti su subjekti koji sa Financijskom agencijom (dalje: Finom) i Ministarstvom uprave Republike Hrvatske (dalje: MU) sklapaju sporazum prije provođenja poslova integracije. Klijenti su:

• Izdavatelji vjerodajnica i

• Pružatelji e-usluga.

Korisnici putem NIAS-a pristupaju e-uslugama korištenjem vjerodajnica s Liste prihvatljivih vjerodajnica.

3.1 Klijent: Izdavatelj vjerodajnice

Integracijom vjerodajnice u NIAS, vjerodajnica postaje nacionalno priznata kao sredstvo pristupa svim e-uslugama integriranim u NIAS koje prihvaćaju njezinu razinu sigurnosti te joj se time povećava uporabna vrijednost.

3.2 Klijent: Pružatelj elektroničke usluge

Pružatelj e-usluge na temelju pozitivnog konačnog mišljenja MU i Fine o uključivanju e-usluge/a toga Pružatelja e-usluge u NIAS sklapa trostrani pisani sporazum s Finom i MU o uključivanju/integraciji njegove/ih e-usluga u NIAS.

NIAS Pružatelju e-usluga jamči pouzdanu identifikaciju i autentifikaciju Korisnika na temelju vjerodajnica uključenih u NIAS. Pružatelj e-usluge samostalno procjenjuje rizik pristupa svojim resursima te definira minimalnu razinu sigurnosti vjerodajnice kojoj dopušta pristup pojedinoj e-usluzi. Samostalno definira uvjete za e-identitete kojima će dozvoliti pristup u sustav. Autorizacija Korisnika, odnosno davanje ovlasti za korištenje e-usluge, je u nadležnosti Pružatelja usluge.

Uključivanjem u NIAS, Pružatelju e-usluge se omogućava:

• Prestanak potrebe za upravljanjem korisničkim računima za potrebe pristupa vlastitim resursima;

• Prihvat Korisnika s različitim vrstama vjerodajnica koje imaju minimalne razinu sigurnosti (Poglavlje 4.3.2.2 Razine osiguranja kvalitete autentifikacije vjerodajnice) koju zahtjeva Pružatelj e-usluge;

• Prihvat Korisnika svih vjerodajnica koje imaju vjerodajnicu barem minimalne razine sigurnosti koju je propisao sam Pružatelj usluge;

• Mogućnost korištenja gotovog integracijskog modula za povezivanje s NIAS-om;

MINISTARSTVO UPRAVE

e-Hrvatska




8 2BMogućnosti koje NIAS-a pruža klijentima i korisnicima |

• Potpuna pouzdanost u proces autentifikacije;

• Tehnološka neovisnost e-usluge (NIAS funkcionira neovisno o tehnološkom rješenju na kojem je koncipirana e-usluga);

• Nadzirani protokol razmjene poruka između NIAS-a i e-usluge;

• Sigurna razmjena podataka.

3.3 Korisnici: Vlasnici vjerodajnice

Da bi Korisnik pristupio NIAS-u mora imati važeću vjerodajnicu koja je uključena/integrirana u NIAS.

NIAS Korisniku omogućava:

• Korištenje jedne (ili minimalnog broja vjerodajnica sukladno zahtijevanim razinama sigurnosti) za pristup svim e-uslugama javne uprave;

• Jednostruku autentifikaciju za pristup e-uslugama koje se nalaze na više različitih web stranica, odnosno domena povezanih sa NIAS-om (single sign on);

• Jednostruku odjavu sa svih e-usluga na kojima je Korisnik prijavljen ukoliko je funkcionalnost podržana od strane pojedine e-usluge;

• Ugrađene mehanizme za prepoznavanje i presretanje uljeza;

• Zaštitu privatnosti osobnih podataka prilikom razmjene podataka te uvid u vrstu podataka koji će biti proslijeđeni e-usluzi;

• Mogućnost obustave procesa razmjene podataka od strane Korisnika i odustanak od pristupa e-usluzi putem NIAS-a.

3.3.1 mojID

NIAS Korisniku kroz korisnički orijentiranu e-uslugu mojID omogućava personalizaciju računa i profiliranje određenih aktivnosti vezanih za rad NIAS-a.

mojID je sastavni dio NIAS-a. mojID zahtjeva autentifikaciju kroz NIAS, a Korisniku omogućava:

• Unos e-mail adresa za primanje obavijesti o aktualnim autentifikacijama (sigurnosna prevencija);

• Uvid u povijest razmijenjenih podataka sa Pružateljima e-usluga prilikom svake prijave na e-usluge;

• Podešavanje postavki za automatsko davanje dozvole NIAS-u za prosljeđivanjem osobnih podataka Pružatelju e-usluge.

MINISTARSTVO UPRAVE

e-Hrvatska




| 3BOrganizacijski model NIAS-a 9

4. Organizacijski model NIAS-a

Organizacijski model NIAS čine:

• Ministarstvo uprave Republike Hrvatske

• Financijska agencija

• Klijenti

• Korisnici

4.1 Ministarstvo uprave Republike Hrvatske

Temeljem Odluke, Ministarstvo uprave Republike Hrvatske (dalje: MU) je zaduženo za upravljanje NIAS-om. MU sudjeluje u upravljanju NIAS-om sukladno Odluci, Ugovoru, ovom Protokolu i drugim aktima donesenima za provođenje Projekta e-Građani.

U upravljanju NIAS-om MU:

• upoznaje potencijalnog izdavatelja vjerodajnice sa dokumentom Kriteriji za određivanje razine osiguranja kvalitete autentifikacije za Nacionalni identifikacijski i autentifikacijski sustav (NIAS);

• zajedno s Finom sudjeluje u procjeni razine sigurnosti vjerodajnice;

• u suradnji s Finom donosi konačno mišljenje o ocjeni o razine sigurnosti vjerodajnice;

• zajedno s Finom, temeljem postupka uređenog ovim Protokolom, izrađuje Listu prihvatljivih vjerodajnica i istu donosi;

• zajedno s Finom utvrđuje način i dinamiku po kojoj će se e-usluge i vjerodajnice uključivati u NIAS;

• koordinira poslove javnog objavljivanja e-usluge uključenih u NIAS na Središnjem državnom portalu;

• koordinira poslove javnog objavljivanja Liste prihvatljivih vjerodajnica uključenih u NIAS na Središnjem državnom portalu;

• u suradnji s Finom donosi i druge upravljačke i operativne odluke glede rada NIAS-a;

• u suradnji s Finom koordinira poslove uključivanja Klijenata u NIAS;

• s Finom i Klijentima potpisuje trostrane pisane sporazume o uključivanju njihovih e-usluga odnosno vjerodajnica u NIAS.

MINISTARSTVO UPRAVE

e-Hrvatska




10 3BOrganizacijski model NIAS-a |

4.2 Financijska agencija

Financijska agencija (dalje: Fina) je temeljem Odluke zadužena za uspostavu i operativno vođenje NIAS-a. Fina, u suradnji s MU, donosi operativne odluke o radu NIAS-a i regulira način i dinamiku uključivanja/integracije e-usluga i vjerodajnica u NIAS.

Zadaća Fine je:

• uspostava, operativno vođenje i održavanje NIAS-a;

• operativno provođenje zadataka zajednički definiranih s MU;

• ispitivanje tehničkih uvjeta za integraciju e-usluge;

• potpisivanje trostranog sporazuma s pružateljem e-usluge i MU;

• davanje ocjene o tehničkoj spremnosti e-usluge za integraciju;

• provedba integracije e-usluge u testnom okruženju;

• procesi testiranja i verifikacije testiranja integracije e-usluge u testnom okruženju;

• provedba integracije e-usluge u produkcijskom okruženju;

• potpisivanje Zapisnika o produkcijskoj integraciji s pružateljima e-usluga i MU;

• davanje mišljenja o razini sigurnosti vjerodajnice;

• potpisivanje trostranog sporazuma s izdavateljem vjerodajnice i MU;

• provedba integracije vjerodajnice u testnom okruženju;

• procesi testiranja i verifikacije testiranja integracije vjerodajnice u testnom okruženju;

• provedba integracije vjerodajnice u produkcijskom okruženju;

• potpisivanje Zapisnika o produkcijskoj integraciji s izdavateljima vjerodajnica i MU;

• održavanje i nadzor rada NIAS-a;

• uspostava jedinstvene točke u postupku prijave Korisnika na e-usluge;

• korištenje vjerodajnica različitih razina sigurnosti u postupku autentifikacije korisnika;

• podrška za Korisnike sustava „Korisničkog imena i lozinke za e-Građane“ i mojID

• podrška za Klijente sustava NIAS.

MINISTARSTVO UPRAVE

e-Hrvatska





4.3 Klijenti NIAS-a

Klijenti NIAS-a su Pružatelji e-usluga i Izdavatelji vjerodajnica čije su e-usluge odnosno vjerodajnice uključene u NIAS.

4.4 Pružatelj elektroničke usluge

Pružatelj e-usluge je vlasnik e-usluge. Jedan Pružatelj e-usluga može biti vlasnik više e-usluga uključenih u NIAS. NIAS s Pružateljem e-usluge razmjenjuje podatke na razini pojedinačne e-usluge za potrebe pristupa na tu e-uslugu.

Pružatelj e-usluge koji se namjerava uključiti u NIAS dužan je svoju namjeru pisano iskazati MU. U pisano iskazanoj namjeri, Pružatelj e-usluge dužan je navesti:

• koju/e e-usluge želi uključiti u NIAS;

• funkcionalno-tehnički opis rada e-usluge/a koje želi uključiti;

• razvojno okruženje e-usluge;

• dosadašnji način autentifikacije Korisnika na e-uslugu/e;

• normativni okvir obavljanja e-usluge/a;

• struktura korisnika e-usluge/a;

• frekventnost zahtijevanja i pružanja e-usluge/a;

• prosječna i vršna opterećenja u pružanju e-usluge/a;

• minimalnu razinu sigurnosti vjerodajnice za pristup e-usluge/a koju želi uključiti u NIAS;

• korisnička podrška za uslugu;

• druge relevantne okolnosti glede obavljanja e-usluge/a.

MU će po zaprimanju pisano iskazane namjere uključivanja u NIAS od strane Pružatelja e-usluge, koordinirati poslove uključivanja istih u NIAS. U tom smislu će od Fine zatražiti procjenu mogućnosti uključivanja tih e-usluga u NIAS pri čemu će, ako za to bude postojala potreba, Fini omogućiti potrebne uvide kod Pružatelja e-usluge kako bi Fina što objektivnije mogla utvrditi ispunjava li Pružatelj e-usluge i predložena e-usluga/e potrebne uvjete za uključivanje u NIAS.

MU će u suradnji s Finom, temeljem prvobitno i naknadno dostavljene dokumentacije i podataka, te mogućeg neposrednog uvida u postupke i načine rada kod Pružatelja e-usluge, kao i mišljenja Fine, donijeti konačno mišljenje o uključivanju e-usluge/a toga Pružatelja e-usluge u NIAS.

Konačno mišljenje se ne daje u posebnom obliku već će se, u slučaju pozitivnog mišljenja, Pružatelju e-usluge ponuditi sklapanje trostranog sporazuma između njega kao Klijenta, MU kao upravitelja NIAS-a i Fine kao operativnog voditelja NIAS-a.

MINISTARSTVO UPRAVE

e-Hrvatska





Sporazum obvezuje Finu onoliko koliko bude važio ugovor između Vlade Republike Hrvatske i Fine o uspostavi i operativnom vođenju NIAS-a. Fina će pravodobno obavijestiti Pružatelja e-usluge o prestanku važenja sporazuma zbog prestanka važenja ugovora između Vlade Republike Hrvatske/MU i Fine o uspostavi i operativnom vođenju NIAS-a.

Fina ne odgovara za posljedice prestanka sporazuma na strani MU, Klijenata i Korisnika, kada je taj prestanak posljedica prestanka važenja Ugovora, osim kada je do prestanka važenja Ugovora došlo jednostranim raskidom od strane Vlade Republike Hrvatske zbog događaja/okolnosti za koje odgovara Fina.

Fina će Pružatelju e-usluge za kojeg je MU dalo pozitivno konačno mišljenje o uključivanju njegove e-usluge/a u NIAS dostaviti Tehničku specifikaciju za integraciju e-usluge.

Nakon sklapanja trostranog sporazuma, Fina će s Pružateljem e-usluge provesti potrebnu integraciju u testnoj okolini, a nakon uspješnog testiranja potpisati će Test prihvaćanja. Nakon Testa prihvaćanja, Fina će o tome obavijestiti MU. MU će dati nalog u formi koja nije izričito propisana da se obavi integracija u produkcijskoj okolini. Odmah po provedenoj integraciji u produkcijskoj okolini, potpisati će se Zapisnik o produkcijskoj integraciji između Fine i Pružatelja e-usluge i o tome obavijestiti MU.

Fina, kao voditelj NIAS-a, Pružatelju e-usluge osigurava tehničku podršku pri procesu integracije.

Potpisivanjem Zapisnika o produkcijskoj integraciji, e-usluga određenog Pružatelja je uključena u NIAS. MU je obvezan osigurati da se navedena činjenica objavi na Središnjem državnom portalu.

Fina, kao voditelj NIAS-a, nije odgovorna za postupanje Pružatelja e-usluge glede korištenja podataka Korisnika koje mu NIAS dostavi za potrebe prijave na e-uslugu.

Fina, kao voditelj NIAS-a, nije odgovorna Pružatelju e-usluge za pristup e-usluzi vjerodajnicom Korisnika koju neovlašteno koristi druga osoba.

Fina, kao voditelj NIAS-a, nije odgovorna za kvalitetu e-usluge i pouzdanost podataka koji se obrađuju i prikazuju u e-usluzi.

Fina ne odgovora za postupak odobravanja pristupa Korisnika na e-uslugu nakon postupka autentifikacije putem NIAS-a.

NIAS je obvezan Pružatelju e-usluge prilikom autentifikacije Korisnika proslijediti samo one podatke koji čine sadržaj poruke, a navedeni su u poglavlju 5.5 SAML poruke.

Pružatelj e-usluge ocjenjuje stupanj rizika te samostalno izgrađuje sustav autorizacije za pristup svojim resursima. Pružatelj e-usluge je odgovoran za izgradnju informacijsko-tehničkog sustava na strani e-usluge do stupnja spremnosti integracije u NIAS.

E-usluga obvezna je dopustiti prijavu Korisnika koji se autentificira vjerodajnicom više razine sigurnosti od one koja je definirana kao minimalna za pristup e-usluzi.

Pružatelj e-usluge sam definira trajanje sjednice po kojoj je korisnik prijavljen. Ukoliko korisnik nije aktivan na stranicama e-usluge, e-usluga će napraviti njegovu odjavu po isteku trajanja sjednice.

MINISTARSTVO UPRAVE

e-Hrvatska





Pružatelj e-usluge je obvezan pravovremeno obavijestiti Finu o svim promjenama koje namjerava napraviti na svojoj strani, a koje su uzete u obzir prilikom integracije i relevantne su za kvalitetu uspostavljene integracije.

Fina je ovlaštena u suradnji s MU iz NIAS-a isključiti e-uslugu/Pružatelja e-usluge za koje se naknadno utvrdi da u svom radu ne poštuju odredbe ovoga Protokola ili da njihovo postupanje sigurnosno ugrožava NIAS.

Pružatelj e-usluge će za e-uslugu uključenu u NIAS na svojim web stranicama objaviti podatke za kontakt putem kojih će Korisnicima pružati podršku.

4.5 Tehnička integracija e-usluge u NIAS

Za potrebe provedbe integracije e-usluge, Pružatelj e-usluge će dobiti Tehničku specifikaciju za integraciju e-usluge.

Tehnička integracija e-usluge (koja se nalazi na uslužnom poslužitelju Pružatelja e-usluge) s NIAS-om obavlja se na način da Pružatelj e-usluge pribavi aplikacijski X509 certifikat za e-uslugu te da implementira SAML protokol kojim se ostvaruje komunikacija između uslužnog poslužitelja i NIAS-a.

Aplikacijski X509 certifikat osigurava sigurnu razmjenu podataka između NIAS-a i e-usluge. Javni ključ tog X509 certifikata mora biti dostupan NIAS-u. Na isti način, javni ključ NIAS-ovog poslužiteljskog X509 certifikata mora biti dostupan e-usluzi. Razmjena certifikata obavlja se prije početka integracije e-usluge s NIAS-om.

Za implementaciju SAML protokola Pružatelj e-usluge može koristiti NIAS-ov integracijski modul koji sadrži biblioteke ili izraditi vlastite biblioteke koje podržavaju SAML standard i sadrže logiku kojom se ostvaruje veza između dva sustava. Biblioteke za komunikaciju s NIAS-om sadrže niz funkcionalnosti pomoću kojih se šalje zahtjev za SAML porukama te prima odgovor na taj isti zahtjev kao i funkcionalnosti pomoću kojih se dohvaćaju korisne informacije iz odgovora na zahtjev za SAML porukom.

Pružatelj e-usluge unutar svojeg sustava treba stvoriti web stranicu koja će mu služiti za slanje zahtjeva za SAML porukom te za zaprimanje odgovora na taj zahtjev.

Prije postupka integracije, Pružatelj e-usluge dostavlja URL web stranice na kojoj je dostupna e-usluga koja se integrira.

Postupak integracije za potrebe testiranja se radi na način da se e-usluga integrira sa testno-prezentacijskim sustavom NIAS. Pri tome se sa obje strane koriste demo aplikacijski X509 certifikati. Svi uspješno provedeni testovi integracije se verificiraju kroz Test prihvaćanja.

Postupak produkcijske integracije se radi na način da Pružatelj usluge e-uslugu integrira sa produkcijskim sustavom NIAS. Pri tome se sa obje strane koriste produkcijski aplikacijski X509 certifikati. Nakon obavljene produkcijske integracije potpisuje se Zapisnik o produkcijskoj integraciji.

MINISTARSTVO UPRAVE

e-Hrvatska





4.6 Izdavatelj vjerodajnice

Izdavatelj vjerodajnice pruža uslugu autentifikacije, odnosno potvrde valjanosti i validnosti izdane vjerodajnice. Izdavatelj vjerodajnica može imati jednu ili više vjerodajnica integriranih u NIAS.

Izdavatelj vjerodajnice koji svoje vjerodajnice namjerava uključiti u NIAS, mora pokrenuti postupak uključivanja vjerodajnica u NIAS odnosno uvrštenja tih vjerodajnica na Listu prihvatljivih vjerodajnica. Postupak se pokreće pisanim iskazivanjem namjere upućenim MU.

U pisano iskazanoj namjeri, Izdavatelj vjerodajnice dužan je navesti:

• koju/e vjerodajnice želi uvrstiti na Listu prihvatljivih vjerodajnica i uključiti u NIAS;

• funkcionalno-tehnički opis načina korištenja vjerodajnice;

• e-usluga/e koje su do tada prihvaćale vjerodajnicu;

• razvojno okruženje;

• normativni okvir izdavanja vjerodajnica;

• struktura korisnika vjerodajnica;

• vlastita procjena sigurnosne razine vjerodajnica;

• korisnička podrška;

• druge relevantne okolnosti za integraciju.

MU će po zaprimanju pisano iskazane namjere od strane Izdavatelja vjerodajnica, koordinirati poslove uključivanje vjerodajnica u NIAS odnosno uvrštenja istih na Listu prihvatljivih vjerodajnica.

MU će Izdavatelju vjerodajnica nakon zaprimanja njegove pisano iskazane namjere dostaviti dokument Kriteriji za određivanje razine osiguranja kvalitete autentifikacije za Nacionalni identifikacijski i autentifikacijski sustav (NIAS) i uputiti ga da MU u primjerenom roku dostavi potrebnu dokumentaciju i podatke utvrđene u navedenom dokumentu (poglavlje 4. Potrebna dokumentacija pri procjeni razine sigurnosti vjerodajnice) s napomenom da će se dostavljena dokumentacija i podaci koristiti za procjenu prihvatljivosti uvrštavanja predloženih vjerodajnica na Listu prihvatljivih vjerodajnica i uključivanje u NIAS.

MU će u suradnji s Finom, temeljem prvobitno i naknadno dostavljene dokumentacije i podataka te mogućeg neposrednog uvida u postupke i načine rada kod Izdavatelja vjerodajnica i s njim povezanih subjekata kao i mišljenja Fine, donijeti konačno mišljenje o uključivanju vjerodajnica u NIAS odnosno uvrštenju predloženih vjerodajnica na Listu prihvatljivih vjerodajnica.

Konačno mišljenje se ne daje u posebnom obliku već će se u slučaju pozitivnog mišljenja, Izdavatelju vjerodajnice ponuditi sklapanje trostranog sporazuma između njega kao Klijenta, MU kao upravitelja NIAS-a i Fine kao operativnog voditelja NIAS-a.

MINISTARSTVO UPRAVE

e-Hrvatska





Sporazum obvezuje Finu onoliko koliko bude važio ugovor između Vlade Republike Hrvatske/MU i Fine o uspostavi i operativnom vođenju NIAS-a. Fina će pravodobno obavijestiti Izdavatelja vjerodajnica o prestanku važenja sporazuma zbog prestanka važenja ugovora između Vlade Republike Hrvatske/MU i Fine o uspostavi i operativnom vođenju NIAS-a.


Fina će Izdavatelju vjerodajnice za kojeg je MU dalo pozitivno konačno mišljenje o uključivanju njegove vjerodajnice u NIAS odnosno uvrštenje na Listu prihvatljivih vjerodajnica dostaviti Tehničku specifikaciju za integraciju vjerodajnice.

Nakon sklapanja trostranog sporazuma, Fina će s Izdavateljem vjerodajnica provesti potrebnu integraciju u testnoj okolini, a nakon uspješnog testiranja potpisati će Test prihvaćanja. Nakon Testa prihvaćanja, Fina će o tome obavijestiti MU. MU će dati nalog u formi koja nije izričito propisana da se obavi integracija u produkcijskoj okolini. Odmah po provedenoj integraciji u produkcijskoj okolini, potpisati će se Zapisnik o produkcijskoj integraciji između Fine i Izdavatelja vjerodajnice i o tome obavijestiti MU.

Potpisivanjem Zapisnika o produkcijskoj integraciji vjerodajnica određenog Izdavatelja je uključena u NIAS i uzima se da je ista uvrštena na Listu prihvatljivih vjerodajnica. MU je obvezan osigurati da se navedene činjenice objave na Središnjem državnom portalu.

Izdavatelj vjerodajnice koja je prihvaćena u NIAS nadležan je za: održavanje podataka potrebnih kako bi se Korisnik autentificirao, provođenje definiranih pravila i procedura za osiguranje informacijskog integriteta, konzistentnosti i vjerodostojnosti sadržaja podataka koje koristi u procesu autentifikacije.

Izdavatelj vjerodajnice koja je prihvaćena u NIAS će NIAS-u sa svog autentifikacijskog poslužitelja osigurati stalnu dostupnost pouzdanih podataka o validnosti i valjanosti izdane vjerodajnice.

Izdavatelj vjerodajnice je obvezan pravovremeno obavijestiti Finu o svim promjenama koje namjerava napraviti na svojoj strani, a koje su uzete u obzir prilikom integracije i relevantne su za kvalitetu uspostavljene integracije.

Izdavatelj vjerodajnice je obvezan odmah obavijestiti Finu o izvanrednim promjenama koje su se dogodile nad revidiranim točkama za ocjenu razine sigurnosti vjerodajnice, a naročito u slučaju neovlaštenog pristupa podacima ili ugroze bilo koje komponente koja jamči definiranu sigurnost sustava.

Fina može zatražiti u bilo koje doba reviziju ocjene razine sigurnosti vjerodajnice. Ukoliko Fina ima saznanja ili osnovanu sumnju da Izdavatelj vjerodajnice ne provodi mjere relevantne za osiguranje razine sigurnosti vjerodajnice, o tome će obavijestiti MU te odmah zatražiti reviziju ocjene sigurnosti.

Ukoliko izdavatelj vjerodajnice smatra da je nadogradnjom sustava i poboljšanjem procesa izdavanja vjerodajnica stekao uvjete za povećanje razine sigurnosti vjerodajnice, putem MU

MINISTARSTVO UPRAVE

e-Hrvatska





može zatražiti reviziju ocjene razine sigurnosti vjerodajnice.

Fina ne odgovora za posljedice grešaka i propusta Izdavatelja vjerodajnica u postupku izdavanja vjerodajnica (npr. kod utvrđivanja identiteta Korisnika, kod utvrđivanja točnosti i cjelovitosti podataka o Korisniku te kod povezivanja podataka o Korisniku s vjerodajnicom izdanom Korisniku) koje se pojave u NIAS-u, osim kada je vjerodajnice sama izdala kao ovlašteni Izdavatelj vjerodajnica.

Fina ne odgovara ako NIAS-u ili e-usluzi pristupi Korisnik s vjerodajnicom pri čijem izdavanju je bilo grešaka i/ili propusta Izdavatelja vjerodajnice, osim kada je vjerodajnicu sama izdala kao ovlašteni Izdavatelj vjerodajnica.

Izdavatelj vjerodajnica za vjerodajnicu uključenu u NIAS će na svojim web stranicama objaviti podatke za kontakt putem kojih će krajnjim korisnicima pružati podršku vezano uz postupak izdavanja vjerodajnice i uslugu potvrde valjanosti i validnosti izdane vjerodajnice.

4.7 Tehnička integracija vjerodajnice u NIAS

Za postupak integracije nove vjerodajnice u NIAS, Izdavatelj vjerodajnice će dobiti Tehničku specifikaciju za integraciju vjerodajnice.

Izdavatelj vjerodajnice, čija vjerodajnica dobije pozitivno konačno mišljenje od MU o uključivanju vjerodajnice u NIAS odnosno uvrštenje iste na Listu prihvatljivih vjerodajnica može integrirati svoj autentifikacijski poslužitelj s NIAS-om.

Tehnička integracija autentifikacijskog poslužitelja Izdavatelja vjerodajnice s NIAS-om obavlja se na način da Izdavatelj vjerodajnice pribavi aplikacijski X509 certifikat za autentifikacijski poslužitelj te da implementira SAML protokol kojim se ostvaruje komunikacija između autentifikacijskog poslužitelja i NIAS-a.

Za implementaciju SAML protokola Izdavatelj vjerodajnice može koristiti NIAS-ov integracijski modul koji sadrži biblioteke ili izraditi vlastite biblioteke koje podržavaju SAML standard i sadrže logiku kojom se ostvaruje veza između dva sustava. Biblioteke za komunikaciju s NIAS-om sadrže niz funkcionalnosti pomoću kojih se šalje zahtjev za SAML porukama te prima odgovor na taj isti zahtjev kao i funkcionalnosti pomoću kojih se dohvaćaju korisne informacije iz odgovora na zahtjev za SAML porukom.

Prije postupka integracije, Izdavatelj vjerodajnice dostavlja URL web stranice na kojoj je dostupan autentifikacijski poslužitelj Izdavatelja vjerodajnice koji se integrira.

Postupak integracije za potrebe testiranja se radi na način da Izdavatelj vjerodajnice integrira autentifikacijski poslužitelj sa testno-prezentacijskim sustavom NIAS. Pri tome se sa obje strane koriste demo aplikacijski X509 certifikati. Svi uspješno provedeni testovi integracije se verificiraju kroz Testove prihvaćanja.

Postupak produkcijske integracije se radi na način da Izdavatelj vjerodajnice integrira autentifikacijski poslužitelj sa produkcijskim sustavom NIAS. Pri tome se sa obje strane koriste produkcijski aplikacijski X509 certifikati. Nakon obavljene produkcijske integracije potpisuje se Zapisnik o produkcijskoj integraciji.

Nakon uspješne integracije, korisnici vjerodajnice koja je integrirana u NIAS mogu koristiti

MINISTARSTVO UPRAVE

e-Hrvatska





novu vjerodajnicu posredstvom NAS-a.

4.8 Razine osiguranja kvalitete autentifikacije vjerodajnice

Procjena razine sigurnosti vjerodajnica vršit će se sukladno preporukama iz pilot projekta STORK, a koji opisuje skup zahtjeva koji se koriste za utvrđivanje razine osiguranja kvalitete autentifikacije vjerodajnice.

STORK određuje 4 razine:

Razina 1: Vjerodajnice se prihvaćaju bez bilo kakve provjere. Ova razina je odgovarajuća kad su posljedice od lažnog predstavljanja vrlo male ili nikakve. Prikladna je za usluge koje primjenjuju najmanji skup zaštitnih mjera ili ih ne primjenjuju.

Razina 2: Određuje razinu korištenu u uslugama kod kojih su štetne posljedice od lažnog predstavljanja male.

Razina 3: Određuje razinu korištenu u uslugama kod kojih su štetne posljedice od lažnog predstavljanja znatne. Registracija identiteta se vrši metodama koje nedvosmisleno i s visokom sigurnošću identificiraju tražitelja vjerodajnice.

Razina 4: Najviša je razina osiguranja koju koriste usluge kod kojih štetne posljedice od lažnog predstavljanja imaju težak utjecaj.

4.9 Fina kao Izdavatelj vjerodajnica

Fina će MU pisano predložiti uvrštenje vjerodajnica koje izdaje na Listu prihvatljivih vjerodajnica.

U pisanom prijedlogu Fina će navesti okolnosti koje je obvezan navesti svaki Izdavatelj vjerodajnice u pisano iskazanoj namjeri uključivanja u NIAS te će priložiti potrebnu dokumentaciju prema Kriterijima za određivanje razine osiguranja kvalitete autentifikacije za Nacionalni identifikacijski i autentifikacijski sustav (NIAS) (poglavlje 4. Potrebna dokumentacija pri procjeni razine sigurnosti vjerodajnice).

MU će, temeljem prethodno navedenog, donijeti mišljenje o uvrštenju Finine vjerodajnice na Listu prihvatljivih vjerodajnica.

Mišljenje o uvrštenju Finine vjerodajnice ne donosi se u posebnom obliku već će MU od Fine zatražiti provedbu integracije vjerodajnice u NIAS u testnoj okolini, a nakon uspješnog testiranja potpisat će s Finom Test prihvaćanja. Po potpisivanju Testa prihvaćanja, Fina će provesti integraciju vjerodajnice u NIAS u produkcijskoj okolini. Odmah po provedenoj integraciji u produkcijskoj okolini MU i Fina će potpisati Zapisnik o produkcijskoj integraciji.

Potpisivanjem Zapisnika o produkcijskoj integraciji, Finina vjerodajnica je uključena u NIAS i uzima se da je ista uvrštena na Listu prihvatljivih vjerodajnica. MU je obvezan osigurati da se navedene činjenice objave na Središnjem državnom portalu.

Fina će za potrebe projekta e-Građani, izdavati vjerodajnicu tipa korisničko ime/lozinka.

MINISTARSTVO UPRAVE

e-Hrvatska





Osim navedene vjerodajnice, Fina može zatražiti i uvrštenje svojih PKI certifikata na Listu prihvatljivih vjerodajnica.

4.10 Prihvat podatka drugih izdavatelja vjerodajnica u Finin sustav radi izdavanja novog korisničkog imena/lozinke za potrebe projekta e-Građani

Pružatelji e-usluga koji izdaju vjerodajnice tipa korisničko ime/lozinka za potrebe pristupa svojim e-uslugama mogu do 01.01.2014. pisano predložiti MU da se njihovi podaci o Korisniku prikupljeni u svrhu izdavanja korisničkog imena i lozinke prihvate u Finin sustav. Prihvat podataka u Finin sustav se obavlja isključivo u svrhu izdavanja nove vjerodajnice tipa korisničko ime /lozinka koju će izdavati Fina za potrebe projekta e-Građani.

Pisani prijedlog mora sadržavati sve točke navedene u poglavlju 4.3.2 Izdavatelj vjerodajnice.

Uvjeti koje moraju ispuniti subjekti iz ovog poglavlja za prihvat podataka u Finin sustav su:

• razina sigurnosti vjerodajnice korisničko ime/lozinka mora zadovoljiti razinu sigurnosti 2 prema STORK-u;

• osigurati sve pretpostavke kako bi njegova e-usluga mogla provesti cjelovitu integraciju na NIAS poštujući logiku i pravila rada NIAS-a prema ovom Protokolu;

• osigurati da je NIAS jedina pristupna točka na njihovu e-uslugu;

• izdavanje i uporaba vjerodajnice koju su do prihvata izdavali trebaju obustaviti.

U slučaju ispunjenja navedenih uvjeta, definirati će se tehnička pravila prihvata i pravila kontrole ispravnosti podataka.

Izdavatelj vjerodajnice iz ovog poglavlja, MU i Fina će sklopiti trostrani sporazum. Sporazum obvezuje Finu onoliko koliko bude važio ugovor između Vlade Republike Hrvatske/MU i Fine o uspostavi i vođenju NIAS-a.


Izdavatelj vjerodajnica iz ovog poglavlja treba na svojim internetskim stranicama obavijestiti svoje korisnike o učinjenoj promjeni te ih informirati o novim mogućnostima korištenja postojeće vjerodajnice.

Fina će omogućiti Korisnicima, čiji su podaci preuzeti, jednokratnu on-line promjenu svoje dotadašnje vjerodajnice novom vjerodajnicom, vrste korisničko ime /lozinka koju izdaje Fina za potrebe projekta e-Građani, bez potrebe ponovnog dolaska na registracijsko mjesto radi identifikacije.

MU koordinira poslove javnog objavljivanja informacija iz ovog poglavlja na Središnjem državnom portalu.

MINISTARSTVO UPRAVE

e-Hrvatska





4.11 Korisnici

Korisnik je građanin vlasnik vjerodajnice koji putem NIAS-a pristupa e-usluzi.

Svaki Korisnik imat će, u okviru NIAS-a, jedinstveni elektronički identitet kojim će se koristiti u pristupu elektroničkim javnim uslugama, odnosno u elektroničkoj komunikaciji s javnim sektorom.

Korisnik svoju vjerodajnicu koristi kao sredstvo dokazivanja svog e-identiteta. Korisnik prema slobodnom izboru može koristiti više vjerodajnica uključenih u NIAS.

Korisnik je odgovoran za savjesnu uporabu i čuvanje svoje vjerodajnice. NIAS ne snosi odgovornost za štetu nastalu nesavjesnom uporabom i neodgovarajućim čuvanjem vjerodajnice.

NIAS Korisniku omogućava uvid u skup podataka koji o njemu zahtijeva Pružatelj e-usluge za potrebe prijave. Korisnik može obustaviti slanje podataka za potrebe prijave na e-uslugu koja rezultira obustavom prijave Korisnika na e-uslugu.

NIAS ne snosi odgovornost ako Pružatelj e-usluge odbije pristup Korisniku na temelju dostavljenih podataka.

Korisnik vjerodajnicu može zatražiti kod Izdavatelja vjerodajnice sukladno pravilima izdavanja vjerodajnice. Informacije o vjerodajnicama prihvaćenim u NIAS te njihovim Izdavateljima i načinu ishodovanja vjerodajnice su objavljene na Središnjem državnom portalu.

Korisnik za pristup e-usluzi putem NIAS-a treba imati pristup internetu i jedan od najčešće korištenih internet preglednika kao što su npr. Internet Explorer, Chrome, Opera, Mozilla Firefox i sl. Brzina i kvaliteta internetske veze mogu utjecati na dostupnost NIAS-a, odnosno e-usluge za što Fina i Pružatelj e-usluge ne odgovaraju.

Korisnici obvezno elektronički pristaju na Uvjete korištenja NIAS-a. Korisniku koji pristupa NIAS-u i/ili e-usluzi putem NIAS-a, a koji ne pristaje na Uvjete korištenja NIAS-a, ne dozvoljava se korištenje NIAS-a i/ili pristup e-usluzi putem NIAS-a.

Prihvaćanjem Uvjeta rada NIAS-a, Korisnik daje ovlaštenje NIAS-u da za potrebe pristupa Korisnika nekoj e-usluzi prosljeđuje minimalni skup osobnih podataka Korisnika iz Evidencije OIB-ima koje za potrebe autentifikacije Korisnika zatraži e-usluga i da iste podatke obrađuje za potrebe vođenja NIAS-a.

MU kao upravitelj NIAS-a i Fina kao operativni voditelj jamče Korisniku da će se njegovi osobni podaci koristiti sukladno propisima koji uređuju zaštitu osobnih podataka i da integritet i povjerljivost tih podataka ni na koji način neće biti narušeni.

MINISTARSTVO UPRAVE

e-Hrvatska




20 4BOsnove rada NIAS-a |

5. Osnove rada NIAS-a

5.1 Generički dijagram rada NIAS-a

Dijagram prikazan u nastavku (Slika 1) prikazuje tijek komunikacije između Korisnika, Pružatelja elektroničke usluge, NIAS-a i Izdavatelja vjerodajnice. U nastavku je pojašnjena interakcija u komunikaciji (razmjeni poruka).

Slika 1: Način rada NIAS-a

NIAS (web

aplikacija)

Pružatelj e-usluge

(web aplikacija)

Korisnik (web

preglednik)

Autentifika-cijski

poslužitelj (web

aplikacija)

3. NIAS korisniku prikazuje popis vjerodajnica kojima se može autentificirati [http zahtjev]

4. korisnik odabire tip vjerodajnice kojom se želi autentificirati [http odgovor]

10. e-usluga omogućuje pristup autentificiranom korisniku [http odgovor]

5. NIAS šalje autentifikacijskom poslužitelju zahtjev za autentifikacijom [http preusmjeravanje+SAMLRequest poruka

#2]

1. neautentificirani korisnik se želi prijaviti na e-uslugu [http zahtjev]

2. e-usluga šalje NIAS-u SAML zahtjev za autentifikacijom [http preusmjeravanje+SAMLRequest poruka #1]

6. autentifikacijski poslužitelj prikazuje sučelje

za unos vjerodajnice [http odgovor]

7. korisnik unosi vjerodajnicu [http zahtjev]

8. autentifikacijski poslužitelj šalje NIAS-u odgovor

[http preusmjeravanje+SAMLResponse poruka #2]

9. NIAS provjerava korisnički račun autentificiranog korisnika i šalje e-usluzi odgovor [http preusmjeravanje+SAMLResponse

poruka #1]

MINISTARSTVO UPRAVE

e-Hrvatska




| 4BOsnove rada NIAS-a 21

5.2 Korisnik

Inicijativa procesa kreće od Korisnika koji traži pristup e-usluzi. Kako bi e-usluga identificirala Korisnika koji traži pristup, istog preusmjerava na NIAS kako bi se autentificirao. Korisnik odabire vjerodajnicu kojom se želi autentificirati, a NIAS ga preusmjerava Izdavatelju vjerodajnice.

5.3 Izdavatelj vjerodajnice

Korisnik se autentificira odabranom vjerodajnicom.

Izdavatelj vjerodajnice sa autentifikacijskog poslužitelja radi provjeru validnosti i valjanosti izdane vjerodajnice uspoređujući ih s onima koje drži pohranjene u svojoj bazi podataka.

Nakon što autentifikacijski poslužitelj izvrši provjeru podataka, obavještava NIAS o validnosti i valjanosti korisničkih podataka.

5.4 Pružatelj e-usluge

Na temelju valjane autentifikacije, NIAS Pružatelju e-usluge dostavlja SAML odgovor koji sadrži identifikacijske podatke Korisnika (navedene u poglavlju: 5.5 SAML poruke).

Pružatelj e-usluge odobrava pristup Korisniku koji se autentificirao posredstvom NIAS-a. Pružatelj usluge Korisnika smatra autentificiranim ako posjeduje SAML poruku koja je digitalno potpisana od strane NIAS-a, a kojim se tvrdi da je Korisnik potvrdio valjanost svojeg identiteta.

5.5 SAML poruke

Komunikacija se odvija razmjenom SAML poruka.

SAML (engl. Security Assertion Markup Language) je na XML-u bazirani standard za sigurnu razmjenu identifikacijskih informacija između različitih entiteta (organizacija, tvrtki, vlasnika pojedinačnih aplikacija) posredstvom interneta.

Standard za razmjenu poruka autentifikacije Korisnika u NIAS-u je SAML 2.0.

Prilikom prijenosa SAML poruke, povjerljivost i integritet su osigurani pomoću elektroničkog potpisa i enkripcije što udovoljava sigurnosnim zahtjevima povjerljivosti i integriteta podataka. Elektronički potpis i enkripciju omogućavaju aplikacijski certifikati (poglavlje 5.10 Aplikacijski i poslužiteljski certifikati) NIAS-a, Pružatelja usluge i Izdavatelja vjerodajnice.

Sadržaj SAML poruke koji prima Pružatelj e-usluge:

• Oznaka države e-ID-a: HR

• Razina sigurnosti vjerodajnice kojom se Korisnik prijavljuje: 1, 2, 3 ili 4

• Jedinstveni identifikator osobe: OIB ili interni identifikator

MINISTARSTVO UPRAVE

e-Hrvatska





• Atribut: Ime

• Atribut: Prezime

Sadržaj SAML poruke koju autentifikacijski poslužitelj Izdavatelja vjerodajnice šalje NIAS-u je:

• OIB (u slučaju uspješne autentifikacije)

• GREŠKA (u slučaju neuspješne autentifikacije)

NIAS neće proslijediti identifikacijske podatke Pružatelju e-usluge ukoliko je:

• s autentifikacijskog poslužitelja dobio odgovor GREŠKA

• OIB osobe u sustavu OIB-a neaktivan.

5.6 Višerazinska autentifikacija

Višerazinska autentifikacija predstavlja mehanizam koji Pružatelju usluge omogućuje odabir minimalne razine sigurnosti autentifikacije Korisnika. Time se omogućuje uporaba vjerodajnica različitih razina sigurnosti u NIAS-u.

5.7 Jednostruka autentifikacija Korisnika

Jednostruka autentifikacija (engl. single sign on) predstavlja način autentifikacije Korisnika pri kojemu je dovoljno da se Korisnik autentificira samo na jednoj e-usluzi kako bi mu se omogućio pristup i drugim e-uslugama uključenim u NIAS. Korisnik se autentificira jednom po jednoj sjednici, a NIAS za svaku novu prijavu korisnika na e-uslugu po istoj sjednici potvrđuje autentifikaciju i identitet Korisnika bez potrebe za ponovnom uporabom vjerodajnice od strane Korisnika

Pristup e-usluzi koja traži autentifikaciju vjerodajnicom više razine sigurnosti od one koja je već autentificirana po aktivnoj sjednici, zahtjeva od Korisnika novu autentifikaciju vjerodajnicom više razine sigurnosti.

Pružanjem mogućnosti jednostruke autentifikacije, NIAS predstavlja središnju točku upravljanja korisničkom autentifikacijom.

5.8 Jednostruka odjava Korisnika sa e-usluga

Jednostruka odjava (engl. single sign out) omogućuje odjavljivanje Korisnika sa svih usluga na koje je prijavljen sa jednog središnjeg mjesta unutar jedne sjednice. Jednostruka odjava omogućena je sa onih e-usluga koje su ugradile funkcionalnost jednostruke odjave putem NIAS-a.

MINISTARSTVO UPRAVE

e-Hrvatska




| 4BOsnove rada NIAS-a 23

5.9 Odjava sa NIAS-a

Odjavom sa NIAS-a Korisnik odjavljuje sjednicu na NIAS-u što pokreće jednostruku odjavu Korisnika sa e-usluga koje su ugradile ovu funkcionalnost. Odjava sa e-usluga koje nisu ugradile funkcionalnost jednostruke odjave u nadležnosti je Pružatelja e-usluge.

5.10 Aplikacijski i poslužiteljski certifikati

Tehnički preduvjet uključenja/integracije Klijenata u NIAS-om je ugradnja aplikacijskih certifikata koji omogućavaju elektroničko potpisivanje i enkripciju poruka što udovoljava sigurnosnim zahtjevima povjerljivosti i integriteta podataka i povjerenje.

NIAS svim Klijentima preporučuje ugradnju i poslužiteljskih certifikata čime se omogućava enkriptirana komunikacija i sigurna identifikaciju web poslužitelja mreže (https protokol).

Svi Klijenti koji za potrebe integracije na NIAS zatraže izdavanje aplikacijskog certifikata, u zahtjevu za izdavanje certifikata navode naziv certifikata stavljajući riječ „nias“ kao prefiks, a u nastavku naziv e-usluge (Pružatelji e-usluge) ili naziv vjerodajnice (Izdavatelji vjerodajnice).

Zahtjev za izdavanje aplikacijskog i poslužiteljskog certifikata se podnosi u Fini.

Upute za izdavanje certifikata se mogu pročitati na stranici http://rdc.fina.hr/

Detaljnije na http://rdc.fina.hr/upute/upute_posluziteljski.htm

Link za obrazac http://rdc.fina.hr/obrasci/obrazac2.pdf

5.11 Podaci u NIAS-u

S korisničkim podacima u sustavu postupa se sukladno propisima koji uređuju zaštitu osobnih podataka. NIAS kod sebe čuva sljedeće podatke o Korisniku:

• OIB

• vrste vjerodajnica korištene u NIAS-u

• e-mail adrese (ukoliko ih Korisnik unese)

• povijest zatraženih i poslanih atributa prema e-usluzi te vrstu vjerodajnice sa kojom je prijava napravljena (dostupno Korisniku kroz uslugu mojID)

Podatke o svakom korisničkom računu Fina će čuvati za sve vrijeme važenja Ugovora.

NIAS ne zna / ne posjeduje niti jedan tajni podatak vezan za vrstu vjerodajnice.

5.12 Okolina

Integracija klijenata se obavlja na sljedećim tehnološkim okruženjima NIAS-a:

• Testno-prezentacijsko

http://hr.wikipedia.org/w/index.php?title=Enkripcija&action=edit&redlink=1�

http://rdc.fina.hr/�

http://rdc.fina.hr/upute/upute_posluziteljski.htm�

http://rdc.fina.hr/obrasci/obrazac2.pdf�

MINISTARSTVO UPRAVE

e-Hrvatska





• Produkcijsko

NIAS je podignut (smješten) u računalno-komunikacijskoj mreži HITRONet. Fina je ovlaštena od Vlade RH, vlasnika HITRONet RKM, da razvija, održava i nadzire ovu infrastrukturu, s posebnim naglaskom na visoku dostupnost, brzinu i sigurnost svakog pojedinog dijela. HITRONet je brzim i redundantnim vezama spojen na internet.

Javno dostupne informacije o HITRONet-u nalaze se na http://www.uprava.hr/default.aspx?id=13563

5.13 Evidencija o osobnim identifikacijskim brojevima (OIB sustav)

NIAS iz OIB sustava dostavlja identifikacijske podatke o Korisniku. OIB sustav je Pružatelj atributa. Sigurna komunikacija između NIAS-a i OIB sustava je osigurana ugradnjom aplikacijskih certifikata.

5.14 Sigurnost informacijskih sustava

Informacijski sustavi Izdavatelja vjerodajnice koji se spajaju na NIAS trebaju biti u skladu sa čl. 8 st. 1 Uredbe o mjerama informacijske sigurnosti (NN 46/08).

Sukladno STORK-ovom dokumentu (D5.8.2d D5.8.2d Security Principles and Best Practices) prema informacijskom sustavu NIAS-a (a time informacijskim sustavima Izdavatelja vjerodajnice) treba postupati sukladno standardima ISO/IEC 2700X.

http://www.uprava.hr/default.aspx?id=13563�

MINISTARSTVO UPRAVE

e-Hrvatska




| 5BRazina kvalitete usluga (SLA) 25

6. Razina kvalitete usluga (SLA)

Podrška radu NIAS-a organizirana je u redovnom radnom vremenu.

Redovno radno vrijeme (RRV) podrazumijeva rad ponedjeljkom, utorkom, srijedom, četvrtkom i petkom od 08:00 do 16:00 sati, ako u te dane ne pada državni blagdan.

Organizacija podrške izvan RRV se obavlja sukladno dogovorenome između Fine i MU.

6.1 Prekid rada

Planirani prekid rada poduzima se po potrebi u svrhu preventivnog tehničkog održavanja NIAS-a. Za to vrijeme NIAS nije dostupan. Fina se obvezuje najaviti aktivnosti i procjenu vremena nedostupnosti NIAS-a u vezi planiranog održavanja NIAS-a 5 (pet) radnih dana unaprijed.

Planirane prekide rada NIAS-a Fina će poduzimati izvan redovnog i produženog radnog vremena, a zbog mogućih većih opsega radova na NIAS-u iznimno i tijekom redovnog radnog vremena maksimalno uvažavajući potrebe Korisnika NIAS-a za nesmetanim radom u NIAS-u.

Svaki planirani prekid rada NIAS-a, Fina će dogovarati s MU.

Prekide rada koji su potrebni zbog naseljavanja novih verzija ili sl. radnji koji uzrokuju kraće prekide rada NIAS-a Fina može izvoditi izvan redovnog i produženog radnog vremena uz prethodan dogovor s MU

U slučaju neplaniranog prekida rada NIAS-a, Fina će u koordinaciji s MU poduzeti sve radnje, postupke i mjere za što žurniji nastavak rada NIAS-a.

6.2 Stadardni SLA uvjeti

Usluga podrške radu NIAS-a je organizirana putem ITIL upravljačkih procesa podrške sa Service Desk (SD) i Call Centar (CC), kao prvom linijom podrške. Prva linija podrške SD i CC je dostupna preko telefona ili e-maila u redovno radno vrijeme SD i CC podrške.

Drugu liniju podrške SD čine inženjerske grupe odgovorne za različite infrastrukturne tehnologije i cjeline. Fina će dodatno sa svakim Klijentom dogovoriti tehničke kontakt osobe kako bi se lakše riješili eventualni problemi kojima se korisnik suočava, a za koje nije lako ustanoviti uzrok.

Prijave zaprimljene izvan radnog vremena se snimaju na govornom automatu koje agent preslušava u radno vrijeme i dalje postupa po standardnoj proceduri.

Usluga podrške obuhvaća zaprimanje i rješavanje prijavljenih incidenata od strane Klijenata i Korisnika vezano za NIAS.

Prijave incidenata koje se ne odnose se na rad NIAS-a, Fina će proslijediti ostalim

MINISTARSTVO UPRAVE

e-Hrvatska




26 5BRazina kvalitete usluga (SLA) |

sastavnicama Projekta e-Građani, MU ili Klijentu na kojeg se odnose.

SLA uvjeti su ulazni parametri za alate koje koriste djelatnici SD prilikom rješavanja incidenata.

Za incidente i servisne zahtjeve definirani su sljedeći prioriteti:

Prioritet Opis

Razdoblje unutar kojega se računa vrijeme rješavanja

incidenta/servisnog zahtjeva

1 Problem koji uzrokuje kritičan zastoj NIAS-a koji je potpuno izvan funkcije i zahtjeva neposrednu akciju.

Non-stop do povratka NIAS-a u redovan rad

2

Problem koji uzrokuje kritičan zastoj NIAS-a koji je još uvijek aktivan ali sa značajno smanjenom funkcionalnošću. Problem se ne može zaobići.

Non-stop do povratka NIAS-a u redovan rad

3 Problem koji ne uzrokuje kritičan zastoj NIAS-a – većina funkcija NIAS-a je još uvijek raspoloživa. Problem se može zaobići.

Samo unutar „Redovnog radnog vremena“

4 Manje važna poteškoća ili pitanje koji ne utječu na trenutnu funkcionalnost NIAS-a

Samo unutar „Redovnog radnog vremena“

Tablica 1. Prioriteti incidenata

Aktivnosti unutar poslova održavanja i podrške definirane su kako slijedi:

Aktivnosti unutar podrške NIAS Podrška Klijentima u slučaju prijave incidenata i servisnih zahtjeva

RRV prve linije podrške SD

Podrška Korisnicima u slučaju prijave incidenata i servisnih zahtjeva

RRV prve linije podrške CC

Utvrđivanja pojave zastoja ili smanjenja funkcionalnosti NIAS-a od strane Fine RRV druge linije podrške SD

Početak utvrđivanja uzroka incidenta (Računa se: - od trenutka prijave incidenta od strane korisnika ili - od trenutka utvrđivanja pojave zastoja ili smanjenja

funkcionalnosti od strane Fine)

Prioritet 1 i 2: 60 min Prioritet 3: 4 sata Prioritet 4: 8 sati

Obavijest o zastoju (rok unutar kojega se mora dojaviti odgovornoj osobi u MU pojava zastoja, a računa se: - od trenutka prijave incidenta od strane korisnika ili - od trenutka utvrđivanja pojave zastoja ili smanjenja


Prioritet 1 i 2: 60 min Prioritet 3: 4 sata Prioritet 4: 8 sati

MINISTARSTVO UPRAVE

e-Hrvatska




| 5BRazina kvalitete usluga (SLA) 27

Otklanjanje uzroka zastoja (rok unutar kojega se aktivnost mora završiti, a računa se: - od trenutka prijave incidenta od strane Klijenta ili

Korisnika - od trenutka utvrđivanja pojave zastoja ili smanjenja


Prioritet 1 i 2: 24 sata Prioritet 3: 2 radna dana Prioritet 4: 4 radna dana

Dodatne aktivnosti koje se moraju izvršiti nakon otklanjanja uzroka zastoja (povrat podataka, prilagodbe sustava, testiranje i sl.), a u cilju povratka sustava u normalan rad (rok unutar kojega se aktivnost mora završiti, a računa se od trenutka uklanjanja uzroka zastoja od strane Fine ili treće strane)

Prioritet 1 i 2: 4 sata Prioritet 3: 6 sati Prioritet 4: 8 sati

Tablica 2. Standardni SLA uvjeti

Ukoliko pojedina aktivnost, a koja je započela unutar redovnog radnog vremena, ne završava unutar redovnog radnog vremena u istom danu, nastavak započete aktivnosti s pripadajućim rokovima i trajanjima prenose se u sljedeći radni dan osim u slučaju Prioriteta 1 i 2 na čijem se otklanjanju radi non-stop do otklanjanja zastoja/problema.

6.3 Informacijska i komunikacijska infrastruktura Fine

Fina može inicirati izmjene informacijske i komunikacijske infrastrukture Fine u cilju pružanja ugovorenih razina kvalitete usluga i sigurnosti NIAS-a.

Sve izmjene provode se u dogovoru s MU i u skladu s procedurom testiranja, odobravanja i implementacije.

MINISTARSTVO UPRAVE

e-Hrvatska




28 6BPojmovnik |

7. Pojmovnik

NIAS Državni informacijsko-tehnološki sustav središnje identifikacije i autentifikacije korisnika elektroničkih javnih usluga, definiran Odlukom

Elektronička javna usluga

Usluga koju Korisnicima pružaju javnopravna tijela putem računalno-komunikacijske mreže na temelju autentifikacijskog odgovora od NIAS-a (dalje: e-usluga)

Autentifikacija Formalizirani proces verifikacije vjerodajnice Korisnika koji rezultira potvrđivanjem / osporavanjem identiteta

Identifikacija

Proces utvrđivanja identiteta entiteta u određenoj skupini kao različitog od ostalih entiteta iste skupine. Elektronička identifikacija podrazumijeva dostavljanje osnovnog skupa podataka (atributa) dovoljnih za jednoznačno utvrđivanje identiteta Korisnika u cilju isporuke elektroničke usluge

Vjerodajnica

Dogovoreno sredstvo predstavljanja (eng.Credentials) u komunikaciji između dva ili više entiteta. U smislu odredaba Ugovora to su elektroničke vjerodajnice (npr. korisničko ime/lozinka, jednokratna lozinka, digitalni certifikati i dr.)

Kriteriji za određivanje razine osiguranja kvalitete autentifikacije za NIAS

Poseban dokument ili dio dokumenta kojeg donosi MU na prijedlog Fine. Njime se definiraju kriteriji za određivanje razine osiguranja kvalitete autentifikacije određenom elektroničkom vjerodajnicom temeljem načela i dokumenata STORK-a (Secure idenTity acrOss boRders linKed)

Lista prihvatljivih vjerodajnica

Dokument kojeg, temeljem Kriterija za određivanje razine osiguranja kvalitete autentifikacije za NIAS i određenog postupka, u suradnji izrađuju MU i Fina, a donosi MU kao dio uspostave NIAS-a

Korisnik Građanin vlasnik vjerodajnice koji posredstvom NIAS-a pristupa e-usluzi.

OIB Osobni identifikacijski broj definiran propisima i on je jedinstveni identifikacijski podatak Korisnika u NIAS-u. Razmjena podataka između NIAS-a i e-usluge Klijenata temelji se na OIB-u

Atribut Podatak o Korisniku koji je vezan uz OIB

Pružatelj atributa IT sustav koji se koristi za dohvat atributa o korisniku. Evidencija o osobnom identifikacijskom broju (OIB sustav) je pružatelj atributa za NIAS.

Klijenti Pružatelji e-usluga i Izdavatelji vjerodajnica

Pružatelj e-usluge Javnopravno tijelo koje pruža e-uslugu Korisnicima korištenjem NIAS-a

Izdavatelj vjerodajnica Javnopravno tijelo i/ili pravna osoba ovlaštena za izdavanje vjerodajnica uvrštenih u Listu prihvatljivih vjerodajnica

MINISTARSTVO UPRAVE

e-Hrvatska




| 29

Vjerodajnica „Korisničko ime i lozinka za e-Građane“

Elektronička vjerodajnica vrste korisničko ime i lozinka koju je Fina, temeljem Ugovora, ovlaštena u ime MU izdavati Korisnicima za potrebe Projekta e-Građani. Iste ispunjavaju sve kriterije STORK-a (Secure idenTity acrOss boRders linKed) za drugu (2) razinu osiguranja kvalitete autentifikacije

Pilot projekt (pilot)

Projekt koji je izveden u vremenskom razdoblju od konca srpnja do sredine listopada 2012. s ciljem dokazivanja tehničke izvedivosti predloženog rješenja NIAS. Koordinator pilota je bilo MU, a izvođač Fina. Pilot je obuhvaćao integraciju 7 e-usluga od 6 Pružatelja usluga (HZMO, HZZO, Porezna uprava, Hrvatska akademsko-istraživačka mreža – CARNet, Sveučilišni računski centar – SRCE i Ministarstvo uprave) te 2 Izdavatelja vjerodajnica različitih razina sigurnosti (korisničko ime/lozinka – SRCE i softverski certifikat, tzv. soft certifikat - Fina).

STORK Projekt Europske komisije pod nazivom „Secure idenTity acrOss boRders linKed“

mojID Portal Sustava NIAS za administraciju korisničkog računa SLA (Service Level Agreement)

Razina kvalitete usluge NIAS koju će Fina osiguravati temeljem Ugovora

Documents

Ministarstvo uprave Republike Hrvatske - Projekt e-Građani · • Ministarstvo uprave Republike Hrvatske • Financijska agencija • Klijenti • Korisnici . 4.1 Ministarstvo uprave