Oddělení využití prostředku pro identifikaci (s NIA, komerční) od interního využití pro potřeby kvalifikovaného správce (zejména banky):
Banky, pobočky zahraničních bank mohou dále vydávat stejné identifikační prostředky (např. různé druhy mobilních klíčů, …) všem svým klientům, i když nesplňují tyto prostředky požadavky akreditace, resp. požadavky prováděcího nařízení komise (EU) 2015/1502 a upřesňujícího dokumentu DKP IDP. Může jít např. o cizince. Klienti, kteří neodpovídají požadavkům akreditace, budou v systému banky, pobočky zahraniční banky, jasně označeni a nebude jim umožněn přístup ke službám identifikace pro NIA nebo 3. strany (v souladu s novelou zákona o bankách – 49/2020 Sb.), dokud nebudou splněny stanovené požadavky. Přístup k interním službám banky či pobočky zahraniční banky na základě vydávaných prostředků je nadále na uvážení těchto subjektů.
Oddělení prostředků pro elektronickou identifikaci v „systému“ kvalifikovaného správce:
Typicky banky či pobočky zahraničních bank mohou dále vydávat různé prostředky pro el. identifikaci s různou silou (úrovní záruky), pro různé způsoby interního využití. Např. „slabé“ jedno faktorové metody pouze pro účely personalizace obsahu nebo poskytování vybraných „necitlivých“ informací. Tyto prostředky jsou nadále spravované v centrálním autentizačním systému banky a navázané na jednotnou identitu klienta. Identifikační prostředky akreditované a neakreditované budou v systému kvalifikovaného správce jednoznačně označeny a ke službám identifikace pro NIA nebo 3. strany (v souladu s novelou zákona o bankách – 49/2020 Sb.) bude možné využít jen akreditované prostředky pro el. identifikaci.
Požadavek na dvou faktorovou autentizaci pro interní využití (zejména v bance):
Některé prostředky pro el. identifikaci jsou dvou-faktorové, ale umožňují „vypuštění“ druhého faktoru v případě, kdy interní systémy např. banky vyhodnotí transakci jako málo rizikovou. Typicky je tímto druhým faktorem SMS OTP. Motivací je zjednodušení úkonů pro klienta a úspora nákladů za SMS. Pro interní využití identifikačního prostředku je nadále využití druhého faktoru na uvážení rizika daného subjektu (např. banky). Tj. je možné pokračovat v dosavadní praxi. Při využití identifikačních prostředků ke službám identifikace pro NIA nebo třetí strany, budou vždy vyžadované příslušné faktory autentizace vzhledem k proklamované úrovni záruky prostředku pro el. identifikaci, jež byl součástí žádosti o akreditaci (např. dva faktory vyžadované pro úroveň záruky značná).
Upřesnění ke zneplatnění prostředku pro el. identifikace & propagace zneplatnění do NIA:
Pokud u prostředku pro el. identifikaci dojde ke změně faktoru autentizace a stále se bude jednat o tentýž prostředek pro el. identifikaci, a tato změna nemá vliv na platnost daného prostředku pro elektronikou identifikaci nebo na úroveň záruky tohoto prostředku pro el. identifikaci, není třeba původní prostředek pro el. identifikaci zneplatňovat a následně registrovat nový prostředek pro el. identifikaci s jiným identifikátorem prostředku pro el. identifikaci v NIA. Typicky půjde o změnu hesla, změnu mobilního telefonu či telefonního čísla pro prostředek el. identifikace, který nemá explicitně omezenou časovou platnost. Vlastník takového prostředku může tedy měnit jeho atributy/faktory, ale identifikátor prostředku se nemění.
Jak vykládat požadavky kap. 2.3.1 přílohy prováděcího nařízení komise (EU) 2015/1502 – body č. 1 a 2 pro nízkou úroveň záruky ve vztahu k termínu „osobní identifikační údaje“? Je za „osobní identifikační údaj“ považován např. soukromý klíč uložený na HW tokenu nebo se tímto údajem myslí údaje o identifikované osobě (jméno, příjmení, datum narození,…)?
Výše zmíněné body č. 1 a 2 pro úroveň záruky nízká znějí následovně:
- Vydání osobních identifikačních údajů předchází spolehlivé ověření prostředku pro elektronickou identifikaci a jeho platnosti.
- Pokud jsou osobní identifikační údaje uloženy jako součást mechanismu autentizace, jsou tyto informace zabezpečeny proti ztrátě a vyzrazení, včetně offline analýzy.
Odbor eGovernmentu je toho názoru, že osobními identifikačními údaji se myslí přímo osobní údaje o identifikované osobě (jméno, příjmení, datum narození,…). Bod č. 1 stanovuje obecný požadavek, že před vydáním osobních identifikačních údajů (jméno, příjmení, datum narození,…) musí mechanismus autentizace zajistit ověření prostředku pro el. identifikaci včetně toho, zda je platný.
Tento závěr dle našeho názoru podtrhuje rovněž dokument „Guidance on Level of Assurance„, jenž byl vypracován v rámci eIDAS cooperation network. K tomuto bodu je v dokumentu uvedeno následující:
The release of person identification information is about transmitting the minimum data set (MDS) to the relying party.
Pozn. pod termínem minimum data set (MDS) se má na mysli minimální soubor osobních identifikačních údajů dle přílohy prováděcího nařízení Komise (EU) 2015/1501 ze dne 8. září 2015 o rámci interoperability podle čl. 12 odst. 8 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
Druhý bod kap. 2.3.1 pro nízkou úroveň záruky se týká podle našeho názoru případů, kdy jsou osobní identifikační údaje (jméno, příjmení, datum narození,…) součástí prostředku pro el. identifikaci, který se v rámci mechanismu autentizace ověřuje. Např. certifikát s osobními údaji (jméno, příjmení, datum narození,…), které se po úspěšné autentizaci vydají.
Ve zmiňovaném dokumentu „Guidance on Level of Assurance“ je uvedeno následující:
Stored personal data shall be subject to strict access controls. Measures should be used to protect person identification data, for example encryption and hashing in accordance with good practice such as ENISA Algorithms, Key Sizes and Parameters Report or national cryptographic guidance.
All access should be audited.
Může pro účely akreditace být prostředek pro elektronickou identifikaci vymezen tak, aby zahrnoval více autentizačních metod (např. jméno + heslo + SMS a současně jméno + registrovaná aplikace v mobilním zařízení + heslo/biometrika k odemčení aplikace)? Pokud ano, znamená změna autentizace u konkrétního držitele prostředku pro elektronickou identifikaci z jedné takové metody na jinou metodu vydání nového prostředku pro elektronickou identifikaci?
Ano, může, pokud je pro držitele daného prostředku aktivní vždy pouze jedna autentizační metoda (např. pouze jméno + heslo + SMS nebo pouze jméno +r egistrovaná aplikace v mobilním zařízení). Podmínkou je, aby autentizační metody splňovaly požadavky na stejnou úroveň záruky. Pokud dojde ke změně metody a současně nevzniká riziko zneužití původní metody (změna je okamžitá a původní metoda je okamžitě zablokována), nejde o vydání nového prostředku pro elektronickou identifikaci, tedy není třeba existující prostředek rušit a zapisovat do národního bodu identifikátor nového prostředku. Je nutno nicméně zdůraznit, že pokud budou známy informace o tom, že jedna z použitých autentizačních metod přestala být důvěryhodná (např. objevená zranitelnost), budou prostředky pro el. identifikaci na úrovni Národního bodu zneplatněny bez ohledu na to, zda prostředek dotčenou autentizační metodu používal nebo ne.
Pokud prostředek pro elektronickou identifikaci umožňuje více „instancí“ jednoho faktoru autentizace (např. registraci aplikací ve více mobilních zařízeních jako faktorů autentizace na základě vlastnictví), musí každý z těchto faktorů tvořit samostatný prostředek s identifikátorem zapsaným v národním bodu? Pokud mohou tyto „instance“ faktoru tvořit jeden prostředek pro elektronickou identifikaci a držitel tohoto prostředku pro elektronickou identifikaci ohlásí zneužití nebo požádá o zablokování jedné z těchto „instancí“, stačí zablokovat tuto instanci v rámci kvalifikovaného systému, nebo je třeba zneplatnit celý prostředek v národním bodu?
Více „instancí“ jednoho faktoru autentizace (např. registrace aplikací ve více mobilních zařízeních jako faktorů autentizace na základě vlastnictví) může tvořit jeden prostředek pro elektronickou identifikaci s jedním identifikátorem zapsaným do Národního bodu. Pokud držitel takového prostředku nahlásí podezření na zneužití jedné z těchto „instancí“ a kvalifikovaný správce nemá podezření na zneužití prostředku jako celku, stačí zablokovat tuto instanci v rámci daného kvalifikovaného systému a není třeba zneplatnit celý prostředek v Národním bodu. Obdobně je možné postupovat při změně jednotlivého autentizačního prvku (změna hesla, změna telefonního čísla, registrace či zrušení registrace aplikace v konkrétním zařízení). V případě, že uživatel nahlásí podezření na zneužití jediné „instance“, kterou má, pak kvalifikovaný správce musí zneplatnit prostředek pro elektronickou identifikaci nejen v rámci kvalifikovaného systému, ale rovněž v rámci Národního bodu.
Pokud je autentizačním prvkem v rámci prostředku pro elektronickou identifikaci PKI certifikát s časově omezenou platností, ale možností obnovy (vydání nového certifikátu na základě certifikátu existujícího), je třeba při takové obnově vydat a do národního bodu zapsat nový prostředek pro elektronickou identifikaci?
S ohledem na skutečnost, že prostředek pro elektronickou identifikaci, který je založen na PKI certifikátu má od počátku omezenu maximální platnost danou platností samotného PKI certifikátu, je nutné při obnově PKI certifikátu (tj. při obnově prostředku pro elektronickou identifikaci) původní prostředek zneplatnit v rámci Národního bodu (potom co je vydán následný PKI certifikát) a postupovat v souladu s kap. 2.2.4. prováděcího nařízení komise (EU) 2015/1502 a upřesňujícího dokumentu DKP IDP. Následný prostředek pro el. identifikaci by měl být tedy v rámci Národního bodu evidován pod jiným jednoznačným identifikátorem.
Podle § 17 písm. a) zákona o elektronické identifikaci je držitel povinen při převzetí prostředku pro elektronickou identifikaci ověřit správnost údajů zapsaných v daném prostředku. Jaké údaje je držitel povinen ověřit v případě prostředku pro elektronickou identifikaci, který je nehmotnou jednotkou?
V případě prostředku pro elektronickou identifikaci, který je nehmotnou jednotkou, postačí, aby držitel ověřil identifikační údaje, které o něm kvalifikovaný správce eviduje pro účely určení jeho totožnosti a zápisu identifikátor prostředku pro elektronickou identifikaci do Národního bodu.