Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze		 Předchozí verze
Následující verzeObě strany příští revize
nap:popisy:nia [2020/05/11 17:50] – vytvořeno Tomáš Šedivecnap:popisy:popis_nia [2020/11/05 11:22] Tomáš Šedivec
Řádek 1: Řádek 1:
 <title>Popis Národní identitní autority</title> <title>Popis Národní identitní autority</title>
 +
 +NIA zajišťuje orgánům veřejné správy státem garantované služby [[nap:elektronicka_identifikace_pro_klienty_verejne_spravy|identifikace a autentizace]] včetně federace údajů o subjektu práva ze základních registrů a možnost předávání přihlašovací identity dle principy Single Sign-On. Pro osoby uvedené v ROB nebo přihlašující se identitou v rámci eIDAS z členských států EU nemusí OVS řešit přihlašovací identity pro své klienty samo. V současném stavu ROB (stav As-Is) tedy pouze pro občany ČR a cizince s trvalým pobytem. V budoucím stavu (stav To-Be) pro občany ČR, cizince s trvalým pobytem a [[nap:ejfo|jiné fyzické osoby (EjFO)]], které mají k ČR právní či majetkový vztah (zahraniční vlastník nemovitosti, zahraniční lékař, zahraniční student, apod.).
 +
 +Národní identitní autorita vytváří federativní systém, který se skládá z následujících komponent:
 +
 +  * **Národní bod** jako centrální bod federativního systému, který zajišťuje komunikaci a registraci účastníků federace. Tato komponenta zajišťuje současně vždy **jednoznačné ztotožnění** osoby, která prokazuje svoji totožnost předložením autentizačních prostředků
 +  * **Kvalifikovaný správce,** který vydává jednoznačně identifikovaným fyzickým osobám prostředky pro vzdálenou autentizaci (prokázání totožnosti) a provádí veškeré činnosti spojené se správou těchto prostředků a prokazováním totožnosti fyzické osoby
 +  * **Základní registry,** které poskytují jednoznačnou identifikaci osoby a zajištění vazeb této osoby vůči referenčním údajům o osobě
 +  * **Národní uzel eIDAS,** který zajišťuje přijímání vzdáleného prokázání totožnosti z ohlášených systémů dle nařízení eIDAS a předávání vzdálené identifikace a autentizace z České republiky ostatním státům EU. Ostatní státy EU budou muset akceptovat české identity od 13.9.2020, kdy vyprší lhůta ohlášeného prostředku Elektronického občanského průkazu. 
 +
 +Ačkoliv nyní poskytuje NIA své služby pouze jako "Front-end" řešení za pomoci SAML tokenů, je plánováno i poskytování služeb jako "Back-end" pro využití překladů identity a identifikátorů za pomoci eGON služeb.
 +
 +=== Seznam poskytovatelů identity (Identity Provider; IdP) ===
 +
 +^Název poskytovatele identity ^Typ prostředku ^úroveň prostředku ^ Popis^ URL^ Použití pro mezinárodní ověření identity v eIDAS^
 +|**eObčanka** |Elektronický občanský průkaz s aktivovanou částí elektronické identifikace |Vysoká (nejvyšší možná dle eIDAS)| Přihlášení prostřednictvím nového občanského průkazu vydaného po 1. 7. 2018, který obsahuje čip a jeho elektronická funkcionalita byla aktivována. Pro přihlášení tímto občanským průkazem je zapotřebí čtečka dokladů a nainstalovaný příslušný software.|[[https://info.eidentita.cz/eop/]]|ANO - eObčanka je zatím jako jediný prostředek ohlášen dle eIDAS pro potřeby mezinárodní identifikace a autentizace. Její použití je pro ostatní státy v rámci eIDAS povinné k použití od září 2020. |
 +|**NIA ID**| Jméno + heslo + sms. Klasické přihlašování pomocí druhého faktoru. | Střední | Přihlášení prostřednictvím uživatelského jména a hesla, které jste zadali při založení Vašeho identifikačního prostředku na portálu národního bodu. Přihlášení dokončíte zadáním ověřovacího kódu, který Vám bude zaslán ve formě SMS na Vaše telefonní číslo.|[[https://info.eidentita.cz/ups/]]|NE|
 +|**První certifikační autorita, a.s.** |Čipová karta Starcos s identifikačním certifikátem |Vysoká (nejvyšší možná dle eIDAS) |Přihlášení prostřednictvím čipové karty Starcos společnosti První certifikační autorita, a.s., která byla použita pro generování a uložení privátního klíče identitního komerčního certifikátu. Pro přihlášení budete potřebovat čtečku čipových karet (pokud není integrována do PC/NTB) a nainstalovaný ovládací software SecureStore (ke stažení z www.ica.cz).|[[https://www.ica.cz/ica-identity-provider]]|NE|
 +|**MojeID**| Přihlašovací údaje do účtu MojeID spárovaný s prostředkem FIDO |Střední|Přihlášení prostřednictvím účtu mojeID. Pro přihlášení je potřeba zabezpečit účet bezpečnostním klíčem (tokenem) certifikovaným od FIDO Alliance alespoň na úroveň L1, a to buď fyzickým (USB, NFC, Bluetooth), anebo systémovým (Windows Hello, Android v. 7 a vyšší). Dále je nutné mít účet mojeID aktivován pro přístup ke službám veřejné správy a jednorázově ověřit svou totožnost (již existujícím prostředkem nebo návštěvou Czech POINTu). Službu mojeID provozuje CZ.NIC, správce domény .CZ.|[[https://www.mojeid.cz/]]|NE|
 +|**IIG - International ID Gateway**| Výběr z možných identitních prostředků, které jsou ohlášené jinými členskými státy EU v rámci eIDAS uzlů | nízká až vysoká dle daného prostředku | Aktuálně je možné v rámci eIDAS uzlů vybírat z prostředků Německa a Slovenska | |NE|
 +
 +Od roku 2021, kdy bude v účinnosti [[https://www.zakonyprolidi.cz/cs/1992-21/zneni-20210101|novela zákona o bankách]] umožňující vykonávat elektronickou identifikaci, se očekává připojení poskytovatelů identity z řad bankovních institucí.
 +
 +
 +
 +=== Seznam poskytovatelů služeb (Service Provider; SeP) ===
 +
 +Poskytovatelů služeb je již více než 50 a v přípravě jsou další. Konečný počet je v řádu stovek. Aktuální seznam je dostupný zde [[https://info.eidentita.cz/sep/]].
 +
 +Podobně jako jsou jiné státy v rámci eIDAS povinni přijímat české ohlášené prostředky identity (eObčanka), jsou čeští poskytovatelé služeb povinni akcentovat identitu ohlášenou jiným státem v rámci eIDAS. Povinnost umožnit přihlášení pomocí IIG - International Identity Gateway je všem poskytovatelům služeb zapnuta od 30.6.2020.
 +
 +=== Atributy vydávané poskytovatelům služeb (Service Providerům; SeP) ===
 +
 +Následující atributy jsou NIA vydávány tzv. kvalifikovaným poskytovatelům služby. Problematika je popsána také v části [[:nap:portaly_verejne_spravy_a_soukromopravnich_uzivatelu_udaju|Portály veřejné správy a soukromoprávních uživatelů údajů]].
 +Tučně označené atributy odpovídají standardu eIDAS, ostatní atributy sice standardu neodpovídají, kvalifikovaný poskytovatel služby má ale možnost při komunikaci v rámci ČR o jejich vydání zažádat.
 +^Atribut/Element ^Název atributu ^Popis^
 +|**Příjmení** |**CurrentFamilyName** |Referenční údaj – Příjmení fyzické osoby. Viz eIDAS reference.|
 +|**Jméno**| **CurrentGivenName**| Referenční údaj – Jméno, případně jména fyzické osoby. Viz eIDAS reference.|
 +|**Datum narození** |**DateOfBirth** |Referenční údaj – Datum narození fyzické osoby. Viz eIDAS reference.|
 +|**Místo narození**| **PlaceOfBirth** |Referenční údaj – Místo narození fyzické osoby. Viz eIDAS reference.|
 +|Země narození |CountryCodeOfBirth |Referenční údaj – Země narození fyzické osoby, předávána v kódu podle standardu ISO 3166-3.|
 +|**Adresa pobytu** |**CurrentAddress** |Referenční údaj – Adresa pobytu fyzické osoby, je předávána zakódovaná pomocí BASE64. Obsahuje (pokud je uvedeno v ROB) název ulice (Thoroughfare), název pošty (PostName), PSČ (PostCode), název obce, případně doplněnou o část obce (CvaddressArea) a číslo domovní/číslo orientační (LocatorDesignator). Atribut vychází z ISA Core Vocabulary a tam je také uveden podrobnější popis atributu.|
 +|Email| Email |Emailová adresa uvedená na eidentita.cz v sekci „Vaše údaje“.|
 +|Je starší než X |IsAgeOver |Výpočet je starší než X podle referenčního údaje Datum narození.|
 +|Věk| Age |Výpočet věku podle referenčního údaje Datum narození.|
 +|Telefon| PhoneNumber| Telefonní číslo uvedeno na eidentita.cz v sekci „Vaše údaje“.|
 +|Adresa pobytu (předávaná v podobě RÚIAN kódů) |TRadresaID |Referenční údaj – Adresa pobytu fyzické osoby je předávána v kódech podle RUIAN. Obsahuje (pokud je uvedeno v ROB) kódy pro okres, obec, část obce, ulici, PSČ, stavební objekt, adresní místo, číslo domovní a orientační.|
 +|Level of Assurance (LoA) |LoA |Stupeň (úroveň) jistoty nebo zajištění. Viz eIDAS reference.|
 +|Pseudonym |PersonIdentifier |Identifikátor fyzické osoby.|
 +|Typ dokladu |IdType |Druh elektronicky čitelného dokladu.|
 +|Číslo dokladu| IdNumber |Číslo elektronicky čitelného dokladu.|
 +
 +=== Pseudonym - bezvýznamový směrový identifikátor ===
 +Pseudonym, neboli identifikátor fyzické osoby, který se od NIA předává je pro každého kvalifikovaného poskytovatele služby jedinečný a neměnný. Neslouží jako veřejný identifikátor, ale jako [[:nap:evidence_udaju_o_subjektech|identifikátor technický]]. Pokud by došlo na situaci, kdy se pseudonym pro fyzickou osobu změní, bude úřad o této skutečnosti informován prostřednictvím informačního systému základních registrů, protože se mu změní i [[nap:evidence_udaju_o_subjektech|agendový identifikátor fyzické osoby]]. Soukromoprávní uživatel údajů o této změně nebude notifikován, protože nemůže být napojen na [[:nap:zakladni_registry|základní registry]] nepřímo, avšak tuto službu mu může zprostředkovat jeho nadřízený úřad. 
 +
 +Pokud však chce mít kvalifikovaný poskytovatel služby jistotu o aktuálnosti pseudonymu, musí postupovat dle pravidel [[:nap:propojeny_datovy_fond|propojeného datového fondu]], tzn. mít ztotožněn svůj datový kmen a odebírat [[nap:notifikace|notifikace]] z [[nap:iszr|informačního systému základních registrů]].