Procesní, sémiotická, bezpečnostní a provozní pravidla pro migraci na jednotnou státní doménu gov.cz

Procesní, sémiotická, bezpečnostní a provozní pravidla pro migraci na jednotnou státní doménu gov.cz (dále jen „pravidla“) slouží pro jasné postupy, práci a spravování domény gov.cz ústředních orgánů státní správy (dále jen „ÚOSS“) a jejích subdomén k zajištění jednotného přístupu ke správě doménových názvů. Tento dokument je pracovním výtahem z pravidel.

Cílem pravidel je nastavení procesů podporujících splnění následujících cílů:

• kontinuální zajištění vysoké míry kybernetické bezpečnosti všech ÚOSS a jejich domén,
• snížení provozních nákladů vynakládaných na nepotřebné domény a optimalizace počtu doménových certifikátů,
• aktualizace registrace a procesu životního cyklu domén třetí úrovně pod gov.cz, zrychlení administrace nových žádostí ÚOSS a provádění operativních změn vlastníků domén třetí úrovně samoobslužnou formou,
• efektivní a bezpečně provedená migrace na jednotnou státní doménu gov.cz,

Doménové jméno nemusí být registrováno jen za účelem aktivního provozu webových portálů, případně zajištění provozovaných služeb. Doménové jméno může být registrováno za účelem ochrany uživatelů proti „podvržení adres“ (a za účelem zabrání tzv. typosquatting domén), zřízení alternativních adres „alias“, nebo případně drženo jako neaktivní za účelem ochrany dobrého jména a jiných sledovaných cílů.

Cílem migrace je přesun vnější (tedy pro občany viditelné) webové a e-mailové domény ÚOSS pod doménu gov.cz včetně webových a e-mailových domén stěžejních celostátních organizačních součástí a portálů ÚOSS, celostátních orgánů státní správy a podřízených organizací ÚOSS dle předloženého Harmonogramu a těchto sjednocených pravidel pro státní domény 3. řádu pod gov.cz.

Harmonogram migrace na jednotnou státní doménu gov.cz je přílohou tohoto materiálu. Termíny uvedené v Harmonogramu jsou uvedené jako nejzazší okamžik, žádaný stav a realizace migrace na jednotnou státní doménu gov.cz může nastat i dříve.

Záměr nepočítá s migrací aktuálně užívaných „microsites“, ani zanedbatelných, nefunkčních nebo „mrtvých“ domén, nepočítá ani s migrací domén, které sice jsou ve vlastnictví určitého ÚOSS, ale mají pouze regionální nebo zanedbatelný význam z hlediska občana. Záměr také nepočítá s migrací vnitřních domén, které jsou viditelné pro zaměstnance IT nebo jiné zaměstnance ÚOSS, a které tedy nejsou viditelné občanům Česka.

Pro v budoucnu vytvářené microsites je nicméně doporučované jejich začlenění pod gov.cz. Je povinností ÚOSS, aby v budoucnu vytvářené pro občany viditelné weby a portály celostátního významu, ať již jsou microsites nebo ne, využívaly defaultně od svého vzniku státní doménu gov.cz.

Příklady microsites podle této definice pro účely migrace na jednotnou státní doménu gov.cz lze uvést: viscojis.cz, uzemnidimenze.cz, srr21.cz, restartregionu.cz, e-pet.cz atp.

Platí, že migrace na jednotnou státní doménu gov.cz se týká především domén užívaných pod doménou prvního řádu .cz nebo u webových stránek a aplikací určené pro české občany. Migrace na gov.cz se tedy explicitně řečeno netýká domén užívaných v důvodných případech (např. marketing) v zahraničí pod národními jiných států (např. .sk, .de nebo .pl) nebo pod mezinárodními doménami.

Zároveň dále platí, že v případě služeb pro občany využívaných v zahraničí nebo cílené i na jiné jazykové skupiny jsou anglické aliasy k oficiálním doménám žádoucí.

Pro snazší orientaci toho, zda se jedná o doménu „viditelnou“ pro občany/adresáty státní správy, a nikoliv o doménu vnitřní, může posloužit to, zda daná organizace či státní orgán je v registru práv a povinností (a zda je přístupná veřejnosti nebo je na ni veřejně odkazováno v předpisech dané organizace).

Pro ostatní orgány výkonné moci (především weby v působnosti např. BIS nebo Kanceláře prezidenta ČR), které nejsou podřízeny žádnému ÚOSS, je migrace na doménu gov.cz silně doporučována pro jejich nově vytvářené systémy, orgány a weby. Pro tyto orgány platí, že se mohou zapojit do projektu migrace na prestižní státní doménu gov.cz dobrovolně, a to nejlépe během nebo v souběhu s migrací charakterově nejbližší státní organizace (BIS společně s ostatními dvěma zpravodajskými službami nebo soustava státního zastupitelství společně se soustavou soudní).

Dále pro úplnost dodáváme k ostatním státním složkám: Přestože v první vlně migrace na jednotnou státní doménu gov.cz míří především na celostátní orgány státní správy, tedy především na stěžejní výseč výkonné moci, je nezbytné zmínit, že například soustava soudů (která patří do moci soudní) a soustava státních zastupitelství je administrativně podřízena Ministerstvu spravedlnosti. Vzhledem k aktuálně používaným doménovým názvům v e-mailových adresách zaměstnanců soudů a státních zastupitelstvích sahají některé e-mailové adresy až do čtvrtého nebo dokonce pátého řádu, tedy za @ jsou 3 nebo 4 tečky, což je v rozporu s níže schválenými sémiotickými pravidly.

Vzhledem k výše uvedenému a vzhledem k tomu, že v rámci sjednocených domén jiných států EU a NATO je používána zkratka „gov” z anglického „government” zpravidla pro celý veřejný sektor, tak je nejen dovolena, ale také silně doporučována postupná migrace i orgánů moci soudní a zákonodárné.

Centrálně bude komunikace vůči občanům ohledně migrace na jednotnou doménu gov.cz zajištěna vlastníkem domény gov.cz. V době migrace dané organizace na jednotnou státní doménu gov.cz je nad rámec také žádoucí a výrazně doporučováno v dostatečné míře komunikovat vůči adresátům daného úřadu nové oficiální domény vhodným způsobem i na migrované webové stránce dané organizace.

ÚOSS nebudou muset pro nové systémy využívat placené nové domény druhého řádu, stávající nepoužívané domény budou moci zrušit a po roce 2030 budou moci zrušit i v současné době používané domény.

Co se týče certifikátů pravidla pro jednotnou státní doménu gov.cz o silně doporučují brát v potaz oficiálně vydané doporučení NÚKIB používat moderní a cenově dostupnější automatické obnovované DV certifikáty.

Na základě mapování domén ÚOSS a dosavadních zkušeností pravidla uváděná v tomto dokumentu mimo jiné doporučují pro některé domény vlastněné státem nebo určitou celostátní organizací, které nyní vypadají nebo vyznívají spíše jako domény soukromé společnosti (příklad: tojerovnost.cz nebo drogy-info.cz nebo rovnaodmena.cz), využívat funkce „za lomítkem” nebo některé tyto domény v závislosti na významu a smysluplnosti převést na úroveň 3. nebo 4. řádu v rámci státní instituce, která je spravuje. Toto zjednodušení a zpřehlednění státních webových stránek bude mít rovněž dlouhodobě příznivý dopad na státní rozpočet.

Zjednodušeně řečeno navržené hlavní/primární domény třetích řádů pod gov.cz pro jednotlivé ÚOSS vycházejí z jejich oficiálně používané nebo dlouhodobě vžité zkratky.

Obecná pravidla pro doménové názvy:

1. Primární domény se mají skládat ze zkratky ÚOSS, celostátního orgánu státní správy, celostátní organizace nebo celostátního orgánu. Tato zkratka by měla být v ideálním případě složena z počátečních písmen oficiálního názvu dané státní instituce nebo orgánu.
2. Primární zkratky státních institucí se píší do domény třetího řádu za druhý řád gov.cz.
3. Pro hlavní weby ministerstev a jiných ústředních orgánů státní správy (pro weby všech ÚOSS) platí, že mohou používat dvoupísmenné zkratky v doméně třetího řádu (mk.gov.cz, mv.gov.cz či mf.gov.cz). Nicméně pro čtveřici ministerstev, u nichž začíná jejich zkratka druhým písmenem na „z” platí, že jsou povinny používat pro jednoznačné odlišení třípísmenné názvy svých domén třetího řádu. Tedy: mzd.gov.cz pro MZD, mze.gov.cz pro MZE, mzp.gov.cz pro MŽP a mzv.gov.cz pro MZV.
4. Dále platí, že pro podřízené organizace a úřady, které neprezentují hlavní weby ÚOSS a mají v úmyslu používat subdoménu třetího řádu, musí jejich žádosti o subdomény s dvoupísmenným zkratkami třetího řádu schválit vlastník domény gov.cz.
5. Centrální sdílené služby a služby s celoplošnou dostupností se doporučují uvádět na vlastní doméně 3. řádu bez vazby na státní instituci, která ji zřizuje. Například Portál veřejné správy nebude užívat doménu čtvrtého řádu portal.dia.gov.cz, ale pouze portal.gov.cz.
6. Čtvrtý řád je přípustný pro orgány a vnitřní orgány státních institucí, pro které dává větší smysl je zařadit do 4. řádu pod doménu už jiné domény 3. řádu. Pokud to však je možné a dává to smysl, lze přiznat i vnitřním orgánům určitého ÚOSS domény 3. řádu, příklad: rvis.gov.cz nebo rvvi.gov.cz
7. Pátý řád domény gov.cz nedoporučuje předkladatel ani pracovní skupina pro jednotnou doménu gov.cz používat z důvodů pravděpodobného snížení UX pro adresáty státní správy. Naopak se doporučuje při případných výjimkách využívat funkci „za lomítkem”.
8. Předkladatel nedoporučuje užívat jednotnou státní doménu s podobou gov.cz u samosprávných celků.

Stejná sémiotická pravidla pro domény třetího řádu platí i pro stěžejní jiné státní orgány a organizace státní správy, které bude vhodnější nepodřazovat vzhledem k jejich velikosti pod určité ÚOSS, co se hierarchie doménového názvu týče, i kdyby jim byly podřízené (příklad ČSSZ).

Obdobné pravidlo platí i významné portály a webové stránky s celostátním nadrezortním významem typu Informační systém datových schránek (mojedatovaschranka.cz ⇒ ds.gov.cz), Identita občana (identitaobcana.cz ⇒ identita.gov.cz), volby.gov.cz nebo COVID portál (covid.gov.cz) – takové portály budou využívat doménu třetího řádu. Ostatní portály rezortního významu budou využívat doménu třetího řádu obdobným způsobem, přičemž se mohou psát „za lomítko” nebo doménu čtvrtého řádu pod doménou instituce.

Demonstrativně pro podřízené státní orgány nebo organizace jednotlivých ÚOSS typu: ČSSZ, ředitelství Hasičského záchranného sboru ČR nebo pro Státní úřad pro kontrolu léčiv nebo Česká inspekce životního prostředí jsou preferovány tyto varianty:

• cssz.gov.cz, hasici.gov.cz, sukl.gov.cz a cizp.gov.cz.

Varianty 4. řádů pro tyto demonstrativně uvedené stěžejní státní instituce, byť podřízené některým ÚOSS, nejsou doporučovány především z hlediska uživatelské přívětivosti:

Pro orgány a organizace, které pro jejich neoddělitelnost od nadřízeného ÚOSS nebude možné ani moudré oddělovat od jejich ÚOSS, bude zřízena dle vůle nadřízeného ÚOSS vlastní doména 4. řádu nebo předkladatel doporučuje zvážit sjednocení webových a e-mailových domén u těchto neoddělitelných a významově spjatých orgánů a organizací s ÚOSS. Například jednotlivé krajské hygienické stanice můžou využívat buď:

1. khsX.mzd.gov.cz, kde X je zkratka kraje nebo
2. sekci na webových stránkách Ministerstva zdravotnictví pod mzd.gov.cz/khsX (za lomítkem) – tím by došlo i ke snížení nákladů na správu webových stránek a e-mailových schránek jednotlivých podřízených organizací.

Aliasů může (ale nemusí) mít každý ÚOSS více v souladu se zásadou přiměřenosti a hospodárnosti. Důležitější je spíše, jakou bude užívat (i v propagačních předmětech) primární/hlavní doménu, a to i pro e-mailové doménové názvy.

Aliasy neboli „redirekty“ mohou být celá slova, nemusí to být pouze zkratky, nicméně veškeré odkazy a komunikace (a případný marketing) směrem k občanům a uživatelům státní správy by měly probíhat primárně přes hlavní uváděnou doménu daného ÚOSS, a nikoliv přes její redirekt.

Záměr migrace na jednotnou doménu sleduje především zvýšení uživatelské přívětivosti, přehlednosti a důvěryhodnosti státních webů.

Aby tak byl naplněn cíl a účel záměru, je nutné, aby doménové názvy třetích řádů státní domény gov.cz nebyly pro běžného adresáta státní správy (pro běžného občana):

1. nesrozumitelné či matoucí, co se užité zkratky, užité části slova nebo shluku písmen týče (příklad: czso.cz nebo eagri.cz),
2. příliš dlouhé (příklad: agenturasport.cz),
3. nejednotně užívané napříč státní správou (eagri.cz, army.cz),
4. v třetích řádech užívány s nadbytečnými, tedy redundantními zkratkami (cr, cz, cs – příklady: mvcr.cz, mdcr.cz, mfcr.cz),
5. nadbytečně matoucí co do počtu užívaných zkratek v názvu domén třetího řádu,
6. s používanými pomlčkami nebo nadbytečnými pátými řády (výjimku mohou tvořit testovací či technické domény, které nejsou určeny pro běžného občana),
7. snadno zaměnitelné s jinou státní organizací,
8. psány v jiném než českém jazyce (příklad: army.cz nebo justice.cz), vyjma případů, kdy doména primárně cílí na mezinárodní publikum nebo konkrétní jazykovou skupinu.

V případě e-mailových domén zaměstnanců ÚOSS je generální vzor:

jmeno.prijmeni@uoss.gov.cz

Kde UOSS je zkratka dané organizace uvedená jako hlavní doména v Harmonogramu migrace.

V případě e-mailových domén podřízených organizací, které jsou v registru služeb, je generální vzor:

jmeno.prijmeni@zkratkaorganizace.gov.cz

Zkratka organizace může být v naprosto výjimečných případech při dlouhodobém užívání určitého názvu státní instituce teoreticky nahrazena určitým kratším slovem vystihujícím předmět působnosti této státní instituce. Ve výjimečných případech nemusí mít ani určitá státní instituce zachovanou zkratkou vzhledem ke kratšímu názvu své organizace, příklad: jmeno.prijmeni@policie.gov.cz.

Pro případy, že by v rámci jednoho ÚOSS nebo samostatné celostátní organizaci pracovali lidé se shodným jménem a příjmením, se pak postupuje podle dříve uznaných zásad:

1. Zaměstnanec, který pracuje v daném orgánu nebo organizaci státní správy nejdéle: petr.pavel@dia.gov.cz
2. V pořadí druhý zaměstnanec v daném orgánu nebo organizaci státní správy: petr.pavel1@dia.gov.cz
3. V pořadí třetí zaměstnanec v daném orgánu nebo organizaci státní správy: petr.pavel2@dia.gov.cz

V případě, že služebně starší zaměstnanec organizaci opustí a nastoupí na jeho místo jiný zaměstnanec se stejným jménem, pak tento nový zaměstnanec pokračuje dál v číslování, jelikož nikdy nelze odhadnout, zda se nakonec původní zaměstnanec do organizací nevrátí nebo má jen „pauzu”.

Obecně platí, že se užívá dle e-mailového vzoru pouze 1 jméno a 1 příjmení.

Dále obecně platí, že se užívá dle e-mailového vzoru jméno a příjmení uvedené v oficiálních platných dokumentech.

Z tohoto pravidla nicméně mohou být tyto výjimky:

1. V případě, že určitý pracovník má více jmen a užívá v běžné komunikaci obě jména nebo má dokonce mezi jmény spojovník, pak se do e-mailové domény přidají obě jména pracovníka bez spojovacího znaku.
   > příklad: Anna-Marie Rychetská ⇒ annamarie.rychetska@dia.gov.cz
2. V případě, že určitý pracovník má více jmen (např. dřívější nebo stávající příslušník jiné národnosti), ale užívá v běžné v Česku komunikace jiné oficiální jméno, může si tento pracovník vybrat jako oficiální e-mail s tím jménem, které v praxi používá a má ho i v občanském průkazu.
   > Příklad: Lenka Rychetská, celý jménem Lenka Nguyen Rychetská (druhé jméno ale nepoužívá) ⇒ lenka.rychetska@dia.gov.cz
3. V případě, že určitý pracovník má více jmen (např. dřívější nebo stávající příslušník jiné národnosti), používá jiné jméno, ale nemá toto jméno uvedené v občanském průkazu, pak jako oficiální e-mail, ze kterého budou přicházet odpovědi, bude veden na jméno, které má oficiálně uvedené v občanském průkazu.
   > Příklad: V Česku používá Lenka Tranová, ale jmenuje se oficiálně Thu Ha Tranová, což má uvedené i v občanském průkazu. ⇒ thu.tranova@dia.gov.cz
4. V případě, že určitý pracovník má více příjmení a užívá v komunikaci zpravidla jen jedno příjmení, přičemž toto jedno příjmení je také uvedeno jako poslední, pak platí, že primární e-mailovou adresou je ta, která je spjata s tímto oficiálním příjmením (uvedeném zpravidla ve jméně na posledním místě).
   > Příklad: Lenka Rychetská Tranová ⇒ lenka.tranova@dia.gov.cz
5. Naproti tomu ale, pokud má pracovník více příjmení spojených pomlčkou, pak se toto příjmení musí propsat i do e-mailové adresy. (viz rozdíl oproti bodu A – kde se pomlčka nicméně neuvádí).
   > Příklad: Lenka Rychetská-Tranová ⇒ lenka.rychetska-tranova@dia.gov.cz

U všech variant 1), 2), 3), 4) a 5) platí, že pracovník může využívat více e-mailů, které všechny budou shromažďovat příchozí e-maily do jedné schránky, nicméně jako primární e-mail bude uveden při odpovědích ten, který je spjat s oficiálním jménem, které má daný pracovník/zaměstnanec uvedeno v Registru obyvatel nebo občanském průkazu či cestovním pase. Výjimku z tohoto pravidla je možné uplatit pro zaměstnance některých bezpečnostních sborů.

Jednoduše řečeno, 3 e-maily vedoucí do jedné schránky si představme jako 3 kanály, kterými zprávy přicházejí do jedné schránky, nicméně jenom jedním primárním kanálem bude odcházet i na druhou stranu (to bude e-mail uvedený v odpovědi pracovníka).

Doplňujeme, že překlepové domény a domény podobné starým (stávajícím) doménám bude možné zaregistrovat, ale nebude možné je užívat jako doménu primární/hlavní, zároveň pro tyto typosquatting domény neplatí nutnost je držet po celou dobu přechodného období do konce roku 2030:

mvcr.gov.cz, army.gov.cz, justice.gov.cz, mdcr.gov.cz atp.

Vlastník subdomény zajistí, aby:

1. provozovaný systém na subdoméně gov.cz nenarušoval kybernetickou bezpečnost ostatních systémů provozovaných na doméně gov.cz,
2. prostřednictvím subdomény nebo na ní provozovaných služeb nedocházelo k distribuci škodlivého kódu, nebyl předstírán obsah jiné služby nebo nebyl zasílán spam prostřednictvím e-mailových schránek pod subdoménou gov.cz,
3. informace sdělované u webových stránek pod gov.cz byly věrohodné, a nesnižovaly tak u občanů důvěryhodnost celé domény gov.cz,
4. provozovaný systém na subdoméně gov.cz souvisel s výkonem působnosti státní správy nebo informoval o výkonu působnosti státní správy,
5. registroval nebo jinak zajistil subdomény pod gov.cz, které se jeví jako podvodné návrhy podobných subdomén a zamezil tak phisingovým a dalším typům útoků cílícím na podobný název domény na druhém řádu, a to přiměřeně, s péčí řádného hospodáře a pokud organizace v rámci hodnocení rizik vyhodnotí riziko určité typosquatting domény jako významné.
   1. Například doména mspv.gov.cz je lehce zaměnitelná za doménu mpsv-.gov.cz, mpsv-gof.cz, mspv-gvo.cz apod. V tomto smyslu se ale pro ÚOSS nic nemění oproti stávajícímu stavu, tato povinnost vyplývající z hodnocení rizik dle § 5 vyhlášky č. 82/2018 Sb., o kybernetické bezpečnosti, což je prováděcí předpis zákona č. 141/2018 Sb., o kybernetické bezpečnosti, kterou si zabezpečují jednotlivé ÚOSS sami, toto ustanovení existovalo i před migrací na jednotnou státní doménu gov.cz.

V případě porušení pravidel uvedených v bodech a) až d) může dojít v krajním případě i ke zrušení subdomény ze strany vlastníka domény (viz kapitola č. 5 o procesních postupech).

Tato pravidla mohou být měněna ze strany vlastníka domény. Změnu pravidel oznamuje vlastník domény správcům subdomén alespoň 30 dní předem.

Níže uvedené procesní postupy mohou být měněny ze strany vlastníka domény pro zajištění hospodárného a účelného využití domény gov.cz. Platné procesní postupy jsou zveřejněny na webových stránkách vlastníka domény.

Právo podat žádost o subdoménu pod gov.cz má pouze orgán veřejné moci uvedený v Registru práv a povinností s následujícími právními formami:

• Organizační složka státu,
• Státní fond ze zákona nezapisující se do obchodního rejstříku,
• Státní příspěvková organizace a
• Česká národní banka.

Žádost o nové subdomény se podává primárně standardní cestou přes portál CMS.

Vlastník domény gov.cz posoudí, zda daná žádost splňuje výše uvedená sémiotická pravidla, a pokud ano, doménu zřídí – tímto krokem se orgán stane vlastníkem subdomény. Pokud žádost pravidla nesplňuje, vlastník domény tuto žádost zamítne s krátkým odůvodněním zamítnutí, nebo požádá žadatele o doplnění žádosti. O založení domény rozhodne vlastník domény do 2 pracovních dnů od podání žádosti. Po vytvoření subdomény je o jejím založení informován správce subdomény e-mailovou zprávou.

Řešení sporů

V případě zamítnutí žádosti může na žádost žadatele dojít k trojstrannému jednání mezi vlastníkem domény, arbitrem pro kontrolu názvů domén 3. řádu na gov.cz a žadatelem o subdoménu, na jehož základě arbitr pro kontrolu názvů domén 3. řádu na gov.cz rozhodne o ponechání rozhodnutí vlastníka domény či jeho revokaci a schválení žádosti.

V případě, že orgán bude mít zájem o registraci subdomény, která je už zaregistrována jiným orgánem, může na žádost žadatele dojít k čtyřstrannému jednání mezi vlastníkem domény, stávajícím vlastníkem subdomény, žadatelem o subdoménu a DIA. Pokud během tohoto jednání nedojde k nalezení kompromisu, rozhodne DIA o novém vlastníkovi subdomény s dodržením dostatečné doby k případné migraci.

Spravovat DNS záznamy k dané subdoméně je možné přes ticketovací systém CMS, v budoucnu přes samoobslužný portál. Vyžádat si změnu záznamu pomocí jiného kanálu (např. telefonicky nebo e-mailem) není možné z důvodu nutnosti autorizace daného požadavku.

Pomocí tohoto požadavku je také možné založit domény čtvrtého řádu pro vlastněnou subdoménu.

Zrušení subdomény je možné provést pouze přes ticketovací systém CMS nebo v budoucnu přes samoobslužný portál. Zrušení domény probíhá odstraněním domény ze zóny gov.cz. Následně si tuto subdoménu může zaregistrovat jiný orgán.

V případě že vlastník subdomény nedodržuje určená pravidla uvedená v bodech a) až d) kapitoly 4. tohoto dokumentu, informuje vlastník domény gov.cz vlastníka subdomény o porušení pravidel a určí dostatečnou lhůtu k nápravě.

V případě, že náprava nebude do určené doby provedena, může vlastník domény v krajním případě rozhodnout o dočasném znepřístupnění subdomény do doby, než bude nedostatek napraven. V případě, že nebude nedostatek napraven ani po znepřístupnění domény do 30 dnů, může vlastník domény rozhodnout o zrušení subdomény.

V případě změny kategorií orgánu veřejné moci, kdy orgán už nebude zařazen ani v jedné z požadovaných kategorií v podkapitole 5.1 nebo nástupnická organizace už nebude orgánem veřejné moci, vlastník domény zajistí přesměrovaní existujících subdomén na nové domény mimo gov.cz.

Subdoména může být převedena na jiného vlastníka v případě žádosti stávajícího vlastníka subdomény, a pokud s tím bude nový vlastník souhlasit. Nový vlastník musí subdomény opětovně zaregistrovat dle postupu v podkapitole 5.1.

V případě zániku orgánu stávajícího vlastníka jsou subdomény automaticky převedeny na nástupnickou organizaci s požadavkem na definování nových správců převáděných subdomén. Pokud není nástupnický orgán určen, domény jsou zrušeny a může se je zaregistrovat jiný orgán dle postupu v podkapitole 5.1.

Doménové certifikáty pro subdomény si zajišťuje každý orgán samostatně. Způsob ověření doménového certifikátu (DV, OV nebo EV) závisí na uvážení vlastníka subdomény a jeho interních procesech. V případě, že držitel subdomény bude k ověření certifikátu potřebovat součinnost vlastníka domény, vlastník domény tuto součinnost poskytne do 2 pracovních dní od zaslání žádosti o součinnost (např. vystavení plné moci).

Preferovány jsou automaticky obnovované DV certifikáty, jelikož z důvodu faktické nefunkčnosti revokace certifikátů je vhodné preferovat certifikáty s kratší dobou platnosti, které jsou k dispozici i ve variantě zdarma. Automatické vystavování také snižuje možnost lidské chyby při jeho vystavování, a tím i nedostupnost systému a náklady jak na straně vlastníka subdomény, tak vlastníka domény. Pouze tam, kde je důvod, který jejich použití brání (není podpora na straně SW nebo HW, automatické vydávání by bylo problematické nebo tomu brání jiné právní důvody), je doporučováno využívat v těchto ojedinělých případech ručně vystavované certifikáty.

Hlášení provozních a bezpečnostních problémů ze strany vlastníka subdomény (např. nefunkčnost apod.) probíhá přes portál CMS, případně telefonicky na telefonní číslo zveřejněné na portále CMS. V případě výpadku služby překladu DNS delšího než 10 minut (tzn. stav, kdy nefunguje překlad DNS záznamů z internetu) o této situaci informuje vlastník domény správce subdomén.

Toto hlášení nenahrazuje případnou zákonnou povinnost hlásit kybernetické bezpečnostní incidenty dle zákona o kybernetické bezpečnosti.

Tato pravidla a uvedené termíny určené pro vlastníka domény gov.cz jsou závazná a měl by je zapracovat do své bezpečnostní dokumentace a reflektovat v případném smluvním vztahu mezi dalšími subjekty podílejícími se na správě a provozu domény. Změna těchto pravidel ze strany vlastníka domény je možná, pouze pokud je to nutné z provozních důvodů nebo pokud povede k vyšší bezpečnosti provozu domény.

Pravidla plněná od data účinnosti:

1. Vlastník domény průběžně sleduje typosquatting domény a hlásí jejich zneužití správcům příslušných domén prvního řádu (pokud je to možné a smysluplné) a Národnímu úřadu pro kybernetickou a informační bezpečnost stejným postupem, jako se hlásí kybernetická bezpečnostní událost.
2. Vlastník domény zřídí informační kanál (e-mailovou schránku nebo ticketovací systém), kterým můžou správci subdomén hlásit zneužívání typosquatting domén, vlastník domény gov.cz tato hlášení aktivně řeší. Vlastník domény proaktivně nakupuje další domény, které by mohly být potenciálně zneužitelné a občanem zaměnitelné za doménu gov.cz.
3. Vlastník domény zřídí e-mailovou adresu „abuse“ nebo webový formulář, na který může veřejnost reportovat zranitelnosti systémů provozovaných na doméně gov.cz a jejich subdoménách. Tyto informace jsou následně přeposílány na správce jednotlivých subdomén.
4. Vlastník domény zablokuje subdoménu v případě, kdy vlastník domény poruší pravidla provozu domény gov.cz. O tomto zablokování subdomény informuje Národní úřad pro kybernetickou a informační bezpečnost stejným postupem, jakým se hlásí kybernetická bezpečnostní událost.
5. Doména a subdomény jsou podepsány technologií DNSSEC dle aktuálních standardů.
6. Vlastník se řídí doporučeními v oblasti kryptografických prostředků vydanými NÚKIB – Doporučení v oblasti kryptografických prostředků: Minimální požadavky na kryptografické algoritmy, např. při volbě kryptografických algoritmů pro DNSSEC. Minimální požadavky na kryptografické algoritmy lze nalézt na https://www.nukib.cz/cs/uredni-deska/ 
7. V případě využití třetí strany pro provoz veřejných DNS serverů je zajištěno, aby seznam DNS záznamů byl uložen ve verzované a strojově čitelné formě na straně vlastníka domény z důvodu zajištění možnosti exit strategie a auditu.
8. Využít DNS NS záznam pro přesměrování subdomény na jiný autoritativní DNS server je možné, pouze pokud je to nezbytné z bezpečnostních nebo provozních důvodů. Tuto výjimku schvaluje vlastník domény.

Pravidla s termínem plnění do 31. 12. 2023:

1. Jsou vytvořena a dokumentována konkrétní pravidla vycházející z tohoto dokumentu pro zakládání a správu subdomén.
2. Je vytvořen seznam subdomén a vlastníků subdomén, který bude zveřejněn např. na whois.gov.cz a zároveň ve strojově čitelné podobě na Portálu otevřených dat. Tento seznam musí být aktualizován alespoň jednou týdně. Z důvodu zajištění bezpečnosti může být na žádost vlastníka subdomény vlastníkem domény udělena výjimka ze zveřejnění.
3. Je vytvořen neveřejný seznam, který bude obsahovat všechny subdomény a kontakt na správce subdomény (e-mailová adresa, telefon). Tento seznam bude pravidelně aktualizován a poskytnut Národnímu úřadu pro kybernetickou a informační bezpečnost, případně bezpečnostním složkám.
4. Doména druhého řádu gov.cz je zařazena na seznam Public Suffix List.
5. Doména druhého řádu gov.cz má přímo nastaven A a AAAA záznam, který vede na webový server přístupný přes protokoly HTTP a HTTPS, jehož funkcí je přesměrování na subdoménu domény gov.cz (např. portal.gov.cz).
6. Na adrese https://.gov.cz/.well-known/security.txt je veřejně přístupný soubor security.txt dle standardu RFC 9116.
7. Doména gov.cz má nastaven jediný CAA záznam typu „issue“, ve kterém je uvedena certifikační autorita, která vydává certifikát přímo pro doménu gov.cz. Pro doménu gov.cz tak nebude možné vystavit wildcard certifikát *.gov.cz.
8. Správci jednotlivých subdomén mají možnost si záznam CAA upravit pro konkrétní subdomény a uvést v něm vlastní certifikační autority. Vlastník domény na nutnost nastavit CAA záznam upozorňuje správce subdomény při zakládání nové subdomény.
9. Všechny nově zřízené subdomény mají nastaveny DNS záznamy tak, aby neumožňovaly tuto subdoménu využívat pro odesílání e-mailových zpráv. Příslušné záznamy SPF, DKIM a DMARC si musí správce subdomény nastavit dle vlastní potřeby. Vlastník domény na nutnost nastavit tyto záznamy upozorňuje správce subdomény při zakládání nové subdomény.
10. Doména gov.cz je zařazena do HSTS Preload List, aby při přístupu na jakoukoliv subdoménu gov.cz byl vyžadován přístup pouze přes zabezpečený protokol HTTPS. Správci subdomén jsou na nutnost využití HTTPS upozorněni při zřizování subdomény.
11. Pro snížení rizika plynoucího z dlouhého dodavatelského řetězce mezi vlastníkem domény prvního řádu a vlastníkem domény gov.cz v registru domény prvního řádu nefiguruje žádná jiná právnická osoba v pozici registrátora.
12. Ze strany vlastníka domény je definováno SLA jak pro zajištění dostupnosti domény, zajištění dostupnosti samoobslužného portálu/ticketovacího systému, tak pro správu požadavků ze strany správců subdomén. Tato SLA a jejich případné změny jsou komunikovány vlastníkům subdomén.
13. Změny DNS záznamů v zóně probíhají ze strany správce subdomény přes samoobslužný portál nebo přes ticketovací systém.
14. V případě využití ticketovacího systému je SLA na změnu záznamu maximálně 1 den, aby bylo možné pružně reagovat na nastalé situace (např. potřeba přesměrovat doménu na jinou IP adresu, změnit DNS záznam pro kontrolu vlastnictví domény pro vydání certifikátu apod.). Na požádání správce subdomény je možné získat aktuální výpis záznamů v dané subdoméně. Přístup do ticketovacího systému je chráněn silnou autentizací.
15. V případě využití samoobslužného portálu portál zobrazuje aktuální seznam vlastněných subdomén spolu s aktuálním seznamem nastavených záznamů. Záznamy je možné v tomto portálu přímo měnit, přičemž změna se projeví na DNS serverech do 60 minut. Přístup je chráněn silnou autentizací založenou na přiřazené roli v systému JIP/KAAS.
16. TTL 60 minut standard, jiná na výjimky.
17. Veřejná DNS infrastruktura je dostupná i přes protokol IPv6.
18. DNS infrastruktura podporující fungování domény gov.cz je součástí kritické informační infrastruktury.
19. SLA na dostupnost DNS infrastruktury je nastavena na 99,90 % nebo vyšší měsíčně.
20. Pro zajištění konektivity veřejných DNS serverů se využívají IP tranzitní služby alespoň dvou nezávislých poskytovatelů internetového připojení, aby byla zajištěna dostupnost domény v případě, že by nastal problém v síti poskytovatele internetového připojení.

Pravidla s termínem plnění do 31. 12. 2024:

1. Je aplikován RRL na veřejných DNS serverech.
2. Veřejné DNS servery jsou rozmístěny do více nezávislých sítí. V případě unicast uspořádání minimálně do tří nezávislých sítí ve třech nezávislých AS. V případě vhodnějšího a doporučeného anycast uspořádání minimálně dvě silné lokality v ČR s peeringem v NIX.CZ plus minimálně pět zahraničních lokalit pokrývajících nejvýznamnější světové peeringové uzly. 
3. Veřejné DNS servery umístěné v lokalitách v ČR jsou zapojeny do sítě připojené do projektu FENIX pro zajištění fungování domény a jejích veřejných DNS serverů i v případě rozsáhlých DDoS útoků v rámci ČR. 
4. Napříč lokalitami, kde jsou umístěny veřejné DNS servery, se využívá alespoň dvou různých dodavatelů HW i SW, aby chyba konkrétního HW nebo SW nemohla způsobit nedostupnost služby jako celku. 
5. Při unicast uspořádání je kapacita konektivity minimálně 2× 100GE v ČR a 2× 100GE do zahraničí. Doporučeným uspořádáním je anycast, který bude mít stejnou minimální kapacitu v ČR, a navíc další kapacitu v zahraničních lokalitách (zejména ve významných peeringových uzlech a u předpokládaných zdrojů útoků). Toto uspořádání umožňuje podstatně lépe škálovat kapacitu DNS služby a umožní DDoS útoky pocházející ze zahraničí ve velké míře udržet mimo hranice ČR, a tím významně snížit jejich dopad na občany ČR. Toto uspořádání zároveň dodává službě velkou míru redundance a umožňuje servisovatelnost za chodu bez vlivu na dostupnost služby a s minimálním vlivem na kapacitu.
6. Alespoň část veřejných DNS serverů samotných by mělo být čistě fyzických (nikoliv virtualizovaných) a s takovými parametry, aby byly schopné reálně obsloužit DNS provoz až do úrovně jejich konektivity.
7. Je zřízen samoobslužný portál pro správu subdomén od 1. 1. 2025 v pilotním provozu s převedením do plného produkčního provozu do 31. 12. 2025.
8. Samoobslužný portál bude poskytovat zabezpečený API přístup (např. pomocí protokolu DDNS) pro změnu DNS záznamů od 1. 1. 2026 v pilotním provozu s převedením do plného produkčního provozu do 31. 12. 2026.
9. SLA na dostupnost veřejné DNS infrastruktury je nastavena na 99,99 % nebo vyšší měsíčně.
10. V rámci CMS/KIVS je zřízen neveřejný DNS server pro potřeby připojených organizací do KIVS, který umožňuje překlad záznamů pod doménou gov.cz i v případě nefunkčnosti veřejné DNS infrastruktury.

Seznam termínů a zkratek používaných v rámci tohoto projektu