W dniu 21 kwietnia 2011 r. Minister Spraw Wewnętrznych i Administracji wydał rozporządzenie w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. z 2011 r. Nr 93, poz. 545) . Określono w nim właściwości systemów certyfikujących, które powinny m.in. pozwalać na niezwłoczne unieważnienie certyfikatu, precyzyjne określenie czasu wystawienia i unieważnienia certyfikatu, a także potwierdzenie tożsamości osoby, dla której wystawiany jest certyfikat. Podmioty, które będą administrować systemem, zobowiązane zostały do systematycznego badania bezpieczeństwa i zapewnienia odpowiedniej ochrony pod względem organizacyjnym, technicznym i kryptograficznym, przeciwdziałania fałszowania certyfikatów, czy wreszcie przechowywania informacji dot. wydanych certyfikatów przez okres 20 lat. Pozostałe obowiązki określono w § 4 ust. 2 rozporządzenia . Aby można było uznać, że wymogi te są spełnione, administratorzy systemu powinni wdrożyć wymagania techniczne określone § 4 ust. 3 rozporządzenia .
Odrębnym systemem jest system zarządzania tożsamością użytkowników. Nie służy on do wydawania certyfikatów, a jedynie do rejestracji i identyfikacji użytkowników. Wymagania techniczne dla systemu zarządzania tożsamością wskazane zostały w § 5 ust. 3 rozporządzenia . Obydwa systemy: certyfikujący i zarządzający tożsamością użytkowników wykorzystywane będą przez systemy autoryzujące.
Kolejnym rozporządzeniem wydanym przez MSWiA jest rozporządzenie z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej. (Dz. U. z 2011 r. Nr 93, poz. 546) . Zgodnie z regulacjami zawartymi w rozporządzeniu, konta na ePUAP zakładać mogą użytkownicy (osoby fizyczne) oraz podmioty (osoby prawne, jednostki organizacyjne nie posiadające osobowości prawnej albo podmioty publiczne).
Aby założyć konto dla użytkownika, wymagane będzie podanie imienia, nazwiska, adresu poczty elektronicznej oraz identyfikatora; do uwierzytelnienia służyć będzie natomiast hasło (którego stopień złożoności kontrolować będzie ePUAP) bądź posiadany już uprzednio kwalifikowany certyfikat.
W przypadku podmiotów kwestia zakładania konta prezentuje się nieco bardziej skomplikowanie. Dokonać może tego jedynie użytkownik ePUAP działający w imieniu podmiotu. Podać należy wówczas nazwę podmiotu i identyfikator dla niego, natomiast funkcjonalności podmiotu publicznego staną się dostępne dopiero po pozytywnym rozpatrzeniu przez ministra wniosku w tej sprawie. Użytkownik, który założył konto dla podmiotu staje się administratorem podmiotu, przy czym jeden użytkownik może być administratorem dla wielu podmiotów.
W rozporządzeniu wprowadzono § 6 mówiący o niezaprzeczalności wystawianych przez system: urzędowego poświadczenia odbioru, elektronicznego poświadczenia opłaty, oznaczenia czasu, weryfikacji podpisu elektronicznego i weryfikacji zgodności dokumentu elektronicznego z jego wzorem. Oznacza to, że brak będzie możliwości zanegowania uczestnictwa w wymianie danych.
W § 8 rozporządzenia wymieniono również usługi, które mogą być świadczone w postaci elektronicznej z wykorzystaniem ePUAP przez podmioty publiczne.
Są to:
- tworzenie, przesyłanie i obsługa dokumentów elektronicznych
- wymiana danych miedzy ePUAP a innymi systemami teleinformatycznymi
- identyfikacja użytkowników i możliwość przypisania im w sposób jednoznaczny działań
- weryfikacja podpisu elektronicznego
- tworzenie usług podmiotu publicznego w oparciu o dwie lub więcej usług
- obsługa płatności elektronicznych
- potwierdzenie profilu zaufanego ePUAP
Zgodnie z rozporządzeniem wszystkie konta założone przed dniem wejścia w życie rozporządzenia będą traktowane na zasadach określonych w rozporządzeniu .
MSWiA wydał także, w dniu 27 kwietnia 2011 r., rozporządzenie w sprawie zasad prowadzenia, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. z 2011 r. Nr 93, poz. 547) . Zgodnie z przepisami rozporządzenia , zainteresowana osoba przesyła wniosek o potwierdzenie profilu zaufanego ePUAP na ePUAP w postaci elektronicznej. Potwierdzanie wniosku należeć będzie do konsula, naczelnika urzędu skarbowego, wojewody bądź ZUS (dalej określanych jako punkt potwierdzający), przy czym zgodnie z rozporządzeniem osoba zainteresowana będzie mogła zgłosić się do dowolnego punktu potwierdzającego. W punkcie zostanie stwierdzona tożsamość wnioskującego na podstawie dowodu osobistego/paszportu oraz zostaną zweryfikowane dane znajdujące się na we wniosku i w profilu użytkownika. Wniosek będzie następnie drukowany, a na końcu podpisywany przez składającego. Profil zaufany ePUAP wnioskującego potwierdzany jest przez punkt potwierdzający bezpiecznym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP. Możliwe także będzie także potwierdzenie profilu przez osobę wnioskującą pod warunkiem, że posiada ona możliwość złożenia bezpiecznego podpisu elektronicznego weryfikowanego za pomocą ważnego kwalifikowanego certyfikatu (z podaniem imienia, nazwiska i numeru PESEL).
Potwierdzenie profilu dokonuje się na okres 3 lat, a jego ważność może być przedłużana na taki sam okres. Przedłużenie potwierdzenia może zostać dokonane za pośrednictwem punktu potwierdzającego bądź samodzielnie przez posiadacza profilu zaufanego ePUAP.
Rozporządzenie określa również przesłanki, w przypadku zaistnienia których nie dokonuje się potwierdzenia profilu.
Są to:
• Brak możliwości stwierdzenia tożsamości osoby wnioskującej
• Niezgodność danych z bezpiecznego podpisu elektronicznego z danymi z wniosku bądź profilu użytkownika
• Złożenie niekompletnego wniosku
Na osobie posiadającej ważny profil zaufany ePUAP ciążyć będzie również obowiązek zadbania o jego bezpieczeństwo, tj. nieudostępniania innym, zadbania o poufność danych czy też dokonania unieważnienia profilu w przypadku utraty kontroli.
Profil zaufany ePUAP straci ważność, jeżeli do jego potwierdzenia zostaną wykorzystane nieprawdziwe lub nieaktualne dane, a także gdy w przedstawionych przez osobę zainteresowaną danych zajdzie zmiana. Nastąpi to również w przypadku usunięcia konta użytkownika bądź upływu okresu, na jaki profil został przedłużony. O utratę ważności będzie mógł też wystąpić z wnioskiem posiadacz profilu, bądź unieważnić go samodzielnie.
Ponadto na punktach potwierdzających ciążyć będzie obowiązek przechowywania i archiwizacji przez 20 lat dokumentów związanych z profilami ePUAP.
Opisane w artykule rozporządzenia wchodzą w życie po upływie 30 dni od ogłoszenia tj. 9 czerwca 2011 r.
Przydatne materiały:
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 21 kwietnia 2011 r. w sprawie szczegółowych warunków organizacyjnych i technicznych, które powinien spełniać system teleinformatyczny służący do identyfikacji użytkowników (Dz. U. z 2011 r. Nr 93, poz. 545)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej. (Dz. U. z 2011 r. Nr 93, poz. 546)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 kwietnia 2011 r. w sprawie zasad prowadzenia, przedłużania ważności, wykorzystania i unieważniania profilu zaufanego elektronicznej platformy usług administracji publicznej (Dz. U. z 2011 r. Nr 93, poz. 547)
Pisaliśmy o tym również:
ePUAP: Profil Zaufany uruchomiony