duminică, 23 iulie 2017

La Parlament (eIDAS #3)


Încă o Joi, încă o întâlnire la Comisia IT a CDEP. De această dată MCSI a trimis un funcționar care ne-a spus că nu are mandat să exprime poziții, va revenii în scris. Am aflat ce este cu tehnologia video – ideea este că după ce instalezi aplicația lor pe PC uploadezi un scan al CI și porți o convorbire video în urma căreia operatorul îți emite un certificat calificat, care nu-ți parvine direct ci este undeva în aplicație. Apoi prin aplicație/certificat interacționezi cu IFN-ul care plătește acest serviciu și poți lua credite de la distanță. Critica lor la adresa procedurii lui Augustin este că face trimitere în privința metodei de identificare din momentul emiterii certificatului calificat către legislația MAI, dânșii ar fi dorit o prevedere specifică în cadrul acestei legi. Audienței i s-a părut o forțare și le-a sugerat mai bine să discute cu BNR să înmoaie legislația sectorială. Altfel, o prezentare bună, ar fi prins la necunoscători.


În sfârșit am avut o agendă anunțată și mi-am făcut o idee de subiecte. Rămân la opinia că pentru majoritatea nu este necesară o lege, însă, fiind probleme reale nu m-am putu abține să nu le discut. Substanțială a fost problema modalității de certificare a documentelor electronice emise de instituții publice astfel încât acestea să aibă caracter de autentic. Pe de o parte trebuie comunicată poziția semnatarului în organigramă într-un mod scurt și standardizat, eu le-am spus că ne interesează de fapt mandatul și că acesta nu este întotdeauna descris de funcția semnatarului. În contraofertă am sugerat folosirea sigiliului electronic ca probă a reprezentativității. Discuția a alunecat într-o zonă îngrijorătoare, în care m-am contrazis cu CIO care propunerea un sistem închis de tip bridge PKI pentru instituțiile publice care au această tehnologie.

Noțiunea de ”sistem închis” provine din L455/2001 în care era singura alternativă pentru certificatele calificate. Cu greu instituțiile care chiar au dorit să scape de hârtii au construit o argumentație juridică bazată pe acesta. Cât timp L455 va exista, noile nivele de trust aduse de eIDAS vor fi subminate de 455 pentru că prevederile contrare sperie funcționarul public. Am încercat să explic că trebuie să renunțăm la acest concept care nu permite emiterea documentelor și către cetățeni și că recunoașterea/non-repudierea ține strict de semnatar. Cât timp o instituție publică decide să folosească un sistem și face public acest lucru – practic acordându-i un nivel de încredere – îi va fi imposibil să-și conteste ulterior documentele. Regulamentul eIDAS lasă la alegerea MCSI să introducă în trusted list-ul european și emitenți necalificați problema identificării fiind astfel rezolvată și, chiar dacă nu sunt sigur că introducerea se va întâmpla, totuși mă simt dator să promovez acest scenariu ca fiind cea mai bună opțiune. A utiliza certificate calificate nu este numai o problemă de cost, noi ne îndreptăm spre generarea automată de documente din aplicații de business și va fi dificil să mergem la ghișeu cu serverul Dorel în brațe pentru identificare : ))

La plecare am avut oportunitatea să-i explic unei drăguțe doamne reprezentantă a industriei calificate că nu am ceva contra dânșilor ci doar observ că după 10 ani am ajuns să avem numai 300.000 de certificate active în timp ce, în doi ani ghiseul.ro și SPV au strâns un număr similar de useri folosind autentificări mai simple. Până la cele 2-3 milioane de români din target mai este cale lungă și este firesc să promovez variantele de succes.

Niciun comentariu:

Trimiteți un comentariu