Continuă baletul dintre Autoritatea pentru Digitalizarea României și CertSign cu rezultatul amânării apariției nodului eIDAS românesc. După anul pierdut din cauza definiției memoriei cache noua tură de contestații în justiție țintește recuperarea de către asocierea, care include Certsign, a 1,6 puncte ce o despart de asocierea Telekom, declarată câștigătoare.
Avem 3 noi solicitări de lămurit în justiție.
👉👉În zona experților cheie este urmărită punctarea unui expert oferit de CertSign cu 4 puncte. Cerințele generale sunt bazate pe ”numărul de proiecte în care respectivii experți au îndeplinit același tip de activități ca cele pe care urmează să le îndeplinească în viitorul contract” (analiză, proiectare, dezvoltare, testare).
În mod particular avem:
👉”2 puncte pentru fiecare proiect de interoperabilitate a tehnologiilor IT realizate în proiecte care conțin componente specifice mijloacelor de identificare”. Aceste puncte sunt solicitate de către CertSign în baza participării, în 2010 (deci înainte de apariția eIDAS), a expertului său la ” XAdES/CAdES Remote Plugtests Event” – un fel de hackathon online în care furnizorii de aplicații de semnătură electronică testează documentele semnate de produsul lor cu aplicația de testare standard și discută neconformitățile. La acea vreme nu existau soluții de remote-signature deci acele aplicații de semnare nu aveau cum să aibă o componentă de autentificare/identificare online sau, în orice caz, acest lucru ar trebui demonstrat indubitabil.
👉”2 puncte pentru expertul care a participat la implementarea unui sistem de interoperabilitate care utilizează componente de tip CEF Telecom”. Cum CEF pune la dispoziție componente software ca open-source cerința ar fi firesc înțeleasă ca solicitând experiență cu aceste componente sau derivate ale acestora. Însă CertSign solicită punctele pentru participarea într-un proiect de cercetare construit pe FIDO® UAF (Universal Authentication Framework) – un alt standard, american. Vom vedea ce înțelege instanța din sintagma ”componente de tip CEF Telecom”, derivate ale codului furnizat de CEF sau orice produs cu un scop general asemănător ?
👉👉A doua solicitare, în valoare de 2 puncte, este foarte interesantă. ADR susține că nu i se furnizează sprijinul de care are nevoie pentru Planul de implementare de business, respectiv etapa GoLive. Contestatarul susține că trecerea la utilizarea în producție este, prin lege, responsabilitatea ADR și că el dă sfaturi/planificare fără a fi responsabil de rezultate. Situație interesantă deoarece, în analiza mea, furnizorii de certificate calificate au interesul comercial ca nodul eIDAS să nu fie utilizat și astfel să nu fie deschise porțile către furnizorii europeni de eID.
👉👉A treia solicitare este de a descalifica Telekom întrucât, într-un calcul complicat, acesta nu ar fi atins un anume criteriu legat de cifra de afaceri.
Vom avea deci încă un an de întârziere urmat, posibil, de atribuire către Phoenix – CertSign – Maguay cu unele dubii în commitmentul acestora pentru reușita proiectului. Având în vedere riscul de infringement (avem obligația de a-l avea încă din 2019) și faptul că esența sa este disponibilă ca open-source cred că conducerea ADR trebuie să renunțe la amenajările de camere de date, la această procedură, să hosteze cele 6 servere în altă parte (STS sau chiar un dc comercial) și să configureze un nod eIDAS standard, bazat pe codul CEF, achiziționând expertiză direct sau apelând la cea a STS. Cred, dar nu mă aștept 😥Sunt prea multe micile erori sau neclarități în documentația de atribuire, dincolo de limita inocenței. La fel cum dincolo de perioada de rambursare va ajunge acest proiect, nu cred că OPISI (parte a ADR) va observa asta, însă MIPE sau oricine este preocupat de 2 miliona euro din Bugetul Național ar cam trebui să o facă.
Niciun comentariu:
Trimiteți un comentariu