În marja lăudabilului trend de publicare în consultare publică a Caietelor de Sarcini, început cu cele aferente cloudului privat guvernamental, iată că astăzi putem vorbi de un proiect esențial – REGES ONLINE – care va interacționa cu toți angajatorii din România.
CS este disponibil la adresa: https://www.inspectiamuncii.ro/reges
Evident, am dat o raită în secțiunea dedicată managementului identității și am reușit să fiu multiplu surprins.
Secțiunea 3.2.3.6.3 începe cu o citare a reglementărilor europene din zona eIDAS.
La final suntem informați că angajatorii se vor autentifica într-un context de încredere „substanțial” așa cum este definit de eIDAS iar angajații ITM vor fi în context „ridicat”.
Între cele două aflăm că REGIS se va integra cu, și va funcționa prin, PSCID iar secțiunea 3.2.6.2.4 ne spune că inițializarea contului se va putea face minim și prin refolosirea identităților din PSCID și SPV al MFP.
Revenind la prima secțiune, găsim și următorul text: „Pentru angajatori se va introduce autentificarea cu 2 factori, folosind numele și parola actuale dar și certificate digitale calificate”.
Și de aici începem discuția.
În primul rând trebuie menționată o disonanță a abordării. Pe de o partea acest CS descrie o viziune de business urmând ca analiza de proces și proiectul tehnic să fie livrabilele lui, pe de altă parte, chiar în lipsa proiectului, autorii știu deja că trebuie minim 504 cores de server!
Însă se aventurează cu prezumțiile mult mai departe.
Prin indicarea nivelelor de încredere eIDAS ridică o ștachetă care trebuie atinsă, practic prezumă că atât PSCID cât și SPV vor fi notificate cu succes la UE ca având un anume nivel de încredere, în timp util pentru funcționarea REGES. După cum am mai scris, în documentația PSCID nu există ca țintă nici măcar nivelul „substanțial” iar ADR a refuzat la momentul lansării proiectului să confirme sau sa infirme acest obiectiv. SPV ar putea obține nivelul „substanțial” cu un efort semnificativ pentru care nu știu însă dacă există disponibilitatea necesară.
În schimb autorii uită de CEI care va avea nivelul „substanțial”, poate chiar „ridicat” în funcție de MAI. O sursă de identitate inexplicabil ignorată.
Ideea de a folosi certificate calificate pentru autentificare este deosebit de interesantă din perspectiva întrebării dacă denotă o întâmplare sau o mare finețe din partea autorilor.
Caracterul „calificat” al acestor certificate are valoare juridică zero din perspectiva dovedirii identității. Nu pot fi folosite ca factor de identificare dar, adevărat, ar putea fi folosite ca factor de autentificare. Pentru că, mai ales cele pe token usb, pot juca rolul de „factor de autentificare bazat pe posesie”. Însă în egală măsură poate fi orice certificat, valoarea este dată de dispozitivul pe care se află acesta. Așa este la ANAF, te autentifici cu certificatul însă valoarea declarației fiscale este adusă nu de acesta la logare ci de semnătura calificată aplicată pe declarație.
Certificatele cu dublă utilizare, semnătură calificată și logare, sunt o proastă practică specifică României și au blocat folosirea certificatelor calificate de import, mai ieftine, în relația cu ANAF. Sunt surprins că reapare această abordare contrară eIDAS și pieței concurențiale.
În concluzie, este modern și european să definești obiective bazate pe niveluri de încredere eIDAS. Însă, după ce o faci, nu mai are rost să menționezi diverse surse de identitate pentru că oricare sursă care are nivelul dorit este egal utilizabilă, interoperabilitatea tehnică fiind asigurată de nodul eIDAS.
Nivelul „ridicat” solicitat pentru utilizatorii interni este inutil, aceștia, fiind angajați proprii, sunt cel mai bine „cunoscuți”, nu este importantă identificarea lor de către un terț.
Trebuie să subliniez că aceste niveluri (substanțial/ridicat) sunt aplicabile sursei de identitate și nu consumatorului de identitate (aplicația REGIS). Aplicația care le consumă nu face obiectul reglementării eIDAS. Consumatorul doar își definește „nevoile de asigurare” și ar trebui să o facă printr-o normă legală.
Pe scurt, ar trebui solicitat doar nivelul „substanțial” fără menționarea unor aspecte specifice fiecărei scheme de identificare (sursă de identitate - SPV, PSCID) precum natura factorilor de autentificare folosiți.
Pentru confortul celor înregistrați astăzi pe site-ul ITM ar trebui ca aceștia, tranzitoriu, să poată accesa noua platformă.
Niciun comentariu:
Trimiteți un comentariu