I-03 Prístup k projektu (pristup_k_projektu)
PRÍSTUP K PROJEKTU
Vzor pre manažérsky výstup I-03
podľa vyhlášky MIRRI č. 401/2023 Z. z.
| Povinná osoba | Mesto Košice | ||||
| Názov projektu | Konto Košičana | ||||
| Zodpovedná osoba za projekt | Patrik Pavlovský (Projektový manažér) | ||||
| Realizátor projektu | Mesto Košice | ||||
| Vlastník projektu | Vladimír Fabián, Mesto Košice Schvaľovanie dokumentu | ||||
| Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis |
| Vypracoval | Patrik Pavlovský | CX DIZAJN s.r.o. | Konzultant | 30.9.2024 |  |
1.História dokumentu
| Verzia | Dátum | Zmeny | Meno |
| 1.0 | 30.9.2024 | FInalizácia dokumentu | Patrik Pavlovský |
2. Účel dokumentu
2.1. Použité skratky a pojmy
| SKRATKA/POJEM | POPIS |
| MMK | Magistrát mesta Košice |
| AAA | Autentifikácia, autorizácia a audit. |
| Admin GUI | Rozhranie pre správu a konfiguráciu aplikácií, spravidla pre rolu Administrátor (Admin). |
| AJ | Analytická jednotka, tím v organizácii alebo inštitúcii, ktorý dokáže organizačne a odborne zastrešiť problém realizovaného dátového projektu. |
| Analytický nástroj | V ponímaní Business Intelligence - analýza údajov a získavanie informácií zo svojho systému, rýchla aktualizácia novými údajmi, možnosť kombinovať a rôzne spájať. |
| Apache HTTPD | Softwarový webový server s Open source licenciou. |
| Apache SOLR | Platforma otvoreným zdrojovým kódom napísaná v jazyku Java zameraná na vyhľadávanie. |
| API | Application Platform Interface, rozhranie aplikačnej platformy spravidla na komunikáciu medzi systémami. |
| API First | Prístup, ktorý určuje spôsob návrhu a vývoja aplikačného softvéru, tak aby API vznikalo ešte pred samotnou implementáciou. |
| API GW | Verejná integračná platforma (API Gateway). |
| ArcGIS | Geografický informačný systém. |
| AS | Aplikačná služba (AS) je služba, ktorá sprístupňuje automatizované správanie aplikačnej funkcie, resp. aplikačného komponentu, ktorý je súčasťou informačného systému verejnej správy. |
| AS–IS | Aktuálny stav bez realizácie projektu. |
| ASiC | Associated Signature Containers - Podpisový kontajner. |
| BI | Business Intelligence, IT pojem zastrešujúci celú Information Governance (Informačné Riadenie) pre všetky aktivity týkajúce sa podpory efektívnejšieho riadenia spoločnosti formou transformácie dát na informácie. |
| BOK | Bezpečnostný osobný kód. |
| BPaaS | Business-process-as-a-Service. |
| BPMN | Business Process Model and Notation. |
| CA Nimsoft | Škálovateľné riešenie monitorovania IT, ktoré poskytuje prehľad o výkonnosti systémov a infraštruktúry. |
| CAMP | Centrálna API Manažment Platforma. |
| CC | Call centrum. |
| CEP | Centrálna elektronická podateľňa. |
| CI/CD | Kontinuálna integrácia a dodávka. |
| CIP | Centrálna integračná platforma. |
| CISSP | Certified Information Systems Security Professional. Certifikát pre oblasť informačnej bezpečnosti. |
| CMS | Systém na správu obsahu (Content Management System). |
| CPU | Centrálna procesorová jednotka. |
| CRZ | Centrálny register zmlúv. |
| CSRÚ | Centrálna Správa Referenčných Údajov - informačný systém. |
| CSS | Kaskádové štýly. |
| CÚD | Centrálne úradné doručovanie - rozšírenie modulu MED. |
| CUET | Centrálna úradná elektronická tabuľa. |
| CVS | Concurrent Versions System, systém slúžiaci na riadenie revízií. |
| CX | Customer/Citizen Experience. |
| DARCS | Systém slúžiaci na riadenie revízií. |
| DB | Databáza (Database). |
| DBMS | Database Management System, databázová platforma či už riadkového alebo stĺpcového charakteru. |
| DevOps | Prístup riadenia založený na spolupráci vývoja a prevádzky. |
| DI | Dátová integrácia (Data Integration). |
| DNR | Detailný návrh riešenia. |
| DOS | Pokus útočníka zamedziť používateľom prístup k službám počítača alebo k sieti. Komunikácia medzi používateľmi je natoľko preťažená, že nemôže adekvátne prebiehať. Napadnutý počítač je zvyčajne potrebné reštartovať, aby mohol poskytovať plnohodnotné služby (Denial of Service). Cieľom sa stávajú najčastejšie web servery a účelom útoku je vyradiť ich z činnosti. |
| DQ | Dátová kvalita (Data Quality). |
| Drag-and-Drop | Ťahaj a pusti alebo ťahaj a pusť alebo potiahni a pusť/pusti je technika používaná v grafických prostrediach. |
| DWH ÚPVS | Dátový sklad ÚPVS. |
| EA | Enterprise architektúra. |
| eDesk | Modul elektronických komunikačných stránok ÚPVS. |
| eForm | Modul elektronických formulárov ÚPVS. |
| eGOV | eGovernment. |
| eID | Elektronická identifikačná karta. |
| EKR | Externé komunikačné rozhranie modulu eDesk. |
| EP | Elektronická podateľňa. |
| ESB | Podniková zbernica služieb (Enterprise Service Bus). |
| EŠIF | Európske štrukturálne a investičné fondy. |
| ETL | Extract, Transform, Load (extrahovať, transformovať, načítať). |
| EÚ | Európska únia. |
| FAQ | Často kladené otázky (Frequently Asked Questions). |
| FO | Fyzické osoby. |
| FO | Fyzická osoba. |
| FormFiller | Používa sa pre zobrazenie vypĺňanej prezentácie napríklad v konštruktore správy v eDesk. |
| G-Cloud | Vládny cloud (Government cloud). |
| G2G | Government To Government. |
| Gescia | Riadenie a koordinácia výroby alebo výstavby; poverenie k výkonu určitej činnosti. |
| Git | Systém slúžiaci na riadenie revízií. |
| Globálne vyhľadávanie | Vyhľadávanie naprieč celým portálom vrátane pdf súborov. |
| govCMS | Centrálny Content Management System a Systém pre správu webového obsahu. |
| GovNET | Zabezpečená štátna sieť spravovaná Národnou agentúrou pre sieťové a elektronické systémy. |
| GUI | Grafické používateľské rozhranie (Graphical User Interface). |
| GUID | Globally Unique Identifier. |
| HAProxy | Softvér poskytujúci nástroj na vyrovnávanie zaťaženia a proxy server s vysokou dostupnosťou pre aplikácie založené na protokole TCP a HTTP. |
| HDD | Pevný disk (skratka HDD z angl. hard disk). |
| HDP | Hrubý domáci produkt. |
| HTML | Hypertextový značkový obsah (Hypertext Markup Language). |
| HTTP | Hypertextový prenosový protokol (Hypertext Transfer Protocol). |
| HW | Hardvér (Hardware). |
| IaaS | Infraštruktúra ako služba (Infrastructure as a Service). |
| IAM | Modul pre autentifikáciu používateľa. |
| IAM STS | Služba na vydanie SAML tokenov cez integračné rozhranie. |
| IAM WS | Synchrónne služby modulu IAM poskytujúce funkcionalitu nad identitou. |
| IČO | Identifikačné číslo organizácie. |
| ID | Identifikačné číslo. |
| ID-SK | Jednotný dizajn manuál elektronických služieb Slovenska. |
| IDP | Identity provider. |
| IIS | Internet Information Services. |
| Infostat | Inštitút informatiky a štatistiky. |
| IOM | Integrované obslužné miesto. |
| IS | Informačný systém |
| IS CSRU | Informačný systém Centrálnej správy referenčných údajov. |
| IS VS | Informačný systém verejnej správy. |
| ISO | International Organization for Standardization. Organizácia vydávajúca medzinárodné štandardy. |
| IT | Informačné technológie. |
| IT TOGAF | Medzinárodne akreditovaný certifikát, potvrdzujúci znalosti v oblasti Enterprise Architektúry. |
| IT VS | Informačné technológie verejnej správy. |
| JSON | JavaScript Object Notation. Štandardný formát súborov a formát výmeny údajov. |
| Kategorizácia výsledkov | Rozšírené vyhľadávanie použitím filtra. |
| KAV | Konsolidovaná analytická vrstva. |
| KC | Kontaktné centrum. |
| EP | Elektronický podpis. |
| KEP | Kvalifikovaný elektronický podpis, používa sa aj QES. |
| KP | Katalóg požiadaviek. |
| KPI | Kľúčový ukazovateľ výkonnosti (Key performance Indicator). |
| KS | Koncová služba (KS) je služba, ktorá napĺňa určitú potrebu používateľa pri komunikácii s verejnou správou. Prostredníctvom koncovej služby sa uskutočňuje komunikácia občana s inštitúciou verejnej správy (G2C), podnikateľa s inštitúciou verejnej správy G2B), inštitúcie verejnej správy s inštitúciou verejnej správy (G2G), ak sú v postavení aplikácie práva a účastníka konania a inštitúcie verejnej správy so zahraničnou inštitúciou verejnej správy (G2A). |
| KSDR | Komponent sprístupňovania doručovaných rozhodnutí. |
| LDAP | Lightweight Directory Access Protocol. Protokol pre ukladanie a prístup k dátam. |
| Lokálne vyhľadávanie | Vyhľadávanie na konkrétnej stránke . |
| M-ÚPVS | Projekt Modernizácia ÚPVS |
| MDM | Správa kmeňových údajov (Master Data Management). |
| MDU / MDURZ / MDUERZ | Modul dlhodobého uchovávania . |
| MED | Modul elektronického doručovania. |
| MED-CUET | Modul elektronického doručovania, časť centrálna úradná elektronická tabuľa. |
| MED-ED | Modul elektronického doručovania - elektronické doručovanie. |
| MEF / eForm | Modul elektronických formulárov. |
| MEP | Platobný modul (modul elektronických platieb). |
| META IS | Centrálny metainformačný systém verejnej správy. |
| MF SR | Ministerstvo financií SR. |
| MH SR | Ministerstvo hospodárstva SR. |
| mID | Mobilné ID reprezentované mobilnou aplikáciou Slovensko v mobile. |
| MIRRI | Ministerstvo investícií, regionálneho rozvoja a informatizácie SR . |
| MK SR | Ministerstvo kultúry SR. |
| MOÚ | Manažment osobných údajov. |
| MPI | Modul procesnej integrácie. |
| MPSVaR SR | Ministerstvo práce, sociálnych vecí a rodiny SR. |
| MŠVVaŠ SR | Ministerstvo školstva, vedy, výskumu a športu SR. |
| MV SR | Ministerstvo vnútra SR. |
| MVC | Model View Controller - návrhový vzor, ktorý sa bežne používa na vývoj používateľských rozhraní. |
| NASES | Národná agentúra pre sieťové a elektronické služby vznikla 1. januára 2009 ako príspevková organizácia Úradu vlády Slovenskej republiky (ďalej ako „ÚV SR“) za účelom plnenia odborných úloh v oblasti informatizácie spoločnosti vyplývajúcich zo zákona č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, správy a prevádzkovania elektronických komunikačných sietí a služieb, pre Úrad vlády Slovenskej republiky (ktoré ÚV SR vyplývajú z § 24 ods. 3 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy, ako aj §5 ods. 2 zákona č. 275/2006 Z. z. o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov), a aj pre ostatné orgány štátnej správy, právnické osoby a fyzické osoby, ktoré požadujú informácie, údaje z informačných systémov, databáz a registrov verejnej správy. Od 1. januára 2019 bola NASES delimitovaná pod Úrad podpredsedu vlády pre investície a informatizáciu (súčasné Ministerstvo investícií, regionálneho rozvoja a informatizácie SR). |
| Navigácia | Navigácia prostredníctvom hlavnej stránky portálu , ktorá zabezpečí lepšiu orientáciu na stránke pre používateľa. |
| Navigácia ŽS | Navigácia v rámci životnej situácie (ŽS) prostredníctvom procesnej mapy. |
| NBÚ | Národný bezpečnostný úrad. |
| NET | Platforma pre vývoj webových aplikácií. |
| Nginx | Webový server. |
| NKIVS | Národná koncepcia informatizácie verejnej správy. |
| OP | Občiansky preukaz. |
| OPZ | Opis predmetu zákazky. |
| Oracle | Systém riadenia bázy dát. |
| OS | Operačný systém. |
| OST | Object Storage, objektové úložisko ÚPVS. |
| OTS | Oprávnenia tretích strán. |
| OVM | Orgán verejnej moci. |
| OWASP | Open Web Application Security Project. Určuje základné opatrenia pre zabezpečenie webu. |
| PaaS | Platforma ako služba (Platform as a Service). |
| Personalizované vyhľadávanie | Vyhľadávanie pre prihláseného používateľa, ktorý si v rámci modulu Profil klienta označí (tag) oblasti , ktorá ho zaujíma. Vyhľadávač bude vyhľadávať podľa predvoleného nastavenia používateľa. |
| PK | Prístupový komponent. |
| PMI | Medzinárodný štandard pre riadenie projektov. |
| PMP | Certifikát Project Management Professional podľa štandardu PMI. |
| PO | Právnické osoby. |
| PostgreSQL | Open source objektovo relačná databáza. |
| PSI | Smernica Public sector information. |
| RAM | Pamäť s priamym prístupom alebo RAM (angl. Random Access Memory). |
| RAW data | Surové (RAW) dáta. |
| RDBMS | RDBMS – „Relational database management system“. |
| Rest API | Representational State Transfer. Architektúra rozhraní. |
| RFO | Register fyzických osôb. |
| ROWS | Riadenie obsahu webových stránok. |
| RPO | Register právnických osôb. |
| RPP | Rozpracované podanie a prílohy. |
| SaaS | Softvér ako služba (Software as a Service). |
| SAML | Security Assertion Markup Language - Standard založený na XML (). |
| SCRUM | Metodológia vývoja softvéru založená na agilnom vývoji. |
| SEO | Optimalizácia vyhľadávania. Súbor techník pre zlepšenie návštevnosti webstránok. |
| SKIT | Slovensko IT. |
| SLA | Service level Agreement, servisná zmluva. |
| SOAP | Simple Object Access Protocol. |
| SP | Service provider – poskytovateľ služby, spravidla právnická osoba alebo inštitúcia. |
| SP NKIVS | Strategické priority Národnej koncepcie informatizácie verejnej správy. |
| SQL | Štruktúrovaný vyhľadávací jazyk (Structured Query Language). |
| SR | Slovenská republika. |
| SSL | Secure Sockets Layer. |
| SVM | Slovensko v mobile. |
| SVN | Systém slúžiaci na riadenie revízií. |
| SW | Softvér (Software). |
| SZČO | Samostatne zárobkovo činná osoba. |
| ŠM | Štátny messenger. |
| TEST | Prostredie pre vykonanie funkčných testov na strane Zhotoviteľa. |
| TO-BE | Budúci stav. |
| UAT | Prostredie určené pre vykonanie používateľských akceptačných testov (user acceptance testing environment). |
| UCD | User Centered Design. |
| UI | Používateľské rozhranie (User Interface). |
| UIR | Univerzálne integračné rozhranie. |
| UIR | Univerzálne integračné rozhranie - synchrónne rozhranie modulu G2G pre príjem SkTalk správ. |
| UML | Unified Modeling Language. Modelovací jazyk určený na vizualizáciu, špecifikáciu, navrhovanie a dokumentáciu programových systémov. |
| UNSS | Únia nevidiacich a slabozrakých Slovenska. |
| ÚPVII / ÚPPVII / ÚPPVIaI | Úrad podpredsedu vlády pre investície a informatizáciu (súčasné Ministerstvo investícií, regionálneho rozvoja a informatizácie SR). |
| ÚPVS | Ústredný portál verejnej správy. |
| URL | Uniform Resource Locator. Definuje doménovú adresu servera, umiestnenie zdroja na serveri a protokol, ktorým je možné k zdroju pristupovať. |
| USR | Univerzálne synchrónne rozhranie ÚPVS |
| ÚV SR | Úrad vlády Slovenskej republiky. |
| UX | Používateľský zážitok ( User Experience ). |
| VaN | Vyhľadávanie a navigácia. |
| VS | Verejná správa. |
| WCAG | Metodika pre prístup k webovému obsahu. |
| WEB SSO | Jednorazová jednotná autentifikácia na jednom mieste cez webový prehliadač. |
| WSDL | Web Services Description Language. |
| WYSIWYG | Princíp verného prenosu vizuálnej informácie (What You See Is What You Get). |
| XML | Extensible Markup Language. |
| XPATH | Dotazovací jazyk na výber uzlov z dokumentu XML. |
| XSD | XML Schema Definition. |
| XSLT | Jazyk určený na transformovanie XML. |
| XSS | Metóda narušenia WWW stránok využitím bezpečnostných chýb v skriptoch. |
| Z.z. | Zbierka zákonov. |
| ZoD | Zmluva o dielo. |
| ŽS | Životná situácia. |
2.2. Konvencie pre typy požiadaviek (príklady)
3.Popis navrhovaného riešenia
Obyvatelia Košíc môžu od mája 2024 získať digitálny autentifikátor (Konto Košičana), ktorým sa môžu zjednodušene autentifikovať pri používaní mestských služieb všade tam, kde nie je zákonom vyžadovaná úroveň autentifikácie dosiahnuteľná len eID.
Konto Košičana umožňuje mestu získať dôveryhodné údaje, ktoré môže použiť pre adresnejší a proaktívnejší výkon svojich kompetencií a to napr. pri výbere miestnych daní a poplatkov za služby (predvyplnený personalizovaný platobný príkaz do mobilu cez notifikáciu), pri spracovávaní oznámení (automatické párovanie rodinných príslušníkov, ich psov, áut, či nehnuteľností), ako aj pri poskytovaní mestských služieb (parkovanie, knižnica, odpad, nahlasovanie porúch, zimná údržba...). Vytvorením konsolidovanej a vierohodnej databázy obyvateľov bude môcť predchádzať stratám z vyhýbania sa plateniu miestnych daní a poplatkov (približne 1mil. € ročne), ako aj vytvárať motivačné programy a odmeny pre komunitné angažovaných obyvateľov zlepšujúcich život v meste ostatným. Mestu sa vymanením z vendor-locku znížia prevádzkové náklady. Mesto bude napríklad môcť nahradiť poštové služby digitálnymi notifikáciami, zníži náklady spojené s prevádzkou autentifikačných a notifikačných modulov a mestských aplikácií tretími stranami, a zvýšením miery digitálnej komunikácie zníži náklady, ktoré generuje tlač a distribúcia listovej úradnej komunikácie (v r.2O24 sa očakáva fyzická distribúcia približne 130 tisíc výmerov, pri rozšírení čom po minulé roky bolo len približne 9% doručovaných elektronicky).
Košičania sa v súčasnosti môžu do svojho konta prihlásiť buď cez samostatnú doménu konta www.konto.kosice.sk, alebo cez portál elektronických služieb Košíc www.esluzbykosice.sk. Z hľadiska funkcionalít je Košičanom umožnené vytvoriť, aktivovať a spravovať svoj profil (t.j. konto). Konto Košičana má responzívne používateľské rozhranie navrhnuté tak, aby poskytovalo intuitívnu a prehľadnú navigáciu aj pri rozširovaní životných situácií (resp. z pohľadu mesta agendy), v ktorých budú môcť Konto Košičania využiť.
Za pomoci prostriedkov z dopytovej výzvy PSK-MIRRI-620-2024-DV-EFRR chceme občanom poskytnúť pristúpiť ku svojmu kontu aj prostredníctvom mobilnej aplikácie. Konto Košičana chceme navyše rozšíriť z pohľadu používateľa o nasledujúce funkcionality:
- Možnosť identifikácie pomocou QR kódu v mestských systémoch;
- Prehľad dôležitých udalostí mesta Košíc (odpad, podujatia, údržby) v kalendári, vrátane možnosti personalizovania kalendára pridávaním/odoberaním udalostí;
- Prijímanie push notifikácií s všeobecných informáciami z mesta Košice, ale aj personalizovaných notifikácii v súvislosti so zmenami stavu podaní voči mestu, alebo blížiacimi sa kalendárovými udalosťami
- Možnosť prihlásenia a odhlásenia sa na odber notifikácii podľa svojho výberu
- Možnosť zaplatiť dane a poplatky zo svojho zariadenia kreditnou kartou alebo pomocou GooglePay, ApplePay
- Možnosť objednať si a zaplatiť za služby mesta Košíc zo svojho zariadenia kreditnou kartou alebo pomocou GooglePay, ApplePay
- Vidieť históriu svojich platieb
- Zoznam kariet vydávaných alebo platných na území mesta Košíc.
- Možnosť vytvárať všeobecné podania pre mesto Košice bez nutnosti podpisovania
- Možnosť sprístupňovať dáta zo svojho konta tretím stranám , ktoré sa na systéme konta zaintegrujú, aby mohli využívať jeho funkcionality;
Súčasná iterácia Konta Košičana umožňuje autentifikovať sa pri:
- Prístupe do portálu eSlužby Košice
- Prístupe do portálu Konta Košičana
Budúca iterácia Konta Košičana umožní identifikovať sa QR kódom resp. autentifikovať sa aj pri:
- kúpe a kontrole vstupného do mestských služieb (napr. pri vstupe do mestskej knižnice, plavárne, zoo, športovísk, MHD)
V súčasnosti používatelia po prihlásení v Konte uvidia:
- Osobné údaje evidované agendovým systémom mesta Košice
- Daňové výmery pre daň z nehnuteľnosti, za psa, komunálny odpad a drobné stavebné odpady (za posledné dva roky)
- stav platieb a začatých konaní voči mestu
Budúca iterácia Konta Košičana už však umožní v Konte vidieť aj:
- online platby realizované cez Kontom Košičana
- históriu online platieb realizovaných Kontom Košičana
- históriu podnetov odoslaných mestu
- kalendár a detail udalostí konaných v meste
- kalendár a detail údržby vykonávanej v meste
- novinky v meste komunikované magistrátom
- aktuálne a minulé notifikácie
- aktuálne a minulé správy
- údaje o spolupodielníkoch evidovaných agendovým systémom mesta Košice
- údaje o psoch evidovaných agendovým systémom mesta Košice na svoju osobu
- údaje o nehnuteľnostiach evidovaných agendovým systémom mesta Košice na svoju osobu
Cez konto im mesto pri súčasnej iterácii posiela notifikácie a správy v rámci agendy:
- výberu miestnych daní a poplatkov (doručenie elektronického výmeru)
Budúca iterácia Konta Košičana už však mestu umožní posielať do Konta notifikácie a správy:
- pri zmene stavu začatých konaní
- pri zmene stavu vykonaných platieb
- pri dôležitých novinkách a udalostiach v meste, na ktoré chce magistrát upriamiť pozornosť
- pri blížiacej sa kalendárovej udalosti
- pri možnosti využiť zľavu v službách poskytovaných mestom
- pri blížiacom sa konci cestovného lístka alebo predplatného vstupného;
Konto Košičana bude inými slovami po novom Košičanom pomáhať v týchto situáciách:
- Platba miestnej dane alebo poplatku na základe výmeru (nehnutelnosť, pes, odpad)
- Cestovanie MHD
- Prehľad odchodov MHD, určenie obľúbených spojov, nákup cestovného lístka na MHD, detail lístka, história jázd, koniec platnosti mesačného lístka, obnovenie platnosti lístka
- Parkovanie (zobrazenie mestských pravidiel, kúpa parkovacieho lístka, detail lístka, história nákupov, koniec platnosti lístka, obnova platnosti lístka)
- Účasť na udalostiach konajúcich sa v meste (kalendár udalostí, personalizácia kalendára, detaily udalostí, notifikácia o blížiacom sa podujatí…)
- Platba za mestské služby, napr.vstupné do ZOO, plaváreň, futbalový a hokejový štadión, knižnica.
- Informovanie sa o prebiehajúcich a plánovaných údržbách v meste
Technickým predpokladom funkčnosti zamýšľaných rozšírení sú nasledovné zmeny na frontende / backende:
- Doplnenie UI portálu Konta Košičana
- Vytvorenie mobilnej aplikácie Konta Košičana
- Aktualizácia modulu pre spracovanie správ
- Vytvorenie modulu pre kalendár
- Vytvorenie modulu pre podnety
- Vytvorenie podpory pre kalendár eventy
- Vytvorenie prepojenia medzi kalendárovými eventami a notifikáciami
- Aktualizácia notifikačného modulu o push notifikácie
- Aktualizácia notifikačného modulu o SMS
- Vytvorenie modulu pre platby
- Vytvorenie modulu mestský marketplace
- Vytvorenie modulu pre účtovanie
- Vytvorenie modulu pre objednávkový systém
- Integrácia na systémy mesta resp. systémy tretích strán
- ISVS NORRIS LCD
Po úspešnej realizácii zamýšľaných rozšírení Konta Košičana mesto zvýši počet agiend, pri vykonávaní ktorých bude môcť proaktívne elektronicky komunikovať s obyvateľmi. Rozšíreniami z dlhodobého hľadiska ušetrí na prevádzkových nákladoch (ušetrí na poštovnom, zrýchli čas procesovania, ušetrí na prevádzke špecifických IS).
Úspešná realizácia zamýšľaných rozšírení Konta Košičana zvýši počet situácií, v ktorých sa budú môcť používatelia jednoduchšie autentifikovať. Zjednoduší sa pre nich aj dohľadanie informácií v týchto situáciách, pretože ich nájdu v konte po prihlásení. Zvýši sa počet situácií, v ktorých budú mať rýchlejší a pohodlnejší prístup ku správam a informáciám od mesta z mobilu, tabletu či počítača.
4.Architektúra riešenia projektu
4.1. Biznis vrstva
Návrh uvažuje s vytvorením služieb pre používateľov, ktorých poskytovanie bude podporené sústavou biznis procesov. Primerane sú zohľadnené požiadavky z NKIVS pre nové digitálne služby. Dôležitá je natívna integrovateľnosť vytvorených komponentov a opakovaná použiteľnosť kódov alebo stavebných prvkov.
Jednotlivé procesy a služby, ako bolo už spomenuté, sú doménovo riešene na základe organizačnej štruktúry MMK. V súčasnosti ich centrálnymi bodmi sú Kancelária prvého kontaktu a elektronickou formou reprezentovanou portálom eSlužby, portálom kosice.sk a portálom konto.kosice.sk.
4.1.1. Kancelária prvého kontaktu
Poskytuje biznisové služby procesnou formou, kde jednotlivé agendy referátov MMK, spracúva formou:
- osobného kontaktu s občanom resp. zástupcom organizácie
- telefonickou cestou pomocou Call Centra
- elektronickou cestou pomocou emailovej komunikácie
4.1.2. Portál eSlužby Košice
Poskytuje biznisové služby elektronickou formou, prostredníctvom jeho portálu. Informuje a spracúva podania, žiadosti a hlásenia formou:
- Formulárového riešenie integrovaného na moduly ÚPVS (V závislosti od typu služby však požaduje použitie elektronickej služby autentifikácie a autorizácie (podpisovania) pomocou eID (ÚPVS, MVSR))
- Vlastných formulárov
- Web rozhrania
4.1.3. Portál kosice.sk
Poskytuje informačné služby a dokumentáciu MMK formou.
- Web rozhrania
- File (object) systému
4.1.4. Portál konto.kosice.sk
Poskytuje základné služby pre registráciu, autentifikáciu do konta Košičana, personalizované služby načítavanie osobných údajov, ktoré mesto vedie o občanovi a momentálne aj výmery k daniam a poplatkom s možnosťou stiahnutia dokumentov v PDF formáte a zaplatenia pomocou Pay By Square.
- Web rozhrania
- File (object) systému
Uvedený diagram zobrazuje závislosť biznisových funkcii a procesov MMK od týchto biznisových servisov.
Platenie daní
- AS IS
- stanem sa majiteľom/teľkou nehnuteľnosti v rámci Košíc
- podám daňové priznanie ku dani z nehnuteľnosti
- dostanem rozhodnutie o výmere dane z nehnuteľnosti poštou do schránky
- bankovým prevodom zaplatím daň z nehnuteľnosti
- TO BE (za predpokladu, že už mám aktívne Konto Košičana)
- stanem sa majiteľom/teľkou nehnuteľnosti v rámci Košíc
- podám daňové priznanie ku dani z nehnutelnosti
- dostávam notifikáciu o novej správe v rámci Konta Košičana, preberám rozhodnutie o výmere dane
- cez platobnú bránu daň rovno zaplatím
- dostávam notifikáciu o prijatí platby
Účasť na podujatiach v meste
- AS IS
- uvidím reklamu na podujatie (v novinách / city lighty / billboardy / plagáty)
- vyhľadávam informácie o podujatí (google / soc. siete mesta)
- nájdem informácie, rozhodnem sa kúpiť si lístok (online / offline)
- manuálne si vytváram pripomienku v kalendári
- kalendár mi pripomenie udalosť
- zúčastním sa na podujatí
- TO BE
- mesto ma notifikuje o blížiacom sa podujatí (v aplikácii)
- otváram notifikáciu, dozvedám sa základné informácie o podujatí (v aplikácii)
- aplikácia mi umožňuje ihneď kúpiť lístok (v aplikácii)
- po zaplatení lístka mi aplikácia ponúka vytvorenie pripomienky v kalendári
- kalendár mi pripomenie udalosť
- zúčastním sa na podujatí
Platba za mestské služby
- AS IS
- rozhodnem sa zaplatiť si členský poplatok do mestskej knižnice, pretože si chcem požičiavať knihy
- hľadám stránku mestskej knižnice, aby som zistil/a cenu a informácie potrebné k platbe
- píšem mestskej knižnici email so žiadosťou o pridelenie čitateľského čísla
- otváram internet banking a manuálne vypĺňam platobné údaje podľa inštrukcií na stránke
- vykonávam platbu
- čakám na potvrdenie o sprocesovaní platby (môže trvať aj 2 dni)
- prichádzam do knižnice, požičiavam si knihu
- TO BE (za predpokladu, že už mám aktívne Konto Košičana)
- rozhodnem sa zaplatiť si členský poplatok do mestskej knižnice, pretože si chcem požičiavať knihy
- v aplikácia vyhľadám mestskú knižnicu
- zvolím si typ členského a ihneď ho aj zaplatím
- obratom získavam potvrdenie o platbe
- prichádzam do knižnice, požičiavam si knihu
4.2. Aplikačná vrstva
Aplikačná architektúra zohľadňuje toto členenie pomocou Domain Driven Architektúry a funkcionalitu zgrupuje v týchto modeloch. Moduly môžu byť realizované viacerými aplikačnými službami, ktoré môžu byť v aplikačnej a technologickej vrstve realizované SaaS službami tretích strán, VM alebo node-mi.
Hlavnou požiadavkou na realizáciu modulov a ich servisov aby boli realizované ako samostatné SaaS služby, ktoré sú prepojené len identifikačnými prostriedkami Konto Košičana a unikátnym identifikátorom registrovaného občana.
Aplikačná architektúra je postavená na nasledujúcich princípoch:
- modularita - modulárna architektúra ideálnou voľbou pre komplexné a rozsiahle softvérové systémy, kde je dôležitá škálovateľnosť, flexibilita a opätovné použitie, lepšia správa závislostí, lepšia izolácia chýb, udržateľnosť a dlhodobý rozvoj, jednoduchšia integrácia nových technológií, zjednodušená spolupráca tímov a vytvárania subprojektov.
- multiténantnosť - mestu ako poskytovateľa softvéru ako služby modulov (SaaS), pomáha optimalizovať náklady a zlepšiť efektivitu svojich IT operácií, nielen v rámci jeho agendy, ale aj agendy mestských podnikov a organizácii spravovaných mestom
- otvorenosť - systém je navrhnutý tak, aby bol interoperabilný s inými systémami a aby umožňoval prístup, úpravu a rozširovanie prostredníctvom verejných štandardov alebo otvoreného kódu. Ako verejný štandard je zvolený OpenAPI, OIDC, OAuth2
- OPEN API - každý implementovaný servis komunikuje prostredníctvom REST API, ktoré vystavuje na svoje verejné ako aj privátne aplikačné služby
- bezpečnosť - zabezpečuje ochranu údajov, systémov a sietí pred neoprávneným prístupom. Autentifikáciu a autorizácia či už občanov alebo integrovaných servisov zabezpečuje Azure B2C SSO Identity Provider pomocou protokolu OIDC, OAuth2.
4.2.1. Aplikačná architektúra centrálnych bodov MMK - AS IS
AS IS architektúra vyobrazujúca závislosť biznisových funkcii a procesov MMK od týchto biznisových servisov.
4.2.2. Aplikačná architektúra centrálnych bodov MMK - TO BE
TO BE architektúra vyobrazujúca závislosť biznisových funkcii a procesov MMK od týchto biznisových servisov.
Samotný diagram je dosť rozmerný, preto v nasledujúcich kapitolách sú uvedené a zobrazené diagramy s ohľadom na funkcionalitu jednotlivých modulov.
TO BE architektúra kontinuálne pridáva do už existujúceho stavu nové aplikačné služby, ktoré rozšíria portfólia existujúcich modulov, ako aj samotné nové moduly. S nárastom modulov a služieb rastie aj nutnosť ich koncových služieb v administratívnej oblasti.
4.2.2.1
TO BE architektúra modulu KKAuthentification
V AS IS stave autentifikačný modul zabezpečuje registráciu a autentifikáciu do Konta Košičana prostredníctvom služieb Azure Cloudu. Zároveň poskytuje autentifikáciu a integráciu aplikácií do ekosystému Konta Košičana.
V TO BE stave sa rozširuje o nové aplikačné služby v rámci:
- deaktivácia Konta Košičana
- registrovania a autentifikácie administrátorov Konta Košičana.
- manažment administrátorov v systéme Konta Košičana.
- manažment oprávnení administrátorov v systéme Konta Košičana.
Vyobrazenie závislosti existujúceho a rozšíreného autentifikačného modulu od biznisových servisov MMK
4.2.2.2
TO BE architektúra modulu KKProfile
V AS IS stave modul profilu zabezpečuje konsolidáciu údajov o Košičanoch vedených mestom Košice v systéme LCS Norris a zároveň poskytuje tieto údaje registrovaným občanom. V súčasnosti poskytuje osobné údaje a údaje o daniach a poplatkoch.
V TO BE stave modul bude rozšírený o služby v súvislosti s platbami a notifikáciami, ako aj rozšírený o prístup z mobilnej aplikácie Konta Košičana.
Vyobrazenie závislosti rozširujúceho sa modulu na správu osobného profilu od biznisových servisov MMK.
4.2.2.3
TO BE architektúra modulu KKAplication
V AS IS stave modul profilu zabezpečuje:
- registráciu interných aplikácii a servisov do ekosystému Konta Košičana.
- registráciu externých aplikácii a servisov do ekosystému Konta Košičana.
- manažment prístupových práv aplikácii a servisov.
V TO BE stave modul bude rozširovaný o ďalšie služby v súvislosti s nastaveniami novo vzniknutých aplikácii, nových a existujúcich prístupových práv.
Vyobrazenie závislosti existujúceho modulu na integráciu aplikácii a servisov do ekosystému Konta Košičana.
4.2.2.4
TO BE architektúra modulu KKMessage
Modul predstavuje jeden z hlavných komunikačných komponentov multikanálového prístupu mesta Košíc k informovanosti občanov ako aj základ pre proaktivitu v komunikácii medzi mestom a občanmi.
V AS IS stave modul profilu zabezpečuje:
- vytváranie a manažment správ konkrétnym používateľom Konta Košičana.
- vytváranie a manažment správ do skupín, na ktoré sa používatelia Konta Košičana zaregistrovali.
- posielanie správ na email pomocou modulu notifikácii.
V TO BE stave sa rozširuje o nové aplikačné služby v rámci:
- Formátovanie správ podľa typu notifikácie.
- Rozšírenie správ o požadované akcie (proaktivita)
- Manažment správ vlastnených používateľom.
- Manažment správ systémom - mazanie.
Vyobrazenie závislosti rozširujúceho modulu na spracovanie správ medzi IS mesta a Kontom Košičana.
4.2.2.5
TO BE architektúra modulu KKNotification
Modul predstavuje jeden z hlavných komunikačných komponentov multikanálového prístupu mesta Košíc k informovanosti občanov ako aj základ pre proaktivitu v komunikácii medzi mestom a občanmi.
V AS IS stave modul profilu zabezpečuje:
- posielanie správ na email.
V TO BE stave sa rozširuje o nové aplikačné služby v rámci:
- posielanie správ pomocou push notifikácii.
- alternatívne posielanie správ pomocou SMS.
Vyobrazenie závislosti rozširujúceho sa modulu na spracovanie notifikácii medzi ISVS mesta, tretích strán a Kontom Košičana.
4.2.2.6
TO BE architektúra modulu KKIdentificaton
Vyobrazenie závislosti nového modulu na spracovanie identifikácie medzi ISVS mesta, integrovanými tretími stranami a Kontom Košičana.
4.2.2.7
TO BE architektúra modulu KKCalendar
Vyobrazenie závislosti nového modulu na správu kalendára udalostí v Konte Košičana.
4.2.2.8
TO BE architektúra modulu KKPayment
Vyobrazenie závislosti nového modulu na zadávanie a spracovanie platieb v Konte Košičana.
4.2.2.9
TO BE architektúra modulu KKMarketplace
Vyobrazenie závislosti nového modulu pre vytváranie a spravovanie platobných položiek a zliav pre Konto Košičana.
4.2.2.10
TO BE architektúra modulu KKOrder
Vyobrazenie závislosti nového modulu na vytváranie a evidenciu objednávok a zliav k nim v Konte Košičana.
4.2.2.11
TO BE architektúra modulu KKBilling
Vyobrazenie závislosti nového modulu na vytváranie dokladov a výkazov o zrealizovaných platbách v Konte Košičana.
4.2.2.12
TO BE architektúra modulu KKInitiative
Vyobrazenie závislosti nového modulu na zadávanie a spracovanie podnetov občanov v Konte Košičana.
4.2.2.13 TO BE architektúra modulu KKCard
Vyobrazenie závislosti nového modulu na evidenciu a manažment kariet vlastnených občanom v Konte Košičana.
4.2.3. Prehľad koncových služieb – budúci stav:
Kód KS (z MetaIS) | Názov KS | Používateľ KS (G2C/G2B/G2G/G2A) | Životná situácia (+ kód z MetaIS) | TO BE Úroveň elektronizácie KS |
| ks_379737 | Služba registrácie a autentifikácie Konta Košičana | G2C | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_379738 | Služba registrácie a integrácie aplikácii do ekosystému Konta Košičana. | G2B | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_379740 | Poskytovanie údajov Konta Košičana a komunikácia s mestom Košice | G2C | Daň z nehnuteľnosti 064 | Úroveň 5 |
| ks_379741 | Služba registrácie a autentifikácie administrátorov Konta Košičana | G2A | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_379742 | Služba administrácie Konta Košičana cez web aplikaciu | G2A | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_379743 | Služba platieb Konta Košičana | G2C | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_380990 | Aktivácia webovej aplikácie Konta Košičana | G2C | Daň z nehnuteľnosti 064 | Úroveň 4 |
| ks_380976 | Aktivácia webovej aplikácie | G2C | Daň z nehnuteľnosti 064 | Úroveň 4 |
4.2.4. Jazyková podpora a lokalizácia
Uveďte a do katalógu požiadaviek zaevidujte požiadavky na jazykovú podporu a lokalizáciu používateľského rozhrania a výstupov do viacerých jazykov v riešení TO BE stavu.
4.2.5. Rozsah informačných systémov – AS IS
Uveďte dotknuté ISVS a ich moduly AS IS:
| Kód ISVS (z MetaIS) | Názov ISVS | Modul ISVS (zaškrtnite ak ISVS je modulom) | Stav IS VS (AS IS) | Typ IS VS | Kód nadradeného ISVS (v prípade zaškrtnutého checkboxu pre modul ISVS) |
| isvs_11077 | Konto Košičana | Prevádzkovaný plánujem rozvoj | integračný | ||
| isvs_14613 | KKAutentication | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14614 | KKApplication | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14615 | KKProfile | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14899 | Konto Kosičana - web aplikácia | Prevádzkovaný plánujem rozvoj | prezentačný | isvs_11077 |
4.2.6. Rozsah informačných systémov – TO BE
| Kód ISVS (z MetaIS) | Názov ISVS | Modul ISVS (zaškrtnite ak ISVS je modulom) | Stav IS VS | Typ IS VS | Kód nadradeného ISVS (v prípade zaškrtnutého checkboxu pre modul ISVS) |
| isvs_11077 | Konto Košičana | Prevádzkovaný plánujem rozvoj | integračný | ||
| isvs_14613 | KKAutentication | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14614 | KKApplication | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14615 | KKProfile | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14616 | KKMessage | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14617 | KKNotification | x | Prevádzkovaný plánujem rozvoj | integračný | isvs_11077 |
| isvs_14618 | KKCalendar | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14619 | KKPayment | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14620 | KKMarketplace | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14621 | KKOrder | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14622 | KKBilling | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14624 | KKIniciative | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14625 | KKIdentification | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14626 | KKCard | x | plánujem vybudovať | integračný | isvs_11077 |
| isvs_14895 | Konto Košičana - mobilná aplikácia | plánujem vybudovať | prezentačný | isvs_11077 | |
4.2.7. Využívanie nadrezortných a spoločných ISVS – AS IS
| Kód IS | Názov ISVS | Spoločné moduly podľa zákona č. 305/2013 e-Governmente |
| Vyberte jednu z možností. | ||
| Vyberte jednu z možností. | ||
| Vyberte jednu z možností. |
4.2.8. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE
- .
| Kód IS | Názov ISVS | Spoločné moduly podľa zákona č. 305/2013 e-Governmente |
| Vyberte jednu z možností. | ||
| Vyberte jednu z možností. | ||
| Vyberte jednu z možností. |
4.2.9. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
.
Kód ISVS (z MetaIS) | Názov ISVS
| Kód integrovaného ISVS (z MetaIS) | Názov integrovaného ISVS |
4.2.10 Aplikačné služby pre realizáciu koncových služieb – TO BE
Kód AS (z MetaIS) | Názov AS | ISVS/modul ISVS (kód z MetaIS) | Aplikačná služba realizuje KS (kód KS z MetaIS) |
| as_66000 | Registrácia do Konta Košičana pomocou registračného kódu | isvs_14613 | ks_379737 |
| as_66001 | Registrácia do Konta Košičana bez registračného kódu | isvs_14613 | ks_379737 |
| as_66002 | Registrácia do Konta Košičana pomocou UPVS IAM a WebSSO | isvs_14613 | ks_379737 |
| as_66003 | Registrácia do Konta Košičana pomocou Kancelárie prvého kontaktu magistrátu mesta Košíc | isvs_14613 | ks_379737 |
| as_66004 | Deaktivácia Konta Košičana registrovaným občanom | isvs_14613 | ks_379737 |
| as_66005 | Autentifikácia Kontom Košičana pomocou mena a hesla | isvs_14613 | ks_379737 |
| as_66006 | Registrácia administrátora Konta Košičana pomocou privítacieho emailu | isvs_14613 | ks_379741 |
| as_66007 | Deaktivácia administrátora Konta Košičana | isvs_14613 | ks_379741 |
| as_66008 | Autentifikácia administrátora pomocou mena a hesla | isvs_14613 | ks_379741 |
| as_66009 | Manažment oprávnení administrátora | isvs_14613 | ks_379741 |
| as_66010 | Deaktivácia Konta Košičana oprávneným administrátorom | isvs_14613 | ks_379742 |
| as_66011 | Integrácia aplikácii pre využívanie autentifikácie Kontom Košičana | isvs_14614 | ks_379738 |
| as_66012 | Integrácia aplikácii pre využívanie privátneho API Konta Košičana | isvs_14614 | ks_379738 |
| as_66013 | Identifikácia registrovaného vlastníka Konta Košičana pomocou QR kódu | isvs_14625 | ks_379740 |
| as_66093 | Identifikácia registrovaného vlastníka Konta Košičana pomocou QR kódu treťou stranou | isvs_14625 | ks_379742 |
| as_66092 | Poskytnutie základných údajov o vlastníkovi Konta Košičana na základe úspešnej identifikácie pomocou QR kódu | isvs_14625 | ks_379742 |
| as_66014 | Integrácia aplikácii pre identifikácie pomocou QR kódu oprávneným administrátorom | isvs_14625 | ks_379740 |
| as_66015 | Autorizovaná modifikácia profilu Konta Košičana registrovaným vlastníkom konta. | isvs_14615 | |
| as_66016 | Autorizované načítanie osobných údajov registrovaným vlastníkom konta. | isvs_14615 | |
| as_66017 | Autorizované načítanie údajov spojených so životnými situáciami v rámci kompetencie mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66018 | Autorizované načítanie údajov spojených s rodinou v rámci záznamov mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66020 | Autorizované načítanie údajov spojených s psami v rámci záznamov mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66021 | Autorizovaná modifikácia údajov spojených s psami v rámci záznamov mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66022 | Autorizované načítanie údajov spojených s vlastnenými nehnuteľnosťami v rámci záznamov mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66023 | Autorizované sťahovanie dokumentov spojených so záznamami mesta registrovaným vlastníkom konta. | isvs_14615 | |
| as_66024 | Autorizované programové vytváranie a distribúcia správ na registrovane témy pomocou REST API | isvs_14616 | |
| as_66025 | Autorizované programové vytváranie a distribúcia správ konkrétnym osobám registrovaných v Konte Košičana pomocou REST API | isvs_14616 | |
| as_66026 | Autorizované načítanie správ odoslaných registrovanému vlastníkovi konta. | isvs_14616 | |
| as_66027 | Označovanie správ pri prečítaní | isvs_14616 | |
| as_66028 | Autorizované mazanie správ vlastnených vlastníkom konta. | isvs_14616 | |
| as_66029 | Vytváranie a manažment tém správ autorizovanou osobou | isvs_14616 | ks_379742 |
| as_66031 | Vytváranie a distribúcia správ na registrovane témy | isvs_14616 | ks_379742 |
| as_66032 | Vytváranie a distribúcia správ konkrétnym osobám registrovaných v Konte Košičana | isvs_14616 | ks_379742 |
| as_66033 | Automatické mazanie správ na základe pravidel | isvs_14616 | ks_379742 |
| as_66095 | Autorizované vytváranie a distribúcia správ konkrétnym osobám registrovaných v Konte Košičana | isvs_14616 | ks_379742 |
| as_66096 | Formátovanie veľkosti správ podľa typu notifikácie | isvs_14616 | ks_379742 |
| as_66097 | Autorizované vytváranie a manažment tém správ autorizovanou osobou | isvs_14616 | ks_379742 |
| as_66098 | Autorizované vytváranie a distribúcia správ na registrovane témy | isvs_14616 | ks_379742 |
| as_66099 | Filtrovanie správ podľa kategorie, tagov a tém | isvs_14616 | |
| as_66100 | Navigácia zo správ na základe akcie spojenej s typom správy | isvs_14616 | |
| as_66101 | Načítanie formátovaniých správ podľa typu | isvs_14616 | |
| as_66102 | Načítanie neprečítaných správ | isvs_14616 | |
| as_66034 | Notifikovanie o nových správach a udalostiach pomocou emailu | isvs_14617 | |
| as_66035 | Notifikovanie o nových správach a udalostiach pomocou push notifikácií | isvs_14617 | ks_379740 |
| as_66036 | Autorizované prihlasovanie a odhlasovanie sa odberu tém registrovaným vlastníkom konta. | isvs_14617 | |
| as_66103 | Vytvorenie pravidiel periodicity odosielania notifikácii k udalosti | isvs_14617 | ks_379742 |
| as_66037 | Načítanie všeobecného kalendára udalosti pre všetkých registrovaných v Konte Košičana | isvs_14618 | |
| as_66038 | Načítanie osobného kalendára udalosti registrovaným občanom v Konte Košičana | isvs_14618 | |
| as_66039 | Vytvorenie všeobecnej kalendárovej udalosti | isvs_14618 | ks_379742 |
| as_66040 | Vytvorenie kalendárovej udalosti konkrétnej identite Konta Košičana | isvs_14618 | ks_379742 |
| as_66041 | Notifikovanie registrovaného občana o blížiacej sa udalosti | isvs_14618 | ks_379742 |
| as_66104 | Manažment kalendárov | isvs_14618 | ks_379742 |
| as_66105 | Načítanie a výber kalendárov | isvs_14618 | ks_379740 |
| as_66042 | Realizácia platieb debetnou resp. kreditnou kartou autorizovaným vlastníkom Konta Košičana | isvs_14619 | ks_379740 |
| as_66043 | Realizácia platieb pomocou ApplePay autorizovaným vlastníkom Konta Košičana | isvs_14619 | ks_379740 |
| as_66044 | Realizácia platieb pomocou GooglePay autorizovaným vlastníkom Konta Košičana | isvs_14619 | ks_379740 |
| as_66045 | Realizácia platieb pomocou PayBySquere autorizovaným vlastníkom Konta Košičana | isvs_14619 | ks_379740 |
| as_66046 | Realizácia platieb autorizovaným vlastníkom Konta Košičana s kupónmi resp. kódmi zliav, alebo na základe kategorizácie konta | isvs_14619 | ks_379740 |
| as_66047 | Vytvorenie objednávky autorizovaným vlastníkom Konta Košičana | isvs_14621 | ks_379743 |
| as_66048 | Notifikovanie platiteľa o úspešnosti platby | isvs_14619 | ks_379740 |
| as_66049 | Prijatie a načítanie dokladu o zaplatení objednávky | isvs_14619 | ks_379740 |
| as_66050 | Načítavanie platobných položiek pre potreby platieb | isvs_14619 | ks_379740 |
| as_66051 | Notifikovanie vlastníka Konta Košičana o nezrealizovanej platbe | isvs_14619 | ks_379740 |
| as_66052 | Načítanie histórie zrealizovaných platieb | isvs_14619 | ks_379740 |
| as_66053 | Načítanie histórie zrealizovaných objednávok | isvs_14621 | ks_379740 |
| as_66655 | Aktivácia webovej aplikácie | isvs_14899 | ks_380990 |
| as_66054 | Podávanie podnetov bez nutnosti podania | isvs_14624 | ks_379740 |
| as_66055 | Správa podnetov bez nutnosti podania | isvs_14624 | ks_379742 |
| as_66107 | Načítanie podnetov na základe lokalizácie | isvs_14624 | ks_379742 |
| as_66108 | Načítanie podnetov na základe filtračných podmienok | isvs_14624 | ks_379742 |
| as_66056 | Načítavanie kalendárových a časových objednávok na služby mesta Košíc | isvs_14621 | ks_379740 |
| as_66057 | Vytvorenie kalendárovej objednávky na služby mesta Košíc | isvs_14621 | ks_379740 |
| as_66058 | Vytvorenie a manažment platobných položiek pre autorizovaných administrátorov merchantov | isvs_14620 | ks_379743 |
| as_66059 | Načítavanie platobných položiek merchantov | isvs_14620 | ks_379743 |
| as_66060 | Vytváranie kupónov nad platobnými položkami | isvs_14620 | ks_379743 |
| as_66061 | Vytváranie zliav nad platobnými položkami | isvs_14620 | ks_379743 |
| as_66062 | Načítavanie a zobrazenie objednávok | isvs_14621 | ks_379743 |
| as_66063 | Načítavanie a zobrazenie realizovaných platieb | isvs_14622 | ks_379743 |
| as_66064 | Tvorba a načítavanie konsolidovaných mesačných výkazov | isvs_14622 | ks_379743 |
| as_66065 | Načítanie štatistických prehľadov platieb | isvs_14622 | ks_379743 |
| as_66066 | Synchronizácia realizovaných platieb s agendovým systémom mesta Košíc | isvs_14622 | ks_379743 |
| as_66067 | Notifikovanie o nezrealizovaných platbách | isvs_14619 | ks_379743 |
| as_66106 | Vytváranie dokladov o zaplatení | isvs_14622 | ks_379743 |
| as_66109 | Načítanie dokladov a kariet v evidencii mesta | isvs_14626 | ks_379740 |
Načítanie dokladov a kariet v evidencii integrovaných strán Aktivácia mobilnej aplikácie |
4.2.11. Aplikačné služby na integráciu – TO BE
AS (Kód MetaIS) |
Názov AS | Realizuje ISVS (kód MetaIS) | Poskytujúca alebo Konzumujúca | Integrácia cez CAMP | Integrácia s IS tretích strán | SaaS | Integrácia na AS poskytovateľa (kód MetaIS) |
| as_59698 | Autentifikácia používateľa na ÚPVS (BOK) | isvs_8846 | Poskytovaná | Nie | Áno | Áno | isvs_14613 |
| Poskytovaná / Konzumujúca | Áno/Nie | Áno/Nie | Áno/Nie | ||||
| Poskytovaná / Konzumujúca | Áno/Nie | Áno/Nie | Áno/Nie |
4.2.12. Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
4.2.13. Konzumovanie údajov z IS CSRU – TO BE
4.3. Dátová vrstva
4.4. Technologická vrstva
4.4.1.. Prehľad technologického stavu - AS IS
Uveďte popis a model technologickej vrstvy AS IS stavu, používané výpočtové prostriedky, konfigurácie siete, problematické body, ktoré je potrebné projektom riešiť.
Súčasná hlavná technologická vrstva je postavená na Azure Cloude a vlastnej infrastrukture, ktorý v súčasnosti obhospodaruje aj dôležité aplikačné a koncové služby magistrátu. Obe cloudy minimálne obmedzujú IaaS a PaaS služby a tým teda ani nevymedzujú technológie operačných systémov resp. programovacie jazyky. So zavedením architektonických princípov konta Košičana je tu snaha o prenositeľnosť služieb, ktorú sa snaží mesto zabezpečiť dokerizáciou.
Z pohľadu riadenia Konta Košičan systému, najdôležitejším alebo core komponentom je Azure B2C Ténant manažujúci integrujúce sa aplikácie, riadenie rolí a prístupov k API pre integrované aplikácie, administrátorov a občanov registrovaných do Konta Košičana. Samotný Azure Cloud poskytuje aj svoje kapacity pre web riešenia.
Infraštruktúra MMK poskytuje výpočtový a diskový výkon pre backendové a webové servisy.
4.4.2. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
Doplňte pre TO BE stav do nasledujúcej tabuľky požiadavky na výkonnostné parametre, kapacitné požiadavky, ktoré majú vplyv na výkon, sizing prostredia, napr. počet interných používateľov, počet externých používateľov, počet spracovávaných procesov, dokumentov, komunikáciu medzi vrstvami architektúry IS, využívanie sieťovej infraštruktúry (Govnet, LAN, VPN, …).
| Parameter | Jednotky | Predpokladaná hodnota | Poznámka |
| Počet interných používateľov | Počet | 20 | Ide o administrátorov systému a pracovníkov MMK |
| Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení | Počet | 5 | |
| Počet externých používateľov (internet) | Počet | 100000 | Počet obyvateľov mesta Košíc je približne 230000, 14% v detskom veku a 18% v dôchodcovskom veku. Ak sa zapojí polovica populácie v produktívnom veku - 78000 v spojení s návštevníkmi mohlo by o 100000 ľudí |
| Počet externých používateľov používajúcich systém v špičkovom zaťažení | Počet | 5000 | |
| Počet transakcií (podaní, požiadaviek) za obdobie | Počet/obdobie | 100/s | |
| Objem údajov na transakciu | Objem/transakcia | 15kB | Objem je uvedený v priemere, samozrejme závisí od typu transakcii, v prípade sťahovania dokumentov samozrejme môže ísť o 1-5MB |
| Objem existujúcich kmeňových dát | Objem | 100TB | 1MB na používateľa |
| Ďalšie kapacitné a výkonové požiadavky ... |
4.4.3.. Návrh riešenia technologickej architektúry
Budúci stav zohľadňuje už existujúci stav a pridáva do schémy ďalšie služby IaaS, PaaS a SaaS služby nevyhnutné pre realizáciu biznisových požiadaviek Konta Košičana. Ide predovšetkým o integráciu:
- Firebase pre potreby push notifikácii k mobilnej aplikácii.
- UPVS pre potrebu registrácie pomocou eID a mID
- Mailjet pre potreby odosielania emailov pomocou REST API a ich customizácie
V MMK Infraštruktúre taktiež vznikne nová dátová vrstva pre potreby nových servisov.
Technologická architektúra bude v identická v oboch prostrediach spracovaných MMK a to testovacom TEST a produkčnom PROD. Výkonnostná požiadavka pre testovacie prostredie je polovica výkonnú produkčného prostredia.
4.4.4.. Využívanie služieb z katalógu služieb vládneho cloudu
4.5. Bezpečnostná architektúra
Návrh na bezpečnostné opatrenia vychádza z platnej legislatívy a súčasného stavu. Konto Košičana vzniká ako skupina existujúcich a nových modulov ISVS, ktoré bude používaný tak ako MMK, spoločnosti s účasťou mesta tak aj riadne integrované tretie strany.
4.5.2. Zabezpečenie komunikácie
Komunikácia bude prebiehať pomocou REST volaní, vo formátoch údajov JSON. Prenos dát bude pre REST prebiehať cez protokol HTTPS, certifikát bude vydaný dôveryhodnou certifikačnou autoritou. Služby vystavené navonok budú popísané podľa štandardu Open API Standard 3.0 (Swagger).
Dáta budú chránené pri prenose symetrickým šifrovaním alebo asymetrickým šifrovaním na základe zvoleného prenosového protokolu.
Všetky komunikačné kanály budú známe a popísané. Jednotlivé komponenty systému budú oddelené podľa vrstiev plniacich špecifickú úlohu:
1. Prístupová vrstva,
2. Aplikačná vrstva,
3. Databázová vrstva.
Jednotlivé vrstvy sú a budú umiestnené v separátnych, logicky oddelených sieťových segmentoch pričom komunikácia medzi nimi bude umožnená na základe pravidiel nastavených vo firewalle. Komunikácia bude kontinuálne monitorovaná a filtrovaná.
Za implementáciu monitoring eventov je v zmysle časti "K" prílohy č.2 vyhlášky 179/2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy Kategórie III, nesie zodpovednosť prevádzkovateľ ISVS a je povinný spomínané opatrenia nasadiť. Na serveroch bude host-based firewall nakonfigurovaný podľa princípu najmenšieho privilégia (least privilege).
Správcovské a monitorovacie rozhrania sieťových prvkov a serverov nesmú byť prístupné priamo z externej siete, internetu. Správcovské a monitorovacie rozhrania musia byť prístupné len z vopred špecifikovaných sietí (napr. administrátorská sieť) - viď časť "E" prílohy č.2 vyhlášky 179/2020. Prístup a forma pripojenia pre SKIT bude definovaná správcom tejto infraštruktúry a práva na prístup budú pridelené pre SKIT podľa platných pravidiel a politík.
Webový portál bude prístupný výlučne prostredníctvom protokolu HTTPS. S ohľadom na best practices sa k webovému portálu nebude pristupovať prostredníctvom HTTP.
Identita webového portálu bude zabezpečená platným, dôveryhodným certifikátom vydaným na doménu, na ktorej je dostupný. Identita webového portálu bude zabezpečená certifikátom s Extended Validation. Webový portál nesmie používať nedôveryhodné alebo vypršané SSL/TLS certifikáty.
Údaje, ktoré sú citlivé z hľadiska integrity alebo dôvernosti, sa musia prenášať iba prostredníctvom zašifrovaného spojenia SSL/TLS.
Webový portál bude:
1. podporovať TLS 1.2a TLS 1.3,
2. podporovať šifry, ktoré majú vlastnosť Perfect Forward Secrecy (PFS),
3. dodržiavať negociačný postup negociácie TLS spojenia, popísaný v RFC 5746, kvôli zraniteľnosti Insecure renegociation a riziku útoku typu MitM,
Webový portál nebude podporovať
1. SSLv2, SSLv3, TLS 1.0 a TLS 1.1,
2. šifry s kľúčom kratším ako 112 bitov a blokom kratším ako 64 bitov,
3. NULL ciphers a anonymný Diffie-Hellman algoritmus,
4. export (EXP) šifry,
5. RC4, DES a 3DES. Šifry s CBC módom by mali byť nahradené bezpečnejšími AEAD šiframi,
6. klientom iniciovanú SSL/TLS renegociáciu šifrovacích kľúčov (kvôli DoS útoku),
Použité šifry a protokoly SSL/TLS by mali byť odolné voči známym typom útokov, ako napríklad: FREAK, BEAST (používanie TLS 1.2, pri TLS 1.0 nepoužívanie šifry s AES), BREACH (Pri SSL/TLS musí byť vypnutá http kompresia), POODLE, LOGJAM, TLS Crime (TLS kompresia bude vypnutá).
Dĺžka kľúča asymetrickej šifry RSA, DSA v X.509 certifikáte musí byť aspoň 2048 bitov. Toto neplatí pre ECDSA, kedy na dosiahnutie vysokej bezpečnosti postačujú kratšie kľúče – napríklad 256 bitov. X.509 certifikáty musia byť hashované bezpečnými hashovacími funkciami (napr. kvôli možnosti kolíznych útokov nesmie byť použitý algoritmus MD5).
Pre všetky kryptografické operácie musia byť použité kryptograficky silné generátory pseudonáhodných čísel.
Webový server bude chránený WAF (web aplikačný firewall - viď časť "I" prílohy 2 vyhlášky 179/2020) minimálne s nasledujúcou funkcionalitou:
1. Detekcia a prevencia známych útokov (Code injection – SQL, XSS, Command, XPATH, ...),
2. Kontrola používateľských vstupov pre Web server prostredníctvom whitelistu a ich prekódovanie do HTML entít alebo podobných bezpečných náhrad.
3. Kontrola používateľských vstupov pre API Gateway prostredníctvom blacklistu.
Server bude pri SSL/TLS používať HSTS - HTTP Strict Transport Security. Nastavené by mali byť direktívy:
1. max-age=<číslo> – počet sekúnd, počas ktorých má prehliadač automaticky konvertovať všetky HTTP požiadavky do HTTPS
2. includeSubDomains – indikuje, že všetky subdomény aplikácie musia používať HTTPS
V odpovediach webového servera sa nesmú nachádzať hlavičky prezrádzajúce použitú technológiu a / alebo jej verziu (Server, X-Powered-By, X-AspNet-Version a pod.).
Aplikácia musí korektne inštruovať prehliadač, aby neukladal citlivé informácie, prenášané prostredníctvom HTTPS, do cache (a aby neboli bez kontroly opäť prístupné z histórie prehliadania) minimálne v rozsahu: Cache-Control:no-cache,no- store,private,must-re-validate,max-age=0,no-transform; Expires:0; Pragma:no-cache
Webové správcovské rozhrania musia byť dostupné iba prostredníctvom SSL/TLS.
4.5.3. Zabezpečenie integrity
Validácia vstupov bude vykonávaná na strane servera a bude vykonávaná aj na strane klienta. Všetky používateľské vstupy musia byť kontrolované na strane servera prostredníctvom whitelistov alebo regulárnych výrazov v kontexte, v ktorom sú použité.
Proces webového servera aj proces backendovej databázy musí byť konfigurovaný tak, aby bežal pod unikátnym používateľským kontom s limitovanou množinou privilégií (napr. v oddelenej schéme).
Webový server bude konfigurovaný tak, aby súbory s webovým obsahom boli procesom prislúchajúcim službe webového servera prístupné na čítanie, no nie na zápis. Procesy webového servera nebudú mať právo zápisu do priečinkov, kde je uchovávaný verejný obsah.
OS bude nakonfigurovaný tak, aby dočasné súbory vytvorené procesmi webového servera boli obmedzené na určený a vhodne zabezpečený priečinok. Ak je to možné, prístup k dočasným súborom by mal byť obmedzený na procesy, ktoré ich vytvorili.
Integrita auditných záznamov a logov musí byť zabezpečená vhodnými kryptografickými prostriedkami a vynucovaná pomocou oddelenia právomocí. Bude použitý centrálny logovací a auditovací nástroj určený budúcim prevádzkovateľom.
4.5.4. Riadenie prístupu
Právo na vykonávanie privilegovaných operácií musí byť obmedzené na poverených administrátorov.
Privilegované prístupy (administrátorské prístupy) sa musia realizovať pomocou šifrovaných kanálov z vopred definovaných kontrolovaných pracovných staníc (viď časti "E" a "K" prílohy č.2 vyhlášky 179/2020 - jedná sa o súčinnosť prevádzkovateľa). Administrátori prostredia, v ktorom sa komponenty riešenia prevádzkujú, môžu vykonávať svoje aktivity len spôsobom, ktorý im neumožňuje vymazať stopy ich aktivít (viď časť "K" prílohy č.2 vyhlášky 179/2020). Na tento účel pristupujú na manažované systémy výhradne cez systém riadenia privilegovaného prístupu (PAM - privileged access management). Prístup môže byť realizovaný formou jump servera spravovaného nezávislým bezpečnostným oddelením, na ktorom sa nahrávajú všetky používateľské relácie (viď časť "E" prílohy č.2 vyhlášky 179/2020). Prístup na manažment rozhrania serverov CAMP je umožnený výhradne z PAM, nikdy nie z pracovných staníc používaných na bežnú prácu. Prístup na PAM by mal byť chránený dvojfaktorovou autentifikáciou.
Lokálny administrátor webservera musí byť unikátny pre každý webový server.
Všetky servery a syslog servery musia byť synchronizované s dôveryhodným NTP serverom.
Pre každý virtuálny host na fyzickom webserveri musí existovať separátny log (viď časť "D" prílohy č.2 vyhlášky 179/2020).
V logoch musia byť uvedené:
1. timestamp - kedy udalosť nastala, vrátane určenia časovej zóny,
2. verejná IP adresa používateľa,
3. dopytovaná stránka/URL,
4. HTTP kód odpovede servera,
5. veľkosť odpovede servera v bytoch,
6. obsahy hlavičiek User-Agent a Referrer,
7. V prípade záznamov o udalostiach súvisiacich s autentifikáciou alebo s činnosťou autentifikovaného používateľa je nutné zaznamenať účet a akciu aká bola vykonaná.
4.5.4. Definícia používateľských rolí
Základné pravidlo pre definovanie používateľských rolí je pravidlo nezlučiteľnosti rolí a oddelenia právomocí. Žiadna osoba nesmie disponovať takou kombináciou právomocí, ktorá by jej umožnila vykonať na systémoch operácie vedúce k narušeniu dostupnosti, dôvernosti alebo integrity dát. Toto platí rovnako pre dáta uložené v aplikácii ako aj prevádzkové dáta technológie, na ktorej aplikácia beží.
4.5.5. Manažment používateľov
Musia byť odstránené všetky testovacie a pôvodné účty z produkčných systémov. Každý používateľ a administrátor musia mať jedinečné ID.
Základné pravidlá pre manažment používateľov v prostredí, v ktorom sa riešenie prevádzkuje, sú nasledovné:
1. Privilégiá sa prideľujú podľa princípu need-to-know,
2. Privilégiá sa prideľujú podľa princípu least privilege,
3. Privilégiá sa prideľujú tak, aby sa neporušili pravidlá nezlučiteľnosti privilégií a oddelenia právomocí,
4. Administrátori siete a operačných systémov nesmú byť zároveň administrátori bezpečnosti,
5. Žiadatelia o prístup nesmú byť schopní schváliť si vlastné žiadosti,
6. Žiadatelia o prístup si nesmú byť schopní sami vytvárať účty.
Vývojári a testeri nesmú mať za normálnych okolností prístup na produkčné systémy. Existujú však výnimočné prípady kedy takéto prístupy môžu byť poskytnuté - viď časť "J" písmeno g) prílohy č.2 vyhlášky 179/2020.
Tvorcovia reportov nesmú byť zároveň ich schvaľovateľmi.
Dokumentácia k prideleným roliam musí byť pravidelne kontrolovaná a pridelené role prehodnocované. Dokumentácia prístupu rolí systémom musí byť pravidelne kontrolovaná a pridelené prístupy prehodnocované. O vykonaní kontroly musí byť vedený záznam.
Používateľské a administrátorské prístupy môžu byť pridelené len na základe schválených žiadostí. Prístupové údaje (meno a heslo) používané pre bežnú prácu sa nesmú používať pre vykonávanie privilegovaných operácií.
Prvotné heslá musia byť komunikované bezpečným spôsobom a musí byť vynútená ich zmena pri prvom prihlásení. Kvalita hesiel vyžadovaná aplikáciou ako aj podpornou infraštruktúrou musí byť v súlade s heslovou politikou organizácie.
Aplikácia musí pre všetky autorizačné mechanizmy implementovať politiku, pri ktorej je zakázané všetko, čo nie je explicitne povolené (default-deny). Aplikácia musí vyžadovať autentifikáciu pre každú privilegovanú operáciu (napr. meno a heslo na prvotné prihlásenie, token). Aplikácia musí implementovať autentifikáciu a autorizáciu na strane servera.
4.5.6. Ochrana osobných údajov a Bezpečná autentifikácia používateľa
Používateľ pristupuje k funkcionalite cez mobilnú, webovú aplikáciu alebo integrovaný ISVS (tretia strana). Pre prácu v musí byť používateľ autentifikovaný. Nasledovné autentifkácie už sú súčasťou ISVS Konta Košičana :
1) Autentifikácia pre Konta Košičana
a) OIDC (JWT, OAuth2) - prihlasovanie pomocou emailu a hesla, využitie autentifikácie pomocou Azure B2C služieb
2) Autentifikácia aplikácii
a) OIDC(JWT, OAuth2) - v prípade prístupu aplikácie, teda akýchkoľvek integrovaných ISVS (tretia strana), má ako možnosť autentifikácie využitie autentifikácie pomocou Azure B2C služieb
3) Autentifikácia administrátorov
a) OIDC (JWT, OAuth2) - prihlasovanie pomocou emailu a hesla, a, využitie autentifikácie a utorizácie pomocou Azure B2C služieb
4.5.7. Ukladanie a ochrana osobných údajov
Konto Košičan pracuje aj s osobnými údajmi, ktoré mesto vedie o občanoch mesta Košíc a ich uloženie je v agendových systémoch MMK. Konto košicana tieto údaje neduplikuje a ako zdroj pravdy aj naďalej využíva agendový systém. K osobným údajom ma po autentifkácii a následnom overení autorizačnyćh tokenov len prihlásený občan.
Dáta budú prenášané v zašifrovanej forme a rozšifrovanie sa udeje až u konzumenta.
4.5.8. Komunikácia s tretími stranami
Azure B2C Téneant tvorí integračnú a bezpečnostnú vrstvu pre komunikáciu s riadne integrovanými tretími strany (ISVS, komerčné subjekty). Integrované tretie strany sa budú k publikovaným službám pripájať cez REST API publikovanými a dokumentovanými v súlade so štandardom OAS3.0.
Integrované tretie strany budú volať metódy príslušných API vystavené na zabezpečených end-pointoch zo siete internet, ku ktorým budú mať povolený prístup. Zabezpečenie komunikácie bude:
1. HTTPS spojenie je zabezpečené TLS minimálne vo verzii 1.2 a vyššej s použitím AEAD šifier
2. pomocou OIDC, Oauth2 JWT tokenov,
Komunikácia bude na báze REST a formáty budú, nie výlučne, XML a JSON.
4.5.9. Pravidlá pre bezpečnú komunikáciu pre vývoj
Pri konfigurácii a vývoji súčasní riešenia budú aplikované tieto pravidlá (a musí ich primerane implementovať aj integrovaná tretia strana):
1) Ukladanie dát a súkromie:
a) Pre integrované mobilné aplikácie sa na ukladanie citlivých údajov (prihlasovacie údaje, šifrovacie kľúče) sa použije “bezpečné úložisko“ daného systému na to určené (Keychain/Keystore), prípadne sa mobilná aplikácia pripája cez svoj backend,
b) Citlivé údaje nebudú ukladané mimo aplikačný kontajner a bezpečného úložiska,
c) Citlivé údaje sa nebudú zapisovať do logov, záloh aplikácie ani zdieľané s tretími stranami ak to nie je súčasťou funkcionality,
d) UI neumožní zobraziť heslo alebo PIN,
e) Citlivé údaje budú odstránené z náhľadu obrazovky, ak ide aplikácia do pozadia,
f) Citlivé údaje nebudú uložené lokálne na zariadení, v prípade potreby sú získavané zo služby a uložené iba v pamäti,
g) Citlivé údaje sú odstránené z pamäte bezprostredne po použití,
h) Lokálne úložisko je vymazané po väčšom počte neúspešných pokusov prihlásenia do aplikácie,
2) Šifrovanie:
a) Aplikácia nevyužíva ten istý šifrovací materiál na rôzne účely,
b) Pri generovaní náhodných hodnôt sa použije dostatočne bezpečný generátor,
3) Autentifikácia pre tretie strany:
a) Na prístup k vzdialenej službe je potrebná autentifikácia,
b) Autentifikačná služba vydá podpísaný prístupový token (JWT) s krátkou životnosťou.
c) Po odhlásení užívateľom je prístupový token odstránený z pamäte aplikácie,
d) Po exspirácii platnosti tokenu sa relácia ukončí a dôjde k odhláseniu užívateľa,
e) Aplikácia informuje o citlivých aktivitách s účtom - zoznam zariadení, IP adresa, poloha, ... s možnosťou zablokovania prístupu,
f) Spôsoby prihlásenia sú definované a vynútené na strane služby,
4) Sieťová komunikácia:
a) Prenášané dáta sú šifrované s TLS, aplikácia overuje X.509 certifikáty a akceptuje iba vydané dôveryhodnou CA,
b) Aplikácia používa najnovšie bezpečnostné knižnice,
5) Interakcia:
a) Aplikácia neumožní spustiť JavaScript kód z neznámych zdrojov,
b) Aplikácia používa safe-serialization API pri object deserializácií,
c) Používa sa mechanizmus CORS,
6) Kvalita a nastavenie buildov aplikácií a ich súčastí:
a) Všetky developerské pomocné kódy, nastavenia, back-door sú odstránené
b) Aplikácia neloguje detailné chyby,
c) Všetky použité knižnice tretích strán sú identifikované, overené a skontrolované že neobsahujú známe zraniteľnosti,
d) Aplikácia správne narába s výnimkami a ich odchytávaním,
e) Pri release zostavení sa použijú nástroje na obfuskáciu kódu, tak aby základná statická analýza kódu neodhalila dôležitý kód alebo dáta.
7) Implementácia v čo najväčšej miere OWASP TOP 10 odporúčaní pre webové rozhranie:
a) Broken Access Control,
b) Cryptographic Failures,
c) Injection,
d) Insecure Design,
e) Security Misconfiguration,
f) Vulnerable and Outdated Components,
g) Identification and Authentication Failures,
h) Software and Data Integrity Failures,
i) Security Logging and Monitoring Failures,
j) Server-Side Request Forgery.
5. Závislosti na ostatné ISVS / projekty
6. Zdrojové kódy
7. Prevádzka a údržba
7.1. Prevádzkové požiadavky
7.1.1. Úrovne podpory používateľov
7.1.2. Riešenie incidentov – SLA parametre
Označenie naliehavosti incidentu:
| Označenie naliehavosti incidentu | Závažnosť incidentu | Popis naliehavosti incidentu |
| A | Kritická | Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. |
| B | Vysoká | Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňuje používať časť systému. |
| C | Stredná | Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému. |
| D | Nízka | Kozmetické a drobné chyby. |
možný dopad:
| Označenie závažnosti incidentu |
Dopad | Popis dopadu |
| 1 | katastrofický | katastrofický dopad, priamy finančný dopad alebo strata dát, |
| 2 | značný | značný dopad alebo strata dát |
| 3 | malý | malý dopad alebo strata dát |
Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:
| Matica priority incidentov | Dopad | |||
| Katastrofický - 1 | Značný - 2 | Malý - 3 | ||
| Naliehavosť | Kritická - A | 1 | 2 | 3 |
| Vysoká - B | 2 | 3 | 3 | |
| Stredná - C | 2 | 3 | 4 | |
| Nízka - D | 3 | 4 | 4 | |
Vyžadované reakčné doby:
| Označenie priority incidentu | Reakčná doba(1) od nahlásenia incidentu po začiatok riešenia incidentu | Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) (2) | Spoľahlivosť (3) (počet incidentov za mesiac) |
| 1 | 0,5 hod. | 4 hodín | 1 |
| 2 | 1 hod. | 12 hodín | 2 |
| 3 | 1 hod. | 24 hodín | 10 |
| 4 | 1 hod. | Vyriešené a nasadené v rámci plánovaných releasov | |
Vysvetlivky k tabuľke
(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.
(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.
(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.
(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu
Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.
Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:
- Služby systémovej podpory na požiadanie (nad paušál)
- Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)
Pre tieto služby budú dohodnuté osobitné parametre dodávky.
7.2. Požadovaná dostupnosť IS:
| Popis | Parameter | Poznámka |
| Prevádzkové hodiny | 24 hodín | od 0:00 hod. - do 23:59 hod. počas pracovných dní |
| Servisné okno | 10 hodín | od 19:00 hod. - do 5:00 hod. počas pracovných dní |
| 24 hodín | od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov Servis a údržba sa bude realizovať mimo pracovného času. | |
| Dostupnosť produkčného prostredia IS | 98% | 98,5% z 24/7/365 t.j. max ročný výpadok je 66 hod. Maximálny mesačný výpadok je 5,5 hodiny. Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni. Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS. V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu. |
8.Požiadavky na personál
9.Implementácia a preberanie výstupov projektu
Projekt bude realizovaný metódou waterfall. V zmysle Vyhlášky 401/2023 Z.z. budú výstupy jednotlivých fáz predkladané na schválenie riadiacemu výboru projektu.