Version 2.1 by Peter Ďuriš on 2025/09/24 13:45
Show last authors
1 **PRÍSTUP K PROJEKTU**
2
3 **~ Vzor pre manažérsky výstup I-03**
4
5 **podľa vyhlášky MIRRI č. 401/2023 Z. z. **
6
7
8
9 |Povinná osoba|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
10 |Názov projektu|Centrálny podpisový komponent (Podpisový komponent)
11 |Zodpovedná osoba za projekt|Milan Patráš / Projektový manažér
12 |Realizátor projektu|SITVS, MIRRI SR 
13 |Vlastník projektu|Jaroslav Chovanec, Milan Patráš / Produktový manažér
14
15
16 **Schvaľovanie dokumentu**
17
18 |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|(((
19 Podpis
20
21 (alebo elektronický súhlas)
22 )))
23 |Vypracoval|Milan Patráš|MIRRI|Produktový manažér|29.1.2025|
24
25
26 1. História dokumentu
27
28 |Verzia|Dátum|Zmeny|Meno
29 | |//16.1.2025//|//Prvý draft dokumentu//|
30 | | | |
31 | | | |
32 | | | |
33
34
35 1. Účel dokumentu
36
37 V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
38
39 Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
40
41 1.
42 11. Použité skratky a pojmy
43
44
45 |Skratka|Popis
46 |**AFPM**|Autorizácia funkciou prístupového miesta (historicky používané označenie "Klik")
47 |**API**|Application programming interface [Angl.], Aplikačné programovacie rozhranie
48 |**ASiC**|Associated signature containers [Angl.], Pridružené podpisové kontajnery
49 |**BOK**|Bezpečnostný osobný kód
50 |**CAdES**|CMS advanced electronic signatures [Angl.], sada rozšírení podpísaných údajov syntaxe kryptografických správ
51 |**CAMP**|Centrálna API manažment platforma
52 |**CEP**|Centrálna elektronická podateľňa
53 |**CPK **|Centrálny podpisový komponent
54 |**DTBS/R**|Data to be signed representation [Angl.], hash dokumentu
55 |**eDoPP**|Elektronický doklad o povolení pobytu
56 |**eID**|Elektronický občiansky preukaz
57 |**eIDAS**|Electronic IDentification, authentication and trust services [Angl.], Európsky štandard pre elektronickú komunikáciu
58 |**ESI**|Electronic signatures and infrastructures [Angl.], Elektronické podpisy a infraštruktúry
59 |**FO**|Fyzická osoba
60 |**G2G**|Government to government [Angl.], komunikácia verejnej správy medzi sebou pomocou middleware platformy
61 |**GUI**|Graphical user interface [Angl.], grafické užívateľské rozhranie
62 |**HSM**|Hardware security module [Angl.], špecializované hardvérové zariadenia, ktoré využívajú silné fyzické a logické bezpečnostné techniky na ochranu dôležitých kľúčov pred nezákonným prístupom a zmenami.
63 |**IAM**|Identity access management [Angl.], zabezpečenie centrálnej správy identít, autentifikačných údajov a autorizácií
64 |**IS**|Informačný systém
65 |**ISVS**|Informačný systém verejnej správy
66 |**KCCKB**|Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
67 |**KEP**|Kvalifikovaný elektronický podpis
68 |**META IS**|Centrálny metainformačný systém verejnej správy
69 |**MVP**|Minimum viable product [Angl.], produkt v minimálnom použiteľnom hu
70 | |
71 |**NFC**|Near field communication [Angl.], technológia na bezpečnú a rýchlu bezdrôtovú komunikáciu do vzdialenosti 4 cm.
72 |**OPZ**|Opis predmetu zákazky
73 |**OVM**|Orgán verejnej moci
74 |**PAdES**|PDF advanced electronic signatures [Angl.], PDF dokument vhodný pre zdokonalený elektronický podpis
75 |**PO**|Právnická osoba
76 |**PTK**|Prípravná trhová konzultácia
77 |**RPO**|Recovery Point Objective [Angl.], akceptovateľná doba od poslednej zálohy
78 |**RTO**|Recovery Time Objective [Angl.], cieľový čas obnovy business procesu
79 |**QA**|Quality assurance [Angl.], zabezpečenie/posúdenie kvality
80 |**QSCD**|Qualified signature creation device [Angl.], kvalifikované zariadenia na vyhotovenie elektronického podpisu
81 |**REST API**|Representational state transfer API, aplikačné programovacie rozhranie ktoré spĺňa obmedzenia architektonického štýlu REST
82 |**SDK**|Software development kit [Angl.], súbor nástrojov pre vývoj softvéru
83 |**SSO**|Single sign-on [Angl.], jednotné prihlásenie pre prihlásenie pomocou jedného ID do ktoréhokoľvek z niekoľkých súvisiacich, ale nezávislých softvérových systémov.
84 |**SW**|Software
85 |**ÚPVS **|Ústredný portál verejnej správy
86 |**WebSSO**|IAM služba Single Sign-On (SSO) - „jednotné prihlásenie sa“
87 |**XAdES**|XML advanced electronic signatures [Angl.], sada rozšírení odporúčania XML-DSig vhodná pre zaručené elektronické podpisy
88 |**ZEP**|Zaručený elektronický podpis
89 |**NASES**|Národná agentúra pre sieťové a elektronické služby
90 |**MIRRI SR**|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
91 |**BOK**|Bezpečnostný osobný kód (šesťmiestny – slúži na identifikáciu uživateľa a prístup do schránky www.slovensko.sk)
92 |**KEP PIN**|Kvalifikovaný elektronický podpis – Personal Identification Number (šesťmiestny)
93 |**SKRATKA/POJEM**|POPIS
94
95
96
97
98 1. Popis navrhovaného riešenia
99
100 Z hľadiska subjektu sa projekt týka MIRRI SR. MIRRI SR je ústredným orgánom štátnej správy pre
101
102 a) riadenie, koordináciu a dohľad nad využívaním finančných prostriedkov z fondov Európskej únie,
103
104 b) oblasť investícií v rozsahu strategického plánovania a strategického projektového riadenia, ako aj koordináciu investičných projektov a vypracovanie národného strategického investičného rámca v pôsobnosti Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, a vnútroštátnu implementáciu Agendy 2030,
105
106 c) regionálny rozvoj vrátane koordinácie prípravy politík regionálneho rozvoja,
107
108 d) centrálne riadenie informatizácie spoločnosti a tvorbu politiky jednotného digitálneho trhu, rozhodovanie o využívaní verejných prostriedkov vo verejnej správe pre informačné technológie, centrálnu architektúru integrovaného informačného systému verejnej správy a koordináciu plnenia úloh v oblasti informatizácie spoločnosti.
109
110
111 Z hľadiska ISVS sa tento projekt týka isvs_14363 Centrálny podpisový komponent, pričom sa požaduje dodanie diela, jeho nasadenie na produkčné prostredie a realizáciu v dvoch fázach:
112
113 * 1. Fáza MVP (MVP - Minimal Viable Product) - fáza s predpokladaným termínom dodania a nasadenia do 3 mesiacov odo dňa nadobudnutia účinnosti ZMLUVY
114 * 2. Fáza - ďalší rozvoj po realizácii MVP fázy s predpokladaným termínom dodania a nasadenia  do 10 mesiacov  odo dňa nadobudnutia účinnosti ZMLUVY
115
116 == V rámci 1. fázy bude dodaný nasledovný rozsah - MVP (MVP -Minimal Viable Product): ==
117
118 * Implementácia a produkčné nasadenie aplikačných komponentov CPK
119 * Sprístupnenie API CPK na Centrálnej API manažment platforme (CAMP)
120 * Poskytnutie súčinnosti pri integrácii služieb CPK do konštruktora správ na ÚPVS
121 * Podpísanie súboru v CPK bez možnosti prihlásenia
122 * Viacnásobné podpísanie dokumentu bez možnosti  prihlásenia
123 * Poskytnutie súčinnosti zo strany verejného obstarávateľa pri integrácii súčasných a nových lokálnych podpisových aplikácií
124 * Integrácia na IAM a UPVS za účelom využitia štátom garantovanej identity  na prihlásenie do CPK  pomocou WebSSO
125 * Vytvorenie náhľadu na podpisovanie dát podľa vizualizačných schém (v zmysle Diagramu č. 1)  pre formulár a podpisované súbory
126 * Overenie povolených možností autorizácie evidovaných pre danú službu v MetaIS
127 * Návrh dátovej štruktúry pre AFPM a vloženie príslušného formulára do MEF
128 * Vytvorenie autorizácie prostredníctvom funkcie prístupového miesta a jej implementácia v CPK
129 * Implementácia overovania auditných záznamov v CPK
130 * Prepoužitie (integrácia) služby pre vytvorenie elektronického podpisu odosielaného elektronického dokumentu (aplikačná služba METAIS kód=sluzba_is_1370 v CEP )
131 * Vrátenie autorizovaných objektov späť do žiadateľského systému / do schránky eDesk (odoslané správy)
132 * Priama integrácia na klientský podpisovač vo fáze 1. musí byť konfiguračne nastaviteľná pre ponuku používateľovi v CPK (Táto integrácia sa predbežne plánuje po implementácii fázy 2. vypnúť a ponechať len podpisovanie cez dodaný plug-in v čase keď budú pripravené podpisové aplikácie)
133 * Technická, produktová a projektová dokumentácia CPK podľa Vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie SR č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy (ďalej len „Vyhláška MIRRI SR č. 401/2023 Z.z.“ ([[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/]])
134
135
136 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image001.png]][[image:1758713892253-545.png]]
137
138 Obrázok 1 Spolupráca komponentov MVP fáza
139
140 == V rámci 2. fázy bude dodané nasledovné funkčnosti - Rozvoj požaduje: ==
141
142 * Komponent “Autorizácia prostredníctvom eID 2.0” a jeho integrácia do CPK viac info v kapitole 5.1.4
143 ** Autorizácia prostredníctvom eID 2.0 je modernizovaný spôsob elektronickej autentifikácie občanov, ktorý využíva čipové karty (elektronické občianske preukazy) vybavené pokročilými bezpečnostnými prvkami. Tento systém umožňuje bezpečný prístup k elektronickým službám štátu a iných OVM.
144 ** Integráciou eID 2.0 do CPK sa zjednoduší autentifikácia a autorizácia používateľov, ktorí sa budú môcť pomocou svojich eID kariet (elektronických občianskych preukazov) jednoducho a bezpečne autentifikovať svoju identitu a autorizovať operácie, čo uľahčuje prístup k elektronickým službám a transakciám.
145 * Viacnásobná autorizácia funkciou prístupového  miesta
146 ** Podpis viacerými osobami funkciou prístupového miesta (viac oprávnených osôb podpisuje jedno podanie v korektnom poradí).
147 * Pri viacnásobnej autorizácii AFMP sa použije štruktúra dohodnutá na pracovných skupinách
148 * Poskytnutie súčinnosti pri zmenách v UPVS umožňujúcich Podpis lokálneho súboru podporovanými formami autorizácie (eID a/alebo eID 2.0)
149 * Overenie podpisov na podaní a prílohách
150 * Implementácia SDK (pluginu do web prehliadača podporovanej verzie webového prehliadača” podľa §16 písm. d) Vyhlášky č. 78/2020) povinného pre integráciu na lokálne podpisové aplikácie poskytovateľov
151 * Vytvorenie MessageDigest - digitálny odtlačok dát určených na podpisovanie
152 * Pripájanie časovej pečiatky (k dokumentu a/alebo k  podpisu),
153
154
155 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png]][[image:1758713928922-535.png]]
156
157 Obrázok 2 Spolupráca komponentov finálneho riešenia
158
159 V súvislosti s riešením CPK, musí byť zabezpečená kompatibilita medzi dodávaným riešením v dvoch fázach uvedených vyššie a súčasne s  nižšie uvedenými bodmi:
160
161 * Úprava alebo implementácia konštruktora podania (vypĺňacej funkcie formulára podania)
162 * Prijatie a spracovanie správy s podaním autorizovaným funkciou prístupového miesta na rozhraní G2G ÚPVS a zobrazenie v schránke správ modulu eDesk na ÚPVS
163 * Overenie autorizácie funkciou prístupového miesta s využitím komponentu CEP pri doručovaní a preberaní takto autorizovaného podania v schránke v eDesk na ÚPVS
164
165 MIRRI SR, NASES a úspešný uchádzač zabezpečia súčinnosť pri integrácií dodávaných komponentov.
166
167
168 1. Architektúra riešenia projektu
169
170 CPK, ktorý verejný obstarávateľ požaduje a ktorý je predmetom tejto zákazky, má poskytnúť služby pre centrálne podpisovanie a riadenie procesu podpisovania. Musí byť  otvorený pre dynamické pridávanie nových komponentov alebo modulov zabezpečujúcich podpisovanie (napr. vzdialené podpisovanie). CPK má poskytnúť definované rozhranie cez ktoré integrovaná podpisová služba bude môcť poskytnúť informácie o rozsahu služieb a formáte podpisov ktoré poskytuje.
171
172
173 [[image:1758713978715-888.png]]
174
175 //Diagram 3: Aplikačný pohľad na požadované riešenie//
176
177
178 Verejný obstarávateľ požaduje, aby komponent CPK pozostával z grafického webového používateľského rozhrania (GUI), servisnej vrstvy – služby vystavené cez REST API a backend časti. Webová aplikácia bude slúžiť na vytváranie podpisov pre používateľov pri podpisovaní ľubovoľných elektronických úradných dokumentov, ako aj pri tvorbe elektronických podaní a bude prístupná z ktoréhokoľvek bodu ISVS. Tieto ako aj všetky ostatné funkcionality, budú mať reprezentáciu vo forme REST služieb sprístupnených cez integračnú platformu. Dielo odbremení používateľa, ktorý si už ďalej nemusí inštalovať rôzne typy podpisových aplikácií.
179
180 CPK umožní podpísať elektronický dokument alebo podanie kvalifikovaným alebo zdokonaleným elektronickým podpisom alebo pečaťou. V prípade použitia pečate využitím HSM modulu musí byť používateľ autentifikovaný, overené jeho  zastupovanie PO alebo OVM a musí mať priradenú rolu R_EDESK_SIGN. Používateľ musí mať možnosť výberu z jestvujúcich certifikátov a filtrovať zoznam certifikátov podľa typu (mandátny certifikát, KEP, KEPe pečať – HSM modul). Formáty podpisovaného dokumentu aj podpísaného dokumentu sú definované štandardmi uvedenými v kapitole 7 „Nutné  legislatívne požiadavky“ (Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy, ďalej ako „Vyhláška ÚPVII č. 78/2020 Z.z.“ § 46, § 47 a § 48 ).
181
182 //Podporované nepodpísané súbory~://
183
184 * //.pdf .doc .docx .odt .txt .xml .rtf .png .gif .tif .tiff .bmp .jpg .jpeg//
185
186 //Podporované podpísané súbory na podpis a overenie~://
187
188 * //.pdf .xml .asics .scs .asice .sce .p7m//
189
190 //Podporované podpísané súbory len na overenie~://
191
192 * //.zep .zepx .xzep//
193
194 Verejný obstarávateľ požaduje, aby každá služba si mohla konfiguračne nastaviť zoznam povolených typov súborov na podpis.
195
196 CPK umožní aj podpísanie lokálneho elektronického súboru a nahratie dokumentu a možnosť konverzie integráciou na príslušnú službu CEPu do povinných formátov PDF/A-2 až 4. Maximálna podporovaná veľkosť lokálneho súboru má byť max. 100 MB s možnosťou konfigurácie na požiadavku verejného obstarávateľa.
197
198 CPK tiež umožní a poskytne funkcionalitu pre hromadné podpisovanie elektronických úradných dokumentov či viacerými používateľmi (viacnásobné podpísanie elektronických dokumentov alebo podaní). Zároveň umožní aj spoločnú autorizáciu viacerých [[elektronických dokumentov>>url:https://www.slovensko.sk/sk/institucie-formulare-a-ziado/spolocna-autorizacia-ovm]] konfiguračne podľa typu osoby používateľa vzhľadom na povinnosť vytvárať spoločnú autorizáciu zo strany OVM a nemožnosť vytvárania spoločne autorizovaných podaní zo strany FO/PO. Podpisový kontajner sa vyskladáva na serveri CPK, nie lokálne, tým pádom sa aj všetky citlivé dokumenty nahrávajú na server CPK.
199
200 CPK integráciou na službu vytvorenia časovej pečiatky zabezpečí jej pridanie pre každý podpis do podpisovaného dokumentu alebo podania.
201
202 Je požadovaná implementácia funkcionality pre zobrazenie podpisov predchádzajúcich osôb pri viacnásobnom podpisovaní spolu s kvalifikovanou elektronickou časovou pečiatkou.
203
204 CPK má podporovať nasledujúce formáty podpisov a podpisových kontajnerov.
205
206 * XAdES
207 * PAdES
208 * CAdES
209 * ASiC
210 * a do budúcna ďalšie ktoré budú definované v rámci novely eIDAS a nie sú momentálne uvedené
211
212 Po úspešnom a kompletnom podpísaní dokumentu nastane kontrola všetkých už vytvorených podpisov a vráteniu podpísaného dokumentu do komponentu, ktorý inicializoval volanie CPK. CPK bude preberať podmienky autorizácie podľa informácií k už poskytovaným službám v systéme METAIS, obsahujúce požadovanú úroveň autentifikácie, typ používateľa (FO/PO, OVM), minimálnu úroveň autorizácie podania a zoznam metód autorizácii, ktoré budú na základe tejto konfigurácie služby používateľovi dostupné. Kontrola podpisov na prílohách podania bude konfigurovateľná v zmysle podmienok poskytovania služby v METAIS.
213
214 Overovanie podpísaných dokumentov a podaní bude možné vykonať prostredníctvom služby CEP alebo SNCA. Konkrétna služba bude došpecifikovaná až v DNR. Validačný report bude vo formáte poskytovanom CEP, resp. SNCA. CPK musí zabezpečiť používateľsky prijateľnú vizualizáciu výsledku overenia.
215
216 Súčasťou predmetu zákazky  CPK bude JavaScript knižnica, ktorú bude možné poskytnúť správcom ISVS a prevádzkovateľom iných portálových riešení, ktorí budú integrovať služby CPK  do ich informačných systémov. **Súčasťou predmetu zákazky riešenia CPK je aj návrh jednotného integračného štandardu a súčinnosť pre zabezpečenie integrácie nových verzií lokálnych podpisových aplikácií.**
217
218 Realizácia procesu podpísania sa požaduje výhradne v online režime, tzn. že pri využívaní CPK komponentu je potrebné mať internetové spojenie so službami CPK. Pred vytváraním podpisu je nutné vykonať validáciu certifikátu, ktorý k úkonu chceme využiť. Požadujeme, aby pri realizácii podpisu bolo možné do podpisu súboru (dokumentu, dát formulára podania) vložiť časovú pečiatku (využitím služby centrálnej podateľne CEP alebo akéhokoľvek iného dôveryhodného poskytovateľa služby časovej pečiatky).
219
220 CPK bude vytvárať systémové aj aplikačné záznamy o svojej činnosti. Záznamy budú distribuované do centrálneho systému zberu logov a prevádzkového dohľadu v NASES. Vybrané aplikačné záznamy aktivít budú poskytované aj pre používateľov aplikácie, aby si sami mohli skontrolovať záznamy, ktoré vykonali alebo boli vykonané v ich zastúpení. Záznamy o aktivitách, ktoré budú určené aj pre používateľov musia používateľsky zrozumiteľne popisovať zaznamenanú aktivitu: čas aktivity, meno používateľa a zástupcu, ich ID, výsledok aktivity, zrozumiteľný popis aktivity alebo chyby, identifikácia objektu, s ktorým bola aktivita vykonaná.
221
222 1.
223 11. Predpoklady realizácie projektu rozvoja
224
225 Aby sa mohli realizovať všetky scenáre použitia, je nutné mať splnené nasledujúce predpoklady:
226
227
228 1. Používateľ bude autentifikovaný do prostredia ÚPVS. V prípade autorizácie pomocou AFPM je vyžadovaná forma autentifikácie minimálne na úrovni “pokročilá”. Pri ostatných formách autorizácie je nutnosť autentifikácie definovaná OVM.
229 1. Používateľ je oprávnený v zmysle prístupu k službám.
230 1. Používateľ úspešne vytvorí elektronické podanie.
231 1. ISVS OVM využívajúci služby CPK je integrovaný s ÚPVS.
232 1. Pre niektoré spôsoby podpisovania je nutné mať aktivovanú mobilnú aplikáciu, ktorá nie je predmetom zákazky.
233
234 CPK po zrealizovaní poslednej autorizácie neuchováva podpísané dokumenty ani podania.
235
236 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image004.png]]
237 [[image:1758714031406-182.png]]
238
239 1.
240 11. Biznis vrstva a aplikačná architektúra
241
242 Po splnení vyššie uvedených predpokladov bude možné prostredníctvom kanála, v ktorom podanie vzniká, vyvolať služby vystavené na novom CPK komponente. CPK má implementovať viaceré spôsoby autorizácie, pričom ale tieto spôsoby autorizácie nebudú navzájom plne zastupiteľné. Možné spôsoby autorizácie pre konkrétnu službu majú byť poskytované podľa údajov evidovaných na príslušných biznis službách v Meta IS. Pre každú službu bude v METAIS evidované, akými spôsobmi je možné ju autorizovať.
243
244 Úlohou komponentu CPK nie je zabezpečiť vytváranie formulárov podaní a príloh. Komponent  CPK vie autorizovať jeden alebo viac objektov, v rámci jedného podania, ktoré vyžadujú podpis v závislosti od kontextu (identifikácia služby, povinné osoby, spôsob autorizácie). Komponent vystavuje rozhranie, pomocou ktorého získa odkaz alebo priamo zoznam objektov na autorizáciu.
245
246 CPK pracuje v štyroch krokoch :
247
248 1. prijme  objekt alebo objekty na autorizáciu a kontext podpisu (identifikácia služby, povinné osoby, spôsob autorizácie)
249 1. zvolí spôsob autorizácie a vyberie vhodný certifikát podľa konfigurácie služby v MetaIS
250 1. zabezpečí vytvorenie podpísaného objektu buď vlastnou funkcionalitou, alebo pomocou vystavených služieb lokálnej podpisovej aplikácie
251 1. a následne vráti podpísané objekty do volajúceho informačného systému, alebo v prípade  AFPM odošle Sk-Talk správu.
252
253 Keďže z dokumentu musí byť vypočítaný hash (DTBS/R) a vizualizácia dát na podpis je počas podpisovania nutné, aby bol ukladaný na dočasnom úložisku a po odovzdaní riadenia volajúcej aplikácii vymazaný.
254
255 V CPK v súčasnosti požadujeme tieto možnosti autorizácie v zmysle vyjadrenia vôle / podpisovaním:
256
257 * Autorizácia prostredníctvom KEP alebo AdES-QC (t.j. uznaného spôsobu autorizácie) na desktope. V tomto prípade sa očakáva integrácia CPK na lokálne podpisové aplikácie zabezpečujúce vytvorenie elektronického podpisu v prostredí ÚPVS
258 * Autorizácia funkciou prístupového miesta (AFPM).
259 * Autorizácia prostredníctvom KEP na mobile pomocou eID 2.0 alebo eDoPP a NFC.
260 * Autorizácia OVM - vytvorenie elektronického podpisu/elektronickej pečate odosielaného elektronického dokumentu (rozhodnutia).
261
262
263
264 [[image:1758714093952-136.png]]
265
266 **//Diagram 4~://**// Architektúra CPK – Proces podpísania všeobecne//
267
268
269 Medzi konštruktorom správ a samotným CPK je zvýraznený tok dát, ktorý umožni výmenu objektov na podpis. CPK má k dispozícii dátový tok do lokálnej podpisovej aplikácie.
270
271 1.
272 11.
273 111. Proces autorizácie podania – všeobecne
274
275 Zovšeobecnený popis procesu vykonania autorizácie jednou osobou v CPK nad jedným objektom:
276
277 1. Aktivácia CPK, počas ktorého konštruktor správ doručí do CPK
278 11. objekt na autorizáciu, alebo odkaz na ich umiestnenie v úložisku,
279 11. kontext autorizácie, čiže dodatočné informácie o koncovej službe (identifikácia služby, povinné osoby, spôsob autorizácie)
280 1. Výber  z povolených spôsobov autorizácie na základe údajov z Meta IS
281 1. V prípade autorizácie (vytvorenia el. podpisu) lokálnou podpisovou aplikáciou:
282 11. Overenie dostupnosti podpisovej aplikácie (overenie, že aplikácia je nainštalovaná a pripravená na komunikáciu s CPK),
283 11. Výmena informácií o poskytovaných službách podpisovej aplikácie (napr. poskytovaná služba vizualizácie, overenia certifikátov atď.),
284 11. Inicializácia podpisovacieho procesu v podpisovej aplikácií.
285 1. Výber poskytovateľa a certifikátu
286 11. je nutné overiť, či so zvolenými certifikátmi možno realizovať autorizáciu a pri negatívnom výsledku umožniť novú voľbu spôsobu a poskytovateľa.
287 1. Zobrazenie objektu na autorizáciu vo formáte podľa prezentačnej schémy (//ak sú v objekte už iné podpisy alebo pečate, zobrazí stručnú informáciu o ich stave//). V prípade AFPM sa okrem zobrazenia dát na podpis zobrazí aj  upozornenie, že autorizácia bude vykonaná funkciou prístupového miesta.
288 1. Overenie či prihlásená osoba je oprávnená vytvoriť podpis:
289 11. V prípade AFPM opätovným prihlásením,
290 11. V ostatných prípadoch zadaním BOK a PIN k QSCD.
291 1. Vytvorenie MessageDigest - digitálny odtlačok dát určených na podpis.
292 1. Zašifrovanie MessageDigestu vybraným poskytovateľom podpisových služieb a vybratým privátnym kľúčom používateľa. Poskytovateľ musí používať kryptografické algoritmy, ktoré sú povolené v podpisovej politike NBU. V súlade s nariadením sa nesmie uvádzať odkaz na podpisovú politiku vo vytváraných kvalifikovaných elektronických podpisoch a pečatiach.
293 1. Vytvorenie autorizovaného objektu podľa zvoleného spôsobu autorizácie:
294 11. Napríklad podpisového kontajnera vo formáte ASiC, alebo
295 11. Vytvorenie a odoslanie Sk-Talk správy v prípade AFPM.
296 1. Vrátenie výsledku autorizácie do komponentu, ktorý inicioval autorizáciu (napr. konštruktor podaní, konštruktor správ).
297 1. Vrátenie riadenie konštruktoru s informáciou o výsledku autorizácie a/alebo odoslania.
298
299
300 Samotná práca s podpisovaným objektom  môže byť  celá alebo čiastočne vykonaná na strane CPK alebo podpisovej aplikácie.
301
302
303 **Podrobný popis**
304
305 **~ **
306
307 Po úspešnej autentifikácii do prostredia ÚPVS prostredníctvom jedného z kanálov a zároveň po úspešnom vytvorení konkrétneho podania sa používateľ rozhodne, či potrebuje autorizovať toto podanie alebo iba  prílohu dokumentu k samotnému podaniu. CPK mu podľa definície používateľskej služby v METAIS ponúkne zoznam akceptovaných autorizačných spôsobov. Používateľovi bude zobrazené GUI rozhranie komponentu CPK, v ktorom bude ponúknutý ucelený zoznam prípustných foriem autorizácie.
308
309
310 Používateľ vyberie želanú formu, CPK realizuje potrebnú integráciu, zabezpečia sa kontroly  ako overenie tokenov, kontrola autentifikácie minimálne na úrovni QAA L3, QA kontroly a podobne.
311
312
313 Následne sa vykoná samotné podpísanie podania a zapečatenie. V ďalšom kroku prebehne overenie všetkých podpisov na podaní, vrátane podpisov  na prílohách (ak sú podpísané). Používateľ bude mať možnosť aj v tomto kroku ešte podpisy odobrať a vrátiť sa späť.
314
315
316 V prípade, že používateľom  zvolený objekt nebude môcť byť podpísaný,  pretože pre želanú formu podpisu nemá vyhovujúci certifikát, CPK vráti používateľa na zoznam akceptovaných autorizačných spôsobov.
317
318
319 CPK následne podpísané objekty vráti späť do systému, ktorý o podpis žiadal. Alternatívne bude možné si kópiu autorizovaného objektu stiahnuť na vlastné úložisko. Pri každej aktivite, ktorá sa bude týkať  podpísania vznikne auditný záznam.
320
321
322 1.
323 11.
324 111. Spôsoby autorizácie
325 1111. Autorizácia podania elektronickým podpisom používateľa pomocou eID alebo eDoPP
326
327 Autorizácia KEP v zmysle § 23 ods. 1 písm. a) bod 1  zákona č. 305/2013 Z.z. o e-Governmente a Autorizácia uznaným spôsob autorizácie podľa § 1 ods.1 písm. a) v zmysle Vyhlášky MIRRI SR č. 511/2022 Z.z. o uznaných spôsoboch autorizácie (ďalej ako „Vyhláška MIRRI SR č. 511/2022 Z.z.).
328
329 Prostredníctvom KEP bude možné podpísať každé elektronické podanie, rozhodnutie a ich prílohy, ktoré sa nachádzajú v ÚPVS. Pre výber a overenie možnosti použiť uznaný spôsob autorizácie bude zavedený krok pre overenie možnosti spôsobov autorizácie na základe údajov o službe z Meta IS repozitára. Po výbere spôsobu autorizácie (KEP, alebo uznaný spôsob autorizácie) bude požívateľovi pri realizácii podpisu ponúknutá možnosť výberu z jeho dostupných certifikátov. Po realizácii výberu bude vyzvaný na zadanie PIN k podpisovaciemu kľúču. V prípade, že boli predchádzajúce kroky úspešné, bude vytvorený elektronický podpis a podpisový kontajner podpisovaného objektu (podania, rozhodnutia, alebo prílohy). Používateľ dostane možnosť stiahnuť si už podpísaný objekt do lokálneho súboru.
330
331 1.
332 11.
333 111.
334 1111. Autorizácia funkciou prístupového miesta (AFPM)
335
336 Autorizácia  použitím na to určenej funkcie ústredného portálu alebo špecializovaného portálu v zmysle § 23 ods. 1 písm. a) bod 2 zákona č.305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e Governmente).
337
338 Jedná sa o zjednodušený proces autorizácie vybraných podaní a služieb odoslaním elektronického podania do elektronickej schránky OVM prostredníctvom ÚPVS alebo prostredníctvom špecializovaného portálu po opätovnej autentifikácii do prostredia ÚPVS. Osoba je  autentifikovaná najmenej na úrovni „pokročilá“. CPK poskytne GUI pre zabezpečenie svojej funkcionality.
339
340
341 Pri volaní tejto služby  CPK dôjde k nasledujúcim kontrolám:
342
343 * Volanie Služby CPK  vykonal systém s príslušným oprávnením,
344 * Zhoda SenderId / SubjectId - autentifikovaná osoba je zhodná s odosielateľom správy,
345 * Minimálny QAA Level 3 / Level of Assurance prihlásenia používateľa,
346 * Opätovné prihlásenie pred odoslaním podania sa bude kontrolovať vekom tokenu,
347 * Validácia nakonfigurovaných akceptovaných autorizačných prostriedkov pre službu a formulár v MetaIS (kód služby v METAIS),
348 * Kontrola zastupovania v prípade PO.
349
350
351 AFPM nebude k dispozícii pre podpis lokálne nahratého súboru (bez podania). Prílohy obsahujúce iné podpisy sa pomocou AFPM neautorizujú. Popis krokov pri AFPM:
352
353 |**ID**|**Krok**|**Realizátor**
354 |1.|Používateľ vyplní podanie|Konštruktor
355 |2.|Používateľ sa rozhodne autorizovať|Konštruktor
356 |3.|Aktivácia CPK, CPK preberie dokumenty a kontext|CPK
357 |4.|Používateľ vyberie AFPM|CPK
358 |5.|Zobrazenie náhľadu podania  s odkazom na prílohy.|CPK
359 |5.1|Zobrazenie upozornenia, že používateľ si vybral AFPM, bude vyzvaný na opätovné prihlásenie a že autorizáciou bude podanie aj odoslané.|CPK
360 |6.|Používateľ klikne na „Autorizovať a odoslať”|CPK
361 |7.|Používateľ sa autentifikuje minimálne na úrovni „pokročilá“ (pomocou eID alebo mID)|CPK
362 |8.|CPK overí autentifikáciu, identitu odosielateľa a zastupovanie|CPK
363 |8.1|CPK vytvorí pečate  CPK/MIRRI pre každý objekt ktorý nebol podpísaný|CPK
364 |8.2|CPK vytvorí autorizačnú informáciu, ktorú tiež zapečatí pečaťou CPK/MIRRI|CPK
365 |8.3|CPK vytvorí a odošle Sk-Talk správu do schránky adresáta v eDesk s rolou, ktorá mu umožní odoslať do G2G a odoslané podanie vloží do priečinka odoslaných správ prihláseného používateľa (SaveApplicationToOutbox)|CPK
366 |9|CPK odošle informáciu o realizácii autorizácie AFPM|CPK
367
368
369 Autorizačná informácia z bodu 8.2 bude realizovaná novou dátovou štruktúrou. Dátová štruktúra bude prenášaná ako objekt v správe s Class AUTHORIZATION, v ktorej uvedie údaje o autorizovaných dokumentoch, použitom spôsobe autorizácie ako aj údaje o samotnej autorizácii.  Štruktúra je navrhnutá tak, aby ju bolo možné v budúcnosti využiť aj pre iné spôsoby autorizácie. Detailný popis je v Prílohe č. 1 Opisu predmetu zákazky „Návrh dátovej štruktúry pre AFPM“.
370
371 Prijatie, spracovanie a overenie podania na strane G2G rozhrania ÚPVS, zobrazenie informácie o tomto spôsobe autorizácie v eDesk a overenie autorizácie v CEP nie sú predmetom zákazky  podľa tohto zadania.
372
373 Podpis viacerými osobami funkciou prístupového miesta (viac oprávnených osôb podpisuje jedno podanie v korektnom poradí) bude súčasťou fázy 2 v zmysle kapitoly 4.
374
375
376 1.
377 11.
378 111.
379 1111. Autorizácia eID 2.0 alebo eDoPP 2.0 s NFC rozhraním (podpisovanie na mobile)
380
381 Autorizácia KEP v zmysle § 23 ods. 1 písm. a) bod 1 zákona č.305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente).
382
383 Predpokladom pre tento scenár podpisovania:
384
385 * Aktivovaná mobilná aplikácia previazaná s konkrétnou identitou z IAM modulu,
386 * Podania, dokumenty, prílohy budú ukladané do momentu odoslania na dočasnom úložisku podporujúcom S3 protokol,
387 * V momente úspešnej autorizácie budú súbory z dočasného úložiska odstránené.
388
389 Proces podpísania prostredníctvom eID 2.0 prvku je podpisovaním KEP. Certifikáty budú však v tomto prípade prístupné prostredníctvom komunikačného protokolu NFC.
390
391 Existujúci eID framework v mobilnej aplikácii „Slovensko v mobile“ umožňuje komunikovať cez NFC s eID 2.0 a podpísať ľubovoľný textový reťazec pomocou certifikátov uložených na eID 2.0 zariadení s NFC chipom. Od používateľa si vypýta BOK a KEP PIN.  Pre podpísanie dokumentu sú potrebné nasledovné funkcionality:
392
393 * Získanie a vytvorenie DTBS/R reprezentácie dokumentu (Data To Be Signed Representation) podľa ETSI EN 319 102-1).  Aktivitu vykoná backend  CPK.
394 * Zobrazenie podpisovaného dokumentu používateľovi spolu s údajmi o podaní, type a názvu dokumentu a prípadnými už existujúcimi podpismi. Môže byť samotný dokument, alebo vygenerovaný náhľad. Návrh riešenia musí podporovať pravidlá prístupnosti.
395 * Vytvorenie bezpečného komunikačného kanálu a relácie medzi CPK a mobilnou aplikáciou.
396 ** Komunikačný kanál musí byť implementovaný v súlade s Normami **ETSI TS 119 101** a **ETSI TS 119 102,**
397 ** Mobilná aplikácia musí čítať URL uvedené v Push notifikácii a QR kóde a následne komunikovať s poskytnutými URL.
398 * Verifikácia platnosti podpisového certifikátu. Vykonávať sa bude na backende CPK.
399 * Konverzia dokumentu do štandardizovaného formátu. Vykonávať sa bude na backende CPK.
400 * Vytvorenie podpisu (zašifrovanie dát na podpis) v mobilnej aplikácii pomocou eID frameworku.
401 * Vloženie podpisu do dokumentu. Vykonávať sa bude na backende CPK.
402 * Získanie časovej pečiatky z CEP Vloženie časovej pečiatky volaním komponentu CEP, služby „              
403 *1.
404 *11.
405 *111. Autorizácia OVM
406
407 Pri Autorizácii OVM ide o nasledovné spôsoby a služby autorizácie vykonávanej pracovníkmi OVM:
408
409 * Vytvorenie elektronického podpisu odosielaného elektronického dokumentu, ktorý predstavuje autorizáciu vytváranie kvalifikovaných pečatí v zmysle § 23 ods. 1 zákona č.305/2013 Z.z. o e-Governmente náhradou alebo prepoužitím (integráciou) jestvujúcej funkcionality CEP (Modul centrálnej elektronickej podateľne, aplikačná služba METAIS kód=sluzba_is_1370, služby DITEC_CEP_PODPISANIE_DOKUMENTOV a DITEC_CEP_PODPISANIE_DOKUMENTOV2 podľa integračného manuálu CEP).
410 * Vytvorenie elektronického podpisu odosielaného elektronického dokumentu, ktorý predstavuje autorizáciu v zmysle § 23 ods. 3 zákona č.305/2013 Z.z. o e-Governmente - vytváranie kvalifikovaného podpisu konkrétnou osobou alebo osobou v konkrétnom postavení, kedy OVM na autorizáciu použije KEP vyhotovený s použitím mandátneho certifikátu, ku ktorému sa pripojí kvalifikovaná elektronická časová pečiatka. Vtedy musí CPK realizovať autorizáciu podľa kapitoly [[4.4.2 Autorizácia podania elektronickým podpisom používateľa pomocou eID alebo eDoPP>>url:https://upvi.sharepoint.com/sites/SITVS_dokumenty/OREG_Dokumenty/01_Centrálna_dátová_kancelária/NKIVS_Audit_SITVS%20(External)/CPK/Projektová%20dokumentácia%20pripravená/Príloha%20č.%201%20Opis%20predmetu%20zákazky.docx#_Autorizácia_podania_elektronickým]] alebo kapitoly [[4.4.4 Autorizácia eID 2.0 alebo eDoPP 2.0 s NFC rozhraním (podpisovanie na mobile)>>url:https://upvi.sharepoint.com/sites/SITVS_dokumenty/OREG_Dokumenty/01_Centrálna_dátová_kancelária/NKIVS_Audit_SITVS%20(External)/CPK/Projektová%20dokumentácia%20pripravená/Príloha%20č.%201%20Opis%20predmetu%20zákazky.docx#_Autorizácia_eID_2.0]] tohto dokumentu.
411
412 Autorizácia sa uskutoční volaním celej služby pečatenia z CEP. V CEP vzniká celý formát podpisu a podpisový kontajner. Spôsob integrácie na CEP je v [[integračnom manuáli.>>url:https://kp.gov.sk/pf/_layouts/PFSharePointProject/Login.aspx?ReturnUrl=%2fpf%2f_layouts%2fAuthenticate.aspx%3fSource%3d%252Fpf%252Fzdielane%255Fdokumenty%252FIntegr%25C3%25A1cia%2520na%2520UPVS%252F03%255FIntegra%25C4%258Dn%25C3%25A9%2520manu%25C3%25A1ly%252FCEP%252FUPG%252D1%252D1%252DIntegracny%255Fmanual%255FUPVS%255FCEP%2520v3%255F8%255F3%252Edocx&Source=%2Fpf%2Fzdielane%5Fdokumenty%2FIntegr%C3%A1cia%20na%20UPVS%2F03%5FIntegra%C4%8Dn%C3%A9%20manu%C3%A1ly%2FCEP%2FUPG%2D1%2D1%2DIntegracny%5Fmanual%5FUPVS%5FCEP%20v3%5F8%5F3%2Edocx]] V prípade, že uchádzač nedisponuje prístupovými údajmi k PFP portálu na nahliadnutie integračných manuálov, budú tieto manuály na vyžiadanie poskytnuté zo strany verejného obstarávateľa. Uchádzač môže kontaktovať e-mailovú adresu [[integracie@nases.gov.sk>>mailto:integracie@nases.gov.sk]], alebo využiť oficiálny kontakt uvedený vo verejnom obstarávaní.
413
414
415 1.
416 11.
417 111. Overovanie podpisov
418
419 CPK komponent bude podporovať viacnásobné podpisovanie (pridanie podpisu ďalšej osoby). Pri viacnásobnom podpisovaní treba  overiť a zobraziť už existujúce podpisy na podpisovanom objekte. CPK preto integruje službu CEP pre overenie podpisov a overenie AFPM tak, aby bola k dispozícii v procesoch a službách poskytovaných CPK. Overenie AFPM bude nová funkcionalita implementovaná v CEP. **Rozšírenie funkcionality CEP  pre overenie AFPM a jej využitie v procese zasielania podaní do eDesk nie je predmetom tejto zákazky.**
420
421
422 Overenie AFPM bude riešené rozšírením služieb CEP tak, aby služba overenia podpisu rozoznávala tento spôsob autorizácie podania. Overenie tohto typu autorizácie bude tiež doplnené do štandardného procesu overovania podpisov na správach zasielaných do eDesk, aby OVM mohli využiť výsledok overenia vo svojich procesoch spracovania podania podobným spôsobom, ako podania autorizované el. podpisom klienta
423
424
425 1.
426 11.
427 111. Odstránenie podpisov na nepodanom podaní - Odobratie podpisu
428
429 Komponent CPK má vystavovať aj službu, ktorá zabezpečí zrušenie podpisov na predtým podpísaných dokumentoch, tzv. „odpodpísanie“. Táto služba je implementovaná a poskytovaná v CEP a do CPK bude integrovaná, nebude ju duplicitne implementovať.
430
431
432 1.
433 11. Prehľad koncových služieb – budúci stav:
434
435 Samotný ISVS ma vystavenú jedinú koncovu službu “Vytvorenie a kontrola podpisov nahratého súboru”. Používatelia ktorými sú občania, podnikatelia, alebo OVM buď používajú ISVS cez túto službu alebo prostredníctvom KS iných ISVS ktoré v procese riešenia konkrétnych životných situácií potrebujú podpísať alebo pečatiť podanie, rozhodnutie alebo iný úradný dokument.
436
437 |(((
438 Kód KS
439
440 //(z MetaIS)//
441 )))|Názov KS|Používateľ KS //(G2C/G2B/G2G/G2A)//|(((
442 Životná situácia
443
444 //(+ kód z MetaIS)//
445 )))|Úroveň elektronizácie KS
446 |ks_37950|Vytvorenie a kontrola podpisov nahratého súboru|G2B / G2C / G2G / G2E|Nie je možné určiť ide cez viaceré|úroveň 4
447 | | | | |Vyberte jednu z možností
448 | | | | |Vyberte jednu z možností
449
450
451 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image006.png]][[image:1758714262218-833.png]]
452
453 Obrázok 2 Model biznis architektúry (aktéri-koncoví používatelia, koncové služby, procesy) – príklad
454
455
456 1.
457 11.
458 111. Jazyková podpora a lokalizácia
459
460 //Jazyková podpora e uvedená v katalógu požiadaviek . Pod čislami //ID_105, ID_106, ID_107, ID_108
461
462
463 1.
464 11.
465 111. Rozsah informačných systémov – AS IS
466
467
468 Uveďte dotknuté ISVS a ich moduly AS IS:
469
470 |**Kód ISVS **//(z MetaIS)//|**Názov ISVS**|(((
471 **Modul ISVS**
472
473 //(zaškrtnite ak ISVS je modulom)//
474 )))|(((
475 **Stav IS VS**
476
477 (AS IS)
478 )))|**Typ IS VS**|(((
479 **Kód nadradeného ISVS**
480
481 //(v prípade zaškrtnutého checkboxu pre modul ISVS)//
482 )))
483 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
484 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
485
486
487 1.
488 11.
489 111. Rozsah informačných systémov – TO BE
490
491
492 Z pohľadu ISVS sú v tabuľke uvedené dotknuté systémy:
493
494 |**Kód ISVS **//(z MetaIS)//|**Názov ISVS**|(((
495 **Modul ISVS**
496
497 //(zaškrtnite ak ISVS je modulom)//
498 )))|**Stav IS VS**|**Typ IS VS**|(((
499 **Kód nadradeného ISVS**
500
501 //(v prípade zaškrtnutého checkboxu pre modul ISVS)//
502 )))
503 |isvs_14363|Centrálny Podpisový Komponent|☐| Plánujem budovať| Ekonomický a administratívny chod inštitúcie|
504 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
505 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
506
507
508
509 1.
510 11.
511 111. Využívanie nadrezortných a spoločných ISVS – AS IS
512
513
514 |Kód IS|Názov ISVS|Spoločné moduly podľa zákona č. 305/2013  e-Governmente
515 | | |//Vyberte jednu z možností.//
516 | | |//Vyberte jednu z možností.//
517 | | |//Vyberte jednu z možností.//
518
519
520 1.
521 11.
522 111. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE
523
524 Z pohľadu integrácií sa budú využívať nasledovné nadrezortné a spoločné ISVS
525
526 |Kód IS|Názov ISVS|Spoločné moduly podľa zákona č. 305/2013  e-Governmente
527 |isvs_14363|Centrálny Podpisový Komponent|//Modul elektronického doručovania//
528 |isvs_14363|Centrálny Podpisový Komponent|//Autentifikačný modul//
529 |isvs_14363|Centrálny Podpisový Komponent|//Modul elektronických schránok//
530 |isvs_14363|Centrálny Podpisový Komponent|//Modulu elektronických formulárov//
531 |isvs_14363|Centrálny Podpisový Komponent|//Notifikačný modul//
532 |isvs_14363|Centrálny Podpisový Komponent|//Modul centrálnej elektronickej podateľne//
533 |isvs_14363|Centrálny Podpisový Komponent|//Centrálna API Manažment Platforma//
534 |isvs_14363|Centrálny Podpisový Komponent|//Slovensko v mobile//
535 |isvs_14363|Centrálny Podpisový Komponent|//METAIS/ Lokator//
536
537
538 1.
539 11.
540 111. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
541
542 V nasledujúcej tabuľke sú uvedené predpokladané integrácie na iné Informačné systémy
543
544 |(((
545 Kód ISVS
546
547 //(z MetaIS)//
548 )))|(((
549 Názov ISVS
550
551
552 )))|(((
553 Kód integrovaného ISVS
554
555 //(z MetaIS)//
556 )))|Názov integrovaného ISVS
557 |isvs_14363|Centrálny Podpisový Komponent|//N/A//|//SNCA - Overovanie certifikátov, časová pečiatka//
558 |isvs_14363|Centrálny Podpisový Komponent|//N/A//|//Lokálne podpisové aplikácie -rozlične štartovanie v Rel1 a Rel2//
559 | | | |
560
561
562
563 1.
564 11.
565 111. Aplikačné služby pre realizáciu koncových služieb – TO BE
566
567 V nasledujúcej tabuľke sú uvedené dotknuté aplikačné služby, ktoré budú vybudované v rámci projektu rozvoja
568
569
570 |(((
571 Kód AS
572
573 //(z MetaIS)//
574 )))|Názov  AS|(((
575 ISVS/modul ISVS
576
577 //(kód z MetaIS)//
578 )))|(((
579 Aplikačná služba realizuje KS
580
581 //(kód KS z MetaIS)//
582 )))
583 |as_65708|Získanie informácie o koncovej službe|isvs_14363|
584 |as_65710|Získanie poskytovateľov podpisových služieb|isvs_14363|
585 |as_65709|Získanie informácie o poskytovateľovi podpisových služieb|isvs_14363|
586 |as_65711|Vytvorenie elektronického podpisu|isvs_14363|ks_37950
587 |as_65712|Vytvorenie podpisu funkciou autorizácie prístupovým miestom (AFPM)|isvs_14363|
588 |as_65713|Stiahnutie podpísaného objektu|isvs_14363|
589 |as_65733|Pridanie poskytovateľa autorizačných služieb|isvs_14363|
590 |as_65728|Zmena poskytovateľa autorizačných služieb|isvs_14363|
591 |as_65729|Odstránenie podpisov na objekte – zrušenie podpisov|isvs_14363|
592 |as_65730|Kontrola podpisov na objekte|isvs_14363|ks_37950
593 |as_65731|Vytvorenie podpisu nahratého súboru|isvs_14363|ks_37950
594 |as_65732|Vytvorenie viacnásobného podpisu|isvs_14363|ks_37950
595 |as_66521|Využitie Spoločných modulov UPVS|isvs_14363|
596
597
598 1.
599 11.
600 111. Aplikačné služby na integráciu – TO BE
601
602
603 V rámci projektu nebude vytvorená aplikačná služba na integráciu
604
605
606 |(((
607 AS
608
609 (Kód MetaIS)
610 )))|(((
611
612
613 Názov  AS
614 )))|(((
615 Realizuje ISVS
616
617 (kód MetaIS)
618 )))|Poskytujúca alebo Konzumujúca|Integrácia cez CAMP|Integrácia s IS tretích strán|SaaS|(((
619 Integrácia na AS poskytovateľa
620
621 (kód MetaIS)
622 )))
623 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
624 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
625 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
626
627
628 1.
629 11.
630 111. Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
631
632 Z ISVS nebudú poskytované údaje do IS CSRU
633
634
635 |ID OE|Názov (poskytovaného) objektu evidencie|Kód ISVS poskytujúceho OE|Názov ISVS poskytujúceho OE
636 | | | |
637 | | | |
638 | | | |
639
640
641
642 1.
643 11.
644 111. Konzumovanie údajov z IS CSRU – TO BE
645
646 ISVS nebude konzumovať údaje z IS CSRU
647
648
649 |ID  OE|(((
650
651
652 Názov (konzumovaného) objektu evidencie
653 )))|Kód a názov ISVS konzumujúceho OE z IS CSRÚ|Kód zdrojového ISVS v MetaIS
654 | | | |
655 | | | |
656 | | | |
657
658
659
660 1.
661 11. Dátová vrstva
662
663
664 Navrhovaná štruktúra sa bude používať aktuálne pre autorizáciu odoslaním podania po predchádzajúcej autentifikácii. Štruktúra je navrhnutá tak, aby ju bolo možné využiť aj pre iné spôsoby autorizácie v budúcnosti.
665
666 **Zdôvodnenie potreby vytvorenia dátovej štruktúry:**
667
668 Štandard pre elektronické správy Sk-Talk a jednotný formát elektronických správ MessageContainer majú v súčasnosti pevne stanovené elementy, ktoré nie je možné využiť pre uvádzanie údajov o použitom spôsobe autorizácie. V prípade autorizácie vo formátoch zdokonalených elektronických podpisov ASiC, PAdES alebo v slovenských formátoch XAdES_ZEP, ZEPf (používaných podľa legislatívy účinnej do 30.6.2016) sa autorizácia objektu vyznačuje v atribúte IsSigned, na základe ktorého sa určuje, či sa má daný objekt považovať za autorizovaný a overiť štandardnými overovacími nástrojmi v elektronickej podateľni podporujúcimi tieto formáty podpisov. (V podateľniach sa štandardne overujú KEP/pečať, zdokonalený elektronický podpis založený na kvalifikovanom certifikáte, zdokonalený elektronický podpis kvalifikovanej služby validácie alebo kvalifikovanej služby uchovávania.)
669
670 Z uvedeného dôvodu sa pre tieto prípady navrhuje vytvoriť novú dátovú štruktúru prenášanú ako objekt v správe s Class AUTHORIZATION, v ktorej daný informačný systém (špecializovaný portál) uvedie údaje o použitom spôsobe autorizácie, ako aj údaje o samotnej autorizácii.
671
672 OVM si pre účely automatizovaného spracovania takejto formy autorizácie musia upraviť svoje informačné systémy tak, aby v doručenej správe vyhľadávali dátovú štruktúru v Class AUTHORIZATION a vyhodnocovali resp. zobrazovali jej obsah obdobne, ako v prípade výsledku overenia podpisov.
673
674 Za týmto účelom sa navrhuje aj úprava zobrazenia elektronickej správy v elektronickej schránke, aby zobrazovala v čitateľnej forme informáciu o použitom spôsobe autorizácie odoslaním.
675
676 | **Názov elementu**|**Typ**|**Kardinalita**|**Popis**
677 |AuthorizationInfo|Zložený typ|1|Štruktúra vkladaná do Sk-Talk pre identifikáciu typu autorizácie a súvisiacich údajov
678 |Authorization|Zložený typ|1..n|Obsahuje údaje o jednej autorizácii. Umožňuje viacnásobný výskyt pre každý autorizovaný dokument v správe.
679 |AuthorizedObjectId|Text|1|Identifikátor objektu v správe - v MessageContainer.
680 |AuthorizationType|Zložený typ|1|Typ autorizácie - povinný údaj. Číselníková hodnota podľa číselníka v METAIS Do budúcna môžu pribúdať rôzne ďalšie formy autorizácie.
681 Poznámka: V prípade autorizácie s KEP / AdES-QC sa nevypĺňa, nakoľko v takom prípade sa zohľadňuje atribút IsSigned pre daný objekt, z čoho vyplýva, že sa daný objekt má spracovať v elektronickej podateľni ako štandardný formát podpisu s kvalifikovaným certifikátom.
682 |CodelistCode| | |Použitý spôsob autorizácie (CL009011 - Základný číselník spôsobov autorizácie v METAIS)
683 |CodelistItem|Zložený typ|1|Položka číselníka
684 |ItemCode|Text|1|Kód položky
685 |ItemName|Text|1|Slovný názov typu autorizácie
686 |AuthorizationDateTime|DateTime|1|Dátum a čas autorizácie. Povinný udaj.
687 |SystemId|Text|0..1|Identifikácia informačného systému, pomocou ktorého bola vykonaná autorizácia (primárne by mal byť použitý kód ISVS podľa METAIS). Povinný v závislosti od typu autorizácie. V prípade autorizácie odoslaním podania po opakovanej autentifikácii sa uvádza povinne.
688 |AuthorizedBy|Zložený typ|1|Identifikačné údaje osoby, ktorá autorizovala dokument. V prípade autorizácie vo vlastnom mene sa v položkách ActorId a SubjectId uvádza rovnaká hodnota.  V prípade autorizácie odoslaním podania s opakovanou autentifikáciou v zastúpení sa uvádza údaj o zastupujúcej osobe v ActorId aj o zastúpenej osobe v SubjectId.
689 |Actor|Zložený typ|1|
690 |ActorID|Text| |
691 |Actor.FormattedName|Text| |
692 |Actor.IssuerForeignerID|Text| |Kód krajiny vydávajúcej identifikátor osoby
693 |Delegation|Číslo| |Typ zastupovania – používa sa najmä zákonné zastupovanie, potrebné pre spracovanie niektorých typov žiadostí (napr. § 16 ods. 6 zákona eGov).
694 |DelegationMediatorID|Text| |ID zastupovania (atribút uvádzaný v SAML tokene prihlásenej a autorizujúcej osoby)
695 |Subject|Zložený typ|1|
696 |SubjectID|Text| |
697 |Subject.FormattedName|Text| |
698 |AuthorizationDocument|Zložený typ|1..n|Povinný min. 1 súbor preukazujúci vykonanú autorizáciu  - obsah elektronického podpisu (pečate) autorizovaného dokumentu. V ďalšom preukazujúcom dokumente môže byť poskytnutý ďalší dôkaz, napr. záznam v LogFile
699 |Type|Text|1|Typ preukazujúceho súboru (vymenované hodnoty): Signature (preferovaný typ), LogFilerecord
700 |Document|Text|1|Hodnota preukazujúceho dokumentu zakódovaná do base64 (pre preferovaný typ Signature bude preukazujúcim dokumentom META-INF\*signature*.* z ASIC kontajnera alebo export podpisu z PDF dokumentu vo formáte PADES príslušného autorizovaného objektu.)
701
702
703 1.
704 11.
705 111. Údaje v správe organizácie
706
707
708 Uvedené vyššie
709
710
711 1.
712 11.
713 111. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE
714
715 Uvedené vyššie
716
717
718 1.
719 11.
720 111. Referenčné údaje
721
722 V rámci projektu nebudú vytvárané referenčné údaje
723
724
725 1.
726 11.
727 111.
728 1111. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné
729
730 Irelevantné
731
732
733 |**ID OE**|(((
734 **Názov referenčného registra /objektu evidencie**
735
736 //(uvádzať OE z tabuľky v kap. 4.3.2)//
737 )))|**Názov referenčného údaja **(atribúty)|**Identifikácia subjektu, ku ktorému sa viaže referenčný údaj**|**Zdrojový register a registrátor zdrojového registra**
738 | | | | |
739 | | | | |
740 | | | | |
741
742
743 1.
744 11.
745 111.
746 1111. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CSRU
747
748 Irelevantné
749
750
751 |ID OE|(((
752 Názov referenčného údaja /objektu evidencie
753
754 //(uvádzať OE z tabuľky v kap. 4.3.2)//
755 )))|Konzumovanie / poskytovanie|Osobitný právny predpis pre poskytovanie / konzumovanie údajov
756 | | |Vyberte jednu z možností.|
757 | | |Vyberte jednu z možností.|
758 | | |Vyberte jednu z možností.|
759
760
761 1.
762 11.
763 111. Kvalita a čistenie údajov
764
765 Irelevantné pre projekt
766
767 1.
768 11.
769 111.
770 1111. Zhodnotenie objektov evidencie z pohľadu dátovej kvality
771
772 Irelevantné pre projekt
773
774
775 |ID OE|(((
776 Názov Objektu evidencie
777
778 //(uvádzať OE z tabuľky v kap. 4.3.2)//
779 )))|(((
780 Významnosť kvality
781
782 //1 (malá) až 5 (veľmi významná)//
783 )))|(((
784 Citlivosť kvality
785
786 //1 (malá) až 5 (veľmi významná)//
787 )))|(((
788 Priorita //– poradie dôležitosti//
789
790 //(začnite číslovať od najdôležitejšieho)//
791 )))
792 | | | | |
793 | | | | |
794 | | | | |
795
796
797 1.
798 11.
799 111.
800 1111. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality
801
802 Irelevantné pre projekt. Vzhľadom, že povaha projektu nie je dátového charakteru, nebudú nižšie uvedené pozície na projekte využité.
803
804
805 |Rola|Činnosti|Pozícia zodpovedná za danú činnosť (správca ISVS / dodávateľ)
806 |**Dátový kurátor**|Evidencia požiadaviek na dátovú kvalitu, monitoring a riadenie procesu|Dátový kurátor správcu IS
807 |**Data steward**|Čistenie a stotožňovanie voči referenčným údajom|Pracovník IT podpory
808 |**Databázový špecialista**|Analyzuje požiadavky na dáta, modeluje obsah procedúr|Dodávateľ
809 |**Dátový špecialista pre dátovú kvalitu**|Spracovanie výstupov merania, interpretácie, zápis biznis pravidiel, hodnotiace správy z merania|Dátový špecialista pre dátovú kvalitu – nová interná pozícia v projekte
810 |***Iná rola (doplniť)**| |
811
812
813 1.
814 11.
815 111. Otvorené údaje
816
817 Irelevantné pre projekt
818
819
820 |(((
821 Názov objektu evidencie / datasetu
822
823 //(uvádzať OE z tabuľky v kap. 4.3.2)//
824 )))|(((
825
826
827 Požadovaná interoperabilita
828
829 (//3★ - 5★)//
830 )))|(((
831 Periodicita publikovania
832
833 //(týždenne, mesačne, polročne, ročne)//
834 )))
835 | |Vyberte jednu z možností.|Vyberte jednu z možností.
836 | |Vyberte jednu z možností.|Vyberte jednu z možností.
837 | |Vyberte jednu z možností.|Vyberte jednu z možností.
838 | |Vyberte jednu z možností.|Vyberte jednu z možností.
839 | |Vyberte jednu z možností.|Vyberte jednu z možností.
840 | |Vyberte jednu z možností.|Vyberte jednu z možností.
841
842
843 1.
844 11.
845 111. Analytické údaje
846
847 Irelevantné pre projekt
848
849
850 |ID|Názov objektu evidencie pre analytické účely|Zoznam atribútov objektu evidencie|Popis a špecifiká objektu evidencie
851 | |//napr. Dataset vlastníkov automobilov//|//identifikátor vlastníka; EČV; typ_vozidla; okres_evidencie;...//|//- dataset obsahuje osobné informácie (r.č. vlastníka)//
852 | | | |
853 | | | |
854
855
856 1.
857 11.
858 111. Moje údaje
859
860 Irelevantné pre projekt
861
862
863 |ID|(((
864 Názov registra / objektu evidencie
865
866 //(uvádzať OE z tabuľky v kap. 4.3.2)//
867 )))|Atribút objektu evidencie|Popis a špecifiká objektu evidencie
868 | | | |
869 | | | |
870 | | | |
871 | | | |
872
873
874 1.
875 11.
876 111. Prehľad jednotlivých kategórií údajov
877
878 Irelevantné pre projektu
879
880
881 |ID|(((
882 Register / Objekt evidencie
883
884 //(uvádzať OE z tabuľky v kap. 4.3.2)//
885 )))|Referenčné údaje|Moje údaje|Otvorené údaje|Analytické údaje
886 | | |☐|☐|☐|☐
887 | | |☐|☐|☐|☐
888 | | |☐|☐|☐|☐
889 | | |☐|☐|☐|☐
890 | | |☐|☐|☐|☐
891 | | |☐|☐|☐|☐
892
893
894 1.
895 11. Technologická vrstva
896
897
898 1.
899 11.
900 111. Prehľad technologického stavu - AS IS
901
902 N/A
903
904
905 1.
906 11.
907 111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
908
909
910 Doplňte pre TO BE stav do nasledujúcej tabuľky požiadavky na výkonnostné parametre, kapacitné požiadavky, ktoré majú vplyv na výkon, sizing prostredia, napr. počet interných používateľov, počet externých používateľov, počet spracovávaných procesov, dokumentov, komunikáciu medzi vrstvami architektúry IS, využívanie sieťovej infraštruktúry (Govnet, LAN, VPN, …).
911
912 |Parameter|Jednotky|Predpokladaná hodnota|Poznámka
913 |Počet interných používateľov|Počet|9000|Pocet OVM krat pocet zodpo. Zamestnancov
914 \\4500 platných certifikátov
915 |Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|2000|20-25%?
916 |Počet externých používateľov (internet)|Počet|4,500,000|Rádovo miliony
917 |Počet externých používateľov používajúcich systém v špičkovom zaťažení|Počet|10,000|10-40%
918 |Počet transakcií (podaní, požiadaviek) za obdobie|Počet/obdobie|25 tisíc denne|štatistiky
919 |Objem údajov na transakciu|Objem/transakcia|1 MB|Štatistiky,
920
921 |Objem existujúcich kmeňových dát|Objem| |Vzhľadom k tomu, že sa jedná o technické riešenie, nie je potrebné uchovávať kmeňové dáta.
922 |Ďalšie kapacitné a výkonové požiadavky ...| | |
923
924
925 1.
926 11.
927 111. Návrh riešenia technologickej architektúry
928
929 Návrh riešenia technologickej architektúry je v Projektovom zámere
930
931
932 1.
933 11.
934 111. Využívanie služieb z katalógu služieb vládneho cloudu
935
936 Projekt bude prevádzkovaný v prostredí NASES alebo vo vládnom cloude. Konkrétne typy databáz, aplikačných serverov, úložísk a iných infraštrukturálnych služieb budú identifikované vo fáze Analýza a dizajn projektu. Zatiaľ je vytvorený len predbežný návrh a modelový príklad vychádzajúci z využitia infraštruktúrnych služieb podľa názvoslovia používaného v NASES.
937
938 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image007.png]][[image:1758714307028-452.png]]
939
940 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance) (NASES ma aj  alternativu Hyperflex - IaaS kde bezi virtualizovane prostredie)
941
942
943 -obe ralizuju VM a na nich pobezi
944 ~-~- K8S **PaaS **(Kubernetes Platform as a Service)
945
946 ~-~- DB as **PaaS**
947
948 ~-~- Storage **PaaS **(Storage as a Service)
949
950
951 Nižšie uvedená tabuľka nie je uvedené z dôvodu že zatial pracujeme len s generickou typologiu služieb a ešte neboli vybrane finálne PaaS a IaaS konkrétnych dodavateľov uvádzané v MetaIS.
952 \\
953
954
955 |(((
956
957
958 Kód infraštruktúrnej služby
959
960 //(z MetaIS)//
961 )))|Názov infraštruktúrnej služby|(((
962 **Kód využívajúceho ISVS**
963
964 //(z MetaIS)//
965 )))|**Názov integrovaného ISVS**
966 |TBD|TBD|//CPK//|//TBD//
967 | | | |
968 | | | |
969 | | | |
970
971
972 V nižšie uvedenej tabuľke je predpokladané využitie infraštruktúrnych služieb pre definované prostredia, pričom ich detailizácia a väzba na katalóg požiadaviek bude doplnená po fáze Analýza a dizajn projektu.
973
974
975 |(% rowspan="2" %)Prostredie|(% rowspan="2" %)(((
976
977
978 Kód infraštruktúrnej služby
979
980 //(z MetaIS)//
981 )))|(% rowspan="2" %)Názov infraštruktúrnej služby/ Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla |(% colspan="4" %)Požadované kapacitné parametre služby
982 (doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
983 |Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)
984 |Vývojové| |(((
985 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
986
987 K8S **PaaS **(Kubernetes Platform as a Service)
988
989 DB as **PaaS**
990
991 Storage **PaaS **(Storage as a Service)
992 )))|100|Tier 2|2|4
993 |Testovacie| |(((
994 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
995 8S **PaaS **(Kubernetes Platform as a Service)
996
997 DB as **PaaS**
998
999 Storage **PaaS **(Storage as a Service)
1000 )))|100|Tier 2|2|4
1001 |Produkčné| |(((
1002 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
1003 8S **PaaS **(Kubernetes Platform as a Service)
1004
1005 DB as **PaaS**
1006
1007 Storage **PaaS **(Storage as a Service)
1008 )))|300|Tier 1|16|36
1009 |(((
1010 ďalšie...
1011
1012 (uviesť názov)
1013 )))| | | | | |
1014
1015
1016 |Prostredie|Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu (stručný popis / názov)|(((
1017 Kód služby
1018
1019 //(z MetaIS)//
1020 )))|Parametre pre službu (doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
1021 |Vývojové|(((
1022 Backup as a Service (BaaS)
1023
1024 Monitoring as a Service (MaaS)
1025
1026 Azure Kubernetes Service (AKS)
1027
1028
1029 )))|(((
1030 infra_sluzba_229
1031
1032 infra_sluzba_230
1033
1034 infra_sluzba_635
1035 )))|
1036 |Testovacie|(((
1037 Backup as a Service (BaaS) Monitoring as a Service (MaaS)
1038
1039 Azure Kubernetes Service (AKS)
1040
1041
1042 )))|(((
1043 infra_sluzba_229
1044
1045 infra_sluzba_230
1046
1047 infra_sluzba_635
1048 )))|
1049 |Produkčné|(((
1050 Backup as a Service (BaaS) Monitoring as a Service (MaaS)
1051
1052 Azure Kubernetes Service (AKS)
1053
1054
1055 )))|(((
1056 infra_sluzba_229
1057
1058 infra_sluzba_230
1059
1060 infra_sluzba_635
1061 )))|
1062 |(((
1063 ďalšie...
1064
1065 (uviesť názov)
1066 )))| | |
1067
1068 //Toto len ak by to malo napríklad vlastny IAM, backup alebo monitoringg....//
1069
1070 [[Katalóg služieb Vládneho cloudu SR>>url:https://katalog.statneit.sk/index.php?s_ziadost_ID=&s_sl_typ_name=&s_uroven_Name=&s_ziadost_Nazov=Azure+Kubernetes+Service&s_ziadatel_Nazov=&s_ziadost_Zakladny_popis_sluzby=&s_ziadost_Klasifikacia_Sluzby=&s_ziadost_key_words=&s_kat_serv_name=&tb_ziadatel_tb_kategoriaPageSize=]]
1071
1072
1073 1.
1074 11. Bezpečnostná architektúra
1075
1076 Realizovaný projekt bude v súlade s právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS,  pre manipuláciu so samotnými dátami, alebo technické/technologické/personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:
1077
1078 * Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
1079 * Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
1080 * Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
1081 * vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
1082 * vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
1083 * vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
1084 * Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
1085 * Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
1086
1087 V rámci verejného obstarávania bude definovná požiadavka na dodávateľa, aby bol dodaný ISVS v súlade s vyššie uvedenými normami.
1088
1089 Súčasťou dodávky bude aj bezpečnostný projektu
1090
1091
1092 1. Závislosti na ostatné ISVS / projekty
1093
1094 V nasledujúcej tabuľke sú uvedené závislosti projektu na iných projektoch
1095
1096
1097 |Stakeholder|(((
1098 Kód projektu /ISVS
1099
1100 //(z MetaIS)//
1101 )))|Názov projektu /ISVS|Termín ukončenia projektu|Popis závislosti
1102 |//MIRRI/NASES//|//projekt_2383//|//Slovensko3.0//|//2Q 2026//|//Dotknuté moduly a komponenty Slovensko 3.0 relevantné pre CPK//
1103 | | | | |
1104 | | | | |
1105
1106
1107
1108 1. Zdrojové kódy
1109
1110 Bude dodržaný princíp otvorenosti, tzn. duševným vlastníkom všetkých výstupov, vrátane technológie a zdrojového kódu bude štát. Výnimku predstavuje Preexistentný zdrojový kód, na ktorý sa vzťahuje osobitný právny režim.
1111
1112
1113 1. Prevádzka a údržba
1114
1115 Poskytovateľ služby je povinný zabezpečiť prevádzkovú podporu dodávaného diela  a všetkých jeho súčastí na obdobie dvoch (2) rokov s možnosťou opcie na nasledujúce dva (2) roky.
1116
1117 1.
1118 11. Úrovne podpory používateľov
1119
1120 Verejný obstarávateľ požaduje, aby  poskytovateľ služby realizoval Help Desk nasledovnej úrovne podpory
1121
1122 * **L1 podpora:** (Level 1) – Jednotný priamy kontakt pre používateľov nového riešenia. Zabezpečené zamestnancami verejného obstarávateľa a/alebo ním určených osôb.
1123 * **L2 podpora:** (Level 2) – Postúpenie požiadaviek od L1 podpory. Zabezpečené zamestnancami verejného obstarávateľa a/alebo ním určených osôb.
1124 * **L3 podpora:** (Level 3) – Postúpenie požiadaviek od L2, prípadne L1 podpory. Zabezpečené Poskytovateľom služby na základe uzavretej zmluvy.
1125
1126
1127 **Pre prevádzkovú podporu sú definované takéto SLA:**
1128
1129 * Help Desk je dostupný prostredníctvom telefonického kontaktu alebo e-mailu.
1130 * Dostupnosť L2 a L3 podpory pre IS je 10x7 (10 hodín x 7 dní v týždni od 8:00h do 18:00h ).
1131 *1. Riešenie incidentov – SLA parametre
1132
1133 Za incident je považovaná chyba IS, t. j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou.
1134
1135 * **označenie naliehavosti incidentu:**
1136
1137 |**Označenie naliehavosti incidentu**|**Závažnosť  incidentu**|**Popis naliehavosti incidentu**
1138 |**A**|**Kritická**|Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. Za kritickú chybu sa považuje nemožnosť podpísať podanie akýmkoľvek spôsobom, teda chyba na úrovni CPK.
1139 |**B**|**Vysoká**|Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňujú používať časť systému.
1140 |**C**|**Stredná**|Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.
1141 |**D**|**Nízka**|Kozmetické a drobné chyby.
1142
1143 * **možný dopad:**
1144
1145 |**Označenie závažnosti incidentu**|**Dopad**|**Popis dopadu**
1146 |**1**|**katastrofický**|katastrofický dopad, priamy finančný dopad alebo strata dát,
1147 |**2**|**značný**|značný dopad alebo strata dát
1148 |**3**|**malý**|malý dopad alebo strata dát
1149
1150
1151 * **výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:**
1152
1153 |(% colspan="2" rowspan="2" %)**Matica priority incidentov**|(% colspan="3" %)**Dopad**
1154 |**Katastrofický - 1**|**Značný - 2**|**Malý - 3**
1155 |(% rowspan="4" %)**Naliehavosť**|**Kritická - A**|1|2|3
1156 |**Vysoká - B**|2|3|3
1157 |**Stredná - C**|2|3|3
1158 |**Nízka - D**|3|3|3
1159
1160
1161 * **vyžadované reakčné doby:**
1162
1163 |**Označenie priority incidentu**|**Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu**|**Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^**
1164 |**1**|Do 10 min.|Do 4 hodín
1165 |**2**|Do 30 min.|Do 12 hodín
1166 |**3**|Do 60 min.|Do 10 dní
1167
1168 Za odstránenie chyby sa považuje aj nasadenie dočasného náhradného riešenia zo strany poskytovateľa služby umožňujúceho pokračovať v prevádzke, na nevyhnutne nutnú dobu.(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L2 a L3 a jeho prevzatím na riešenie.
1169
1170 (2) Doba konečného vyriešenia incidentu (DKVI) znamená obnovenie štandardnej prevádzky - čas medzi  nahlásením incidentu verejným obstarávateľom a vyriešením incidentu Poskytovateľom služby (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je Poskytovateľ služby oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.
1171
1172 Incidenty nahlásené verejným obstarávateľom  Poskytovateľovi v rámci testovacieho prostredia:
1173
1174 1. Majú prioritu 3 a nižšiu.
1175 1. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia.
1176 1. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.
1177
1178 Vyššie uvedené SLA parametre pre prevádzkovú podporu nebudú použité pre nasledovné služby:
1179
1180 * Služby systémovej podpory na požiadanie (nad paušál).
1181 * Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál).
1182 *1. Výkonnosť a dostupnosť služieb
1183
1184 |**//Popis//**|**//Parameter//**|**//Poznámka//**
1185 |**//Prevádzkové hodiny//**|24 hodín|24 hodín x 7dní od 00:00h do 24:00:h vrátane sviatkov
1186 |**//Servisné okno//**|8 hodín|(((
1187 * Plánovaný výpadok je oznámený minimálne 14 dní vopred.
1188 * Plánovaný výpadok nie je dlhší ako 8 hodín a je prioritne medzi 22:00 – 06:00, sobota alebo nedeľa.
1189 )))
1190 |**//Dostupnosť produkčného prostredia IS//**|99,95%|(((
1191 * 99,95 % z 24/365 dní, t.j. max. výpadok je 4.4 hodín.
1192 * Maximálny týždenný výpadok je v rozsahu do 1 hodiny.
1193 * Nedostupnosť IS sa počíta od momentu zaevidovania incidentu verejným obstarávateľom.  Do dostupnosti IS nie sú započítané servisné okná a plánované odstávky IS.
1194 * V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.
1195 )))
1196 |**//RPO//**|Od 8 do 24 hodín|Poskytovateľ služby vie zabezpečiť riešenia tak, aby boli minimalizované časy pre obnovenie riešenia a minimalizovaná doba výpadku.
1197 |**//RTO//**|Do 24 hodín|Poskytovateľ služby vie zabezpečiť riešenia tak, aby boli minimalizované časy pre obnovenie riešenia a minimalizovaná doba výpadku.
1198 |**//Zálohovanie//**|5 predchádzajúcich dní|Záloha databázy bude vykonávaná pravidelne, garantovaná bude dostupnosť vždy k verziám z piatich (5) predchádzajúcich dní
1199 |**//Prístup k logom//**|n/a|Zabezpečenie logov systému, ktoré umožnia verejnému obstarávateľovi vyhodnotiť splnenie požiadaviek na úroveň služieb (SLA) a dostupnosti systému (odozva systému, dokončenie spracovania v definovaných lehotách, dostupnosť systému, atď.).
1200 |**//Odozva služieb pri testovaní záťaže systému//**|n/a|(((
1201 •   80% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu kratšiu alebo rovnú 2 sekundy,
1202
1203 •   15% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu kratšiu alebo rovnú 5 sekúnd,
1204
1205 •   5% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu najviac 10 sekúnd,
1206
1207 •   Simulácia sa vykonáva podľa dát z reálnej prevádzky existujúcich služieb ÚPVS (podklad poskytne verejný obstarávateľ),
1208
1209 •   V prípade volania externých služieb sa meria iba overhead na strane dodaného systému a nie čas odozvy.
1210
1211 •   Počet volaní a interakcia s koncovými používateľmi je určená podľa špičiek v prevádzke Pondelok – Piatok, 07:00 – 13:00 prebehne 90% všetkých volaní služieb, z toho v pondelok prebehne 25% všetkých volaní.
1212 )))
1213
1214
1215 1.
1216 11. Služby riadenia systémovej a aplikačnej podpory (paušál)
1217
1218 Servisné služby vzťahujúce sa na produkčné aj testovacie prostredie systému, ktoré je prevádzkované v infraštruktúre vládneho cloudu medzi ktoré patria: činnosti správy a údržby systémového softvéru a  systému  (vrátane kontroly príslušných operačných systémov, kontroly logov, naplnenosti diskového priestoru, operačnej pamäte, správy komunikačnej matice pre jednotlivé služby produktov, sledovania informácií výrobcov a dodávateľov zariadení, príslušných bezpečnostných riešení, patchov a nutných aktualizácií, správa služieb infraštruktúry (DNS, NTP, VPN), monitorovanie vyťaženosti systému, monitorovanie sieťovej komunikácie, monitorovanie naplnenosti databáz, správa certifikátov interných/externých, prideľovanie systémových prostriedkov (CPU, Disk, RAM), vytváranie záloh, nasadzovanie nových verzií, riešenie úloh, vykonávanie preventívnej údržby, udržiavanie systému v súlade s bezpečnostnou dokumentáciou, súčinnosť a odstraňovanie zistení z bezpečnostného auditu.
1219
1220 Servisné služby budú realizované so zámerom:
1221
1222 * Uvedenie systému  do plne funkčného stavu alebo poskytnutie náhradného riešenia (po poruchách, chybách) podľa definovaných parametrov  pre produkčné prostredie pre nové riešenie CPK.
1223 * Podpora systémového softvéru a aplikačného softvéru  v produkčnom aj testovacom prostredí (vrátane riešenia vzniknutých problémov).
1224 * Nasadzovanie nových verzií aplikačného programového vybavenia do testovacieho a produkčného prostredia.
1225 * Lokalizácia potenciálnych problémov pri používaní prostredia.
1226 * Optimalizácia prevádzky na základe odsúhlasených návrhov riešení.
1227 * Aktualizácia prevádzkovej, používateľskej a bezpečnostnej dokumentácie vyplývajúcej z aktuálneho nastavenia systému.
1228 * Poskytovanie podpory pri integrácii CPK s inými systémami a aplikáciami používanými objednávateľom.
1229
1230
1231 1.
1232 11. Činnosti správy a údržby systémového softvéru a aplikačného softvéru  vykonávané priebežne (paušál)
1233
1234 **Priebežná správa a údržba CPK**
1235
1236 Tieto činnosti sa vykonávajú v pravidelných intervaloch s cieľom preventívne identifikovať možné problémy. Ide zväčša o monitorovanie a kontrolovanie definovaných parametrov na základe vopred definovaného profylaktického plánu. Výsledky kontrol budú evidované v reporte s návrhom preventívnych akcií na elimináciu neštandardných stavov systému.
1237
1238 **Evidencia a reportovanie**
1239
1240 * **Spracovávanie požadovaných reportov a operatívnych informácií**: O stave prevádzky, poskytovania služieb, výsledkoch monitoringu, kontrol a auditov.
1241 * **Vedenie technických a prevádzkových evidencií**: Vrátane technickej dokumentácie, nastavení parametrov, evidencie technických prostriedkov, používateľských príručiek, evidencie dodávateľov a kontaktných osôb.
1242 * **Poskytovanie štatistických informácií**: Pre verejného obstarávateľa a ním určené osoby.
1243
1244
1245 Evidencia a reportovanie bude stanovené po vzájomnej dohode medzi poskytovateľom služby a verejným obstarávateľom.
1246
1247
1248 **Zabezpečovanie kvality služieb**
1249
1250 Predkladanie návrhov opatrení na zlepšenie kvality služieb prevádzky a implementáciu schválených opatrení:
1251
1252 * **Plánovanie a riadenie preventívnej údržby**
1253 * **Riadenie preventívnej údržby a opráv**: Vrátane prevádzkových a bezpečnostných auditov.
1254 * **Riadenie vnútorných procesov**: A spolupráce s ostatnými zložkami.
1255
1256
1257 **Administrácia a manažment:**
1258
1259 * konfigurovanie a správa diskových subsystémov,
1260 * vytváranie, konfigurovanie a rušenie prístupových účtov v OS,
1261 * vytváranie a rušenie adresárových štruktúr,
1262 * prideľovanie,  odoberanie a správa prístupových práv,
1263 * správa bezpečnostnej a skupinovej politiky,
1264 * rekonfigurácia parametrov operačných systémov a systémového aplikačného vybavenia,
1265 * plánovaný a neplánovaný shutdown, reštart alebo štart systému, odpájanie a zapájanie systémov,
1266 * inštalácia aktualizácií a patchov štandardného systémového softvéru,
1267 * vytváranie a evidencia firewallových pravidiel,
1268 * konfigurovanie integrácií na iné informačné systémy verejnej správy.
1269 * Implementácia a udržiavanie bezpečnostných opatrení na ochranu údajov spracovávaných prostredníctvom CPK, vrátane šifrovania a kontrol prístupu.
1270
1271 **Zálohovanie a obnova:**
1272
1273 * konfiguračný manažment zálohovacieho systému,
1274 * zálohovanie a obnova systémového softvéru,
1275 * vytváranie, konfigurácia a správa zálohovacích scriptov,
1276 * vykonávanie pravidelných a nepravidelných záloh systému,
1277 * evidencia a správa systému záloh,
1278 * obnova systémového softvéru (OS + systémové utility),
1279 * obnova konfigurácie a parametrov komponentov,
1280 * zálohovanie a obnova databáz.
1281
1282 **Monitoring:**
1283
1284 Dodávateľ špecifikuje optimálne nastavenie monitorovania udalostí dodávaného riešenia v produkčnom prostredí, a neprodukčných prostrediach (napr. testovacie prostredie). Monitoringové udalosti budú v reálnom čase doručované do **existujúcich monitoringových nástrojov verejného obstarávateľa**.  Monitoring pokrýva minimálne tieto oblasti:
1285
1286 * bezpečnostný monitoring,
1287 * aplikačný monitoring,
1288 * infraštruktúrny monitoring,
1289 * reporting zraniteľností,
1290 * výkonnostný / kapacitný monitoring,
1291 * monitorovanie dostupnosti a odozvy,
1292 * monitorovanie dostupnosti a odozvy HW,
1293 * monitorovanie kapacity dostupných zdrojov,
1294 * monitorovanie kapacity dostupných HW zdrojov,
1295 * monitorovanie diskových subsystémov,
1296 * monitorovanie vyťaženia operačnej pamäte a CPU,
1297 * monitorovanie výkonnosti sieťových subsystémov,
1298 * monitorovanie prírastkov databáz a transakčných logov,
1299 * monitorovanie indexov a konzistencie databáz,
1300 * kontrola vykonávania pravidelných backupov,
1301 * monitorovanie prevádzkových udalostí
1302 * kontrola integrity kritických systémových súborov.
1303 *1. Požiadavky služby systémovej podpory na požiadanie (nad paušál)
1304
1305 Prevádzkové činnosti, ktoré budú poskytované nad rámec služieb v rámci systémovej a aplikačnej podpory (SLA):
1306
1307 * Riešenie systémových a prevádzkových chýb súvisiacich s potrebou funkčnej úpravy nastavených procesov;
1308 * Školenia garantov a používateľov;
1309 * Poskytovanie služieb odborných a technických konzultácii nad rámec činností uvedených v rámci SLA (tento dokument) v kapitole 1.1.1;
1310 * Ďalšie činnosti a služby aplikačnej podpory súvisiace so zabezpečením prevádzky systému;
1311 * Aktualizácia používateľskej a technickej dokumentácie po každej zmene systému;
1312 *1. Požiadavky služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)
1313
1314 Činnosti súvisiace s rozvojom systému. Tieto činnosti zahŕňajú implementáciu schválených požiadaviek používateľov na zmenu funkčnosti systému najmä:
1315
1316 * Rozširovanie funkcionality systému - Analýza, návrh a vývoj rozšírenia, vylepšenia a/alebo modifikácie aplikačného softvéru, na základe metodických a/alebo legislatívnych zmien;
1317 * Vykonanie úprav v nastavení modulov systému voči implementovanej funkčnosti a existujúcim nastaveniam;
1318 * Programovanie nových funkcií v rámci existujúcich modulov systému;
1319 * Vykonávanie úprav do existujúcich integračných rozhraní;
1320 * Programovanie a implementácia nových integračných rozhraní;
1321 * Realizácia testov podľa testovacích scenárov;
1322 * Projektové riadenie zmien v zmysle Vyhlášky MIRRI SR č. 401/2023 z 9. októbra 2023 o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
1323 * Aktualizácia používateľskej a technickej dokumentácie po každej zmene systému.
1324
1325 Zmena funkčnosti zahŕňa pridanie, modifikáciu alebo zrušenie akejkoľvek časti systému a súvisiacej dokumentácie. Zmena funkčnosti môže byť vyvolaná legislatívnou požiadavkou a/alebo požiadavkou používateľov na zlepšenie existujúcej funkcionality alebo zavedenie novej funkcionality v novom riešení CPK.
1326
1327
1328 1. Požiadavky na personál
1329
1330 Podrobne uvedené v Projektovom zámere.
1331
1332
1333 1. Implementácia a preberanie výstupov projektu
1334
1335 Implementácia a preberanie výstupov projektu budú realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.
1336
1337
1338 1. Prílohy
1339
1340 N/A