Version 3.1 by Peter Ďuriš on 2025/10/06 14:33
Show last authors
1 **PRÍSTUP K PROJEKTU**
2
3 **~ Vzor pre manažérsky výstup I-03**
4
5 **podľa vyhlášky MIRRI č. 401/2023 Z. z. **
6
7
8
9 |Povinná osoba|Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
10 |Názov projektu|Centrálny podpisový komponent (Podpisový komponent)
11 |Zodpovedná osoba za projekt|Milan Patráš / Projektový manažér
12 |Realizátor projektu|SITVS, MIRRI SR 
13 |Vlastník projektu|Jaroslav Chovanec, Milan Patráš / Produktový manažér
14
15 **Schvaľovanie dokumentu**
16
17 |Položka|Meno a priezvisko|Organizácia|Pracovná pozícia|Dátum|(((
18 Podpis
19
20 (alebo elektronický súhlas)
21 )))
22 |Vypracoval|Milan Patráš|MIRRI|Produktový manažér|29.1.2025|
23
24 1. História dokumentu
25
26 |Verzia|Dátum|Zmeny|Meno
27 | |//16.1.2025//|//Prvý draft dokumentu//|
28 | | | |
29 | | | |
30 | | | |
31
32 1. Účel dokumentu
33
34 V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
35
36 Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
37
38 1.
39 11. Použité skratky a pojmy
40
41 |Skratka|Popis
42 |**AFPM**|Autorizácia funkciou prístupového miesta (historicky používané označenie "Klik")
43 |**API**|Application programming interface [Angl.], Aplikačné programovacie rozhranie
44 |**ASiC**|Associated signature containers [Angl.], Pridružené podpisové kontajnery
45 |**BOK**|Bezpečnostný osobný kód
46 |**CAdES**|CMS advanced electronic signatures [Angl.], sada rozšírení podpísaných údajov syntaxe kryptografických správ
47 |**CAMP**|Centrálna API manažment platforma
48 |**CEP**|Centrálna elektronická podateľňa
49 |**CPK **|Centrálny podpisový komponent
50 |**DTBS/R**|Data to be signed representation [Angl.], hash dokumentu
51 |**eDoPP**|Elektronický doklad o povolení pobytu
52 |**eID**|Elektronický občiansky preukaz
53 |**eIDAS**|Electronic IDentification, authentication and trust services [Angl.], Európsky štandard pre elektronickú komunikáciu
54 |**ESI**|Electronic signatures and infrastructures [Angl.], Elektronické podpisy a infraštruktúry
55 |**FO**|Fyzická osoba
56 |**G2G**|Government to government [Angl.], komunikácia verejnej správy medzi sebou pomocou middleware platformy
57 |**GUI**|Graphical user interface [Angl.], grafické užívateľské rozhranie
58 |**HSM**|Hardware security module [Angl.], špecializované hardvérové zariadenia, ktoré využívajú silné fyzické a logické bezpečnostné techniky na ochranu dôležitých kľúčov pred nezákonným prístupom a zmenami.
59 |**IAM**|Identity access management [Angl.], zabezpečenie centrálnej správy identít, autentifikačných údajov a autorizácií
60 |**IS**|Informačný systém
61 |**ISVS**|Informačný systém verejnej správy
62 |**KCCKB**|Kompetenčné a certifikačné centrum kybernetickej bezpečnosti
63 |**KEP**|Kvalifikovaný elektronický podpis
64 |**META IS**|Centrálny metainformačný systém verejnej správy
65 |**MVP**|Minimum viable product [Angl.], produkt v minimálnom použiteľnom hu
66 | |
67 |**NFC**|Near field communication [Angl.], technológia na bezpečnú a rýchlu bezdrôtovú komunikáciu do vzdialenosti 4 cm.
68 |**OPZ**|Opis predmetu zákazky
69 |**OVM**|Orgán verejnej moci
70 |**PAdES**|PDF advanced electronic signatures [Angl.], PDF dokument vhodný pre zdokonalený elektronický podpis
71 |**PO**|Právnická osoba
72 |**PTK**|Prípravná trhová konzultácia
73 |**RPO**|Recovery Point Objective [Angl.], akceptovateľná doba od poslednej zálohy
74 |**RTO**|Recovery Time Objective [Angl.], cieľový čas obnovy business procesu
75 |**QA**|Quality assurance [Angl.], zabezpečenie/posúdenie kvality
76 |**QSCD**|Qualified signature creation device [Angl.], kvalifikované zariadenia na vyhotovenie elektronického podpisu
77 |**REST API**|Representational state transfer API, aplikačné programovacie rozhranie ktoré spĺňa obmedzenia architektonického štýlu REST
78 |**SDK**|Software development kit [Angl.], súbor nástrojov pre vývoj softvéru
79 |**SSO**|Single sign-on [Angl.], jednotné prihlásenie pre prihlásenie pomocou jedného ID do ktoréhokoľvek z niekoľkých súvisiacich, ale nezávislých softvérových systémov.
80 |**SW**|Software
81 |**ÚPVS **|Ústredný portál verejnej správy
82 |**WebSSO**|IAM služba Single Sign-On (SSO) - „jednotné prihlásenie sa“
83 |**XAdES**|XML advanced electronic signatures [Angl.], sada rozšírení odporúčania XML-DSig vhodná pre zaručené elektronické podpisy
84 |**ZEP**|Zaručený elektronický podpis
85 |**NASES**|Národná agentúra pre sieťové a elektronické služby
86 |**MIRRI SR**|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
87 |**BOK**|Bezpečnostný osobný kód (šesťmiestny – slúži na identifikáciu uživateľa a prístup do schránky www.slovensko.sk)
88 |**KEP PIN**|Kvalifikovaný elektronický podpis – Personal Identification Number (šesťmiestny)
89 |**SKRATKA/POJEM**|POPIS
90
91
92
93 1. Popis navrhovaného riešenia
94
95 Z hľadiska subjektu sa projekt týka MIRRI SR. MIRRI SR je ústredným orgánom štátnej správy pre
96
97 a) riadenie, koordináciu a dohľad nad využívaním finančných prostriedkov z fondov Európskej únie,
98
99 b) oblasť investícií v rozsahu strategického plánovania a strategického projektového riadenia, ako aj koordináciu investičných projektov a vypracovanie národného strategického investičného rámca v pôsobnosti Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, a vnútroštátnu implementáciu Agendy 2030,
100
101 c) regionálny rozvoj vrátane koordinácie prípravy politík regionálneho rozvoja,
102
103 d) centrálne riadenie informatizácie spoločnosti a tvorbu politiky jednotného digitálneho trhu, rozhodovanie o využívaní verejných prostriedkov vo verejnej správe pre informačné technológie, centrálnu architektúru integrovaného informačného systému verejnej správy a koordináciu plnenia úloh v oblasti informatizácie spoločnosti.
104
105
106 Z hľadiska ISVS sa tento projekt týka isvs_14363 Centrálny podpisový komponent, pričom sa požaduje dodanie diela, jeho nasadenie na produkčné prostredie a realizáciu v dvoch fázach:
107
108 * 1. Fáza MVP (MVP - Minimal Viable Product) - fáza s predpokladaným termínom dodania a nasadenia do 3 mesiacov odo dňa nadobudnutia účinnosti ZMLUVY
109 * 2. Fáza - ďalší rozvoj po realizácii MVP fázy s predpokladaným termínom dodania a nasadenia  do 10 mesiacov  odo dňa nadobudnutia účinnosti ZMLUVY
110
111 == V rámci 1. fázy bude dodaný nasledovný rozsah - MVP (MVP -Minimal Viable Product): ==
112
113 * Implementácia a produkčné nasadenie aplikačných komponentov CPK
114 * Sprístupnenie API CPK na Centrálnej API manažment platforme (CAMP)
115 * Poskytnutie súčinnosti pri integrácii služieb CPK do konštruktora správ na ÚPVS
116 * Podpísanie súboru v CPK bez možnosti prihlásenia
117 * Viacnásobné podpísanie dokumentu bez možnosti  prihlásenia
118 * Poskytnutie súčinnosti zo strany verejného obstarávateľa pri integrácii súčasných a nových lokálnych podpisových aplikácií
119 * Integrácia na IAM a UPVS za účelom využitia štátom garantovanej identity  na prihlásenie do CPK  pomocou WebSSO
120 * Vytvorenie náhľadu na podpisovanie dát podľa vizualizačných schém (v zmysle Diagramu č. 1)  pre formulár a podpisované súbory
121 * Overenie povolených možností autorizácie evidovaných pre danú službu v MetaIS
122 * Návrh dátovej štruktúry pre AFPM a vloženie príslušného formulára do MEF
123 * Vytvorenie autorizácie prostredníctvom funkcie prístupového miesta a jej implementácia v CPK
124 * Implementácia overovania auditných záznamov v CPK
125 * Prepoužitie (integrácia) služby pre vytvorenie elektronického podpisu odosielaného elektronického dokumentu (aplikačná služba METAIS kód=sluzba_is_1370 v CEP )
126 * Vrátenie autorizovaných objektov späť do žiadateľského systému / do schránky eDesk (odoslané správy)
127 * Priama integrácia na klientský podpisovač vo fáze 1. musí byť konfiguračne nastaviteľná pre ponuku používateľovi v CPK (Táto integrácia sa predbežne plánuje po implementácii fázy 2. vypnúť a ponechať len podpisovanie cez dodaný plug-in v čase keď budú pripravené podpisové aplikácie)
128 * Technická, produktová a projektová dokumentácia CPK podľa Vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie SR č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy (ďalej len „Vyhláška MIRRI SR č. 401/2023 Z.z.“ ([[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/]])
129
130 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image001.png]][[image:1758713892253-545.png]]
131
132 Obrázok 1 Spolupráca komponentov MVP fáza
133
134 == V rámci 2. fázy bude dodané nasledovné funkčnosti - Rozvoj požaduje: ==
135
136 * Komponent “Autorizácia prostredníctvom eID 2.0” a jeho integrácia do CPK viac info v kapitole 5.1.4
137 ** Autorizácia prostredníctvom eID 2.0 je modernizovaný spôsob elektronickej autentifikácie občanov, ktorý využíva čipové karty (elektronické občianske preukazy) vybavené pokročilými bezpečnostnými prvkami. Tento systém umožňuje bezpečný prístup k elektronickým službám štátu a iných OVM.
138 ** Integráciou eID 2.0 do CPK sa zjednoduší autentifikácia a autorizácia používateľov, ktorí sa budú môcť pomocou svojich eID kariet (elektronických občianskych preukazov) jednoducho a bezpečne autentifikovať svoju identitu a autorizovať operácie, čo uľahčuje prístup k elektronickým službám a transakciám.
139 * Viacnásobná autorizácia funkciou prístupového  miesta
140 ** Podpis viacerými osobami funkciou prístupového miesta (viac oprávnených osôb podpisuje jedno podanie v korektnom poradí).
141 * Pri viacnásobnej autorizácii AFMP sa použije štruktúra dohodnutá na pracovných skupinách
142 * Poskytnutie súčinnosti pri zmenách v UPVS umožňujúcich Podpis lokálneho súboru podporovanými formami autorizácie (eID a/alebo eID 2.0)
143 * Overenie podpisov na podaní a prílohách
144 * Implementácia SDK (pluginu do web prehliadača podporovanej verzie webového prehliadača” podľa §16 písm. d) Vyhlášky č. 78/2020) povinného pre integráciu na lokálne podpisové aplikácie poskytovateľov
145 * Vytvorenie MessageDigest - digitálny odtlačok dát určených na podpisovanie
146 * Pripájanie časovej pečiatky (k dokumentu a/alebo k  podpisu),
147
148 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png]][[image:1758713928922-535.png]]
149
150 Obrázok 2 Spolupráca komponentov finálneho riešenia
151
152 V súvislosti s riešením CPK, musí byť zabezpečená kompatibilita medzi dodávaným riešením v dvoch fázach uvedených vyššie a súčasne s  nižšie uvedenými bodmi:
153
154 * Úprava alebo implementácia konštruktora podania (vypĺňacej funkcie formulára podania)
155 * Prijatie a spracovanie správy s podaním autorizovaným funkciou prístupového miesta na rozhraní G2G ÚPVS a zobrazenie v schránke správ modulu eDesk na ÚPVS
156 * Overenie autorizácie funkciou prístupového miesta s využitím komponentu CEP pri doručovaní a preberaní takto autorizovaného podania v schránke v eDesk na ÚPVS
157
158 MIRRI SR, NASES a úspešný uchádzač zabezpečia súčinnosť pri integrácií dodávaných komponentov.
159
160
161 1. Architektúra riešenia projektu
162
163 CPK, ktorý verejný obstarávateľ požaduje a ktorý je predmetom tejto zákazky, má poskytnúť služby pre centrálne podpisovanie a riadenie procesu podpisovania. Musí byť  otvorený pre dynamické pridávanie nových komponentov alebo modulov zabezpečujúcich podpisovanie (napr. vzdialené podpisovanie). CPK má poskytnúť definované rozhranie cez ktoré integrovaná podpisová služba bude môcť poskytnúť informácie o rozsahu služieb a formáte podpisov ktoré poskytuje.
164
165
166 [[image:1758713978715-888.png]]
167
168 //Diagram 3: Aplikačný pohľad na požadované riešenie//
169
170
171 Verejný obstarávateľ požaduje, aby komponent CPK pozostával z grafického webového používateľského rozhrania (GUI), servisnej vrstvy – služby vystavené cez REST API a backend časti. Webová aplikácia bude slúžiť na vytváranie podpisov pre používateľov pri podpisovaní ľubovoľných elektronických úradných dokumentov, ako aj pri tvorbe elektronických podaní a bude prístupná z ktoréhokoľvek bodu ISVS. Tieto ako aj všetky ostatné funkcionality, budú mať reprezentáciu vo forme REST služieb sprístupnených cez integračnú platformu. Dielo odbremení používateľa, ktorý si už ďalej nemusí inštalovať rôzne typy podpisových aplikácií.
172
173 CPK umožní podpísať elektronický dokument alebo podanie kvalifikovaným alebo zdokonaleným elektronickým podpisom alebo pečaťou. V prípade použitia pečate využitím HSM modulu musí byť používateľ autentifikovaný, overené jeho  zastupovanie PO alebo OVM a musí mať priradenú rolu R_EDESK_SIGN. Používateľ musí mať možnosť výberu z jestvujúcich certifikátov a filtrovať zoznam certifikátov podľa typu (mandátny certifikát, KEP, KEPe pečať – HSM modul). Formáty podpisovaného dokumentu aj podpísaného dokumentu sú definované štandardmi uvedenými v kapitole 7 „Nutné  legislatívne požiadavky“ (Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy, ďalej ako „Vyhláška ÚPVII č. 78/2020 Z.z.“ § 46, § 47 a § 48 ).
174
175 //Podporované nepodpísané súbory~://
176
177 * //.pdf .doc .docx .odt .txt .xml .rtf .png .gif .tif .tiff .bmp .jpg .jpeg//
178
179 //Podporované podpísané súbory na podpis a overenie~://
180
181 * //.pdf .xml .asics .scs .asice .sce .p7m//
182
183 //Podporované podpísané súbory len na overenie~://
184
185 * //.zep .zepx .xzep//
186
187 Verejný obstarávateľ požaduje, aby každá služba si mohla konfiguračne nastaviť zoznam povolených typov súborov na podpis.
188
189 CPK umožní aj podpísanie lokálneho elektronického súboru a nahratie dokumentu a možnosť konverzie integráciou na príslušnú službu CEPu do povinných formátov PDF/A-2 až 4. Maximálna podporovaná veľkosť lokálneho súboru má byť max. 100 MB s možnosťou konfigurácie na požiadavku verejného obstarávateľa.
190
191 CPK tiež umožní a poskytne funkcionalitu pre hromadné podpisovanie elektronických úradných dokumentov či viacerými používateľmi (viacnásobné podpísanie elektronických dokumentov alebo podaní). Zároveň umožní aj spoločnú autorizáciu viacerých [[elektronických dokumentov>>url:https://www.slovensko.sk/sk/institucie-formulare-a-ziado/spolocna-autorizacia-ovm]] konfiguračne podľa typu osoby používateľa vzhľadom na povinnosť vytvárať spoločnú autorizáciu zo strany OVM a nemožnosť vytvárania spoločne autorizovaných podaní zo strany FO/PO. Podpisový kontajner sa vyskladáva na serveri CPK, nie lokálne, tým pádom sa aj všetky citlivé dokumenty nahrávajú na server CPK.
192
193 CPK integráciou na službu vytvorenia časovej pečiatky zabezpečí jej pridanie pre každý podpis do podpisovaného dokumentu alebo podania.
194
195 Je požadovaná implementácia funkcionality pre zobrazenie podpisov predchádzajúcich osôb pri viacnásobnom podpisovaní spolu s kvalifikovanou elektronickou časovou pečiatkou.
196
197 CPK má podporovať nasledujúce formáty podpisov a podpisových kontajnerov.
198
199 * XAdES
200 * PAdES
201 * CAdES
202 * ASiC
203 * a do budúcna ďalšie ktoré budú definované v rámci novely eIDAS a nie sú momentálne uvedené
204
205 Po úspešnom a kompletnom podpísaní dokumentu nastane kontrola všetkých už vytvorených podpisov a vráteniu podpísaného dokumentu do komponentu, ktorý inicializoval volanie CPK. CPK bude preberať podmienky autorizácie podľa informácií k už poskytovaným službám v systéme METAIS, obsahujúce požadovanú úroveň autentifikácie, typ používateľa (FO/PO, OVM), minimálnu úroveň autorizácie podania a zoznam metód autorizácii, ktoré budú na základe tejto konfigurácie služby používateľovi dostupné. Kontrola podpisov na prílohách podania bude konfigurovateľná v zmysle podmienok poskytovania služby v METAIS.
206
207 Overovanie podpísaných dokumentov a podaní bude možné vykonať prostredníctvom služby CEP alebo SNCA. Konkrétna služba bude došpecifikovaná až v DNR. Validačný report bude vo formáte poskytovanom CEP, resp. SNCA. CPK musí zabezpečiť používateľsky prijateľnú vizualizáciu výsledku overenia.
208
209 Súčasťou predmetu zákazky  CPK bude JavaScript knižnica, ktorú bude možné poskytnúť správcom ISVS a prevádzkovateľom iných portálových riešení, ktorí budú integrovať služby CPK  do ich informačných systémov. **Súčasťou predmetu zákazky riešenia CPK je aj návrh jednotného integračného štandardu a súčinnosť pre zabezpečenie integrácie nových verzií lokálnych podpisových aplikácií.**
210
211 Realizácia procesu podpísania sa požaduje výhradne v online režime, tzn. že pri využívaní CPK komponentu je potrebné mať internetové spojenie so službami CPK. Pred vytváraním podpisu je nutné vykonať validáciu certifikátu, ktorý k úkonu chceme využiť. Požadujeme, aby pri realizácii podpisu bolo možné do podpisu súboru (dokumentu, dát formulára podania) vložiť časovú pečiatku (využitím služby centrálnej podateľne CEP alebo akéhokoľvek iného dôveryhodného poskytovateľa služby časovej pečiatky).
212
213 CPK bude vytvárať systémové aj aplikačné záznamy o svojej činnosti. Záznamy budú distribuované do centrálneho systému zberu logov a prevádzkového dohľadu v NASES. Vybrané aplikačné záznamy aktivít budú poskytované aj pre používateľov aplikácie, aby si sami mohli skontrolovať záznamy, ktoré vykonali alebo boli vykonané v ich zastúpení. Záznamy o aktivitách, ktoré budú určené aj pre používateľov musia používateľsky zrozumiteľne popisovať zaznamenanú aktivitu: čas aktivity, meno používateľa a zástupcu, ich ID, výsledok aktivity, zrozumiteľný popis aktivity alebo chyby, identifikácia objektu, s ktorým bola aktivita vykonaná.
214
215 1.
216 11. Predpoklady realizácie projektu rozvoja
217
218 Aby sa mohli realizovať všetky scenáre použitia, je nutné mať splnené nasledujúce predpoklady:
219
220
221 1. Používateľ bude autentifikovaný do prostredia ÚPVS. V prípade autorizácie pomocou AFPM je vyžadovaná forma autentifikácie minimálne na úrovni “pokročilá”. Pri ostatných formách autorizácie je nutnosť autentifikácie definovaná OVM.
222 1. Používateľ je oprávnený v zmysle prístupu k službám.
223 1. Používateľ úspešne vytvorí elektronické podanie.
224 1. ISVS OVM využívajúci služby CPK je integrovaný s ÚPVS.
225 1. Pre niektoré spôsoby podpisovania je nutné mať aktivovanú mobilnú aplikáciu, ktorá nie je predmetom zákazky.
226
227 CPK po zrealizovaní poslednej autorizácie neuchováva podpísané dokumenty ani podania.
228
229 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image004.png]]
230 [[image:1758714031406-182.png]]
231
232 1.
233 11. Biznis vrstva a aplikačná architektúra
234
235 Po splnení vyššie uvedených predpokladov bude možné prostredníctvom kanála, v ktorom podanie vzniká, vyvolať služby vystavené na novom CPK komponente. CPK má implementovať viaceré spôsoby autorizácie, pričom ale tieto spôsoby autorizácie nebudú navzájom plne zastupiteľné. Možné spôsoby autorizácie pre konkrétnu službu majú byť poskytované podľa údajov evidovaných na príslušných biznis službách v Meta IS. Pre každú službu bude v METAIS evidované, akými spôsobmi je možné ju autorizovať.
236
237 Úlohou komponentu CPK nie je zabezpečiť vytváranie formulárov podaní a príloh. Komponent  CPK vie autorizovať jeden alebo viac objektov, v rámci jedného podania, ktoré vyžadujú podpis v závislosti od kontextu (identifikácia služby, povinné osoby, spôsob autorizácie). Komponent vystavuje rozhranie, pomocou ktorého získa odkaz alebo priamo zoznam objektov na autorizáciu.
238
239 CPK pracuje v štyroch krokoch :
240
241 1. prijme  objekt alebo objekty na autorizáciu a kontext podpisu (identifikácia služby, povinné osoby, spôsob autorizácie)
242 1. zvolí spôsob autorizácie a vyberie vhodný certifikát podľa konfigurácie služby v MetaIS
243 1. zabezpečí vytvorenie podpísaného objektu buď vlastnou funkcionalitou, alebo pomocou vystavených služieb lokálnej podpisovej aplikácie
244 1. a následne vráti podpísané objekty do volajúceho informačného systému, alebo v prípade  AFPM odošle Sk-Talk správu.
245
246 Keďže z dokumentu musí byť vypočítaný hash (DTBS/R) a vizualizácia dát na podpis je počas podpisovania nutné, aby bol ukladaný na dočasnom úložisku a po odovzdaní riadenia volajúcej aplikácii vymazaný.
247
248 V CPK v súčasnosti požadujeme tieto možnosti autorizácie v zmysle vyjadrenia vôle / podpisovaním:
249
250 * Autorizácia prostredníctvom KEP alebo AdES-QC (t.j. uznaného spôsobu autorizácie) na desktope. V tomto prípade sa očakáva integrácia CPK na lokálne podpisové aplikácie zabezpečujúce vytvorenie elektronického podpisu v prostredí ÚPVS
251 * Autorizácia funkciou prístupového miesta (AFPM).
252 * Autorizácia prostredníctvom KEP na mobile pomocou eID 2.0 alebo eDoPP a NFC.
253 * Autorizácia OVM - vytvorenie elektronického podpisu/elektronickej pečate odosielaného elektronického dokumentu (rozhodnutia).
254
255
256 [[image:1758714093952-136.png]]
257
258 **//Diagram 4~://**// Architektúra CPK – Proces podpísania všeobecne//
259
260
261 Medzi konštruktorom správ a samotným CPK je zvýraznený tok dát, ktorý umožni výmenu objektov na podpis. CPK má k dispozícii dátový tok do lokálnej podpisovej aplikácie.
262
263 1.
264 11.
265 111. Proces autorizácie podania – všeobecne
266
267 Zovšeobecnený popis procesu vykonania autorizácie jednou osobou v CPK nad jedným objektom:
268
269 1. Aktivácia CPK, počas ktorého konštruktor správ doručí do CPK
270 11. objekt na autorizáciu, alebo odkaz na ich umiestnenie v úložisku,
271 11. kontext autorizácie, čiže dodatočné informácie o koncovej službe (identifikácia služby, povinné osoby, spôsob autorizácie)
272 1. Výber  z povolených spôsobov autorizácie na základe údajov z Meta IS
273 1. V prípade autorizácie (vytvorenia el. podpisu) lokálnou podpisovou aplikáciou:
274 11. Overenie dostupnosti podpisovej aplikácie (overenie, že aplikácia je nainštalovaná a pripravená na komunikáciu s CPK),
275 11. Výmena informácií o poskytovaných službách podpisovej aplikácie (napr. poskytovaná služba vizualizácie, overenia certifikátov atď.),
276 11. Inicializácia podpisovacieho procesu v podpisovej aplikácií.
277 1. Výber poskytovateľa a certifikátu
278 11. je nutné overiť, či so zvolenými certifikátmi možno realizovať autorizáciu a pri negatívnom výsledku umožniť novú voľbu spôsobu a poskytovateľa.
279 1. Zobrazenie objektu na autorizáciu vo formáte podľa prezentačnej schémy (//ak sú v objekte už iné podpisy alebo pečate, zobrazí stručnú informáciu o ich stave//). V prípade AFPM sa okrem zobrazenia dát na podpis zobrazí aj  upozornenie, že autorizácia bude vykonaná funkciou prístupového miesta.
280 1. Overenie či prihlásená osoba je oprávnená vytvoriť podpis:
281 11. V prípade AFPM opätovným prihlásením,
282 11. V ostatných prípadoch zadaním BOK a PIN k QSCD.
283 1. Vytvorenie MessageDigest - digitálny odtlačok dát určených na podpis.
284 1. Zašifrovanie MessageDigestu vybraným poskytovateľom podpisových služieb a vybratým privátnym kľúčom používateľa. Poskytovateľ musí používať kryptografické algoritmy, ktoré sú povolené v podpisovej politike NBU. V súlade s nariadením sa nesmie uvádzať odkaz na podpisovú politiku vo vytváraných kvalifikovaných elektronických podpisoch a pečatiach.
285 1. Vytvorenie autorizovaného objektu podľa zvoleného spôsobu autorizácie:
286 11. Napríklad podpisového kontajnera vo formáte ASiC, alebo
287 11. Vytvorenie a odoslanie Sk-Talk správy v prípade AFPM.
288 1. Vrátenie výsledku autorizácie do komponentu, ktorý inicioval autorizáciu (napr. konštruktor podaní, konštruktor správ).
289 1. Vrátenie riadenie konštruktoru s informáciou o výsledku autorizácie a/alebo odoslania.
290
291 Samotná práca s podpisovaným objektom  môže byť  celá alebo čiastočne vykonaná na strane CPK alebo podpisovej aplikácie.
292
293
294 **Podrobný popis**
295
296 **~ **
297
298 Po úspešnej autentifikácii do prostredia ÚPVS prostredníctvom jedného z kanálov a zároveň po úspešnom vytvorení konkrétneho podania sa používateľ rozhodne, či potrebuje autorizovať toto podanie alebo iba  prílohu dokumentu k samotnému podaniu. CPK mu podľa definície používateľskej služby v METAIS ponúkne zoznam akceptovaných autorizačných spôsobov. Používateľovi bude zobrazené GUI rozhranie komponentu CPK, v ktorom bude ponúknutý ucelený zoznam prípustných foriem autorizácie.
299
300
301 Používateľ vyberie želanú formu, CPK realizuje potrebnú integráciu, zabezpečia sa kontroly  ako overenie tokenov, kontrola autentifikácie minimálne na úrovni QAA L3, QA kontroly a podobne.
302
303
304 Následne sa vykoná samotné podpísanie podania a zapečatenie. V ďalšom kroku prebehne overenie všetkých podpisov na podaní, vrátane podpisov  na prílohách (ak sú podpísané). Používateľ bude mať možnosť aj v tomto kroku ešte podpisy odobrať a vrátiť sa späť.
305
306
307 V prípade, že používateľom  zvolený objekt nebude môcť byť podpísaný,  pretože pre želanú formu podpisu nemá vyhovujúci certifikát, CPK vráti používateľa na zoznam akceptovaných autorizačných spôsobov.
308
309
310 CPK následne podpísané objekty vráti späť do systému, ktorý o podpis žiadal. Alternatívne bude možné si kópiu autorizovaného objektu stiahnuť na vlastné úložisko. Pri každej aktivite, ktorá sa bude týkať  podpísania vznikne auditný záznam.
311
312
313 1.
314 11.
315 111. Spôsoby autorizácie
316 1111. Autorizácia podania elektronickým podpisom používateľa pomocou eID alebo eDoPP
317
318 Autorizácia KEP v zmysle § 23 ods. 1 písm. a) bod 1  zákona č. 305/2013 Z.z. o e-Governmente a Autorizácia uznaným spôsob autorizácie podľa § 1 ods.1 písm. a) v zmysle Vyhlášky MIRRI SR č. 511/2022 Z.z. o uznaných spôsoboch autorizácie (ďalej ako „Vyhláška MIRRI SR č. 511/2022 Z.z.).
319
320 Prostredníctvom KEP bude možné podpísať každé elektronické podanie, rozhodnutie a ich prílohy, ktoré sa nachádzajú v ÚPVS. Pre výber a overenie možnosti použiť uznaný spôsob autorizácie bude zavedený krok pre overenie možnosti spôsobov autorizácie na základe údajov o službe z Meta IS repozitára. Po výbere spôsobu autorizácie (KEP, alebo uznaný spôsob autorizácie) bude požívateľovi pri realizácii podpisu ponúknutá možnosť výberu z jeho dostupných certifikátov. Po realizácii výberu bude vyzvaný na zadanie PIN k podpisovaciemu kľúču. V prípade, že boli predchádzajúce kroky úspešné, bude vytvorený elektronický podpis a podpisový kontajner podpisovaného objektu (podania, rozhodnutia, alebo prílohy). Používateľ dostane možnosť stiahnuť si už podpísaný objekt do lokálneho súboru.
321
322 1.
323 11.
324 111.
325 1111. Autorizácia funkciou prístupového miesta (AFPM)
326
327 Autorizácia  použitím na to určenej funkcie ústredného portálu alebo špecializovaného portálu v zmysle § 23 ods. 1 písm. a) bod 2 zákona č.305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e Governmente).
328
329 Jedná sa o zjednodušený proces autorizácie vybraných podaní a služieb odoslaním elektronického podania do elektronickej schránky OVM prostredníctvom ÚPVS alebo prostredníctvom špecializovaného portálu po opätovnej autentifikácii do prostredia ÚPVS. Osoba je  autentifikovaná najmenej na úrovni „pokročilá“. CPK poskytne GUI pre zabezpečenie svojej funkcionality.
330
331
332 Pri volaní tejto služby  CPK dôjde k nasledujúcim kontrolám:
333
334 * Volanie Služby CPK  vykonal systém s príslušným oprávnením,
335 * Zhoda SenderId / SubjectId - autentifikovaná osoba je zhodná s odosielateľom správy,
336 * Minimálny QAA Level 3 / Level of Assurance prihlásenia používateľa,
337 * Opätovné prihlásenie pred odoslaním podania sa bude kontrolovať vekom tokenu,
338 * Validácia nakonfigurovaných akceptovaných autorizačných prostriedkov pre službu a formulár v MetaIS (kód služby v METAIS),
339 * Kontrola zastupovania v prípade PO.
340
341 AFPM nebude k dispozícii pre podpis lokálne nahratého súboru (bez podania). Prílohy obsahujúce iné podpisy sa pomocou AFPM neautorizujú. Popis krokov pri AFPM:
342
343 |**ID**|**Krok**|**Realizátor**
344 |1.|Používateľ vyplní podanie|Konštruktor
345 |2.|Používateľ sa rozhodne autorizovať|Konštruktor
346 |3.|Aktivácia CPK, CPK preberie dokumenty a kontext|CPK
347 |4.|Používateľ vyberie AFPM|CPK
348 |5.|Zobrazenie náhľadu podania  s odkazom na prílohy.|CPK
349 |5.1|Zobrazenie upozornenia, že používateľ si vybral AFPM, bude vyzvaný na opätovné prihlásenie a že autorizáciou bude podanie aj odoslané.|CPK
350 |6.|Používateľ klikne na „Autorizovať a odoslať”|CPK
351 |7.|Používateľ sa autentifikuje minimálne na úrovni „pokročilá“ (pomocou eID alebo mID)|CPK
352 |8.|CPK overí autentifikáciu, identitu odosielateľa a zastupovanie|CPK
353 |8.1|CPK vytvorí pečate  CPK/MIRRI pre každý objekt ktorý nebol podpísaný|CPK
354 |8.2|CPK vytvorí autorizačnú informáciu, ktorú tiež zapečatí pečaťou CPK/MIRRI|CPK
355 |8.3|CPK vytvorí a odošle Sk-Talk správu do schránky adresáta v eDesk s rolou, ktorá mu umožní odoslať do G2G a odoslané podanie vloží do priečinka odoslaných správ prihláseného používateľa (SaveApplicationToOutbox)|CPK
356 |9|CPK odošle informáciu o realizácii autorizácie AFPM|CPK
357
358 Autorizačná informácia z bodu 8.2 bude realizovaná novou dátovou štruktúrou. Dátová štruktúra bude prenášaná ako objekt v správe s Class AUTHORIZATION, v ktorej uvedie údaje o autorizovaných dokumentoch, použitom spôsobe autorizácie ako aj údaje o samotnej autorizácii.  Štruktúra je navrhnutá tak, aby ju bolo možné v budúcnosti využiť aj pre iné spôsoby autorizácie. Detailný popis je v Prílohe č. 1 Opisu predmetu zákazky „Návrh dátovej štruktúry pre AFPM“.
359
360 Prijatie, spracovanie a overenie podania na strane G2G rozhrania ÚPVS, zobrazenie informácie o tomto spôsobe autorizácie v eDesk a overenie autorizácie v CEP nie sú predmetom zákazky  podľa tohto zadania.
361
362 Podpis viacerými osobami funkciou prístupového miesta (viac oprávnených osôb podpisuje jedno podanie v korektnom poradí) bude súčasťou fázy 2 v zmysle kapitoly 4.
363
364
365 1.
366 11.
367 111.
368 1111. Autorizácia eID 2.0 alebo eDoPP 2.0 s NFC rozhraním (podpisovanie na mobile)
369
370 Autorizácia KEP v zmysle § 23 ods. 1 písm. a) bod 1 zákona č.305/2013 Z.z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente).
371
372 Predpokladom pre tento scenár podpisovania:
373
374 * Aktivovaná mobilná aplikácia previazaná s konkrétnou identitou z IAM modulu,
375 * Podania, dokumenty, prílohy budú ukladané do momentu odoslania na dočasnom úložisku podporujúcom S3 protokol,
376 * V momente úspešnej autorizácie budú súbory z dočasného úložiska odstránené.
377
378 Proces podpísania prostredníctvom eID 2.0 prvku je podpisovaním KEP. Certifikáty budú však v tomto prípade prístupné prostredníctvom komunikačného protokolu NFC.
379
380 Existujúci eID framework v mobilnej aplikácii „Slovensko v mobile“ umožňuje komunikovať cez NFC s eID 2.0 a podpísať ľubovoľný textový reťazec pomocou certifikátov uložených na eID 2.0 zariadení s NFC chipom. Od používateľa si vypýta BOK a KEP PIN.  Pre podpísanie dokumentu sú potrebné nasledovné funkcionality:
381
382 * Získanie a vytvorenie DTBS/R reprezentácie dokumentu (Data To Be Signed Representation) podľa ETSI EN 319 102-1).  Aktivitu vykoná backend  CPK.
383 * Zobrazenie podpisovaného dokumentu používateľovi spolu s údajmi o podaní, type a názvu dokumentu a prípadnými už existujúcimi podpismi. Môže byť samotný dokument, alebo vygenerovaný náhľad. Návrh riešenia musí podporovať pravidlá prístupnosti.
384 * Vytvorenie bezpečného komunikačného kanálu a relácie medzi CPK a mobilnou aplikáciou.
385 ** Komunikačný kanál musí byť implementovaný v súlade s Normami **ETSI TS 119 101** a **ETSI TS 119 102,**
386 ** Mobilná aplikácia musí čítať URL uvedené v Push notifikácii a QR kóde a následne komunikovať s poskytnutými URL.
387 * Verifikácia platnosti podpisového certifikátu. Vykonávať sa bude na backende CPK.
388 * Konverzia dokumentu do štandardizovaného formátu. Vykonávať sa bude na backende CPK.
389 * Vytvorenie podpisu (zašifrovanie dát na podpis) v mobilnej aplikácii pomocou eID frameworku.
390 * Vloženie podpisu do dokumentu. Vykonávať sa bude na backende CPK.
391 * Získanie časovej pečiatky z CEP Vloženie časovej pečiatky volaním komponentu CEP, služby „              
392 *1.
393 *11.
394 *111. Autorizácia OVM
395
396 Pri Autorizácii OVM ide o nasledovné spôsoby a služby autorizácie vykonávanej pracovníkmi OVM:
397
398 * Vytvorenie elektronického podpisu odosielaného elektronického dokumentu, ktorý predstavuje autorizáciu vytváranie kvalifikovaných pečatí v zmysle § 23 ods. 1 zákona č.305/2013 Z.z. o e-Governmente náhradou alebo prepoužitím (integráciou) jestvujúcej funkcionality CEP (Modul centrálnej elektronickej podateľne, aplikačná služba METAIS kód=sluzba_is_1370, služby DITEC_CEP_PODPISANIE_DOKUMENTOV a DITEC_CEP_PODPISANIE_DOKUMENTOV2 podľa integračného manuálu CEP).
399 * Vytvorenie elektronického podpisu odosielaného elektronického dokumentu, ktorý predstavuje autorizáciu v zmysle § 23 ods. 3 zákona č.305/2013 Z.z. o e-Governmente - vytváranie kvalifikovaného podpisu konkrétnou osobou alebo osobou v konkrétnom postavení, kedy OVM na autorizáciu použije KEP vyhotovený s použitím mandátneho certifikátu, ku ktorému sa pripojí kvalifikovaná elektronická časová pečiatka. Vtedy musí CPK realizovať autorizáciu podľa kapitoly [[4.4.2 Autorizácia podania elektronickým podpisom používateľa pomocou eID alebo eDoPP>>url:https://upvi.sharepoint.com/sites/SITVS_dokumenty/OREG_Dokumenty/01_Centrálna_dátová_kancelária/NKIVS_Audit_SITVS%20(External)/CPK/Projektová%20dokumentácia%20pripravená/Príloha%20č.%201%20Opis%20predmetu%20zákazky.docx#_Autorizácia_podania_elektronickým]] alebo kapitoly [[4.4.4 Autorizácia eID 2.0 alebo eDoPP 2.0 s NFC rozhraním (podpisovanie na mobile)>>url:https://upvi.sharepoint.com/sites/SITVS_dokumenty/OREG_Dokumenty/01_Centrálna_dátová_kancelária/NKIVS_Audit_SITVS%20(External)/CPK/Projektová%20dokumentácia%20pripravená/Príloha%20č.%201%20Opis%20predmetu%20zákazky.docx#_Autorizácia_eID_2.0]] tohto dokumentu.
400
401 Autorizácia sa uskutoční volaním celej služby pečatenia z CEP. V CEP vzniká celý formát podpisu a podpisový kontajner. Spôsob integrácie na CEP je v [[integračnom manuáli.>>url:https://kp.gov.sk/pf/_layouts/PFSharePointProject/Login.aspx?ReturnUrl=%2fpf%2f_layouts%2fAuthenticate.aspx%3fSource%3d%252Fpf%252Fzdielane%255Fdokumenty%252FIntegr%25C3%25A1cia%2520na%2520UPVS%252F03%255FIntegra%25C4%258Dn%25C3%25A9%2520manu%25C3%25A1ly%252FCEP%252FUPG%252D1%252D1%252DIntegracny%255Fmanual%255FUPVS%255FCEP%2520v3%255F8%255F3%252Edocx&Source=%2Fpf%2Fzdielane%5Fdokumenty%2FIntegr%C3%A1cia%20na%20UPVS%2F03%5FIntegra%C4%8Dn%C3%A9%20manu%C3%A1ly%2FCEP%2FUPG%2D1%2D1%2DIntegracny%5Fmanual%5FUPVS%5FCEP%20v3%5F8%5F3%2Edocx]] V prípade, že uchádzač nedisponuje prístupovými údajmi k PFP portálu na nahliadnutie integračných manuálov, budú tieto manuály na vyžiadanie poskytnuté zo strany verejného obstarávateľa. Uchádzač môže kontaktovať e-mailovú adresu [[integracie@nases.gov.sk>>mailto:integracie@nases.gov.sk]], alebo využiť oficiálny kontakt uvedený vo verejnom obstarávaní.
402
403
404 1.
405 11.
406 111. Overovanie podpisov
407
408 CPK komponent bude podporovať viacnásobné podpisovanie (pridanie podpisu ďalšej osoby). Pri viacnásobnom podpisovaní treba  overiť a zobraziť už existujúce podpisy na podpisovanom objekte. CPK preto integruje službu CEP pre overenie podpisov a overenie AFPM tak, aby bola k dispozícii v procesoch a službách poskytovaných CPK. Overenie AFPM bude nová funkcionalita implementovaná v CEP. **Rozšírenie funkcionality CEP  pre overenie AFPM a jej využitie v procese zasielania podaní do eDesk nie je predmetom tejto zákazky.**
409
410
411 Overenie AFPM bude riešené rozšírením služieb CEP tak, aby služba overenia podpisu rozoznávala tento spôsob autorizácie podania. Overenie tohto typu autorizácie bude tiež doplnené do štandardného procesu overovania podpisov na správach zasielaných do eDesk, aby OVM mohli využiť výsledok overenia vo svojich procesoch spracovania podania podobným spôsobom, ako podania autorizované el. podpisom klienta
412
413
414 1.
415 11.
416 111. Odstránenie podpisov na nepodanom podaní - Odobratie podpisu
417
418 Komponent CPK má vystavovať aj službu, ktorá zabezpečí zrušenie podpisov na predtým podpísaných dokumentoch, tzv. „odpodpísanie“. Táto služba je implementovaná a poskytovaná v CEP a do CPK bude integrovaná, nebude ju duplicitne implementovať.
419
420
421 1.
422 11. Prehľad koncových služieb – budúci stav:
423
424 Samotný ISVS ma vystavenú jedinú koncovu službu “Vytvorenie a kontrola podpisov nahratého súboru”. Používatelia ktorými sú občania, podnikatelia, alebo OVM buď používajú ISVS cez túto službu alebo prostredníctvom KS iných ISVS ktoré v procese riešenia konkrétnych životných situácií potrebujú podpísať alebo pečatiť podanie, rozhodnutie alebo iný úradný dokument.
425
426 |(((
427 Kód KS
428
429 //(z MetaIS)//
430 )))|Názov KS|Používateľ KS //(G2C/G2B/G2G/G2A)//|(((
431 Životná situácia
432
433 //(+ kód z MetaIS)//
434 )))|Úroveň elektronizácie KS
435 |ks_37950|Vytvorenie a kontrola podpisov nahratého súboru|G2B / G2C / G2G / G2E|Nie je možné určiť ide cez viaceré|úroveň 4
436 | | | | |Vyberte jednu z možností
437 | | | | |Vyberte jednu z možností
438
439 [[image:file:///C:/Users/peter/AppData/Local/Temp/msohtmlclip1/01/clip_image006.png]][[image:1758714262218-833.png]]
440
441 Obrázok 2 Model biznis architektúry (aktéri-koncoví používatelia, koncové služby, procesy) – príklad
442
443
444 1.
445 11.
446 111. Jazyková podpora a lokalizácia
447
448 //Jazyková podpora e uvedená v katalógu požiadaviek . Pod čislami //ID_105, ID_106, ID_107, ID_108
449
450
451 1.
452 11.
453 111. Rozsah informačných systémov – AS IS
454
455 Uveďte dotknuté ISVS a ich moduly AS IS:
456
457 |**Kód ISVS **//(z MetaIS)//|**Názov ISVS**|(((
458 **Modul ISVS**
459
460 //(zaškrtnite ak ISVS je modulom)//
461 )))|(((
462 **Stav IS VS**
463
464 (AS IS)
465 )))|**Typ IS VS**|(((
466 **Kód nadradeného ISVS**
467
468 //(v prípade zaškrtnutého checkboxu pre modul ISVS)//
469 )))
470 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
471 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
472
473 1.
474 11.
475 111. Rozsah informačných systémov – TO BE
476
477 Z pohľadu ISVS sú v tabuľke uvedené dotknuté systémy:
478
479 |**Kód ISVS **//(z MetaIS)//|**Názov ISVS**|(((
480 **Modul ISVS**
481
482 //(zaškrtnite ak ISVS je modulom)//
483 )))|**Stav IS VS**|**Typ IS VS**|(((
484 **Kód nadradeného ISVS**
485
486 //(v prípade zaškrtnutého checkboxu pre modul ISVS)//
487 )))
488 |isvs_14363|Centrálny Podpisový Komponent|☐| Plánujem budovať| Ekonomický a administratívny chod inštitúcie|
489 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
490 | | |☐| Vyberte jednu z možností| Vyberte jednu z možností|
491
492
493 1.
494 11.
495 111. Využívanie nadrezortných a spoločných ISVS – AS IS
496
497 |Kód IS|Názov ISVS|Spoločné moduly podľa zákona č. 305/2013  e-Governmente
498 | | |//Vyberte jednu z možností.//
499 | | |//Vyberte jednu z možností.//
500 | | |//Vyberte jednu z možností.//
501
502 1.
503 11.
504 111. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE
505
506 Z pohľadu integrácií sa budú využívať nasledovné nadrezortné a spoločné ISVS
507
508 |Kód IS|Názov ISVS|Spoločné moduly podľa zákona č. 305/2013  e-Governmente
509 |isvs_14363|Centrálny Podpisový Komponent|//Modul elektronického doručovania//
510 |isvs_14363|Centrálny Podpisový Komponent|//Autentifikačný modul//
511 |isvs_14363|Centrálny Podpisový Komponent|//Modul elektronických schránok//
512 |isvs_14363|Centrálny Podpisový Komponent|//Modulu elektronických formulárov//
513 |isvs_14363|Centrálny Podpisový Komponent|//Notifikačný modul//
514 |isvs_14363|Centrálny Podpisový Komponent|//Modul centrálnej elektronickej podateľne//
515 |isvs_14363|Centrálny Podpisový Komponent|//Centrálna API Manažment Platforma//
516 |isvs_14363|Centrálny Podpisový Komponent|//Slovensko v mobile//
517 |isvs_14363|Centrálny Podpisový Komponent|//METAIS/ Lokator//
518
519 1.
520 11.
521 111. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
522
523 V nasledujúcej tabuľke sú uvedené predpokladané integrácie na iné Informačné systémy
524
525 |(((
526 Kód ISVS
527
528 //(z MetaIS)//
529 )))|(((
530 Názov ISVS
531
532
533 )))|(((
534 Kód integrovaného ISVS
535
536 //(z MetaIS)//
537 )))|Názov integrovaného ISVS
538 |isvs_14363|Centrálny Podpisový Komponent|//N/A//|//SNCA - Overovanie certifikátov, časová pečiatka//
539 |isvs_14363|Centrálny Podpisový Komponent|//N/A//|//Lokálne podpisové aplikácie -rozlične štartovanie v Rel1 a Rel2//
540 | | | |
541
542
543 1.
544 11.
545 111. Aplikačné služby pre realizáciu koncových služieb – TO BE
546
547 V nasledujúcej tabuľke sú uvedené dotknuté aplikačné služby, ktoré budú vybudované v rámci projektu rozvoja
548
549
550 |(((
551 Kód AS
552
553 //(z MetaIS)//
554 )))|Názov  AS|(((
555 ISVS/modul ISVS
556
557 //(kód z MetaIS)//
558 )))|(((
559 Aplikačná služba realizuje KS
560
561 //(kód KS z MetaIS)//
562 )))
563 |as_65708|Získanie informácie o koncovej službe|isvs_14363|
564 |as_65710|Získanie poskytovateľov podpisových služieb|isvs_14363|
565 |as_65709|Získanie informácie o poskytovateľovi podpisových služieb|isvs_14363|
566 |as_65711|Vytvorenie elektronického podpisu|isvs_14363|ks_37950
567 |as_65712|Vytvorenie podpisu funkciou autorizácie prístupovým miestom (AFPM)|isvs_14363|
568 |as_65713|Stiahnutie podpísaného objektu|isvs_14363|
569 |as_65733|Pridanie poskytovateľa autorizačných služieb|isvs_14363|
570 |as_65728|Zmena poskytovateľa autorizačných služieb|isvs_14363|
571 |as_65729|Odstránenie podpisov na objekte – zrušenie podpisov|isvs_14363|
572 |as_65730|Kontrola podpisov na objekte|isvs_14363|ks_37950
573 |as_65731|Vytvorenie podpisu nahratého súboru|isvs_14363|ks_37950
574 |as_65732|Vytvorenie viacnásobného podpisu|isvs_14363|ks_37950
575 |as_66521|Využitie Spoločných modulov UPVS|isvs_14363|
576
577 1.
578 11.
579 111. Aplikačné služby na integráciu – TO BE
580
581 V rámci projektu nebude vytvorená aplikačná služba na integráciu
582
583
584 |(((
585 AS
586
587 (Kód MetaIS)
588 )))|(((
589
590
591 Názov  AS
592 )))|(((
593 Realizuje ISVS
594
595 (kód MetaIS)
596 )))|Poskytujúca alebo Konzumujúca|Integrácia cez CAMP|Integrácia s IS tretích strán|SaaS|(((
597 Integrácia na AS poskytovateľa
598
599 (kód MetaIS)
600 )))
601 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
602 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
603 | | | |Poskytovaná / Konzumujúca|Áno/Nie|Áno/Nie|Áno/Nie|
604
605 1.
606 11.
607 111. Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
608
609 Z ISVS nebudú poskytované údaje do IS CSRU
610
611
612 |ID OE|Názov (poskytovaného) objektu evidencie|Kód ISVS poskytujúceho OE|Názov ISVS poskytujúceho OE
613 | | | |
614 | | | |
615 | | | |
616
617
618 1.
619 11.
620 111. Konzumovanie údajov z IS CSRU – TO BE
621
622 ISVS nebude konzumovať údaje z IS CSRU
623
624
625 |ID  OE|(((
626
627
628 Názov (konzumovaného) objektu evidencie
629 )))|Kód a názov ISVS konzumujúceho OE z IS CSRÚ|Kód zdrojového ISVS v MetaIS
630 | | | |
631 | | | |
632 | | | |
633
634
635 1.
636 11. Dátová vrstva
637
638 Navrhovaná štruktúra sa bude používať aktuálne pre autorizáciu odoslaním podania po predchádzajúcej autentifikácii. Štruktúra je navrhnutá tak, aby ju bolo možné využiť aj pre iné spôsoby autorizácie v budúcnosti.
639
640 **Zdôvodnenie potreby vytvorenia dátovej štruktúry:**
641
642 Štandard pre elektronické správy Sk-Talk a jednotný formát elektronických správ MessageContainer majú v súčasnosti pevne stanovené elementy, ktoré nie je možné využiť pre uvádzanie údajov o použitom spôsobe autorizácie. V prípade autorizácie vo formátoch zdokonalených elektronických podpisov ASiC, PAdES alebo v slovenských formátoch XAdES_ZEP, ZEPf (používaných podľa legislatívy účinnej do 30.6.2016) sa autorizácia objektu vyznačuje v atribúte IsSigned, na základe ktorého sa určuje, či sa má daný objekt považovať za autorizovaný a overiť štandardnými overovacími nástrojmi v elektronickej podateľni podporujúcimi tieto formáty podpisov. (V podateľniach sa štandardne overujú KEP/pečať, zdokonalený elektronický podpis založený na kvalifikovanom certifikáte, zdokonalený elektronický podpis kvalifikovanej služby validácie alebo kvalifikovanej služby uchovávania.)
643
644 Z uvedeného dôvodu sa pre tieto prípady navrhuje vytvoriť novú dátovú štruktúru prenášanú ako objekt v správe s Class AUTHORIZATION, v ktorej daný informačný systém (špecializovaný portál) uvedie údaje o použitom spôsobe autorizácie, ako aj údaje o samotnej autorizácii.
645
646 OVM si pre účely automatizovaného spracovania takejto formy autorizácie musia upraviť svoje informačné systémy tak, aby v doručenej správe vyhľadávali dátovú štruktúru v Class AUTHORIZATION a vyhodnocovali resp. zobrazovali jej obsah obdobne, ako v prípade výsledku overenia podpisov.
647
648 Za týmto účelom sa navrhuje aj úprava zobrazenia elektronickej správy v elektronickej schránke, aby zobrazovala v čitateľnej forme informáciu o použitom spôsobe autorizácie odoslaním.
649
650 | **Názov elementu**|**Typ**|**Kardinalita**|**Popis**
651 |AuthorizationInfo|Zložený typ|1|Štruktúra vkladaná do Sk-Talk pre identifikáciu typu autorizácie a súvisiacich údajov
652 |Authorization|Zložený typ|1..n|Obsahuje údaje o jednej autorizácii. Umožňuje viacnásobný výskyt pre každý autorizovaný dokument v správe.
653 |AuthorizedObjectId|Text|1|Identifikátor objektu v správe - v MessageContainer.
654 |AuthorizationType|Zložený typ|1|Typ autorizácie - povinný údaj. Číselníková hodnota podľa číselníka v METAIS Do budúcna môžu pribúdať rôzne ďalšie formy autorizácie.
655 Poznámka: V prípade autorizácie s KEP / AdES-QC sa nevypĺňa, nakoľko v takom prípade sa zohľadňuje atribút IsSigned pre daný objekt, z čoho vyplýva, že sa daný objekt má spracovať v elektronickej podateľni ako štandardný formát podpisu s kvalifikovaným certifikátom.
656 |CodelistCode| | |Použitý spôsob autorizácie (CL009011 - Základný číselník spôsobov autorizácie v METAIS)
657 |CodelistItem|Zložený typ|1|Položka číselníka
658 |ItemCode|Text|1|Kód položky
659 |ItemName|Text|1|Slovný názov typu autorizácie
660 |AuthorizationDateTime|DateTime|1|Dátum a čas autorizácie. Povinný udaj.
661 |SystemId|Text|0..1|Identifikácia informačného systému, pomocou ktorého bola vykonaná autorizácia (primárne by mal byť použitý kód ISVS podľa METAIS). Povinný v závislosti od typu autorizácie. V prípade autorizácie odoslaním podania po opakovanej autentifikácii sa uvádza povinne.
662 |AuthorizedBy|Zložený typ|1|Identifikačné údaje osoby, ktorá autorizovala dokument. V prípade autorizácie vo vlastnom mene sa v položkách ActorId a SubjectId uvádza rovnaká hodnota.  V prípade autorizácie odoslaním podania s opakovanou autentifikáciou v zastúpení sa uvádza údaj o zastupujúcej osobe v ActorId aj o zastúpenej osobe v SubjectId.
663 |Actor|Zložený typ|1|
664 |ActorID|Text| |
665 |Actor.FormattedName|Text| |
666 |Actor.IssuerForeignerID|Text| |Kód krajiny vydávajúcej identifikátor osoby
667 |Delegation|Číslo| |Typ zastupovania – používa sa najmä zákonné zastupovanie, potrebné pre spracovanie niektorých typov žiadostí (napr. § 16 ods. 6 zákona eGov).
668 |DelegationMediatorID|Text| |ID zastupovania (atribút uvádzaný v SAML tokene prihlásenej a autorizujúcej osoby)
669 |Subject|Zložený typ|1|
670 |SubjectID|Text| |
671 |Subject.FormattedName|Text| |
672 |AuthorizationDocument|Zložený typ|1..n|Povinný min. 1 súbor preukazujúci vykonanú autorizáciu  - obsah elektronického podpisu (pečate) autorizovaného dokumentu. V ďalšom preukazujúcom dokumente môže byť poskytnutý ďalší dôkaz, napr. záznam v LogFile
673 |Type|Text|1|Typ preukazujúceho súboru (vymenované hodnoty): Signature (preferovaný typ), LogFilerecord
674 |Document|Text|1|Hodnota preukazujúceho dokumentu zakódovaná do base64 (pre preferovaný typ Signature bude preukazujúcim dokumentom META-INF\*signature*.* z ASIC kontajnera alebo export podpisu z PDF dokumentu vo formáte PADES príslušného autorizovaného objektu.)
675
676 1.
677 11.
678 111. Údaje v správe organizácie
679
680 Uvedené vyššie
681
682
683 1.
684 11.
685 111. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE
686
687 Uvedené vyššie
688
689
690 1.
691 11.
692 111. Referenčné údaje
693
694 V rámci projektu nebudú vytvárané referenčné údaje
695
696
697 1.
698 11.
699 111.
700 1111. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné
701
702 Irelevantné
703
704
705 |**ID OE**|(((
706 **Názov referenčného registra /objektu evidencie**
707
708 //(uvádzať OE z tabuľky v kap. 4.3.2)//
709 )))|**Názov referenčného údaja **(atribúty)|**Identifikácia subjektu, ku ktorému sa viaže referenčný údaj**|**Zdrojový register a registrátor zdrojového registra**
710 | | | | |
711 | | | | |
712 | | | | |
713
714 1.
715 11.
716 111.
717 1111. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CSRU
718
719 Irelevantné
720
721
722 |ID OE|(((
723 Názov referenčného údaja /objektu evidencie
724
725 //(uvádzať OE z tabuľky v kap. 4.3.2)//
726 )))|Konzumovanie / poskytovanie|Osobitný právny predpis pre poskytovanie / konzumovanie údajov
727 | | |Vyberte jednu z možností.|
728 | | |Vyberte jednu z možností.|
729 | | |Vyberte jednu z možností.|
730
731 1.
732 11.
733 111. Kvalita a čistenie údajov
734
735 Irelevantné pre projekt
736
737 1.
738 11.
739 111.
740 1111. Zhodnotenie objektov evidencie z pohľadu dátovej kvality
741
742 Irelevantné pre projekt
743
744
745 |ID OE|(((
746 Názov Objektu evidencie
747
748 //(uvádzať OE z tabuľky v kap. 4.3.2)//
749 )))|(((
750 Významnosť kvality
751
752 //1 (malá) až 5 (veľmi významná)//
753 )))|(((
754 Citlivosť kvality
755
756 //1 (malá) až 5 (veľmi významná)//
757 )))|(((
758 Priorita //– poradie dôležitosti//
759
760 //(začnite číslovať od najdôležitejšieho)//
761 )))
762 | | | | |
763 | | | | |
764 | | | | |
765
766 1.
767 11.
768 111.
769 1111. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality
770
771 Irelevantné pre projekt. Vzhľadom, že povaha projektu nie je dátového charakteru, nebudú nižšie uvedené pozície na projekte využité.
772
773
774 |Rola|Činnosti|Pozícia zodpovedná za danú činnosť (správca ISVS / dodávateľ)
775 |**Dátový kurátor**|Evidencia požiadaviek na dátovú kvalitu, monitoring a riadenie procesu|Dátový kurátor správcu IS
776 |**Data steward**|Čistenie a stotožňovanie voči referenčným údajom|Pracovník IT podpory
777 |**Databázový špecialista**|Analyzuje požiadavky na dáta, modeluje obsah procedúr|Dodávateľ
778 |**Dátový špecialista pre dátovú kvalitu**|Spracovanie výstupov merania, interpretácie, zápis biznis pravidiel, hodnotiace správy z merania|Dátový špecialista pre dátovú kvalitu – nová interná pozícia v projekte
779 |***Iná rola (doplniť)**| |
780
781 1.
782 11.
783 111. Otvorené údaje
784
785 Irelevantné pre projekt
786
787
788 |(((
789 Názov objektu evidencie / datasetu
790
791 //(uvádzať OE z tabuľky v kap. 4.3.2)//
792 )))|(((
793
794
795 Požadovaná interoperabilita
796
797 (//3★ - 5★)//
798 )))|(((
799 Periodicita publikovania
800
801 //(týždenne, mesačne, polročne, ročne)//
802 )))
803 | |Vyberte jednu z možností.|Vyberte jednu z možností.
804 | |Vyberte jednu z možností.|Vyberte jednu z možností.
805 | |Vyberte jednu z možností.|Vyberte jednu z možností.
806 | |Vyberte jednu z možností.|Vyberte jednu z možností.
807 | |Vyberte jednu z možností.|Vyberte jednu z možností.
808 | |Vyberte jednu z možností.|Vyberte jednu z možností.
809
810 1.
811 11.
812 111. Analytické údaje
813
814 Irelevantné pre projekt
815
816
817 |ID|Názov objektu evidencie pre analytické účely|Zoznam atribútov objektu evidencie|Popis a špecifiká objektu evidencie
818 | |//napr. Dataset vlastníkov automobilov//|//identifikátor vlastníka; EČV; typ_vozidla; okres_evidencie;...//|//- dataset obsahuje osobné informácie (r.č. vlastníka)//
819 | | | |
820 | | | |
821
822 1.
823 11.
824 111. Moje údaje
825
826 Irelevantné pre projekt
827
828
829 |ID|(((
830 Názov registra / objektu evidencie
831
832 //(uvádzať OE z tabuľky v kap. 4.3.2)//
833 )))|Atribút objektu evidencie|Popis a špecifiká objektu evidencie
834 | | | |
835 | | | |
836 | | | |
837 | | | |
838
839 1.
840 11.
841 111. Prehľad jednotlivých kategórií údajov
842
843 Irelevantné pre projektu
844
845
846 |ID|(((
847 Register / Objekt evidencie
848
849 //(uvádzať OE z tabuľky v kap. 4.3.2)//
850 )))|Referenčné údaje|Moje údaje|Otvorené údaje|Analytické údaje
851 | | |☐|☐|☐|☐
852 | | |☐|☐|☐|☐
853 | | |☐|☐|☐|☐
854 | | |☐|☐|☐|☐
855 | | |☐|☐|☐|☐
856 | | |☐|☐|☐|☐
857
858 1.
859 11. Technologická vrstva
860
861 1.
862 11.
863 111. Prehľad technologického stavu - AS IS
864
865 N/A
866
867
868 1.
869 11.
870 111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
871
872 Doplňte pre TO BE stav do nasledujúcej tabuľky požiadavky na výkonnostné parametre, kapacitné požiadavky, ktoré majú vplyv na výkon, sizing prostredia, napr. počet interných používateľov, počet externých používateľov, počet spracovávaných procesov, dokumentov, komunikáciu medzi vrstvami architektúry IS, využívanie sieťovej infraštruktúry (Govnet, LAN, VPN, …).
873
874 |Parameter|Jednotky|Predpokladaná hodnota|Poznámka
875 |Počet interných používateľov|Počet|9000|Pocet OVM krat pocet zodpo. Zamestnancov
876 \\4500 platných certifikátov
877 |Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení|Počet|2000|20-25%?
878 |Počet externých používateľov (internet)|Počet|4,500,000|Rádovo miliony
879 |Počet externých používateľov používajúcich systém v špičkovom zaťažení|Počet|10,000|10-40%
880 |Počet transakcií (podaní, požiadaviek) za obdobie|Počet/obdobie|25 tisíc denne|štatistiky
881 |Objem údajov na transakciu|Objem/transakcia|1 MB|Štatistiky,
882
883 |Objem existujúcich kmeňových dát|Objem| |Vzhľadom k tomu, že sa jedná o technické riešenie, nie je potrebné uchovávať kmeňové dáta.
884 |Ďalšie kapacitné a výkonové požiadavky ...| | |
885
886 1.
887 11.
888 111. Návrh riešenia technologickej architektúry
889
890 Návrh riešenia technologickej architektúry je v Projektovom zámere
891
892
893 1.
894 11.
895 111. Využívanie služieb z katalógu služieb vládneho cloudu
896
897 Projekt bude prevádzkovaný v prostredí NASES alebo vo vládnom cloude. Konkrétne typy databáz, aplikačných serverov, úložísk a iných infraštrukturálnych služieb budú identifikované vo fáze Analýza a dizajn projektu. Zatiaľ je vytvorený len predbežný návrh a modelový príklad vychádzajúci z využitia infraštruktúrnych služieb podľa názvoslovia používaného v NASES.
898
899 [[image:1758714307028-452.png]]
900
901 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance) (NASES ma aj  alternativu Hyperflex - IaaS kde bezi virtualizovane prostredie)
902
903
904 -obe ralizuju VM a na nich pobezi
905 ~-~- K8S **PaaS **(Kubernetes Platform as a Service)
906
907 ~-~- DB as **PaaS**
908
909 ~-~- Storage **PaaS **(Storage as a Service)
910
911
912 Nižšie uvedená tabuľka nie je uvedené z dôvodu že zatial pracujeme len s generickou typologiu služieb a ešte neboli vybrane finálne PaaS a IaaS konkrétnych dodavateľov uvádzané v MetaIS.
913 \\
914
915
916 |(((
917
918
919 Kód infraštruktúrnej služby
920
921 //(z MetaIS)//
922 )))|Názov infraštruktúrnej služby|(((
923 **Kód využívajúceho ISVS**
924
925 //(z MetaIS)//
926 )))|**Názov integrovaného ISVS**
927 |TBD|TBD|//CPK//|//TBD//
928 | | | |
929 | | | |
930 | | | |
931
932 V nižšie uvedenej tabuľke je predpokladané využitie infraštruktúrnych služieb pre definované prostredia, pričom ich detailizácia a väzba na katalóg požiadaviek bude doplnená po fáze Analýza a dizajn projektu.
933
934
935 |(% rowspan="2" %)Prostredie|(% rowspan="2" %)(((
936
937
938 Kód infraštruktúrnej služby
939
940 //(z MetaIS)//
941 )))|(% rowspan="2" %)Názov infraštruktúrnej služby/ Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla |(% colspan="4" %)Požadované kapacitné parametre služby
942 (doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
943 |Dátový priestor (GB)|Tier diskového priestoru|Počet vCPU|RAM (GB)
944 |Vývojové| |(((
945 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
946
947 K8S **PaaS **(Kubernetes Platform as a Service)
948
949 DB as **PaaS**
950
951 Storage **PaaS **(Storage as a Service)
952 )))|100|Tier 2|2|4
953 |Testovacie| |(((
954 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
955 8S **PaaS **(Kubernetes Platform as a Service)
956
957 DB as **PaaS**
958
959 Storage **PaaS **(Storage as a Service)
960 )))|100|Tier 2|2|4
961 |Produkčné| |(((
962 **IaaS **PCA (Infrastructure as a Service - Private Cloud Appliance)
963 8S **PaaS **(Kubernetes Platform as a Service)
964
965 DB as **PaaS**
966
967 Storage **PaaS **(Storage as a Service)
968 )))|300|Tier 1|16|36
969 |(((
970 ďalšie...
971
972 (uviesť názov)
973 )))| | | | | |
974
975 |Prostredie|Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu (stručný popis / názov)|(((
976 Kód služby
977
978 //(z MetaIS)//
979 )))|Parametre pre službu (doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu)
980 |Vývojové|(((
981 Backup as a Service (BaaS)
982
983 Monitoring as a Service (MaaS)
984
985 Azure Kubernetes Service (AKS)
986
987
988 )))|(((
989 infra_sluzba_229
990
991 infra_sluzba_230
992
993 infra_sluzba_635
994 )))|
995 |Testovacie|(((
996 Backup as a Service (BaaS) Monitoring as a Service (MaaS)
997
998 Azure Kubernetes Service (AKS)
999
1000
1001 )))|(((
1002 infra_sluzba_229
1003
1004 infra_sluzba_230
1005
1006 infra_sluzba_635
1007 )))|
1008 |Produkčné|(((
1009 Backup as a Service (BaaS) Monitoring as a Service (MaaS)
1010
1011 Azure Kubernetes Service (AKS)
1012
1013
1014 )))|(((
1015 infra_sluzba_229
1016
1017 infra_sluzba_230
1018
1019 infra_sluzba_635
1020 )))|
1021 |(((
1022 ďalšie...
1023
1024 (uviesť názov)
1025 )))| | |
1026
1027 //Toto len ak by to malo napríklad vlastny IAM, backup alebo monitoringg....//
1028
1029 [[Katalóg služieb Vládneho cloudu SR>>url:https://katalog.statneit.sk/index.php?s_ziadost_ID=&s_sl_typ_name=&s_uroven_Name=&s_ziadost_Nazov=Azure+Kubernetes+Service&s_ziadatel_Nazov=&s_ziadost_Zakladny_popis_sluzby=&s_ziadost_Klasifikacia_Sluzby=&s_ziadost_key_words=&s_kat_serv_name=&tb_ziadatel_tb_kategoriaPageSize=]]
1030
1031
1032 1.
1033 11. Bezpečnostná architektúra
1034
1035 Realizovaný projekt bude v súlade s právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS,  pre manipuláciu so samotnými dátami, alebo technické/technologické/personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia. Ide najmä o:
1036
1037 * Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
1038 * Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
1039 * Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
1040 * vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
1041 * vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
1042 * vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
1043 * Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
1044 * Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
1045
1046 V rámci verejného obstarávania bude definovná požiadavka na dodávateľa, aby bol dodaný ISVS v súlade s vyššie uvedenými normami.
1047
1048 Súčasťou dodávky bude aj bezpečnostný projektu
1049
1050
1051 1. Závislosti na ostatné ISVS / projekty
1052
1053 V nasledujúcej tabuľke sú uvedené závislosti projektu na iných projektoch
1054
1055
1056 |Stakeholder|(((
1057 Kód projektu /ISVS
1058
1059 //(z MetaIS)//
1060 )))|Názov projektu /ISVS|Termín ukončenia projektu|Popis závislosti
1061 |//MIRRI/NASES//|//projekt_2383//|//Slovensko3.0//|//2Q 2026//|//Dotknuté moduly a komponenty Slovensko 3.0 relevantné pre CPK//
1062 | | | | |
1063 | | | | |
1064
1065
1066 1. Zdrojové kódy
1067
1068 Bude dodržaný princíp otvorenosti, tzn. duševným vlastníkom všetkých výstupov, vrátane technológie a zdrojového kódu bude štát. Výnimku predstavuje Preexistentný zdrojový kód, na ktorý sa vzťahuje osobitný právny režim.
1069
1070
1071 1. Prevádzka a údržba
1072
1073 Poskytovateľ služby je povinný zabezpečiť prevádzkovú podporu dodávaného diela  a všetkých jeho súčastí na obdobie dvoch (2) rokov s možnosťou opcie na nasledujúce dva (2) roky.
1074
1075 1.
1076 11. Úrovne podpory používateľov
1077
1078 Verejný obstarávateľ požaduje, aby  poskytovateľ služby realizoval Help Desk nasledovnej úrovne podpory
1079
1080 * **L1 podpora:** (Level 1) – Jednotný priamy kontakt pre používateľov nového riešenia. Zabezpečené zamestnancami verejného obstarávateľa a/alebo ním určených osôb.
1081 * **L2 podpora:** (Level 2) – Postúpenie požiadaviek od L1 podpory. Zabezpečené zamestnancami verejného obstarávateľa a/alebo ním určených osôb.
1082 * **L3 podpora:** (Level 3) – Postúpenie požiadaviek od L2, prípadne L1 podpory. Zabezpečené Poskytovateľom služby na základe uzavretej zmluvy.
1083
1084 **Pre prevádzkovú podporu sú definované takéto SLA:**
1085
1086 * Help Desk je dostupný prostredníctvom telefonického kontaktu alebo e-mailu.
1087 * Dostupnosť L2 a L3 podpory pre IS je 10x7 (10 hodín x 7 dní v týždni od 8:00h do 18:00h ).
1088 *1. Riešenie incidentov – SLA parametre
1089
1090 Za incident je považovaná chyba IS, t. j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou.
1091
1092 * **označenie naliehavosti incidentu:**
1093
1094 |**Označenie naliehavosti incidentu**|**Závažnosť  incidentu**|**Popis naliehavosti incidentu**
1095 |**A**|**Kritická**|Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS. Za kritickú chybu sa považuje nemožnosť podpísať podanie akýmkoľvek spôsobom, teda chyba na úrovni CPK.
1096 |**B**|**Vysoká**|Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie systému a neumožňujú používať časť systému.
1097 |**C**|**Stredná**|Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému.
1098 |**D**|**Nízka**|Kozmetické a drobné chyby.
1099
1100 * **možný dopad:**
1101
1102 |**Označenie závažnosti incidentu**|**Dopad**|**Popis dopadu**
1103 |**1**|**katastrofický**|katastrofický dopad, priamy finančný dopad alebo strata dát,
1104 |**2**|**značný**|značný dopad alebo strata dát
1105 |**3**|**malý**|malý dopad alebo strata dát
1106
1107 * **výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:**
1108
1109 |(% colspan="2" rowspan="2" %)**Matica priority incidentov**|(% colspan="3" %)**Dopad**
1110 |**Katastrofický - 1**|**Značný - 2**|**Malý - 3**
1111 |(% rowspan="4" %)**Naliehavosť**|**Kritická - A**|1|2|3
1112 |**Vysoká - B**|2|3|3
1113 |**Stredná - C**|2|3|3
1114 |**Nízka - D**|3|3|3
1115
1116 * **vyžadované reakčné doby:**
1117
1118 |**Označenie priority incidentu**|**Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu**|**Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^**
1119 |**1**|Do 10 min.|Do 4 hodín
1120 |**2**|Do 30 min.|Do 12 hodín
1121 |**3**|Do 60 min.|Do 10 dní
1122
1123 Za odstránenie chyby sa považuje aj nasadenie dočasného náhradného riešenia zo strany poskytovateľa služby umožňujúceho pokračovať v prevádzke, na nevyhnutne nutnú dobu.(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L2 a L3 a jeho prevzatím na riešenie.
1124
1125 (2) Doba konečného vyriešenia incidentu (DKVI) znamená obnovenie štandardnej prevádzky - čas medzi  nahlásením incidentu verejným obstarávateľom a vyriešením incidentu Poskytovateľom služby (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je Poskytovateľ služby oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.
1126
1127 Incidenty nahlásené verejným obstarávateľom  Poskytovateľovi v rámci testovacieho prostredia:
1128
1129 1. Majú prioritu 3 a nižšiu.
1130 1. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia.
1131 1. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.
1132
1133 Vyššie uvedené SLA parametre pre prevádzkovú podporu nebudú použité pre nasledovné služby:
1134
1135 * Služby systémovej podpory na požiadanie (nad paušál).
1136 * Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál).
1137 *1. Výkonnosť a dostupnosť služieb
1138
1139 |**//Popis//**|**//Parameter//**|**//Poznámka//**
1140 |**//Prevádzkové hodiny//**|24 hodín|24 hodín x 7dní od 00:00h do 24:00:h vrátane sviatkov
1141 |**//Servisné okno//**|8 hodín|(((
1142 * Plánovaný výpadok je oznámený minimálne 14 dní vopred.
1143 * Plánovaný výpadok nie je dlhší ako 8 hodín a je prioritne medzi 22:00 – 06:00, sobota alebo nedeľa.
1144 )))
1145 |**//Dostupnosť produkčného prostredia IS//**|99,95%|(((
1146 * 99,95 % z 24/365 dní, t.j. max. výpadok je 4.4 hodín.
1147 * Maximálny týždenný výpadok je v rozsahu do 1 hodiny.
1148 * Nedostupnosť IS sa počíta od momentu zaevidovania incidentu verejným obstarávateľom.  Do dostupnosti IS nie sú započítané servisné okná a plánované odstávky IS.
1149 * V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.
1150 )))
1151 |**//RPO//**|Od 8 do 24 hodín|Poskytovateľ služby vie zabezpečiť riešenia tak, aby boli minimalizované časy pre obnovenie riešenia a minimalizovaná doba výpadku.
1152 |**//RTO//**|Do 24 hodín|Poskytovateľ služby vie zabezpečiť riešenia tak, aby boli minimalizované časy pre obnovenie riešenia a minimalizovaná doba výpadku.
1153 |**//Zálohovanie//**|5 predchádzajúcich dní|Záloha databázy bude vykonávaná pravidelne, garantovaná bude dostupnosť vždy k verziám z piatich (5) predchádzajúcich dní
1154 |**//Prístup k logom//**|n/a|Zabezpečenie logov systému, ktoré umožnia verejnému obstarávateľovi vyhodnotiť splnenie požiadaviek na úroveň služieb (SLA) a dostupnosti systému (odozva systému, dokončenie spracovania v definovaných lehotách, dostupnosť systému, atď.).
1155 |**//Odozva služieb pri testovaní záťaže systému//**|n/a|(((
1156 •   80% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu kratšiu alebo rovnú 2 sekundy,
1157
1158 •   15% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu kratšiu alebo rovnú 5 sekúnd,
1159
1160 •   5% z meraných testovacích volaní v pomere zápis a čítanie 1:2 má odozvu najviac 10 sekúnd,
1161
1162 •   Simulácia sa vykonáva podľa dát z reálnej prevádzky existujúcich služieb ÚPVS (podklad poskytne verejný obstarávateľ),
1163
1164 •   V prípade volania externých služieb sa meria iba overhead na strane dodaného systému a nie čas odozvy.
1165
1166 •   Počet volaní a interakcia s koncovými používateľmi je určená podľa špičiek v prevádzke Pondelok – Piatok, 07:00 – 13:00 prebehne 90% všetkých volaní služieb, z toho v pondelok prebehne 25% všetkých volaní.
1167 )))
1168
1169 1.
1170 11. Služby riadenia systémovej a aplikačnej podpory (paušál)
1171
1172 Servisné služby vzťahujúce sa na produkčné aj testovacie prostredie systému, ktoré je prevádzkované v infraštruktúre vládneho cloudu medzi ktoré patria: činnosti správy a údržby systémového softvéru a  systému  (vrátane kontroly príslušných operačných systémov, kontroly logov, naplnenosti diskového priestoru, operačnej pamäte, správy komunikačnej matice pre jednotlivé služby produktov, sledovania informácií výrobcov a dodávateľov zariadení, príslušných bezpečnostných riešení, patchov a nutných aktualizácií, správa služieb infraštruktúry (DNS, NTP, VPN), monitorovanie vyťaženosti systému, monitorovanie sieťovej komunikácie, monitorovanie naplnenosti databáz, správa certifikátov interných/externých, prideľovanie systémových prostriedkov (CPU, Disk, RAM), vytváranie záloh, nasadzovanie nových verzií, riešenie úloh, vykonávanie preventívnej údržby, udržiavanie systému v súlade s bezpečnostnou dokumentáciou, súčinnosť a odstraňovanie zistení z bezpečnostného auditu.
1173
1174 Servisné služby budú realizované so zámerom:
1175
1176 * Uvedenie systému  do plne funkčného stavu alebo poskytnutie náhradného riešenia (po poruchách, chybách) podľa definovaných parametrov  pre produkčné prostredie pre nové riešenie CPK.
1177 * Podpora systémového softvéru a aplikačného softvéru  v produkčnom aj testovacom prostredí (vrátane riešenia vzniknutých problémov).
1178 * Nasadzovanie nových verzií aplikačného programového vybavenia do testovacieho a produkčného prostredia.
1179 * Lokalizácia potenciálnych problémov pri používaní prostredia.
1180 * Optimalizácia prevádzky na základe odsúhlasených návrhov riešení.
1181 * Aktualizácia prevádzkovej, používateľskej a bezpečnostnej dokumentácie vyplývajúcej z aktuálneho nastavenia systému.
1182 * Poskytovanie podpory pri integrácii CPK s inými systémami a aplikáciami používanými objednávateľom.
1183
1184 1.
1185 11. Činnosti správy a údržby systémového softvéru a aplikačného softvéru  vykonávané priebežne (paušál)
1186
1187 **Priebežná správa a údržba CPK**
1188
1189 Tieto činnosti sa vykonávajú v pravidelných intervaloch s cieľom preventívne identifikovať možné problémy. Ide zväčša o monitorovanie a kontrolovanie definovaných parametrov na základe vopred definovaného profylaktického plánu. Výsledky kontrol budú evidované v reporte s návrhom preventívnych akcií na elimináciu neštandardných stavov systému.
1190
1191 **Evidencia a reportovanie**
1192
1193 * **Spracovávanie požadovaných reportov a operatívnych informácií**: O stave prevádzky, poskytovania služieb, výsledkoch monitoringu, kontrol a auditov.
1194 * **Vedenie technických a prevádzkových evidencií**: Vrátane technickej dokumentácie, nastavení parametrov, evidencie technických prostriedkov, používateľských príručiek, evidencie dodávateľov a kontaktných osôb.
1195 * **Poskytovanie štatistických informácií**: Pre verejného obstarávateľa a ním určené osoby.
1196
1197 Evidencia a reportovanie bude stanovené po vzájomnej dohode medzi poskytovateľom služby a verejným obstarávateľom.
1198
1199
1200 **Zabezpečovanie kvality služieb**
1201
1202 Predkladanie návrhov opatrení na zlepšenie kvality služieb prevádzky a implementáciu schválených opatrení:
1203
1204 * **Plánovanie a riadenie preventívnej údržby**
1205 * **Riadenie preventívnej údržby a opráv**: Vrátane prevádzkových a bezpečnostných auditov.
1206 * **Riadenie vnútorných procesov**: A spolupráce s ostatnými zložkami.
1207
1208 **Administrácia a manažment:**
1209
1210 * konfigurovanie a správa diskových subsystémov,
1211 * vytváranie, konfigurovanie a rušenie prístupových účtov v OS,
1212 * vytváranie a rušenie adresárových štruktúr,
1213 * prideľovanie,  odoberanie a správa prístupových práv,
1214 * správa bezpečnostnej a skupinovej politiky,
1215 * rekonfigurácia parametrov operačných systémov a systémového aplikačného vybavenia,
1216 * plánovaný a neplánovaný shutdown, reštart alebo štart systému, odpájanie a zapájanie systémov,
1217 * inštalácia aktualizácií a patchov štandardného systémového softvéru,
1218 * vytváranie a evidencia firewallových pravidiel,
1219 * konfigurovanie integrácií na iné informačné systémy verejnej správy.
1220 * Implementácia a udržiavanie bezpečnostných opatrení na ochranu údajov spracovávaných prostredníctvom CPK, vrátane šifrovania a kontrol prístupu.
1221
1222 **Zálohovanie a obnova:**
1223
1224 * konfiguračný manažment zálohovacieho systému,
1225 * zálohovanie a obnova systémového softvéru,
1226 * vytváranie, konfigurácia a správa zálohovacích scriptov,
1227 * vykonávanie pravidelných a nepravidelných záloh systému,
1228 * evidencia a správa systému záloh,
1229 * obnova systémového softvéru (OS + systémové utility),
1230 * obnova konfigurácie a parametrov komponentov,
1231 * zálohovanie a obnova databáz.
1232
1233 **Monitoring:**
1234
1235 Dodávateľ špecifikuje optimálne nastavenie monitorovania udalostí dodávaného riešenia v produkčnom prostredí, a neprodukčných prostrediach (napr. testovacie prostredie). Monitoringové udalosti budú v reálnom čase doručované do **existujúcich monitoringových nástrojov verejného obstarávateľa**.  Monitoring pokrýva minimálne tieto oblasti:
1236
1237 * bezpečnostný monitoring,
1238 * aplikačný monitoring,
1239 * infraštruktúrny monitoring,
1240 * reporting zraniteľností,
1241 * výkonnostný / kapacitný monitoring,
1242 * monitorovanie dostupnosti a odozvy,
1243 * monitorovanie dostupnosti a odozvy HW,
1244 * monitorovanie kapacity dostupných zdrojov,
1245 * monitorovanie kapacity dostupných HW zdrojov,
1246 * monitorovanie diskových subsystémov,
1247 * monitorovanie vyťaženia operačnej pamäte a CPU,
1248 * monitorovanie výkonnosti sieťových subsystémov,
1249 * monitorovanie prírastkov databáz a transakčných logov,
1250 * monitorovanie indexov a konzistencie databáz,
1251 * kontrola vykonávania pravidelných backupov,
1252 * monitorovanie prevádzkových udalostí
1253 * kontrola integrity kritických systémových súborov.
1254 *1. Požiadavky služby systémovej podpory na požiadanie (nad paušál)
1255
1256 Prevádzkové činnosti, ktoré budú poskytované nad rámec služieb v rámci systémovej a aplikačnej podpory (SLA):
1257
1258 * Riešenie systémových a prevádzkových chýb súvisiacich s potrebou funkčnej úpravy nastavených procesov;
1259 * Školenia garantov a používateľov;
1260 * Poskytovanie služieb odborných a technických konzultácii nad rámec činností uvedených v rámci SLA (tento dokument) v kapitole 1.1.1;
1261 * Ďalšie činnosti a služby aplikačnej podpory súvisiace so zabezpečením prevádzky systému;
1262 * Aktualizácia používateľskej a technickej dokumentácie po každej zmene systému;
1263 *1. Požiadavky služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)
1264
1265 Činnosti súvisiace s rozvojom systému. Tieto činnosti zahŕňajú implementáciu schválených požiadaviek používateľov na zmenu funkčnosti systému najmä:
1266
1267 * Rozširovanie funkcionality systému - Analýza, návrh a vývoj rozšírenia, vylepšenia a/alebo modifikácie aplikačného softvéru, na základe metodických a/alebo legislatívnych zmien;
1268 * Vykonanie úprav v nastavení modulov systému voči implementovanej funkčnosti a existujúcim nastaveniam;
1269 * Programovanie nových funkcií v rámci existujúcich modulov systému;
1270 * Vykonávanie úprav do existujúcich integračných rozhraní;
1271 * Programovanie a implementácia nových integračných rozhraní;
1272 * Realizácia testov podľa testovacích scenárov;
1273 * Projektové riadenie zmien v zmysle Vyhlášky MIRRI SR č. 401/2023 z 9. októbra 2023 o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
1274 * Aktualizácia používateľskej a technickej dokumentácie po každej zmene systému.
1275
1276 Zmena funkčnosti zahŕňa pridanie, modifikáciu alebo zrušenie akejkoľvek časti systému a súvisiacej dokumentácie. Zmena funkčnosti môže byť vyvolaná legislatívnou požiadavkou a/alebo požiadavkou používateľov na zlepšenie existujúcej funkcionality alebo zavedenie novej funkcionality v novom riešení CPK.
1277
1278
1279 1. Požiadavky na personál
1280
1281 Podrobne uvedené v Projektovom zámere.
1282
1283
1284 1. Implementácia a preberanie výstupov projektu
1285
1286 Implementácia a preberanie výstupov projektu budú realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.
1287
1288
1289 1. Prílohy
1290
1291 N/A