W końcu uruchomiony zostanie profil zaufany na ePUAP
-
- Paweł Krawczyk,
- 31.05.2011
Od 9 czerwca br. będziemy mogli przesyłać do urzędów dokumenty elektroniczne bez kwalifikowanego podpisu elektronicznego.
Co MSWiA zrobi dalej z platformą ePUAP
Sposób autoryzacji
Z punktu widzenia użytkownika korzystanie z profilu zaufanego (PZ) przypomina metody uwierzytelniania stosowane powszechnie w bankach czy serwisach aukcyjnych. Operacja podpisu odbywa się w przeglądarce. Nie są wymagane zewnętrzne urządzenia (karta, czytnik) ani specjalne sterowniki i zewnętrzne aplikacje. Profil powinien działać tak samo pod dowolnym systemem operacyjnym i w każdej - w miarę nowej - przeglądarce.
Korzystanie z PZ jest dodatkowo autoryzowane za pomocą kodu jednorazowego przesyłanego mailem. Poczta elektroniczna jest obecnie jedyną metodą autoryzacji profilu zaufanego wymienioną wprost w rozporządzeniu, ale w przyszłości mogą to być dowolne inne środki komunikacji elektronicznej - np. SMS. Po stronie systemu podpis PZ jest dodatkowo poświadczany certyfikatem systemowym ePUAP. Profil zaufany można potwierdzić samemu mając certyfikat kwalifikowany. Ale przedłużyć go o kolejne 3 lata można już za pomocą samego profilu zanim wygaśnie.
obywateli posiadało w szczytowym okresie podpisy kwalifikowane, a i to tylko dlatego, że do ich zakupu zmusiła ich inna ustawa. Zmienić ma to profil zaufany.
Elektroniczna korespondencja
Poza profilem zaufanym nowa wersja ePUAP udostępnia także szereg usług towarzyszących elektronicznemu obiegowi dokumentów. Przesłanie dokumentu do urzędu może wymagać wniesienia opłaty - jest to możliwe bezpośrednio z poziomu ePUAP, a wnioskodawca otrzyma w takim przypadku Elektroniczne Poświadczenie Opłaty.
System wystawia też inne rodzaje potwierdzeń, przeznaczone dla poszczególnych stron, i zapewniające każdej z nich niezaprzeczalność wykonania określonych czynności, np. złożenia dokumentu i udzielenia nań odpowiedzi. Potwierdzenia te noszą zbiorczą nazwę Urzędowych Poświadczeń Odbioru. Gdy dokument składa klient, otrzymuje Urzędowe Poświadczenie Przedłożenia. Gdy urząd na to pismo odpowie, klient otrzyma informację, że odpowiedź oczekuje na niego w systemie ePUAP. W celu jej odebrania klient musi złożyć podpis (np. profilem zaufanym), który stanowi dla urzędu Urzędowe Poświadczenie Doręczenia. Całość funkcjonuje więc, jak znane z korespondencji sądowej "żółte karteczki" (pocztowe poświadczenia odbioru), zapewniając obu stronom komunikacji ochronę przed tłumaczeniami, że "nie doszło" lub "nie dostałem". Tyle, że szybciej i bez papieru.
Single Sign-On na ePUAP
System ePUAP może również występować jako dostawca usług tożsamości (identity provider) w protokole federacji tożsamości. W braku spójnej terminologii jest to określane jako Single Sign-On (SSO) i w praktyce jest prostsze niż to wynika z opisu. Z punktu widzenia użytkownika SSO polega na tym, że może się on zalogować do serwisu dowolnego urzędu (np. ZUS) za pomocą konta ePUAP. W praktyce wygląda to w ten sposób, że na stronie ZUS wyświetlany będzie przycisk logowania do ePUAP. Po kliknięciu na niego użytkownik zostanie na chwilę przekierowany na stronę ePUAP, gdzie wpisze login i hasło, a po poprawnym zalogowaniu zostanie przekierowany z powrotem na stronę ZUS, tym razem już jako zalogowany użytkownik. Wiele osób zna ten mechanizm np. z Facebooka. Zaletą SSO - z punktu widzenia administracji publicznej - jest brak konieczności przechowywania lokalnych rejestrów osobowych, weryfikacji ich poprawności, obsługi haseł itd. Wszystkie obowiązki związane z zarządzaniem tożsamością spadają w tym przypadku na ePUAP. Użytkownik posługuje się zawsze tym samym mechanizmem uwierzytelnienia i nie musi wciąż wprowadzać tych samych danych osobowych w różnych serwisach urzędów. Od strony technicznej system SSO jest oparty o standard Security Assertions Markup Language, a konkretne struktury danych są udokumentowane na stronie ePUAP. Równocześnie użycie otwartych interfejsów opartych o SAML i SOAP umożliwia praktycznie nieograniczone rozbudowywanie funkcjonalności aplikacji zewnętrznych w zakresie usług udostępnianych przez ePUAP. A nie ograniczają się one tylko do uwierzytelniania i autoryzacji.
Profil zaufany nie kończy ponad 10-letniego błądzenia polskiej administracji po meandrach informatyzacji, w którym obywatele wydawali się być "kwiatkiem do kożucha". Po pierwsze, do tworzenia wzorów konkretnych procedur są uprawnieni wyłącznie poszczególni ministrowie. Po drugie, żeby przez ePUAP można było złożyć np. wniosek o pozwolenie na budowę np. w Tarnowie, konieczne jest, by odpowiedni organ lokalny zintegrował taki formularz z ePUAP. Na niedawnej konferencji ePUAP w Krakowie można było zobaczyć kilka pionierskich projektów przełamujących kulturę resortowości i dostrzegających obywatela jako uczestnika procesu administracyjnego. O integracji z ePUAP mówili m.in. przedstawiciele Ministerstwa Środowiska, Gospodarki, ZUS i Ministerstwa Finansów.
Problemem polskiego sektora publicznego podkreślanym w licznych raportach jest jednak nie tyle brak nowoczesnych technologii i brak pionierów, co bardzo nierówny poziom świadczenia usług przez urzędy, funkcjonujące nieraz w kulturze księstw dzielnicowych. Obok urzędów sprawnych i nowoczesnych mamy urzędy będące w istocie organizacyjnymi skansenami. Pomimo wprowadzenia profilu zaufanego, nie będzie więc rewolucji w dostępie obywateli do usług elektronicznych bez jednolitych standardów zarządzania administracją publiczną oraz usunięcia ciągnących się od lat kazuistycznych sporów np. co do znaczenia słowa "pisemny", dzięki którym w XXI wieku mogą w administracji istnieć całe enklawy, które po prostu nie przyjmują do wiadomości istnienia innych środków komunikacji.
