Miesięcznik informatyków i menedżerów IT sektora publicznego

Michał Tabor

Automatyczny dostęp do cyfrowych usług publicznych

Dostęp do systemów usług administracji publicznej można zautomatyzować, korzystając z doświadczeń rewolucji, która stała się faktem w bankach w całej Unii. Automatyzacja dostępu będzie bowiem następnym punktem w rozwoju systemów sektora publicznego.

Rządowe inicjatywy, takie jak Cyfrowa Piaskownica Administracji oraz udostępniony przez Ministra Cyfryzacji Standard Otwartości Danych, pozwalają na automatyczny dostęp do danych zgromadzonych i przetwarzanych w systemach administracji publicznej. Pozwalają one na dostęp do danych statystycznych, a także do informacji zawartych w publicznych zbiorach danych. Rozwiązania te pozwalają na dostęp uprawnionego podmiotu do danych, zadawanie pytań i wyciąganie porcji informacji. Kolejny krok to umożliwienie automatycznego dostępu nie tylko do danych zbiorczych, ale też zautomatyzowany dostęp obywatela lub przedsiębiorcy do swojego „indywidualnego konta publicznego”. 

Dobre praktyki sektora finansowego

Aby pokazać, na czym polega rewolucja w dostępie do usług bankowych, należy wyjaśnić, co oznacza PSD2, czyli Payment Services Directive 2. To dyrektywa Parlamentu Europejskiego i Rady nr 2015/2366 z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego (DzUrz UE L 337 z 23.12.2015). Wprowadza ona instytucję zewnętrznego dostawcy usług płatniczych, który nie jest bankiem, natomiast za jego pomocą można realizować dostęp do konta bankowego. Zewnętrzny dostawca usług płatniczych może świadczyć usługi dostępu do informacji o rachunku lub usługi inicjowania płatności. Zewnętrzni dostawcy, aby świadczyć swoje usługi, muszą uzyskać licencję nadzoru bankowego, natomiast uzyskanie takiej licencji daje im dostęp do usług informacji o koncie lub realizacji płatności we wszystkich bankach, nie tylko krajowych, ale w praktyce w całej Unii Europejskiej. Takie podejście z jednej strony daje dostawcom usług płatniczych szeroki dostęp do usług bankowych, z drugiej strony pozwala na budowanie nowych, łatwiejszych, zintegrowanych usług płatniczych niezależnie od banków. 
Aby sprostać realizacji wymagań PSD2, wszystkie banki w UE zostały zobowiązane do wystawienia otwartego interfejsu API dla wszystkich dostawców usług płatniczych posiadających licencję w Unii. Dostęp ten nie wymaga dodatkowej umowy pomiędzy bankiem a dostawcą usługi, a podstawą techniczną jest udostępniony mechanizm API. W Polsce wdrożono standard Polish API, który pozwala po wykonaniu silnego uwierzytelnienia klienta bankowości elektronicznej na pobranie informacji o właścicielu konta, tych dotyczących historii aktywności na koncie, zlecenie płatności i uzyskanie potwierdzenia prawidłowej płatności. Standardy Otwartości Danych, o których wspomnieliśmy we wstępie, dają dostęp uprawnionym podmiotom do wszystkich danych zgromadzonych w zasobie informacyjnym, ale nie pozwalają na dostęp jednostkowy do danych lub usług związanych z pojedynczym użytkownikiem. Natomiast PSD2 właśnie umożliwiło realizację usługi w kontekście pojedynczego posiadacza konta bankowego. 

Silne uwierzytelnienie

Dostęp do bankowości elektronicznej wymaga silnego uwierzytelnienia – do logowania konieczne jest wykonanie dodatkowego działania w oparciu o urządzenie, np. przepisanie kodu SMS lub autoryzacja w aplikacji bankowej. Dzięki takiemu podejściu udostępnianie usług za pomocą rozwiązań podmiotów trzecich każdorazowo wymaga bezpośredniego potwierdzenia właściciela. Silne uwierzytelnienie już dziś z powodzeniem jest stosowane przez administrację. Oferuje je system login.gov.pl zarówno przy użyciu profilu zaufanego, jak i bankowych środków identyfikacji elektronicznej. Jest ono obowiązkowym składnikiem identyfikacji elektronicznej zgodnie z rozporządzeniem eIDAS o poziomie bezpieczeństwa co najmniej średnim. 
Wykorzystanie silnego uwierzytelnienia w usługach dostępnych online zmienia model bezpieczeństwa, który można zastosować w usługach administracji publicznej. Podłączenie podmiotu trzeciego do usługi bez każdorazowej autoryzacji właściciela nie daje bezpośredniego wglądu w żadne prywatne dane ani nie pozwala na uruchomienie żadnego zlecenia. Natomiast silne uwierzytelnienie zapewnia, że bezpośredni właściciel danych lub osoba, której bezpośrednio tyczy się usługa, ma wyłączną kontrolę nad swoimi danymi. 
W usługach publicznych od kilkunastu lat wdrażany jest podpis elektroniczny, w tym także ten oparty na kwalifikowanym certyfikacie. Podpis elektroniczny ma ogromne znaczenie w procesie zabezpieczania dokumentów i potwierdzania zleceń, a zastosowanie podpisu zaufanego, osobistego lub kwalifikowanego oferuje bezpieczeństwo co najmniej takie jak dwuskładnikowe silne uwierzytelnienie. Jednakże w usługach online dostęp do danych, możliwość przeszukiwania własnych danych i wykonywanie podstawowych funkcji znacznie łatwiej zrealizować na podstawie mechanizmów identyfikacji elektronicznej i uwierzytelnienia. Z tego powodu właśnie udostępnienie funkcji identyfikacji elektronicznej, która jest uznana przez administrację publiczną, a jednocześnie dostępna dla dostawców usług i aplikacji komercyjnych, jest tak ważnym ogniwem rozwoju cyfrowych usług publicznych.

[...]

Autor jest ekspertem ds. identyfikacji, uwierzytelniania i podpisu elektronicznego PIIT, rzeczoznawcą PTI, ekspertem Komitetu Technicznego ESI ETSI oraz partnerem Obserwatorium.biz i kierownikiem rozwoju Autenti. Pomysłodawca składania deklaracji PIT zabezpieczonych kwotą z deklaracji zeszłorocznej, projektant Profilu Zaufanego ePUAP i inicjator Forum eIDAS_PL zajmującego się wdrożeniem eIDAS w Polsce.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej