Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
eIDAS määrusEUROOPA PARLAMENDI JA NÕUKOGU MÄÄRUS (EL) nr 910/2014,23. juuli 2014,e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93/EÜ
Laura Kask17.02.2016
§
EL eIDAS määrus = Eesti seadus
Digitaalallkirja seadus Euroopa Parlamendi ja Nõukogu 23.juuni 2014 määruse nr 910/2014 „e-identimise ja e-tehingute jaoks vajalike usaldusteenuste kohta siseturul ja millega tunnistatakse kehtetuks direktiiv 1999/93 EÜ“ rakendamise seadus
eIDAS
eID usaldusteenused(digiallkiri jm.)
eID osa rakendumine
eID vabatahtlik tunnustamine 18.09.2015Riigid saavad hakata oma eID skeemidest teavitama ja tublimad neid teavitatud eID-sid
ka oma teenustes autentimiseks kasutama.
eID kohustuslik tunnustamine 18.09.2018Riigid peavad aktsepteerima e-teenustes kõiki vastava tasemega teavitatud eID-sid
teistest riikidest.
eID piiriülene tunnustamine(avalikus sektoris)
• Määrus reguleerib piiriülest koosvõimet – millist eID-d tuleb teistest liikmesriikidest aktsepteerida.
• Kui kuskil kasutatakse autentimist, siis peab sinna ligi laskma ka teiste riikide samaväärse või kõrgema tasemega eID kasutajaid teistest riikidest.
• Ligi peab laskma neid eID vahendeid, millest riigid on teada andnud (teavitanud).
• Kui teenus ei oma välisriigi kodanikule mõtet, siis teenuse osutamine ei ole kohustuslik.
eID kolm taset
• Kõrge – isik on füüsiliselt ja pädevalt
tuvastatud, ta omab ja teab (või on) midagi
(nt. ID-kaart, m-ID + PIN kood vmt).
eID kolm taset
• Märkimisväärne – isik on enam-vähem
tuvastatud, tal on mingi enam-vähem
identimise vahend (soft sert, parooli
tapeet).
eID kolm taset
• Madal – isik on esitanud usutavana
tunduvad andmed ja saanud näiteks
püsiparooli või korduvate paroolidega
paroolikaardi.
Mõtlemiseks
1) Kas e-teenus omab piiriülest tähendust? Kas Euroopa eID-ga isikul on põhjendatud huvi e-teenust tarbida?
2) Mis taset autentimisel e-teenus vajab? (kõrge, märkimisväärne, madal)
3) Kas iseteeninduskeskkonda sisenejale peaks avanema erinev vaade ja võimalused sõltuvalt sellest, kuidas ta end on autentinud?
• Tähelepanu tuleb pöörata, et pangalingi puhul võib autentimine toimuda:
o ID kaart- KÕRGE
o PIN-kalkulaator- MÄRKIMISVÄÄRNE?
o Kordumatud paroolid (paroolitapeet)- MÄRKIMISVÄÄRNE
o Kasutajatunnus ja paroolikaart- MADAL
• Kas infosüsteemil on valmisolek käsitleda isikuid, kellel puudub harjumuspärane isikukood?
USALDUSTEENUSED(digiallkiri ja muu)
• Alates 1.07.2016 ühtne tururegulatsioon
teenuseosutajatele EÜ majanduspiirkonnas.
• Kui kuskil avalikus sektoris aktsepteeritakse e-
allkirjaga dokumente, siis tuleb aktsepteerida ka
teistest riikidest ja teiste teenuseosutajate abil
allkirjastatud samaväärse allkirja tasemega
dokumente.
E-allkirja „tasemed“
• Kvalifitseeritud e-allkiri – kvalifitseeritud serdiga antud ja kasutatud selleks turvalist vahendit (kiipkaaart vmt.), sert on olnud kehtiv allkirjastamise ajal. = meie digiallkiri.
• Täiustatud e-allkiri kvalifitseeritud serdiga – igasugu soft-serdiga jmt. allkirjad, mis tekitavad tõsiseltvõetava seose allkirjastatud asja ja allkirja andja vahel, serdi kehtivuse kontroll allkirjastamisel ei ole tingimata nõutav.
• Täiustatud e-allkiri – sama, kuid sert ei pruugi ka kvalifitseeritud olla.
• Lihtsalt e-allkiri – igasugu vigurid, mida ka hea fantaasia korral e-allkirjaks annab nimetada (pulgaga ekraanil antud vmt.)
Tunnustatavate e-allkirjade formaadid
• Standardseid e-allkirja formaate tuleb aktsepteerida porisemata (PDF jmt.)
• Eksootilisi formaate tuleb aktsepteerida, kui on kättesaadavaks tehtud ka võimalus nende valideerimiseks (näiteks https://digidoccheck.sk.ee/)
• Standardsete formaatide käsitlemiseks töötab vahendeid välja ka EL Euroopa maksumaksja rahadega, eksootiliste formaatidega peab igaüks ise hakkama saama.
https://digidoccheck.sk.ee/
Kuidas aru saada, kui kange
allkirjaga on tegu?
Iga liikmesriik koostab, haldab ja avaldab usaldusnimekirju,
mis sisaldavad teavet tema vastutusalasse kuuluvate
kvalifitseeritud usaldusteenuse osutajate ja nende
osutatavate kvalifitseeritud usaldusteenuste kohta.
Näited e-allkirjadest
Mõtlemiseks
• Mida teeb asutus võõrapärase digitaalselt allkirjastatud
dokumendiga?
• Kas e-teenuse protsessi jaoks on oluline, et allkirja tase
vastaks omakäelisele allkirjale?
• Kas ja mis kujul on vaja säilitada (arhiveerida)
võõrapärast digitaalselt allkirjastatud dokumenti?
Aitäh!
Laura Kask
mailto:[email protected]