Profil zaufany oraz profil osobisty zostały notyfikowane jako środki identyfikacji elektronicznej w Unii Europejskiej i mogą być używane do identyfikacji ich posiadacza w usługach elektronicznych administracji publicznej w innych krajach unijnych. Co więcej notyfikacja potwierdza, że te środki spełniają warunki bezpieczeństwa.
Środki identyfikacji elektronicznej
Środki identyfikacji elektronicznej pozwalają na zdalne przekazanie informacji o tożsamości użytkownika do usług online. Środki zawierają w szczególności imię, nazwisko oraz unikalny identyfikator np. PESEL. Środki mogą przekazywać dodatkowe dane takie jak data urodzenia, potwierdzenie pełnoletniości, adres zamieszkania lub inne atrybuty, które bezpośrednio odnoszą się do naszej tożsamości. Systemy identyfikacji elektronicznej oraz środki identyfikacji elektronicznej zostały określone rozporządzeniem eIDAS.
Notyfikacja środków identyfikacji elektronicznej
Notyfikacja środków identyfikacji elektronicznej to procedura, którą przeprowadza państwo członkowskie Unii Europejskiej w stosunku do środków, za które zamierza ręczyć wobec innych krajów Unii Europejskiej. Notyfikowanie polega na opisaniu systemu identyfikacji elektronicznej, w którym funkcjonują środki identyfikacji, określeniu poziomu ich bezpieczeństwa oraz stosowanych zabezpieczeń na każdym etapie cyklu życia środka identyfikacji. W wyniku procesu notyfikacji następuje ocena środka przez wszystkie pozostałe kraje Unii Europejskiej, w wyniku czego wystawiana jest opinia o środku.
Ocena wiarygodności środka identyfikacji
Każdy środek identyfikacji elektronicznej ma określony poziom bezpieczeństwa – niski (low), średni (substatnial), wysoki (high). Dla każdego z poziomów, przepisy wydane na podstawie eIDAS określają wymagania obejmujące procedury rejestracji, używania oraz zarządzania cyklem życia środka identyfikacji elektronicznej. Kraj członkowski notyfikując środek określa jaki jest poziom jego bezpieczeństwa, a co za tym idzie do jakich procesów może być on używany. Głównym poziomem stosowanym do większości funkcji jest poziom średni, natomiast poziom wysoki powinien być stosowany tam, gdzie ryzyko błędnej identyfikacji musi być maksymalnie ograniczone.
Profil zaufany
Profil zaufany jest najczęściej używanym w Polsce środkiem identyfikacji elektronicznej. Profil zaufany uzyskać można przez rejestrację w urzędzie administracji publicznej, ale także przez potwierdzenie tożsamości pochodzącej z bankowości elektronicznej. Profil zaufany jest środkiem identyfikacji o poziomie bezpieczeństwa „średni”, co oznacza – że jego założenie nie wymaga osobistego stawiennictwa i może być założony zdalnie. Używanie profilu zaufanego wymaga dwuskładnikowego uwierzytelnienia – podobnie jak dostęp do bankowości elektronicznej, co gwarantuje tożsamy poziom bezpieczeństwa.
Profil osobisty
Profil osobisty jest środkiem związanym z elektronicznym dowodem osobistym o poziomie bezpieczeństwa „wysokim”. Jego użycie wymaga posiadania dowodu z warstwą elektroniczną oraz czterocyfrowego kodu PIN. Użycie profilu osobistego odbywa się poprzez przyłożenie dowodu do czytnika oraz podanie PIN. W tym procesie dowód używa kryptografii zawartej w jego warstwie elektronicznej do utworzenia bezpiecznej transmisji danych i przekazania danych identyfikujących. Z profilem osobistym jest związany bezpośrednio certyfikat cyfrowy, który zawiera dane identyfikujące posiadacza dowodu, gwarantuje integralność danych identyfikujących oraz umożliwia weryfikację kryptograficzną.
Więcej: E-Dowód, czyli dowód osobisty z warstwą elektroniczną. Dlaczego warto go aktywować?
Krajowy schemat identyfikacji
Środki identyfikacji elektronicznej funkcjonują w ramach krajowego schematu identyfikacji – tj. system login.gov.pl umożliwia ich użycie w systemach administracji publicznej, zapewnia jednolity model przekazywania danych oraz sprawne funkcjonowanie ww. systemu. Jednocześnie system zapisuje w rejestrze każde użycie danego środka identyfikacji elektronicznej pozwalając Ministrowi właściwego ds. informatyzacji na odtworzenie informacji w jakim momencie korzystaliśmy ze środków identyfikacji elektronicznej. Użycie profilu zaufanego technologicznie jest ograniczone tylko do funkcjonowania w ramach krajowego schematu identyfikacji elektronicznej, natomiast profil osobisty może w sposób bezpieczny być używany poza tym systemem.
Rozpoznawalność środków za granicą
Notyfikacja oznacza rozpoznawalność polskich środków identyfikacji elektronicznej w systemach publicznych w innych krajach Unii Europejskiej. Od danego systemu korzystającego ze środków identyfikacji elektronicznej zależy, czy zakres danych przekazywanych przez środek identyfikacji jest wystarczający do realizacji usługi online. Cała komunikacja z systemami zagranicznymi będzie się odbywała za pomocą krajowego schematu identyfikacji oraz tzw. Węzłów eIDAS, które przekażą możliwość identyfikacji elektronicznej do innych krajów Unii Europejskiej.
Wykorzystanie dowodu osobistego do identyfikacji w usługach
Dowód osobisty jest kartą kryptograficzną, podobną do tej jaką używa się do składania kwalifikowanego podpisu elektronicznego. Po połączeniu z czytnikiem, którym w szczególności może być telefon komórkowy, umożliwia przeprowadzenie operacji kryptograficznej potwierdzającej użycie właściwej karty przez użytkownika podającego kod PIN. Ponieważ zgodnie z przepisami, PIN musi być strzeżony przez właściciela, a udostępnianie go osobom trzecim lub używanie przez osoby trzecie jest karane pozbawieniem wolności do lat trzech, wiarygodność identyfikacji dowodem osobistym jest równoważna osobistemu stawiennictwu.
Bezpieczeństwo procesu identyfikacji dowodem osobistym
Użycie identyfikacji elektronicznej za pomocą profilu osobistego może odbywać się w ramach krajowego schematu identyfikacji elektronicznej, ale także może się odbyć w systemie potwierdzania tożsamości, który stosując normy techniczne zapewnia odpowiednie warunki dla bezpieczeństwa takiego procesu. Bezpieczną realizację procesu potwierdzenia tożsamości mogą przeprowadzać dostawcy usług zaufania, którzy przechodzą audyty na zgodność z normami ETSI EN 319 411-1/2 oraz ETSI TS 119 461. Użycie dowodu w przypadku dostawców usług zaufania nie wymaga pośrednictwa krajowego węzła identyfikacji.
Łatwiejszy dostęp do kwalifikowanego podpisu elektronicznego
Wydanie kwalifikowanego certyfikatu podpisu elektronicznego wymaga potwierdzenia tożsamości jego posiadacza. Rozporządzenie eIDAS pozwala na realizację tego potwierdzenia za pomocą środków identyfikacji elektronicznych na poziomie wysokim. Wobec czego posiadając dowód z warstwą elektroniczna możemy w łatwy sposób uzyskać dostęp do złożenia kwalifikowanego podpisu elektronicznego, bez konieczności fizycznej obecności albo wideo-identyfikacji.
Rozwój środków identyfikacji elektronicznej
Notyfikacja polskich środków identyfikacji elektronicznej była długo oczekiwanym procesem, które w przypadku wielu innych krajów europejskich miało miejsce kilka lat temu. Wskazane środki identyfikacji elektronicznej umożliwią rozwój tzw. portfeli cyfrowej tożsamości, których przedstawicielem jest mObywatel. Europejski Portfel Cyfrowej Tożsamości ma umożliwić identyfikację elektroniczną do usług publicznych i prywatnych, zapewnić brak możliwości śledzenia jego użycia (w tym przez instytucje państwowe), a jednocześnie pozwolić na bezpieczną rejestrację do usług bankowych, mediów oraz kwalifikowanych usług zaufania.
Źródło: Lista notyfikowanych środków identyfikacji elektronicznej
Data publikacji: 28.01.2023