Korzyści, zobowiązania i wymagania dla współpracy instytucji publicznych z Platformą epuap

Transkrypt

1 Korzyści, zobowiązania i wymagania dla współpracy instytucji publicznych z MSWiA, dn r. Platformę epuap można scharakteryzować przez następujące trzy cele przyświecające jej realizacji: 1. Dostarczenie usług epuap dla instytucji publicznych, które ułatwią tym instytucjom świadczenie usług publicznych drogą elektroniczną. 2. Udostępnienie infrastruktury dla wymiany informacji pomiędzy instytucjami publicznymi oraz dla tworzenia usług złożonych, składających się z usług atomowych świadczonych przez potencjalnie różne instytucje publiczne. 3. Udostępnienie odbiorcom usług publicznych (obywatele, przedsiębiorstwa) pojedynczego punktu dostępowego w Internecie, w którym zagregowane będą usługi świadczone przez instytucje publiczne. Powyższe cele realizowane będą przy dwu podstawowych założeniach: a) Zachowanie jawności, otwartości oraz neutralności technologicznej interfejsów systemów teleinformatycznych. b) Dążenie do jak największej standaryzacji formatów danych wymienianych pomiędzy: instytucjami publiczne - usługobiorcy oraz pomiędzy samymi instytucjami publicznymi. epuap stanowi szansę dla instytucji publicznych by w sposób jednolity udostępniały usługi nie ponosząc przy tym znaczących kosztów. W niniejszym dokumencie przedstawiono korzyści, zobowiązania oraz wymagania na współpracę pomiędzy instytucjami publicznymi decydującymi się na korzystanie z usług epuap, poruszając także techniczne aspekty zagadnienia. 1 Usługi oferowane przez epuap instytucjom publicznym 1.1 Usługi epuap epuap oferuje zestaw elementarnych usług, które umożliwiają instytucjom publicznym budowanie i udostępnianie usług publicznych kanałami elektronicznymi. Instytucje publiczne mają pełną swobodę w doborze zastosowanych usług, tj. równie dobrze mogą np. skorzystać z pojedynczej, wybranej usługi, jak i zastosować kilka wybranych usług epuap lub nawet wszystkie usługi jednocześnie. Dane przetwarzane przez usługi epuap na rzecz instytucji publicznych: a) pozostają ich własnością, tj. epuap zapewnia jedynie infrastrukturę sprzętowo - software ową, nie biorąc odpowiedzialności za jakość danych, ich kompletność czy zgodność ze stanem faktycznym; b) epuap zapewnia ich bezpieczeństwo w trakcie przetwarzania i przechowywania na platformie; gwarantowana jest integralność, dostępność, poufność (są udostępniane jedynie ich właścicielowi oraz podmiotom, którym właściciel zdecyduje się je ujawnić) Usługi bezpieczeństwa Usługi bezpieczeństwa obejmują w szczególności: Departament Informatyzacji MSWiA tel , tel./fax ul. Wspólna 1/3, Warszawa Projekt współfinansowany Przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego 1/8

2 a) infrastrukturę katalogu użytkowników, zasobów i przywilejów, wraz z mechanizmami rozproszonego zarządzania (np. właściciele zasobów samodzielnie ustanawiają przywileje dostępu do swoich zasobów); b) mechanizmy identyfikacji i uwierzytelnienia użytkowników w kontekście katalogu j.w.; c) serwisy autoryzacji (badanie relacji użytkownik-zasób-przywilej); d) serwisy realizujące elementarne operacje niezbędne w związku z wykorzystaniem podpisu cyfrowego (bezpiecznego podpisu elektronicznego jak również innego rodzaju sygnatur cyfrowych sporządzanych z wykorzystaniem kryptografii z kluczem publicznym), np.: weryfikacja podpisu, sprawdzenie ważności certyfikatu (zagregowane OCSP), oznaczanie ( niekwalifikowane znakowanie) czasem, sporządzanie archiwalnej postaci podpisu (takiej, dzięki której podpis ważny jest dłużej niż ważność certyfikatu służącego do jego weryfikacji). Użytkownicy platformy samodzielnie, tj. bez weryfikacji przez organizację epuap, zakładają swoje profile oraz wypełniają je danymi. Nie stwarza to zagrożenia podszycia się pod kogoś (lub pod firmę), gdyż tak założone konto nie pozwala wykonywać żadnych czynności wymagających autoryzacji dostępu (możliwe są jedynie takie operacje jak np. przeglądanie treści portalu, przeglądanie katalogu usług). Aby móc wykonywać czynności, dla których wymagana jest autoryzacja, wymagane będzie uzyskanie dodatkowych uprawnień bądź ról, których nadanie będzie leżało w gestii konkretnej instytucji publicznej i może wiązać się z np. przeprowadzeniem postępowania weryfikacyjnego. Usługi bezpieczeństwa typowo będą wykorzystywane jako integralny element pozostałych usług platformy nie mniej w razie szczególnych potrzeb instytucje publiczne mogą wykorzystywać usługi bezpieczeństwa w sposób bezpośredni (jako infrastrukturę dla własnych szczególnych rozwiązań kanałów elektronicznych) Usługi komunikacyjne Usługi komunikacyjne to kluczowa grupa usług platformy umożliwiająca budowanie zasobów (tzw. skrytek) służących do przekazywanie informacji w postaci elektronicznej pomiędzy użytkownikami platformy w relacjach obywatel/przedsiębiorca instytucja publiczna oraz instytucja publiczna instytucja publiczna. Usługi komunikacyjne pomyślane są jako pewien elastyczny zbiór możliwości posiadający potencjał wsparcia wielu różnych zastosowań: a. proste przekazanie synchronicznego wywołania/transakcji (wtedy usługi pełnią funkcję swego rodzaju proxy), b. asynchroniczna komunikację (z kolejkowaniem transakcji), c. zastosowania związane ze wsparciem wymiany elektronicznych pism o znaczeniu urzędowym, z całym mechanizmem generacji urzędowych poświadczeń odbioru przekazywanych pism; Skrytki mogą być wykorzystywane przez instytucje publiczne jako elektroniczne skrzynki podawcze, tj. spełniają prawne wymogi nałożone na rozwiązania realizujące elektroniczne skrzynki podawcze. Obsługiwane jest także przekazywanie kilku pism zgrupowanych w jedną przesyłkę, tzw. e-paczkę. W zależności od potrzeb konkretnego zastosowania mogą być również wykorzystywane opcje wykrywania i eliminacji duplikatów, autoryzacji nadawcy (odbiorca autoryzowany musi być zawsze), zatrzymywania niepoprawnych dokumentów (np. niezgodnych z oczekiwanym wzorem lub zawierających dane niespełniające oczekiwań odbiorcy), oznaczania czasem przekazywanych dokumentów oraz sporządzenia archiwalnej postaci podpisów. Usługi komunikacyjne oferują modele nadawania i dostarczania dokumentów z wykorzystaniem usług frontend (patrz niżej) jak również modele oparte na HTTP(S) w modelu PUSH lub PULL oraz awaryjne modele nadawania/dostarczania wsadowego dla komunikacji z systemami nadawców/odbiorców. MSWiA 2/8

3 1.1.3 Usługi front-end Usługi front-end to grupa usług platformy przeznaczona przede wszystkim do wykorzystania przez przedsiębiorców/obywateli, ale również przez mniejsze instytucje publiczne. Podmioty te nie mają i nie muszą mieć własnych narzędzi służących do przygotowywania i bezpiecznego przetwarzania dokumentów elektronicznych w czasie załatwiania swoich spraw. Usługi front-end oferują takim podmiotom możliwość gromadzenia i zarządzania zasobami dokumentów dotyczących bieżących spraw oraz wykonywania operacji na dokumentach elektronicznych (tworzenie, edycja, wizualizacja, podpisywanie itp.). W sposób naturalny usługi front-end zintegrowane są z usługami komunikacyjnymi platformy umożliwiając nadawanie/odbierania dokumentów do/ze skrytek. Wykorzystując określone definicje dostarczone przez instytucje publiczne świadczące usługi poprzez epuap (tzw. formularze), osoby korzystające z usług front-end mogą w wygodny sposób tworzyć i edytować dokumenty związane z tymi usługami. Innymi słowy, usługi front-end umożliwią instytucjom publicznym udostępnienie środowiska (aplikacji online), w którym przedsiębiorcy i obywatele będą mogli, z wykorzystaniem zdefiniowanych przez instytucje publiczne wzorów dokumentów oraz stworzonych dla nich formularzy, pracować z dokumentami, które wymagane są w komunikacji pomiędzy instytucją a przedsiębiorstwem/obywatelem. Wyrafinowane formularze mogą zawierać wiele logiki ułatwiającej stworzenie poprawnych dokumentów, możliwe jest zdefiniowanie np. takich operacji jak: automatyczne utworzenie odpowiedzi na dokument, automatyczne wypełnienie/przeliczenie pewnych pól dokumentu zgodnie z zadanymi regułami możliwość automatycznego wypełnienia pewnych pól dokumentu danymi pobranymi z rejestrów weryfikacja treści dokumentu wybór właściwego adresata dokumentu Usługi koordynacyjne Usługi koordynacyjne są grupą usług platformy służąca do budowy i udostępnienia złożonych usług publicznych powstających jako kompozycja wielu prostszych usług. Usługi koordynacyjne są wykorzystywane wg scenariusza, w którym wiele różnych zasobów (usług) komponowanych jest w określony sposób, w wyniku czego powstaje zupełnie nowy zasób (usługa). Dla użytkownika takiego zasobu fakt, że pod spodem jest potencjalnie złożony proces koordynujący wiele różnych innych zasobów, jest nieinteresujący i niezauważalny. Jedna z instytucji biorących udział w procesie musi wystąpić w roli właściciela procesu koordynacyjnego, odpowiedzialnego za jego przebieg oraz efekty. W momencie wdrożenia i udostępnienia przez epuap usługi publicznej korzystającej z mechanizmów koordynacji (zwłaszcza w scenariuszu jednego okienka) epuap przestaje być wyłącznie bramą zapewniającą dostęp do usług realizowany poza epuap. epuap staje się wtedy istotnym ogniwem realizacji takiej usługi. Szczególnym planowanym zastosowaniem zdolności koordynacyjnych epuap jest koncepcja tzw. brokera rejestrowego, którego intencją jest stanowienie pewnej warstwę abstrakcji zbudowanej ponad kluczowymi wspólnymi zasobami informacyjnymi Państwa. Broker rejestrowy pozwoliłby klientom (głównie instytucjom publicznym) sięganie po te zasoby w sposób abstrahujący od ich umiejscowienia i aktualnej postaci, w oparciu o zapytania/polecenia formułowane wyłącznie w kategoriach konkretnej potrzeby informacyjnej (np. dotyczącej osoby) bez konieczności odnoszenia się do konkretnego rejestru lub nawet wielu rejestrów Usługi wsparcia płatności Usługi wsparcia płatności to usługi umożliwiające przedsiębiorcom/obywatelom dokonanie opłaty skarbowej (lub innej opłaty administracyjnej) za pośrednictwem mediów elektronicznych. Opłata będzie dokonywana z MSWiA 3/8

4 wykorzystaniem usług szybkich płatności online udostępnianych przez wiele spośród banków oraz innych instytucji finansowych (jak np. instytucje obsługujące karty płatnicze). Płatność będzie dokonywana w sposób analogiczny, do tego, jak jest to już realizowane w środowiskach komercyjnych. tj. platforma umożliwi użytkownikowi wybór preferowanej formy płatności (np. kartą kredytową, mtransfer itp.), a następnie użytkownik zostanie przekierowany do serwisu wybranej instytucji finansowej celem dokonania płatności. Po zakończeniu transakcji, system instytucji finansowej przekieruje użytkownika z powrotem na stronę, z której płatność została zainicjowana (czyli np. do podsystemu front-end lub do systemu instytucji publicznej, zewnętrznego względem epuap), zwracając jednocześnie podpisany dokument Elektronicznego Potwierdzenia Opłaty Katalog usług Katalog usług jest wspólną infrastruktura katalogująca usługi publiczne w celu umożliwienia przedsiębiorcom/obywatelom odnalezienia (na Platformie i poza nią) odpowiednich zasobów służących rozwiązaniu konkretnych problemów z dziedziny usług publicznych. Jest to infrastruktura czysto publikacyjna (bez związku z katalogiem użytkowników-zasobów-przywilejów stanowiącym składnik usług bezpieczeństwa platformy). Jako taka usługa adresowana jest przede wszystkim do przedsiębiorców/obywateli. Rolą instytucji publicznych jest wyłącznie udział w zasilaniu katalogu treścią opisującą świadczone usługi publiczne. 1.2 Zapewnienie interoperacyjności Osobną gałęzią planowanej działalności epuap jest zorganizowanie i dostarczenie wsparcia dla ciągłego procesu ustanawiania i doskonalenia standardów w obszarze działania administracji publicznej, dzięki którym możliwe będzie trwałe podnoszenie poziomu interoperacyjności zasobów elektronicznych administracji publicznej, co z kolei stanowi kluczowy warunek trwałego postępu w obszarze integracji i podnoszenia efektywności procesów w administracji publicznej. Innymi słowy, rekomendacje te nie są obowiązkowe dla korzystających z epuap. Oczywiście mogą wystąpić pewne wyjątki i ograniczenia podyktowane zasadami zdrowego rozsądku, np. epuap nie będzie potrafił wystawiać dokumentów Urzędowego Poświadczenia Odbioru w dowolnym, wskazanym przez instytucje publiczną formacie, a jedynie w formacie rekomendowanym. 1.3 Przykładowe scenariusze wykorzystania usług epuap Usługi epuap, z racji swej elastyczności, mogą być wykorzystywane do realizacji szerokiego zakresu zadań. Dla ilustracji możliwych zastosowań platformy podano poniżej przykładowe obszary działalności instytucji publicznych, które mogą lub powinny być (ze względu na wymogi prawne) poddane automatyzacji z wykorzystaniem rozwiązań informatycznych, wraz z pokazaniem, jak owa automatyzacja może zostać zrealizowana z wykorzystaniem usług epuap epuap jako elektroniczna skrzynka podawcza. Ustawa o podpisie elektronicznym nakłada na instytucje publiczne udostępnianie elektronicznej skrzynki podawczej. Skrzynka ta może być realizowana przez podsystem usług komunikacyjnych epuap, gdyż: Skrytki epuap są udostępniane w Internecie. Dostęp do nich jest możliwy za pośrednictwem powszechnie wykorzystywanego protokołu (protokołu HTTP(S), więcej o stronie technicznej usług w dalszej części dokumentu). epuap automatycznie wystawia, podpisuje i zwraca nadawcy Urzędowe Poświadczenie Odbioru. Instytucje publiczne mogą korzystać z usług komunikacyjnych albo z wykorzystaniem własnych aplikacji/systemów, które muszą wtedy implementować (oparty o publiczne standardy) protokół MSWiA 4/8

5 komunikacyjny epuap (własna aplikacja/system jest rozwiązaniem lepszym dla dużych instytucji, które chciałyby np. automatycznie przekazywać przesyłki do własnego systemu obiegu dokumentów) albo z wykorzystaniem udostępnianych na platformie usług front-end, gdzie online w aplikacji webowej możliwe jest odbieranie przesyłek przekazywanych za pośrednictwem usług komunikacyjnych epuap jako element infrastruktury bezpieczeństwa. epuap może być wykorzystany przez instytucje publiczne jako wsparcie infrastruktury bezpieczeństwa systemów tychże instytucji. Możemy tu wyróżnić kilka podstawowych modeli wsparcia: a. Model, w którym instytucja udostępnia swoje zasoby (systemy) z wykorzystaniem własnych łącz (np. do Internetu albo do innych instytucji publicznych), jednocześnie korzystając ze wsparcia pewnych usług bezpieczeństwa epuap, np. wykorzystując profile użytkowników epuap oraz mechanizmy identyfikacji i uwierzytelnienia użytkowników. b. Model, w którym wszelka komunikacja z zasobami (systemami) instytucji będzie realizowana za pośrednictwem epuap. W tym modelu instytucja może czerpać pełnię korzyści z infrastruktury bezpieczeństwa epuap, wykorzystując nie tylko profile użytkowników i mechanizmy identyfikacji i uwierzytelnienia, ale także np. mechanizmy autoryzacji dostępu do zasobów oraz zapewniania bezpieczeństwa sieciowego (firewall, IPS itp.; w takim modelu, z perspektywy systemu instytucji, epuap można potraktować jako wyrafinowany firewall chroniący przed atakami z Internetu i innych sieci); instytucja może wtedy rozważyć rezygnację z własnych urządzeń zapewniania bezpieczeństwa sieciowego takiej klasy, jaka wymagana byłaby podczas udostępniania zasobów bezpośrednio np. w Internecie. c. Model, w którym instytucja wykorzystuje wybrane usługi związane z podpisem elektronicznym, takie jak np. weryfikacja podpisu, archiwizacja podpisu. Jest to model o charakterze komplementarnym wobec dwu powyższych (nie stoi z nimi w sprzeczności) epuap jako środowisko on-line dla tworzenia dokumentów przez obywateli/przedsiębiorstwa. Instytucje publiczne mogą w prosty sposób utworzyć środowisko (aplikację on-line) do tworzenia dokumentów wymaganych przez daną instytucję. W tym celu należy odpowiednio skonfigurować usługi front-end, tworząc formularze dokumentów, których tworzenie miałoby być wspierane przez epuap. Odpowiednio utworzony formularz może zautomatyzować nawet do 100% czynności pierwotnie wykonywanych przez obywatela/przedsiębiorstwo (oczywiście spośród czynności, które mogą podlegać automatyzacji). W szczególności formularz może zawierać informacje o opłacie skarbowej wymaganej przy składaniu dokumentu danego typu; dla takich dokumentów użytkownik w trakcie edycji będzie miał prezentowaną informację o konieczności złożenia opłaty oraz jednocześnie prostą możliwość dokonania opłaty z wykorzystaniem usług wsparcia płatności epuap epuap jako środowisko on-line dla weryfikowania poprawności i przetwarzania przez urzędników dokumentów złożonych do instytucji. Dokumenty przekazywane do skrytek instytucji publicznych z wykorzystaniem usług komunikacyjnych epuap mogą podlegać pewnym automatycznym weryfikacjom (np. w zakresie zgodności ze wzorem dokumentu). Niemniej, pomimo możliwości automatycznej weryfikacji, w części przypadków zachodzi również potrzeba dodatkowej weryfikacji przeprowadzanej przez urzędnika. Wynika to m.in. z tego, że nie wszystkie reguły dotyczące dokumentu mogą zostać automatycznie zweryfikowane oraz z tego, że nie każdy dokument złożony do urzędu przekazywany będzie za pośrednictwem usług komunikacyjnych epuap (niektóre mogą zostać dostarczone do urzędu np. na płycie CD). MSWiA 5/8

6 Usługi front-end umożliwiają wykonanie różnego rodzaju weryfikacji treści dokumentu przez urzędników. W tym celu instytucja publiczna powinna utworzyć formularz dla danego wzoru dokumentu, który zawierał będzie odpowiednie reguły weryfikacyjne. Formularz może zawierać także definicje akcji możliwych do podjęcia w kontekście danego dokumentu, np. utworzenie standardowych odpowiedzi o przyjęciu bądź o odrzuceniu wniosku itp (sam dokument nie może być modyfikowany, gdyż naruszałoby to integralność pisma złożonego przez obywatela/przedsiębiorstwo). Uwaga: formularz dla wzoru dokumentu, na bazie którego pracować będzie urzędnik najprawdopodobniej będzie innym formularzem, niż formularz, na bazie którego pracować będzie obywatel/przedsiębiorstwo podczas tworzenia dokumentu, chociażby z tego względu, że urzędnik nie powinien mieć możliwości edycji pól dokumentu, może za to mieć bardziej rozbudowane reguły walidacyjne epuap jako system automatyzujący łączenie usług instytucji publicznych w jedną złożoną usługę. Niektóre z usług publicznych, które z perspektywy obywatela/przedsiębiorstwa stanowią pojedynczą usługę, wymagają załatwienia szeregu spraw w kilku instytucjach publicznych. Sztandarowym przykładem takiej usługi może być rejestracja działalności gospodarczej. Usługi koordynacyjne epuap umożliwiają automatyczną lub półautomatyczną (w modelu koordynatora-doradcy) integrację usług atomowych w usługę złożoną. Usługi koordynacyjne wykorzystują funkcjonalności usług komunikacyjnych, usług bezpieczeństwa oraz mogą wykorzystywać usługi front-end (przede wszytkim w modelu koordynatora-doradcy) i usługi wsparcia płatności epuap jako broker rejestrowy. Platforma epuap będzie ewoluować w kierunku powszechnie stosowanego przez instytucje publiczne brokera rejestrowego. Instytucje publiczne mogą zarówno udostępniać swoje dane rejestrowe na platformie, jak i pobierać dane udostępniane przez rejestry. W obu przypadkach komunikacja realizowana jest z wykorzystaniem standardowych usług komunikacyjnych epuap, w oparciu o zapytania/transakcje synchroniczne. Operacje przetwarzania danych udostępnianych przez rejestry oraz obsługi złożonych zapytań realizowane są z wykorzystaniem usług koordynacyjnych epuap jako źródło wzorów dokumentów. epuap udostępnia wzory dokumentów oraz inne artefakty, które uzyskały status rekomendowanych w procesie standaryzacyjnym w ramach organizacji interoperacyjności. Prawdopodobnie (decyzja zostanie podjęta w najbliższym czasie) epuap będzie umożliwiał także składowanie i udostępnianie wzorów dokumentów, które nie mają statusu oficjalnych rekomendacji, a które stosowane są przez instytucje publiczne. 2 Założenia konstrukcyjne epuap oraz wymagania techniczne na korzystanie z usług epuap. Podstawowe założenia konstrukcyjne epuap oraz wymagania techniczne, które muszą być spełnione przez rozwiązania instytucji publicznych chcących skorzystać z usług epuap: 1. System będzie spełniał wymagania bezpieczeństwa określone przez Ustawę o ochronie danych osobowych dla systemów przetwarzających wrażliwe dane osobowe. 2. Moduły systemu odpowiedzialne za tworzenie Urzędowych Poświadczeń Odbioru, sporządzanie i podpisywanie dokumentów oraz rejestrację zdarzeń w systemie spełniać będą odpowiednie wymagania standardów CEN - CWA i CEN - CWA MSWiA 6/8

7 3. System pracować będzie w trybie ciągłym (365x24), przy założonej dostępności na poziomie 99,5%. 4. System w momencie inicjalizacji działania produkcyjnego spełni następujące wymagania w zakresie wydajności i pojemności systemu: a. czas odpowiedzi serwisów internetowych na poziomie 2 sekund przy zakładanej obciążalności 100 odsłon na sekundę, b. możliwość przekazywania (z wystawianiem poświadczeń odbioru) do 10 dokumentów/sekundę dla dokumentów XML o wielkości 50kB, c. zdolność do obsługi do 1000 sesji użytkowników jednocześnie pracujących w różnych usługach, 5. System będzie skalowalny; obciążenie systemu będzie podlegało monitorowaniu, system będzie na bieżąco rozbudowywany tak, aby zapewnić odpowiedni poziom świadczonych usług (w szczególności odpowiednią wydajność). 6. GUI systemu będzie dostępne za pośrednictwem przeglądarki internetowej. W uzasadnionych przypadkach zastosowane zostaną obiekty osadzone w stronach HTML. 7. Obsługiwane będą dokumenty w dowolnym formacie (XML, DOC, PDF, TIFF, inne), niemniej duża część bardziej zaawansowanych funkcjonalności dostępnych będzie jedynie dla dokumentów XML zgodnych ze standardem e-dokumentu 8. epuap będzie zwracał poświadczenia przedłożenia, poświadczenia doręczenia oraz elektroniczne poświadczenie opłaty jako dokument XML w formacie określonym przez organizację interoperacyjności (na chwilę obecną trwają prace standaryzacyjne w tym zakresie). 9. System umożliwi przekazywanie kilku dokumentów jako jednej przesyłki z wykorzystaniem standardu e-paczki w formacie określonym przez organizację interoperacyjności (na chwilę obecną trwają prace standaryzacyjne w tym zakresie). 10. Wszystkie interfejsy zewnętrzne platformy będą, jeżeli to możliwe, oparte na standardowych rozwiązaniach; w obszarach stosowalności standardów wymienionych w Rozporządzeniu w sprawie minimalnych wymaganiach dla systemów teleinformatycznych będą stosowane te standardy, a w pozostałych obszarach będą stosowane powszechnie stosowane standardy (w szczególności standardy otwarte); w żadnym wypadku nie będą stosowane specyfikacje, których publikacja, wykorzystanie, implementacja, rozszerzanie/adaptacja podlega ograniczeniom związanym z prawami autorskimi lub pokrewnymi. 11. W szczególności, dla usług komunikacyjnych, stosowane będą interfejsy oparte na wywołaniach HTTP/HTTPS i/lub kopercie SOAP przesyłanej za pośrednictwem HTTP/HTTPS (HTTPS będzie obowiązkowy dla komunikacji wymagającej uwierzytelnienia). 12. Podpis elektroniczny będzie realizowany z wykorzystaniem standardu XAdES. 3 Udostępnienie usług epuap instytucjom publicznym. Przedsięwzięcie udostępnienia usług epuap na rzecz instytucji publicznej można rozpatrywać zarówno w kategoriach organizacyjnych, jak i technicznych. 3.1 Organizacyjne aspekty przedsięwzięcia Konieczne działania o charakterze organizacyjnym to m.in. ustanowienie porozumienia (w sensie prawnym) pomiędzy instytucją publiczną a MSWiA, udział przedstawicieli instytucji w formułowaniu wymagań na platformę w trakcie jej budowy (przynajmniej w roli opiniującego wymagania) oraz inne, których omówienie wykracza poza zakres dokumentu. MSWiA 7/8

8 3.2 Techniczne aspekty przedsięwzięcia Z perspektywy technicznej, zadania konieczne do wykonania są zależne od wybranych usług epuap oraz sposobu ich użycia, niemniej część zagadnień jest wspólna dla wszystkich usług Zapewnienie dostępu sieciowego. Połączenie sieciowe pomiędzy epuap a zasobami instytucji można zrealizować na kilka sposobów. Wybór sposobu integracji jest przede wszystkim zależny od instytucji publicznej i powinien być podyktowany takimi czynnikami jak stopień poufności danych przekazywanych do/z/za pośrednictwem epuap oraz wymagania odnośnie przepustowości i niezawodności łącza. Można wyróżnić trzy podstawowe scenariusze przeprowadzenia integracji sieciowej: doprowadzenie dedykowanego łącza do epuap ustanowienie tunelu szyfrowanego VPN w sieci Internet pomiędzy epuap a zasobami instytucji wykorzystanie komunikacji szyfrowanej SSL w sieci Internet Dostosowanie usług epuap dla indywidualnych potrzeb instytucji. Platforma epuap stanowi infrastrukturę złożoną z pewnych generycznych usług, na bazie której instytucje publiczne tworzą usługi specjalizowane dla swoich celów. Dostosowywanie usług do celów instytucji odbywa się poprzez tworzenie odpowiednich danych sterujących pracą platformy, które zbiorczo nazywane są aplikacją epuap. Dane wchodzące w skład aplikacji epuap różnią się w zależności od usługi, której dotyczą; np. dla usług bezpieczeństwa będą to dane opisujące obiekty z dziedziny bezpieczeństwa, takie jak np. zasoby instytucji czy role, które ta instytucja tworzy na platformie, podczas gdy dla usług front-end będą to dane mówiące o tym, jak wyglądać ma okno edycji dokumentu prezentowane użytkownikowi oraz jakie możliwe akcje do wykonania na tym dokumencie system ma udostępniać. Platforma epuap udostępnia środowisko wspierające tworzenie oraz testowanie aplikacji epuap, w tym przeprowadzanie testów integracyjnych z systemami stron trzecich. O ile w docelowym modelu współpracy pomiędzy instytucjami publicznymi a organizacją epuap całkowita odpowiedzialność za wytworzenie oraz poprawność działania aplikacji epuap (tj. mówiąc ściśle poprawność działania usług sterowanych danymi wchodzącymi w skład aplikacji epuap) spoczywa na instytucjach publicznych, to wyjątek od tej reguły stanowić będzie projekt budowy platformy, w ramach którego Wykonawca systemu zobowiązany jest wykonać pewną ograniczoną liczbę aplikacji epuap (odpowiedzialność za ich utrzymanie spoczywać będzie na instytucjach publicznych). Należy podkreślić, że jest to oferta ograniczona zarówno w czasie, jak i ilościowo, tj. w sytuacji zgłoszenia się dużej ilości instytucji publicznych MSWiA wybierze jedynie część z nich. Z racji ograniczeń czasowych, jednym z kluczowych kryterium wyboru będzie termin podjęcia decyzji o przystąpieniu do projektu. 3.3 Utrzymanie aplikacji epuap Jak już wspomniano, aplikacja epuap pozostaje własnością instytucji publicznej i to ona jest odpowiedzialna za jej działanie. Odpowiedzialność epuap ogranicza się do zapewnienia poprawności działania infrastruktury sprzętowo-programowej (platformy epuap). Jest to sytuacja analogiczna do usług hostingowych, gdzie świadczący usługi hostingowe nie bierze odpowiedzialności za działanie aplikacji hostowanych na udostępnianej przez siebie infrastrukturze, a jedynie za poprawne działanie tej infrastruktury. MSWiA 8/8