publicstandard.pl - IT w administracji - link do strony głównej
wyszukiwanie:
Podziel się opinią o serwisie

popularne komentowane nowości

popularne

Najczęściej czytane

więcej...

WYWIADY

EN FACE: Wojciech Materna...

... prezes Stowarzyszenia Informatyka Podkarpacka i szef rzeszowskiej firmy IT Top

Dyskryminacja i złe praktyki w przetargach publicznych

Rozmawiamy z dr. inż. Andrzejem Zalewskim z Politechniki Warszawskiej, biegłym sądowym, który brał udział w opracowywaniu rekomendacji dotyczących udzielania zamówień publicznych na dostawę zestawów komputerowych i systemów IT.

powiększ tekst >
ARCHIWUM

Dyskusja o e-dowodzie

16 lutego 2010

Piotr Piętak
(Strona 2 z 3)

ComputerworldOrganizacja e-projektów

Każdy projekt unijny powinien być prowadzony przez tzw. komitet sterujący, którego członków mianuje minister. Czy taki komitet został powołany w MSWiA? Czy podjął jakieś decyzje, a jeśli tak, to jakie? A może nie został powołany i wszystkie dotychczasowe decyzje są nieprawomocne w świetle unijnego prawa? Po drugie, każdy unijny projekt powinien być opisany w dokumencie nazywanym Master Plan. Dokument ten, stale aktualizowany, odzwierciedla zmiany wprowadzane w trakcie realizacji projektu. Poprzedni rząd premiera Jarosława Kaczyńskiego przyjął go dla pl.ID. Czy rząd premiera Tuska wprowadził w nim zmiany? Czy MasterPlan wciąż istnieje? Nic o tym nie wiemy, ponieważ zamiast informacje o projekcie pl.ID upowszechniać, urzędnicy MSWiA - takie odnosi się wrażenie - starannie je ukrywają. Dlaczego? Otóż, jedną z przyczyn tego stanu rzeczy może być niejasny statut projektu. Nie wiadomo nawet, który departament MSWiA odpowiada za niego.

Z informacji - dość trudnych do znalezienia - zawartych na stronie Centrum Projektów Informatycznych MSWIA (cpi.mswia.gov.pl/portal/cpi/) możemy przeczytać, iż projekt pl.ID jest jednym z projektów realizowanych przez Centrum Projektów Informatycznych. Niemniej jednak, założenia do projektu ustawy o elektronicznych dowodach osobistych zostały przygotowane przez Departament Spraw Obywatelskich MSWiA, który jest jednostką oddzielną od CPI. Ponadto, ostatnia aktualizacja strony CPI jest z 21 września 2009 r., zaś założenia do projektu ustawy powstały w listopadzie i grudniu 2009 r.

Problemy z pl.ID

Nasuwa się zatem pytanie, czy CPI uczestniczyło w procesie tworzenia założeń do ustawy o elektronicznych dowodach osobistych, a jeśli nie, to kto rzeczywiście odpowiada za ten projekt? Myślę, że nie uczestniczyło, ponieważ w założeniach do projektu ustawy o dowodach osobistych z 17 listopada 2009 r. brak jest informacji o umieszczeniu na polskim elektronicznym dowodzie osobistym strefy MRZ (Machine Readable Zone). Wszystkie dowody osobiste, wydawane przez opisane państwa Unii Europejskiej, posiadają na dowodach osobistych strefę MRZ. Strefa czytana maszynowo, umożliwia zdalne odczytanie danych przez urządzenia do tego przeznaczone. Jest ona ściśle określona przez normę ISO/IEC 7501-1:1997. Umożliwia to automatyczny odczyt danych, co jest szczególnie ważne przy użyciu dowodu jako dokumentu paszportowego w strefie Schengen. Jednakże, można uznać to tylko za niedopatrzenie założeń i mieć nadzieję, że w trakcie prac nad wzorem dowodu pomyłka ta zostanie poprawiona. Jednak ten brak komunikacji między CPI i Departamentem spraw Obywatelskich widać np. w kolejności rozpisywania przetargów. Ostatnio MSWiA poinformowało o wyborze Sygnity, która ma zbudować i wdrożyć w ramach projektu pl.ID Zintegrowany Moduł Obsługi Końcowego Użytkownika (ZMOKU). Problem jednak w tym, że w założeniach do Ustawy o Dowodach Osobistych - napisanej ostatnio właśnie przez Departament Spraw Obywatelskich - w jej części finansowej tego typu moduł w ogóle nie widnieje! Dlaczego w takim razie MSWiA zorganizowało ten przetarg? Gdzie, w jakim dokumencie odnotowuje się potrzebę wdrożenia ZMOKU? Tego typu funkcjonalność zawarta jest w Master Planie przyjętym w 2007 r. przez rząd Jarosława Kaczyńskiego - tak, to prawda, jednak prawdą jest także to, że projekt dowodu biometrycznego w wersji poprzedniego rządu jest dokładną odwrotnością tego samego projektu z 2009 r.

« wstecz123 dalej »
Wystaw ocenę:
    Średnia ocena (liczba głosów: 1)
wydrukuj wydrukuj wyslij do znajomegowyślij do znajomego

Komentarze

~ekspert_2

  • ocena: 4
  • IP: 91.198.145.1
  • 15-02-2010, 14:52

Problem poruszony przez Pana Piętaka uważam za istotny, nawet bardzo. Wydaje mi się, że wprowadzenie do części elektronicznej dowodu osobistego informacji o zameldowaniu (np. w formie adresu pocztowego gdyby obowiązek meldunkowy został zniesiony) jest słuszna. Odnosząc się do standardów można przyjąć, że generalnie 3 możliwe warianty umieszczenia tych danych:
a) w certyfikacie X.509 „do podpisu” (pole subject lub subjectAltName) jako atrybut "postalAddress",
b) w specjalnym obszarze Data Group nr 11 (tzw. DG11), o którym mowa w standardach ICAO odnoszących się do paszportów (polski paszport biometryczny jest z tymi normami zgodny),
c) w certyfikacie atrybutów podobnie jak w pkt. a.

Wybór jest nietrywialny i decyzja o tym musiałaby brać pod uwagę szereg aspektów.
1. Jeśli w certyfikacie „do podpisu”, to czy „podpisu osobistego” czy raczej „kwalifikowanego&;#8221;? Przy założeniu, że karta elektroniczna (nowa wersja dowodu) będzie tzw. bezpiecznym urządzeniem do składania podpisu elektronicznego różnica jakościowa podpisu sprowadza się do kwestii, czy certyfikat będzie miał status „kwalifikowanego&;#8221;, czy „osobistego”. W UE wszystkie kraje postawiły na „kwalifikowany”, natomiast autorzy projektu pl.ID forsują wersję „osobistą”, do kontaktów tylko obywatel-urząd; ten podpis („osobisty”) nie tylko nie ma być do kontaktów obywatel-obywatel, ale też nie przewiduje się jego weryfikacji poza Polską, co stoi w sprzeczności z dokumentami UE obligującymi do tworzenia rozwiązań transgranicznych na obszarze Wspólnoty. Ponadto wpisanie adresu do certyfikatu, który będzie dołączany do naszego podpisu (wprost lub poprzez wskazanie), i którego treść musiałaby zostać udostępniona podczas każdej weryfikacji podpisu nie jest rozwiązaniem rozsądnym. Sądzę, że nie można zmuszać obywatela, aby za każdym razem gdy składa podpis elektroniczny (nawet już przy próbie uwierzytelnienia się do serwera) musiał podawać swój adres, który będzie przesyłany w sieci.
2. Skorzystanie ze struktur danych opisanych w normach ICAO i stosowanych w dokumentach podróży jest o tyle niezręczne, że dowód osobisty ma nie mieć funkcjonalności paszportowej. Więcej, ma podobno nie być zgodny ze specyfikacją ECC (European Citizen Card), która funkcjonalność „ICAO” uznaje za opcjonalną.
3. Pozostał pomysł na oddzielny certyfikat atrybutów – wg mnie dzisiaj najbardziej rozsądne rozwiązanie.

~nilix

  • ocena: brak oceny
  • IP: 89.75.161.26
  • 17-02-2010, 10:04

A ja się z autorem zupełnie nie zgadzam. Uważam, że argument z odbieraniem listów poleconych na poczcie jest zupełnie chybiony. Niech szanowny autor wyjaśni mi dlaczego bez problemu odbieram przesyłki polecone w Warszawie, posiadając adres zameldowania w zupełnie innym mieście? A pomysł wstawienia we wszystkich możliwych "okienkach" czytników kart? Domyślam się, że chipy powinny być kompatybilne z czytnikami odpowiednio "zaprzyjaźnionej" firmy? Życzę szerszych horyzontów myślowych. Pozdrawiam.