Diplomová práce
Bc. Karel Firley 2020
Vysoká škola ekonomická v Praze
Fakulta managementu
Katedra exaktních metodBankovní identita
Autor diplomové práce: Bc. Karel Firley
Vedoucí diplomové práce: Ing. Vladimír Přibyl, Ph.D.
Rok obhajoby: 2020
„Bankovní identita“
jsem vypracoval samostatně a veškerou použitou literaturu a další prameny jsem řádně označil a uvedl v přiloženém seznamu.
V Jindřichově Hradci dne 17. prosince 2020
podpis
ZADÁNÍ DIPLOMOVÉ PRÁCE
Autor práce: Bc. Karel Firley
Studijní program: Ekonomika a management
Obor: Management
Vedoucí práce: Ing. Vladimír Přibyl, Ph.D.
Název práce: Bankovní identita Rámcový obsah:
1. Diplomová práce bude obsahovat popis situace v oblasti bankovní identity v zahraničí.
2. Dále bude diplomant v rámci této práce vhodným způsobem zkoumat stav a potřeby v této oblasti v ČR. V kontextu tohoto výzkumu pak budou hodnoceny známé modely a diskutována jejich použitelnost, resp. potřeba specifického modelu pro ČR.
3. Součástí práce pak bude celkové zhodnocení situace a návrh řešení této problematiky v ČR s ohledem na kulturní, technologická a
socioekonomická specifika.
Rozsah práce: 60 Seznam odborné literatury:
Zadání diplomové práce: únor 2019
Termín odevzdání diplomové práce: prosinec 2020
Bc. Karel Firley Ing. Vladimír Přibyl, Ph.D.
Řešitel Vedoucí práce
Ing. Vladimír Přibyl, Ph.D. doc. Ing. Vladislav Bína, Ph.D.
Vedoucí katedry Děkan FMJH VŠE
Název diplomové práce:
Bankovní identita
Abstrakt:
Bankovní identita je ve zjednodušeném pohledu využití technologií k virtualizaci identity fyzických i právnických osob, která je vhodná například ke komunikaci se státními úřady či komerčními subjekty. K datu dokončení této diplomové práce produkt bankovní identita v České republice neexistuje, a proto je první část zaměřena na popis zahraničních řešení a popis připravovaného, či stanoveného rámce pro Českou republiku. Výzkumná část je zaměřena na užitek, cenu, omezení, modelaci bankovní identity. Základní výzkumnou otázkou je zhodnocení, zda je Česká republika připravena na bankovní identitu.
Klíčová slova:
Bankovní identita, eID, eIDAS, BankID,
Obsah
Úvod ... 11
1 Současný stav ... 13
1.1 Používaná řešení bankovní identity ... 14
iDIN (Holandsko) ... 14
NemID (Dánsko) ... 17
BankID (Norsko) ... 19
MAGDA (Belgie) ... 21
BankID (Švédsko) ... 22
Finnish Bank ID (Finsko) ... 22
Austrian eID (Rakousko) ... 25
FranceConnect (Francie) ... 25
Estonian e-identity (Estonsko) ... 25
SONIA ... 26
Srovnání zahraničních řešení ... 29
1.2 Legislativní rámec ... 30
Zákon č. 250/2017 Sb. Zákon o elektronické identifikaci ... 30
Zákon č.111/2009 Sb. Zákon o základních registrech ... 31
Zákon č. 21/1992 Sb. Zákon o bankách – novela ... 32
Zákon č. 253/2008 Sb. Zákon o „AML“ ... 33
eIDAS ... 33
Právo na digitální službu ... 34
Zákon č. 297/2016 Sb., Zákon o službách vytvářejících důvěru pro elektronické transakce ... 34
Zákon č. 110/2019 Sb., Zákon o zpracování osobních údajů ... 35
Projekt STORK ... 35
Zákon č.49/2020 Sb. ... 35
1.3 Důležité pojmy technické specifikace ... 36
PKI ... 36
NFC ... 37
ISO/EIC 29115 ... 38
ISO 15408 Certifikace bezpečnosti IT systémů ... 38
Protokol http/FTP ... 38
Webová služba ... 39
XML ... 39
Federace identit ... 39
2 Metodický postup ... 41
2.1 Postup řešení ... 41
Nástroje ... 41
Výzkumný vzorek ... 41
Instrumenty výzkumu ... 41
Interpretace výsledků ... 42
Cíl práce ... 42
3 Aplikační část ... 43
3.1 Analytická fáze ... 43
PEST ... 43
Analýza odvětví ... 46
Analýza trhu ... 49
Výzkumný rozhovor ... 52
Souhrnný popis možností využití Bankovní identity ... 54
Příčiny neúspěchu ... 56
Odhad tržeb provozovatelů vydavatelů bankovní identity v ČR ... 57
Cena ... 57
Měření užitku fyzické osoby ... 57
Měření užitku banky a třetí strany ... 58
Cena v zahraničí ... 59
Cena v ČR ... 60
Je Česká republika připravena na bankovní identitu? ... 61
Závěr ... 62
Seznam literatury ... 63
Úvod
Česká republika patří mezi státy, které přijímají novinky z technologického světa velmi intenzivně. Takovou novinkou, která čerpá z rozvoje technologií, změn legislativy, ale zejména z přijetí veřejnosti, je bankovní identita. Jak již z názvu vyplývá, jedná se o identitu, která má určitou spojitost s bankami. K definici můžeme použít kupříkladu švéd- ského řešení, kde téměř celá populace používá bankovní identitu k ověřené komunikaci přes internet s úřady, bankami, online obchody. Jedná se vlastně o unikátní identifikátor, který je vydáván bankami jejich klientům. S určitou mírou nadsázky lze uvést, že se jedná o „virtuální občanský průkaz“, se kterým se fyzická osoba může ověřit online a využívat tak zabezpečeného a ověřeného spojení internetu ke komunikaci svých osobních potřeb.
Není nutné jako občan docházet na pobočku státu či pobočky komerčních subjektů pode- pisovat smlouvy nebo podávat různé žádosti. Vše lze vyřídit pomocí svého počítače nebo mobilního zařízení (Minařík, 2018).
V České republice již iniciativa bank v tomto směru existuje. Česká bankovní asociace vystoupila s projektem SONIA, který umožní občanům České republiky používat svou elektronickou identitu ke komunikaci s úřady i soukromými společnostmi (Štěpánek, 2019).
Z důvodu inspirace řešeními ze zahraničí (a aktuální nedostupnosti služby v ČR) se v první části této práce zaměřuji na stručný popis již provozovaných projektů. Tato část má za úkol zodpovědět otázky přínosů, technického řešení, překážek, případných omezení či způsoby použití.
V druhé části se zaměřuji na výzkum českého prostředí. Práce se věnuje využívání této služby identifikace fyzickými osobami a je zaměřena na sběr, analýzu a interpretaci pri- márních dat, získaných ze vzorku vybraných, v oblasti bankovní identity specializovaných, respondentů. Pro modelaci v závěrečné části je použito vstupů PEST a 5F analýz.
Data z přehledové a výzkumné části jsou použita v aplikační části, která zodpoví zá- kladní otázku. Je Česká republika připravena na zavedení bankovní identity?
1 Současný stav
Již v roce 2016 na konferenci World Economic Forum v Davosu byla zmíněna Bankovní identita jako část tzv. „revoluční technologie“, kterou by se banky měly zabývat. Identita je kritickým tématem pro finanční instituce, neboť otevírá zcela nové možnosti komuni- kace s klientem. Přináší na trh značné množství úspor a nových produktů, avšak je nutné zajistit společný postup (McWaters, R. Jesse, 2016).
Tento postup je částečně určen hranicemi, které stanovuje nařízení eIDAS (eIDAS, 2014).
Jaký problém vlastně bankovní identita řeší? Významným problémem současnosti je velké množství firemních procesů, které vyžadují fyzickou přítomnost klientů. Nová digi- tální cesta by měla přinést zejména efektivitu a lepší bezpečnost při komunikaci klienta banky nejen s bankou, ale i státem či dalším komerčním subjektem. Bankovní identitou můžeme nazvat informaci o identitě fyzické (právnické) osoby, kterou příslušná banka ukládá ve svých databázích. Tuto informaci pak následně může se souhlasem klienta po- skytovat třetí straně, která vyžaduje ověření klienta. Třetí strana tedy získá potvrzení, že komunikuje se správnou osobou. Substitutem bankovní identity lze považovat fyzickou návštěvu klienta a ověření na pobočce. Použitelnost bankovní identity je možná při posky- tování pojistek, případně pro naplnění nařízení regulačních úřadů vyžadujících určitý stupeň ověření v jakémkoli jiném oboru. Pokud odhlédneme od firem a zaměříme se na klienta, nalezneme v bankovní identitě efektivní nástroj, který značně zjednodušuje a zrychluje osobní život a firmy (či státní instituce), které tuto službu adaptují do svých systémů mohou nakonec získat konkurenční výhodu a spokojenějšího klienta (McWaters, R. Jesse, 2016).
Pakliže je měřítkem úspěchu zmíněná efektivnost, studie ukazují úsporu 110 miliard hodin, pokud by se ve světovém měřítku zlepšila dostupnost e-government služeb. Snížení podvodů s falešnými potvrzeními o příjmech je vyčísleno na 1,6 trilionů USD (White a Madgavkar, 2019).
Výzkum The World Bank ID4D poukazuje na fakt, že v roce 2018 bylo na světě přes 987 milionů lidí bez legální identity. Využití digitální identity by mohlo tento problém částečně pomoci vyřešit (The World Bank Group, 2018).
Digitalizace je v oboru poskytování identitních služeb motorem, který umožňuje vý- znamně zvýšit komfort klientů a firem a snížit fixní náklady. Následující text právě tyto benefity detailně popisuje. Typy zahraničních řešení jsem volil zejména s ohledem na míru využívání, zkušenosti a dostupnost zkoumaných informací.
1.1 Používaná řešení bankovní identity
iDIN (Holandsko)
V Holandsku se lze například při sjednávání pojistky přihlásit do internetového bankov- nictví u své banky a ověřit svou identitu on-line. iDIN znamená identification login. Tento systém vede zejména k redukci podvodů s autentizací klienta. Pojem autentizace vysvět- luji níže. Další možností je využití iDIN jako způsobu přihlášení do prostředí pojišťovny, ve kterém lze provádět změny ve smlouvách včetně (pouze s tzv. DIPS) podepisování (iDIN, 2019).
Role, které iDIN používá jsou:
• User – uživatel. Osoba s přístupem k online službám banky, která zajišťuje potřebnou úroveň autorizace a autentizace. Pro iDIN jde jen o fyzickou osobu.
• Merchant – společnost, která chce svým klientům umožnit snadnější a bezpečnější on- line komunikaci a identifikační metodu a používá iDIN na svých webových stránkách.
Má smlouvu s Acquirer, DISP a splňuje požadovaná kritéria.
• Acquirer – osoba, která je tzv. routing service provider. Nabízí tedy služby přeposílání iDIN zprávy. Musí mít licenci k provozování platebních služeb.
• RSP – routing service provider. Osoba, která zabezpečuje zasílání kryptovaných i ne- kryptovaných dat. Zajišťuje, že produktové zprávy jsou přijaty, ověřeny, zpracovány a odeslány správně. Musí mít možnost se propojit se všemi VSP v systému tohoto řešení.
• DISP – digital identity service provider je osoba, která má certifikaci a zajišťuje smluvní vazby s Merchant.
• CSPS – collecting payment service provider je použit u služby iDEAL.
• DISP – digital identity service provider – musí mít certifikaci, zajišťuje technické aspekty propojení iDIN s Acquirer.
• Issuer – je osoba, která má licenční smlouvu s firmou Currence. Musí mít licenci jako provozovatel platebních služeb. Je zcela zodpovědný za tzv. Issuing domain. Rovněž jde o banku, pomocí které se uživatel přihlašuje do svého internetového bankovnictví.
• VSP – validation service provider je část systému, která má smluvní vztah s Issuer a zpracovává požadavky na zpracování zpráv.
Pro přihlášení do systému se používá BIN, tedy bankovní identifikační číslo pro opako- vaná použití nebo tzv. Transient_ID pro jednorázové použití. Verifikovaná data uživatele jsou jméno a příjmení, věk a pohlaví. Uživatel bance poskytuje navíc adresu bydliště, email a telefon (iDIN, 2019).
Level of assurance vychází z nařízení eIDAS (eIDAS, 2014) a pro iDIN je nutná mini- mální úroveň substantial. Tedy identita musí být založena na dokumentu prokazujícím identitu a je třeba použít dvoufaktorového ověření. Banky pomáhají omezení online pod- vodů (např. podvody s identitami), jelikož při aktivaci běžného účtu na pobočce musel být klient v minulosti již ověřen pracovníkem pobočky. Navíc mají banky více než 20 let zku- šeností s bezpečnými přístupy k online službám. Bezpečnost je garantována zejména tím, že data jsou posílána pouze identifikovaným organizacím a toto zaslání potvrzuje samotný klient. Neposílají se žádná data finančního charakteru jako zůstatky na účtech, pohyby.
Data jsou posílána zašifrovaná ve stejné úrovni, jaké má internetové bankovnictví. Banky nepoužívají monitoring transakcí iDIN klienta pro své komerční účely (iDIN, 2019).
Benefity pro komerční subjekty jsou zejména v oblastech identifikace klienta, jeho při- hlášení do systémů, potvrzení věku. Dále je to okamžitá dostupnost těchto informací, zvyšování tzv. poměru konverze. Tedy klienti, kteří mají jednodušší online cestu ke službě budou více této služby využívat.
Informace, které jsou zasílány bankami komerčním subjektům jsou jméno, datum naro- zení, adresa, pohlaví, email nebo telefonní spojení. Informace jsou důvěryhodné, neboť banky jsou kontrolovány externími bezpečnostními agenturami, podléhají AML, GDPR a eIDAS.
Obrázek 1 – Model iDIN
zdroj Currence, 2020a
Obrázek 1 popisuje celý proces. Uživatel (User) žádá identifikaci kliknutím na tlačítko na webových stránkách obchodníka (Merchant), kterým zvolí produkt a dále zvolí vydavatele (Issuer), pomocí kterého se chce identifikovat. Tedy zvolí banku, ve které používá inter- netové bankovnictví s potřebnými autorizačními a autentizačními nástroji. Obchodník, který má smlouvu s acquirer zašle žádost přes data RSP. RSP následně zašle zprávu VSP.
Uživatel se v tomto okamžiku přihlásí do svého internetového bankovnictví, provede au- tentifikaci, zkontroluje požadovaná data a autorizuje zprávu, ve které se data odešlou zpět přes VSP, RSP obchodníkovi. Obchodník potvrdí informaci o ceně služby (Currence B.V., 2020).
Systém poplatků, který popisuje Obrázek 2, je rozdělen na licenční poplatky (jednorá- zové, pravidelné), jednorázové poplatky za služby a certifikační. Vlastníkem iDIN je společnost Currence Holding B.V. Pro issuers a acquirers jsou licenční podmínky násle- dující. První registrace 60000,- EUR, roční platba 10000,- EUR. Cena za službu Acquirer i Issuer 0,002 EUR za transakci přihlášení. Ostatní služby jsou zpoplatněny 0,01 EUR za transakci. Pro vlastníky certifikace je cena 2000,- EUR a roční poplatek 2500,- EUR.
Currence upravuje podmínky akceptace partnerů, stanovuje strategii rozvoje, provádí cer- tifikaci, zajišťuje konzultační služby, koordinuje anti-fraud řešení, zajišťuje PR, externí komunikaci a propagaci značky (Currence, 2020a).
Obrázek 2 – Schéma poplatků iDIN
Zdroj (Currence, 2020a)
Technická specifikace je následující. iDIN používá protokol iDx, který je založen na XML a SAML 2.0. Zprávy musí být v Unicode. Všechny zprávy musí být v souladu s HTTP 1.1 (POST a 200 OK). Využívá asymetrického šifrování (veřejný, soukromý klíč) a certifikáty RSA 2048 bit dlouhé. Toto umožňuje jak šifrování zasílaných zpráv, tak vytváření elek- tronických podpisů. Je používán TLS 1.2 s minimálně 128 bit a pro hashování SHA-256.
Veřejné klíče používají X.509 certifikát. Knihovny jsou vytvořeny v .NET, PHP a Java (Currence, 2020b).
NemID (Dánsko)
V Dánsku vzniklo v roce 1999 díky EU Electronic signatures directive tzv. eID. (European Parliament, 1999). Tedy elektronická identita. V počátcích byly mezi hlavními problémy implementace náročná instalace, nezájem občanů a nízký počet použitelných služeb ze strany veřejné správy. Bylo to období stanovování standardů, které měly být základem pro stavbu komplexního řešení elektronické identity občanů země. Probíhal pilotní provoz.
Pro rozvoj elektronické identity mezi občany byly spuštěny zejména národní kampaně, vznikala školení efektivního využívání identity, tiskly se brožury a návody k použití. Pro- bíhala také školení zástupců zaměstnanců knihoven, pracovníků státních úřadů a dobrovolníků. V tomto prvním období se používaly tzv. OCES I certifikáty.
Od roku 2010 se do tohoto státem řízeného projektu zapojily také komerční subjekty z řad finančních institucí. Tato spolupráce umožnila získávat další aktivní uživatele a více možností používání elektronické identity. Mezi problémy, které se v tomto období řešily byla nevhodná infrastruktura a nízká důvěra v produkt. Nicméně se začal komunikovat důležitý ekonomický ukazatel, úspora nákladů. Se zapojením dalších komerčních subjektů do projektu však vznikl nový problém v podobě rozdílných zájmů zainteresovaných osob.
V tomto druhém období se používalo NemID OCES II.
V roce 2014 se začalo s používáním koncepce třetích stran. Tedy komerčně zaměřených právnických osob, které zprostředkovávaly prodej řešení dalším stranám a začaly pomáhat s technickou implementací. Oddělilo se eID a eSignature. Rovněž vznikla agentura Agency for Digitisation, která je spravovaná Ministerstvem financí a slouží k zajištění kontinuity strategického rozvoje řešení elektronické identity. Ta také zodpovídá za rozvoj projektu v souladu s technologickým pokrokem, za zajištění vhodné implementace a za stanovení regulatorních požadavků na všechny zúčastněné strany. Stát ve své digitální strategii 2016–2020 uvádí zpřístupnění více než 100 služeb online. Hlavním cílem státu je vytvořit důvěryhodné prostředí, kde se data budou pohybovat automatizovaně tak, aby to bylo bezpečné, ale hlavně rychlé řešení bez nutnosti manuálního zásahu. Takže na obča- nech zůstane (namísto nutnosti obesílat různé úřady s týmiž daty) pouze potvrzování souhlasu s odesláním již systémem připravených dat. Zajímavou skutečností je cíl státu ušetřit komerčním subjektům 3 mld. DKK do konce roku 2020 právě odstraněním admi- nistrativních překážek pomocí digitalizace (Danish Ministry of Finance, 2016).
V roce 2019 je již infrastruktura na velmi dobré úrovni, uživatelské rozhraní je klienty hodnoceno velmi dobře. Využívání je na průměrné úrovni 65 milionů transakcí za měsíc.
Celkově 6 miliard od roku 2010. Dokonce je používáno i mezi lidmi ve věku do osmnácti let, kterých je registrovaných 167310. V opačném spektru věkové kategorie, tedy nad 100 let, je registrovaných 275 uživatelů. Zdroje hovoří o penetraci 99 % občanů Dánska.
Z těchto důvodů je hlavní důraz kladen na spolehlivost a bezpečnost systému. Budoucnost
má zejména umožnit využívání NemID mimo hranice Dánska a implementaci nových způsobů přihlašování dle potřebných úrovní zajištění dle eIDAS, zajišťování bezpečnosti technologické stránky systému, rozšiřování možností využívat NemID jako elektronic- kého podpisu smluv, dokumentů a samozřejmě budování důvěryhodnosti. Dalším cílem je umožnit občanům jiných zemí, kteří bydlí v Dánsku využívat NemID (Danish Ministry of Finance, 2016).
Použití
Motivací pro zavedení digitální identity bylo umožnit občanům Dánska zrychlení komu- nikace s úřady a snížení nákladů na provoz. Státní služby byly postupně aktivovány ve čtyřech vlnách od roku 2015. Celkem 91 služeb (Agency for Digitisation, 2020).
Mezi využívané služby patří:
• Žádost o půjčku na studium.
• Objednávání nového pasu.
• Podávání daňového přiznání.
• Služby spojené s poskytováním penzí.
• Prodej/registrace nemovitosti v katastru.
• Sjednávání pojištění.
• Služby zdravotnické.
• Hraní hazardních her online.
• Přihlašování se do online služeb bank.
Hlavními požadavky pro registraci NemID identifikátoru je dovršení věku 15 let. Občan Dánska má tři možnosti získání NemID. Může navštívit pobočky státních úřadů, například finanční úřad a s platným osobním průkazem požádat o vydání NemID. Druhým způso- bem je podání žádosti přes webový portál online. K tomuto úkonu je nutno vlastnit dánský pas nebo řidičský průkaz. Třetím způsobem je použití svého online bankovnictví, protože zaměstnanci banky již ověření v minulosti provedli. Po podání žádosti a schválení vydání NemID získá občan uživatelské jméno. Pro přihlášení do systému je možné využít opět několik variant. První je s pomocí tzv. Code Card. Jedná se o fyzický dokument se sezna- mem jedinečných hesel, která jsou používána pro jednorázová přihlášení. Uživatel může místo Code Card zvolit NemID Code app, což je aplikace suplující papírovou formu. Apli- kace v mobilu obsahuje seznam jedinečných hesel, která opět mohou být použita pro přihlášení do systému. Další variantou je NemID Code Token, což je vlastně elektronická verze Code Card. Může být v podobě malého zařízení, které obsahuje seznam hesel. Toto
zařízení je zpoplatněno 99 DKK. Poslední variantou je (zejména pro vícenásobné ověřo- vání) zařízení, které se umístí do USB počítače. V budoucnosti se počítá s využitím technologií NFC, bluetooth aj (Borger, 2020).
Základy
Nic z výše uvedeného by nevzniklo, pokud by se nespojily politické, komerční a techno- logické faktory. Prvním důležitým je dostupnost internetových služeb občanů a růst obliby internetu a technologií způsobuje zvýšení používání elektronické identity. Dalším velmi důležitým parametrem je zvyšování důvěry. V tomto směru je značně důležitá bez- pečnost systému a zamezení úniku dat, vzniku chyb či duplicit. Toto je také ovlivněno kvalitou dat národních základních registrů. Rozvoji použití NemID přispívá vznik nových digitálních služeb na straně státu či komerčních subjektů. Čím více je k dispozici služeb, tím více jednotlivců vidí přínos a lidé jsou více připraveni na digitalizaci. V neposlední řadě však stojí silný politický mandát. Politická reprezentace Dánska vnímá silně přínos pro občany bez ohledu na vlastní politické zájmy a podílí se na kooperaci státu, nezisko- vých společností a komerčních subjektů (Danish Ministry of Finance, 2016).
BankID (Norsko)
V Norsku používané řešení BankID je provozováno od roku 2004. V roce 2019 mělo toto řešení přes 4 miliony uživatelů. Je používáno všemi norskými bankami, úřady a stále při- bývají třetí strany z různých oborů. Identifikátor je vydáván zákazníkům od 13 let věku a vydávají jej banky. Provozovatelem je společnost Vipps AS (BankID, 2019).
Z pohledu banky je zajímavá funkcionalita, která umožňuje po přihlášení klienta sledo- vat jeho chování a využít tato data pro analýzu a prevenci podvodů. Tato data nejsou sdílena mezi bankami, ale zůstávají v systémech společnosti Vipps AS.
Systém používá tři typy certifikátů. První je osobní pro koncové uživatele. Druhý typ je pro zaměstnance, kteří reprezentují firmu. Třetí je certifikát pro webové stránky. Archi- tektura je rozdělena na dvě hlavní části, tzv. centrální infrastrukturu a je řízena Norwegian Banks Payment a Clearing Centre. Obsahuje certifikát validace autority, centrální úložiště pro kryptografické klíče a certifikáty a funkcionalitu pro digitální podpisy dokumentů (Hole a Tjostheim, 2008).
BankID se používá pro bezpečnou identifikaci, která má vytvořit elektronický ekviva- lent pasu nebo řidičského průkazu. Z technického hlediska má uživatel, který chce napojit své systémy na BankID, možnost získat z REST API OIDC poskytovatele. BankID je zodpovědné za instalaci, hosting a správu dedikovaných certifikátů. Vydavateli BankID mohou být pouze společnosti, které vlastní licenci k provozování platebních služeb v Nor- sku v souladu se směrnicí 98/26 ES (BankID, 2019).
BankID zpráva musí obsahovat označení emitenta, označení držitele osvědčení, dobu platnosti, údaje o ověření podpisu certifikátu, digitální podpis vydavatele, sériové číslo, identifikující individuální BankID. První kontrola totožnosti účastníka probíhá na základě platného norského pasu, zahraničního pasu, či jiných dokladů.
Certifikace, které jsou produktem BankID, jsou určeny pro autentizaci a digitální pod- pis. BankID jako společnost je kořenovou certifikační autoritou, banky přidružené k této službě jsou každá na tuto Root CA napojeny. Funguje jednak jako Trust service provider, ale také jako registrační autorita. Při vydávání certifikátu zákazníkům se musí využít me- chanismus dvoufaktorové autentizace. Pro šifrování je použito standardu FIPS 140-2 úroveň 3/4 a HSM. Používá se minimálně 2048 bitové délky pro RSA (CA). Všechny klíče jsou uloženy v HSM. Systém vydávání certifikátu je dvoustupňový. Root CA vydá certi- fikát tzv. Level 1 CA (bankám) certifikát, které následně vydávají OCSP certifikát a RA SSL certifikát, RA XML certifikát k podepisování zpráv a odvolávání. BankID pro sou- kromé osoby obsahuji 2 certifikáty a 2 klíče. Z pohledu legislativního se vychází z eIDAS a Norwegian Personal Data Act (Justis, 2018), procesního ETSI EN 319 401 (ETSI, 2017).
MAGDA (Belgie)
Zkratka je vytvořena ze slov „maximum data sharing between agencies“. Je to platforma, která je používána 190 agenturami a 13 odděleními belgických úřadů. Je vytvořeno jedno centralizované místo, které má umožnit občanům minimalizovat potřebu korespondence s úřady a snížit množství duplikací požadavků.
V roce 2005 se tým 20 specialistů zaměřil na tvorbu základní platformy navazující na důkladnou analýzu. Nejen občané od 18 let používají k ověření své elektronické ID karty, také každá společnost v Belgii má unikátní ID pro komunikaci s úřady. Řešení je posta- veno na otevřených standardech, jako například XML a CSV (MAGDA 2.0, 2019).
Mezi hlavní výhody patří:
• Snížení administrativy.
• Zvýšení důležitosti dat klientů.
• Celkový odhad návratu investice >10 mil. EUR.
• V prvním roce po spuštění byly úspory státu 8 mil. EUR.
• Propojení se systémem elektronických faktur.
Ačkoli stát je zodpovědný za celkovou strategii, funkční design a architekturu systému, platforma vznikla za účasti také komerčního sektoru.
Z technického hlediska je použita SOA platforma. Asynchronní FTP nebo http/SOAP (synchro) protokol. Java, .NET, Coolgen applikace. Hlavní centrum služeb je GeoSecure.
Když chce například uživatel úřadu používat MAGDA, přihlásí se do GeoSecure pomocí client ID, zkontroluje se URI pomoci URI identifier. Získání klíčů k certifikátům je přes OpenSSL. Následně se vygeneruje JSON Web Key. Používají certifikát VO DCB (Magda, 2020).
BankID (Švédsko)
BankID je elektronické řešení identifikace, které je používáno bankami, obchodními spo- lečnostmi a státem. První identita byla vydána v roce 2003. Členy této sítě jsou Danske Bank, ICA Banken, Ikano Bank, Länsförsäkringar Bank, Nordea, SEB, Skandiabanken, Sparbanken Syd, Svenska Handelsbanken, Swedbank a Ålandsbanken. Aktuálně (2020) toto řešení používá přes osm milionů občanů, kteří využívají jak identifikaci, tak možnost podepisování dokumentů. Iniciátory jsou banky. Je porovnatelné s užitím pasu nebo řidič- ského průkazu a z pohledu bezpečnosti jsou doporučována podobná pravidla užití (Finansiell ID, 2019).
V roce 2009 vyhrálo toto řešení European Identity Award jako nejlepší identity a access management služba v Evropě (Entertainment, 2009).
Původ tohoto řešení můžeme datovat do 60.let 20. století, kdy banky začaly vydávat standardizované identity v podobě karet jako komplement k novému systému plateb mezd pomocí přímého inkasa (HUSZ, 2018).
Finnish Bank ID (Finsko)
Důvěra v banky je ve Finsku na vysoké úrovni. 98,5 % dospělých vlastní bankovní účet a 91 % bankovních klientů považuje svou banku za důvěryhodného partnera. Pomohla tomu přísná regulace a náročné podmínky k získání bankovní licence. Z důvěry v banku vznikla rovněž důvěra v nové online služby. První důležitou službou bylo internetové bankovnic- tví (a bankomaty), kterou Finové přijali zejména po zkušenostech s maximální stabilitou a bezchybného fungování. Dalším faktorem přijetí nových služeb byly informace o zku- šenostech s novinkami od svých přátel, známých, rodiny (tzv. peer-group influence).
Z tohoto pohledu měly banky výhodnou pozici pro vytvoření jakéhokoli nového produktu.
Klienti jim věří. Když bylo v devadesátých letech minulého století představeno interne- tové bankovnictví, šlo pouze o evoluci. Lidé již měli přes 10 let zkušeností se vzdáleným ovládáním svých účtů přes bankomaty či telefonního bankéře (Kallio a Mallat, 2004).
Ve Finsku byla představena řešení elektronické identifikace Finnish Electronic Identity Card (FINEID card), které používá elektronickou identitu vytvořenou nad registry občanů.
Dále řešení bank BankID a řešení telekomunikačních operátorů MobileID (Bazarhanova et al., 2020).
Obrázek 3 – Historie MobileID
zdroj (Bazarhanova et al., 2020)
FINEID řešení eID card bylo představeno v roce 1999 finskou vládou s potřebou vyměnit staré identitní průkazy. Úkolem bylo zprostředkovat komunikaci se státními službami (eGovernment), nabídnout službu elektronického podpisu a šifrování emailových zpráv.
Čip umístěný na kartě obsahoval dva certifikáty pro autentizaci a pro kvalifikovaný pod- pis. Finsko bylo prvním státem, které toto řešení aplikovalo. Celé je řízeno Finnish Population Register Centre, které provozuje Population Information System, obsahující set klíčů pro autentizaci identity. Navíc bylo vytvořeno řešení VETUMA, které provádí autentizaci uživatelů s jejich eIDC. V roce 2007 bylo vybráno řešení Fujitsu mPollux Di- giSign Client jako middleware (Fujitsu, 2020).
Nicméně již od samého počátku této služby bylo hlavním konkurentem řešení bank jménem TUPAS, které bylo úspěšnější co do penetrace uživatelů z důvodu nižších vstup- ních nákladů za čtečky eID karet, nižších nároků na školení uživatele a složité nastavování certifikace. Banka převzala zodpovědnost za ověření klienta. TUPAS bank ID bylo posta- veno na PIN/TAN systému pro autentifikaci i online platební služby. Je využíváno platební služby jako ekvivalentu k elektronickému podpisu v tzv. „záznamu právního úkonu“ (record of legal act). TUPAS není postaveno na certifikacích. Používá identifikace pomocí „sdíleného tajemství“, tedy kombinace uživatelského jména, hesla a jednorázo- vého TAN (transaction authentification number). Používat toto řešení mohou jak fyzické, tak právnické osoby. Klient získal PIN1 a PUK kódy v papírové formě (Rissanen, 2015).
TUPAS fungoval jako zprostředkovatel mezi dvěma skupinami, fyzickou osobou a ko- merčním subjektem. Uživatelé důvěřovali bance, že doručí správná data správné straně v zabezpečené formě. Platforma z finančního hlediska byla založena na „dotování“ kon- cových uživatelů tím, že službu platily komerční subjekty. Banky se dohodly na používání stejných standardů, avšak rozdílné infrastruktury. Každá banka používala vlastní autenti- zační řešení. Menší banky, které se musely podřídit silnějším hráčům chtěly jednoduché, státem spravované řešení, které by přineslo stejné podmínky všem. Rovněž by to přineslo vyhnutí se riziku mnoha nekompatibilních systémů (Kallio a Mallat, 2004).
FICORA (Finnish Communications Regulatory Authority) vytvořila Finnish Trust Network zcela dle eIDAS. FICORA zajistila pomocí regulace a kontroly snížení cen za užití BankID a legitimizovala roli „service broker“, tedy jakéhosi zprostředkovatele eID metod. Výhodou je vyhnutí se potřeby mít smlouvy s devíti různými bankami s různými cenami. Dále se zajistilo snížení cen služeb na 0,1 – 0,5 EUR. Firmy, které se chtěly stát Service broker musely investovat do SCA (Strong Customer Authentication). Problém byl u TUPAS v tom, že obsah zpráv nebyl při zasílání zašifrován, byl šifrován pouze tunel komunikace. Banky se státem se tedy dohodly na SAML2 a OpenID connect řešení (Ba- zarhanova et al., 2020).
Obrázek 4 – Role eID ekosystému Finska
zdroj Bazarhanova et al.
MobileID je řešením PKI autentifikačních metod přestavených mobilními operátory v roce 2011. Oproti bankovnímu řešení se jedná o 100 % kooperaci mezi všemi operátory.
Vyžaduje speciální SIM kartu s certifikátem (Bazarhanova et al., 2020).
Austrian eID (Rakousko)
Rakouským příspěvkem je eID. V roce 2000 bylo rozhodnuto Radou rakouského kabinetu, že je nutné vytvořit identifikační průkazy občanů s implementovaným čipem, které umožní přístup ke státním službám. Tato karta byla poprvé vyrobena v roce 2003. V roce 2005 se k této fyzické kartě přidalo řešení s názvem mobile ID. V roce 2016 bylo regis- trováno přes 15000 užití denně, o víkendech přes 4000. Výhodou je, že není nutné používat žádné dodatečné hardwarové zařízení, jen mobil s instalovanou aplikací. Z po- hledu investic byla polovina nákladů uhrazena rakouskou vládou, druhá polovina Evropskou komisí (CIP ICT-PCP). Užití je zdarma pro občany. Používá dvoufaktorové autentizace, avšak nepoužívá biometriky (Leitold, 2016).
FranceConnect (Francie)
Ve Francii toto řešení používá přes 12 milionů občanů. Ti mohou využít služeb France- Connect například pro informace o svém důchodovém pojištění (FranceConnect, 2019).
Estonian e-identity (Estonsko)
V roce 1994 byly položeny základy v Principles of Estonian Information Policy, což je strategický dokument, který vnímá IT jako základnu pro řešení komunikace společnosti.
V roce 1996 byla zajištěna dostupnost internetu 90 % obyvatel a spuštěny služby e-ban- kovnictví, které zvýšilo důvěru obyvatel v online služby. V roce 1996 byly zavedeny schůze kabinetu vzdáleně (e-cabinet), což vedlo k redukci potřebného času z 5 hodin na 30 minut. V roce 2000 bylo umožněno podávání daňového přiznání online. Nyní trvá po- dání průměrně 3 minuty. V roce 2002 vydána e-id a digitální podpis. Důsledkem využívání digitálního podpisu je úspora nákladů ve výši 2 % ročního HDP. V roce 2005 volila 1/3 obyvatel v parlamentních volbách online. Po cyberútoku z roku 2007 se Estonsko zamě- řilo na využívání blockchain technologie KSI. Od roku 2015 využívá Estonsko jako první země cloudových služeb svých kritických služeb. V roce 2017 založili s Finskem NIIS (Nordic Institute of Interoperability Solutions), které má umožnit přeshraniční služby oby- vatelům. V roce 2020 využívá služeb ID-card pravidelně 70% obyvatel, 99 % státních služeb je online (e-identity, 2020).
Osobní průkaz ID-card ve velikosti platební karty využívá 384 bitové ECC šifrování a je tedy používáno jako elektronické ověření totožnosti pro služby cestování v rámci EU, jako národní karta pojištění, přihlašování se do internetového bankovnictví, digitální po- depisování, pro volby, kontrolu zdravotní dokumentace, podávání daňových přiznání (e- Estonia, 2020).
Hlavním úspěchem bylo spojení sil státního a komerčního sektoru. Banky od roku 2008 soustavně informovaly obyvatele, jak využívat osobní počítače. Téměř celá země je on- line, problémy jsou pouze u občanů nad 80 let věku. Výhodou je také rozmach technologií, který Estonsko zažívá od 90. let 20. stol (Liimets, 2020).
SONIA
V České republice vznikla iniciativa České bankovní asociace s názvem SONIA. Tento projekt má za úkol vytvořit službu, která umožní klientům bank vyřizovat své požadavky z různých oblastí elektronicky, vzdáleně. Mělo by být možné přes své mobilní bankovnic- tví například zjistit stav nezaplacených závazků vůči státu, či ověřit svou změnu u poskytovatelů energií (Štěpánek, 2019).
V ČR bude vytvořena bankovní identita, která umožní ověřování (digitálně) totožnosti bankovních klientů přes elektronická bankovnictví jednotlivých bank. Možnost bude ově- řovat jak fyzické, tak právnické osoby. Účast bank na tomto projektu je čistě dobrovolná.
Bankovní identitě však konkurují následující produkty. V ČR je od 1. 7. 2018 vydáván občanům Občanský průkaz s čipem, který umožňuje tři základní funkce. Občan se může identifikovat při využívání online služeb veřejné správy a přihlašovat k portálům díky za- ručené identifikaci. Dále je možno, po uložení svých kvalifikovaných certifikátů do čipu, podepisovat dokumenty. Výhodou je, že tento má právní relevanci vlastnoručního pod- pisu. V neposlední řadě může využívat občan službu autentizace pomocí kryptografických klíčů. Občanský průkaz s čipem je v tzv. vysoké úrovni záruky a má tedy stejnou důvěru, jakou by měl občan při návštěvě pobočky a předložení vlastního občanského průkazu.
K používání Občanského průkazu s čipem uživatelem je však nezbytné vlastnit čtečku či- pových karet, která je v souladu s normou ISO 7816 (eidentita, 2019).
Jméno, heslo a SMS je způsob ověření, který je poskytován Správou základních registrů a umožňuje ověření pro přihlášení do portálu národního bodu přes stránky eidentita.cz.
Jedná se o použití dvoufaktorového ověření, kdy klient pro vstup do online portálu zadává uživatelské jméno, heslo a SMS. Aktivaci této služby je možno provést vyplněním regis- tračního formuláře na úřadech, přihlášením do národního bodu pomocí občanského průkazu s čipem, přihlášením se do své datové schránky nebo na pobočce Czech POINT (eIdentita, 2019).
Avšak zpět k bankovní identitě. V druhé polovině roku 2020 vznikla společnost Ban- kovní Identita, a.s. jako společný projekt firem Komerční banka, a.s., Československá obchodní banka, a.s., Česká spořitelna, a.s. Na stránkách www.bankid.cz je uvedeno, že řešení bude dostupné až 5,5 milionům klientům v ČR.
Bankovní identita, a.s. bude poskytovat tyto služby:
• Přihlašování do elektronického bankovnictví s potvrzováním transakcí.
• Přístup k poskytovaným službám státu.
• Podepisování elektronických dokumentů.
• Přihlašování se do klientských systémů komerčních společností (BankID, 2020).
Dále vznikla Aliance pro bankovní identitu, jejímiž členy jsou Air Bank a.s., Fio banka, a.s. a MONETA Money Bank, a.s. (ČBA, 2020).
Jak bude nastaveno propojení bank se státem vysvětluje obrázek 5 a tabulka 1.
Tabulka 1 – Porovnání NIA a SONIA
NIA SONIA
Bezplatné pro SeP Fungování za úhradu
Zákonný režim, bez limitace zodpovědnosti Smluvní režim, odpovědnost lze limitovat Bankovní identita přístupná pouze pro orgány
státu a úz.samospr.celků
Banka může poskytovat identitu, ale pouze pokud ji poskytuje i v NIA
IdP stát i akreditované osoby IdP jen banky, pobočky zahr.bank SeP ti co musí identifikovat ze zákona nebo při
výkonu působnosti
SeP kdokoli mimo orgánů státu a úz.samospráv- ných celků
Přístup do základních registrů nepřímo IdP využívají údajů napřímo
IdP nemohou poskytovat jiné služby IdP mohou poskytovat související služby vytváře- jící důvěru či údaje o klientech
Fungování pouze přes agregátor (NIA) Fungování i bez agregátoru (poskytovatel identi- fikačních služeb)
zdroj (Kovář, 2020)
NIA je národní bod pro identifikaci a autentizaci. Díky tomuto nástroji lze bezpečně a zaručeně provést ověření totožnosti v online prostředí. Portál je provozován a spravován Správou základních registrů a je blíže rozebrán v následujícím textu (eIdentita, 2020).
Tabulka 1 porovnává řešení NIA a SONIA jednak z pohledu poplatků, zejména však z po- hledu dostupnosti. Projekt SONIA by měl umožnit poskytování identity i mimo státní instituce, což je graficky znázorněno na obrázku 5.
Obrázek 5 – Schéma řešení ČR
Zdroj (Kovář, 2020)
Schéma řešení v ČR na obrázku 5 je blíže popsáno v části 1.2 Legislativní rámec.
Porovnání zahraničních řešení
Níže uvádím seznam zahraničních řešení z pohledů počtu uživatelů, penetrace vzhledem k počtu obyvatel a typu hlavního iniciátora.
Tabulka 2 – Porovnání zahraničních řešení
Název Stát Vznik Obyv. (mil.) Uživ. (mil.) Penetrace Iniciátor
Fconnect Fr 2000 67 12 <50 % stát
iDIN NL 2016 17 13 >50 % banky
Magda B 2006 11 n/a >50 % stát
Sonia CR 2020 11 0 <50 % banky
BankID SWE 2003 10 8 >50 % banky
eID AUS 2005 9 1,2 <50 % stát
NemID DEN 1999 6 n/a >50 % stát
BankID NOR 2004 5 4 >50 % banky
e-identity ES 2002 1 1 >50 % stát
zdroj: vlastní zpracování (World Bank, 2020)
Počet obyvatel státu versus počet uživatelů vytváří procentuální vyjádření penetrace. Tedy například ve Francii má méně než 50% obyvatel identitu Fconnect, zatímco v Holandsku více než polovina obyvatel využívá služby iDIN.
1.2 Legislativní rámec
V následující části uvádím stručný rozbor legislativních omezení, která se dotýkají ban- kovní identity v ČR.
Zákon č. 250/2017 Sb. Zákon o elektronické identifikaci
Tento zákon obsahuje následující pojmy, které je nutno blíže vysvětlit pro pochopení vý- znamů v dále prezentovaném systému bankovní identity ČR (BankID, 2020).
Kvalifikovaný systém elektronické identifikace vysvětluje soubor technické specifikace, norem a postupů elektronické komunikace, které umožňují poskytování služeb identifi- kace osob. Tyto identifikace jsou prováděny v různých úrovních záruky. Kvalifikovaný systém vytváří a používá tzv. prostředek pro elektronickou identifikaci, který umožňuje používat službu národního bodu pro identifikaci a autentizaci. Kvalifikovaný správce je buď státní orgán nebo akreditovaná osoba. Správce spravuje výše uvedený kvalifikovaný systém a musí být akreditován pro výkon takové činnosti (zákon č. 250/2017 Sb.).
Akreditace je umožněna pouze osobám, které splní zejména požadavky na technickou specifikaci, normy a postupy, zejména však bezúhonnost, platné pojištění odpovědnosti, zpracovaný plán ukončení činnosti a v neposlední řadě musí uhradit správní poplatek ve výši 100000,- Kč (MVČR, 2019).
Akreditace probíhá tak, že Ministerstvo vnitra získá informace od správce Národního bodu pro identifikaci a autentizaci, který posuzuje schopnost poskytovat služby kvalifiko- vaného systému žadatele. Dále má Ministerstvo vnitra možnost se dotázat Policie České republiky, zpravodajských služeb, či jiných orgánů na způsobilost žadatele z pohledu bez- pečnosti, veřejného pořádku a dodržování práv. Dle zákona je rozhodnutí o udělení nebo neudělení akreditace vyřízeno do tří měsíců od jejího podání (zákon č. 250/2017 Sb.).
Národní bod pro identifikaci a autentizaci je informační systém, který vlastní veřejná správa. Tento systém podporuje elektronickou identifikaci a autentizaci osob. Správcem je Správa základních registrů a funguje jako tzv. uzel, který má umožnit interoperabilitu v rámci Evropské unie. Národní bod slouží pro zaručené a bezpečné ověření totožnosti.
K tomuto ověření slouží buď občanský průkaz s čipem nebo identitní prostředek s názvem jméno, heslo, SMS. Proto je v národním bodu seznam prostředků pro elektronickou iden- tifikaci spolu s údajem o úrovni záruky (zákon č. 250/2017 Sb.).
„Elektronickou identifikací rozumíme postup používání osobních identifikačních údajů v elektronické podobě, které jedinečně identifikují určitou fyzickou či právnickou osobu nebo fyzickou osobu zastupující právnickou osobu (Piffl, 2020).“
„Prostředkem pro elektronickou identifikaci je hmotná či nehmotná jednotka obsahující osobní identifikační údaje, která se používá k autentizaci pro účely on-line služby (Piffl, 2020).“
„Systémem elektronické identifikace je systém pro elektronickou identifikaci, na jehož základě jsou fyzickým či právnickým osobám nebo fyzickým osobám zastupujícím práv- nické osoby vydávány prostředky pro elektronickou identifikaci (Piffl, 2020).“
Zákon č.111/2009 Sb. Zákon o základních registrech
Základní registr je informační systém veřejné správy, který sestává z registru obyvatel, registru osob, registru územní identifikace a registru práv a povinností. Veškeré změny informací může provádět pouze editor, kterým je Policie ČR nebo Ministerstvo vnitra.
Informace z registrů mohou získávat orgány veřejné moci a soukromoprávní uživatelé vy- užitím tzv. agendového informačního systému. Fyzická osoba má možnost získat informace, které jsou o ní vedeny po ověření totožnosti. Důležitým bodem je možnost získávat údaje i o nejednoznačně určené osobě orgánů veřejné moci pro zajištění obrany, bezpečnosti, ochrany lidského života a zdraví, odhalování trestné činnosti a ochrany práv osob v soudním řízením. Pro zajištění provozu základních registrů byla zřízena Správa základních registrů, která je zodpovědná zejména za předávání údajů v nezměněné po- době. Její neméně důležitou funkcí je komunikace s Úřadem pro ochranu osobních údajů.
Správa spravuje samotný systém základních registrů, registr obyvatel, registr osob a registr práv a povinností, pro které rovněž spravuje vazby navzájem nebo s ostatním agendovými systémy, zpřístupňuje referenční údaje dle práv uživatele a vede údaje o provozních sta- vech (Zákon č.111/2009 Sb., 2009).
Důležitým úkolem je vedení seznamu kvalifikovaných správců a seznamu kvalifikova- ných poskytovatelů, kteří jsou usazeni v České republice. V době přípravy této diplomové práce existují v seznamu dva prostředky pro elektronickou identifikaci, Občanský průkaz s čipem a Jméno, heslo a SMS. Správa vede a vydává identifikační certifikáty občanského průkazu a autentizuje uživatele (Správa ZR, 2020).
Vzhledem k zaměření této práce na bankovní identitu je vhodné uvést informaci, jaké údaje jsou o fyzických osobách v registru obyvatel vedeny. Jedná se zejména o příjmení a jméno, dále adresa místa pobytu, adresa doručování písemností, datum, místo a okres na- rození a případně úmrtí, státní občanství, čísla a druhy elektronicky čitelných dokladů identifikace, typ a identifikátor datové schránky. Dále jsou vedeny provozní údaje o vyu- žívání údajů (Zákon č.111/2009 Sb., 2009).
Zákon č. 21/1992 Sb. Zákon o bankách – novela
Změna tohoto zákona musela být provedena zejména z důvodu absence poskytování elek- tronické identifikace a autentizace a služby vytvářející důvěru v seznamu možných podnikatelských činností. Dále má tato novela umožnit identifikovat osobu prostřednic- tvím národního bodu. Samozřejmě musí toto ověření být v souladu s nároky na technickou specifikaci, normy a postupy. Umožňuje bankám vytvořit Agendový informační systém a oznámit Ministerstvu vnitra provoz agendy, díky kterému bude bankám umožněna komu- nikace se Základními registry.
A jaká data vlastně banky od státu získají? Zdroji budou registr obyvatel, informační systém evidence obyvatel a cizinců, evidence občanských průkazů a cestovních dokladů.
Využívané údaje budou jméno, příjmení, pohlaví, rodné číslo, státní občanství, obrazový záznam, adresa pobytu a doručovací adresa, datum, místo a okres narození, případně úmrtí, státní občanství, číslo a druh elektronicky čitelného dokladu, datum a platnost jeho vydání, email a telefon.
Další změnou je také možnost identifikace klienta bez jeho fyzické přítomnosti pro- středkem pro elektronickou identifikaci, který splňuje úroveň záruky alespoň značnou.
Bankovní identita má umožnit také bezplatný přístup občanů ke službám e-Government.
Stát ani územní samospráva nebude platit žádný poplatek v oblasti provozu bankovní identity v rámci NIA.
V důvodové zprávě je uvedeno, že hlavními potřebami pro změnu jsou možnost komu- nikace klienta se státem a řízení rizik bank zejména v oblasti AML. Dalšími důvody jsou také schopnost bank lépe zaujmout své klienty k využívání elektronické komunikace se státem. Banky již nyní provozují systémy na bezpečné infrastruktuře a díky vyspělé tech- nologii už nyní splňují požadavky nad rámec eIDAS. Banky budou tedy moci vydávat prostředky pro elektronickou identifikaci, provádět autentizaci osob, poskytovat služby vytvářející důvěru (elektronické podpisy, elektronické pečetě či časová razítka, elektro- nické doporučené doručování), dále budou moci potvrzovat identifikační údaje klienta, který jim k tomuto udělí souhlas. Dále budou mít banky možnost vytvářet a uchovávat elektronické dokumenty (například při uzavírání elektronických smluv s elektronickým podpisem). Návrh umožňuje vznik poskytovatele identifikačních služeb, který však může být vlastněn pouze bankami. Toto by měl být subjekt, který zastřeší obchodní a technickou část nabídky bankovní identity trhu. Návrh novely zákona by měl nabýt účinnosti 1. ledna 2021 (Kořanová, 2019).
Zákon č. 253/2008 Sb. Zákon o „AML“
Výše uvedena novela se dotýká také zákona č.253/2008 Sb. Z pohledu bankovní identity se zaměřujeme zejména na identifikaci klienta bez jeho fyzické přítomnosti. Můžeme rov- něž použít pojem fyzické ztotožnění. Novela obsahuje dokonce čtyři postupy možné identifikace osob, a to pomocí NIA a prostředku pro elektronickou identifikaci s vysokou úrovní záruky (například elektronický občanský průkaz), ale také se značnou úrovní zá- ruky. Avšak před vydáním takového prostředku je nutné ověřit identifikační údaje klienta v systémech státní správy (Zákon č.253/2008).
eIDAS
Toto nařízení má podpořit projekt Digitální agenda pro Evropu (DAE, 2020), který má zlepšit přeshraniční komunikaci v integraci tzv. jednotného digitálního trhu. Mezi zá- kladní úkoly tohoto nařízení patří budování důvěry v on-line prostředí z pohledu právní jistoty, které má zvýšit počet elektronických transakcí. Zejména však zajišťuje bezpečnost při komunikaci mezi firmami, orgány veřejné moci a občany. Důraz je kladen na bezpeč- nost elektronické autentizace a identifikace vedoucí k uznávání elektronické identifikace, elektronických dokumentů, podpisů a doručování a interoperabilitu veřejné správy (eIDAS, 2014).
Toto nařízení detailně popisuje také již několikrát zmíněný pojem úroveň záruky. Tato úroveň závisí jednak na spolehlivosti prostředku pro elektronickou identifikaci s přihléd- nutím například na postupy autentizace, činnostem řízení vydávání těchto prostředků, případně na technických parametrech. Z pilotního projektu STORK a ISO/IEC 29115 (ISO/EIC 29115, 2013a) vychází vytvoření úrovní záruky nízké, značné a vysoké (STORK, 2011).
Dalším důležitým bodem je zodpovědnost, kterou má poskytovatel a způsob vymáhání této zodpovědnosti. Popisuje také, které formáty zaručených elektronických podpisů jsou podporovány. Pro certifikaci IT systémů v oblasti bezpečnosti je použito normy ISO 15408. Hlavními způsoby zajištění fungování vnitřního trhu jsou stanovení podmínek uznávání prostředků elektronické identifikace, dále pravidel pro služby vytvářející důvěru a vytvoření právního rámce pro elektronická časová razítka, elektronické pečetě, podpisy, dokumenty, certifikační služby a doporučeného doručování (eIDAS, 2014).
V textu této práce jsou použity pojmy následující důležité pojmy:
• Elektronická identifikace je postup jedinečné identifikace fyzické (či právnické) osoby pomocí elektronických identifikačních údajů.
• Prostředek pro elektronickou identifikaci je jednotka v hmotné/nehmotné podobě, která je použita pro autentizaci on-line služby.
• Systém elektronické identifikace je systém, který vydává prostředky pro elektronickou identifikaci.
• Autentizace je způsob potvrzení elektronické identity.
• Kvalifikovaný poskytovatel služeb vytvářejících důvěru je osoba, které byl orgánem dohledu udělen status kvalifikovaného poskytovatele.
Úrovně záruky jsou minimální normy, technické specifikace a postupy elektronické iden- tifikace. Pro účely eIDAS se dělí na:
• Nízká úroveň.
• Značná úroveň.
• Vysoká úroveň (Eichholtzer, 2018).
Právo na digitální službu
Tento zákon má zaručit osobám, zapsaným v registru osob nebo obyvatel, právo požado- vat elektronickou komunikaci s orgány veřejné moci. Lze však domáhat se pouze služeb, které jsou uvedeny v katalogu služeb. Toto právo má zvýšit komfort a efektivitu, která má být zajištěna automatizací zpracovávání údajů eliminací chyb při manuálním zadávání.
Úkolem je mimo jiné zvýšit tlak na odpovědné orgány veřejné moci pro posun v digi- talizaci. Pro potřeby bankovní identity je zajímavá část, ve které se uvádí, jakým způsobem může uživatel služby činit digitální úkon. Může využít datovou schránku, kontaktní místo veřejné správy, veřejnou síť (pomocí elektronického podpisu nebo pečetí), informační sys- tém veřejné správy, ale také jiný způsob, pokud tak stanoví právní předpis. Zde jsou otevřeny dveře pro bankovní identitu. Dále je pro bankovní identitu zajímavé právo udě- lení souhlasu se sdílením údajů o sobě, svých právech a povinnostech, který je možno udělit i soukromoprávním uživatelům. Rovněž lze zvolit dobu trvání tohoto souhlasu, pří- padně kdykoli toto odvolat. Toto právo má umožnit zápis emailu či telefonního čísla do registru osob/obyvatel pro zasílání informací, které si uživatel zvolí. Tento zápis má pro- vádět Správa základních registrů (Kupka a Kořanová, 2019).
Zákon č. 297/2016 Sb., Zákon o službách vytvářejících důvěru pro elektronické transakce
Tento zákon se zaměřuje na služby vytvářející důvěru, mezi které patří kvalifikované cer- tifikáty pro elektronické podpisy nebo pečetě, kvalifikované certifikáty pro autentizaci internetových stránek, kvalifikovaná elektronická časová razítka. Seznam certifikátů, které slouží k poskytování služeb vytvářejících důvěru kvalifikovanými poskytovateli.
Kvalifikovaný poskytovatel je povinen podrobit se auditu posuzování shody jednou za 24 měsíců, musí mít uzavřeno vhodné pojištění odpovědnosti, musí zajistit uchovávání
dokumentů. Za nedodržení povinných náležitostí lze uložit pokutu od 500000,- Kč do 2000000,- Kč (Zákon č. 297/2016 Sb.).
Zákon č. 110/2019 Sb., Zákon o zpracování osobních údajů
Pro potřeby této práce je vhodné zmínit následující pojmy. Pro označení fyzické osoby, o které se vedou osobní údaje se používá pojem subjekt údajů. Pro osobu, která zpracovává osobní údaje se používá pojem správce. Při zpracování osobních údajů je nutné jmenování pověřence pro ochranu osobních údajů, rovněž je nutné brát v potaz právo na přístup k osobním údajům, opravu, omezení a výmaz údajů osoby, o které jsou informace vedeny (Zákon č. 110/2019 Sb.).
Projekt STORK
Projekt e-identity, který probíhal v období 2008–2011. Hlavním cílem bylo nabídnout ře- šení, které má umožnit snadný přístup občanů v rámci EU k elektronickým službám prostřednictvím virtuálního ID čísla nebo použitím tzv. „smart card“. Byl vytvořen systém autentizace elektronické identity, díky kterému všichni občané, kteří participovali na tomto projektu, měli přístup k platformám státních institucí. Pilotní provoz byl v 18 ze- mích s 25 přeshraničními službami. Na základě úspěšnosti projektu STORK byl vytvořen nový projekt STORK 2.0, který již zapojil 57 partnerů a byl zaměřen na oblasti eBanking, eHealth, eLearning a služby států. Výstupy z těchto projektů byly použity v eIDAS naří- zení (STORK, 2011).
Zákon č.49/2020 Sb.
Tento zákon je účinný od 1. 1. 2021 a platný od 26. 2. 2020. Mimo jiné mění zákon č.21/1992 Sb. Mezi hlavní změny v oblasti identitních služeb patří možnost „vykonávat působnost kontaktního místa veřejné správy“ (Parlament ČR, 2020), dále provozovat čin- nost poskytování autentizace, identifikace a služeb vytvářejících důvěru dle eIDAS. Dále umožňuje vybudovat bankám systém, který umožní komunikaci s informačním systémem veřejné správy. Tento systém pro využívání údajů je kontrolován Ministerstvem vnitra a identifikátory jsou uvedeny v Zákoně o základních registrech. Banky mohou využívat údaje ze základního registru obyvatel, evidence obyvatel, cizinců, občanských průkazů, cestovních dokladů. Tyto informace jsou rovněž nově umožněny získat i pojišťovnami (Zákon č. 49/2020 Sb.).
1.3 Důležité pojmy technické specifikace
PKI
Public key infrastructure je systém, který tvoří role, opatření, sw, hw a procesy, které jsou využívány pro identifikaci stran komunikace k zajištění zabezpečeného přenosu informací a přenosu důvěry na síti. Tento přenos důvěry může zabezpečit tzv. certifikační autorita, která vydává digitální certifikáty. Tyto certifikáty mají různou úroveň důvěryhodnosti a platnosti. Vydávání probíhá tak, že majitel předloží veřejný šifrovací klíč certifikační au- toritě, která doplní potřebné údaje po ověření a následně tento podepíše. Typy komunikace jsou SSL nebo TLS. Tedy Secure socket layer nebo Transaction layer security. Certifikáty zabezpečují vazbu uživatele k veřejnému klíči, kdy je daná vazba potvrzena důvěryhod- nou třetí stranou, tzv. certifikační autoritou. V České republice jsou kvalifikovány k srpnu 2020 následující certifikační autority: První certifikační autorita, a.s., Česká pošta, s.p., eidentity a.s. (MVCR, 2020).
Mezi velmi používané standardy patří X.509, který byl představen v roce 1988 a je adaptovaný pro internetové použití. Je určen jak pro fyzické osoby, tak pro procesy pou- žívající daný sw, které vlastní certifikát.
Entitami v standardu X.509 jsou:
• Uživatel PKI certifikátu/subjekt certifikace.
• Certifikační autorita.
• Registrační autorita.
• Vydavatel seznamů zneplatněných certifikátů.
• Repository (úložiště certifikátů).
Nyní je používána třetí verze X.509. První byla vydána roku 1988, druhá roku 1993. Uži- vatelé veřejného klíče musí mít jistotu, že soukromý klíč je vlastněn očekávaným subjektem (může být osoba či systém), se kterým chce provést šifrovanou komunikaci.
Tato důvěra je zajišťována certifikátem veřejného klíče, což je vlastě unikátní datová struktura. Tento certifikát digitálně podepisuje certifikační autorita. Certifikát má omeze- nou časovou platnost, která je uvedena v podpisu (Cooper, 2008).
Nejprve v hierarchii první úrovně Internet Policy Registration Authority (IPRA) vydá certifikáty pro druhou úroveň Policy Certification Authorities, které následně certifikují třetí úroveň, tedy Certification Authorities. Autentizace může probíhat jak automatizo- vaně, tak fyzicky. Vždy záleží na úrovni požadovaného zajištění důvěryhodnosti.
Certifikační autorita je zodpovědná za vydávání, ukládání a podepisování certifikátů (Ince, 2009).
NFC
NFC (near field communication) je technologie bezdrátového přenosu dat mezi elektro- nickými zařízeními na krátké vzdálenosti, používající frekvenci 13,56 MHz. Může být použita jak mezi dvěma aktivními zařízeními, tak také mezi jedním aktivním, druhým pa- sivním. Tedy mohou komunikovat například dva mobilní telefony nebo jen telefon a platební karta, která nemá napájení. Celý přenos je možný na vzdálenost několika centi- metrů, takže je velmi obtížné pro útočníky komunikaci zachytit. Rovněž je tato komunikace zašifrována. NFC využívá různé komunikační protokoly, se kterými může zařízení s NFC komunikovat:
• ISO/IEC 14443 type A, type B standard.
• ISO/IEC 15693.
• ISO/IEC 18092.
• JIS-X 6319-4.
• NFC forum tags.
Součástí NFC systému je zařízení umožňující přenos, tedy NFC Controller, který je spojen s anténou přijímající a vysílající data. V NFC zařízení jsou nainstalovány aplikace, které iniciují a řídí NFC transakce. Interoperabilitu zajišťuje tzv. Controller Interface.
Mezi funkce, které NFC umožňuje patří:
• Čtení/zapisování.
• Peer-to-peer mód.
• Kartový systém, nabíjení.
• Bezpečnostní zařízení.
Čtení/zapisování je vhodné například pro otevírání potřebných internetových stránek, pří- padně čtení „smart poster“. Peer-to-peer mód již slouží k jednoduché a bezpečné výměně dat mezi zařízeními. Kartový systém může zajistit například platbu mobilem, případně platit jízdné v městské hromadné dopravě, případně může sloužit jako zařízení, které bez- kontaktní platbu přijímá. Zajištění bezpečnosti je umožněno speciálním bezpečnostním čipem nebo SIM kartou. Mezi nejčastější použití patří poskytování informací o jízdních řádech na zastávce MHD, speciální cenové nabídky v obchodech aktivní nabídkou da- nému držiteli NFC zařízení, informace o exponátech v muzeích, objednávka taxi, výměna vizitek, sdílení informací o zdravotním stavu v nemocnici, ovládání zařízení (kamera, pro- jektor apod.), otevírání dveřních zámků, automobilů, check-in v hotelích, platba virtuální peněženkou, sdílení dat. Právě poslední zmiňovaná funkčnost je velmi zajímavá z pohledu bankovní identity vzhledem k značné rozšířenosti této technologie mezi výrobci HW, SW a operátory sítí. Pro společnosti, které chtějí nabízet služby je nejjednodušší cestou stát se členem NFC forum a následně projít certifikačním procesem (NFC Forum, 2020).
Je vhodné zmínit tzv. NDEF zprávu (NFC data Exchange format), kterou definovalo NFC Forum. Tedy zařízení NFC může číst zprávu z NFC Tag (pasivní zařízení), která vyvolá určitou akci. Může například otevřít URL, případně iniciovat telefonní hovor, po- slat SMS, e-mail, ukázat mapu, uložit kontaktní informace, přihlásit se, přidat v komunikaci podpis, který potvrzuje správného uživatele a verifikuje důvěryhodnost po- užitého zařízení (Evander, 2020).
ISO/EIC 29115
Tato norma popisuje způsoby autentizací z pohledu úrovní důvěry. Popisuje čtyři typy au- tentizace, specifikuje návody a kritéria pro zajištění dané úrovně a popisuje kontrolní systémy a způsoby výměny. Využívá tři faktory autentizace. Něco, co osoba zná. Může jít o heslo, případně pin. Dále něco, co osoba vlastní. Mobilní telefon, případně token. Něco, co je jedinečně spojeno pouze s osobou. Otisk prstu, biometrická data. Níže uvedené čtyři typy důvěry jsou založeny právě na počtu a kombinaci použitých faktorů autentizace:
• Level of Assurance 1 je nejnižší úroveň důvěry. Používá se v případech minimálního rizika s případným zneužitím. Nejsou doporučeny žádné konkrétní postupy.
• Level of Assurance 2 je používáno v případě středního rizika zneužití.
• Level of Assurance 3 je spojeno s vysokou důvěrou a je nutné například již vlastnit mobilní telefon (který je jedním z faktorů) a zadat PIN.
• Level of Assurance 4 je nejvyšší stupeň a je spojen s nejvyšším rizikem v případě pro- lomení autentizace. Je potřeba splnit podmínky Level of Assurance 3, ale je zde i nutnost použít faktoru, který je jedinečně spoje s osobou. Tedy například otisk prstu či biometriku (ISO/EIC 29115, 2013b).
ISO 15408 Certifikace bezpečnosti IT systémů
Tato norma popisuje obecné oblasti požadavků, které umožňují srovnat díky nezávislým bezpečnostním hodnocením IT produkty dle požadovaných úrovní bezpečnosti. Popisuje bezpečnostní pravidla hardwaru, firmwaru, ale také softwaru. Zaměřuje se na tři typy se- lhání. Tedy nemožnost použití, úpravu zařízení a neautorizované odhalení (ISO/IEC 15408-1, 2009).
Protokol http/FTP
FTP znamená „file transfer protocol“. Tento protokol je používán pro přenos souborů přes počítačovou síť, pro využívání vzdálených počítačů, k zajištění dostupnosti správných souborů. Nevýhodou je při běžné komunikaci možnost neoprávněného získání přihlašo- vacích údajů, proto je vhodné využívat FTPS rozšíření, které zajišťuje bezpečný přenos dat. FTP využívá protokol TCP z TCP/IP (Postel a Reynolds, 1985).
