MojeID: Pravidla motivačního programu pro poskytovatele služeb

MojeID: Pravidla motivačního programu pro poskytovatele služeb V platnosti od 1. 3. 2015

1 Vyhlašovatel CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3 IČ: 67985726 DIČ: CZ67985726 Zapsáno ve spolkovém rejstříku vedeném u Městského soudu v Praze, sp. zn. L 58624

2 Vymezení pojmů • Služba: je otevřený decentralizovaný a svobodný systém pro správu elektronické identity Uživatelů umožňující používání jednotných identifikačních údajů pro přístup k různým informačním systémům provozovaným různými Poskytovateli. • Poskytovatel: fyzická nebo právnická osoba provozující systémy, do nichž umožňuje vstup třetím osobám s využitím Služby. • Uživatel: fyzická nebo právnická osoba, která užívá Službu. • Registr identit: informační systém provozovaný Vyhlašovatelem, který obsahuje údaje o Kontaktech. Registr identit může být spojen s centrálním registrem, který Vyhlašovatel provozuje jako databázi o doménových jménech, jejich držitelích a dalších osobách, případně může být s centrálním registrem identický. Pojmy zde neuvedené mají význam zejména dle Pravidel poskytování služby mojeID pro koncové uživatele či Podmínek užití služby mojeID pro přihlášení k systémům poskytovatelů.

3 Předmět a účel motivačního programu Za účelem rozšiřování počtu Uživatelů Služby a s přihlédnutím ke skutečnosti, že jedním z účelů služby mojeID je rovněž zvyšování správnosti, přesnosti a úplnosti údajů uživatelů, kteří užívají Službu a jsou či mohou být držiteli doménového jména registrovaného v ccTLD .cz, a že Uživatelé Služby, jejichž údaje byly ověřeny, mohou více zabezpečit své osobní údaje, neboť poštovní adresa Kontaktu, jehož údaje byly ověřeny, může být skryta, se Vyhlašovatel zavazuje za podmínek určených těmito mojeID: Pravidly motivačního programu pro poskytovatele služeb (dále jen „tato Pravidla“) odměnit ty Poskytovatele, kteří zavedou ve svých systémech používání Služby, umožní svým uživatelům založení účtu mojeID (uživatelského účtu Služby), a to pomocí údajů, které příslušný uživatel má již uloženy v systému Poskytovatele a které budou převedeny do Registru identit a u nichž jejich Uživatel provede plnou identifikaci či validaci. Pro účely plnění Vyhlašovatele dle těchto pravidel se založeným účtem mojeID rozumí účet mojeID identifikovaný nebo podmíněně identifikovaný dle čl. 3.3. Pravidel poskytování služby CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3

IČ 67985726 DIČ CZ67985726

T +420 222 745 111 M +420 731 657 660

[email protected] www.nic.cz

1/5

mojeID pro koncové uživatele, plně identifikovaným se rozumí účet mojeID, který byl ověřen prostřednictvím jednorázového hesla zaslaného třemi různými kanály (PIN 1, PIN 2 i PIN3) a validovaným účtem se rozumí účet, u něhož byla jednoznačně ověřena totožnost Uživatele, a to některým ze způsobů dle čl. 3.4. Pravidel poskytování služby mojeID pro koncové uživatele.

4 Podmínky účasti v programu Programu se může zúčastnit pouze takový Poskytovatel, který • má s Vyhlašovatelem uzavřenou „Smlouvu o užití služby mojeID pro přihlášení k systémům poskytovatele“, • zavede Službu do svých systémů tak, že taková aplikace bude splňovat požadavky dle přílohy č. 1 těchto Pravidel, • bude předávat data svých uživatelů speciálním rozhraním dle přílohy č. 2 těchto Pravidel. Náklady spojené s účastí v programu nese Poskytovatel, který nemá nárok na jejich úhradu ani v případě předčasného ukončení programu.

5 Práva a povinnosti 5.1 Poskytovatel • Poskytovatel je oprávněn uspořádat na vlastní náklady komunikační kampaň směrem ke svým uživatelům tak, aby je motivoval k zakládání uživatelských účtů Služby; rozsah i forma této kampaně je libovolná a závisí na uvážení a možnostech každého Poskytovatele; na žádost poskytne Vyhlašovatel Poskytovateli sadu komunikačních materiálů (text, grafika a podobně), které bude moci Vyhlašovatel za tímto účelem použít; každá komunikační kampaň či jiná aktivita, jejímž účelem je také motivace uživatelů k zakládání uživatelských účtů Služby podléhá předchozímu schválení Vyhlašovatelem; • Poskytovatel nesmí provádět zakládání uživatelských účtů Služby bez vědomí a souhlasu svých uživatelů. • Poskytovatel je povinen upozornit Uživatele na předání údajů účtu Uživatele u Poskytovatele do uživatelského účtu služby mojeID; • Poskytovatel není oprávněn vyhlásit vlastní provizní (affiliate) program, jehož účel je, byť jen zčásti, shodný s účelem tohoto motivačního programu či vede ke stejnému výsledku, tedy umožnění uživatelům založit si uživatelský účet Služby, a na jehož základě by Poskytovatel vyplácel finanční plnění, poskytoval věci, služby či jiné penězi ocenitelné hodnoty třetím osobám – zprostředkovatelům, pro něž je proviní program Poskytovatele určen.

5.2 Vyhlašovatel • Vyhlašovatel je oprávněn v průběhu programu provádět vlastní komunikační aktivity spojené se Službou CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3

IČ 67985726 DIČ CZ67985726

T +420 222 745 111 M +420 731 657 660


2/5

6 Finanční odměny, podmínky a způsob jejich vyplácení 6.1 Výše finančních odměn 6.1.1. Za každý založený uživatelský účet Služby, který bude založen prostřednictvím údajů uložených v systému Poskytovatele a jehož data budou předána v souladu s ustanoveními těchto Pravidel a ověřena prostřednictvím jednorázového hesla (kódy PIN1 a PIN2) - tzv. částečná identifikace; ověření e-mailové adresy a telefonního čísla, vzniká Poskytovateli nárok na odměnu ve výši 20,-- Kč za každý takový uživatelský účet Služby; 6.1.2. Poskytovateli vzniká nárok na dodatečnou odměnu ve výši 80,-- Kč, budou-li data uživatelského účtu Služby, který byl založen a ověřen dle čl. 6.1.1., ověřena i prostřednictvím kódu PIN3 (ověření poštovní adresy, tzv. plná identifikace); 6.1.3. Poskytovateli vzniká nárok na dodatečnou odměnu ve výši 100,-- Kč, budou-li data uživatelského účtu Služby, který byl založen a ověřen dle čl. 6.1.1., ověřena i prostřednictvím tzv. validace (fyzického ověření totožnosti uživatele). 6.1.4. Poskytovatel může získat finanční odměny dle těchto Pravidel v maximální výši 500.000,-- Kč (slovy: pět set tisíc korun českých) za kalendářní rok; na základě dohody Poskytovatele s Vyhlašovatelem lze tento limit navýšit, a to i opakovaně; na navýšení limitu však nemá Poskytovatel nárok, Vyhlašovatel je oprávněn požadavek na navýšení limitu odmítnout, a to i bez udání důvodu. 6.1.5. Veškeré částky dle čl. 6.1.1. až 6.1.4. jsou bez příslušné daně z přidané hodnoty.

6.2 Výplata odměn 6.2.1. Počty založených a ověřených uživatelských účtů a dosažená výše odměn se evidují za kalendářní měsíc, a to počínaje 1. 3. 2015. Každý Poskytovatel, který splní podmínky pro výplatu odměny dle čl. 6.2.2., obdrží do 6. pracovního dne následujícího kalendářního měsíce přehled s uvedením počtu založených účtů a celkovou výši dosažené odměny. 6.2.2. Odměna je vyplacena pouze Poskytovateli, jehož výše odměny za kalendářní měsíc dosáhne alespoň 1.000,-- Kč (dále jen „minimální výše odměny“) a zároveň z celkového počtu založených a ověřených uživatelských účtů Služby za kalendářní měsíc bude alespoň 60 % plně identifikováno (tzn. ověřeno všemi částmi jednorázového hesla PIN1, PIN2, PIN3). Výplata je provedena výhradně na základě Poskytovatelem řádně vystaveného daňového dokladu (faktury) s třicetidenní splatností. Tento daňový doklad musí být Vyhlašovateli doručen nejpozději do 15. dne kalendářního měsíce, bezprostředně následujícího po měsíci, za který má být odměna vyplacena. Není-li daňový doklad Vyhlašovateli doručen v této lhůtě, nárok na výplatu odměny zaniká. Daňový doklad musí splňovat náležitosti vyžadované příslušnými právními předpisy, zejm. zákonem č. 235/2004 Sb., o dani z přidané hodnoty. Úhrada bude Vyhlašovatelem provedena na účet Poskytovatele zveřejněný správcem daně dle § 98 zákona č. 235/2004 Sb., o dani z přidané hodnoty, a to i v případě, že na daňovém dokladu bude uveden bankovní účet jiný. Pokud Poskytovatel nemá u správce daně zveřejněn bankovní účet ve smyslu výše uvedeného ustanovení, CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3

IČ 67985726 DIČ CZ67985726

T +420 222 745 111 M +420 731 657 660


3/5

provede Vyhlašovatel úhradu až po jeho zveřejnění, přičemž po tuto dobu není v prodlení s úhradou. Poskytovatel je povinen Vyhlašovateli uveřejnění takového bankovního účtu neprodleně oznámit. 6.2.3. Poskytovatel, který za kalendářní měsíc nedosáhne minimální výše odměny, avšak splní podmínku alespoň 60 % plně identifikovaných účtů Služby (viz čl. 6.2.2.), může uplatnit nárok na vyplacení v okamžiku, kdy této výše dosáhne součet všech doposud dosažených a nevyplacených odměn, a to daňovým dokladem doručeným Vyhlašovateli nejpozději do 15. dne kalendářního měsíce, bezprostředně následujícího po měsíci, kdy bylo minimální výše odměny dosaženo. Vždy (v každém takovém kalendářním měsíci) však musí být splněna podmínka alespoň 60 % plně identifikovaných účtů služby! Není-li daňový doklad Vyhlašovateli doručen v této lhůtě, nárok na výplatu odměny zaniká. 6.2.4. Odměny nedosahující minimální výše se nevyplácejí, a to ani po skončení programu.

7 Trvání programu Program trvá od 1. 3. 2015 do 31. 12. 2015 nebo do okamžiku, kdy jsou vyčerpány finanční prostředky vyčleněné Vyhlašovatelem pro účely výplaty finančních odměn dle těchto Pravidel, které pro dané období činí 2,5 mil. Kč (slovy: dva miliony pět set tisíc korun českých), podle toho, jaká z těchto událostí nastane dříve.

8 Způsob komunikace Komunikace mezi Poskytovatelem a Vyhlašovatelem probíhá zásadně elektronicky. Vyhlašovatel pro komunikaci s Poskytovatelem používá e-mailovou adresu uvedenou v uzavřené „Smlouvě o užití služby mojeID pro přihlášení k systémům poskytovatele“, případně jinou adresu sdělenou pro účely plnění dle těchto Pravidel Poskytovatelem.

9 Odpovědnost za újmu Poskytovatel odpovídá za újmu způsobenou Vyhlašovateli zejména tím, že poruší tato Pravidla. Poskytovatel zároveň bere na vědomí, že odpovědnost Vyhlašovatele za újmu se řídí příslušným ustanovením Podmínek užití služby mojeID pro přihlášení k systémům poskytovatelů, jejichž aktuální znění je k dispozici na webových stránkách Vyhlašovatele.

10 Závěrečná ustanovení 10.1 Vyhlášení programu Program se vyhlašuje prostřednictvím webové stránky Vyhlašovatele www.nic.cz a www.mojeid.cz.

CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3

IČ 67985726 DIČ CZ67985726

T +420 222 745 111 M +420 731 657 660


4/5

10.2 Ukončení programu Vyhlašovatel si ponechává právo program ze závažných důvodů i bez udání důvodu kdykoli změnit či zrušit. Změny či zrušení budou provedeny prostřednictvím webových stránek vyhlašovatele použitých pro vyhlášení programu.

10.3 Právní rámec programu Program se řídí platnými právními předpisy České republiky. Jakékoliv dodatky, výhrady, omezení či odchylky k těmto Pravidlům motivačního programu či souvisejícím dokumentům jsou vyloučeny.

11 Přílohy Příloha č. 1 – Všeobecné principy podpory Služby Příloha č. 2 –Technické podmínky provozu Příloha č. 3 – Podmínky užití služby mojeID pro přihlášení k systémům Poskytovatele

CZ.NIC, z. s. p. o. Milešovská 5, 130 00 Praha 3

IČ 67985726 DIČ CZ67985726

T +420 222 745 111 M +420 731 657 660


5/5

Příloha č. 1 - Všeobecné principy podpory Služby Zavedení služby mojeID do webové aplikace Poskytovatele se musí řídit následujícími pravidly: 1. Přihlášení přes mojeID probíhá bez nutnosti zadávat uživatelské jméno na straně Poskytovatele, a to pomocí některého z níže vyobrazených grafických prvků (dále jen „přihlašovací tlačítka“):

Sada přihlašovacích tlačítek je k dispozici na www.mojeid.cz. Použití jiných grafických prvků podléhá schválení ze strany CZ.NIC. 2. Přihlašovací tlačítko je vhodně doplněno o odkazy „Proč mojeID?“ příp. „Založit účet mojeID“ směřující na odpovídající text umístěný na lokální webové stránce nebo na www.mojeid.cz. 3. Pokud při přihlášení přes mojeID vyžaduje Poskytovatel předání údajů o uživateli, je v případě, že se tyto údaje liší od údajů evidovaných v lokálním účtu služby Poskytovatele, povinen dát uživateli na výběr, zda-li si přeje stávající údaje v lokálním účtu služby ponechat, nebo zda mají být aktualizovány údaji přenesenými z mojeID. 4. Všechny údaje, které jsou v systému Poskytovatele považovány za povinné a bez jejichž zadání nelze začít službu Poskytovatele používat, musí být vyžadovány jako povinné také při přihlašování prostřednictvím služby mojeID. 5. Přihlášení prostřednictvím služby mojeID nesmí být použito pouze jako prostředek pro vyplnění registračního formuláře pro běžné založení účtu v systému Poskytovatele. 6. Implementace služby mojeID musí být navržena tak, aby uživatel mojeID měl při svém prvním přístupu ke službě Poskytovatele prostřednictvím mojeID na výběr z následujících dvou možností: 6.1. spárování mojeID s existujícím lokálním účtem nebo 6.2. vytvoření nového lokálního účtu pomocí dat přenesených z mojeID a spárování tohoto nově založeného lokálního účtu s mojeID. 7. Spárování s mojeID musí být možné také v autentizovaném režimu v rámci administrace lokálního účtu. Na stejném místě musí mít uživatel možnost lokální účet a mojeID rozpárovat.

CZ.NIC, z. s. p. o. Americká 23, 120 00 Praha 2

T +420 222 745 111 F +420 222 745 112


1/1

Technické podmínky provozu

Vydáno: 1. 9. 2014

MojeID – technické podmínky provozu

Obsah 1 Úvod.................................................................................................3 2 Terminologie......................................................................................4 3 Seznámení s mojeID...........................................................................5 3.1 Základní principy mojeID...............................................................5 3.2 MojeID identita.............................................................................5 3.3 Proces komunikace přes mojeID.....................................................6 4 Implementace podpory mojeID.............................................................8 4.1 Ustanovení asociace......................................................................8 4.2 Žádost o přihlášení přes mojeID......................................................8 4.3 Iniciace.......................................................................................9 4.4 Žádost o ověření identity..............................................................10 4.5 Provedení autentizace..................................................................12 4.5.1 XRDS dokument a jeho formát................................................13 4.5.2 Výběr vhodné Oblasti URL poskytovatele služeb.........................14 4.6 Odpověď s výsledkem ověření identity............................................14 4.7 Ověření odpovědi........................................................................15 4.8 Zpracování odpovědi....................................................................16 4.8.1 Výsledek přihlášení................................................................16 4.8.2 Údaje z mojeID identity.........................................................17 5 Rozhraní pro zakládání účtů mojeID.....................................................19 5.1 Žádost o založení účtu mojeID......................................................19 5.2 Kontrola validity dat ...................................................................19 5.3 Dokončení registrace...................................................................21 6 Testovací instance.............................................................................22 7 Přílohy.............................................................................................24 7.1 Příloha č.1 – Seznam údajů pro přihlášení ......................................24 7.2 Příloha č.2 – Seznam údajů pro registraci.......................................24 7.3 Příloha č.3 – Příklady a řešení chybových hlášek..............................24

Podpora: [email protected] | +420 222 745 111 2


1 Úvod Tento dokument obsahuje obecný úvod do principů a fungování služby mojeID. Naleznete zde také příklady a další obecné informace, které Vám pomohou navrhnout jakým způsobem implementovat podporu služby mojeID do Vaší webové aplikace. Získáte tak rychlý základní přehled o krocích, které bude potřeba provést při implementaci podpory mojeID a budete moci odhadnout náročnost této implementace. Na stránce https://www.mojeid.cz/page/1863/vzorove-implementace/ jsou k dispozici vzorové implementace pro některé programovací jazyky a volně ke stažení pluginy pro nejrozšířenější open source platformy.



2 Terminologie V dalších kapitolách týkajících se implementace mojeID bude používána následující terminologie: • Identifikátor – URL se schématem „http“ či „https“, pod kterým jsou definovaná a dostupná určitá data v rámci procesu ověřování identity, např. http://specs.nic.cz/attr/contact/valid. • Identita – soubor dat o uživateli, které jsou vázané na identifikátor a jsou spravované poskytovatelem OpenID. • Poskytovatel služeb – provozovatel webové aplikace (či přeneseně samotná aplikace, protože vše je řešeno automaticky bez manuálních zásahů), která požaduje ověření uživatelovy identity pomocí mojeID. • OpenID poskytovatel (OP) – zřizovatel a správce OpenID identit, na jehož webu dochází k autentizaci. V případě mojeID vždy CZ.NIC. • Jméno identity – jméno mojeID identity ve tvaru jmeno.mojeid.cz, které uživatel uvede do přihlašovacího formuláře jako identitu, pod kterou se chce přihlásit, např. jnovakova.mojeid.cz. • Prohlášený identifikátor – identifikátor vzniklý ze jména identity, pod kterým je tato identita dostupná u OpenID poskytovatele a odkud lze získat metadata k tomuto identifikátoru, např. https://jnovakova.mojeid.cz/#nCHFlOoqQL. • Koncový bod OP – URL adresa, na které poskytovatel OpenID přijímá zprávy. V případě mojeID je to vždy https://mojeid.cz/endpoint/.



3 Seznámení s mojeID 3.1 Základní principy mojeID MojeID je služba, která dovoluje uživatelům zřídit si a centrálně spravovat svoji internetovou identitu (soubor osobních údajů, například jméno, příjmení, emailová adresa, telefon a další, doplněný o přihlašovací metody a údaje). S takovou identitou se pak uživatelé mohou přihlašovat na libovolných externích webových aplikacích (aplikací jiných poskytovatelů služeb než je poskytovatel identit), přičemž si nemusí vytvářet nové účty a opakovaně u nich vyplňovat základní informace a používat různá přihlašovací jména a hesla. Služba mojeID je konkrétní implementací standardu OpenID ve verzi 2.0 pro decentralizovanou správu internetových identit, který definuje, jak se tyto centrálně spravované identity ověřují a jak vypadají jejich identifikátory. Ofciální specifkaci OpenID protokolu naleznete na htp://openid.net/developers/specs.

MojeID je specifické pro prostředí českého internetu a nabízí poskytovatelům služeb další výhody oproti standardnímu OpenID, například rozšířenou sadu osobních údajů v identitách a jejich předávání, více přihlašovacích metod s možností požadovat určitou úroveň autentizace apod.

3.2 MojeID identita Uživatelé si při zakládání identity musí zvolit jméno své identity, které jednoznačně určuje každou mojeID identitu a které má vždy tvar: jmeno.mojeid.cz (např. jnovakova.mojeid.cz) Toto jméno pak uživatelé používají pro přihlašování na stránkách poskytovatelé služeb – vkládají jej do příslušného přihlašovacího políčka. MojeID identita pak obsahuje: • Údaje, které o sobě uživatel do identity uvede (běžné osobní údaje jako jméno, adresa, telefon, nickname, apod.) • Údaje, které jsou o uživateli poskytovány provozovatelem služby mojeID – sdružením CZ.NIC (zejména informace o fyzickém ověření identity resp. vybraných osobních údajích uživatele tzv. validaci či údaj o tom zda je osoba starší 18 let) Konkrétní výčet možných údajů v mojeID identtě naleznete v příloze č. 1.



3.3 Proces komunikace přes mojeID Proces přihlášení pomocí mojeID se skládá z několika kroků, viz následující schéma.

0. Ustanovení asociace – Dohodnutí sdíleného tajemství, pomocí kterého se budou ověřovat zprávy od poskytovatele OpenID. 1. Žádost o přihlášení přes mojeID – Uživatel klikne na tlačítko „Přihlásit přes mojeID“. 2. Iniciace – V rámci iniciace se získají metadata o poskytovateli OpenID. 3. Žádost o ověření identity – Poskytovatel služeb sestaví žádost o ověření identity a tu nepřímo skrze přesměrování uživatelova prohlížeče odešle na koncový bod poskytovatele OpenID, kde se uživatel autentizuje. 4. Provedení autentizace – Uživatel se na přihlašovací stránce mojeID přihlásí pomocí některé z přihlašovacích metod a tím je jeho identita ověřena. V současnosti je podporováno heslo, digitální certifikát a jednorázové heslo. 5. Odpověď s výsledkem ověření identity – Pokud o to poskytovatel služeb v žádosti o ověření identity požádá, je uživatel přesměrován zpět na Podpora: [email protected] | +420 222 745 111 6

MojeID – technické podmínky provozu stránky poskytovatele služeb a přes uživatelův prohlížeč je mu předána odpověď s výsledkem ověření identity. 6. Ověření odpovědi – Každá zpráva, kterou poskytovatel služeb obdrží od poskytovatele OpenID nepřímo přes uživatelův prohlížeč musí být ověřena, zda opravdu pochází od poskytovatele OpenID a nebyla změněna. To se udělá buď pomocí asociace, viz bod 0 (ve valné většině případů), nebo se musí o toto ověření požádat. 7. Zpracování odpovědi – Na základě toho zda se jedná o úspěšné či neúspěšné přihlášení musí aplikace poskytovatele služeb reagovat a případně zpracovat další data, která jsou z této odpovědi získána.



4 Implementace podpory mojeID V této sekci se seznámíte s technickými aspekty implementace služby mojeID do webových aplikací. Znalost tohoto textu není nezbytná k implementaci, ale je doporučená pro dobré a přesné porozumění principů a procesů fungování mojeID/OpenID. Většinu toho co, zde bude popsáno, vyřeší dostupné knihovny pro implementaci OpenID, které doporučujeme využívat. Pokud chcete rovnou začít s implementací, přejděte přímo na dokument pro specifický programovací jazyk či webovou technologii. Seznam údajů pro přihlášení se nachází v příloze č. 1. Příklady a řešení chybových hlášek se nachází v příloze č. 3.

4.1 Ustanovení asociace Zprávy, které poskytovatel služeb obdrží nepřímo přes uživatelův prohlížeč o d poskytovatele OpenID jsou digitálně podepsány. U každé takové zprávy je nutné podpisy ověřit a ujistit se, že opravdu pochází od poskytovatele OpenID. Je pro to možné využít dvou různých možností – tzv. stavovou a bezstavovou komunikaci mezi poskytovatelem služeb poskytovatelem OpenID. Při bezstavové komunikaci musí poskytovatel služeb ověřit zprávu navázáním komunikace s poskytovatelem OpenID se žádostí o ověření konkrétní zprávy. To je náročnější na výkon a čas. Stavová komunikace začíná dohodnutím sdíleného tajemství ještě před začátkem samotného procesu přihlašování uživatele resp. ověřování identit – tzv. ustanovení asociace. Toto sdílené tajemství má platnost nejdéle 14 dní a po jeho expiraci je nutné ustanovit asociaci znovu. Obě strany (poskytovatel OpenID i poskytovatel služeb) mohou také kdykoliv během platnosti sdíleného tajemství prohlásit toto sdílené tajemství za neplatné a v tomto případě je pak vhodné ustanovit asociaci znovu, tak aby nebylo nutné používat bezstavovou komunikaci. OpenID knihovny, které je možné pro implementaci mojeID využít, mohou používat obě možnost. Pro běžné podmínky, doporučujeme používat stavovou komunikaci v co největší míře. V některých případech je nutné použít i bezstavovou komunikaci např. pokud sdílené tajemství vypršelo nebo jej jedna ze stran zneplatnila, je nutné zprávy ověřovat bezstavovou komunikací do doby než je ustavena nová asociace.

4.2 Žádost o přihlášení přes mojeID Proces ověřování uživatelovy identity začne tím, že na stránkách poskytovatele služeb uživatel projeví žádost o přihlášení přes mojeID. Pro maximální uživatelskou přívětivost stačí pouze tlačítko pro přihlášení, viz Podpora: [email protected] | +420 222 745 111 8

MojeID – technické podmínky provozu následující obrázky. Uživatelské jméno uživatel zadá později na serveru mojeID.

Tlačítko pro přihlašování přes mojeID.

Vlastní dialog pro vložení mojeID identifikátoru na stránkách mojeID.

Přihlašování ke službě mojeID tlačítkem je jediná doporučená a správná metoda.

4.3 Iniciace Aby poskytovatel služby mohl odeslat žádost o ověření identity, musí u většiny knihoven uvést buď identifikátor uživatele, nebo koncový bod OP. Pokud poskytovatel služeb nezná identifikátor uživatele (např. přihlášení uživatele) uvede místo něj koncový bod OP. Pokud poskytovatel služeb zná identifikátor uživatele (např. znovuověření uživatele), získá jeho pomocí metadata o uživatelově identitě a o OpenID Podpora: [email protected] | +420 222 745 111 9

MojeID – technické podmínky provozu poskytovateli včetně koncového bodu OP. Na identifikátor uživatele se pošle HTTP požadavek a v těle stránky, která je tímto požadavkem získána se nachází mimo jiné i: • Prohlášený identifikátor uživatele – Výsledné URL, z něhož se vrátilo tělo stránky s metadaty. • Vnitřní identifikátor uživatele – Od jména identity se liší tím, že jde o identifikátor, který má tvar https://mojeid.cz/id/unikatni_retezec/, kde unikatni_retezec j e un i k á t n í i d e nt if i k a c e u ž i va t e l e v s y s t é m u m o j e I D. N a p ř ík l a d https://mojeid.cz/id/nCzFlOhqQU/. Tuto vnitřní identitu je pak potřeba v dalších fázích přihlašovacího procesu kontrolovat, neboť to je identita, kterou rozpoznává poskytovatel OpenID, viz kapitola 4.7. • Koncový bod OP – to je vždy https://mojeid.cz/endpoint/ a na tuto adresu budou směrovány žádosti o ověření identity.

4.4 Žádost o ověření identity Jakmile poskytovatel služeb zná koncový bod OP, případně i prohlášený identifikátor a vnitřní identifikátor zasílá skrze přesměrování uživatelova prohlížeče žádost o ověření identity (o autentizaci). Žádost obsahuje speciální parametry pro její realizaci. Tyto parametry se uvádějí pomocí svých identifikátorů do těla zprávy. Konstrukci této žádosti o ověření identity opět přímo zajistí OpenID knihovny, které budete pro implementaci používat. Žádost o ověření identity obsahuje obvykle následující parametry: •

Návratovou adresu (URL) aplikace poskytovatele služby – Na tuto adresu se vrátí uživatel po provedení přihlášení ze stránek poskytovatele OpenID a zde bude výsledek přihlašování aplikací poskytovatelem služeb zpracován.

•

Oblast URL poskytovatele služeb – definuje část prostoru URL, pro niž je žádost o ověření identity platná. Návratová adresa poskytovatele služeb musí ležet v této oblasti URL. Na této nebo odpovídající adrese by měl být k dispozici XRDS dokument nebo zveřejněna jeho poloha.

•

Volba vyžadované přihlašovací metody – toho se dociluje umístěním identifikátoru příslušné přihlašovací metody do žádosti o ověření identity. Služba mojeID podporuje mimo běžného přihlašování heslem přihlašování pomocí digitálního certifikátu nebo jednorázového hesla.


MojeID – technické podmínky provozu Přihlášení pomocí certifikátu je možné vyžádat s pomocí rozšíření PAPE použitím identifikátoru: http://schemas.openid.net/pape/policies/2007/06/phishing-resistant V případě přihlášení pomocí certifikátu se zobrazují uživateli následující hlášky: "The service provider wants you to login with your certificate." "Poskytovatel služby požaduje přihlášení jednorázovým heslem." Přihlášení pomocí jednorázového hesla je možné vyžádat použitím identifikátoru: http://schemas.openid.net/pape/policies/2007/06/multi-factor V případě přihlášení pomocí jednorázového hesla se zobrazují uživateli následující hlášky: "The service provider wants you to login with one time password." "Poskytovatel služby požaduje přihlášení certifikátem." •

Omezení doby přihlášení uživatele – pokud se uživatel úspěšně přihlásí k poskytovateli služeb systém mojeID udržuje „přihlášení“ tohoto uživatele. Pokud se uživatel v této době přihlašuje k jinému poskytovateli služeb, nemusí se na přihlašovací stránce mojeID znovu autentizovat. Poskytovatel služeb má ovšem možnost omezit svoji žádost o ověření identity na libovolnou dobu od poslední autentizace, pokud to považuje za potřebné, např. z hlediska bezpečnosti. Tuto volbu je možné vyžádat použitím pole max_auth_age rozšíření PAPE. Pokud se uživatel nepřihlásil do mojeID za posledních max_auth_age sekund, je po něm vyžadováno nové přihlášení.

•

Prohlášený identifikátor uživatele, který bude ověřován – Jméno identity odpovídající tomuto prohlášenému identifikátoru bude uživateli zobrazena na přihlašovací stránce mojeID. Pokud uživatel vybírá identifikátor u OP, obsahuje zvláštní hodnotu.

•

Požadované údaje z mojeID identity – do žádosti o ověření identity lze přidat i seznam jednotlivých údajů z mojeID identity, které aplikace poskytovatele služeb vyžaduje a které budou po úspěšném přihlášení a se souhlasem uživatele předány poskytovateli služeb. Pro každý údaj je nutné uvést jeho identifikátor. MojeID podporuje vyžádání následující údaje (podrobnosti a formáty jednotlivých položek lze nalézt přímo na


MojeID – technické podmínky provozu uvedené adrese identifikátoru údaje; některé z těchto údajů – jméno, přezdívka, email, datum narození, PSČ a stát – lze získat jednodušším rozšíření SReg). Údaje jsou uvedeny v příloze.

Příklad položek v požadavku, které může žádost o ověření identity obsahovat, shrnuje následující tabulka: Parametr (klíč)

Popis (hodnota)

openid.ns

Určení použitého OpenID protokolu.

openid.claimed_id

Prohlášený identifikátor uživatele.

openid.identity

Vnitřní identifikátor uživatele

openid.assoc_handle

Identifikační řetězec dříve navázané asociace.

openid.return_to

Návratová adresa z mojeID. Ve starších specifikacích protokolu OpenID se toto pole označuje openid.trust_root.

http://specs.openid.net/auth/2.0 http://jnovakova.mojeid.cz/

http://mojeid.cz/id/unikatni_retezec/ {HMAC-SHA256}{4c486ac3}{Ze6JZA==}

http://www.poskytovatel-sluzeb.cz/MojeID-Navrat.html openid.realm

Oblast URL poskytovatele služeb.

openid.ns.ax

Určení rozšíření pro výměnu atributů. Řetězec „ax“ může být jakékoliv jiné pojmenování, které si zvolí vaše knihovna. Zde se pouze řekne, jak se na něj bude dále odkazovat.

http://www.poskytovatel-sluzeb.cz/

http://openid.net/srv/ax/1.0 openid.ax.mode

Režim výměny atributů (získání, uložení).

openid.ax.type.firstName

Vyžádání atributu na místo firstName může být libovolný řetězec.

openid.ax.type.validated

Další atribut – tentokrát informace o ověření uživatelových údajů.

fetch_request http://axschema.org/namePerson/first http://specs.nic.cz/attr/contact/valid

openid.ax.type.jabber

http://axschema.org/contact/IM/Jabber

openid.ax.required

Seznam atributů, o kterých poskytovatel služeb tvrdí, že jsou nezbytné pro řádné založení/aktualizaci účtu resp. pro fungování aplikace poskytovatele služeb samotné.

firstName,validated openid.ax.if_available

Seznam dodatečných atributů. Poskytovatel služeb by si je přál, ale nevadí, pokud je nedostane.

Jabber openid.ns.pape

Určení rozšíření pro autentizační politiky.

openid.pape.max_auth_age

Počet sekund od poslední autentizace. Pokud se uživatel neautentizoval v této době musí se autentizovat znovu.

http://specs.openid.net/extensions/pape/1.0 3600


MojeID – technické podmínky provozu openid.pape.preferred_auth Mezerou oddělený seznam identifikátorů požadovaných politik. _policies http://schemas.openid.net/pape/policies/2007/06/phishingresistant

4.5 Provedení autentizace V okamžiku, kdy uživatel dorazí s žádostí o ověření identity od poskytovatele služeb n a koncový bod OP, je mu zobrazena přihlašovací stránka, kde proběhne samotné přihlášení. Tato autentizace je provedena poskytovatelem OpenID. V rámci tohoto ověření se poskytovatel OpenID pokusí provést maximum úkonů, které byly specifikovány pomocí parametrů v žádosti o ověření identity. Celý proces se odehrává v systémech poskytovatele OpenID a z hlediska poskytovatele služeb nevyžaduje žádnou činnost. Součástí je ověření návratové adresy poskytovatele služeb, uživatel je o výsledku tohoto ověření informován. V rámci tohoto ověření jsou získána d a t a o poskytovateli služeb pomocí protokolu YADIS a ta jsou následně ověřena oproti údajům ve zprávě. Korektní poskytovatel služeb na dotaz z protokolu YADIS vrátí buď XRDS dokument nebo HTML dokument, v němž bude zveřejněna poloha XRDS dokumentu.

4.5.1 XRDS dokument a jeho formát Poloha XRDS dokumentu se zveřejňuje následující značkou META v hlavičce: <meta http-equiv="x-xrds-location" content="http://www.poskytovatelsluzeb.cz/xrds.xml"/>

Příklad vlastního XRDS dokumentu pro přihlášení ke službě mojeID: <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service> http://specs.openid.net/auth/2.0/return_to http://www.poskytovatel-sluzeb.cz/MojeID-Navrat.html


MojeID – technické podmínky provozu Příklad XRDS dokumentu pro registraci ke službě mojeID: <xrds:XRDS xmlns:xrds="xri://$xrds" xmlns="xri://$xrd*($v*2.0)"> <XRD> <Service> http://specs.openid.net/auth/2.0/assert_url URL rozhraní

kde ve značce URI musí být návratová adresa poskytovatele služeb z žádosti o ověření identity. Během celého procesu k získání dokumentu nesmí server poskytovatele služeb vrátit přesměrování (HTTP kód 3xx), jinak je dokument považován za neplatný/podvržený.

4.5.2 Výběr vhodné Oblasti URL poskytovatele služeb Oblast URL je v systému mojeid jednoznačným identifikátorem poskytovatele služeb, jeho správná volba tedy usnadní orientaci uživatelům. Dle specifikace OpenID by měla oblast URL odpovídat části URL prostoru, pro níž je požadavek platný. V případě přihlašování by tedy oblast URL neměla být menší než je část URL prostoru, která je pokrytá následně vzniklou session. Z tohoto plyne naše doporučení používat právě jeden realm na jednu doménu druhého řádu. Protože dvě URL, které se liší byť jen schématem, jsou dle specifikací rozdílné, velmi doporučujeme použití výhradně HTTPS v případě, že je dostupné. Tím se také zabrání odposlechu dat uživatelů, během jejich odesílání poskytovateli služeb. Pokud používáte pouze jedinou doménu druhého řádu, pak doporučujeme zvolit oblast URL ve tvaru: https://example.cz/ nebo https://www.example.cz/. Zde je třeba upozornit, že návratová adresa musí mít stejnou doménu jako realm, jinak je OpenID požadavek neplatný. Pokud používáte poddomény třetích a nižších řádů, doporučujeme využít náhražkový znak * a zvolit oblast URL ve tvaru https://*.example.cz/. Tato oblast URL umožňuje používat návratové adresy s libovolnou poddoménou (ale ne s doménou samotnou v tomto případě https://example.cz/), například:


MojeID – technické podmínky provozu https://www.example.cz/, https://sub.example.cz/navratova/adresa/, https://pod.do.me.na.example.cz/. XRDS dokument se bude hledat na URL, kde se znak * nahradí za „www" tedy na https://www.example.cz/.

4.6 Odpověď s výsledkem ověření identity V případě, že o to poskytovatel služby požádal, je mu opět nepřímo přes přesměrování uživatelova prohlížeče zaslána zpět zpráva s odpovědí resp. výsledkem ověřování identity a dalšími daty, které si vyžádal. Tato odpověď má opět formu HTTP zprávy, přičemž v těle této zprávy jsou uvedena jednotlivá data vyjadřující jednotlivé informace výstupu z procesu ověření identity.

Následují příklady položek polí odpovědi na žádost o ověření identity: Klíč

Popis

openid.claimed_id

Vrací prohlášený identifikátor uživatele, od výchozího se může lišit fragmentem. Tento řetězec použije poskytovatel služeb k párování dat specifických pro uživatele. Je důležité při porovnávání dbát zřetel na všechny části řetězce včetně schématu a fragmentu.

https://jnovakova.mojeid.cz/#unikatni_retezec openid.op_endpoint

MojeID endpoint URL

openid.response_nonce

Unikátní značka odpovědi. Žádné dvě odpovědi nemají stejnou – slouží k obraně před znovu odesláním odpovědi (tzv. replay attack).

https://mojeid.cz/endpoint/

2010-07-22T16:13:08ZiEnTtR openid.signed

Seznam polí, která jsou podepsána podpisem, viz následující klíč.

openid.sig

Podpis vyjmenovaných polí pro ověření pravosti.

openid.ax.type.firstName

Mapování oficiálního URL identifikátoru na řetězec používaný ve zprávě.

assoc_handle,claimed_id,ns,op_endpoint,pape.auth_policies, response_nonce,signed hdtOpg3jCup1n6+elCXn+yLZAYc=

http://axschema.org/namePerson/first openid.ax.value.firstName Hodnota atributu identity pro uvedený řetězec. Jana openid.pape.auth_policies Mezerou oddělený výčet přihlašovacích politik, které byly ve skutečnosti aplikovány.

http://schemas.openid.net/pape/policies/2007/06/phishingresistant openid.pape.auth_time

Čas kdy byla ověřena uživatelova identita na serveru (UTC).

2005-05-15T17:11:51Z



4.7 Ověření odpovědi Každá zpráva s odpovědí je digitálně podepsána a musí být ověřena. Ověřují se následující části zprávy: • návratová URL – Hodnota „openid.return_to“ musí souhlasit s URL, na kterou byl požadavek doručen. Všechny parametry této URL musí být obsaženy v HTTP zprávě, již poskytovatel služeb obdržel. •

prohlášený identifikátor – M e t a d a t a n á l e ž í c í k prohlášenému

identifikátoru získaná během iniciace nebo opakováním části tohoto procesu musí souhlasit s údaji obsaženými ve zprávě – prohlášený identifikátor, vnitřní identifikátor, koncový bod OP a verze protokolu. • značka odpovědi – Zpráva se stejnou značkou nebyla od tohoto poskytovatele OpenID ještě přijata. • podpis – Všechna pole, která musí být podepsána, jsou podepsána a podpis je platný. Podpis si buď poskytovatel služeb ověří sám ve stavové komunikaci, nebo o kontrolu podpisu požádá poskytovatele OpenID. Pokud jsou všechny tyto podmínky splněny, pak je zpráva platná a bylo ověřeno, že prohlášený identifikátor náleží uživateli. Všechny části by ale měla zpracovat knihovna implementující protokol.

4.8 Zpracování odpovědi Pokud je zpráva s odpovědí na žádost o ověření identity úspěšně ověřena, může aplikace poskytovatele služeb data, která obsahuje, zpracovat a dokončit tak proces přihlašování pomocí mojeID. Toto zpracování musí zajistit webová aplikace na návratové adrese, která byla obsažena v žádosti na ověření identity.

4.8.1 Výsledek přihlášení Při zpracování výsledku přihlášení je potřeba ošetřit následující speciální situace týkající se úspěšného přihlášení: • První přihlášení uživatele – pokud se uživatel, který se úspěšně přihlásil, ve webové aplikaci poskytovatele služeb poprvé, je ve většině případů nutné aby mu poskytovatel služeb založil v této své aplikaci účet, kde budou udržována data získaná z mojeID identity a samozřejmě i veškerá další data specifická pro příslušnou aplikaci. Při zakládání účtu je doporučeno: Podpora: [email protected] | +420 222 745 111 16

MojeID – technické podmínky provozu ◦ využít data získaná z mojeID identity zcela místo vyplňování registračního formuláře, případně zobrazit uživateli v registračním formuláři pouze ta políčka, jejichž obsah nebyl získán z mojeID a ◦ seznámit uživatele s tím, jaká data z mojeID identity příslušná aplikace potřebuje a doporučit mu, že je vhodné, aby umožnil jejich předávání při každém přihlášení. • Opakované přihlášení versus přihlášení nového uživatele – při každém zpracování odpovědi je třeba kontrolovat prohlášenou identitu uživatele, protože se může stát, že dva různí uživatelé mají stejné jméno identity a to tak, že jedna osoba zruší svoji mojeID identitu (a uvolní tak příslušné jméno identity) a jiná osoba si založí identitu se stejným jménem identity. Tito uživatelé jsou pak rozlišeni pomocí unikátního řetězce na konci URL prohlášené identity. • Přihlášení uživatele, který o něj nepožádal přímo – Aplikace poskytovatele služby může obdržet odpověď s úspěšným přihlášením i v případě, že o přihlášení tento uživatel nepožádal přímo v aplikaci příslušného poskytovatele služeb. Jde o normální situaci, která by neměla být považována za chybu – požadavek na přihlášení šel z jiných stránek než na, kterou se vrací data (v protokolu se neuchovává informace o aplikaci, jež vygenerovala zprávu, pokud poskytovatel služeb takovou informaci vyžaduje, musí si ji doplnit sám). Uživatel je si ovšem vždy díky upozornění na přihlašovací stránce mojeID vědom, ke které službě se přihlašuje a komu předává data. Při zpracování výsledku přihlášení je potřeba ošetřit následující situace týkající se negativního výsledku přihlašování: • Zamítnutí žádosti o přihlášení - uživatel může po příchodu na přihlašovací stránku zamítnout žádost o přihlášení např. z důvodu, že jej sám neinicioval. Aplikace pak musí ošetřit tento stav. • Nemožnost okamžitého ověření

- Poskytovatel služeb může vynutit

ověření identity bez kontaktu s uživatelem, pokud toto ověření není poskytovatel OpenID schopen poskytnout, vrátí se tento typ odpovědi znamenající, že je třeba provést klasické ověření uživatele. Některé knihovny tento stav nerozlišují od předchozího stavu. • Chyba v protokolu - Poskytovatel OpenID vrátí tento typ zprávy, pokud je schopen určit návratovou adresu poskytovatele služeb, ale není schopen rozpoznat jiná pole ve zprávě, neboť obsahuje data, jež jsou v rozporu


MojeID – technické podmínky provozu s protokolem. Poskytovatel OpenID MojeID vrací tento chyb zpráv, např. pokud mu je doručena zpráva s vnitřním identifikátorem, jež není schopen ověřit.

4.8.2 Údaje z mojeID identity Pokud je využito dotazování na údaje z mojeID identity, je nutné ošetřit následující speciální situace: • Opakované přihlašování uživatele - při každém opakovaném přihlášení uživatele pomocí mojeID je potřeba zkontrolovat, zda data, která jsou uložena v interním účtu aplikace poskytovatele služeb, jsou shodná jako data, která byla v rámci přihlášení získána z mojeID identity uživatele. V případě že se liší, je potřeba aktualizovat data v interním účtu daty z mojeID identity, ta jsou pravděpodobně aktuální. • Neobdržení požadovaných údajů - uživatel má možnost vždy ovlivnit jaké údaje budou či nebudou při přihlášení předávány poskytovateli služeb. Může se tedy stát, že aplikace poskytovatele služeb některé údaje vyžaduje a přesto je díky uživatelově volbě nedostane. Je doporučeno ošetřit tuto situaci, aby data, která aplikace požaduje, byla rozdělena na nutná pro fungování aplikace a nepovinná, bez kterých se aplikace obejde. Podle toho rozdělení je pak vhodné navrhovat konkrétní chování dotyčné aplikace. Zvláštním případem je možnost přihlášení pouze pro plně identifikované nebo validované (fyzicky ověřené) uživatele mojeID. Položky: http://specs.nic.cz/attr/contact/valid a http://specs.nic.cz/attr/contact/status jsou předávány vždy, pokud si o ně poskytovatel s rozšířeným přístupem požádá. Údaje, u kterých uživatel nepovolil předání poskytovateli služeb, jsou v těle odpovědi vráceny bez hodnoty.



5 Rozhraní pro zakládání účtů mojeID Tato kapitola popisuje mechanismus registrace mojeID účtů ze systémů Poskytovatelů. Poskytovatelé mohou tento mechanismus nabídnout svým uživatelům za účelem převedení u nich evidovaných údajů do mojeID.

5.1 Žádost o založení účtu mojeID Uživatel si v systému Poskytovatele zvolí možnost založit mojeID. Toto vygeneruje v prohlížeči uživatele HTTPS POST požadavek na registrační server n a a d r e s e https://mojeid.nic.cz/registration/endpoint/. V p a r a m e t r e c h požadavku jsou spolu s požadovaným uživatelským jménem všechny evidované údaje o daném uživateli (Seznam údajů pro registraci se nachází v příloze č.2.) a navíc: •

identifikátor poskytovatele služeb (realm) – volitelné URI, přičemž by se mělo jednat o stejnou hodnotu, která se používá pro OpenID přihlašování k službě mojeID

•

jednoznačný identifikátorem transakce (registration_nonce) – slouží ke spárování odpovědi na tento požadavek

Poskytovatel má možnost volbou adresy https://mojeid.nic.cz/transfer/endpoint/ nabídnout uživateli převod existujícího kontaktu v centrálním registru. V takovém případě se ignorují zaslané údaje o uživateli a je vyplněno uživatelské jméno, neboli identifikátor kontaktu, který nelze měnit. Pokud je identifikátor nevalidní, nelze ho převést do mojeID, uživatel musí kontaktovat určeného registrátora pro změnu. Dále je uživateli zobrazen formulář se seznamem údajů, které se po registraci vloží do mojeID. U základních údajů se zobrazí i hodnota a je možné je změnit. Uživatel na tomto formuláři: •

odsouhlasí podmínky služby

•

bude ověřen pomocí CAPTCHA

5.2 Kontrola validity dat Registrační server po odeslání formuláře zkontroluje validitu dat a nechá uživatele opravit chyby. V případě správnosti dat je zahájen proces registrace nového účtu. Do tohoto účtu registrační server uloží požadovaná data a připojí identifikaci poskytovatele služeb. Následně je zahájena identifikace odesláním PIN1 a PIN2.


MojeID – technické podmínky provozu Následujícím krokem je informovat poskytovatele služeb o úspěšné registraci. S pomocí URI, jež označuje poskytovatele služeb, se server pokusí nalézt XRDS dokument s alespoň jedním <xrd:Service> elementem obsahujícím e l e m e n t y <xrd:Type> s h o d n o t o u „http://specs.nic.cz/registration/assert_url“ a <xrd:URI> s URL, na které se zašle informace o registraci. Během tohoto procesu nesmí dojít k přesměrování a výsledná URL musí ležet v URI poskytovatele služeb, viz http://openid.net/specs/openid-authentication-2_0.html#realms Poskytovateli je poslán přímo HTTPS POST zpráva na rozhraní. Obsahem zprávy jsou tři parametry: •

„registration_nonce“ – jednoznačný identifikátor transakce pro spárování s původním požadavkem

•

„claimed_id“ – zvolený mojeID identifikátor uživatele

•

„status“ – hodnota „REGISTERED“ Poskytovatel musí tuto zprávu nejprve ověřit:

•

musí zkontrolovat, že zpráva byla doručena na některou z adres zjištěných v bodě 5.1

•

musí ověřit, že response_nonce byla opravdu vytvořena

•

musí ověřit, že klientský certifikát, který byl použit pro vytvoření SSL tunelu je platný a podepsaný certifikační autoritou CZ.NIC. Tento certifikát je dostupný na adrese http://www.mojeid.cz/page/1864/motivacni-program/

pro produkční i testovací prostředí. Certifikát je potřeba pro notifikace na produkci i na testu. Pro poskytovatele bez HTTPS, který chce na testovacím prostředí zkoušet přihlašování a zakládání účtů tento certifikát není třeba. Pro poskytovatele s HTTPS, pokud jde o testovací prostředí, je tento certifikát třeba v případě notifikací z registrace, pro přihlášení není třeba (komunikace mojeid -> server poskytovatele služby se jen táže na obecné veřejné věci, takže není třeba ověřovat "totožnost" toho, kdo je žádá). Notifikace se posílají po registraci, částečné identifikaci (PIN1+2) a validaci (PIN3) na assert_url, které je uvedeno v XRDS dokumentu na realmu. Toto je funkční i na testu. Aby poskytovatel dostával notifikace, musí mít realm


MojeID – technické podmínky provozu s https. Dále pak po přijetí notifikace je třeba odpovědět řetězcem 'mode:accept\n', kde \n je znak nové řádky. Ověřování klientského certifikátu umí zajistit HTTP server např. Apache s použitím konfigurační volby SSLVerifyClient. Pokud jsou splněny všechny požadavky, může Poskytovatel při zpracování této zprávy spárovat mojeID identifikátor se svým záznamem o uživateli pro účely autentizace přes mojeID. Pokud není možné zaslat tuto zprávu bezpečným způsobem protokolem HTTPS, pokračuje registrace bez zaslání této zprávy.

5.3 Dokončení registrace Poskytovatel odešle odpověď na zprávu z bodu 5.2 v těle http odpovědi ve formátu klíč-hodnota OpenID protokolu: •

výsledek (mode) – hodnota „accept“ nebo „reject“ značící, zda uživatelův účet byl úspěšně spárován.

•

důvod zamítnutí (reason) – nepovinný parametr obsahující důvod, proč k párování nedošlo.

Pokud nebude odpověď poslána ve správném formátu, bude zpráva s výsledkem registrace poslána na další adresu z bodu 5.2, dokud nebude získána odpověď nebo nebudou adresy vyčerpány. Registrace pak pokračuje buď přímou výzvou k vyplnění PIN1 a PIN2 a vstoupením do profilu, kde si uživatel zvolí heslo, nebo je uživateli zobrazena informace a dokončení registrace. Pokud má poskytovatel služeb plný přístup, budou mu zasílány informace i o změně stavu uživatelova účtu. Tyto zprávy jsou posílány podobně jako v bodě 5.2, se dvěma parametry v každé zprávě: •

„claimed_id“ – zvolený mojeID identifikátor uživatele

•

„status“ – jedna z hodnot: o

„CONDITIONALLY_IDENTIFIED“ – částečně identifikovaný (zadán PIN1 a PIN2)

o

„IDENTIFIED“ – plně identifikovaný (zadán PIN1, PIN2 a PIN3)

o

„VALIDATED“ – validovaný (zadán PIN1, PIN2, PIN3 a příznak validace)

Pokud selže odesílání této zprávy nebo na ni nebude správně odpovězeno, bude informace o změně stavu zaslána opakovaně po dobu několika hodin.



6 Testovací instance Před zahájením testování zašlete na adresu [email protected] REALM, ze kterého bude testovat přihlášení a registrace. Na testovacím serveru je třeba povolit přístupy a nastavit tzv. plný přístup. Bez toho nebudou zasílány pro potřebu testování parametry status a valid! Pro testování mojeID doporučujeme založit 3 testovací uživatele: 1) částečně identifikovaného, u kterého bude zadaný jen PIN1 a PIN2, 2) plně identifikovaného, u kterého bude zadaný PIN1, PIN2 a PIN3 a 3) validovaného, u kterého bude zadaný PIN1, PIN2, PIN3 a příznak validace Tím je možné otestovat vracené hodnoty v parametru status pro obě varianty identifikace a validaci. Na adrese https://mojeid.fred.nic.cz/registration/ si založte jednotlivé testovací účty. Kontaktní údaje můžete vyplnit libovolné, PINy a validační dopis se neposílají. Zadejte univerzální PINy: • • •

PIN1: 11111111 (8 jedniček) PIN2: 22222222 (8 dvojek) PIN3: 33333333 (8 trojek)

Pro validaci účtu je potřeba vygenerovat dokument (pdf) z uživatelského profilu. Pro vygenerování dokumentu je nutné mít zadané libovolné datum narození. Vygenerovaný pdf dokument pošlete na adresu [email protected], nastavíme pak na odpovídajícím profilu validaci. Testovací instance s podrobnějšími výstupy v případě chyb je dostupná na následujících adresách: •

Koncový bod https://mojeid.fred.nic.cz/endpoint/

•

Profil a přihlášení do profilu https://mojeid.fred.nic.cz/editor/

•

Registrační obrazovky: ◦ https://mojeid.fred.nic.cz/registration/ - nový účet ◦ https://mojeid.fred.nic.cz/transfer/ - převod účtu

•

Koncové body pro motivační program: ◦ https://mojeid.fred.nic.cz/registration/endpoint/


MojeID – technické podmínky provozu ◦ https://mojeid.fred.nic.cz/transfer/endpoint/ Účty vzniklé v rámci testování se nezapočítávají do motivačního programu. Po zavedení mojeID na stránky poskytovatelů na ostrý provoz budou k dispozici následující adresy: •

Nový účet: https://mojeid.cz/registration/endpoint/

•

Převod existujícího účtu: https://mojeid.cz/transfer/endpoint/



7 Přílohy 7.1 Příloha č.1 – Seznam údajů pro přihlášení 7.2 Příloha č.2 – Seznam údajů pro registraci 7.3 Příloha č.3 – Příklady a řešení chybových hlášek


Příloha č.1 – Seznam údajů pro přihlášení Údaj

Identifikátory AX

Identifik. SReg

http://axschema.org/namePerson

fullname

Jméno Celé jméno

http://specs.nic.cz/attr/contact/name Křestní jméno

http://axschema.org/namePerson/first http://specs.nic.cz/attr/contact/name/first

Příjmení

http://axschema.org/namePerson/last http://specs.nic.cz/attr/contact/name/last

Přezdívka

http://axschema.org/namePerson/friendly

nickname

http://specs.nic.cz/attr/contact/nickname Email Hlavní

http://axschema.org/contact/email http://specs.nic.cz/attr/email/main

Notifikační

http://specs.nic.cz/attr/email/notify

Další

http://specs.nic.cz/attr/email/next

Domácí adresa Ulice

http://axschema.org/contact/postalAddress/home http://specs.nic.cz/attr/addr/main/street

Ulice2

http://axschema.org/contact/postalAddressAdditional/home http://specs.nic.cz/attr/addr/main/street2

Ulice3

http://specs.nic.cz/attr/addr/main/street3

Město

http://axschema.org/contact/city/home http://specs.nic.cz/attr/addr/main/city

Stát

http://axschema.org/contact/state/home http://specs.nic.cz/attr/addr/main/sp

Země

http://axschema.org/contact/country/home http://specs.nic.cz/attr/addr/main/cc

1

email

PSČ

http://axschema.org/contact/postalCode/home http://specs.nic.cz/attr/addr/main/pc

Korespondenční adresa Ulice

http://specs.nic.cz/attr/addr/mail/street

Ulice2

http://specs.nic.cz/attr/addr/mail/street2

Ulice3

http://specs.nic.cz/attr/addr/mail/street3

Město

http://specs.nic.cz/attr/addr/mail/city

Stát

http://specs.nic.cz/attr/addr/mail/sp

Země

http://specs.nic.cz/attr/addr/mail/cc

PSČ

http://specs.nic.cz/attr/addr/mail/pc

Fakturační adresa Ulice

http://axschema.org/x/contact/postalAddress/billing http://specs.nic.cz/attr/addr/bill/street

Ulice2

http://axschema.org/x/contact/postalAddressAdditional/billing http://specs.nic.cz/attr/addr/bill/street2

Ulice3

http://specs.nic.cz/attr/addr/bill/street3

Město

http://axschema.org/x/contact/city/billing http://specs.nic.cz/attr/addr/bill/city

Stát

http://axschema.org/x/contact/state/billing http://specs.nic.cz/attr/addr/bill/sp

Země

http://axschema.org/x/contact/country/billing http://specs.nic.cz/attr/addr/bill/cc

PSČ

http://axschema.org/x/contact/postalCode/billing http://specs.nic.cz/attr/addr/bill/pc

Doručovací adresa Ulice

http://axschema.org/x/contact/postalAddress/shipping http://specs.nic.cz/attr/addr/ship/street

Ulice2

http://axschema.org/x/contact/postalAddressAdditional/shipping http://specs.nic.cz/attr/addr/ship/street2

2

Ulice3

http://specs.nic.cz/attr/addr/ship/street3

Město

http://axschema.org/x/contact/city/shipping http://specs.nic.cz/attr/addr/ship/city

Stát

http://axschema.org/x/contact/state/shipping http://specs.nic.cz/attr/addr/ship/sp

Země

http://axschema.org/x/contact/country/shipping http://specs.nic.cz/attr/addr/ship/cc

PSČ

http://axschema.org/x/contact/postalCode/shipping http://specs.nic.cz/attr/addr/ship/pc

Telefon Mobil

http://axschema.org/contact/phone/default http://specs.nic.cz/attr/phone/main

Další

http://axschema.org/contact/phone/cell http://specs.nic.cz/attr/phone/mobile

Domácí

http://axschema.org/contact/phone/home http://specs.nic.cz/attr/phone/home

Pracovní

http://axschema.org/contact/phone/business http://specs.nic.cz/attr/phone/work

Fax

http://axschema.org/contact/phone/fax http://specs.nic.cz/attr/phone/fax

Další údaje Datum narození

http://axschema.org/birthDate

dob

http://specs.nic.cz/attr/contact/ident/dob Věk

http://specs.nic.cz/attr/contact/age

Pohlaví

http://axschema.org/person/gender http://specs.nic.cz/attr/contact/gender

Číslo OP

http://specs.nic.cz/attr/contact/ident/card

Číslo pasu

http://specs.nic.cz/attr/contact/ident/pass

Identifikátor MPSV

http://specs.nic.cz/attr/contact/ident/ssn

Číslo ISIC

http://specs.nic.cz/attr/contact/isic

3

gender

Číslo Opencard

http://specs.nic.cz/attr/contact/opencard

Příznak – Starší 18 let http://specs.nic.cz/attr/contact/adult Příznak - Student

http://specs.nic.cz/attr/contact/student

Příznak – Validace

http://specs.nic.cz/attr/contact/valid

Stav účtu

http://specs.nic.cz/attr/contact/status

Obrázek (base64)

http://specs.nic.cz/attr/contact/image

Jméno společnosti

http://axschema.org/company/name http://specs.nic.cz/attr/contact/org

IČO

http://specs.nic.cz/attr/contact/ident/vat_id

DIČ

http://specs.nic.cz/attr/contact/vat

URL Hlavní

http://axschema.org/contact/web/default http://specs.nic.cz/attr/url/main

Blog

http://axschema.org/contact/web/blog http://specs.nic.cz/attr/url/blog

Osobní

http://specs.nic.cz/attr/url/personal

Pracovní

http://specs.nic.cz/attr/url/work

RSS

http://specs.nic.cz/attr/url/rss

Facebook

http://specs.nic.cz/attr/url/facebook

Twitter

http://specs.nic.cz/attr/url/twitter

LinkedIN

http://specs.nic.cz/attr/url/linkedin

google_plus

http://specs.nic.cz/attr/url/google_plus

instagram

http://specs.nic.cz/attr/url/instagram

pinterest

http://specs.nic.cz/attr/url/pinterest

tumblr

http://specs.nic.cz/attr/url/tumblr

wordpress

http://specs.nic.cz/attr/url/wordpress

foursquare

http://specs.nic.cz/attr/url/foursquare

youtube

http://specs.nic.cz/attr/url/youtube

blogger

http://specs.nic.cz/attr/url/blogger

4

gravatar

http://specs.nic.cz/attr/url/gravatar

about_me

http://specs.nic.cz/attr/url/about_me

IM ICQ

http://axschema.org/contact/IM/ICQ http://specs.nic.cz/attr/im/icq

Skype

http://axschema.org/contact/IM/Skype http://specs.nic.cz/attr/im/skype

Jabber

http://axschema.org/contact/IM/Jabber http://specs.nic.cz/attr/im/jabber

Google Talk

http://specs.nic.cz/attr/im/google_talk

Windows Live

http://specs.nic.cz/attr/im/windows_live

5

Příloha č.2 – Seznam údajů pro registraci Údaj

Formát

Registrace

řetězec o maximální délce 50 znaků

first_name

Jméno Křestní jméno Příjmení

last_name

Email Hlavní Notifikační

e-mailová adresa ve formátu podle RFC2822 o maximální délce 200 znaků

Další

email__default__email email__notify__email email__next__email

Domácí adresa Ulice


address__default__street1

Ulice2


Ulice3


Město

address__default__city

Stát

address__default__state

PSČ


address__default__postal_code

Země

kód země podle ISO3166

address__default__country

Fakturační adresa Ulice


address__billing__street1

Ulice2


Ulice3


Město

address__billing__city

Stát

address__billing__state

PSČ


address__billing__postal_code

Země


address__billing__country

Doručovací adresa Ulice


address__shipping__street1

Ulice2


Ulice3


Město

address__shipping__city

1

Stát

address__shipping__state

PSČ


address__shipping__postal_code

Země


address__shipping__country

Korespondenční adresa Ulice


address__mailing__street1

Ulice2


Ulice3


Město

address__mailing__city

Stát

address__mailing__state

PSČ


address__mailing__postal_code

Země


address__mailing__country

řetězec odpovídající regulárnímu výrazu: ^\+[0-9]{1,3}\.[0-9]{1,14}$

phone__default__number

Telefon Mobil Pracovní

phone__office__number

Další

phone__mobile__number

Domácí

phone__home__number

Telefon - Fax

phone__fax__number

Další údaje Datum narození datum ve formátu RFC3339 (YYYY-MM-DD)

birth_date

Pohlaví

hodnota „M“ nebo „F“

gender

Číslo OP


id_card_num

Číslo pasu

passport_num

Identifikátor MPSV

ssn_id_num

Číslo Opencard

card_opencard

Číslo ISIC

card_isic

Jméno společnosti


IČO


DIČ

organization vat_id_num vat_reg_num

URL Hlavní


2

urladdress__main__url

Blog


urladdress__blog__url

Osobní

urladdress__personal__url

Pracovní

urladdress__office__url

RSS

urladdress__rss__url

Facebook

urladdress__facebook__url

Twitter

urladdress__twitter__url

LinkedIN

urladdress__linkedin__url

google_plus

urladdress__google_plus__url

instagram

urladdress__instagram__url

pinterest

urladdress__pinterest__url

tumblr

urladdress__tumblr__url

wordpress

urladdress__wordpress__url

foursquare

urladdress__foursquare__url

youtube

urladdress__youtube__url

blogger

urladdress__blogger__url

gravatar

urladdress__gravatar__url

about_me

urladdress__about_me__url

IM ICQ


imaccount__icq__username

Skype

imaccount__skype__username

Windows Live

imaccount__windows_live__usename

Jabber

imaccount__jabber__username

Google Talk

imaccount__google_talk__username

3

Příloha č.3 – Příklady a řešení chybových hlášek Následující článek popisuje nejčastější chybové hlášky, které při implementaci mojeID mohou vzniknout. V textu jsou dále popsána doporučení, jak chybu řešit, případně na co se zaměřit.

1) Error parsing document as XML Tato hláška obvykle značí problém v XRDS dokumentu, že XML kód není validní – nejčastěji kvůli obsahu nestandardních unicode znaků. Tyto znaky je třeba nahradit obyčejnými ASCII mezerami a mínusy. Na adrese www.xmlvalidation.com je možné si zdrojový kód zkontrolovat a zjistit tak, kde se chyba nachází.

2) Nepodařilo se ověřit návratovou adresu V případě, že se nepodaří ověřit návratovou adresu poskytovatele služeb, je zobrazena uživateli některá z následujících zpráv: • Pokud se nepodařilo spojit se s poskytovatelem služeb „Nelze ověřit důvěryhodnost služby, kam se přihlašujete přes mojeID. Buďte zvláště obezřetní při předávání údajů z mojeID této službě.“ „We can not validate authenticity of the service where you want to login with mojeID. Use extra caution when handing over the data from mojeID.“ • Pokud se podařilo spojit se s poskytovatelem služeb, ale ověření návratové adresy selhalo „Tento požadavek na přihlášení přes mojeID o sobě tvrdí, že přichází z jiné stránky, než tomu ve skutečnosti je. Zvažte, zda vůbec chcete pokračovat s předáváním údajů z vašeho mojeID.“ „This mojeID login request claims to be from other site than it really is. Consider carefully whether you want to continue with handing over the data from your mojeID.“ • Pokud oblast URL poskytovatele služeb nelze spravovat v mojeID „Tento realm není dobře definovaný a nelze k němu nastavit důvěru.“ „This realm is not sane and thus you can not set trust for it.“ Problém s nedůvěryhodností nastává v těchto případech: 1

• Na REALMu se nenachází XRDS dokument, nemůže tak dojít k ověření uživatele. Umístění XRDS dokumentu na REALMu musí být jedním ze tří způsobů:

•

◦

XRDS dokument se může nacházet přímo v HTTP hlavičce

◦

XRDS dokument může být uložen přímo na adrese REALMu (zaslán přímo v odpovědi)

◦

umístění do HTLM hlavičky jako META tag

Když nesedí return_to v OpenID požadavku s return_to v XRDS

dokumentu. return_to z OpenID požadavku může obsahovat navíc pouze další parametry, tzv. query string, nikoli podadresáře v cestě. •

REALM musí vrátit HTTP status 200.

3) Problém s nezašifrovaným spojením Jak řešit problém s nezašifrovaným spojením, pokud se objevuje následující hláška: "Informace, které jste zadali, budou odeslány přes nezašifrované spojení a mohly by jednoduše být přečteny třetí stranou. Určitě chcete pokračovat v odesílání?" "The information you have entered will be sent over an unencrypted connection and could easily be read by a third party. Are you sure you want to continue sending it?" Toto hlášení se objevuje u všech REALMů bez HTTPS – předávané údaje (tj. i uživatelovy osobní údaje) putují po internetu nešifrovaně, a prohlížeč hlásí, že opouští šifrované mojeID stránky směrem k poskytovateli, který šifrování nepoužívá. Nedoporučujeme to, ale chyba to není. Tento problém se dá snadno vyřešit použitím základního SSL certifikátu, který je ke stažení zde: http://www.startssl.com/, pro nekomerční služby verze StartSSL Free a pro komerční služby verze StartSSL Verified. Tento certifikát Vám zabezpečí chráněný přenos dat a současně vidíte, jakou úroveň ověření uživatel má. Pro správné fungování je třeba mít platný certifikát, který si můžete pořídit od certifikační autority. Pokud by chyběl tzv. intermediate certifikát, tak mojeID nefunguje, tím pádem by nedošlo ani k hledání XRDS dokumentu. Musí být správně nastaven serverový certifikát. Např. v serveru Apache se to nastavuje pomocí direktivy SSLCertificateChainFile. 2

4) Volba vyžadované přihlašovací metody Volba vyžadované přihlašovací metody se dociluje umístěním identifikátoru příslušné přihlašovací metody do žádosti o ověření identity. Služba mojeID podporuje mimo běžného přihlašování heslem přihlašování pomocí digitálního certifikátu nebo jednorázového hesla. ◦ V případě přihlášení pomocí certifikátu se zobrazuje následující hláška: "The service provider wants you to login with your certificate." "Poskytovatel služby požaduje přihlášení certifikátem." Přihlášení pomocí certifikátu je možné vyžádat s pomocí rozšíření PAPE použitím identifikátoru: http://schemas.openid.net/pape/policies/2007/06/phishing-resistant ◦ V případě přihlášení pomocí jednorázového hesla se zobrazuje následující hláška: "The service provider wants you to login with one time password." "Poskytovatel služby požaduje přihlášení jednorázovým heslem." Přihlášení pomocí jednorázového hesla je možné vyžádat použitím identifikátoru: http://schemas.openid.net/pape/policies/2007/06/multi-factor

5) Další chybové hlášky Mezi další chybové hlášky patří zejména: "FAILED TO CREATE AUTH REQUEST: not a valid OpenID" a "Ověření OpenID selhalo: No OpenID information" - pravděpodobně jde o chyby v knihovně cURL, php-openid nebo starší verzi pluginu mojeid pro PHP. Doporučujeme Vám stáhnout si aktuální modul PHP z našich stránek: http://www.mojeid.cz/page/1863/vzorove-implementace/.

3

Podmínky užití služby mojeID pro přihlášení k systémům poskytovatelů

Podmínky užití služby mojeID pro přihlášení k systémům poskytovatelů Datum účinnosti dokumentu: 9.2.2012

1.

ÚVODNÍ USTANOVENÍ

1.1.

Tento dokument stanoví podmínky využití služby mojeID poskytované sdružením CZ.NIC pro přihlašování Uživatelů k systémům Poskytovatelů a upravuje vztahy mezi sdružením CZ.NIC a Poskytovateli.

1.2.

Pojmy užívané v těchto Podmínkách mají následující význam: 1.2.1.

Ceník – dokument vydaný sdružením CZ.NIC, který stanoví ceny za poskytování Služby Uživatelům a Poskytovatelům.

1.2.2.

CZ.NIC – zájmové sdružení právnických osob CZ.NIC, identifikační číslo 67985726.

1.2.3.

Kontakt – záznam o Uživateli, konkrétní fyzické či právnické osobě, vedený v Registru identit. Kontakt může být běžný, identifikovaný či validovaný. Běžný kontakt je Kontakt, který není identifikovaný ani validovaný v souladu s Pravidly. Běžný kontakt nelze použít pro poskytování Služby. Identifikovaný kontakt je Kontakt, u kterého proběhla základní identifikace Uživatele. Validovaný kontakt je Identifikovaný Kontakt, u kterého je zaručeno, že proběhl proces ověření totožnosti Uživatele (proces validace).

1.2.4.

Kontaktní místo – místo určené pro osobní kontakt se sdružením CZ.NIC. Aktuální seznam Kontaktních míst je k dispozici na www.nic.cz.

1.2.5.

Podmínky – dokument „Podmínky užití služby mojeID pro přihlášení k systémům poskytovatelů“ vydaný sdružením CZ.NIC. Podmínky upravují vztah mezi sdružením CZ.NIC a Poskytovateli.

1.2.6.

Poskytovatel – fyzická nebo právnická osoba provozující systémy, do nichž umožňuje vstup třetím osobám s využitím Služby.

1.2.7.

Pravidla – dokument „Pravidla poskytování služby mojeID pro koncové uživatele“ vydaný sdružením CZ.NIC. Pravidla upravují vztah mezi sdružením CZ.NIC a Uživatelem

1.2.8.

Registr identit – informační systém provozovaný sdružením CZ.NIC, který obsahuje údaje o Kontaktech. Registr identit může být spojen s centrálním registrem, který CZ.NIC provozuje jako databázi o doménových jménech, jejich držitelích a dalších osobách, případně může být s centrálním registrem identický.

1.2.9.

Služba – služba mojeID poskytovaná sdružením CZ.NIC v souladu s Pravidly a Podmínkami. Služba je otevřený decentralizovaný a svobodný systém pro správu elektronické identity Uživatelů umožňující používání jednotných identifikačních údajů pro přístup k různým informačním systémům provozovaným různými Poskytovateli.

1.2.10.

Uživatel – fyzická nebo právnická osoba, která užívá Službu. Vztah mezi sdružením CZ.NIC a Uživatelem upravují Pravidla.

2.

POSKYTOVÁNÍ SLUŽBY

2.1.

Sdružení CZ.NIC poskytne Uživateli Službu za předpokladu, že Uživatel má v Registru identit vedený Identifikovaný nebo Validovaný kontakt. V případě, že se Uživatel přihlásí u Poskytovatele prostřednictvím Služby a sdružení CZ.NIC bude Poskytovatelem dotázáno na identitu Uživatele, ověří sdružení CZ.NIC identitu Uživatele, informuje o výsledku ověření Poskytovatele a předá Poskytovateli údaje o Uživateli v souladu s Pravidly.

2.2.

Poskytovatelé jsou samostatné fyzické nebo právnické osoby provozující systémy, do nichž umožňují vstup třetím osobám s využitím Služby. Poskytovatelé ani sdružení CZ.NIC nejsou oprávněni jednat jménem druhé strany.

2.3.

Poskytovatelé s omezeným přístupem jsou takoví Poskytovatelé, kteří přistupují definovaným způsobem k Registru identit bez samostatné písemné smlouvy uzavřené se sdružením CZ.NIC. Poskytovateli s omezeným přístupem mohou být v souladu s Pravidly předány údaje, které jsou jím vyžadovány, pokud Uživatel jejich rozsah nezúží či nerozšíří. V případě Poskytovatelů s omezeným přístupem jsou Uživateli v příslušném rozhraní Služby standardně nabízeny jako údaje k předání Poskytovateli pouze ty údaje, které takový Poskytovatel vyžaduje jako povinné. Poskytovatelé s omezeným přístupem akceptují Podmínky tím, že umožní přihlašování Uživatelů prostřednictvím Služby.

2.4.

Poskytovatelé s plným přístupem jsou takoví Poskytovatelé, kteří přistupují definovaným způsobem k Registru identit na základě samostatné písemné smlouvy uzavřené se sdružením CZ.NIC. Poskytovateli s plným

Strana 1 (celkem 4)


přístupem mohou být v souladu s Pravidly předány údaje, které jsou jím vyžadovány, pokud Uživatel jejich rozsah nezúží či nerozšíří. V případě Poskytovatelů s plným přístupem jsou Uživateli v příslušném rozhraní Služby standardně nabízeny jako údaje k předání Poskytovateli údaje, které takový Poskytovatel vyžaduje jako povinné i nepovinné. Poskytovatelé s plným přístupem akceptují Podmínky uzavřením písemné smlouvy se sdružením CZ.NIC. Sdružení CZ.NIC vede a uveřejňuje seznam Poskytovatelů s plným přístupem. 2.5.

Poskytovatel potvrzuje, že se seznámil s obsahem Pravidel a bez výhrad Pravidla akceptuje jako nedílnou součást těchto Podmínek.

2.6.

Poskytovatel, který chce umožnit přístup do svého systému s využitím Služby, je povinen implementovat rozhraní pro využití Služby v souladu s podmínkami stanovenými sdružením CZ.NIC v dokumentu Technické podmínky provozu.

2.7.

Poskytovatelé nemohou měnit údaje v Registru identit.

3.

ÚDAJE O UŽIVATELI

3.1.

Registr identit vede sdružení CZ.NIC nebo jím pověřená osoba. Správcem osobních údajů vedených v Registru identit je sdružení CZ.NIC.

3.2.

Za správnost všech údajů poskytovaných sdružení CZ.NIC nese odpovědnost Uživatel.

3.3.

V Pravidlech je uvedeno, které údaje musí Uživatel sdružení CZ.NIC poskytnout povinně.

3.4.

CZ.NIC je oprávněn poskytnout orgánům státní správy a soudů, včetně rozhodčího soudu, a to v souladu se zákonem a v rámci jejich úřední činnosti nebo v rámci rozhodování sporů záznamy o použití Služby Uživatelem včetně údajů, které byly při takovém použití předány Poskytovateli. Tyto údaje a záznamy lze poskytnout, pouze pokud se vztahují ke konkrétním Uživatelům. Za stejných podmínek je CZ.NIC oprávněn poskytnout i informace o historických údajích, jestliže jsou k dispozici.

3.5.

CZ.NIC je oprávněn evidovat a uchovávat záznamy o použití Služby Uživatelem včetně údajů, které byly při takovém použití předány Poskytovateli, a to nejvýše po dobu 6 měsíců.

4.

PŘEDÁVÁNÍ ÚDAJŮ O UŽIVATELI POSKYTOVATELŮM

4.1.

Údaje o Uživateli obsažené v Kontaktu se předávají Poskytovatelům v souladu s Pravidly.

4.2.

Poskytovatel je oprávněn určit minimální rozsah údajů o Uživateli, které musí být při použití Služby předány (povinné údaje) a dále údaje, které mohou být Uživatelem předány volitelně (nepovinné údaje). Uživatel je oprávněn rozsah údajů vyžadovaných Poskytovatelem prostřednictvím rozhraní Služby rozšířit či zúžit; sdružení CZ.NIC však nenese odpovědnost za to, že nedojde k přihlášení Uživatele s použitím Služby, jestliže Uživatel zakáže předávání takových údajů, které Poskytovatel pro přihlášení s použitím Služby vyžaduje jako povinné.

4.3.

Poskytovatel bere na vědomí, že nakládání s předanými údaji, včetně osobních údajů, je věcí vztahu Uživatele a Poskytovatele. Poskytovatel je povinen seznámit Uživatele se zásadami nakládání s osobními údaji. Poskytovatel je povinen nakládat s osobními údaji Uživatele v souladu s právními předpisy.

4.4.

Poskytovatel je oprávněn nakládat s předanými údaji pouze v souladu s účelem, ke kterému mu je Uživatel poskytl, vždy však tak, aby chránil práva a oprávněné zájmy Uživatele.

5.

CENA

5.1.

Ceny za poskytování Služby Poskytovatelům jsou stanoveny Ceníkem.

5.2.

Poskytovatel je povinen uhradit cenu za poskytování Služby způsobem stanoveným Ceníkem.

6.

PRÁVA A POVINNOSTI SDRUŽENÍ CZ.NIC

6.1.

Sdružení CZ.NIC není poskytovatelem obsahu, informací ani jiných služeb. Sdružení CZ.NIC není zástupcem, zprostředkovatelem, dodavatelem či partnerem Poskytovatele ani Uživatele. Sdružení CZ.NIC se použitím Služby k přihlášení k Poskytovateli nestává účastníkem vztahu mezi Uživatelem a Poskytovatelem, na jehož základě k přihlášení dochází. Sdružení CZ.NIC pouze provádí nezávislé a nestranné ověření identity za účelem přístupu k systémům provozovaným Poskytovatelem a zavazuje se vyvinout přiměřené úsilí k tomu, aby identifikace a nebo validace Kontaktu byla provedena v souladu s Pravidly.

6.2.

Sdružení CZ.NIC nenese odpovědnost za 6.2.1.

dostupnost systémů Poskytovatele, do nichž se Uživatele s použitím Služby hlásí.

Strana 2 (celkem 4)


6.2.2.

správnost implementace rozhraní pro využití Služby na straně Poskytovatele.

6.2.3.

okruh údajů o Uživateli, které jsou v souladu s Pravidly předány Poskytovateli.

6.2.4.

za správnost či úplnost údajů o Uživateli, pokud byly ověřeny v souladu s Pravidly.

6.2.5.

činnost Uživatele v systémech Poskytovatele.

6.2.6.

porušení smluv s Poskytovatelem ze strany Uživatele.

6.2.7.

porušení právních předpisů Uživatelem.

6.3.

Sdružení CZ.NIC se zavazuje za podmínek stanovených Podmínkami a Pravidly vyvinout veškeré úsilí, které po něm lze spravedlivě požadovat, aby zajistilo bezporuchový a bezproblémový provoz Registru identit a poskytování Služby. Sdružení CZ.NIC je oprávněno přijmout technická opatření směřující zejména k omezení síťového provozu, který ohrožuje stabilitu systémů CZ.NIC, a to i tehdy, pokud taková opatření vedou nebo mohou vést k omezení dostupnosti Služby, funkčnosti Registru identit apod. Sdružení CZ.NIC nenese v takovém případě odpovědnost za způsobenou škodu, je však povinno vyvinout veškeré úsilí, které lze po něm spravedlivě požadovat, aby ukončení přijatých opatření bylo provedeno v nejbližší možné době. Omezením nebo přerušením poskytování Služby dle tohoto ustanovení nevzniká právo na vrácení zaplacené ceny nebo jakékoliv její části.

7.

ODPOVĚDNOST ZA ŠKODU

7.1.

Poskytovatel odpovídá za škodu způsobenou sdružení CZ.NIC zejména tím, že poruší Podmínky a nebo Pravidla či že bude Službu využívat v rozporu s jejím účelem.

7.2.

Poskytovatel bere na vědomí, že sdružení CZ.NIC odpovídá pouze za poskytnutí Služby v souladu s Podmínkami a Pravidly, nikoliv za jakákoliv další plnění, která Poskytovatel na základě použití Služby obdrží od Uživatelů nebo třetích osob. Veškerá odpovědnost za veškerou škodu, která vznikne Poskytovateli činností nebo nečinností sdružení CZ.NIC v souvislosti s využitím Služby se omezuje částkou, která odpovídá ročnímu úhrnu příjmu, který sdružení CZ.NIC od Poskytovatele obdrží v průběhu jednoho kalendářního roku, nejvýše však 50.000,- Kč ročně.

8.

UKONČENÍ SMLOUVY A UKONČENÍ POSKYTOVÁNÍ SLUŽBY

8.1.

Sdružení CZ.NIC je oprávněno ukončit poskytování Služby a znemožnit využití Služby Poskytovatelem s omezeným přístupem v případě, že takový Poskytovatel porušil ustanovení Podmínek a nebo Pravidel.

8.2.

Poskytovatel s omezeným přístupem je oprávněn kdykoliv, i bez předchozího oznámení sdružení CZ.NIC, přestat užívat Službu.

8.3.

Sdružení CZ.NIC je oprávněno ukončit poskytování Služby a znemožnit využití Služby Poskytovatelům s omezeným přístupem, a to i bez uvedení důvodu, vždy však nejdříve po uplynutí 3 měsíců od zveřejnění informace o takovém ukončení poskytování Služby na www.nic.cz.

8.4.

Sdružení CZ.NIC je oprávněno odstoupit od smlouvy uzavřené mezi sdružením CZ.NIC a Poskytovatelem s plným přístupem v případě, že takový Poskytovatel porušil zvlášť závažným způsobem nebo opakovaně ustanovení Podmínek a nebo Pravidel, a to s účinností ke dni doručení oznámení o odstoupení.

8.5.

Poskytovatel je oprávněn odstoupit od smlouvy uzavřené mezi sdružením CZ.NIC a Poskytovatelem s plným přístupem v případě, že sdružení CZ.NIC porušilo zvlášť závažným způsobem nebo opakovaně ustanovení Podmínek a nebo Pravidel, a to s účinností ke dni doručení oznámení o odstoupení

8.6.

Sdružení CZ.NIC i Poskytovatel jsou oprávněni vypovědět smlouvu uzavřenou mezi sdružením CZ.NIC a Poskytovatelem s plným přístupem s 3 měsíční výpovědní lhůtou počínající dnem doručení výpovědi, a to i bez uvedení důvodu.

8.7.

Ukončením smlouvy nebo ukončením poskytování Služby nevzniká právo na vrácení jakékoliv již zaplacené ceny nebo jakékoliv její části.

9.

VZÁJEMNÁ KOMUNIKACE

9.1.

Komunikace mezi sdružením CZ.NIC a Poskytovatelem probíhá prostřednictvím rozhraní určeného pro tyto účely sdružením CZ.NIC.

9.2.

Písemná forma komunikace dle těchto Pravidel je považována za zachovanou, je-li uskutečněna elektronickými prostředky, jež umožňují zachycení obsahu příslušné komunikace a určení osob, které komunikaci uskutečnily.

Strana 3 (celkem 4)


10.

ŘEŠENÍ SPORŮ MEZI POSKYTOVATELEM A SDRUŽENÍM CZ.NIC

10.1.

Nedohodnou-li se Poskytovatel a sdružení CZ.NIC na vyřešení vzájemného sporu týkajícího se poskytování Služby, budou takové spory rozhodovány v rozhodčím řízení vedeném u Rozhodčího soudu při Hospodářské komoře České republiky a Agrární komoře České republiky.

10.2.

Rozhodčí řízení bude konáno třemi rozhodci v Praze v českém jazyce podle řádu uvedeného rozhodčího soudu.

10.3.

Rozhodčí nález je pro obě strany konečný a závazný.

11.

ZMĚNA DOKUMENTŮ

11.1.

CZ.NIC je oprávněn kdykoliv změnit Podmínky, Pravidla, Ceník, technické podmínky týkající se Služby, jakož i další související dokumenty. Aktuální znění těchto dokumentů je vždy k dispozici na adrese http://www.nic.cz.

11.2.

CZ.NIC je povinen zveřejnit jakoukoliv změnu dokumentů uvedených v článku 11.1 nejméně 1 měsíc přede dnem účinnosti takové změny, a to zveřejněním změny na http://www.nic.cz.

Strana 4 (celkem 4)

MojeID: Pravidla motivačního programu pro poskytovatele služeb

Recommend Documents