Verze 1.0 - poslední změna 2.10.2012
Obsah
Úvod............................................................................................................................................ 3 Komerční certifikát ..................................................................................................................... 3 Kvalifikovaný certifikát ............................................................................................................... 3 Hlavní vlastnosti elektronického podpisu................................................................................... 4 Certifikační autority .................................................................................................................... 4 Alternativní úložiště certifikátů .................................................................................................. 5 Pořízení certifikátu ....................................................................................................................... 6 Smlouva o poskytování certifikačních služeb ............................................................................. 6 Generování žádostí o certifikát .................................................................................................. 7 Online generování žádostí v prohlížeči Internet Explorer .......................................................... 8 Generování žádostí pomocí PostSignum Tool ............................................................................ 9 Vydání certifikátů na pobočkách Czech POINT........................................................................... 9 Instalace certifikátu do počítače.............................................................................................. 10 Zřízení elektronického přístupu na pojišťovny ............................................................................. 11 VZP (111) .................................................................................................................................. 12 ZPMV (211) ............................................................................................................................... 12 Portál ZP (201,205,207,209,213,217)....................................................................................... 12
Stránka 2 z 12
Elektronický certifikát Úvod V dnešní době, kdy se klade stále větší důraz na rychlý způsob komunikace a výměny informací, se internet ukázal být ideálním prostředkem. Tím však vyvstala otázka bezpečnosti a důvěryhodnosti v oblasti elektronické komunikace. Email běžně podepsaný jen Vašim jménem popřípadě adresou bude určitě dostatečně identifikován pro Vaše příbuzné či známé, kterým pošlete pozdravy z dovolené. Avšak bude-li se jednat o komunikaci s Vaši bankou a bude-li obsahovat příkaz k úhradě, bude takováto identifikace nedostatečná a nedůvěryhodná. Právě proto se v takovýchto případech používají elektronické certifikáty. Při zřizování certifikátu ověří příslušná certifikační autorita fyzicky Vaší totožnost (případně příslušnost ke společnosti či organizaci). Vydaným certifikátem se pak identifikujete při komunikaci s pojišťovnou, bankou či jinou organizací vyžadující pro komunikaci ověření Vaší totožnosti. V závislosti na způsobu použití se využívají 2 typy certifikátů Komerční a Kvalifikovaný.
Komerční certifikát Komerční certifikát je nejrozšířenějším druhem certifikátu. Tyto nejsou spjaty se zákonem o elektronickém podpisu. Vystavuje jej certifikační autorita, která ověří žadatele dle svých vlastních směrnic. Tento druh certifikátů nemusí striktně splňovat náležitosti zákona o elektronickém podpisu a je na dané certifikační autoritě jaké si stanoví podmínky. Komerční certifikáty mají široké uplatnění. Ať už se jedná o šifrování e-mailů, zajištění autentizace či k elektronickému podepisování zpráv. Komunikující strany musí však obě důvěřovat dané certifikační autoritě.
Kvalifikovaný certifikát Kvalifikovaný certifikát je takový, který má náležitosti podle §12 zákona č. 227/2000 Sb., o elektronickém podpisu. Tyto certifikáty jsou určeny výhradně pro elektronické podepisování (nikoliv například pro šifrování). Kvalifikovaný elektronický podpis zajišťuje integritu a autenticitu dat. Pro oficiální komunikaci se subjekty státní správy, pojišťoven apod. je zapotřebí právě tento certifikát, který byl vydán kvalifikovanou certifikační autoritou. Bezpečnost a důvěryhodnost těchto certifikačních autorit je kontrolována a standardizována příslušnými úřady. Kvalifikovaný certifikát se proto často označuje jako elektronický podpis.
Stránka 3 z 12
Hlavní vlastnosti elektronického podpisu: o o o
Elektronický podpis ověřuje identitu podepisujícího. Příjemci je tak zcela jasné kdo je autorem či odesílatelem zprávy. Elektronický podpis ověřuje a zajišťuje, že zpráva nebyla změněna či upravena v průběhu přenosu. Elektronický podpis zajišťuje svou nenapodobitelnost. Při dodržení všech bezpečnostních opatření má správu nad svým podpisem pouze jeho držitel.
Jak je možné zjistit v následujícím přehledu, v případě produktů naší společnosti je lepší volbou kvalifikovaný certifikát, který je použitelný pro všechny moduly vyžadující ověřenou komunikaci. Komerční variantu certifikátu je možné využít pouze v modulech eDávky a eKontrol. Cenový rozdíl mezi těmito certifikáty činí přibližně 50 až 100 korun v závislosti na aktuálním ceníku zvolené certifikační autority.
MODULY / CERTIFIKÁTY
KOMERČNÍ
KVALIFIKOVANÝ
eParafa eDávky eRecept eKontrol
Certifikační autority Na českém trhu v současné době je možné nalézt 3 certifikační autority, které vystavují jak komerční, tak ověřené certifikáty. o o o
PostSignum (služba České pošty) První certifikační autorita a.s. eIdentity
www.postsignum.cz www.ica.cz www.eidentity.cz
V tomto návodu se zaměříme na zřízení certifikátu PostSignum (certifikační autorita České pošty), kde je hlavní výhodou možnost vyřízení na každé pobočce vybavené zastoupením CzechPoint, kterých je v rámci české republiky téměř 7000. Pokud budete mít zájem o zřízení certifikátu u některé z jiných certifikačních autorit, je možné využít návodů poskytovaných na výše uvedených stránkách těchto organizací. Můžeme však konstatovat, že logika pořízení certifikátu od různých autorit zůstává neměnná.
Stránka 4 z 12
Alternativní úložiště certifikátů Pro správu a uložení certifikátů se často užívají alternativní úložiště na principu přenosných medií, která umožňují mít certifikát lépe pod kontrolou. Jejich hlavní výhodou je, že certifikát nikdy nezůstává ležet v počítači, kde k němu mají přístup i ostatní uživatelé.
1. Čipová karta Nejpoužívanějším typem čipové karty je v současné době model Starcos. Ten nabízí možnost využití klasického formátu kreditní karty, nebo vyjmutím samotného čipu z rámečku získáte formát karty SIM. V obou případech je však potřeba vlastnit čtečku čipových karet, která Vám umožní načíst obsah karty do počítače. Podle formátu v jakém hodláte kartu používat, je také potřeba zvolit vhodnou čtečku. Pro klasický formát kreditní karty se používají čtečky velmi podobné těm, které znáte například z obchodů vybavených platebními terminály. Pro karty ve formátu karty SIM se jedná o jakési vetší flash disky obsahující slot pro vložení karty. Karta samotná je pak schopna pojmout osm různých certifikátů najednou a její obsah je chráněn kódem PIN (podobně jako karta SIM v mobilním telefonu) a v případě jeho ztráty umožnuje obnovení pomocí dalšího bezpečnostního kódu PUK.
2. USB token Dalším možným řešením bezpečného uložení certifikátů je USB token. Jedná se vlastně o flash paměť která obsahuje čip zabezpečující její obsah kódem PIN. Tyto tokeny jsou schopné pojmout až 10 certifikátů a ve většině případů jsou vybaveny ještě další nešifrovanou pamětí pro vaše osobní data. Dají se tak opravdu použít jako přenosné paměťové medium. Výhodou oproti čipové kartě je standartní rozhraní USB pro připojení do počítače, které nevyžaduje žádnou speciální čtečku či další zařízení. V případě obou těchto řešení je hlavní výhodou vysoká bezpečnost Vašeho certifikátu. Vždy jej máte bezpečně při sobě a nikdo jiný k němu tak nemá přístup. Ani v případě ztráty nosiče se nemusíte obávat zneužití vašeho certifikátu díky blokaci kódem PIN a speciální konstrukci znemožňující rozebrat token bez jeho nenávratného poškození. Nevýhodou jsou pak vyšší pořizovací náklady (v případě obou zařízení okolo 1500 Kč) a náchylnost obou nosičů k poškození (například při nošení v peněžence či na svazku klíčů). Informace o alternativních úložištích nabízených Českou poštou a jejich aktuálních cenách naleznete na adrese http://www.postsignum.cz/media.
Stránka 5 z 12
Pořízení certifikátu Nejlepším způsobem jak postupovat při zřízení certifikátu je držet se strukturovaných instrukcí přímo na stránkách PostSignum (http://www.postsignum.cz/postup_pro_ziskani_certifikatu). V tomto návodu si však všechny potřebné kroky vysvětíme podrobněji a pokusím se přidat i praktické postřehy ze samotného procesu zřizování certifikátu.Instalace certifikátů certifikačních autorit Pakliže na svém počítači již máte nainstalovaný některý z našich produktů, můžete tento krok přeskočit. Aktuální seznamy důvěryhodných certifikačních autorit distribuujeme v rámci aktualizací našich programů. Balíček důvěryhodných certifikačních autorit, je seznam organizací vydávajících certifikáty, které bude Váš operační systém považovat za důvěryhodné. Aktuální balíček je možné stáhnout prostřednictvím aktualizační služby Windows Update. Tato služba je součásti operačních systémů Windows a zpravidla probíhá automaticky.
1. Smlouva o poskytování certifikačních služeb Dalším krokem na cestě k získání certifikátu je uzavření smlouvy s certifikační autoritou. Tato smlouva Vás opravňuje k využívání služeb této organizace a většinou se uzavírá na dobu neurčitou. V případě certifikační autority PostSignum se rozlišují 3 typy smluv, podle toho jaký subjekt o vydání certifikátu žádá. o
Firma nebo organizace o Zaměstnanci
o o
Podnikatelé (OSVČ) Fyzické osoby
Poté co si vyberete sekci do které spadáte, budou Vám nabídnuty ke stažení formuláře (viz. Obrázek níže) které si budete moci vytisknout a ručně vyplnit. Další možností je využití nástroje Vytvoření formulářů do PDF souboru (viz. Obrázek níže), který Vám po zadání jednotlivých požadovaných údajů smlouvu vyplní a nabídne Vám její uložení do souboru PDF ze kterého ji pak lze kdykoli vytisknout.
Stránka 6 z 12
Ať již využijete jakékoli z nabízených metod, připravte si 2 nepodepsané kopie Vaší vyplněné smlouvy. Budou jednou z náležitostí v kroku návštěvy pobočky CzechPoint kde celý proces završíte. V případě potřeby: Zrušení této smlouvy pak probíhá formou dodatku ke smlouvě, který omezí její trvání k určitému datu.
2. Generování žádostí o certifikát V tuto chvíli je již možné přistoupit k vygenerování samotné žádosti o certifikát. Pakliže používáte operační systém Windows a internetový prohlížeč Internet Explorer, můžete v tomto kroku využít online generátor žádosti přímo na stránkách PostSignum (https://www.postsignum.cz/online_generovani_zadosti). Pokud používáte jiný operační systém či prohlížeč, nebo nejste schopni nastavit požadované parametry, máte možnost využít služeb aplikace Postsignum Tool. Tuto aplikaci můžete stáhnout v různých systémových mutacích přímo ze stránek PostSignum.
Stránka 7 z 12
3. Online generování žádostí v prohlížeči Internet Explorer Předtím, než generátor spustíte, je nutné provést jednoduchou konfiguraci Vašeho prohlížeče: 1. V Internet Exploreru zvolte nabídku Nástroje (v některých verzích symbolizované ikonkou ) > Možnosti Internetu. 2. Na záložce /Zabezpečení/ klikněte na volbu Důvěryhodné servery. 3. Úroveň zabezpečení zóny nastavte na Nízká úroveň zabezpečení. 4. Nyní stiskněte tlačítko [Servery] případně [Weby] a do pole Přidat tento web k zóně v nově otevřeném okně, zapište adresu https://www.postsignum.cz a stiskněte na tlačítko [Přidat]. 5. Pro uložení všech změn v možnostech zabezpečení stiskněte tlačítko [OK]. 6. Po vygenerování žádosti o certifikát je z důvodu bezpečnosti nutné toto nastavení změnit opět na výchozí úroveň (středně vysoké / vysoké). Po vstupu do online generátoru je nutné vyplnit jméno nově vytvářeného certifikátu a emailovou adresu (na tuto adresu budou posléze chodit veškerá upozornění o vystavení). Dále je zde nutné zvolit druh certifikátu, který Vám bude vystaven (Kvalifikovaný certifikát osobní / Komerční certifikát osobní) a odsouhlasit poučení o důležitosti zálohy vygenerovaného privátního klíče. Proces generování dokončíte kliknutím na tlačítko [Vygenerovat a odeslat žádost o certifikát na server PostSignum]. Následně budete upozorněni na to, že se web pokouší provést operaci s digitálním certifikátem. Tuto hlášku potvrďte tlačítkem [ANO]. Bude Vám přiděleno jednoznačné ID žádosti o certifikát (viz. Obrázek níže). Toto ID se Vám zobrazí jednak přímo v prohlížeči po dokončení žádosti a zároveň Vám bude zasláno v potvrzovacím mailu na zadanou adresu. Tento kód je také nutné předložit při vydání certifikátu na pobočce CzechPoint.
Stránka 8 z 12
Zároveň se Vám v tomto kroku do centrálního úložiště certifikátů ve vašem PC uloží také privátní klíč. Ten tvoří nejdůležitější část elektronického podpisu a tak budete vyzváni k jeho záloze. Z toho důvodu bude přímo v tomto okně zobrazen velmi podrobný návod jak zálohu provést.
3a.
Generování žádostí pomocí PostSignum Tool
Jedná se o aplikaci poskytovanou certifikační autoritou PostSignum, která umožňuje vytvoření žádosti o certifikát při použití jiných prohlížečů či operačních systémů, než je podporovaný Internet Explorer v prostředí MS Windows. Tuto aplikaci je možné stáhnout přímo ze stránek PostSignum, kde je nutné pouze zvolit odpovídající verzi podle Vašeho operačního systému. K dispozici je zde také podrobný manuál, který se zabývá samotnou instalací a použitím tohoto nástroje.
4. Vydání certifikátů na pobočkách Czech POINT Posledním krokem vydání certifikátu je návštěva pobočky CzechPoint, kde dojde k ověření Vaší totožnosti a dokončení procesu vydání certifikátu.
Stránka 9 z 12
Firma nebo organizace doloží: o vyplněnou smlouvu o poskytování certifikačních služeb - dva výtisky podepsané statutárním zástupcem organizace o Doplněné údaje pro vydání certifikátu (seznamy žadatelů o certifikát) společně s úvodním listem. o Výpis z obchodního rejstříku. o Doklad o jmenování statutárního zástupce, pokud není uvedeno ve výpisu z obchodního rejstříku. o ID nebo medium se souborem žádosti Podnikatelé (OSVČ) doloží: o Vyplněnou smlouvu o poskytování certifikačních služeb - dva výtisky nepodepsané. o Originál nebo notářsky ověřenou kopii živnostenského listu o Doplněné údaje pro vydání certifikátu (seznamy žadatelů o certifikát) společně s
úvodním listem. o Jeden osobní doklad - v případě občanů České republiky občanský průkaz nebo pas. o ID nebo medium se souborem žádosti Fyzické osoby a zaměstnanci doloží: o Vyplněnou smlouvu o poskytování certifikačních služeb - dva výtisky nepodepsané. o Doplněné údaje pro vydání certifikátů (seznam žadatele o certifikát). o Dva osobní doklady - v případě občanů České republiky jako primární doklad občanský průkaz nebo cestovní pas a jako sekundární doklad jeden z těchto dokladů: občanský průkaz, cestovní pas, řidičský průkaz, průkaz ZTP nebo rodný list. o ID nebo medium se souborem žádosti
Po předložení těchto dokumentů, Vám zaměstnanec České pošty založí smlouvu a vystaví certifikát, který bude odeslán na uvedenou emailovou adresu. Váš nový elektronický certifikát je tímto kompletní a připraven k instalaci do Vašeho PC.
5. Instalace certifikátu do počítače V emailu, který obdržíte krátce po návštěvě pošty (odesilatel:
[email protected]) bude umístěn odkaz, který Vás přenese na stránky PostSignum do sekce určené pouze pro Váš certifikát.. Zde pak budete mít na výběr ze dvou způsobů instalace certifikátu: a) Využít kliknutím na tlačítko [instalaci certifikátu] online instalátoru, který zajistí instalaci přímo do konkrétního počítače. Při využití této možnosti Vás v dalším kroku bude očekávat již předvyplněné ID Vaší žádosti a po kliknutí na tlačítko [Instalovat certifikát] proběhne samotná instalace.
b) Za pomocí tlačítka [Stáhnout] si můžete uložit do počítače přímo soubor certifikátu a ten pak nainstalovat. Pokud se rozhodnete využít tento způsob, neměňte přednastavený formát certifikátu (DER). V okamžiku kdy máte k dispozici soubor s certifikátem uložený ve svém počítači je postup následovný: 1. Dvojklikem spusťte soubor s certifikátem.
Stránka 10 z 12
2. Otevře se Vám okno se základními informacemi o certifikátu a zde klikněte na tlačítko [Nainstalovat certifikát]. 3. Dále postupujte podle pokynů průvodce importem certifikátu. 4. V kroku kde budete dotázáni na úložiště certifikátu, zvolte možnost [o] Všechny certifikáty umístit v následujícím úložišti: a posléze tlačítkem [Procházet…] vyberte možnost osobní. 5. V dalším okně vše potvrďte tlačítkem [Dokončit] 6. Následně Vám vyskočí okno s informací, že import proběhl úspěšně, po jehož zavření tlačítkem [OK] bude proces importu ukončen.
Poznámka: Instalace musí být provedena na počítači a pod uživatelským účtem, pod kterým bylo provedeno vygenerování privátního klíče a žádosti o certifikát (Viz. Kapitola Generování žádosti o certifikát). Dále pokud jste klíče vygenerovali v programu PostSignum Tool, musí se instalace certifikátu provést také v tomto programu. Právě jste nainstalovali svůj nový certifikát do centrálního úložiště certifikátů ve svém počítači. Výhodou tohoto řešení je stálá dostupnost certifikátu na počítačích, se kterými pracujete nejčastěji. Na druhou stranu, pokud na stejném počítači pracuje více osob, mají k Vašemu certifikátu rovněž přístup. Také v případě ztráty nebo odcizení počítače v něm certifikát i nadále zůstává. Důležité! Zabezpečení svého certifikátu je nutné věnovat stejnou pozornost jako například razítka či občanského průkazu. V dnešní době je možné s platným certifikátem na internetu zařídit například půjčku, či sjednat nebo uzavřít některé smlouvy.
7. Zřízení elektronického přístupu na pojišťovny V okamžiku kdy máte certifikát úspěšně nainstalovaný v počítači, zbývá už jen poslední krok. Tím je předání informace o tom, že máte v plánu odesílat dávky elektronicky jednotlivým zdravotním pojišťovnám.
Stránka 11 z 12
České pojišťovny v tomto ohledu tvoří jakési 3 skupiny: o o o
Portál VZP (111) Portál zdravotní pojišťovny ministerstva vnitra (211) Portál zdravotních pojišťoven (201,205,207,209,213,217)
Díky tomuto seskupení se nám celý tento proces smrskne pouze do 3 kroků, které si zde popíšeme.
VZP (111) Pojišťovna VZP je nejmladším členem rodiny pojišťoven, které jsou schopny přijímat dávky v elektronické formě. Z toho důvodu je její postup pro zřízení elektronické komunikace zatím poněkud kostrbatý. Jediným univerzálním postupem je obrátit se na kontaktní osobu na Vaší nejbližší pobočce VZP a nechat se odkázat na pracovníka, který tuto problematiku ve Vašem kraji řeší. Ten Vám následně zašle podrobný návod či Vás přímo instruuje jak dále postupovat a jaké informace od Vás bude potřebovat. V případě problému se obraťte na svého obchodního zástupce či naši horkou linku 246 007 844.
ZPMV (211) Zdravotní pojišťovna ministerstva vnitra nepoužívá k ověření Vaší totožnosti certifikát, ale svůj vlastní systém PINu a hesla, které Vám při požádání na informační lince 844 211 211 pracovník zašle doporučeným dopisem.
Portál ZP (201,205,207,209,213,217) V případě portálu slučujícího menší zdravotní pojišťovny je postup poněkud složitější. Na stránkách www.portalzp.cz použijte tlačítko [Jak se stát uživatelem portálu ZP], kde naleznete podrobný návod jak postupovat. Tento návod Vás skrze odkaz ["Žádost o zpřístupnění služeb portálu"] přenese do průvodce, který Vám pomůže projít a zkontrolovat všechny náležitosti potřebné pro odesílání uzávěrek všem pojišťovnám sloučeným v tomto portále. Na závěr již jen v připravené žádosti zatrháte podle instrukcí pojišťovny, se kterými máte zájem komunikovat a vyplníte své kontaktní údaje společně s Vaším IČ a IČZ. Po úspěšném zažádání na jednotlivých pojišťovnách, zbývá již jen počkat na jejich potvrzení o dokončení celého procesu. To obdržíte zpravidla do několika dní mailem. Až se tak stane, budete plně připraveni pro elektronické odesílání vyúčtování pomocí modulu eDávky, konfiguraci a další informace o tomto modulu naleznete v samostatném manuálu na adrese: http://www.dialogmis.cz/navody/eDavky.pdf, případně se neváhejte obrátit na svého obchodního zástupce či naši horkou linku 246 007 844.
Stránka 12 z 12
