Příloha č. 2 Pravidel systému CERTIS
Podmínky používání webového portálu AMOS
verze 7 účinná od 1. prosince 2015
OBSAH 1. 2. 3.
4.
5. 6.
7.
8.
9.
Úvod................................................................................................................................................................ 3 Přístup k systému AMOS................................................................................................................................ 3 Uživatelé a role ............................................................................................................................................... 3 3.1. Správce uživatelů .................................................................................................................................... 3 3.2. Uživatelé ................................................................................................................................................. 4 3.3. Role ......................................................................................................................................................... 4 Dávky a podpisové certifikáty......................................................................................................................... 5 4.1. Dávky ...................................................................................................................................................... 5 4.1.1. Dávky se vstupními položkami ......................................................................................................... 5 4.1.2. Dávky s certifikátem ......................................................................................................................... 5 4.1.3. Dávky s check listem......................................................................................................................... 5 4.2. Podpisové certifikáty............................................................................................................................... 5 Protokoly a výstupní soubory.......................................................................................................................... 5 Přehled osob v systému AMOS ...................................................................................................................... 6 6.1. Pověřená osoba........................................................................................................................................ 6 6.2. Správce uživatelů .................................................................................................................................... 6 6.3. Uživatel ................................................................................................................................................... 6 Postupy............................................................................................................................................................ 7 7.1. Postup zajištění přístupu k systému AMOS ............................................................................................ 7 7.2. Postup předání dávky s certifikátem........................................................................................................ 7 7.3. Postup vytvoření a předání dávky s položkami ....................................................................................... 7 7.4. Postup předání externí dávky s položkami .............................................................................................. 8 Aplikační rozhraní AMOS/WS ....................................................................................................................... 8 8.1. Datové typy parametrů s dávkou, protokolem a el. podpisem................................................................. 8 8.2. Certifikáty, elektronický podpis a značka ............................................................................................... 9 8.3. Funkce putIntoCC ................................................................................................................................... 9 8.4. Funkce getProto..................................................................................................................................... 10 8.5. Funkce getFromCC ............................................................................................................................... 12 8.6. Funkce setFromCC................................................................................................................................ 13 8.7. Funkce getBalance ................................................................................................................................ 14 Bezpečnostní zásady uživatele systému AMOS............................................................................................ 15 9.1. Povinnosti uživatele .............................................................................................................................. 15 9.2. Povinnosti účastníka.............................................................................................................................. 16
Verze 7 účinná od 1. prosince 2015
2
1. Úvod AMOS je webová aplikace poskytující uživatelům interaktivní přístup k datům ze systému CERTIS a možnost předávání a přebírání dat. Provozovatelem systému AMOS je Česká národní banka. Systém AMOS umožňuje zejména zobrazit aktuální pozici účastníka, spravovat položky v zadržené frontě, vyhledat položky, zobrazit denní výpis, detail a historii účtu, vložit a zaregistrovat dávku se vstupními položkami, zobrazit přehled dávek a předat dávku ke zpracování, ověřit elektronický podpis dávky, vytvořit a zaregistrovat položky, zobrazit archiv položek, zobrazit seznam vstupních a výstupních souborů, stáhnout protokol o zpracování vstupního souboru, stáhnout výstupní soubor, řídit vytváření výstupních souborů, spravovat uživatele účastníka, jejich role a podpisové certifikáty, zobrazit přehled poplatků, plnění PMR a seznam loro účtů, zobrazit dokumentaci a zprávy pro uživatele, spravovat kontakty účastníka a zobrazit log účastníka. Podrobný popis jednotlivých webových stránek je uveden v příručce uživatele systému AMOS.
2. Přístup k systému AMOS Pro používání systému AMOS je potřebný přístup ke komunikační bráně ČNB, operační systém Windows 7 nebo vyšší, přístup na internet a internetový prohlížeč MS Internet Explorer verze 9 nebo vyšší. Aplikace AMOS je dostupná na primárním nebo záložním web serveru systému CERTIS. V případě výpadku nebo plánované odstávky jednoho ze serverů využije účastník přístup přes druhý ze serverů. Obě větve přístupu jsou rovnocenné. Jména a příslušné IP adresy těchto serverů jsou uvedeny v následující tabulce: AMOS web Jméno Primární wsc.cnb.cz Záložní
IP adresa 193.84.144.151
wsc2.cnb.cz
193.84.144.105
wsd.cnb.cz
193.84.144.152
wsd2.cnb.cz
193.84.144.110
Produkční URL https://wsc.cnb.cz/amos/
Testovací URL https://wsc.cnb.cz/amost/
https://wsd.cnb.cz/amos/
https://wsd.cnb.cz/amost/
Komunikace se serverem (počítačem), na kterém běží v ČNB aplikace AMOS, je zabezpečena pomocí certifikátu (tzv. certifikát zabezpečení serveru) vydaného speciálně pro servery "wsc.cnb.cz", "wsc2.cnb.cz", "wsd.cnb.cz" a "wsd2.cnb.cz". Tyto certifikáty byly vydány certifikační autoritou VeriSign (Symantec). Pokud uživatel potřebuje provádět v rámci používání aplikace AMOS podpis dávek, je nutno nainstalovat podporu pro práci s kvalifikovanými certifikáty pro podpis dávek.
3. Uživatelé a role Uživateli systému AMOS jsou určení pracovníci účastníků systému CERTIS. Správu uživatelů provádí pověřený pracovník účastníka – správce uživatelů.
3.1. Správce uživatelů Správce uživatelů provádí správu jednotlivých uživatelů účastníka, a to zejména registraci nového uživatele, přiřazení rolí uživateli, změnu způsobu přihlašování (heslo/certifikát), volbu jazykové verze, zrušení uživatele a registraci podpisových certifikátů účastníka. Do systému AMOS se musí přihlašovat pomocí komerčního certifikátu. Identifikační údaje správce uživatelů (především jedinečné jméno jeho certifikátů) předává účastník provozovateli písemně na tiskopisu "Stanovení správce uživatelů účastníka platebního systému CERTIS", který je podepsán pověřenou osobou (viz. kapitola 6.1). Tiskopis umožňuje registrovat nového správce, změnit údaje registrovaného správce a případně registraci zrušit. Správce uživatelů registruje do systému provozovatel.
Verze 7 účinná od 1. prosince 2015
3
3.2. Uživatelé Každý uživatel systému AMOS musí být v systému zaregistrován. Uživatel si může zvolit, zda se bude přihlašovat pomocí jména (automaticky přiděleného kódu uživatele) a hesla nebo pomocí komerčního certifikátu. Pro přihlašování do systému AMOS pomocí certifikátu umožňuje provozovatel používat pouze komerční certifikáty vydané akreditovanými poskytovateli certifikačních služeb: Česká pošta, s. p., První certifikační autorita, a. s., a e-Identity a.s. Pro použití v systému AMOS je doporučeno, aby byl certifikát označen jako veřejný.
3.3. Role Každý uživatel má přidělenu jednu nebo více rolí a v závislosti na přidělených rolích má přístup k určitým datům nebo oprávnění k provádění určité činnosti v systému AMOS. Role určuje, zda se stránka uživateli zobrazí a která data na stránce uživatel uvidí. Role v systému AMOS se dělí na pasivní a aktivní. Pasivní role umožňují pouze zobrazovat informace. Aktivní role umožňují vkládat data a řídit zpracování. Pasivní role jsou první tři role uvedené v tabulce níže (OBC, OPR a FIN). Přehled rolí systému AMOS Kód
Označení role
Popis
OBC
Obecné informace
zobrazení všeobecných informací (stav účetního dne, přehled zpráv, přístup k dokumentaci, seznam účastníků, typy souborů, poplatkovací pásma, apod.), ověření podpisu
OPR
Operační informace
zobrazení informací o průběhu zpracování souborů (přehled dávek, vstupní soubory, výstupní soubory, protokoly), časy vytváření výstupních souborů, stažení protokolu o zpracování vstupního souboru
FIN
Finanční informace
zobrazení informací o stavu a pozici účastníka (aktuální pozice, vyhledávání položek, informace o účtech, PMR, poplatky, statistické údaje)
POL
Zadávání položek
zadání položky 01, 21, 37, 45, správa položek, vytvoření a registrace dávky, archiv položek, předání dávky s ručně zadanými položkami
DAV
Vkládání dávek
RVS
Řízení výstupních souborů
RHQ
Vyřazování příkazů ze zadržené fronty
LOR
Loro účty
PDA
Podepisování dávek
SUZ
Správa uživatelů
SBP
Správa blokovaných položek
vložení externí dávky SPP a SPN, správa externích dávek, předání externí dávky nastavení časů vytváření výstupních souborů, ad hoc vytvoření výstupního souboru, stažení výstupního souboru zadání požadavku na vyřazení příkazu (účetní položky) ze zadržené fronty – odmítnutí platby správa loro účtů podepsání dávky (s položkami nebo s certifikátem), předání dávky správa uživatelů - registrace uživatelů, přidělení rolí, příprava dávky s podpisovým certifikátem zadání požadavku na zaúčtování nebo odmítnutí zablokované položky, správa check listu plátců a check listu příjemců a správa parametrů blokovaných položek; zadání položky 44, správa položek, vytvoření a registrace dávky RP4, archiv položek, předání dávky s ručně zadanými položkami; vložení externí dávky CPL, CPR a SP4, správa externích dávek, předání externí dávky
Role „Obecné informace“ je při zakládání uživatele automaticky uživateli přiřazena. Role „Podepisování dávek“ pouze zpřístupňuje ikonu pro podepsání dávky v rámci systému AMOS. Dávka musí být podepsána s využitím kvalifikovaného certifikátu, který má uživatel v systému AMOS zaregistrován.
Verze 7 účinná od 1. prosince 2015
4
4. Dávky a podpisové certifikáty 4.1. Dávky Dávka se skládá ze souboru, který obsahuje vlastní data, a jednoho nebo dvou souborů, které obsahují elektronický podpis obsahu prvního souboru. V systému AMOS jsou použity následující typy dávek – dávka se vstupními položkami, dávka s certifikátem, dávka s check listem plátců a dávka s check listem příjemců. Každá předávaná dávka musí být podepsána zaručeným elektronickým podpisem. Ověření podpisu provádí systém CERTIS s využitím kvalifikovaného certifikátu podepisující osoby. Pokud pracovník podepisující data provede podepsání mimo systém AMOS, nemusí mít přístup do systému AMOS.
4.1.1.
Dávky se vstupními položkami
Dávka s položkami obsahuje vstupní položky účastníka do systému CERTIS a musí být podepsána s využitím kvalifikovaného certifikátu, který je určen k podpisu dávek s položkami. Jedinečné jméno takového certifikátu je předáno provozovateli v dávce s certifikátem. Dávka s položkami obsahuje jeden nebo dva soubory s podpisy podle požadavku účastníka. Počet podpisů stanoví účastník na tiskopisu "Stanovení počtu podpisů vstupní dávky s položkami v systému CERTIS".
4.1.2.
Dávky s certifikátem
Dávka s certifikátem obsahuje jedinečné jméno jednoho kvalifikovaného certifikátu, který slouží k podpisu dávek s položkami nebo k podpisu dávek s check listy. Tato dávka musí být podepsána s využitím kvalifikovaného certifikátu, který je určen k podpisu dávky s certifikátem. Jedinečné jméno takového certifikátu je předáno na tiskopisu "Podpisový vzor a elektronický podpisový vzor pověřené osoby účastníka platebního systému CERTIS".
4.1.3.
Dávky s check listem
Dávka s check listem obsahuje buď check list plátců nebo check list příjemců účastníka. Tato dávka musí být podepsána s využitím kvalifikovaného certifikátu, který je určen k podpisu dávek s check listy. Jedinečné jméno takového certifikátu je předáno provozovateli v dávce s certifikátem.
4.2. Podpisové certifikáty Pro podpis dávek umožňuje provozovatel v systému AMOS používat pouze kvalifikované certifikáty vydané akreditovanými poskytovateli certifikačních služeb: Česká pošta, s. p., První certifikační autorita, a. s. a e-Identity a.s. Pro použití v systému AMOS je doporučeno, aby byl certifikát označen jako veřejný. Správu podpisových certifikátů účastníka provádí správce uživatelů. Jedinečné jméno podpisového certifikátu je do systému CERTIS předáno pomocí dávky, která musí být elektronicky podepsána certifikátem pověřené osoby. Podpis se provádí v systému AMOS. V systému CERTIS je podpisový certifikát zaregistrován a je mu přidělen jedinečný kód. Podpisový certifikát může být v systému AMOS kdykoliv zneplatněn.
5. Protokoly a výstupní soubory Protokoly o zpracování vstupních souborů, výstupní soubory a v elektronické formě předávané průvodní listy1 jsou opatřeny elektronickou značkou systému CERTIS. Certifikát pro ověření elektronické značky systému CERTIS vydala certifikační autorita PostSignum České pošty: Subject serialNumber=S16676,CN=Systém CERTIS,O=Česká národní banka [IČ 48136450],C=CZ Vystavitel PostSignum QCA2 Seznam zneplatněných certifikátů (CRL) vydává certifikační autorita PostSignum (viz webové stránky www.postsignum.cz).
1
Průvodní listy jsou předávány společně s datovými soubory v případě náhradního způsobu předávání a přebírání datových souborů podle přílohy č. 4 Pravidel.
Verze 7 účinná od 1. prosince 2015
5
Účastník je povinen ověřit autentičnost protokolů a výstupních souborů ověřením elektronické značky systému CERTIS. Provozovatel informuje účastníky o zavedení nové elektronické značky systému CERTIS emailem na kontakty v kategorii Technické záležitosti.
6. Přehled osob v systému AMOS 6.1. Pověřená osoba Pověřená osoba – pracovník účastníka oprávněný stanovit: • správce uživatelů • certifikáty určené pro ověření zaručeného elektronického podpisu/elektronické značky používaného pro podpis dávek s položkami • osoby oprávněné podepisovat písemné (faxové) příkazy • počet podpisů vstupní dávky s položkami v systému AMOS Pověřenou osobu registruje do systému CERTIS provozovatel na základě tiskopisu „Podpisový vzor a elektronický podpisový vzor pověřené osoby účastníka platebního systému CERTIS“, který obsahuje: • jméno a kontaktní údaje • jedinečné jméno podpisového certifikátu (kvalifikovaný certifikát) používaného pro elektronický podpis dávek s certifikátem • podpisový vzor Tiskopis musí být podepsán osobou oprávněnou podepisovat smlouvu o platebním systému.
6.2. Správce uživatelů Správce uživatelů – pracovník účastníka spravující přístup uživatelů účastníka do systému AMOS. Je zodpovědný zejména za: • registraci a správu uživatelů účastníka • přidělování rolí Správce uživatelů registruje do systému CERTIS provozovatel na základě tiskopisu „Stanovení správce uživatelů účastníka platebního systému CERTIS“, který obsahuje: • jméno a kontaktní údaje • jedinečné jméno přístupového certifikátu (komerční certifikát) Tiskopis musí být podepsán pověřenou osobou.
6.3. Uživatel Uživatel – pracovník účastníka, který má přístup k jednotlivých stránkám systému AMOS podle přidělených rolí. Uživatele registruje do systému AMOS správce uživatelů. Registrace obsahuje: • jméno • způsob přihlašování • jedinečné jméno přístupového certifikátu (komerční certifikát) nebo přístupové heslo • volbu jazykové verze • přiřazené role
Verze 7 účinná od 1. prosince 2015
6
7. Postupy 7.1. Postup zajištění přístupu k systému AMOS Účastník
Provozovatel
Stanovení pověřených osob Tiskopis "Podpisový vzor a elektronický podpisový vzor pověřené osoby účastníka platebního systému CERTIS" podepsaný na úrovni smlouvy Registrace pověřených osob, zejména jedinečného jména podpisových certifikátů Stanovení správců uživatelů Tiskopis "Stanovení správce uživatelů účastníka platebního systému CERTIS " podepsaný pověřenou osobou Registrace správců uživatelů, zejména jedinečného jména komerčních certifikátů Registrace uživatelů, přidělování rolí Správce uživatelů v systému AMOS
7.2. Postup předání dávky s certifikátem Akce v systému AMOS
Provádí
Vytvoření dávky s certifikátem
Správce uživatelů (role SUZ)
Podpis dávky s certifikátem
Pověřená osoba (role PDA)
Předání dávky s certifikátem
Libovolný uživatel (role SUZ nebo PDA)
V systému CERTIS je registrováno jedinečného jména podpisového certifikátu.
7.3.
Postup vytvoření a předání dávky s položkami Akce v systému AMOS
Provádí
Vkládání položek, vytvoření dávky s položkami
Libovolný uživatel (role POL)
Podpis dávky s položkami
Libovolný uživatel (role PDA)
Předání dávky s položkami
Libovolný uživatel (role POL nebo PDA)
V systému CERTIS je registrován vstupní soubor dat.
Verze 7 účinná od 1. prosince 2015
7
7.4. Postup předání externí dávky s položkami Akce v systému AMOS
Provádí
Vložení externí dávky s položkami (s externím podpisem nebo bez)
Libovolný uživatel (DAV)
Vložení a podpis externí dávky s položkami
Libovolný uživatel (role PDA)
Podpis externí dávky s položkami
Libovolný uživatel (role PDA)
Předání externí dávky s položkami
Libovolný uživatel (role DAV nebo PDA)
V systému CERTIS je registrován vstupní soubor dat.
8. Aplikační rozhraní AMOS/WS Webové služby (AMOS/WS), jako rozšíření systému AMOS, poskytují A2A (application-to-application) rozhraní pro předávání INTOCC dávek a přebírání FROMCC dávek. Webové služby AMOS/WS zahrnují pět funkcí:
funkci pro předávání INTOCC dávek,
funkci pro stahování protokolů o zpracování INTOCC dávky,
funkci pro stahování výstupních FROMCC dávek,
funkci potvrzující stažení FROMCC dávky a
funkci pro stahování aktuálního stavu na účtu účastníka.
Jako transportní protokol slouží protokol https s povinnou klientskou autentizací s použitím komerčních certifikátů vydaných veřejnými certifikačními autoritami (1.CA, PostSignum České pošty a eIdentity) a registrovaných v aplikaci AMOS. Pro přístup je nutné mít zaregistrovaného uživatele v systému AMOS s přístupem pomocí komerčního certifikátu s nastaveným účelem WebServices. URL a příslušné IP adresy serverů pro webové služby jsou uvedeny v následující tabulce: Prostředí Testovací
IP adresa 193.84.144.136
URL https://amoswstest.cnb.cz/amosws/AmosWSPort
Produkční
193.84.144.135
https://amosws.cnb.cz/amosws/AmosWSPort
Komunikace se serverem (počítačem), na kterém běží v ČNB aplikace AMOS/WS, je zabezpečena pomocí certifikátu (tzv. certifikát zabezpečení serveru) vydaného speciálně pro servery "amoswstest.cnb.cz" a "amosws.cnb.cz". Tyto certifikáty byly vydány certifikační autoritou VeriSign (Symantec). Definiční soubory xsd a wsdl jsou k dispozici na úvodní stránce AMOS - https://wsc.cnb.cz/amos/ . Provozovatel informuje účastníky o plánovaných odstávkách a výpadcích webových služeb e-mailem na kontakty v kategorii Technické záležitosti.
8.1. Datové typy parametrů s dávkou, protokolem a el. podpisem Dávky, protokoly a elektronické podpisy jsou předávány buď přímo v elementu typu "base64Binary" a nebo jako příloha (MTOM attachment).
Verze 7 účinná od 1. prosince 2015
8
Dávka má formát odpovídající příloze č.1 Pravidel. Formáty protokolů jsou popsány v kapitole 8.4. Elektronický podpis (odhlédnuto od zakódování BASE64 pro účely xml elementu typu base64binary) musí být vytvořen ve struktuře signedData dle PKCS#7 v DER kódování, přičemž zpráva neobsahuje vlastní podepisovaná data (jedná se o externí podpis) a obsahuje podpisující certifikát a vždy jeden podpis.
8.2. Certifikáty, elektronický podpis a značka Pro klientskou autentizaci je nutné použít komerční certifikát vydaný veřejnou certifikační autoritou. Certifikát musí být zaregistrovaný v systému AMOS správcem uživatelů jako přístupový (přihlašovací) certifikát, přičemž musí mít účel použití pro WebServices. Přístupový certifikát s účelem použití pro interaktivní přístup nelze použít. Pro podpis dávek je nutné použít kvalifikovaný certifikát nebo elektronickou značku vydanou veřejnou certifikační autoritou. Certifikát musí být zaregistrovaný v systému AMOS jako podpisový certifikát (předáním dávky s certifikátem). Dávka s položkami předaná přes AMOS/WS má vždy pouze jeden elektronický podpis, nezávisle na tom, zda účastník stanovil jeden nebo dva podpisy pro ruční předávání dávek při interaktivním přístupu. Systém AMOS používá pro vytvoření elektronické značky (tj. el. podpisu) kvalifikovaný certifikát vydaný certifikační autoritou PostSignum České pošty viz kapitola 5.
8.3. Funkce putIntoCC Funkce putIntoCC slouží pro registraci a předání vstupní dávky s položkami do systému AMOS do zadaného účetního dne. Dávka má formát vstupního datového souboru podle přílohy č. 1 Pravidel CERTIS. Maximální velikost datového souboru je stanovena v příloze č. 1 Pravidel CERTIS. Typicky se ze strany klienta předpokládá, že aplikace klienta předá další INTOCC dávku až po převzetí protokolu z předchozí dávky. Systém však nebrání předání více dávek v těsném sledu bez čekání na protokol. Stejně tak systém nebrání paralelnímu přístupu z více procesů (např. jeden pro high a druhý pro low prioritu) či více aplikací jednoho klienta. Vstupní parametry funkce WS
Popis
datum
Datum účetního dne
ucastnik cislo
Číselný kód účastníka Číslo dávky
priorita
Priorita dávky (H/L)
davka
Data dle přílohy č. 1 Pravidel CERTIS – viz kap. 8.1
podpis
Data – elektronický podpis – viz kap. 8.1
Výstupní parametry funkce WS stavKod stavText
Popis Číselný kód výsledku (0 = dávka přijata ke zpracování, jiné číslo = kód chyby, dávka nepřijata) Popis výstupního stavu
Funkčnost Funkce provede kontrolu zadaných parametrů a vrátí kód výsledku. Do logu zapíše informaci o zpracování požadavku. Pokud jsou vstupní parametry bez chyby, vloží dávku do AMOS a předá ji ke zpracování. Přehled výstupních stavů
Verze 7 účinná od 1. prosince 2015
9
Kontrola při přihlašování: 10 Certifikát není platný – certifikát je uveden na CRL 11 Chybný kód účastníka – kód účastníka není registrovaný v systému CERTIS nebo je registrovaný, ale účastník ještě není aktivovaný 12 Účastník je zablokován – činnost účastníka je v systému CERTIS pozastavena 13 Přístupový certifikát není zaregistrován v AMOS – komerční certifikát účastníka není registrovaný v systému AMOS nebo je mimo rozsah své platnosti zaregistrované v systému AMOS (dosud nenastal čas, od kdy má platit, nebo vypršel čas do kdy má platit – viz AMOS, formulář Správa uživatelů / Uživatelé) nebo účel certifikátu není WebServices Syntaktická kontrola paramentů: 51 Chybné číslo dávky – číslo dávky je nulové nebo je větší než 999 999 53 Povinný parametr dávka je prázdný 54 Povinný parametr podpis je prázdný Kontrola účetního dne: 20 Datum dávky není shodné s aktuálním účetním dnem 22 Příjem dávek ukončen – účetní den byl již ukončen Kontrola účastníka: 30 Účastník má zablokovaný příjem vstupních souborů Kontrola duplicity: 40 Duplicitní předání dávky – dávka se stejným označením již byla zaregistrována v systému AMOS nebo CERTIS Neočekávaný stav: 99 Neočekávaná chyba – pokud dojde k jiné chybě než výše uvedeno Úspěšné předání dávky: 0 Dávka byla předána do zpracování – funkce vložila vstupní soubor do systému AMOS. Dávka je vložena do stavu „Předána ke zpracování“ – je zobrazena v AMOS na stránce „Přehled dávek – předání dávky“.
8.4. Funkce getProto Funkce getProto slouží pro stažení protokolu o zpracování dané vstupní dávky v textovém nebo csv formátu. Typicky se předpokládá, že aplikace klienta v případě, že předala INTOCC dávku a dosud neobdržela protokol o zpracování dávky, bude v pravidelných intervalech (cca 1x za minutu či v delších intervalech) požadovat převzetí protokolu, dokud nebude protokol k dispozici. Možný je též paralelní přístup dvou procesů, jeden pro high a druhý pro low prioritu. Nevylučuje se ani paralelní přístup více procesů z různých aplikací jednoho klienta. Časový odstup mezi předáním dávky a okamžikem, kdy je k dispozici protokol, závisí na velikosti dávky a na případném souběžném předávání velkých dávek více účastníky. Malé prioritní dávky jsou zpracovány nejdříve za 20 vteřin, většinou do jedné minuty. Dávka s 10 000 položkami se obvykle zpracuje cca za 1 minutu. Vstupní parametry funkce WS
Popis
datum
Datum účetního dne
ucastnik cislo
Číselný kód účastníka Číslo dávky
typ
Typ protokolu (CSV nebo TXT)
Výstupní parametry funkce WS
Popis
proto
Data – protokol podle typu (stávající ICP nebo CSV)
podpis
Data – elektronický podpis protokolu – viz kap. 8.1
Verze 7 účinná od 1. prosince 2015
10
WS stavKod stavText
Popis Číselný kód výsledku (viz níže) Popis výstupního stavu
Funkčnost Funkce provede kontrolu zadaných parametrů. Do logu zapíše informaci o zpracování požadavku. Funkce vrátí kód výsledku (výstupní stav) a pokud jsou vstupní parametry bez chyby a protokol existuje, vrátí také příslušný soubor s protokolem a soubor s podpisem protokolu. Přehled výstupních stavů Kontrola při přihlašování: 10 Certifikát není platný – certifikát je uveden na CRL 11 Chybný kód účastníka – kód účastníka není registrovaný v systému CERTIS nebo je registrovaný, ale účastník ještě není aktivovaný 13 Přístupový certifikát není zaregistrován v AMOS – komerční certifikát účastníka není registrovaný v systému AMOS nebo je mimo rozsah své platnosti zaregistrované v systému AMOS (dosud nenastal čas, od kdy má platit, nebo vypršel čas do kdy má platit – viz AMOS, formulář Správa uživatelů / Uživatelé) nebo účel certifikátu není WebServices Syntaktická kontrola paramentů: 51 Chybné číslo dávky – číslo dávky je nulové nebo je větší než 999 999 Neočekávaný stav: 99 Neočekávaná chyba – pokud dojde k jiné chybě než výše uvedeno Neexistující dávka 4 Dávka odpovídající požadovanému protokolu neexistuje Dávka existuje 7 Dávka odmítnuta systémem AMOS (nevložena do vstupní fronty) – pole stavText obsahuje popis chyby: - Soubor s 1. podpisem neobsahuje digitální podpis této dávky - Chyba při ověřování certifikátu 1.podpisu dávky - certifikát není od správné CA nebo není platný nebo je odvolán - Dávka není podepsána (1. podpis) disponentem klienta. Dávku podepsal DN : #DN# - Dávka (1.podpis) byla podepsána elektronickým podpisem, který není určený pro podpis dávek. - Dávka s daným číslem již existuje. - Datum dávky je starší než aktuální účetní den. 3 Dávka dosud nebyla zpracována, protokol dosud není k dispozici 2 Dávka byla odmítnuta – dávka je ve stavu E – odmítnuta. Funkce vrátí protokoly. 1 Dávka byla zpracována, ale některé položky byly odmítnuty – dávka je ve stavu Z – zpracována. Funkce vrátí protokoly. 0 Dávka byla zpracována, všechny položky přijaty – dávka je ve stavu Z – zpracována. Funkce vrátí protokoly. Formát protokolu TXT Formát protokolu, který je zasílaný systémem AMOS.
Verze 7 účinná od 1. prosince 2015
11
Organizace 0100 Ucetni den 09-04-2011 Cislo souboru vstupnich dat 000014 Typ souboru vstupnich dat 33 AMOS vstupni neprioritni Datum vstupu 09-04-2011 Cas vstupu 12:05:39 Poplatkove pasmo 3 Pocet transakci 000000005 Suma castek poli KC 00000100000000400 Chybovy kod 000 - Zadne fatalni chyby Pocet odmitnutych transakci 000000000 ……… a dále následuje seznam chyb, jsou-li nějaké.
Formát protokolu CSV Protokol obsahuje jeden nebo více řádků oddělených znaky
(hex(0D0A)). Řádek obsahuje jednotlivé parametry oddělené středníkem. První řádek obsahuje informace o dávce: 0100;20110409;14;33;20110409120539;3;5;100000000400;0;0 Význam jednotlivých parametrů: Kód účastníka; datum účetního dne; číslo dávky; typ dávky (viz typy datových souborů v příloze č. 1 Pravidel); datum a čas vstupu do CERTIS; poplatkové pásmo; počet položek v dávce; suma částek v haléřích; chybový kód; počet odmítnutých položek pro formální2 chybu. Další řádky obsahují seznam chyb, jsou-li nějaké (každá chyba na jednom řádku): 1;43;11;HD;A;110;Datum polozky je starsi nez 10 dnu;20110103;Info Význam jednotlivých parametrů: Pořadové číslo chyby; vstupní identifikační číslo položky (viz příloha č. 1 Pravidel); typ položky; pole; fatální chyba (A/N); chybový kód; popis chyby; hodnota; informace Počet chyb v protokolu Není-li dávka odmítnuta (tj. neobsahuje fatální chyby), je zpracována a protokol obsahuje seznam všech odmítnutých položek a informaci o chybě. Informaci o odmítnuté položce v datové podobě vrací systém CERTIS také ve výstupních datech v položce typu HD:71 apod. Je-li dávka odmítnuta (tj. obsahuje fatální chybu), protokol končí po dosažení dvacáté fatální chyby – následující chyby se již do protokolu neuvádějí.
8.5. Funkce getFromCC Funkce getFromCC slouží pro stažení nejstarší dosud nestažené výstupní dávky zadané priority v rámci zadaného účetního dne a elektronického podpisu dávky. Podle kombinace zadaných parametrů (datum, priorita) je stažen soubor s nejnižším časem vytvoření z těch, které dosud nebyly staženy/převzaty. Typicky se předpokládá, že aplikace klienta bude v pravidelných intervalech (v řádu minut) požadovat převzetí FROMCC dávky s tím, že priorita se neuvede. Možný je též paralelní přístup dvou procesů aplikace klienta, jeden pro high prioritu, druhý pro low prioritu (v delších intervalech).
2
Formální chybou se rozumí chyba, která nezpůsobí odmítnutí celé dávky, ale pouze jednotlivé položky
Verze 7 účinná od 1. prosince 2015
12
Vstupní parametry funkce WS
Popis
datum
Datum účetního dne – nepovinný údaj. V systému AMOS jsou uchována FromCC data za posledních 10 kalendářních dnů.
ucastnik priorita
Číselný kód účastníka Priorita dávky – nepovinný údaj (H/L)
Výstupní parametry funkce WS
Popis
datum
Datum účetního dne
cislo
Pořadové číslo dávky
priorita
Priorita dávky (H/L)
cas
Čas vytvoření FROMCC
davka
Data dle přílohy č. 1 Pravidel CERTIS – viz kap. 8.1
podpis
Data – elektronický podpis – viz kap. 8.1
stavKod
Číselný kód výsledku (0 = převzata FROMCC dávka, jiné číslo = kód chyby) Popis výstupního stavu
stavText Funkčnost
Funkce provede kontrolu zadaných parametrů. Do logu zapíše informaci o zpracování požadavku. Funkce vrátí kód výsledku a pokud jsou vstupní parametry bez chyby a požadovaná dávka existuje, vrátí také data s výstupními položkami a elektronický podpis. Účastník je povinen před zpracováním výstupních položek ověřit platnost elektronického podpisu dávky. Přehled výstupních stavů Kontrola při přihlašování: 10 Certifikát není platný – certifikát je uveden na CRL 11 Chybný kód účastníka – kód účastníka není registrovaný v systému CERTIS nebo je registrovaný, ale účastník ještě není aktivovaný 13 Přístupový certifikát není zaregistrován v AMOS – komerční certifikát účastníka není registrovaný v systému AMOS nebo je mimo rozsah své platnosti zaregistrované v systému AMOS (dosud nenastal čas, od kdy má platit, nebo vypršel čas do kdy má platit – viz AMOS, formulář Správa uživatelů / Uživatelé) nebo účel certifikátu není WebServices Kontrola účetního dne: 21 Datum je budoucí – datum je vyšší než aktuální účetní den Neočekávaný stav: 99 Neočekávaná chyba – pokud dojde k jiné chybě než výše uvedeno. Žádná dávka není k dispozici: 5 Žádná nestažená dávka není k dispozici Dosud nestažená dávka existuje: 0 Dávka byla stažena
8.6. Funkce setFromCC Slouží pro potvrzení stažení výstupní dávky. Po stažení dávky je potřeba potvrdit, že dávka byla úspěšně stažena, aby mohla být následně stažena další dávka.
Verze 7 účinná od 1. prosince 2015
13
Vstupní parametry funkce WS
Popis
datum
Datum účetního dne
ucastnik cislo
Číselný kód účastníka Číslo dávky
Výstupní parametry funkce WS stavKod stavText
Popis Číselný kód výsledku Popis výstupního stavu
Funkčnost Funkce provede kontrolu zadaných parametrů. Do logu zapíše informaci o zpracování požadavku. Funkce vrátí kód výsledku a pokud jsou vstupní parametry bez chyby a dávka dosud není v AMOS označena jako stažená, označí dávku jako staženou (do údaje Čas stažení se uloží aktuální systémové datum a čas systému AMOS). Přehled výstupních stavů Kontrola při přihlašování: 10 Certifikát není platný – certifikát je uveden na CRL 11 Chybný kód účastníka – kód účastníka není registrovaný v systému CERTIS nebo je registrovaný, ale účastník ještě není aktivovaný 13 Přístupový certifikát není zaregistrován v AMOS – komerční certifikát účastníka není registrovaný v systému AMOS nebo je mimo rozsah své platnosti zaregistrované v systému AMOS (dosud nenastal čas, od kdy má platit, nebo vypršel čas do kdy má platit – viz AMOS, formulář Správa uživatelů / Uživatelé) nebo účel certifikátu není WebServices Syntaktická kontrola paramentů: 51 Chybné číslo dávky – číslo dávky je nulové nebo je větší než 999 999 Neočekávaný stav: 99 Neočekávaná chyba – pokud dojde k chybě při zpracování (např. chyba při zápisu do tabulky) Neexistující dávka 6 Dávka odpovídající požadavku neexistuje Dávka existuje 0 Požadavek byl zpracován – zadaná výstupní dávka označena jako stažená, nebyla-li tak dosud označena.
8.7. Funkce getBalance Funkce getBalance slouží ke stažení aktuálního stavu na účtu účastníka. Funkce vrátí pro zadané datum účetního dne počáteční a aktuální stav na účtu a obraty debet a kredit od počátku dne. Vstupní parametry funkce WS
Popis
datum
Datum účetního dne
ucastnik
Číselný kód účastníka
Výstupní parametry funkce WS pocatek
Popis Denní počáteční zůstatek
Verze 7 účinná od 1. prosince 2015
14
WS
Popis
debet
Denní obrat debet
kredit
Denní obrat kredit
aktualni
Aktuální zůstatek účtu
stavKod
Číselný kód výsledku (0 = zůstatek byl stažen, jiné číslo = kód chyby)
stavText
Popis výstupního stavu
Funkčnost Funkce provede kontrolu zadaných parametrů. Do logu zapíše informaci o zpracování požadavku. Funkce vrátí kód výsledku a pokud jsou vstupní parametry bez chyby, vrátí počáteční zůstatek, obraty debet, obraty kredit a aktuální zůstatek pro zadaný účetní den a účastníka. Přehled výstupních stavů Kontrola při přihlašování: 10 Certifikát není platný – certifikát je uveden na CRL 11 Chybný kód účastníka – kód účastníka není registrovaný v systému CERTIS nebo je registrovaný, ale účastník ještě není aktivovaný 13 Přístupový certifikát není zaregistrován v AMOS – komerční certifikát účastníka není registrovaný v systému AMOS nebo je mimo rozsah své platnosti zaregistrované v systému AMOS (dosud nenastal čas, od kdy má platit, nebo vypršel čas do kdy má platit – viz AMOS, formulář Správa uživatelů / Uživatelé) nebo účel certifikátu není WebServices Neočekávaný stav: 99 Neočekávaná chyba – pokud dojde k jiné chybě než výše uvedeno Neexistující zůstatek 23 Zůstatek nebyl nalezen Zůstatek existuje 0 Zůstatek byl stažen.
9. Bezpečnostní zásady uživatele systému AMOS Česká národní banka (ČNB) věnuje trvalou pozornost nadstandardnímu zabezpečení informačního systému AMOS a implementovala moderní technologie pro ochranu důvěrnosti a integrity jeho aktiv, dostupnosti a spolehlivosti celého systému. Pro zajištění nepopiratelnosti dávek s položkami předávaných uživatelem účastníka je využíván zaručený elektronický podpis nebo elektronická značka. Účastník systému CERTIS je povinen věnovat náležitou pozornost rizikům na straně uživatele, vyplývajícím ze způsobu přípravy a předání dávek s položkami, zajištění ochrany podpisových certifikátů s privátním klíčem, klientské stanice a systémového prostředí. Dodržováním níže uvedených bezpečnostních zásad lze tato rizika zmírnit nebo dokonce eliminovat.
9.1. Povinnosti uživatele a) b)
c)
Uživatel systému AMOS je povinen: důsledně chránit privátní klíč certifikátu pro vytváření elektronického podpisu nebo elektronické značky před přístupem jiné osoby, než které byl certifikační autoritou vydán, zajistit systémovou a fyzickou ochranu privátního klíče certifikátu pro vytváření elektronického podpisu nebo elektronické značky nejlépe technickými prostředky (token, čipová karta) na principu „potřeby mít a znát“ nebo alespoň nastavením vysoké úrovně zabezpečení, tj. s přístupem pouze přes silné hesla, při uložení klíčů do zabezpečeného softwarového úložiště na klientské stanici a v neexportovatelném tvaru, klientskou stanici chránit prostředky antivirové ochrany, firewally a dalšími prostředky pro ochranu před škodlivým softwarem, zejména viry, trojskými koni, spamem, spyware apod.
Verze 7 účinná od 1. prosince 2015
15
d) e)
f) g)
h)
zajistit pravidelné aktualizace a opravy softwaru, především operačního systému, prohlížeče webových stránek a dalších instalovaných aplikací, přihlášení uživatele k operačnímu systému realizovat pomocí standardního uživatelského účtu bez administrátorského oprávnění, a dostatečně složitého hesla, resp. na základě jiného mechanismu s odpovídající nebo vyšší úrovní bezpečnosti, vhodnými prostředky bránit neoprávněným osobám v užívání počítače a zejména aplikace AMOS, např. odhlášením nebo alespoň uzamčením počítače v době nepřítomnosti, nereagovat na výzvy k poskytnutí přihlašovacích údajů třetími osobami (spam, phishing), přihlašovací údaje jsou určeny pouze danému uživateli a ČNB je nikdy po uživatelích za žádných okolností nepožaduje. v případě podezření na zneužití certifikátu bezodkladně zajistit odvolání platnosti kvalifikovaného certifikátu pro elektronický podpis, případně certifikátu pro přihlášení, u příslušné certifikační autority, ihned ukončit platnost registrace podpisového certifikátu v systému CERTIS, a toto neprodleně oznámit ČNB, sekci peněžní a platebního styku. Kontakt: [email protected], tel.:+420 224 413 355.
9.2. Povinnosti účastníka a) b)
c)
Účastník systému CERTIS je povinen: zabránit přístupu třetích osob k privátním klíčům certifikátů uživatelů systému AMOS, zajistit adekvátní úroveň zabezpečení klientských počítačů uživatelů systému AMOS, zejména prostředky firewallů, antivirového, antispamového softwaru, systematickým vyhledáváním známých zranitelností, aktualizací operačního systému a instalovaných aplikací a dále omezením přístupu klientských stanic k adresám s nebezpečným obsahem v Internetu, zajistit systémovou a fyzickou ochranu privátních klíčů uživatelů systému AMOS, např. pořízením tokenů nebo čipových karet s bezpečným úložištěm pro privátní klíče a certifikáty.
Verze 7 účinná od 1. prosince 2015
16