Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: naitsyrk85 » 19 lut 2020 0:20

Łukasz W pisze:Pytanie czy wszystkie oprogramowania mają te same komunikaty (o ile je maja). Rację masz Ty Paweł i Ty Marcin. Wg. KPA racja Marcina, wg. tego co wiemy czyli jak działa Emp@tia to jestem tego samego zdania co Paweł.


Mieliśmy kilka przypadków błędnej weryfikacji, napisaliśmy do
Dodano: SoftQ
Poprawiłem informacje, wczesniej napisałem, że wiadomosc byłą do ministerstwa, było to jednak za pośrednictwem SOFTIQ dostaliśmy odpowiedz, że błąd po stronie naszego systemu nie informuje tym, że podpis został zle złożony i nei jest podstawo do nieprzyznania świadczenia, w e-mailu była informacji, że również dobrze nei mamy nawet obowiązku weryfikacji po stronei SD podwisów ponieważ nawet nie musiałby tam być takiej funkcjonalność, ponieważ podpis jest sprawdzany na etapie składania wniosku. Tak naprawdę kazdy OPS ma na pewno w skrzynce kilka wniosków z błędnym podpisem, na któe zostały przyznane świadczenia. I tak naprawdę ministerstwo powinno dać konkretna informacje jak OPS powinny sie zachowywać w takim momencie.
Ostatnio zmieniony 20 lut 2020 11:02 przez naitsyrk85, łącznie zmieniany 1 raz
naitsyrk85
GWIAZDA
GWIAZDA

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 14:07

MarcinD pisze:Przecież to jest ewidentna analogia do wniosku przyniesionego przez sąsiada, który mówi Ci, że osoba wnioskująca to osoba wnioskująca i to ona go pisała.
Jakieś tam informacje o niepotrzebnej weryfikacji na stanowisku, bo wniosek został zweryfikowany przy składaniu to są bzdury wymyślane na potrzeby przykrycia problemów technicznych komunikacji między systemami centralnymi/bankowymi/innymi.
Uważasz, że nie masz podstawy do odrzucenia niepodpisanego wniosku (bo brak weryfikacji=niepodpisanie), to podaj podstawę do przyjęcia niepodpisanego wniosku.
Żeby to było wykonane prawidłowo, to wniosek bez weryfikacji podpisu powinieneś załatwić wezwaniem klienta do uzupełnienia formalnego wniosku, a jak się nie zgłosi, to nie załatwiasz.

Tak w temacie znajomości przepisów i podstawy przyjęcia niepodpisanego wniosku:
"USTAWA O POMOCY PAŃSTWA W WYCHOWYWANIU DZIECI
z dnia 11 lutego 2016 r. (Dz.U. z 2016 r. poz. 195)
Art. 13
5. Wniosek i załączniki do wniosku określone w ust. 4 mogą być składane drogą elektroniczną za pomocą systemu teleinformatycznego:
1)utworzonego przez ministra właściwego do spraw rodziny; uwierzytelnianie użytkowników w systemie wymaga użycia profilu zaufanego, profilu osobistego, innego środka identyfikacji elektronicznej wydanego w systemie identyfikacji elektronicznej przyłączonym do węzła krajowego identyfikacji elektronicznej, o którym mowa w art. 21a ust. 1 pkt 2 lit. a ustawy z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz.U. z 2019 r. poz. 162 i 1590), adekwatnie do poziomu bezpieczeństwa środka identyfikacji elektronicznej wymaganego dla usług świadczonych w tym systemie, danych weryfikowanych za pomocą kwalifikowanego certyfikatu podpisu elektronicznego, jeżeli te dane pozwalają na identyfikację i uwierzytelnienie wymagane w celu realizacji usługi online, albo innych technologii, jeżeli zostaną udostępnione w tym systemie;
2) udostępnianego przez Zakład Ubezpieczeń Społecznych;
3) banków krajowych oraz spółdzielczych kas oszczędnościowo-kredytowych świadczących usługi drogą elektroniczną spełniających wymogi określone w informacji zamieszczonej na stronie podmiotowej Biuletynu Informacji Publicznej ministra właściwego do spraw rodziny po uzgodnieniu z ministrem właściwym do spraw informatyzacji;
4) wskazanego w informacji, o której mowa w pkt 3.
6. Minister właściwy do spraw rodziny po uzgodnieniu z ministrem właściwym do spraw informatyzacji, w informacji, o której mowa w ust. 5 pkt 3:
1) wskaże wymogi, które muszą spełniać systemy teleinformatyczne banków krajowych oraz spółdzielczych kas oszczędnościowo-kredytowych, o których mowa w ust. 5 pkt 3;
2) może wskazać systemy teleinformatyczne, za pomocą których mogą być składane drogą elektroniczną wniosek i załączniki do wniosku określone w ust. 4.
7. Wniosek i załączniki do wniosku określone w ust. 4 składane są w postaci elektronicznej za pomocą:
1) systemu teleinformatycznego, o którym mowa w ust. 5 pkt 1, po zastosowaniu zapewnionych w tym systemie sposobów potwierdzenia pochodzenia oraz integralności przesłanych danych w postaci elektronicznej;
2)systemów teleinformatycznych, o których mowa w ust. 5 pkt 2 i 4; opatruje się je kwalifikowanym podpisem elektronicznym, podpisem zaufanym albo podpisem osobistym lub uwierzytelnia w sposób zapewniający możliwość potwierdzenia pochodzenia oraz integralności weryfikowanych danych w postaci elektronicznej.
8. Wniosek i załączniki do wniosku określone w ust. 4 składane w postaci elektronicznej za pomocą systemów, o których mowa w ust. 5 pkt 3, uwierzytelnia się przy użyciu danych uwierzytelniających stosowanych przez bank krajowy lub spółdzielczą kasę oszczędnościowo-kredytową do weryfikacji w drodze elektronicznej posiadacza rachunku.
9. Wniosek i załączniki do wniosku określone w ust. 4, składane w postaci elektronicznej za pomocą systemów, o których mowa w ust. 5 pkt 3, podpisane przy użyciu danych obejmujących imię, nazwisko oraz numer PESEL, są równoważne pod względem skutków prawnych dokumentowi opatrzonemu podpisem własnoręcznym."
ze względu na miejsce nie będę kopiował pozostałych.

Nie, to nie jest ewidentna analogia, ponieważ cyfryzacja nie polega na bezrefleksyjnym przenoszeniu procesów, które są w papierze. Innym przykładem takiej refleksji nad dotychczasowym procesem (istniejącym od zawsze) jest rezygnacja z decyzji w przypadku pozytywnego załatwienia sprawy. te rozwiązania nie wynikają
MarcinD pisze:to są bzdury wymyślane na potrzeby przykrycia problemów technicznych komunikacji między systemami centralnymi/bankowymi/innymi.
, lecz z tego że mamy lata 20 XXI wieku.

Pozdrawiam
Mare_K
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 14:19

TheSaint pisze:ING - Lista CRL niepoprawna kryptograficznie.
BNP - Certyfikat podpisujący nie jest ważny w weryfikowanym czasie.

Uważam, że MRPiPS powinien żądać od banków naprawy.

Komunikat BNP może np oznaczać, że osoba w momencie składania wniosku o 500+ miała konto w bnp, ale je zamknęła - dlatego dzisiaj jest błąd. Tego nie wiemy.
Wiemy natomiast, że skoro przeszedł przez serwery empatii to jest on prawidłowy.

Co MRPiPS czyni, co więcej banki mają obowiązek kontaktu z osobami poszkodowanymi.

pozdrawiam
Marek_K
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: MarcinD » 19 lut 2020 14:30

Nie neguję przyjęcia niepodpisanego wniosku i całej reszty, ale masz tu formę elektroniczno papierową i w tej ostatniej brakuje dość istotnych danych, których poszlaki są tylko w elektronice. Nie próbuję tez wprost przenosić procesów, bo to ciut bez sensu, a analogia to jednak co innego.
Zważ tylko na to:
Marek_K pisze:9. Wniosek i załączniki do wniosku określone w ust. 4, składane w postaci elektronicznej za pomocą systemów, o których mowa w ust. 5 pkt 3, podpisane przy użyciu danych obejmujących imię, nazwisko oraz numer PESEL, są równoważne pod względem skutków prawnych dokumentowi opatrzonemu podpisem własnoręcznym."

A finalnie we wniosku przyjętym "za pomocą systemów" masz "niekompletnie zweryfikowany". Czyli co? Podpisany? Niepodpisany? Domyślnie podpisany, no bo przecież inaczej by nie złożyli? Nie masz danych obejmujących imię, nazwisko i pesel, nawet nie wiesz, czy system przyjmujący je ma, a nawet pasowałoby założyć, że ich nie ma, skro niekompletnie zweryfikował.

Mnie chodzi tylko o to, że komunikat "niekompletnie zweryfikowany" nie powinien istnieć w obiegu, bo nie wiadomo co on oznacza. Zewnętrzny system powinien dać jasną odpowiedź - podpis prawidłowy lub podpis nieprawidłowy. Ot i tyle.
MarcinD
JOKER
JOKER

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 14:33

Ale mam wrażenie, że dyskusja poszła w trochę złym kierunku.
w poście z: autor: Marek_K » 31 sty 2020 20:07 pisałem o bezpiecznym podpisie kwalifikowanym - takie wnioski (z podpisem kwalifikowanym) mogą wpływać do urzędu bezpośrednio do SD z PUE ZUS (choć namawiamy ich, aby zrezygnowali z czterech form certyfikacji wniosków, obecnie to są: podpis kwalifikowany, profil zaufany, podpis z elektronicznego dowodu osobistego i certyfikat ZUS <który jest przykrywany naszym certyfikatem>) albo z drugiego kanału (mam nadzieję, że tu jest liczba wniosków minimalna) z ePUAP-u (ale wtedy nie trafiają bezpośrednio do SD.
Osobnym tematem jest weryfikacja certyfikatów systemowych (należy je traktować jako pieczęć urzędową) takie przychodzą z banków i z PIU. I tu właściwym jest postępowanie, o którym pisze pan Łukasz. Co nie jest przeciwwskazaniem, aby w przypadku braku pozytywnej weryfikacji wyjaśniać sprawę do końca, bo przyczyna może leżeć nie tylko po stronie systemu źródłowego (banki, PIU, PUE ZUS) ale może być wynikiem, dobrze zaplanowanego ataku.
Mam tylko prośbę, nie rozpoczynajmy dyskusji nad odpowiedzialnością za zabezpieczenia, bo co do zasady nie ma skutecznych zabezpieczeń i największym zabezpieczeniem jest czujność :).

Aha, do tej pory nie wykryliśmy takiego ataku i oby tak pozostało.

Pozdrawiam
Marek_K
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 14:39

Aaa,jeszcze jedno.
Jesteśmy w na dość zaawansowanym etapie pracy (teraz piłka po stronie MC), aby wnioski z ePUAP-u wpływały bezpośrednio do SD na zasadzie takiej samej jak wpływają z kanału bankowego.

Pozdrawiam
Marek_K
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: MarcinD » 19 lut 2020 14:50

Marek_K pisze:Co nie jest przeciwwskazaniem, aby w przypadku braku pozytywnej weryfikacji wyjaśniać sprawę do końca, bo przyczyna może leżeć nie tylko po stronie systemu źródłowego (banki, PIU, PUE ZUS) ale może być wynikiem, dobrze zaplanowanego ataku.

O tym cały czas piszę.
Na razie, z tego co czytam i słyszę, są tylko informacje odgórne, że "tak tak, jest spoko, wiemy o tym, przyjmujcie i się nie przejmujcie", ale w razie czegoś, to nie "góra" będzie się tłumaczyła, tylko zacznie się od "dołu".
MarcinD
JOKER
JOKER

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 15:05

MarcinD pisze:Mnie chodzi tylko o to, że komunikat "niekompletnie zweryfikowany" nie powinien istnieć w obiegu, bo nie wiadomo co on oznacza. Zewnętrzny system powinien dać jasną odpowiedź - podpis prawidłowy lub podpis nieprawidłowy. Ot i tyle.

z tym się zgadzam bezdyskusyjnie. próbujemy też to wyjaśnić i tu by się przydało więcej danych dotyczących tego przypadku, ale już nie przez forum, tylko bezpośrednio do Michała D. Od nas z DI. Tak jak wcześniej pisałem ING miał problemy, to może być ten case, co i tak nie wyjaśnia sformułowania "niekompletnie zweryfikowany".
Przy czym ja mimo wszystko rozumiem, na ten moment to tak, że
1) Weryfikacja tożsamości na poziomie dostępu do front-endu bankowego nastąpiła poprawnie,
2) Zweryfikowany klient wykonał czynności formalne - wypełnił wniosek :)
3) Zweryfikowany klient dokonał aktu woli - wysłał wniosek naciskając gdzieś na front-endzie przycisk wyślij.
4) W tym momencie zgodnie z przepisami stało się i dokonały się weryfikacje, za które ponosi odpowiedzialność bank (wiem - worek do dyskusji co to znaczy odpowiedzialność - pomińmy).
5a) Coś mogło walnąć na poziomie dołączania do wniosku (a dokładnie do całego pakietu) wychodzącego z banku certyfikatu bankowego, co zaskutkowało tym komunikatem w SD
5b) Coś mogło walnąć na każdym późniejszym poziomie, co zaskutkowało tym komunikatem w SD.
6) Ale co do zasady klient dopełnił wszystkiego co mógł (musiał) aby wysłać wniosek w sposób gwarantujący (na poziomie formalnym), że on to on.
7) Tym samym urząd gdyby chciał go wezwać do wyjaśnienia, to ja osobiście nie bardzo wiem, co za wyjaśnienia od klienta mógłby uzyskać. Chyba jedynie odpowiedź pozytywną na pytanie "Czy prawdą jest, że dnia tego i tego wysłał/a Pan/Pani wniosek do nas?", tyle tylko, że wysłał to my wiemy (Wy wiecie), a przecież problem nie polega na kwestionowaniu tożsamości klienta lub na sugerowaniu, że ktoś mu ukradł tożsamość cyfrową, a na tym, że bank w sposób ""niekompletnie weryfikowalny" opatrzył wniosek swoim certyfikatem.
8 ) tu pojawia się kwestia tej "czujności", ponieważ to może być skutek ataku, ale to musimy (w mojej ocenie) wyjaśniać wewnętrznie na linii Wy-my-banki. Stosując kulawą analogię :) do papieru, to tak jakbyśmy ścigali klienta za to, że na kopercie, w której został przysłany podpisany wniosek nie ma znaczka i pieczątki poczty - to nie jest do końca dobra analogia, ale na wysokim poziomie abstrakcji pasuje.

pozdrawiam
Marek_K
Ostatnio zmieniony 19 lut 2020 15:18 przez Marek_K, łącznie zmieniany 1 raz
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: Marek_K » 19 lut 2020 15:15

MarcinD pisze:
Marek_K pisze:Co nie jest przeciwwskazaniem, aby w przypadku braku pozytywnej weryfikacji wyjaśniać sprawę do końca, bo przyczyna może leżeć nie tylko po stronie systemu źródłowego (banki, PIU, PUE ZUS) ale może być wynikiem, dobrze zaplanowanego ataku.

O tym cały czas piszę.
Na razie, z tego co czytam i słyszę, są tylko informacje odgórne, że "tak tak, jest spoko, wiemy o tym, przyjmujcie i się nie przejmujcie", ale w razie czegoś, to nie "góra" będzie się tłumaczyła, tylko zacznie się od "dołu".

Oki, ale to są dwa poziomy.
1) obsługa wniosku i postępowanie ze stroną
2) wyjaśnienie co jest grane.

Nie wzywałbym strony, tylko wyjaśnił (nawet jak nie jest łatwe, proste i przyjemne) na linii wewnętrznej, i gdy okaże się, że bank ma problem (PIU, czy jakikolwiek inny system), to wnioski mogą być traktowane jako skuteczne.
Rozumiem też obawy o odpowiedzialność. Myślę, że info od nas (już na spokojnie, po wyjaśnieniu co się dzieje) albo bezpośrednio od gestora systemu (choć to raczej mało realne), że takie to, a takie zachowanie się systemu (np "niekompletna weryfikowalność") jest skutkiem, czasowych problemów określonego systemu powinno być dla Was wystarczające.

Pozdrawiam
Marek_K
Marek_K

Re: Weryfikacja podpisu elektronicznego - niekompletnie zweryfik

Postautor: naitsyrk85 » 20 lut 2020 10:46

Panie Marku
W 2018 roku wysłałem takie zgłoszenie do Sygnity:
Prosimy o rozbudowę weryfikacji podpisu

W chwili obecnej w systemie otrzymujemy informacje typu:
Certyfikat podpisujący nie jest ważny w weryfikowanym czasie.
1. Użytkownik nie ma konkretnej informacji w jakim okresie certyfikat był ważny
2. W systemie nie ma również konkretnej informacji do kogo należny składany podpis



Następnie napisałem do HD SOFTIQ: (wcześniej wprowadziłem jednak w błąd piszac, że odpowedz była z Ministerstwa, informacja uzyskaliśmy jednak przez SOFTIQ (teraz dokładnie zweryfikowałem wszystko przez historię zgłoszeń) - przepraszam za mój błąd

Szanowni Państwo,
uprzejmie informujemy, że 24 sierpnia 2018 r. wygasła ważność certyfikatu, którym podpisywane były wnioski elektroniczne wysyłane za pomocą Profilu Zaufanego. Certyfikat został odnowiony przez Ministerstwo Cyfryzacji, nie powodując przerw w wysyłaniu wniosków, jednak w związku ze zmianą certyfikatu, przy weryfikacji w Państwa Systemach Dziedzinowych podpisów wniosków wysłanych przed 24 sierpnia 2018 r. może pojawić się informacja o błędnej weryfikacji podpisu. Uprzejmie prosimy o zignorowanie takiego komunikatu, wszystkie wnioski, które trafiają do Państwa Systemów Dziedzinowych są weryfikowane przez MRPiPS pod kątem ważności podpisu w momencie podpisywania wniosku. Weryfikacja podpisu przez Państwa nie jest obowiązkowa
=============================================

2018-08-31 12:00:12 [Wpis wykonany przez użytkownika - ]
Skoro "Weryfikacja podpisu przez Państwa nie jest obowiązkowa" to dlaczego została dodana w systemie? zatem nie wymaga również rozbudowy
=============================================

2018-10-04 14:01:54 [Wpis wykonany przez użytkownika - ]
w związku z informacjami przesłanymi przez ministerstwo czyli " Dziedzinowych są weryfikowane przez MRPiPS pod kątem ważności podpisu w momencie podpisywania wniosku. Weryfikacja podpisu przez Państwa nie jest obowiązkowe" - uznajemy nasze zgłoszenie za bezzasadne i prosimy o zamknięcie zgłoszenia.
=============================================



Błędnie zweryfikowanym wniosków w systemie na chwile obecna mamy kilka, dotyczą DS i SW Dotyczą okresu od 24.08.2018 ostatni błędny jest w 29.08.2019
Dotyczą większości BNP, kilka MBK, GET oraz portalu Emp@tia. Wszystkie to ten sam komunikat, Certyfikat podpisujący nie jest ważny w weryfikowanym czasie. Być moze na etapie składania wniosku był on jeszcze ważny, po odebraniu już przez OPS wygasł. Chyba jednak powinno byc to inaczej rozwiązane w SD nie sadzi Pan?

Ale w jakim celu po stronie SD mamy weryfikować wnioski skoro w informacji było jasno napisane

Weryfikacja podpisu przez Państwa nie jest obowiązkowa


Dalej panie Marku, dlaczego podpis nei jest weryfikowany w SD automatycznie przy pobieraniu wniosku? skoro miałby byc obowiązkowy, przez Sygnity mozę to wprowadzić, dalej, dlaczego nie ma żadnej informacji kiedy był weryfikowany i dokładnych danych podpisu w systemie SD, po stronie Sd nawet daty podpisu nie widzimy
naitsyrk85
GWIAZDA
GWIAZDA

Poprzednia

Wróć do SW "500plus"

Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości

cron