tuv-iso-logo tuv-iso-27001-logo
  • 29/04/2020

Τρόπος αυθεντικοποίησης χρηστών για τις ηλεκτρονικές υπηρεσίες της ψηφιακής πύλης της Δημόσιας Διοίκησης

Γράφει ο Στάθης Δημ. Σταματελόπουλος, Νομικός Συνεργάτης Ε.Ε.Α.

Δημοσιεύτηκε στο ΦΕΚ Β 1611/27-4-2020, η υπ. αριθμ. 10238 ΕΞ 2020 απόφαση του Υπουργού Επικρατείας, με την οποία καθορίζεται ο τρόπος της αυθεντικοποίησης των χρηστών για τη χρήση των ηλεκτρονικών υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, είτε μέσω των διαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων της Δημόσιας Διοίκησης, είτε μέσω των διαπιστευτηρίων των Πιστωτικών Ιδρυμάτων, προκειμένου οι πολίτες να μπορούν να προβούν ηλεκτρονικά, τόσο σε υπεύθυνη δήλωση, όσο και σε εξουσιοδότηση, σύμφωνα και με τα οριζόμενα στην παρ. 3 του άρθρου εικοστού πέμπτου της από 20.3.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α 68), όπως αυτή κυρώθηκε με το άρθρο 1 του Ν. 4683/2020 (ΦΕΚ Α 83) και τροποποιήθηκε με το τριακοστό όγδοο άρθρο της από 13.4.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α 84).

Όπως διευκρινίζεται και στο προοίμιο της σχετικής υπουργικής απόφασης, η έκδοση αυτής αποβλέπει στην κάλυψη της ανάγκης παροχής βελτιωμένου επιπέδου ηλεκτρονικών υπηρεσιών προς τους πολίτες και τις επιχειρήσεις, μέσω της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, με τη χρήση διαδικτυακών υπηρεσιών αυθεντικοποίησης, μέσω των υποδομών των πιστωτικών ιδρυμάτων, που πληρούν τις εγγυήσεις ασφάλειας του Ν. 4537/2018 (Α 84), με στόχο την επίτευξη ενός ασφαλούς και έμπιστου περιβάλλοντος για την ορθή διεκπεραίωση των υπηρεσιών αυτών, αλλά και την ανάγκη διασφάλισης ορθής χρήσης των ηλεκτρονικών υπηρεσιών της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης και ειδικότερα της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης.

Το Υπουργείο Ψηφιακής Διακυβέρνησης βεβαιώνεται περί της ταυτότητας του χρήστη, που εισέρχεται στις ηλεκτρονικές υπηρεσίες, της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, εφόσον έχει προηγηθεί η ταυτοποίηση του χρήστη, είτε μέσω των κωδικών/διαπιστευτηρίων της Γ.Γ.Π.Σ.Δ.Δ., είτε μέσω των κωδικών/ διαπιστευτηρίων των πιστωτικών ιδρυμάτων.

Ειδικότερα, η ως άνω Υπουργική Απόφαση προβλέπει τα εξής:

Στο άρθρο 1 ορίζεται ότι, οι χρήστες της Ενιαίας Ψηφιακής Πύλης αποκτούν πρόσβαση στις υπηρεσίες της, αφού προηγουμένως προβούν σε επαλήθευση/επιβεβαίωση της ταυτότητάς τους (αυθεντικοποίηση), με τη χρήση των κωδικών-διαπιστευτηρίων, είτε της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης (taxisnet), είτε μέσω των συστημάτων ηλεκτρονικής τραπεζικής (ebanking) των πιστωτικών ιδρυμάτων .

Στο άρθρο 2 διευκρινίζεται ότι, στην έννοια των χρηστών περιλαμβάνονται τα φυσικά πρόσωπα, που δρουν, είτε ατομικά για τα ίδια, είτε με την ιδιότητα του νόμιμου εκπροσώπου νομικού προσώπου, ή νομικής οντότητας και προβλέπεται ότι, για την επιτυχή ολοκλήρωση της αυθεντικοποίησης, το φυσικό πρόσωπο χρησιμοποιεί αποκλειστικά τους προσωπικούς κωδικούς-διαπιστευτήρια, που του έχουν αποδοθεί, είτε από την Γ.Γ.Π.Σ.Δ.Δ., είτε από τα πιστωτικά ιδρύματα. Επισημαίνεται δε ότι, στην περίπτωση που χρησιμοποιηθούν τυχόν κωδικοί-διαπιστευτήρια φυσικού προσώπου, τα οποία έχουν αποδοθεί σε αυτό από τα πιστωτικά ιδρύματα, στο πλαίσιο της εκπροσώπησης νομικού προσώπου, ή νομικής οντότητας, η διαδικασία της αυθεντικοποίησης διακόπτεται.

Στο άρθρο 3 προβλέπεται η διαδικασία της αυθεντικοποίησης του χρήστη μέσω των διαπιστευτηρίων της Γ.Γ.Π.Σ.Δ.Δ. (taxisnet), εφόσον ο ίδιος το επιλέξει, ενώ στο άρθρο 4 προβλέπεται αντίστοιχα η διαδικασία αυθεντικοποίησης του χρήστη, μέσω διαπιστευτηρίων των πιστωτικών ιδρυμάτων ebaniking, κατόπιν επίσης επιλογής του χρήστη, δηλαδή με την χρήση των στοιχείων, που του έχουν χορηγηθεί για τις ηλεκτρονικές υπηρεσίες πληρωμών, που αυτός χρησιμοποιεί.

Συγκεκριμένα, ο χρήστης της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης μπορεί να χρησιμοποιήσει τους κωδικούς ηλεκτρονικής τραπεζικής (e-banking) του πιστωτικού ιδρύματος της επιλογής του, με σκοπό τη χρήση των υπηρεσιών της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης.

Στην περίπτωση αυτή, ειδική μέριμνα λαμβάνεται και στο ζήτημα της κάλυψης των βασικών απαιτήσεων ασφάλειας της αυθεντικοποίησης του χρήστη και για τον λόγο αυτό χρησιμοποιείται η ισχυρή αυθεντικοποίηση των χρηστών βασισμένη σε δύο, ή περισσότερα στοιχεία, που αφορούν γνώση, κατοχή και κάποιο μοναδικό φυσικό χαρακτηριστικό του χρήστη. Ειδικότερα, χρησιμοποιούνται πολλαπλοί παράγοντες αυθεντικοποίησης (multi factor authentication), όπως η χρήση των προσωπικών κωδικών εισόδου του χρήστη ηλεκτρονικών υπηρεσιών πληρωμών και η παράλληλη εφαρμογή κωδικών μιας χρήσης (όπως ενδεικτικά One Time Password ΟΤΡ, που αποστέλλονται στο κινητό τηλέφωνο του χρήστη, Push Notifications, Tokens).

Εφόσον ο χρήστης επιλέξει την διαδικασία της αυθεντικοποίησης, μέσω των κωδικών e- baniking, ο χρήστης θα μεταφέρεται στο περιβάλλον ηλεκτρονικών υπηρεσιών πληρωμών του πιστωτικού ιδρύματος της επιλογής του, όπου θα προβαίνει σε ισχυρή αυθεντικοποίηση με την καταχώριση : α) των προσωπικών κωδικών εισόδου που του έχει χορηγήσει το πιστωτικό ίδρυμα και β) του κωδικού μιας χρήσης (ενδεικτικά ΟΤΡ, Push Notifications, Tokens), που του αποστέλλει το πληροφοριακό σύστημα του πιστωτικού ιδρύματος. Στη συνέχεια, ο χρήστης θα ενημερώνεται για την διαβίβαση από το πιστωτικό ίδρυμα στο Υπουργείο Ψηφιακής Διακυβέρνησης των εξής δεδομένων προσωπικού χαρακτήρα:

Όνομα, επώνυμο, Αριθμό Φορολογικού Μητρώου (ΑΦΜ), αριθμό κινητού τηλεφώνου (εφόσον υπάρχει και χρησιμοποιείται από τον χρήστη για την διαδικασία αυθεντικοποίησης του από το πιστωτικό ίδρυμα), όπως τα δεδομένα αυτά είναι καταχωρημένα στο πιστωτικό ίδρυμα κατά τον χρόνο της διαβίβασης στο Υπουργείο Ψηφιακής Διακυβέρνησης.

Στο άρθρο 5 προβλέπονται και ρυθμίζονται ζητήματα επεξεργασίας προσωπικών δεδομένων των χρηστών, καθώς κατά την επεξεργασία των προσωπικών δεδομένων το Υπουργείο Ψηφιακής Διακυβέρνησης είναι ο Υπεύθυνος επεξεργασίας, ενώ τα πιστωτικά ιδρύματα, είναι Ανεξάρτητοι Υπεύθυνοι Επεξεργασίας. Ορίζεται δε ότι, η νομιμοποιητική βάση για την επεξεργασία των προσωπικών δεδομένων είναι το εικοστό πέμπτο άρθρο της από 20.3.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α 68), όπως κυρώθηκε με το άρθρο 1 του ν. 4683/2020 (ΦΕΚ Α 83) και τροποποιήθηκε με το τριακοστό όγδοο άρθρο της από 13.4.2020 Πράξης Νομοθετικού Περιεχομένου (ΦΕΚ Α 84).

Στο άρθρο 6 καθορίζονται οι διαδικασίες για την ασφάλεια και την προστασία των προσωπικών δεδομένων των χρηστών και ορίζεται ότι, το φυσικό πρόσωπο ενημερώνεται για τη διαβίβαση από το πιστωτικό ίδρυμα στο Υπουργείο Ψηφιακής Διακυβέρνησης των ως άνω προσωπικών δεδομένων, πριν την πραγματοποίηση της διαβίβασης.

Στο άρθρο 7 προβλέπεται ότι, το Υπουργείο Ψηφιακής Διακυβέρνησης και ειδικότερα η Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης έχει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας των λαμβανόμενων πληροφοριών και κατ’ ελάχιστον, την καταγραφή και παρακολούθηση των προσβάσεων, τη διασφάλιση ιχνηλασιμότητας και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση, καθώς και από σκόπιμη, ή τυχαία απειλή.

Επισημαίνεται δε ότι, η χρήση του αριθμού του  κινητού τηλεφώνου του χρήστη, θα πραγματοποιείται αποκλειστικά: α) για τον έλεγχο της ταύτισης του αριθμού επικοινωνίας, που δηλώνεται στην εξουσιοδότηση και την υπεύθυνη δήλωση με τον αριθμό κινητού τηλεφώνου, που έχει διαβιβαστεί από τα πιστωτικά ιδρύματα και σε περίπτωση που δεν ταυτίζονται η διαδικασία διακόπτεται και β) κατά την διαδικασία αυθεντικοποίησης του χρήστη για την αποστολή κωδικών μιας χρήσης (ενδεικτικά ΟΤΡ, Push Notifications, Tokens) από το Υπουργείο Ψηφιακής Διακυβέρνησης προς τον χρήστη, κατά την ολοκλήρωση της χρήσης υπηρεσίας υπεύθυνης δήλωσης, ή εξουσιοδότησης της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, ενώ επίσης προβλέπεται ότι, ο αριθμός κινητού τηλεφώνου μπορεί να χρησιμοποιηθεί από το Υπουργείο Ψηφιακής Διακυβέρνησης και ιδίως από την Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης, για την παροχή υπηρεσιών αυθεντικοποίησης, με την χρήση πολλαπλών παραγόντων αυθεντικοποίησης (multi factor authentication), για την πρόσβαση σε άλλες υπηρεσίες της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης.

Τέλος, στην ίδια απόφαση προβλέπεται ρητά ότι, τα διαπιστευτήρια του χρήστη στα συστήματα ηλεκτρονικής τραπεζικής (e-banking) των πιστωτικών ιδρυμάτων δεν γίνονται γνωστά στο Υπουργείο Ψηφιακής Διακυβέρνησης, ενώ παράλληλα και στα πιστωτικά ιδρύματα δεν διαβιβάζεται, μέσω της διαδικασίας αυθεντικοποίησης του χρήστη, από το Υπουργείο Ψηφιακής Διακυβέρνησης, κανένα δεδομένο προσωπικού χαρακτήρα, προσέτι δε επισημαίνεται ότι, σε καμία περίπτωση τα πιστωτικά ιδρύματα δεν λαμβάνουν γνώση του περιεχομένου της ηλεκτρονικής υπεύθυνης δήλωσης και της ηλεκτρονικής εξουσιοδότησης και εν γένει της υπηρεσίας της Ενιαίας Ψηφιακής Πύλης της Δημόσιας Διοίκησης, της οποίας ο χρήστης κάνει χρήση, κατόπιν της αυθεντικοποίησης του, κατά τα οριζόμενα στην ως ΄άνω υπουργική απόφαση.