Využití certifikátů při elektronické komunikaci s ČSSZ v aplikaci
Využití certifikátů při elektronické komunikaci s ČSSZ v aplikaci
Při elektronické komunikaci s ČSSZ jsou využívány tři certifikáty. Dva z nich se používají pro šifrování odesílaných zpráv, které obsahují osobní údaje. Pro každý směr komunikace se využívá jiný. Obecně platí, že zpráva je vždy zašifrována certifikátem (klíčem) příjemce zprávy. Příjemce zprávy za tímto účelem poskytuje odesílateli tzn. veřejný klíč, který slouží jednosměrně k zašifrování zprávy, kterou dokáže dešifrovat pouze příjemce. Třetí z certifikátů je podpisový a slouží k autentizaci odesílatele u zaměstnavatele.
To však neznamená, že by na stanicích uživatelů musely být nainstalovány tři certifikáty. Stačí, aby byly naistalovány dva, a v případě, že na straně zaměstnavatele je využíván certifikát umožňující elektronický podpis i šifrování, tak dostačuje pouze jeden takovýto certifikát.
Šifrovací certifikát ČSSZ
Certifikát vydává ČSSZ a poskytuje z tohoto certifikátu zaměstnavatelům veřejný klíč, který je pak použit k zašifrování zpráv. Tento veřejný klíč je zabudovaný přímo v aplikaci, proto není třeba jej na straně uživatelů aplikace instalovat. ČSSZ aktualizuje certifikát jednou ročně, jednou za tři roky, apod. (vydání r. 2025 - platnost do r. 2028)
Pokud jsou aplikací vytvořené XML soubory odesílány jiným způsobem, např. prostřednictvím produktu třetí strany, zajišťuje zašifrování komunikace tímto certifikátem - jeho veřejným klíčem, produkt třetí strany.
Šifrování se provádí z důvodu ochrany přenášených dat. Děje při odesílání vytvořených dat (XML souborů) z aplikace prostřednictvím těchto kroků:
- Odeslání e-Podání - KS ePodání
- Dotaz na eNeschopenku - DZDPN
- Odeslání žádosti / dotazu na eDNP DZNP25
Kvalifikovaný podpisový certifikát
- Slouží k identifikaci odesílatele - osoby oprávněné komunikovat s ČSSZ. Je tedy použit pro "elektronický podpis" zprávy.
- Jedná se o kvalifikovaný certifikát vystavený uznávanou certifikační autoritou (ICA), nebo o podpisový klíč ČSSZ.
- Před použitím musí být zaregistrován u ČSSZ (Oznámení kvalifikovaného certifikátu (ČSSZ)) a musí být v den komunikace časově platný.
Varianta 1 - podnikový certifikát
Všichni uživatelé budou odesílané soubory pro daný podnik (nebo i pro všechny podniky) podepisovat stejným podpisovým certifikátem. Daný certifikát pak musí být nainstalován na všech stanicích, které komunikaci s ČSSZ provádí.
Varianta 2 - uživatelské certifikáty
Každý uživatel bude k podepisování využívat svůj vlastní certifikát. V tomto případě musí být na příslušných stanicích provádějících komunikaci s ČSSZ k dispozici každému uživateli jeho příslušný certifikát na daném umístění definovaném v číselníku certifikátů. I tyto certifikáty musí být všechny registrovány na ČSSZ.
Pokud má uživatel v tomto číselníku zadán aspoň jeden záznam se systémovým účelem ePodání, bude v mu v oknech, kde se soubory odesílají, tento certifikát nabízen. Pokud zároveň existuje i podnikový certifikát definovaný rozšiřujícím parametrem, může si uživatel kdykoliv zvolit, který z nich chce použít. Poslední použitý certifikát je zapamatován a při novém otevření některého z oknech, kde se soubory odesílají, znovu předvolen.
Použití
- Jednotlivé agendy v aplikaci.
- Odesílání (KS ePodání)
- Žádost NP (desktop) Další akce /Vybrat pro podepisování uživatelský certifikát
Šifrovací certifikát
- Musí splňovat minimální požadavky pro šifrování dle NÚKIB.
- Veřejná část klíče je použita pro zašifrování dat (DZDPN, DZNP25) na straně ČSSZ.
- Privátní část musí být přítomna na stanici uživatele k dešifrování odpovědi.
Proto také platí, že podání, u kterých se následně přijímají odpovědi, tzn. eNeschopenka a eDNP (DZDPN, DZNP25), se musí stahovat se stejným certifikátem, se kterým se odesílal dotaz.
- CSSZ CERT SN PU (sk.13) - jako hodnota se vyplňuje komerční šifrovací nepodpisový certifikát (jeho sériové číslo). Jeho využití však není nutné.
Uživatelské i podnikové certifikáty, které primárně slouží k podepisování odeslaných podání, se mohou využít i pro šifrování zpráv, které odesílá ČSSZ zpět zaměstnavateli. Toto je však možné pouze u takových certifikátů, které jsou jeho vydavateli definovány tak, že kromě účelu podepisovaní dokumentů umožňují i šifrování, jak je vidět v obrázku. V tomto případě se hodnota parametru nevyplňuje.
Příklad
| směr | dokument | veřejná část certifikátu | Příklad dat | ||
| podpis | šifrování | před zašifrováním | po odšifrování | ||
| uživ. --> ČSSZ | NEMPRI25 | uživ. (P/P+Š) | ČSSZ | zde soubor | |
| uživ. <-- ČSSZ | potvrzení | OK/chyba | |||
| směr | dokument | veřejná část certifikátu | Příklad dat | ||
| podpis | šifrování | před zašifrováním | po odšifrování | ||
| uživ. --> ČSSZ | DZNPDotaz | uživ. (P/P+Š) | ČSSZ | zde soubor | |
| uživ. <-- ČSSZ | DZNPOdpoved | ČSSZ | uživ. (P/P+Š) | zde soubor | |
P - elektronický podpis, P+Š - elektronický podpis + šifrování
