Zasady bezpieczeństwa e-PUAP

Właśnie otrzymałem od Centrum Projektów Informatycznych MSWiA dokument "Zasady bezpieczeństwa e-PUAP" przygotowany przez Michała Tabora i Przemysława Momota z TICons i firmowany przez InfoVide Matrix.

Historia tego dokumentu jest dość ciekawa - trafiłem na wzmiankę o nim w ankiecie przesłanej przez Polskę do unijnego projektu IDABC (eID interoperability for PEGS).

Występował tam pod tytułem "The security rules for ePUAP - WKP (ver. 1.02, from August, 23th, 2006)" i tej formie wymieniłem go we wniosku o dostęp do informacji publicznej przesłanym do CPI na początku czerwca.

Dokument zainteresował mnie ze względu na dyskutowane tam warianty uwierzytelnienia użytkowników systemu ePUAP - jest rok 2006 a w kraju nadal wiodący głos ma lobby "podpis kwalifikowany über alles". Tymczasem w rozdziale 6 można znaleźć rozsądne rozważania nad parametrami różnych metod uwierzytelnienia w odniesieniu do różnych grup użytkowników.

Jako ciekawostkę dodam, że we wspomnianej ankiecie IDABC ktoś z Polski zaraportował także, że administracja publiczna stosuje uwierzytelnienie użytkowników przy pomocy haseł jednorazowych SMS. Czy rzeczywiście ktoś tego używa czy też do Brukseli raportujemy rzeczywistość nieco podkoloryzowaną?