Pokud půjde spojení z aplikačního serveru, musí se na server přenést privátní klíč příslušného úředníka.
Mám dojem, že to je/bude řešené stejně, jako bylo vyřešené potvrzování přijetí elektronickou podatelnou – buďto potvrzení „ručně“ podepíše živý úředník (včetně všech náležitostí souvisejících s kvalifikovaným certifikátem), nebo potvrzení automaticky podepíše systém systémovým certifikátem vydaným na jméno úřadu.
Nicméně jsem zvědavý, jak konkrétně bude realizovno přihlašování heslem, protože hesla se vydávají jen na existující fyzické osoby. Systém není fyzická osoba.
Tipuji, že úřad nechá zřídit uživatelský účet osobě odpovědné za provoz elektronické spisové služby, a ta bude vlastním krkem ručit, že její heslo vložené do systému nikdo nezíská. Vlk se nažere a koza zůstane celá.
Tak jsem si to našel (odstavec 1 § 29):
Vedou-li orgány veřejné moci spisovou službu elektronicky, činí tak způsobem umožňujícím doručování dokumentů a provádění úkonů prostřednictvím datové schránky, ledaže je z bezpečnostních důvodů nezbytné vést spisovou službu odděleně. Přístup do datové schránky prostřednictvím elektronického systému spisové služby nebo jiné elektronické aplikace třetí osoby je možné činit rovněž prostřednictvím systémového certifikátu za podmínek stanovených v provozní dokumentaci informačního systému datových schránek; v takovém případě se ustanovení o pověřených osobách nepoužijí, přístup prostřednictvím systémového certifikátu zahrnuje i přístup k dokumentům určeným do vlastních rukou adresáta.
Otázka je, jestli se druhé souvětí Přístup do datové schránky…
vztahuje jen na OVM, o kterých hovoří první souvětí, nebo (dle vašeho výkladu) na kohokoliv.
Pokud na všechny, tak i fyzická osoba si může nechat vystavit systémový certifikát (a dokonce ani nemusí být kvalifikovaný, on ani nemůže, protože kvalifikovaný se nesmí používat na šifrování) a může se přihlašovat jím bez současného použití hesla. Tudíž veškerá ustanovení o heslech jdou do kopru.
Tak nějak mi přijde, že se zákon nimrá v uživatelském webovém rozhraní, a přitom vůbec neřeší neinteraktivní webové rozhraní.
Otázka je, jaké špeky jsou v provozní dokumentaci ISDS.