Σε ΦΕΚ δημοσιεύθηκε απόφαση του υπουργού Ψηφιακής Διακυβέρνησης Κυριάκου Πιερακάκη με την οποία οι φορείς του δημοσίου τομέα δύνανται να αξιοποιούν ειδική υπηρεσία αυθεντικοποίησης για την είσοδο των υπαλλήλων τους στις ψηφιακές εφαρμογές. Η υπηρεσία φέρει τίτλο «Υπηρεσία αυθεντικοποίησης Χρηστών Δημόσιας Διοίκησης oAuth2.0.PA».
ΔΕΙΤΕ ΑΝΑΛΥΤΙΚΑ ΤΗΝ ΑΠΟΦΑΣΗ
Άρθρο 1
Υπηρεσία αυθεντικοποίησης Χρηστών Δημόσιας Διοίκησης (oAuth2.0.PA)
- Oι φορείς του δημοσίου τομέα δύνανται να αξιοποιούν ειδική υπηρεσία αυθεντικοποίησης για την είσοδο των υπαλλήλων τους στις ψηφιακές εφαρμογές κατά την άσκηση των υπηρεσιακών τους καθηκόντων, η οποία φέρει τίτλο «Υπηρεσία αυθεντικοποίησης Χρηστών Δημόσιας Διοίκησης oAuth2.0.PA».
- Στους φορείς του δημοσίου τομέα περιλαμβάνονται όσοι χαρακτηρίζονται ως τέτοιοι στην παρ. 57 του άρθρου 2 του ν. 4727/2020. Χρήστες της υπηρεσίας αυθεντικοποίησης μπορεί να είναι δημόσιοι λειτουργοί, δημόσιοι υπάλληλοι (πολιτικοί, στρατιωτικοί και δικαστικοί), καθώς και το πάσης φύσεως προσωπικό των φορέων του δημοσίου τομέα.
- Η υπηρεσία συνίσταται στη δημιουργία και χρήση ειδικών κωδικών διαπιστευτηρίων και παρέχεται από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (Γ.Γ.Π.Σ.Δ.Δ.) του Υπουργείου Ψηφιακής Διακυβέρνησης, η οποία αποθηκεύει και τηρεί τους κωδικούς στις υποδομές της.
- Οι κωδικοί – διαπιστευτήρια αποδίδονται στους χρήστες, προκειμένου για την είσοδο σε ψηφιακές δημόσιες υπηρεσίες, στις οποίες έχουν δικαίωμα πρόσβασης δυνάμει ειδικής εξουσιοδότησης από τον φορέα απασχόλησης τους.
- Η υπηρεσία αυθεντικοποίησης μπορεί να αξιοποιείται για κάθε εσωτερική ή εξωτερική ψηφιακή εφαρμογή ή πληροφοριακό σύστημα, το οποίο διαχειρίζεται ο εκάστοτε φορέας για την παροχή ψηφιακών δημοσίων υπηρεσιών από αυτόν, καθώς και για την έκδοση δημοσίων εγγράφων και την εκπλήρωση αιτημάτων που υποβάλλονται από φυσικά ή νομικά πρόσωπα ή νομικές οντότητες με ηλεκτρονικό ή μη τρόπο, που γίνεται από τους δημοσίους φορείς με μερικώς ή πλήρως αυτοματοποιημένο τρόπο με την υποστήριξη ΤΠΕ.
Άρθρο 2
Δημιουργία και διαχείριση κωδικών διαπιστευτηρίων στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης»
- Η υπηρεσία αυθεντικοποίησης λειτουργεί με τη χρήση κωδικών διαπιστευτηρίων που δημιουργούνται στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης.
- Για τη δημιουργία κωδικών διαπιστευτηρίων, ο υπάλληλος συνδέεται με τη χρήση των κωδικών διαπιστευτηρίων της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης (κωδικοί TAXISnet) στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» και αιτείται τη δημιουργία υπηρεσιακού λογαριασμού. Ο υπάλληλος καλείται να επιλέξει όνομα χρήστη και κωδικό πρόσβασης (κωδικοί – διαπιστευτήρια), σύμφωνα με τις προδιαγραφές ασφαλείας της εφαρμογής.
- Η εφαρμογή αντλεί από το φορολογικό μητρώο που διαχειρίζεται η ΑΑΔΕ, αποθηκεύει στον νέο λογαριασμό τον ΑΦΜ, το ονοματεπώνυμο, το πατρώνυμο, το μητρώνυμο και την ημερομηνία γέννησης του υπαλλήλου.
- Πριν την ολοκλήρωση της δημιουργίας λογαριασμού, η εφαρμογή επαληθεύει την ιδιότητα του χρήστη ως υπαλλήλου του φορέα μέσω διαλειτουργικότητας με το Μητρώο Ανθρώπινου Δυναμικού Ελληνικού Δημοσίου ΑΠΟΓΡΑΦΗ) του Υπουργείου Εσωτερικών.
- Η εφαρμογή παρέχει στον κάτοχο του λογαριασμού δυνατότητα αλλαγής του κωδικού πρόσβασης (password).
- Σε περίπτωση απώλειας των κωδικών διαπιστευτηρίων δημόσιας διοίκησης, ο υπάλληλος μπορεί να συνδεθεί στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» για να ανακτήσει το όνομα χρήστη και να θέσει εκ νέου τον κωδικό πρόσβασης.
- Η εφαρμογή παρέχει στον κάτοχο του λογαριασμού τη δυνατότητα απενεργοποίησης του λογαριασμού και εκ νέου ενεργοποίησης του.
- Η πρόσβαση στην εφαρμογή «Κωδικοί Δημόσιας Διοίκησης» για δημιουργία, απενεργοποίηση, ενεργοποίηση λογαριασμού και αλλαγή κωδικού πρόσβασης γίνεται με αυθεντικοποίηση δύο παραγόντων, εφόσον έχει προηγηθεί πιστοποίηση δεύτερου παράγοντα ταυτοποίησης για τον υπάλληλο στον μηχανισμό αυθεντικοποίησης της Γενικής Γραμματείας Πληροφοριακών Συστημάτων Δημόσιας Διοίκησης του Υπουργείου Ψηφιακής Διακυβέρνησης.
- Σε περίπτωση λύσης της σχέσης του υπαλλήλου με τον φορέα του δημοσίου τομέα ή σε κάθε άλλη περίπτωση που ενδείκνυται να παύσει η δυνατότητα πρόσβασης του υπαλλήλου στις ψηφιακές δημόσιες υπηρεσίες, όπου χρησιμοποιούνται οι κωδικοί διαπιστευτήρια δημόσιας διοίκησης της παρούσας, η αρμόδια Διεύθυνση Προσωπικού υποβάλλει έγγραφο αίτημα απενεργοποίησης του λογαριασμού του υπαλλήλου προς τη Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. Στο έγγραφο αίτημα απενεργοποίησης πρέπει να περιλαμβάνονται, κατ’ ελάχιστον, ο ΑΦΜ και το ονοματεπώνυμο του υπαλλήλου. Η Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. απενεργοποιεί τους κωδικούς του υπαλλήλου. Σε αυτή την περίπτωση, η εκ νέου ενεργοποίηση γίνεται μόνο από τη Διεύθυνση Υποστήριξης Λειτουργίας Συστημάτων Δημόσιας Διοίκησης της Γ.Γ.Π.Σ.Δ.Δ. και εφόσον λάβει έγγραφο αίτημα ενεργοποίησης από την αρμόδια Διεύθυνση Προσωπικού του φορέα απασχόλησης του υπαλλήλου.
Άρθρο 3
Λειτουργία υπηρεσίας αυθεντικοποίησης χρηστών Δημόσιας Διοίκησης
- Κάθε φορέας, συνεκτιμώντας τις υπηρεσιακές ανάγκες και το επίπεδο ασφαλείας που απαιτείται να τηρεί ανάλογα με τη φύση των παρεχόμενων υπηρεσιών και των αντίστοιχων δεδομένων, δύναται να υποβάλει αίτημα στη Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τα οριζόμενα της παρ. 3, για την αξιοποίηση της υπηρεσίας αυθεντικοποίησης κατά τη χρήση των δικών του πληροφοριακών συστημάτων ή εφαρμογών (back office).
- Εφόσον υπάρχει απαίτηση αυξημένου επιπέδου ασφαλείας κατά την αυθεντικοποίηση, ο φορέας δύναται να αιτηθεί από τη Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τα οριζόμενα της παρ. 3, και να αξιοποιήσει υπηρεσία αυθεντικοποίησης δύο παραγόντων για τη χρήση στα πληροφοριακά του συστήματα και εφαρμογές (back office).
- Το αίτημα των προηγούμενων παρ. 1 και 2 υποβάλλεται από εξουσιοδοτημένο υπάλληλο του ενδιαφερόμενου φορέα στην Εφαρμογή Διαχείρισης Αιτημάτων Διαλειτουργικότητας (Ε.Δ.Α.) του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ., σύμφωνα με τη διαδικασία που περιγράφεται στην υπό στοιχεία 118944 ΕΞ 2019 απόφαση του Υπουργού Επικρατείας (Β΄ 3990).
- Κάθε φορέας καθορίζει, με δική του ευθύνη και σύμφωνα με το πλαίσιο οργάνωσης και λειτουργίας που τον διέπει, συγκεκριμένους υπαλλήλους για τη χρήση συγκεκριμένων ψηφιακών εφαρμογών. Εναπόκειται, περαιτέρω, στην ευθύνη του κάθε φορέα να διασφαλίζει ότι μόνον οι ειδικώς καθορισμένοι χρήστες έχουν πρόσβαση σε εκάστη εφαρμογή μέσω της χρήσης των κωδικών διαπιστευτηρίων δημόσιας διοίκησης.
- Με την εισαγωγή από τον χρήστη των κωδικών διαπιστευτηρίων πριν την πρόσβαση στην εκάστοτε ψηφιακή υπηρεσία, η υπηρεσία αυθεντικοποίησης θα επιστρέφει στο πληροφοριακό σύστημα του φορέα:
α) τον ΑΦΜ του υπαλλήλου και β) τα βασικά στοιχεία του υπαλλήλου, ήτοι όνομα, επώνυμο, πατρώνυμο, μητρώνυμο και έτος γέννησης. Εφόσον τα στοιχεία αναγνωρίζονται ως έγκυρα, θα επιτρέπεται η πρόσβαση του υπαλλήλου στην εφαρμογή.
Άρθρο 4
Εμπιστευτικότητα κωδικών διαπιστευτηρίων
- Ο υπάλληλος, στον οποίο αποδίδονται κωδικοί διαπιστευτηρίων, οφείλει να λαμβάνει όλα τα προσήκοντα μέτρα για την εμπιστευτικότητα των κωδικών.
- Ο υπάλληλος, στον οποίο αποδίδονται κωδικοί διαπιστευτηρίων, οφείλει να ειδοποιεί αμελλητί τον φορέα απασχόλησης του και τη Γ.Γ.Π.Σ.Δ.Δ. για οποιαδήποτε παραβίαση της εμπιστευτικότητας ή ηλεκτρονική ενέργεια έλαβε χώρα χωρίς τη γνώση του, καθώς και για οποιοδήποτε άλλο πρόβλημα, όπως, ενδεικτικά, αποκάλυψη, κλοπή ή απώλεια των κωδικών, που ενδέχεται να φέρει κινδύνους για την εύρυθμη και ασφαλή λειτουργία των ψηφιακών δημόσιων υπηρεσιών.
Άρθρο 5
Οργανωτικά και τεχνικά μέτρα ασφάλειας και προστασία δεδομένων προσωπικού χαρακτήρα
- Η διάθεση της υπηρεσίας αυθεντικοποίησης Δημόσιας Διοίκησης στους φορείς του δημοσίου τομέα διενεργείται σύμφωνα με την Πολιτική Ορθής Χρήσης Διαδικτυακών Υπηρεσιών του Κέντρου Διαλειτουργικότητας, με το ισχύον Πλαίσιο Ασφάλειας Πληροφοριακών Συστημάτων της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης και τις διατάξεις περί προστασίας δεδομένων προσωπικού χαρακτήρα.
- Η αξιοποίηση των διαδικτυακών υπηρεσιών του άρθρου 2 διενεργείται μέσω του Κέντρου Διαλειτουργικότητας της Γ.Γ.Π.Σ.Δ.Δ. του Υπουργείου Ψηφιακής Διακυβέρνησης.
- Τα διαπιστευτήρια του χρήστη δεν γίνονται γνωστά στους Φορείς που αξιοποιούν την υπηρεσία αυθεντικοποίησης.
- Οι φορείς που αξιοποιούν τον μηχανισμό αυθεντικοποίησης υποχρεούνται να τηρούν μητρώο εξουσιοδοτήσεων ανά ψηφιακή εφαρμογή, στο οποίο καταχωρούν τα στοιχεία των υπαλλήλων που έχουν εξουσιοδοτήσει για τη χρήση της συγκεκριμένης ψηφιακής εφαρμογής.
- Οι φορείς υποχρεούνται να ελέγχουν την πρόσβαση των υπαλλήλων στις ψηφιακές εφαρμογές σύμφωνα με το μητρώο που τηρούν.
ΔΗΜΟΣΙΟ, ΠΙΕΡΑΚΑΚΗΣ, ΥΠΗΡΕΣΙΑ ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗΣ