1 / 19

PIONIER.Id – sprawy formalne

PIONIER.Id – sprawy formalne. Tomasz Wolniewicz, UCI IMK. Poruszane tematy. Terminologia używana w Regulaminie Zadania Operatora PIONIER.Id Zadania operatora regionalnego Ważniejsze zapisy dotyczące członków PIONIER.Id Ważniejsze zapisy dotyczące Dostawców Usług PIONIER.Id

joaquin-perez
Download Presentation

PIONIER.Id – sprawy formalne

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. PIONIER.Id – sprawy formalne Tomasz Wolniewicz, UCI IMK

  2. Poruszane tematy • Terminologia używana w Regulaminie • Zadania Operatora PIONIER.Id • Zadania operatora regionalnego • Ważniejsze zapisy dotyczące członków PIONIER.Id • Ważniejsze zapisy dotyczące Dostawców Usług PIONIER.Id • Procedury rejestracji SP i IdP • Wzory dokumentów • Aspekty przetwarzania danych osobowych

  3. Terminologia • Członek PIONIER.Id • instytucja o charakterze badawczo-naukowym, która zamierza występować w roli IdP • może dodatkowo oferować własne usługi, czyli występować w roli SP • Partner PIONIER.Id • usługodawca usługi internetowej, który chce skorzystać z federacyjnego zarządzania tożsamością • Operator PIONIER.Id • PCSS, jako operator PIONIER-a • Regionalny operator PIONIER.Id • opcjonalna rola reprezentująca PIONIER.Id pełniona przez operatora MAN

  4. Terminologia (2) • Instytucja uwierzytelniająca (IdP) • W zależności od kontekstu: • Instytucja, która umożliwia swoim użytkownikom logowanie do usług oferowanych przez Federację; • Instalacja serwera uwierzytelniającego użytkowników. • W trakcie procesu logowania do usługi, użytkownicy są przekierowywani na stronę IdP, gdzie wprowadzają swoje dane logowania. IdP przekazuje zalogowanego użytkownika do usługi, jednocześnie przesyłając pewien zestaw danych o użytkowniku. • Dostawca Usługi (SP) • W zależności od kontekstu: • Instytucja dostarczająca usługę świadczoną drogą elektroniczną, korzystająca z mechanizmów logowania federacyjnego; • Instalacja usługi elektronicznej, korzystająca z mechanizmów logowania federacyjnego.

  5. Zadania Operatora PIONIER.Id • koordynowanie rozwoju Federacji PIONIER.Id w Polsce; • nadzorowanie wdrażania i przestrzegania Regulaminu przez członków i partnerów Federacji PIONIER.Id; • przyjmowanie deklaracji w sprawie partnerstwa Federacji; • przyjmowanie deklaracji w sprawie członkostwa w Federacji od podmiotów będących bezpośrednimi abonentami sieci PIONIER; • przyjmowanie deklaracji w sprawie członkostwa w Federacji od abonentów sieci członków Konsorcjum PIONIER w przypadkach, gdy właściwa dla danej sieci jednostka wiodąca nie podjęła roli Regionalnego Operatora Federacji;

  6. Zadania Operatora PIONIER.Id • koordynowanie obsługi zdarzeń niepożądanych (nadużyć prawa, etykiety itp.) związanych z działaniem PIONIER.Id; • świadczenie wsparcia służbom technicznym podmiotów będących członkami i partnerami PIONIER.Id; • prowadzenie krajowego serwera metadanych Federacji na potrzeby członków i parterów Federacji oraz współpracy międzyfederacyjnej; • prowadzenie serwisu informacyjnego Federacji; • udział w ciałach koordynujących międzynarodowy rozwój technologii i usług Federacyjnego Zarządzania Tożsamością; • reprezentowanie Federacji PIONIER.Id w działaniach o charakterze między-federacyjnym.

  7. Zadania Operatora PIONIER.Id - zastrzeżenia • Operator PIONIER.Id nie świadczy wsparcia technicznego użytkownikom końcowym Federacji PIONIER.Id; • Operator PIONIER.Id nie uczestniczy w procesach przetwarzania danych osobowych związanych z procedurami uwierzytelnienia i autoryzacji i nie bierze żadnej odpowiedzialności za ewentualne naruszenia przepisów o ochronie danych osobowych mogących być wynikiem tych procesów.

  8. Zadania operatora regionalnego • W przeciwieństwie do eduroam, operator regionalny nie prowadzi żadnego serwera, w zasadzie stanowi tylko punkt kontaktowy dla swoich abonentów i udziela lokalnego wsparcia technicznego. • Funkcja Operatora Regionalnego jest całkowicie opcjonalna i nie występuje w oczekiwaniach projektu MAN-HA • Operatora regionalnego dotyczą te same zastrzeżenia co do odpowiedzialności, jak w przypadku Operatora Federacji

  9. Ważniejsze zapisy dotyczące członków PIONIER.Id • Tylko członkowie mają prawo do prowadzenia IdP • Członkowie mają prawo do rejestrowania własnych SP • Członkowie MUSZĄ posiadać lokalne regulaminy korzystania z usług dostępnych poprzez Federację • Członkowie MUSZĄ prowadzić wsparcie lokalne dla swoich użytkowników • Członkowie MUSZĄ udostępnić operatorowi opis procedur zarządzania kontami użytkowników, a Operator musi te procedury zaakceptować jako zgodne z warunkami PIONIER.Id • Członkowie z zasady powinni być abonentami sieci MAN, ale regulamin dopuszcza odstępstwo od tej zasady, przewidując odpłatność za usługę

  10. Obowiązki po stronie IdP • Identyfikatory użytkowników końcowych MUSZĄ być powiązane z osobami fizycznymi, a proces przydzielania identyfikatora MUSI potwierdzać fakt, że jest on przydzielany osobie • IdP MUSI być przygotowany na udostępnianie atrybutu zawierającego stały dla danego SP identyfikator użytkownika (identyfikatora pseudoanonimowego) • IdP MUSI przez co najmniej 6 miesięcy przechowywać logi systemowe pozwalające na jednoznaczne zidentyfikowanie użytkownika końcowego

  11. Ważniejsze zapisy dotyczące Dostawców Usług PIONIER.Id • Dostawca Usługi MUSI uzyskać od Operatora PIONIER.Id akceptację procedur zarządzania tożsamością (zazwyczaj te procedury stanowią element Polityki Prywatności) • Dostawca Usługi MUSI opublikować procedurę prywatności • Nie ma żadnych ograniczeń co do lokalizacji Partnera, ani sposobu w jaki jest przyłączony do Internetu • Z tytułu partnerstwa w PIONIER.Id, czy rejestracji usługi nie są pobierane żadne opłaty

  12. Dokumenty • Obowiązujące dokumenty są dostępne na stronie federacji: http://aai.pionier.net.pl/index.php?page=dokumenty • Regulamin Federacji • opisuje podstawowe pojęcia i kwestie formalne • Warunki techniczne Federacji • parametry techniczne, opisy protokołów, kluczy zabezpieczających, logów systemowych itp. • Deklaracja Partnera i Członka • Wnioski rejestracji IdP i SP

  13. Procedura rejestracji IdP • Tylko Członkowie Federacji mogą zarejestrować serwer Dostawcy Tożsamości. • Warunki rejestracji serwera Dostawcy Tożsamości: • członek Federacji instaluje serwer zgodny z SAML2; • odpowiednio umocowany przedstawiciel Członka Federacji zgłasza chęć rejestracji serwera za pośrednictwem kontaktu technicznego Federacji PIONIER.Id; • administratorzy PIONIER.Id sprawdzają warunki przewidziane regulaminem, a w szczególności lokalny regulamin korzystania z usług dostępnych za pośrednictwem Federacji oraz procedur zarządzania tożsamością; • po zweryfikowaniu warunków oraz pozytywnym zakończeniu testów technicznych dane serwera Dostawcy Tożsamości są dodawane do zbioru metadanych Federacji PIONIER.Id. • opcjonalnie dokonuje się rejestracji Dostawcy Tożsamości w eduGAIN

  14. Procedura rejestracji SP • Członkowie i Partnerzy Federacji PIONIER.Id mogą zarejestrować dowolną liczbę serwerów Dostawcy Usług. • Warunki rejestracji serwera Dostawcy Usługi: • Członek lub Partner Federacji instaluje serwer zgodny z SAML2; • odpowiednio umocowany przedstawiciel Członka lub Partnera Federacji zgłasza chęć rejestracji serwera za pośrednictwem kontaktu technicznego Federacji PIONIER.Id; • administratorzy PIONIER.Id sprawdzają warunki przewidziane regulaminem, a w szczególności politykę przetwarzania i ochrony danych osobowych pozyskiwanych w procesach uwierzytelniania i autoryzacji federacyjnego zarządzania tożsamością; • po zweryfikowaniu warunków oraz pozytywnym zakończeniu testów technicznych dane serwera Dostawcy Usług są dodawane do zbioru metadanych Federacji PIONIER.Id. • opcjonalnie dokonuje się rejestracji Dostawcy Usługi w eduGAIN

  15. Przykładowe dokumenty • politykaprywatności • Katalog KaRo • Lokalny regulamin korzystania z usług Federacji • Regulamin UMK • Zalecenia dotyczące bezpieczeństwa logowania • Zalecenia UMK • Procedura zarządzania kontami użytkowników • Konta pracowników UMK

  16. Przetwarzanie danych osobowych • Przekazywanie atrybutów musi być rozpatrywane w kontekście ochrony danych osobowych • Federacja będzie przygotowywała domyślne filtry atrybutów, ale odpowiedzialność za ostateczną politykę leży po stronie IdP • Filtry atrybutów będą z zasady przygotowywane tylko dla Dostawców Usług należących do PIONIER.Id, dostawcy pochodzący z eduGAIN muszą podlegać specyficznemu traktowaniu (więcej w części o konfederacjach) • Wydaje się celowe uruchamianie usługi zgody na przekazanie danych, dobrze, aby taka usługa pokazywała informację o dostawcy usługi, a jeszcze lepiej, gdyby dawała link do polityki prywatności publikowanej przez taką usługę.

  17. Przetwarzanie danych osobowych – identyfikator pseudoanonimowy • pseudoanonimowyIdentyfikatorUżytkonika jednoznacznie identyfikuje Użytkownika Końcowego, ale przypisanie rzeczywistej tożsamości może być dokonane wyłącznie przez Dostawcę Tożsamości, który jest prawnie zobowiązany do zachowania tajemnicy i nieudostępniania danych nikomu poza uprawnionymi organami. • Opinia GIODO dostępna pod adresem http://www.giodo.gov.pl/319/id_art/2258/j/pl/stwierdza między innymi: Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę. Do czasu, gdy podmiot nie uzyska pewności, że sam nie jest w stanie łączyć adresu IP z innymi danymi identyfikującymi osobę, powinien zabezpieczać adres IP tak jakby był on daną osobową.

  18. Przetwarzanie danych osobowych – identyfikator pseudoanonimowy • W kontekście powyższego: • Pomiędzy pseudoanonimowymIdentyfikatoremUżytkownika a adresem IP występuje pełna analogia. • Dostawca Usługi Sieciowej, o ile sam nie jest Dostawcą Tożsamości dla danego Użytkownika Końcowego, nie ma dostępu do żadnych dodatkowych danych łączących pseudoanonimowyIdentyfikatorUżytkownika z innymi danymi identyfikującymi osobę. • W konsekwencji należy wnioskować, że podobnie jak w opisanej wyżej sytuacji, pseudoanonimowyIdentyfikatorUżytkownika nie będzie uznawany za dane osobowe, a zatem takie identyfikatory mogą być udostępniane Dostawcom Usług Sieciowych bez ograniczeń nakładanych przez ustawodawstwo dotyczące ochrony danych osobowych, a logi systemowe Dostawców Usług Sieciowych, o ile nie zawierają innych danych pozwalających na zidentyfikowanie użytkownika, nie są traktowane jako zbiory danych osobowych.

More Related