De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten Kruispuntbank van de Sociale Zekerheid KSZ-BCSS.

Verwante presentaties


Presentatie over: "Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten Kruispuntbank van de Sociale Zekerheid KSZ-BCSS."— Transcript van de presentatie:

1 Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten Kruispuntbank van de Sociale Zekerheid KSZ-BCSS

2 2 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Plan van de uiteenzetting n interoperabele ICT op basis van een dienst- georiënteerde architectuur (service oriented architecture – SOA) n overzicht van een aantal aangeboden basisdiensten -gebruikers- en toegangsbeheer -ticketing en ontvangstmedling -persoonlijke pagina’s -logging -customer relationship management (CRM) n status questionis inzake aanvaarde mandaten om op te treden namens ondernemingen en burgers

3 3 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Interoperabele ICT n dienstgeoriënteerde architectuur (SOA – Service Oriented Architecture) n gelaagd n gebaseerd op open standaarden of minstens open specificaties n gebaseerd op componenten n modulair n flexibel n uitbreidbaar n veilig

4 4 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Dienstgeoriënteerde architectuur “Service Oriented Architecture (SOA) is a paradigm for organizing and utilizing distributed capabilities that may be under the control of different ownership domains. It provides a uniform means to offer, discover, interact with and use capabilities to produce desired effects consistent with measurable preconditions and expectations. Enterprise architects believe that SOA can help businesses respond more quickly and cost- effectively to the changing market conditions. This style of architecture promotes reuse at the macro (service) level rather than micro levels (eg. objects). It also makes interconnection of existing IT assets trivial.” (OASIS Reference Group)

5 5 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gelaagde architectuur Basisdiensten Toepassingen Presentatie Businessdiensten Gegevens

6 6 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Open specificaties en open standaarden n open specificatie: specificatie die voldoende is om een volledig functionerende toepassing te schrijven en vrij is van juridische beperkingen die de verspreiding en het gebruik bemoeilijken n open standaard: open specificatie die goedgekeurd is door een onafhankelijke standaardenorganisatie n voornaamste internationale, onafhankelijke standaardenorganisaties -International Organization for Standardization (ISO) (http://www.iso.org)http://www.iso.org -World Wide Web Consortium (W3C) (http://www.w3.org)http://www.w3.org -OASIS (http://www.oasis-open.org)http://www.oasis-open.org

7 7 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Open specificaties en open standaarden n voorbeelden -karaktersets -interconnectie -uitwisseling van berichten -uitwisseling van documenten -opslag van berichten -opslag van documenten -compressie van documenten -beveiliging n zie bijvoorbeeld Pers/OpenstandaardenNL_FEDICT.pdf Pers/OpenstandaardenNL_FEDICT.pdf

8 8 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Componenten n welafgebakende, autonoom functionerende componenten n die op basis van een dienstgeoriënteerde architectuur onderling en met externe componenten interopereren via open standaarden n zodat een maximale flexibiliteit bestaat -om andere componenten aan te sluiten -om componenten toe te voegen -om componenten te vervangen door andere componenten -om componenten te hergebruiken voor andere doeleinden n in functie van -de evoluerende behoeften -de evoluerende technologische mogelijkheden n zonder impact op de bestaande componenten n met beroep op open concurrentie voor de uitbouw van de aan te sluiten, toe te voegen of te vervangen componenten

9 9 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gegevens en informatie n persoonsgegevens -volgens taakverdeling opgeslagen en beheerd in onderling complementaire authentieke gegevensbanken n niet-persoonsgebonden informatie -modulair en up to date opgeslagen in algemeen toegankelijke content management systemen -met gestandaardiseerde metadata, gebaseerd op gestandaardiseerde thesauri -met scheiding van inhoud, metadata en vorm (hergebruiken, niet herschrijven) -onderwerpbaar aan automatische reïndexatie

10 10 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gegevens en informatie n beleids- en onderzoeksondersteunende informatie -door samenbrengen van gegevens uit operationele systemen in datawarehouses -met benaderingsmogelijkheden van gegevens via verschillende dimensies en granulariteitsgraden -met krachtige exploratie-, analyse- en visualisatietools -bij voorkeur in real time (on line analytical processing – OLAP)

11 11 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Basisdiensten n componenten die een generieke dienst aanbieden aan elke businessdienst die ze wil gebruiken n toegevoegde waarde -besparing op ontwikkelings- en exploitatiekost: develop once, use many -biedt de ontwikkelaars van businessdiensten en toepassingen de mogelijkheid om zich op de businessdiensten te concentreren -coherentie voor de gebruikers over de onderscheiden toepassingen heen -vergemakkelijkt het aanbod en de monitoring van processen en procesketens

12 12 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Basisdiensten n gebruikers- en toegangsbeheer voor burgers, ondernemingen en beroepsbeoefenaars n elektronische handtekening n transformatie van formaten n ticketing en ontvangstmelding n time stamping n routing n statusbeheer n orchestratie n logging n persoonlijke pagina’s n customer relationship management (CRM) n...

13 13 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Basisdiensten user & access mgt electroni c signature ticketin g/ receipt transfor -mation … orches- tration logging persona l pages

14 14 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Businessdiensten en toepassingen n ontwikkeling van businessdiensten door coördinatie van componenten en gebruik van de basisdiensten n ontwikkeling van toepassingen afgestemd op de behoeften van de onderscheiden soorten gebruikers door coördinatie van businessdiensten n waarbij dezelfde componenten en basisdiensten kunnen worden gebruikt worden voor het ontwikkelen van verschillende businessdiensten, en dezelfde businessdiensten voor het ontwikkelen van verschillende toepassingen

15 15 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Toepassingen Application Orchestration Enterprise Application Integration Exposed services Consulted services Application Enterprise Service Bus Clients Providers

16 16 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Toepassingsintegratie via web services Web service: softwarecomponent die een eenduidig zelfbeschreven functionaliteit aanbiedt en gedistribueerd aangeroepen wordt door gebruik te maken van standaard internettechnologie web services repository (WSDL) web services client web services provider UDDI (registratie web service)(opzoeken web service) UDDI XML/SOAP

17 17 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Toepassingsintegratie in federale overheid n middlewareomgevingen -Enterprise Application Integration omgeving in sociale sector, beheerd door de Kruispuntbank van de Sociale Zekerheid -Universal Messaging Engine (FEDICT), met evolutie naar Federal Service Bus -CommunicatieCentrum van de Federale Fiscaliteit (CCFF) in uitbouw in de FOD Financiën -Enterprise Application Integration omgeving in uitbouw in de FOD Justitie in het kader van het Fenix-project n onderling verbonden netwerken -extranet van de sociale zekerheid tussen instellingen van sociale zekerheid -FEDMAN tussen federale overheidsdiensten -extranets van andere overheidsniveaus -internet en daarop virtuele private netwerken

18 18 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Presentatie-integratie: portaalsites n web sites n met geïntegreerde presentatie van -informatie, bij voorkeur beheerd in content management systemen -transacties n met single log on of single sign on n eventueel ondersteund door customer relationship management tools

19 19 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Presentatie-integratie: portaalsites n gepersonaliseerd, intentiegericht of doelgroepgericht -gepersonaliseerd •look & feel en interface •inhoud (enkel relevante informatie en transacties) •gepersonaliseerde ondersteuning, bvb. –gebruik van beschikbare persoonsgegevens –contextgevoelige hulp aangepast aan de gebruiker (bvb. tekst, mondelinge uitleg, hulp bij het gebruik van elektronische devices, procesbegeleiding,...) –eigen taal –aangepast vocabularium –on-line simulaties -intentie- of doelgroepgericht •gebeurtenissen (vb. geboorte, huwelijk, opstart van een bedrijf,...) •levensdomeinen (vb. cultuur, sport,...) •sociale status (vb. werknemer, werkloze, gepensioneerde,...) of bedrijfssector •doelgroepen

20 20 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Portaalsites: niet gebruikers •burgers •ondernemingen leveranciers partners personeel tussenpersonen PORTAL A •single sign on •personalisatie •gebruikersgroepen •multi-channel •aggregatie back-end systemen, vb. •ERP •groupware •DB’s •toepassingen transacties content management gebruikers- beheer PORTAL B •single sign on •personalisatie •gebruikersgroepen •multi-channel •aggregatie back-end systemen, vb. •ERP •groupware •DB’s •toepassingen content management transacties gebruikers- beheer

21 21 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Portaalsites: wel klanten •burgers •ondernemingen leveranciers partners personeel tussenpersonen back-end systemen, vb. •ERP •groupware •DB’s •toepassingen content management transacties PORTAL A •single sign on •personalisatie •gebruikersgroepen •multi-channel •aggregatie back-end systemen, vb. •ERP •groupware •DB’s •toepassingen transacties content management gebruikers- beheer gebruikers- beheer PORTAL B •single sign on •personalisatie •gebruikersgroepen •multi-channel •aggregatie

22 22 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Presentatie-integratie: contact center n multimodaal bereikbaar: telefoon, , formulier op portaal, … n ondersteund door customer relationship management tool OISZ Telefoon Contactcenter Eranova FODIntern

23 23 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Netwerk van dienstenintegratoren Internet Extranet gewest of gemeenscha p Extranet gewest of gemeenscha p FedMAN Diensten- cataloog FOD ISZ Diensten- cataloog Extranet sociale zekerheid ISZ GOD Diensten- cataloog VPN, Publilink, VERA, … Stad Provincie Gemeente Diensten- cataloog Diensten- integrator (FEDICT) Diensten- integrator (KSZ) Diensten- integrator

24 24 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Netwerk van dienstenintegratoren n soorten uitgewisselde informatie -gestructureerde gegevens -documenten -beelden -multimedia -metadata -business processen n op basis van web service technologie

25 25 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Netwerk van dienstintegratoren n mogelijke taken van een dienstenintegrator (KSZ, FEDICT, …) -organisatie gegevensbeheer, basis- en businessdiensten, toepassingsintegratie en presentatie-integratie -organisatie veilig interoperabiliteitsframework -gebruikers- en toegangsbeheer •lijst van gebruikers (mensen, ondernemingen, toepassingen, …) •bepaling van mogelijke authentiseringsmiddelen voor elke dienst •beheer van autorisaties –welke dienst is toegankelijk voor welke type van gebruiker m.b.t. welke personen/ondernemingen in welke hoedanigheden in welke situatie en m.b.t. welke periode •preventieve controle op naleving van de autorisaties •logging van uitwisseling van persoonsgegevens

26 26 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Netwerk van dienstenintegratoren n mogelijke taken van een dienstenintegrator -beheer van een verwijzingsrepertorium •welke personen/ondernemingen hebben een (elektronisch) dossier in welke hoedanigheden bij welke instanties m.b.t. welke periode •welke informatie is beschikbaar bij een bepaalde instantie wanneer zij een dossier beheert m.b.t. een bepaalde persoon/onderneming in een bepaalde hoedanigheid -beheer van een repertorium van de instanties die automatisch (wijzigingen van) gegevens wensen te verkrijgen •welke instanties wensen welke gegevens automatisch te verkrijgen in welke situaties m.b.t. welke personen/ondernemingen in welke hoedanigheden

27 27 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Naar een taakverdeling ? n federale overheid, openbare instellingen van sociale zekerheid (OISZ) die stelsels of takken beheren, gewesten en gemeenschappen -klemtoon op gegevens- en dienstenlagen, met als resultaat businessdiensten bruikbaar door lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen -desgewenst aanbod aan lokale besturen, meewerkende instellingen van sociale zekerheid en dienstverleners aan burgers en ondernemingen van standaardomgeving voor uitbouw toepassings- en presentatielaag

28 28 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Enkele aangeboden basisdiensten n gebruikers- en toegangsbeheer -begrippen -opfrissing werking elektronische identiteitskaart (EID) -policy enforcement model -huidige situatie -enkele evoluties n ticketing en ontvangstmelding n persoonlijke pagina’s n customer relationship management (CRM)

29 29 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gebruikers/toegangsbeheer - begrippen n entiteit: iemand die of iets dat moet kunnen worden geïdentificeerd, zoals een natuurlijk persoon, een onderneming, een vestiging van een onderneming, een machine of een toepassing n attribuut: een deeltje informatie over een entiteit n identiteit: een uniek nummer of een reeks attributen van een entiteit dat toelaat om eenduidig te weten wie de entiteit is; een entiteit heeft één en slechts één identiteit n kenmerk: een attribuut van een entiteit, ander dan de attributen die de identiteit van de entiteit bepalen, zoals een hoedanigheid, een functie in een bepaalde organisatie, een beroepskwalificatie,...; een entiteit kan verschillende kenmerken hebben

30 30 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gebruikers/toegangsbeheer - begrippen n mandaat: een recht verstrekt door een geïdentificeerde entiteit aan een andere geïdentificeerde entiteit om in zijn naam en voor zijn rekening welbepaalde juridische handelingen te stellen n registratie: het proces waarbij de identiteit, een kenmerk van een entiteit of een mandaat met een voldoende zekerheid wordt vastgesteld, vooraleer middelen ter beschikking worden gesteld aan de hand waarvan de identiteit, een kenmerk of een mandaat kunnen worden geauthentiseerd of geverifieerd

31 31 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gebruikers/toegangsbeheer - begrippen n authenticatie van de identiteit: het proces waarbij wordt nagegaan of de identiteit die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, de juiste identiteit is; authenticatie van een identiteit kan geschieden op basis van een controle -van kennis (vb. een paswoord) -van een bezit (vb. een certificaat op een elektronisch leesbare kaart) -van biometrische eigenschappen -van een combinatie van één of meerdere van deze middelen

32 32 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gebruikers/toegangsbeheer - begrippen n verificatie van een kenmerk of een mandaat: het proces waarbij wordt nagegaan of een kenmerk of een mandaat die een entiteit beweert te hebben om gebruik te kunnen maken van een elektronische dienst, effectief een kenmerk of een mandaat van deze entiteit is; verificatie van een kenmerk of een mandaat kan geschieden op basis van -dezelfde soort middelen als deze gebruikt voor de authenticatie van de identiteit -na authenticatie van de identiteit van een entiteit, door de raadpleging van een gegevensbank waarin kenmerken of mandaten m.b.t. een geïdentificeerde entiteit worden opgeslagen

33 33 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Gebruikers/toegangsbeheer - begrippen n autorisatie: een toelating voor een entiteit om een welbepaalde actie te verrichten of een welbepaalde dienst te gebruiken n autorisatiegroep: een groep van autorisaties n rol: een groep van autorisaties of autorisatiegroepen gerelateerd aan een welbepaalde dienst n role based access control (RBAC): een methode waarbij de toewijzing van autorisaties aan entiteiten geschiedt via autorisatiegroepen en rollen, om het beheer van de autorisaties en de toewijzing ervan aan entiteiten administratief te vereenvoudigen Entiteit Autorisatie (groep) Rol Dienst

34 34 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Elektronische identiteitskaart

35 35 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Elektronische identiteitskaart (EID) n weerhouden functies -visuele en elektronische identificatie van de houder -elektronische authenticatie van de identiteit van de houder d.m.v. techniek van digitale handtekening -plaatsen van elektronische handtekening d.m.v. techniek van digitale handtekening n geen opslag van andere elektronische gegevens, maar bevorderen van gecontroleerde toegang tot gegevens via netwerken, met elektronische identiteitskaart als toegangsinstrument -vermijden van perceptie van kaart als ‘big brother’ -vermijden van verlies van veel gegevens bij verlies van de kaart -vermijden van nood tot veelvuldige updating van de kaart

36 CA publieke sleutel digitale handtekening 36 Kruispuntbank van de Sociale Zekerheid 04/07/2006

37 37 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 EID – enkele begrippen n authenticatiecertificaat: authenticatie van identiteit – gebruik vereist ingave van paswoord, eenmaal per sessie n handtekeningcertificaat: plaatsen van juridisch geldige elektronische handtekening – gebruik vereist ingave van paswoord telkens een elektronische handtekening wordt geplaatst n gemeenten vervullen de functie van registratie- autoriteit (RA): ‘loket' waar certificaat wordt aangevraagd en dat nagaat of opgegeven identiteit juist is; zo ja, keurt ze aanvraag goed, en meldt dit aan certificatie-autoriteit

38 38 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 EID – enkele begrippen n Certipost vervult de functie van certificatie-autoriteit (CA): produceert op basis van de informatie die ze van de RA heeft verkregen een certificaat, dat ze verbindt met een sleutelpaar en dat aangeeft wat dat sleutelpaar voortaan bewijst, en beheert dat certificaat

39 39 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 EID 1. Receive message 3. Check CRL/OCSP 5. Fetch public key 7. Compute reference hash 2. Inspect certificate 4. Check certificate 6. Fetch signature 8. Hash, signature, public key match? Matching triplet? CRL Alice hash Bob 3, Compose message3. Generate signature5. Collect certificate 2. Compute hash4. Collect signature6. Send message Alice hash Alice

40 40 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 EID n EID -elektronische identificatie en authenticatie van de identiteit van de natuurlijke personen ouder dan 12 jaar die zijn ingeschreven in de bevolkingsregisters -elektronische handtekening van die personen n nog nood aan een oplossing voor de elektronische identificatie en de authenticatie van de identiteit van de personen -jonger dan 12 jaar -die niet in de bevolkingsregisters ingeschreven zijn n aanvullingen zijn ook nodig voor een volledig, geïntegreerd gebruikersbeheer, bvb. -verificatie van relevante kenmerken (vb. geneesheer, notaris, …) van een natuurlijke persoon -verificatie van een mandaat tussen een rechtspersoon of natuurlijke persoon waarop een elektronische dienst betrekking heeft en de persoon die deze dienst gebruikt -autorisaties tot het gebruik van de diensten

41 41 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Policy Enforcement Model Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy Autorisatie (PAP) Ophalen Policies Authentieke bron Policy Informatie (PIP) Informatie Vraag/ Antwoord Policy repository Actie op toepassing GEWEIGERD Beheerder Autorisatie beheer Authentieke bron

42 42 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Policy Enforcement Point (PEP) n onderscheppen van de autorisatieaanvraag met alle beschikbare informatie inzake de gebruiker, de gevraagde actie, de resources en de omgeving n de autorisatieaanvraag doorsturen naar het Policy Decision Point (PDP) en een autorisatiebeslissing afdwingen n toegang verlenen tot de toepassing en relevante credentials meegeven Gebruiker Policy Toepassing (PEP) Toepassing Policy Beslissing(PDP) Actie op toepassing Beslissings aanvraag Beslissings antwoord Actie op toepassing TOEGESTAAN Actie op toepassing GEWEIGERD

43 43 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Policy Decision Point (PDP) n op basis van de ontvangen autorisatieaanvraag de passende autorisation policy opzoeken in de Policy Administration Point(s) (PAP) n de policy evalueren en, zo nodig, de relevante informatie ophalen uit de Policy Information Point(s) (PIP) n de autorisatiebeslissing (permit/deny/not applicable) nemen en doorsturen naar het PEP Policy Toepassing (PEP) Policy Beslissing(PDP) Beslissings aanvraag Beslissings antwoord Policy Informatie (PIP) Vraag / Antwoord Policy Autorisatie (PAP) Ophalen Policies Policy Informatie (PIP) Informatie Vraag/ Antwoord Informatie

44 44 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Policy Administration Point (PAP) n omgeving voor het bewaren en beheren van de autorisation policies door de bevoegde perso(o)n(en) aangeduid door de verantwoordelijke voor de toepassing n ter beschikking stellen van de autorisation policies aan het PDP PDP PAP Ophalen Policies Beheerder Autorisatie beheer Policy repository

45 45 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Policy Information Point (PIP) n ter beschikking stellen aan het PDP van informatie voor het beoordelen van de autorisation policies (authentieke bronnen met kenmerken, mandaten, …) PDP PIP1 Informatie Vraag/ Antwoord Authentieke bron PIP2 Authentieke bron Informatie Vraag/ Antwoord

46 46 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Principe van "cirkels van vertrouwen" n doel -vermijden van onnodige centralisatie -vermijden van onnodige bedreigingen voor de bescherming van de persoonlijke levenssfeer -vermijden van meervoudige identieke controles en opslag van loggings n methode: taakverdeling tussen de bij elektronische dienst- verlening betrokken instanties met duidelijke afspraken inzake -wie welke authenticaties, verificaties en controles verricht aan de hand van welke middelen en daarvoor verantwoordelijk en aansprakelijk is -hoe tussen de betrokken instanties de resultaten van de verrichte authenticaties, verificaties en controles op een veilige wijze elektronisch worden uitgewisseld -wie welke loggings bijhoudt -hoe ervoor wordt gezorgd dat bij onderzoek, op eigen initiatief van een controle-orgaan of n.a.v. klacht, een volledige tracing kan geschieden van welke natuurlijke persoon welke dienst of transactie m.b.t. welke burger of onderneming wanneer, via welk kanaal en voor welke doeleinden heeft gebruikt

47 47 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie – algemene principes n er wordt een onderscheid gemaakt tussen 4 doelgroepen -burgers -medewerkers van de instellingen van sociale zekerheid (ISZ) -ondernemingen -andere actoren betrokken bij de sociale sector n de beschikbare informatie en transacties zijn ingedeeld op basis van een risico-analyse, en de vereiste procedures van registratie en authenticatie van de identiteit zijn afhankelijk van het vereiste niveau van veiligheid -5 niveaus voor burgers en medewerkers van de instellingen van sociale zekerheid -4 niveaus voor ondernemingen (geen apart niveau met gebruik van tokens)

48 48 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie burgers n een burger krijgt op heden enkel toegang tot -openbare informatie en transacties -niet-openbare transacties m.b.t. zichzelf n dus enkel nood aan -registratie van de identiteit -authenticatie van de identiteit op een niveau aangepast aan de graad van gevoeligheid van de transactie n (vooralsnog) geen -verificatie van kenmerken -verificatie van mandaten -beheer van autorisaties

49 49 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie burgers NivRegistratie identiteitAuthenticatie identiteit Toepassingen 0geen openbare info/transacties 1online door ingave Rijksregister- nummer, nummer identiteitskaart en nummer SIS-kaart gebruikersnummer en paswoord gekozen door gebruiker info/transacties van lage gevoeligheid logging 2niveau 1 + verzending met activerings-url naar door burger opgegeven adres en verzending papieren token naar hoofdverblijfplaats burger in Rijksregister niveau 1 + ingave van 1 aleatoir gevraagde string vermeld op het token (bevat 24 strings) info/transacties van gemiddelde gevoeligheid logging 3fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + paswoord per sessie info/transacties van hoge gevoeligheid logging 4fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + handtekening- certificaat op EID + paswoord per transactie transacties die elektronische handtekening vereisen

50 50 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Token

51 51 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie medewerkers ISZ n registratie en authenticatie van de identiteit -idem als voor burgers -bij niveau 2 wordt het token evenwel opgestuurd naar de veiligheidsconsulent van de instelling van sociale zekerheid waarvan de betrokkene een medewerker is en door die veiligheidsconsulent aan de medewerker overhandigd n registratie kenmerk van medewerker van een instelling van sociale zekerheid -ingave door de veiligheidsconsulent van de betrokken instelling van sociale zekerheid in een PIP bij FEDICT (in de toekomst in de sociale sector)

52 52 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie medewerkers ISZ n verificatie kenmerk van medewerker van een instelling van sociale zekerheid -raadpleging PIP bij FEDICT (in de toekomst in de sociale sector) -indien gebruik van token, ook aleatoir gevraagde string vermeld op het token n registratie autorisatie -ingave door de veiligheidsconsulent van de betrokken instelling van sociale zekerheid in de PAP bij SmalS-MvM (voor portaal) of bij de KSZ (voor diensten aangeboden door de KSZ) (in de toekomst integratie van beide PAP’s) n verificatie autorisatie -raadpleging van autorisatie in PAP bij SmalS-MvM of bij de KSZ op basis van de informatie die na de raadpleging van de PIP wordt doorgegeven

53 53 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Registratie vakantiekas 1 Min van Financiiën Sociale zekerheid agency department RJV vakantiekas 1 RJV vakantiekas 2 RJV vakantiekas 3 registratie autorisatie (PAP’s SmalS-MvM en KSZ) KSZ RJV vakantiekas 2 vakantiekas 3 Min van Financiën registratie medewerker instelling sociale zekerheid (PIP FEDICT) RJV NIC

54 54 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie ondernemingen NivRegistratie identiteitAuthenticatie identiteit Toepassingen 0geen openbare info/transacties 1lokale beheerder: brief vanwege de onderneming waarvoor de betrokkene als lokale beheerder optreedt andere medewerkers: validatie door de lokale beheerder gebruikersnummer en paswoord info/transacties van lage gevoeligheid logging 2fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + paswoord per sessie info/transacties van hoge gevoeligheid logging 3fysieke aanmelding bij de gemeente voor verwerving EID authenticatie-certificaat op EID + handtekening- certificaat op EID + paswoord per transactie transacties die elektronische handtekening vereisen

55 55 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie ondernemingen n registratie mandaat en autorisatie om namens een onderneming/dienstverlener info/transacties te gebruiken -ingave door RSZ in eigen PIP van •mandaat van een lokale beheerder van een onderneming om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties •mandaat van dienstverlener (erkend sociaal secretariaat of andere dienstverlener) om in naam en voor rekening van een onderneming gebruik te maken van beveiligde info/transacties •mandaat van een lokale beheerder van een dienstverlener om in naam en voor rekening van een dienstverlener gebruik te maken van beveiligde info/transacties -ingave door de lokale beheerder van een onderneming/dienstverlener in PIP van RSZ van •mandaat van andere aangestelden van een onderneming/dienstverlener om in naam of voor rekening van een onderneming/dienstverlener gebruik te maken van alle of bepaalde beveiligde info/transacties

56 56 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie ondernemingen de onderneming wordt vertegenwoordigd door een natuurlijk persoon, de lokale beheerder, waarvan zij de identiteit schriftelijk meedeelt aan de RSZ de RSZ kent aan de lokale beheerder een gebruikers- nummer en paswoord toe de lokale beheerder -heeft zelf toegang tot alle beveiligde toepassingen, naargelang het beveiligingsniveau, met het gebruikersnummer en paswoord of de EID als middel voor de authenticatie van zijn identiteit -kan gebruikersnummers en paswoorden toekennen aan andere gebruikers binnen de onderneming om hun identiteit te authentiseren bij het gebruik van laag beveiligde info/transacties -kan autorisaties inbrengen voor andere gebruikers binnen de onderneming de lokale beheerder moet een persoon zijn waarvoor de onderneming uiteindelijk verantwoordelijk is en die onder het rechtstreeks gezag staat van de onderneming -dus wel: een werknemer, de zaakvoerder, een bestuurder,... -maar niet: een externe boekhouder, … Onderneming Lokale beheerder Gebruikers Alleen eigen gegevens

57 57 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie ondernemingen n een onderneming kan via een ondertekend mandaat overgemaakt aan de RSZ een dienstverlener aanduiden, die voor haar rekening de beveiligde toepassingen mag gebruiken n de onderneming blijft de verantwoordelijke voor de verwerking in de zin van de Wet Verwerking Persoonsgegevens; de dienstverlener is een verwerker in de zin van die wet n tussen de onderneming en de dienstverlener moet dus een overeenkomst bestaan, die voldoet aan de eisen van artikel 16 Wet Verwerking Persoonsgegevens (zorgvuldige keuze, toezicht, bepalen van de voorwaarden en van de aansprakelijkheid,...) n de dienstverlener kan een rechtspersoon (bvb. een sociaal secretariaat) of natuurlijk persoon (bvb. een boekhouder) zijn

58 58 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Dienstverleners van ondernemingen Onderneming Lokale beheerder Gebruikers Alleen gegevens van ondernemingen aan- gesloten bij het betrokken sociaal secretariaat Lastgeving (RSZ-repertorium) Sociaal secretariaat

59 59 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Dienstverleners van ondernemingen Onderneming Lokale beheerder Gebruikers Alleen gegevens van ondernemingen waarvoor de contractuele band geregistreerd werd Dienstverlener Contractuele band (RSZ-repertorium) RechtspersoonNatuurlijk persoon =

60 60 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Veiligheidsniveaus ondernemingen n zie gebruikersreglement goedgekeurd door Beheerscomité KSZ n niveau 0: openbare transacteis, bvb. -DIMONA via het portaal en de vocale server -detacheringsaanvragen -werkmelding -raadpleging werkgeversrepertorium -raadpleging inhoudingsplicht en hoofdelijke aansprakelijkheid bouwsector n niveau 1: enkel toegankelijk mits ingave gebruikersnummer en paswoord of EID, bvb. -raadpleging van de E-box -raadpleging van het personeelsbestand -kwartaalaangifte en het doorsturen van voorstellen tot wijziging ervan via het portaal -aangifte van sociale risico’s via het portaal n niveau 2 enkel toegankelijk mits EID -raadpleging en de wijziging van de kwartaalaangifte via het portaal -alle toepassingen via file transfer •DIMONA •kwartaalaangifte en (voorstellen tot) wijzigingen ervan •aangiften sociale risico’s •aanvragen tot detachering (Gotot)

61 61 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Huidige situatie – andere actoren sociale sector n bvb. gemeenten, OCMW’s, notarissen, gerechtsdeurwaarders, … n toegang via het extranet -gebruik van gebruikers- en toegangsbeheer van de medewerkers van de instellingen van sociale zekerheid n toegang via het internet -voorlopig gebruik van het gebruikers- en toegangsbeheer van de ondernemingen -vanaf vierde kwartaal 2006: gebruik van het gebruikers- en toegangsbeheer van de medewerkers van de instellingen van sociale zekerheid, indien mogelijk met externe PIP’s

62 62 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Welk beveiligingsniveau kiezen ? n beslissing komt primair toe aan degene die de elektronische dienst of transactie ter beschikking stelt, onder controle van het Beheerscomité van de KSZ (gebruikersreglement) en het sectoraal comité van de sociale zekerheid n in aanmerking te nemen criteria -soort verwerking: mededeling, raadpleging, wijziging, … -personeel toepassingsgebied van de transactie: verwerking van de sociale gegevens van enkel de gebruiker of ook van andere personen -vertrouwelijkheidsgraad van de soorten verwerkte gegevens -homogeniteit van het veiligheidsniveau per gebruikerscategorie -impact van de verwerking op het netwerk van de sociale zekerheid n bovenop het gewenste beveiligingsniveau kan het gebruik van de elektronische handtekening ook worden vereist om de instelling tegen elke latere betwisting te behoeden

63 63 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Enkele gewenste evoluties n systematische toepassing van het policy enforcement model n uitbouw van PIP m.b.t. kenmerk van medewerker van een instelling van sociale zekerheid binnen sociale sector n mogelijkheid tot gebruik van externe PAP’s en PIP’s voor bvb. -zorgverstrekkers -medewerkers van het gerecht (bvb. notarissen, gerechtsdeurwaarders, …) -medewerkers van gemeenten -…

64 64 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Enkele gewenste evoluties n systematisch aanbod van eigen ontwikkelde PAP’s en PIP’s voor gebruik door derden, bvb. -medewerkende instellingen van sociale zekerheid -FOD’s en POD’s n goede coördinatie van PAP’s en PIP’s met consequente toepassing van het policy enforcement model tussen -federale overheid -sociale sector -gewesten en gemeenschappen -provinciale en lokale besturen -…

65 65 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Ticketing en ontvangstmelding n elke transactie krijgt een uniek nummer of ticket n de toekenning van het ticket bewijst aan de gebruiker dat de transactie werd geregisteerd n het ticket wordt gebruikt om de transactie uniek te identificeren -in de ontvangstmelding naar de gebruiker, bvb. voor verwijzing in geval van problemen -in de logging -bij een eventueel beroep op het contact center

66 66 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 E-box en persoonlijke pagina’s n wat ? -beveiligde ruimte om documenten elektronisch en veilig ter beschikking te stellen van een gebruiker -gekoppeld aan de mogelijkheid om een mail te versturen naar de gebruikers met de vermelding dat een document ter beschikking is, met een opname van de url in de mail (push) -documenten kunnen worden ter beschikking gesteld •ofwel door een portaaltransactie •ofwel door een instelling van sociale zekerheid, via de KSZ indien nodig n hoe toegankelijk ? -wordt automatisch gecreëerd voor elke gebruiker -toegankelijk via het portaal van de sociale zekerheid -met gebruik van systeem van gebruikers- en toegangsbeheer

67 67 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 E-box en persoonlijke pagina’s n huidige situatie -E-box voor de ondernemingen •één E-box per onderneming •gebruikers- en toegangsbeheer van ondernemingen •lokale beheerder beheert toegangen, met mogelijkheid tot selectiviteit in functie van de toepassing die het document aanmaakt -persoonlijke pagina voor de medewerkers van de sociale zekerheid •één persoonlijke pagina per medewerker van een instelling van sociale zekerheid en één persoonlijke pagina per instelling •gebruikers- en toegangsbeheer van de medewerkers van de instelingen van sociale zekerheid •elke medewerker heeft toegang tot alle documenten op zijn persoonlijke pagina •elke medewerker heeft toegang tot de soorten documenten op de persoonlijke pagina van zijn instelling waartoe de veiligheidsconsulent van de instelling hem toegang verleent

68 68 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 E-box en persoonlijke pagina’s n huidige situatie -persoonlijke pagina voor de burger •één persoonlijke pagina per burger •gebruikers- en toegangsbeheer van de burgers •elke burger heeft toegang tot alle documenten op zijn persoonlijke pagina •nog niet gebruikt in productie

69 69 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Logging n wat ? -bewaren •welke persoon of toepassing, geïdentificeerd aan de hand van een uniek identificatienummer •wanneer (datum en tijd) •over wie, geïdentificeerd aan de hand van het identificatienummer van de sociale zekerheid, het KBO-nummer of het RSZ-nummer •welk bericht of welke transactie geïdentificeerd aan de hand van het uniek ticketnummer heeft gebruikt •welke bewerking werd uitgevoerd (aanmaak, raadpleging, wijziging, lijst, …) •met welk resultaat (OK, NOK) •geen logging van de inhoudelijk uitgewisselde gegevens !!! n de relevantie van de inhoud van de loggings behoort steeds tot de verantwoordelijkheid van de eigenaar van de toepassing in overeenstemming met de policy uitgewerkt in het Algemeen Coördinatiecomité

70 70 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Logging en cirkels van vertrouwen A B C D LOG BEHEER DOOR A LOG BEHEER DOOR B LOG BEHEER DOOR B Vertrouwensinstelling A Vertrouwensinstelling B Vertrouwensinstelling C & D LOG BEHEER DOOR C LOG BEHEER DOOR D VOLLEDIGE LOGGIN = A + B + C / D

71 71 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Logging – stand van implementatie n basiscomponent SecurityLog -implementatie in de front-end van de toepassing of van een andere basisdienst op het portaal van de sociale zekerheid -reeds gebruikt voor alle toepassingen op het portaal van de sociale zekerheid die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid n IRIS-toepassing -beschikbaar op het portaal van sociale zekerheid -raadpleging van loggings van alle portaaltoepassingen en de GDAUT-transacties die gebruikt worden door de medewerkers van de instellingen van sociale zekerheid door (elk voor de gebruikers waarop zij toezicht uitoefenen) •de veiligheidsconsulenten van de instellingen uit het primaire netwerk van de KSZ •de verantwoordelijken van de sociale inspectiediensten, in het kader van beraadslaging 04/032 van het Sectoraal Comité -met de EID als authenticatiemiddel van de identiteit van de gebruiker

72 72 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 IRIS-toepassing (vragen TP + Toepassing Web, SEBA. et Webservice Portaal Toepassing op Siemens Systeem Toepassing op Stratus Systeem Toepassing C/S Tuxedo Diensten Log NATREG, RIP, WREP, DUC,... Log LATG, DMFA Log toegang DB ATCE et ADABAS) Log RKW, FAO, RIP,... Samensmelting + verwerking en invoer (SAS) Gegevens, gebruikers, toepassingen, instellingen, logging. webtoepassing IRIS Portail SZ Toepassing SP 11 (Lotus Notes) Diensten Log Dimona Lotus notes) Process creatie CD-ROM Process voorbereiding Web toepassing. (SAS) Dagelijkse Hergroepering (DMFA wekelijks) Toegang toepassing IRIS via UMAF

73 73 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Customer relationship management n geïntegreerd beheer van de relatie met de gebruiker over de kanalen en diensten heen n gekoppeld aan gebruikers- en toegangsbeheer, basis voor een personalisatie of doelgroepbenadering en gebruik van push-mechanismen n levert feedback voor de permanente verbetering van de dienstverlening

74 74 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Status questionis mandaten n mandaten voor de ondernemingen worden geregeld door gebruikersreglement n mandaten voor burgers: beraadslaging nr. 95/58 van 24 oktober 1995 van het Toezichtscomité bepaalt onder welke voorwaarden een lasthebber de sociale persoonsgegevens van een natuurlijke persoon– lastgever mag meegedeeld krijgen

75 75 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Beraadslaging nr. 95/58 n mededeling is toegelaten aan lasthebber die -beschikt die over een schriftelijke lastgeving die vermeldt •de identificatiegegevens van de lastgever en lasthebber •de handtekening van de lastgever •de soorten sociale persoonsgegevens die de lasthebber mag verkrijgen •de doeleinden waarvoor deze gegevens door de lasthebber mogen worden verwerkt •de duur van de lastgeving -beschikt over een stilzwijgende lastgeving volgens de volgende voorwaarden •de lasthebber is een belangenvereniging waarvan de lastgever lid is of waarbij de lastgever aangesloten is, bvb. een vakbond, een ziekenfonds, een vereniging van gepensioneerden, een organisatie van zelfstandigen, een vereniging van gehandicapte personen, … •de lastgever levert het bewijs van lidmaatschap of aansluiting aan de hand van objectieve feiten, bvb. door vermelding van het aansluitingsnummer van de lastgever of andere elementen

76 76 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Evolutie ? n verenigingen die krachtens een stilzwijgende lasthebber willen optreden nemen leden of aangeslotenen op in een PIP n PIP van leden of aangeslotenen voldoet aan voorwaarden om aanvaard te worden binnen het systeem van de cirkels van vertrouwen n gebruikte transacties worden gelogd n er wordt nagegaan of de beraadslaging nr. 95/58 moet worden aangepast

77 77 Kruispuntbank van de Sociale Zekerheid KSZ-BCSS 04/07/2006 Voor meer informatie n portaal van de sociale zekerheid -https://www.socialsecurity.behttps://www.socialsecurity.be n websites over elektronische identiteitskaart -http://eid.belgium.behttp://eid.belgium.be -http://www.cardreaders.be/en/default.htmhttp://www.cardreaders.be/en/default.htm n website Kruispuntbank van de Sociale Zekerheid -http://www.ksz.fgov.behttp://www.ksz.fgov.be n persoonlijke website Frank Robben -http://www.law.kuleuven.ac.be/icri/frobbenhttp://www.law.kuleuven.ac.be/icri/frobben

78 u ! Vragen ? 78 Kruispuntbank van de Sociale Zekerheid 04/07/2006


Download ppt "Naar een dienstgeoriënteerde architectuur en het gemeenschappelijk gebruik van basisdiensten Kruispuntbank van de Sociale Zekerheid KSZ-BCSS."

Verwante presentaties


Ads door Google