Službeni glasnik BiH, broj 31/25
Ovaj akt nije unešen na bosanskom jeziku.
Na osnovu člana 98. i člana 99. stav (3) Zakona o upravi ("Službeni glasnik BiH", broj 32/02,102/09 i 72/17), a u skladu sa članom 9. stav (2) i članom 19. stav (2) tačka a) Zakona o Agenciji za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine ("Službeni glasnik BiH", broj 56/08) i člana 13. tačka l) Pravilnika o načinu pristupa evidencijama i razmjeni podataka ("Službeni glasnik BiH", broj 35/09 i 55/15), direktor Agencije za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine, donosi
UPUTSTVO
O TEHNIČKIM I OPERATIVNIM PRAVILIMA PRISTUPA SISTEMIMA AGENCIJE ZA IDENTIFIKACIONE DOKUMENTE, EVIDENCIJU I RAZMJENU PODATAKA BOSNE I HERCEGOVINE
Član 1.
(Predmet i svrha)
(1) Ovim Uputstvom utvrđuju se tehnička i operativna pravila pristupa interoperabilnim platformama, centralnoj evidenciji podataka, servisima i aplikacijama kojima upravlja Agencija za identifikacione dokumente, evidenciju i razmjenu podataka Bosne i Hercegovine (u daljem tekstu: IDDEEA), pravila pristupa sistemu IDDEEA, standard opreme i mrežne infrastrukture, pravila o zaštiti podataka, tehničku operabilnost i tehnički nadzor nad pristupima i sigurnosnim postavkama.
(2) Svrha ovog Uputstva je osigurati siguran, efikasan i usklađen pristup podacima i sistemima IDDEEA. Pristup se temelji na načelima:
a) Sigurnosti - pristup podacima je zaštićen odgovarajućim sigurnosnim mjerama;
b) Transparentnosti - svi pristupi sistemima su evidentirani i praćeni;
c) Privatnosti i zaštite podataka - korištenje podataka mora biti u skladu sa zakonskim odredbama o zaštiti ličnih podataka i tajnosti podataka.
Član 2.
(Značenje izraza)
U smislu odredbi ovog Uputstva pojedini izrazi imaju slijedeća značenja:
a) Sistemi IDDEEA - su softerska rješenja koja obuhvataju interoperabilne platforme, centralnu evidenciju podataka, servise i aplikacije koje projektuje, razvija i održava IDDEEA u skladu sa zakonom,
b) Centralna evidencija podataka je skup podataka koje prilikom vođenja upravnih postupaka prikupljaju nadležni i izvorni organ i elektronskim putem dostavljaju u baze podataka koje se nalaze u IDDEEA u skladu sa zakonom,
c) Korisnici - su svaki nadležni ili izvorni organ, prijemni organ, fizičko lice i ovlašteno fizičko lice u ime pravnog lica koji koriste podatke iz Sistema IDDEEA, u svrhu izvršavanja zakonom utvrđenih nadležnosti, obaveza, prava ili zakonitih interesa,
d) Organ korisnik podataka je nadležni ili izvorni organ i prijemni organ koji u okviru svojih zakonom utvrđenih nadležnosti pristupa, obrađuje ili koristi podatke,
e) Fizičko lice korisnik podataka je svaka fizička osoba koja pristupa ili koristi podatke u vlastite, privatne svrhe, a koja ne djeluje u ime i za račun bilo kojeg pravnog subjekta ili organa javne vlasti,
f) Ovlašteno lice korisnik podataka je fizičko lice koje je na osnovu zakona, podzakonskog akta, internog akta pravnog lica ili ugovora, ovlašteno da u ime i za račun pravnog lica pristupa, koristi podatke u okviru nadležnosti tog pravnog lica.
g) Autentifikacija - je sigurnosni proces identifikacije i verifikacije identiteta korisnika, bilo da se radi o osobi, sistemu, uređaju ili aplikaciji kojim se vrši pristup resursima, podacima ili uslugama u sistemima IDDEEA-e. Njena svrha je osigurati da pristup ima isključivo ovlaštena strana, čime se štiti integritet, povjerljivost i dostupnost informacija u digitalnom okruženju.
h) Digitalni identitet - predstavlja jedinstvenu elektronsku reprezentaciju korisnika koja omogućava sigurnu autentifikaciju i autorizaciju za pristup Sistemima IDDEEA. Zasnovan je na jedinstvenoj kombinaciji identifikacijskih podataka (kao što su JMBG, broj ličnog dokumenta i sl.), kvalifikovanog elektronskog certifikata i/ili drugih pristupnih šifri, putem kojih se omogućava jedinstvena identifikacija korisnika, odnosno fizičkog lica.
Elemente digitalnog identiteta korisnika čine:
- JMB - kao osnovni identifikator,
- kvalifikovana elektronska potvrda i elektronski certifikat izdati od IDDEEA kao ovlaštenog ovjerioca, koji čine sredstva za digitalnu atentifikaciju i potpisivanje u skladu sa članom 8. stav (6) Zakona o Agenciji,
- prava pristupa sistemima evidencija u skladu sa pravnim aktom iz člana 23. stav (2) tačka b) Zakona o Agenciji,
- web i mobilne aplikacije IDDEEA kao tehnički mehanizmi za korištenje navedenih komponenti u digitalnom okruženju.
i) korištenje podataka - je svaki proces pristupa, pregleda, obrade, unosa, prenosa i izdavanja podataka iz evidencija ili drugog postupanja sa podacima iz Sistema IDDEEA, u skladu sa zakonskim osnovama i u svrhu određenu ovim Uputstvom.
j) API (Application Programming Interface) specifikacije - standardizirane tehničke upute i protokoli koje propisuje IDDEEA, a kojima se uređuje način komunikacije i razmjene podataka odnosno integracija između sistema korisnika i Sistema IDDEEA sa ciljem razmjene, pristupa i upravljanja podacima iz evidencija IDDEEA u skladu sa zakonom i pravilima IDDEEA. API specifikacije obuhvataju:
a) Način autentifikacije i autorizacije korisnika ili Sistema,
b) Format i strukturu podataka koji se razmjenjuju,
c) Dozvoljene metode pristupa,
d) Pravila razmjene podataka i ograničenja pristupa,
e) Sigurnosne mehanizme, uključujući enkripciju, nadzor pristupa i logovanje,
f) Razvoj i održavanje API-a.
Član 3.
(Pravila pristupa)
(1) Korisnik pristupa Sistemu IDDEEA putem digitalnog identiteta, a svaki pristup sistemu mora biti autorizovan putem kvalifikovanog digitalnog certifikata ili jedinstvene pristupne šifre korisnika.
(2) Svaki korisnik mora imati jedinstveni identifikator i profil pristupa koji omogućuje jedinstvenu identifikaciju korisnika, za čiju upotrebu je isključivo odgovoran korisnik.
(3) Svi pristupi se elektronski evidentiraju, čuvaju i nadziru najmanje 10 godina u skladu sa članom 9. stav (3). tačka f) Zakona o Agenciji za identifikacione dokumente, evidenciju i razmjenu podataka ("Službeni glasnik BiH", broj 56/08) (u daljnjem tekstu: Zakon o IDDEEA).
(4) Pristup podacima unutar Sistema IDDEEA se dodjeljuje i omogućava u skladu sa principom najmanjih privilegija, čime se osigurava da korisnici mogu pristupiti samo onim podacima koji su im nužni za izvršavanje njihovih zakonskih nadležnosti, odnosno onim podacima za koje postoji jasan zakonski osnov, svrha i cilj korištenja podataka.
(5) Nije dozvoljena upotreba i pristup sistemima putem generičkih naloga ili zajedničkih pristupnih tačaka.
Član 4.
(Standardi opreme i mrežne infrastrukture)
(1) Korisnici su dužni koristiti opremu koja ispunjava sigurnosne standarde propisane od strane IDDEEA u skladu sa zakonom.
(2) Minimalni zahtjevi uključuju:
a) Antivirusnu zaštitu - oprema mora imati ažurirane antivirusne programe koji štite od malicioznih programa i napada;
b) Firewall zaštitu - korištenje firewall sistema koji osigurava zaštitu od neovlaštenog pristupa i mrežnih prijetnji;
c) Šifriranje podataka - podaci koji se razmjenjuju ili pohranjuju moraju biti šifrirani korištenjem relevantnih tehničkih standardа;
d) Redovno ažuriranje sistema - oprema mora biti redovno ažurirana, uključujući operativne sisteme i aplikacije, kako bi se spriječile sigurnosne ranjivosti.
(3) IDDEEA može obustaviti pristup ako oprema ne zadovoljava tehničke uslove u skladu sa propisima i standardima koje donosi i utvrđuje IDDEEA.
Član 5.
(Pravila o zaštiti podataka)
(1) Svi podaci koji se obrađuju i prikupljaju su povjerljivi, a korisnici iz člana 2. ovog Uputstva obavezni su ih čuvati u skladu sa zakonima koji regulišu oblast zaštite tajnih i ličnih podataka, kao i podzakonskim aktima.
(2) Svaki pristup mora biti u svrhu izvršavanja izričitih zakonskih ovlaštenja korisnika ili nadležnosti koje korisnik nije u mogućnosti izvršavati bez pristupa podacima ili u svrhu ostvarivanja pravnog interesa fizičkog, pravnog lica ili zakonitih interesa trećih lica.
Član 6.
(Tehnička interoperabilnost)
(1) IDDEEA omogućava razmjenu podataka putem Sistema IDDEEA.
(2) IDDEEA propisuje tehničke zahtjeve za API integraciju i dostavlja odgovarajuće tehničke dokumentacije svim korisnicima sistema.
(3) API integracije moraju biti usklađene s tehničkim standardima propisanim za interoperabilnost.
(4) IDDEEA pruža tehničku podršku i instrukcije za implementaciju API-ja, uključujući testiranje kompatibilnosti i sigurnosti prije puštanja u rad.
(5) Svi korisnici moraju uskladiti svoje sisteme sa API specifikacijama koje propisuje IDDEEA kroz stručna uputstva.
Član 7.
(Nadzor)
(1) IDDEEA ima pravo da vrši tehnički nadzor nad pristupima i sigurnosnim postavkama korisnika i disponira sa pravom pristupa u skladu sa članom 9. stav (3) tačka g) Zakona o IDDEEA.
(2) Korisnici su dužni osigurati nadzor nad pridržavanjem standarda i preporuka koja se odnose na tehnička pravila zaštite i pristupa Sistemima IDDEEA.
(3) Aktivnosti nadzora obuhvataju provjeru primjene definisanih sigurnosnih mjera korisnika, te obavezu postupanja u skladu sa Pravilnikom o načinu razmjeni podataka.
(4) U slučaju nepoštivanja ili nepravilne primjene tehničkih pravila zaštite i pristupa Sistemima IDDEEA, direktor IDDEEA može odbiti ili zaustaviti prenos podataka u skladu sa Zakonom o Agenciji.
Član 8.
(Stupanje na snagu)
Ovo Uputstvo stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku BiH".
