Dobrý den.

Vidím, že jste pokročil s připojením pomocí certifikátu i bez naší další pomoci (viz dotaz č.30).

Odpověď je jednoduchá - "virtuální" uživatel využívající připojení přes systémový certifikát má práva nastavená pevně a nelze je měnit. Tato práva odpovídají pověřené osobě se všemi možnostmi (bez datového trezoru), tak bych vyložen § 29 zákona 300, podle něhož je systém postaven. Nemá tedy možnost nastavovat a zjišťovat parametry schránky, protože na to je třeba oprávnění PRIVIL_OWNER_ADM, které virtuání účet nemá.

Ještě jinak řečeno: virtuální účet může provádět vše se zprávami, ale nic se schránkou. A výpis uživatelů je schránková operace.

Jan Šíma

Dobrý den, ano, pokročil jsem. Problém byl v použitém certifikátu, který byl vydán DEMO Postsignum CA. Ta ovšem není důvěrohodnou CA pro ISDS. Mám nově ostrý komerční certifiát od PostSignum a vše je ok.

Píšete "se všemi možnostmi bez datového trezoru", znamená to, že zprávy z datového trezoru jako hostovaná spisová služba nemohu stáhnout nebo něco jiného?

Díky,

RP

Ano, při připojení certifikátem (ať přímo nebo přes hostovanou spisovku) nemáte oprávnění číst (PRIVIL_READ_VAULT) ani mazat trezorové zprávy (PRIVIL_ERASE_VAULT). Předpokládá se, že každá vážně míněná spisovka si musí stejně datové zprávy trezorovat sama (a opečovávat archivní razítka) podle jiného zákona.

Tady navíc koliduje zákonem upravené oprávnění ke zprávám s použitím placené komerční služby České Pošty, a je to celkově poměrně nejasné, co je správné.

Jan Šíma

Přesně, jak říkáte. Jako vážně míněná spisovka zprávy chci ukládat, ale to se týká i zpráv, které jsou již v datovém trezoru. Nepřijde mi vhodné dělit archiv na "zprávy z doby před, tj. ty, co jsou v trezoru" a "zprávy z doby po, tj. ty co jsem měl možnost stáhnout přímo ze schránky". V nejhorším případě mi ještě zbývá možnost přihlásit se jako primární uživatel a zprávy z trezoru stáhnout alespoň při výchozí synchronizaci...

V zásadě vůbec nerozumím situaci, kdy komerční služba Datový trezor je tak těsnou součástí služby ošetřené zákonem. Nebo snad mohu svůj komerční systém integrovat do ISDS stejným způsobem?

Ještě mi, prosím, řekněte, jestli kombinace práv uživatele "hostovaná spisová služba" je vždy 31 nebo má primární uživatel schránky možnost nastavit práva v jiné kombinaci.

Díky,

RP

Dobrý večer,

v této chvíli se musíte smířit, že je to tak, jak jsem napsal. Pro nás není problém jednu konstantu zvětšit z 31 na 127, ale musíte zkusit přesvědit MV nebo Poštu, aby to označili za chybu nebo za požadavek na změnu.

Na druhou stranu, žádné velké spisovce to dodnes nevadilo. Jistě je možné si připravit pro práci s Trezorem oprávněnou osobu s příslušným oprávněním. Také budoucnost Datového trezoru intergrovaného přímo do ISDS není do budoucna jistá.

Nastavení oprávnění "virtuálních" uživatelů je pevné a nejde nastavit.

Jan Šíma

Díky za odpovědi :)

RP