Ordinul Arhitectilor din Romania (OAR) doreste sa evalueze fezabilitatea ideii unui sistem informatic comun Autoritatilor Competente (AC) raspunzator de acordarea dreptului de semnatura profesionistilor implicati in documentatia de autorizare a lucrarilor de constructii. Acest sistem va corespunde prevederilor OUG nr. 140/2020 si a Ordinului nr. 4134/3875/2020, avand rolul de "sursa sigura de date" in procesul de emitere a certificatelor calificate de catre emitentii autorizati la nivelul UE.

OAR pleaca de la ipoteza ca o entitate publica specializata (EPS) va sprijini acest proiect in limitele descrise si evalueaza posibilitatea de a oferi acest sistem celorlalte AC, de a-si asuma mentenanta sa evolutiva, in timp ce EPS va asigura operarea sa.

Obiectul consultarii il constituie livrarea aplicatiei, fara componente hardware. Aspectele supuse consultarii sunt:

 

Procesul de consultare a pietei se va desfasura in format electronic, accesand acest formular, sau prin email, folosind adresa cristian.oprea@oar.archi. Este posibil sa fie organizate evenimente individuale, online, pentru organizatiile interesate, in vederea lamuririi aspectelor supuse consultarii.

Necesitatea trecerii accelerate la utilizarea documentelor electronice, cu transmitere online, in cadrul echipelor de profesionisti (arhitecti, ingineri, urbanisti, etc.) implicati in realizarea dosarelor specifice interventiilor asociate unei constructii a determinat aparitia OUG nr. 140 si a normelor subsecvente. Legislatia introduce o varianta de certificat calificat cu particularitatea existentei in acesta a unor atribute standardizate specifice abilitarii profesionale (dreptului de semnatura) recunoscute prin acte administrative ale Autoritatii Competente specifice.

In acest sens, exista 6 AC, iar OAR este autoritate competenta pentru arhitecti. In vederea scrierii acestor atribute specifice in certificat, la momentul emiterii acestuia, este necesara dovedirea abilitarii profesionale. Legislatia mentionata reglementeaza mai multe variante printre care si interogarea prin API, de catre furnizorul de servicii de incredere, a unui sistem informatic al AC.

"Avand in vedere dificultatea lucrului intru-un sistem mixt, electronic si letric, precum si timpul indelungat necesar celorlalte AC (toate institutii publice) pentru achizitionarea propriilor sisteme, OAR are disponibilitatea sustinerii unui sistem informatic multi-tenant utilizat in mod egal de toate AC, aflat in administrarea EPS. Astfel, este cautata o disponibilitate rapida si simultana a certificatelor specifice tuturor categoriilor de persoane abilitate, respectiv posibilitatea existentei dosarului exclusiv in format digital. In vederea respectarii confidentialitatii datelor, un AC va avea acces doar la datele proprii, iar furnizorul solutiei va livra un setup bazat pe mediu de dezvoltare, test si ulterior deployment conditionat de verificari din partea EPS. Infrastructura va fi, de principiu, bazata pe Open Source.Aplicatiile Open Source, inclusiv motorul de baze de date, vor fi preluate in administrare de catre EPS. EPS va pune la dispozitie dispozitive criptografice pentru semnare si va furniza un exemplu de cod specific utilizarii acestora in vederea programarii in aplicatie.In interfetele vizuale exista disponibilitatea inserarii siglei furnizorului aplicatiei", informeaza OAR.

 

Conform Ordinului Arhitectilor, sistemul va avea o arhitectura Failover, bazata pe doua masini virtuale. Autentificarea in interfata aplicatiei se va face cu ajutorul certificatelor calificate sau 2FA. Autentificarea pentru apelurile API se va baza pe transport (spre exemplu IPSEC) si credentiale. Toate interactiunile, inclusiv API, vor fi logate.

In esenta, aceasta aplicatie asigura managementul cate unei liste pentru fiecare AC, care contine date de identificare precum Nume si CNP si un set de atribute specifice. Structura acestui set trebuie sa fie configurabila extern aplicatiei, pentru fiecare lista, spre exemplu prin fisiere de configurare. O astfel de lista are un numar de inregistrari de ordinul zecilor de mii.

Pentru fiecare persoana (pozitie de pe lista), aplicatia va contabiliza certificatele emise (notificate). Managementul datelor care compun lista se poate face manual (intr-o interfata grafica simpla, prin introducere de date sau upload de fisiere xls, CSV) sau prin interoperabilitate (mirror/ sincronizare) cu un alt server de date. Astfel se adauga persoane, se modifica atribute etc. Vor fi implementate constrangeri simple, de tipul atentionarii introducerii aceleiasi persoane de doua ori.

 

Datele vor fi accesate prin API de catre orice furnizor calificat interesat sa ofere astfel de certificate. De principiu, acesta va accesa un API folosind ca parametru date de identitate colectate de la persoana care solicita certificatul si va primi un raspuns in format XML, semnat calificat conform standardului XAdES. Dupa emiterea certificatului, furnizorul va accesa alt API prin care va indeplini procedura de notificare, respectiv va uploada un set de date (document) pe baza unei structuri predefinite. Aplicatia va asocia acest upload unei persoane din lista (careia i s-a emis certificatul) si va contabiliza emiterea sa. Optional, exista interes pentru existenta unei rutine care, periodic, sa verifice validitatea (via OCSP) certificatului notificat incercand astfel sa mentina o imagine corecta a certificatelor valide.

In procesul de management al datelor, daca modificarea atributelor unei persoane aduce o stare de contradictie cu un certificat asociat acesteia (unul dintre atributele din certificat nu mai este valabil), aplicatia va semnala acest lucru si va genera, pe baza unui template, un mesaj de solicitare revocare certificat. Acest mesaj va fi pus la dispozitia utilizatorului aplicatiei pentru a fi trimis manual, prin email.Continutul listei, toate datele, vor fi disponibile prin interoperabilitate pentru reutilizare in alte aplicatii ale AC. Aplicatia, la nivel de cod sursa si configurari, va fi auditata de catre EPS in vederea asigurarii cybersecurity.