Федерація ПЕАНО

Загальні правила

1. Відмова від відповідальності

Асоціація користувачів Украинської науково-освітньої телекомуникаційної мережі «УРАН» (в подальшому - Асоціація УРАН) не може прийняти відповідальності за будь-яку втрату або пошкодження в результаті використання матеріалу, що міститься в цьому документі.

2. Загальні положення

Федерація посвідчення електронних акаунтів для науки та освіти «ПЕАНО» (в подальшому - Федерація ПЕАНО) - це консорціум организацій (юридичних осіб), створений Асоціацією УРАН без утворення самостійної юридичної особи. Основною метою Федерації ПЕАНО є полегшення доступу до розподілених електронних ресурсів учасникам Федерації.

Федерація складається з наступних трьох (3) категорій організацій:

1. Постачальники Посвідчень (Identity Providers): організації (напр., навчальні заклади, дослідницькі установи тощо) які здійснюють автентифікацію (перевірку достовірності пред'явленого логіна) своїх кінцевих користувачів і засвідчують ідентифікацію їх особи. Додатково вони можуть пересилати обмежені персональні дані користувачів Постачальникам Послуг.
2. Постачальники Послуг (Service Providers): організації, які надають послуги користувачам науково-дослідницької та освітньої спільноти. Від Постачальників Посвідчень вони можуть з дозволу користувачів отримувати їх персональні дані для подальшої авторизації та надання ним персоналізованих послуг.
3. Координатор Федерації: організація, що регулює вступ членів до Федерації та вихід з неї, координує кооперацію між ними, стежить за їх відповідністю Правилам Федерації, утримує необхідну Інфраструктуру для функціонування Федерації та сприяє розвитку сервісів для науково-дослідницької та освітньої спільноти. Координатором Федерації ПЕАНО є Асоціація УРАН.

За допомогою Інфраструктури Автентифікації та Авторизації ПЕАНО (PEANO Authentication and Authorisation Infrastructure, в подальшому - Інфраструктура ПЕАНО) користувачі членів Федерації можуть отримувати послуги в безпечний і конфіденційний спосіб, використовуючи лише акаунт (обліковий запис) в своїй установі. Для доступу до Постачальника Послуг кінцевий користувач не має потреби зберігати будь-які додаткові або особливі логіни та паролі. На той час, як він є користувачем організації - Постачальника Посвідчень, він може застосовувати з'єднання через Федерацію і отримувати послуги базуючись на своїй належності до цієї організації.

Федерація ПЕАНО бере участь в eduGAIN (Education and Global Authentication Infrastructure), міжфедераційному сервісі GÉANT, який поєднує аналогічні федерації інших країн, спрощуючи глобальній науково-дослідницькій та освітній спільноті доступ до контенту, послуг і ресурсів. Як його учасник, Федерація ПЕАНО дотримуватиметься загальних принципів функціонування eduGAIN (див. eduGAIN Policy Declaration, .pdf, 911 k).

3. Вимоги до участі в Федерації

Постачальники Посвідчень і Послуг можуть долучатись до Федерації або виходити з неї шляхом відповідного звернення до Координатора. Участь у Федерації вимагає згоди з цими Правилами та відповідність умовам, які з них випливають.

Постачальниками Посвідчень можуть бути виключно Асоціація УРАН або її члени. Кожна з організацій може виступати лише як один Постачальник Посвідчень в Інфраструктурі ПЕАНО.

Постачальниками Послуг можуть бути будь-які організації, незалежно від їх членства в Асоціації УРАН, за умови, що ці послуги сприяють науково-дослідницькій або освітній діяльності.

Асоціація УРАН або будь-який її член може виступати одночасно як Постачальник і Послуг і Посвідчень.

У випадку, якщо Постачальник Послуг не є також Постачальником Посвідчень, необхідно, щоб принаймні один з Постачальників Посвідчень засвідчив Координатору свій інтерес до отримання цих особливих послуг.

Мінімальні технічні вимоги для участі в Інфраструктурі ПЕАНО викладені в Технічному регламенті Федерації ПЕАНО, що встановлюються Координатором Федерації. Координатор залишає за собою право змінювати Технічний регламент в будь-який час. Зміни публікуються на веб-сайті Федерації та вступають в силу через два місяці після повідомлення Координатора про них електронною поштою.

4. Функції та зобов'язання Координатора Федерації

Координатор надає та здійснює підтримку Інфраструктури ПЕАНО, що забезпечує автентифікацію та авторизацію користувачів та взіємодію між Постачальниками Посвідчень і Послуг.

Як постачальник федераційного сервісу Координатор зобов'язується:

1. забезпечувати функціонування Інфраструктури ПЕАНО та федераційного сервісу згідно з описом в Технічному регламенті;
2. здійснювати якнайшвидше ремонт та переналаштування в разі тимчасового пошкодження Інфраструктури ПЕАНО або порушення функціонування федераційного сервісу;
3. утримувати веб-сайт Федерації;
4. вчасно повідомляти всіх членів Федерації електронною поштою про зміни в Технічному регламенті і публікувати їх на веб-сайті Федерації;
5. вчасно інформувати всіх членів Федерації про модифікації або модернізації федераційного сервісу;
6. призупиняти надання послуг члену Федерації, що не дотримується взятих на себе договірних зобов'язань, а в разі суттєвих порушень з його боку - припиняти його членство в Федерації.

5. Функції та зобов'язання Постачальника Посвідчень

Постачальник Посвідчень проводить автентифікацію кінцевих користувачів в своїй установі. Він є відповідальним не тільки за встановлення особи, але й також за зміст персональних даних користувача, які містяться в його атрибутах.

Постачальник Посвідчень зобов'язується:

1. призначити уповноважену особу, відповідальну за технічні питання і повідомити про неї Координатора;
2. погодитись з Технічним регламентом Федерації ПЕАНО та дотримуватись його;
3. отримати від кінцевого користувача недвозначний дозвіл на обробку його персональних даних і на обмін ними з Постачальниками Послуг Федерації ПЕАНО;
4. утримувати повні і точні дані в атрибутах кінцевих користувачів та вчасно їх поновлювати в разі змін;
5. дозволяти Координатору проводити аудит своєї автоматизованої інформаційної системи автентифікації та процедури внесення в неї облікових даних користувачів.

6. Функції та зобов'язання Постачальника Послуг

Постачальник Послуг надає послуги користувачам організацій - Постачальників Посвідчень. Авторизація доступу до цих послуг здійснюється Постачальником Послуг на підставі автентифікації, здійсненої Постачальником Посвідчень. Завдяки федераційному сервісу не є необхідним, щоб Постачальник Послуг зберігав ідентифікаційні дані, що були направлені Постачальниками Посвідчень.

Постачальник Послуг зобов'язується:

1. призначити уповноважену особу, відповідальну за технічні питання і повідомити про неї Координатора;
2. погодитись з Технічним регламентом Федерації ПЕАНО та дотримуватись його;
3. поважати права на інтелектуальну власність та права третіх сторін, що стосуються надаваних послуг.

7. Підтримка кінцевого користувача

Підтримка кінцевого користувача здійснюється службою підтримки користувачів Постачальника Посвідчень, а не Постачальниками Послуг або Координатором Федерації. З цією метою Постачальники Посвідчень повинні повідомити Координатору контактну інформацію стосовно своєї служби підтримки користувачів (адресу електронної пошти та/або номер телефону). Ця контактна інформація може публікуватись на веб-сайті Федерації, а також оприлюднюватись в будь-який інший спосіб.

Постачальники Посвідчень і Постачальники Послуг повинні надати Координатору інформацію стосовно своїх технічних та адміністративних контактних осіб. Ці відомості повідомляються членам Федерації, але не публікуються на її веб-сайті.

У випадку, коли проблема виникає на боці Постачальника Послуг, адміністратори Постачальників Посвідчень можуть контактувати з ним прямо, без посередництва або домпомоги Координатора.

8. Захист персональних даних

Члени Федерації зобов'язані захищати персональні дані кінцевих користувачів і зобов'язуються виконувати обробку персональних даних, необхідних для роботи Федерації, згідно з Конвенцією 108 про захист осіб у зв'язку з автоматизованою обробкою персональних даних (Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28.01.1981), Додатковим протоколом до Конвенції 108 щодо органів нагляду та транскордонних потоків даних (Additional Protocol to the Convention regarding supervisory authorities and transborder data flows, Strasbourg, 08.11.2001), Законом України від 01.06.2010 № 2297-VI Про захист персональних даних та іншого чинного законодавства.

Провайдери Посвідчень мають забезпечити законну і безпечну передачу персональних даних Постачальникам Послуг, а Постачальники Послуг, в свою чергу, повинні використовувати і зберігати мінімальну кількість персональних даних, потрібних для правильного надання їх послуг у відповідності до існуючого чинного законодавства.

Координатор не несе відповідальності за виконання цих зобов'язань, оскільки не розповсюджує і не утримує дані користувачів в Інфраструктурі ПЕАНО: передача даних здійснюється безпосередньо Постачальниківами Посвідчень Постачальникам Послуг.

9. Зловживання

В разі, якщо Постачальник Посвідчень або Послуг порушує вимоги цих Правил, внаслідок чого може статися зламування чи послаблення системи безпеки або витік персональних даних, Координатор може тимчасово призупинити доступ Постачальника до Інфраструктури ПЕАНО.

В разі зловживання постраждала сторона може вимагати компенсації від Постачальника Послуг або Посвідчень, відповідального за втрату персональних даних або інше можливе пошкодження. Відповідальними за вирішення спорів є суди України. Сторони, задіяні в спорі, можуть сповістити Координатора про спір, проте діі Координатора стосовно їх доступу до Інфраструктури ПЕАНО залишаються на його розсуд.

10. Форс-мажор

Жодна із сторін не несе відповідальності за невиконання зобов'язань згідно з цими Правилами, якщо таке невиконання сталося внаслідок обставин непереборної сили (форс-мажор). Форс-мажорними вважаються непідконтрольні cтороні обставини, які унеможливлюють виконання нею своїх зобов’язань або роблять таке виконання настільки практично недоцільним, що його можна обґрунтовано вважати неможливим, зокрема: війни, акти громадської непокори і заворушення, землетруси, пожежі, вибухи, повені або інші несприятливі погодні умови, страйки, конфіскації та інші дії урядів.

11. Чинне законодавство

До спорів у зв'язку з дотриманням положень цих Правил застосовується законодавство України.

12. Використані джерела

При створенні цього документу використовувались

• BELNET R&E Federation Policy v0.1 ©2011 BELNET (Belgian national research network);
• GRNET Authentication and Authorisation Infrastructure. Policy and procedures v.1.1.0 ©2012 GRNET (Greek Research and Technology Network).

Окрема подяка Петеру Шоберу (Peter Schober), ACOnet (Austrian Academic Computer Network) за консультації та обговорення при підготовці цього документа.