@zuchtomek nie wiem czy to tak mogę wrzucać, bo to prywatna korespondencja xD chciałem tylko napisać, że bardzo ładnie mi odpisali czego się po prostu nie spodziewałem dlatego jest to otagowane gownowpis, a nie konkret ;D

@evilonep aha

@evilonep Jeśli nie ma tam Twoich danych to myślę, że to jak najbardziej publiczna wiadomość, ale nie namawiam ;)

@UncleFester @zuchtomek

Szanowni Państwo, Zwracam się z uprzejmą prośbą o podjęcie działań w celu uregulowania i jednoznacznego określenia zasad dotyczących ważności oraz możliwości wykorzystania kodu QR i confirmation code (PIN) do kart eSIM w Polsce. W dobie dynamicznego rozwoju technologii eSIM oraz rosnącej liczby użytkowników, którzy korzystają z profili eSIM zamiast tradycyjnych kart SIM, coraz większe znaczenie ma możliwość szybkiego i samodzielnego odzyskania dostępu do numeru telefonu w sytuacji utraty urządzenia, bez konieczności wizyty w salonie operatora czy kontaktu z infolinią. Obecnie brak jest jednolitych, jasnych i publicznie dostępnych regulacji dotyczących:- okresu ważności kodu QR umożliwiającego aktywację profilu eSIM,- okresu ważności confirmation code (PIN) niezbędnego do aktywacji profilu,- procedur umożliwiających użytkownikom samodzielne odzyskanie numeru na nowym urządzeniu mając jedynie dostęp do internetu i zapisanego kodu QR z PIN-em. Brak tych informacji powoduje niepewność i utrudnia użytkownikom zabezpieczenie dostępu do ich cyfrowej tożsamości oraz korzystanie z usług telekomunikacyjnych w sytuacjach kryzysowych, np. zagubienia lub kradzieży telefonu. W związku z powyższym proszę o: 1. Wprowadzenie jednoznacznych regulacji określających minimalny czas ważności kodu QR oraz confirmation code (PIN) dla profili eSIM dostępnych w Polsce. 2. Zapewnienie, aby operatorzy telekomunikacyjni jasno i publicznie informowali o tych zasadach w swoich regulaminach i materiałach informacyjnych dla klientów. 3. Ułatwienie użytkownikom procedur samodzielnego odzyskiwania numeru eSIM bez konieczności wizyty w salonie czy kontaktu z infolinią, na bazie dostępu do internetu oraz posiadanych kodów QR i PIN. Dziękuję za rozpatrzenie mojej prośby i liczę na pozytywne zmiany w tym zakresie, które poprawią bezpieczeństwo i komfort korzystania z usług telekomunikacyjnych w Polsce.

@evilonep Bardzo słuszne postulaty!

Odpowiedź 1/2

Szanowny Panie, dziękujemy za Pana inicjatywę i uwagi dotyczące uregulowania zasad związanych z ważnością kodów QR oraz confirmation code (PIN) wykorzystywanych przy aktywacji profili eSIM u krajowych dostawców usług telekomunikacyjnych. Pana postulaty są dla nas bardzo istotne. Poniżej przedstawiamy nasze stanowisko merytoryczne, poprzedzone analizą. 1. Charakter technologiczny i własność profilu eSIM Karty SIM oraz nośnika cyfrowego eSIM są elementami środowiska telekomunikacyjnego, w którym funkcję identyfikacji abonenta pełni międzynarodowy numer IMSI zgodnie z międzynarodowymi rekomendacjami (np. ITU-T E.212) oraz specyfikacjami 3GPP 23.002 (v. 17.0.0 z 30.03.2021). Numer IMSI i mechanizmy identyfikacji stanowią podstawę działania publicznych sieci ruchomych niezależnie od tego, czy abonent korzysta z klasycznej karty fizycznej (UICC), czy z nośnika cyfrowego eSIM. Z punktu widzenia usługodawcy technicznego (operatora sieci ruchomej) eSIM jest elementem świadczonej usługi telekomunikacyjnej. Dostawca usług zarządza wydawaniem profili i odpowiada za bezpieczeństwo procesu aprowizacji w sieci (wpuszczania końcówek – provisoningu). 2. Bezpieczeństwo a czasowe limity (ważność QR / PIN) Wprowadzenie ograniczeń czasowych dla kodów QR lub confirmation code (PIN) jest powszechną praktyką implementacyjną mającą na celu zmniejszenie ryzyka nieautoryzowanego użycia danych aktywacyjnych. Z perspektywy bezpieczeństwa takie ograniczenia są w pełni uzasadnione: skracają czas ekspozycji wrażliwych danych (QR/PIN), ograniczając możliwość ich przechwycenia i wykorzystania przez osoby trzecie. Z drugiej strony, nadmiernie krótki okres ważności może utrudniać odzyskanie dostępu w sytuacjach kryzysowych, stąd dostawcy usług balansują między bezpieczeństwem a wygodą użytkownika. Praktyka rynkowa pokazuje różne podejścia. Niektórzy operatorzy udostępniają QR „aż do zeskanowania”, inni stosują określone okresy (np. 30 dni) w zależności od rodzaju oferty – to zagadnienie celowo jest poza regulacją aby zapewnić swobodę prowadzenia biznesu i balans z kwestiami bezpieczeństwa.

2/2

3. Procedury odzyskiwania numeru i dostęp przez internet Wiele współczesnych samoobsługowych mechanizmów odzyskiwania profilu eSIM wykorzystuje istniejące kanały uwierzytelnienia klienta (konto klienta online, mechanizmy MFA — wieloskładnikowe uwierzytelnianie, weryfikacja dokumentów) i jest dostępnych bez wizyty w salonie, o ile dostawca usług posiada skuteczne procedury weryfikacji tożsamości klienta. Jednocześnie pełne zautomatyzowanie procesu wyłącznie na podstawie posiadania QR + PIN może stwarzać ryzyko, jeśli nie towarzyszą temu dodatkowe mechanizmy ochronne i może stanowić naruszenie przepisów art. 297 ustawy Prawo komunikacji elektronicznej, których celem jest przeciwdziałanie zjawisku SIM swappingu. Dlatego dostawcy usług często łączą dostęp przez internet z dodatkowymi krokami weryfikacyjnymi. Również producenci urządzeń końcowych przewidują mechanizmy wpisania kodu autoryzacyjnego, jeżeli operator tego wymaga w procesie aktywacji. 4. Konkluzja Mając na uwadze powyższe, uznajemy, że:  techniczne i organizacyjne rozwiązania obecnie stosowane przez dostawców usług, w tym stosowanie ograniczeń ważności QR/PIN oraz budowanie kanałów samoobosługowych z mechanizmami weryfikacji, wydają się zgodne z normami międzynarodowymi (Rekomendacja ITU), regułami bezpieczeństwa oraz istniejącymi standardami branżowymi (GSMA, 3GPP).  funkcjonalnie własność i odpowiedzialność za profil SIM/eSIM w sensie świadczenia usługi spoczywa na dostawcy usług telekomunikacyjnych- to dostawca usług decyduje o sposobie i warunkach wydawania profili, w granicach obowiązującego prawa komunikacji elektronicznej oraz zasad ochrony konsumenta.  biorąc pod uwagę obecne standardy i mechanizmy zabezpieczeń, a także różnorodność modeli biznesowych dostawców usług, na chwilę obecną nie planujemy wprowadzenia odrębnej, szczegółowej regulacji ustawowej narzucającej jednolite minimalne okresy ważności kodów QR lub kodów autoryzacyjnych/PIN. Zamiast tego rekomendujemy rozwiązania o charakterze technicznoorganizacyjnym i nadzorczo-informacyjnym, tj.: o jasne obowiązki informacyjne dostawców usług wobec klientów (transparentność dotycząca okresów ważności i procedur odzyskiwania), o promowanie dobrych praktyk bezpieczeństwa w ramach współpracy z organami branżowymi (GSMA/3GPP) oraz o monitorowanie rynku pod kątem ewentualnych incydentów, które uzasadniałyby interwencję regulacyjną. Dziękujemy za zgłoszenie i inicjatywę. Jesteśmy otwarci na dalszą merytoryczną dyskusję. W szczególności zapraszamy do przekazywania konkretnych obserwacji dotyczących przypadków, gdy brak przejrzystości procedur dostawca usług spowodował realne trudności dla użytkowników. Współpraca z dostawcami usług telekomunikacyjnych, operatorami telekomunikacyjnymi, organizacjami branżowymi oraz organami nadzoru pozwoli na dalsze monitorowanie i, w razie potrzeby, wypracowanie odpowiednich rekomendacji lub środków zaradczych. Wyrażam nadzieję, że przedstawione informacje i argumenty znajdą Pana uznanie.

@UncleFester i co gupio Ci

@evilonep W żadnym wypadku. Dostrzegłeś może trola na końcu mojego wpisu?

@UncleFester nie xd na kompie się nie wyświetla

@evilonep Czas najwyższy pożegnać XP-ka.