Stanovisko k datovému formátu ZIP

Spisová služba

Štěpán Seidl, Bc.

3. 1. 2024

V současnosti výrazně nedoporučujeme úřadům přijímat datový formát ZIP (a obdobné komprimované datové formáty).

Komprimovaný archiv (ZIP, RAR…) je datový formát s potenciálním nebezpečím. Absence legislativní definice pro komprimované archivy výrazně navyšuje bezpečnostní rizika. Například u více úrovní vnoření nelze garantovat spolehlivé vyhodnocení antivirem, archivy obsahující stovky komponent pak mohou způsobit i zahlcení podatelen (tedy fakticky by mohly být zneužity k útoku na původce s obdobným dopadem jako DDOS).

Nejedná se o výstupní datový formát. Původce si stanovuje, jaké formáty nad rámec výstupních přijímá (§ 64 Zákona). Minimum přijímaných formátů jsou aktuálně platné výstupní datové formáty, kde ZIP uveden není, takže nelze původce nutit tento formát přijímat.

Nedostatečná právní úprava práce s tímto formátem. Stará legislativa (respektive ta současná, podle které fungují původci v přechodném období do nasazení atestované eSSL) prakticky s příjmem formátu ZIP vůbec nepočítá. Nová legislativa (např. Národní standard) sice již zmínky o ZIP uvádí, ale pro jednoznačný a ucelený metodický výklad doporučujeme původcům obrátit se na Ministerstvo vnitra.