You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Inledning

Bakgrund och syfte

PoSC Net iD SweID (hädanefter kallad "Tjänsten") tillhandahåller e-legitimationer för identifiering och signering för verksamheter inom privat och offentlig sektor. Tjänsten uppfyller kraven ställda i Tillitsramverk för Svensk e-legitimation framtagen av Myndigheten för Digital Förvaltning (DIGG) (hädanefter kallad "DIGG:s Tillitsramverk"). 

Detta dokument, PoSC Net iD SweID Tillitsramverk för RA (hädanefter kallad "Tillitsramverk för RA"), beskriver det tillitsramverk för Tjänsten som alla anslutna RA-organisationer skall uppfylla och är baserat på valda delar av DIGGs Tillitsramverk som även definierar grundkraven för PoSC Net iD SweID Certificate Policy and Certification Practice Statement (hädanefter kallad "Tjänstens CP och CPS"). Tillsammans utgör de basen för alla övriga dokument som ingår i Tjänstens dokumenthierarki.

Tillitsramverket för RA syftar till att etablera gemensamma krav inom Tjänsten. Tillämpning av Tillitsramverket för RA beskrivs i de rutiner som fastställs av Pointsharp service Policy Team (PsPT).

Alla RA-organisationer som skall ansluta sig till Tjänsten skall lämna in en tillitsdeklaration till Pointsharp och efter anslutning skall ny tillitsdeklaration lämnas in var 12:e månad. Tillitsdeklarationens frågor som skall besvaras är baserat på detta Tillitsramverk för RA.

Tjänstens e-legitimationer inkluderar förutom elektroniska certifikat även de nyckelbärare (exempelvis smartkort och mobiltelefon) där certifikat och privata nycklar hanteras.

Kraven på processen för utfärdande av e-legitimationer ser olika ut beroende på tillitsnivå. Med tillitsnivå menas graden av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Tillitsnivåer förkortas ofta LoA (Level of Assurance). I detta Tillitsramverk beskrivs kraven för att LoA3 skall uppfyllas. LoA3 är den näst högsta nivån i standarden ISO/IEC 29115, vilken också beskrivs i DIGG:s Tillitsramverk för Svensk e-legitimation.

Målgrupp

Målgruppen för dokumentet är RA Security Officer, RA Auditor, verksamhetsansvariga inom anslutna RA-organisationer samt rollinnehavare på Pointsharp.

Identifiering

Detta tillitsramverk gäller för de e-legitimationer som utfärdas enligt nedanstående policyer.

Namn

Objektidentifierare (OID)

Beskrivning

Tillitsramverk för RA{1.2.752.179.100.1.3}Detta dokument
PoSC Net iD SweID Certificate Policy and Certification Practice Statement{1.2.752.179.100.2.3}Tjänstens CP och CPS

Termer och begrepp

Se Appendix A: Termordlista.

Organisation och styrning

Övergripande krav

RA-organisation som vill ansluta sig till Tjänsten, skall vara en aktiv juridisk person samt ha en god ekonomisk ställning. RA-organisationen är ansvarig för att eventuella underleverantörer som utför uppdrag i Tjänsten för deras räkning, uppfyller kraven i Tillitsramverket som rör deras verksamhet. RA är ansvariga för utföra granskning av de underleverantörer som de anlitar i Tjänsten.

En RA Officer skall ha fast lön och inte provisionslön vilken påverkas av huruvida en e-legitimation ges ut eller ej. En RA Officer får inte initiera utfärdandet av en e-legitimation utan detta skall göras av utsedd funktion i organisationen eller av användaren själv.

Regelverk

Regelverket för Tjänsten ägs och förvaltas av PsPT. Regelverket beskrivs i Tjänstens samlade dokumentstruktur. Varje RA-organisation som ansluter sig skall lämna in en tillitsdeklaration, en självskattning av organisationens överensstämmelse med Tillitsramverket och Tjänstens CP och CPS inom sin RA-domän.

Tillitsdeklarationen skall var 12:e månad fyllas i och lämnas in till Pointsharp, det kan förslagsvis göras i samband med den återkommande internrevisionen som RA-organisationen skall utföra, se stycke 3.2.2 Internrevision

Förvaltning

Förvaltare av Tjänsten är Pointsharp AB. Varje RA-organisation som ansluter sig för nyttjande av Tjänsten skall teckna avtal med Pointsharp AB.

Tjänstens övergripande dokumenthierarki

Alla regulatoriska och styrande dokument relaterade till Tjänsten ägs och förvaltas av PsPT. Tillitsdeklaration ägs av de anslutna RA-organisationerna, men skall dokumenteras enligt mall från PsPT. RA interna dokument ägs och utformas av de anslutna RA-organisationerna, i vissa fall har PsPT tagit fram exempeldokument som kan användas.


Tjänstens dokumentstruktur

Säkerhet och revision

Personal hos ansluten RA-organisation skall vara tillgänglig och behjälplig med framtagande av information i samband med:

  • revision som Pointsharp utför inför anslutning av RA-organisation till Tjänsten samt vid återkommande revisioner som Pointsharp kan komma att genomföra under den tid som RA-organisationen är ansluten till Tjänsten,
  • säkerhetsincidenter, 
  • andra rappporterade fel, avvikelser och brister.

Revision från Pointsharp

Innan en RA-organisation blir ansluten till Tjänsten görs en revision av Pointsharp utsedd revisor för att säkerställa Tillitsdeklarationens efterlevnad.
Ansluten RA-organisation kommer därefter att vara föremål för stickprovsmässig revision från Pointsharp.
Revisionen kommer att genomföras i enlighet med den vid varje tidpunkt gällande processen.
Åtgärder av de brister som upptäcks i samband med revisionen skall dokumenteras i en åtgärdsplan som sedan följs upp av RA-organisationen tills dess att åtgärder genomförts.

Vid revision skall RA-organisationen omgående bistå med att ta fram nödvändig information och säkerställa att personal med rätt kompetens finns tillgänglig.

Informationssäkerhet

Ansluten RA-organisation skall ha ett strukturerat informationssäkerhetsarbete relaterat till sina åtaganden inom Tjänsten som skall omfatta:

  1. En riskhanteringsprocess som kontinuerligt analyserar hot och sårbarheter i verksamheten relaterat till Tjänsten.
  2. Kontinuerligt genomförda och dokumenterade internrevisioner som genomförs och återrapporteras till Pointsharp via årlig Tillitsdeklaration.
  3. En incidenthanteringsprocess som beskriver hantering av eventuella incidenter relaterade till Tjänsten.
  4. Nyckelbärare skall skyddas fysiskt mot skada och otillåten åtkomst.
  5. En dokumenterad process för tilldelning av RA-roller i Tjänsteportalen.
  6. En upprättad och testad kontinuitetsplan.
  7. Arkivering av dokumentation och loggar.

Riskhantering

RA-organisationen skall ha en riskhanteringsprocess som kontinuerligt analyserar hot och sårbarheter i verksamheten relaterat till Tjänsten. Riskhanteringsprocessen skall med hjälp av riskanalyser bedöma sannolikhet och konsekvens för identifierade risker för användare och RA-organisationen.

Resultatet från riskanalysen skall leda till säkerhetsåtgärder som ska balansera riskerna till acceptabla nivåer. Riskanalys och åtgärdsplan ska dokumenteras och kunna visas vid revision.

Internrevision

Ansluten RA-organisation skall minst var 12:e månad ha genomfört en internrevision av organisationens efterlevnad av Tillitsramverk för RA och den egna gällande tillitsdeklarationen.
Avvikelser som hittats under internrevision skall hanteras i en åtgärdsplan som därefter skall genomföras. Internrevision och åtgärdsplan med dess genomförande skall dokumenteras.
Dokumentationen skall minst omfatta:

  • Problem/risk/avvikelse
  • Orsaker
  • Förbättringsförslag
  • Slutsats/rekommendation
  • Tidpunkt för åtgärden
  • Ansvarig för åtgärden
  • Mätning av effekt/nytta med förbättringsåtgärd från föregående internrevision.

Genomförda internrevisioner skall kunna redovisas vid revision från Pointsharp. Internrevision skall ledas av RA Auditor eller oberoende extern revisor/kontrollfunktion.
Med oberoende menas att RA Auditor inte får ha några andra operativa RA-roller relaterat till Tjänsten, exempelvis rollen som RA Officer, eller på annat sätt ansvara för eller delta i utfärdande av e-legitimationerna.

Informationssäkerhetsincidenter

Ansluten RA-organisation skall ha en dokumenterad och etablerad process för att hantera informationssäkerhetsincidenter relaterade till Tjänsten.
Processen skall beskriva hur och när rapportering och eskalering till Pointsharp görs.

I händelse av en incident skall lämpliga åtgärder vidtas i samråd med Pointsharp för att mitigera effekten och förhindra ytterligare skador samt minimera risken för återupprepning av incident.
Perioden för RA-organisationen att genomföra åtgärderna beslutas av Pointsharp och är relaterat till händelsens allvar.

En incidentrapport skall upprättas och rapporteras till Pointsharp via kundsupportverktyget som tillhandahålls av Tjänsten.
Se Kundavtalet för mer information om incidentklassificering och incidenthantering.

RA-organisationen skall föra en incidentlogg där alla säkerhetsincidenter relaterade till Tjänsten noteras.
Incidentloggen skall innehålla följande information men är inte begränsad till:

  • utfärdarens namn (rapportör),
  • kort beskrivande benämning på händelsen (namn),
  • unik referens för händelsen (referens),
  • status på händelsen (status),
  • kategorisering av händelsen (kategorisering),
  • när händelsen inträffade eller den uppskattade tidpunkten för den (tidpunkt),
  • när Utfärdaren upptäckte händelsen (upptäckt),
  • en översiktlig beskrivning av händelsen (beskrivning), och
  • bedömning av händelsens omfattning och konsekvenser samt annan information som kan vara av värde (analys).


Fysisk säkerhet

Nyckelbärare skall skyddas fysiskt mot skada och otillåten åtkomst.

Tillträdeskontroll skall tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal. RA Officer skall ha tillgång till låsbar förvaring för ännu inte uthämtade nyckelbärare. RA Security Officer och annan utpekad personal skall ha exklusiv tillgång till låsbar förvaring för arkivmaterial.

Administrativ säkerhet

Åtkomst till Tjänsteportalen för RA-roller kräver identifiering med e-legitimation av tillitsnivå 3 (LoA3) samt avtal mellan RA-organisation och Pointsharp.

RA-organisationen tilldelar RA-roller för den egna organisationen och skall ha en dokumenterad process för tilldelning och konfiguration av sådana roller. Processen skall även inkludera beställningsförfarandet av RA-roller, hur RA Central Officer får uppgiften att tilldela roller och förändra rolltillhörigheter i Tjänsteportalen, samt periodisk granskning av tilldelade roller.

Kontinuitetsplan

RA-organisationen skall ha en kontinuitetsplan med etablerade och testade rutiner för verksamhetskritiska funktioner som rör utfärdande och användande av e-legitimationer som utfärdats i Tjänsten.
Rutinerna skall innefatta planer för hantering av avbrott i de delar av Tjänsten som hanterar spärrstatus (OCSP och certifikatspärrlistor (CRL)) och utfärdande av e-legitimationer.
Varje RA-organisation är ansvarig för möjligheten att komma åt nyckelkomponenter såsom OCSP och certifikatspärrlistor.

Avbrott kan ha sitt ursprung hos RA-organisationen, i extern infrastruktur eller i Tjänsten.
En kontinuitetsplan bör även innehålla åtgärder i samband med externt genererade, allvarliga informationssäkerhets- eller tillgänglighetsincidenter som gör att Tjänsten inte är tillgänglig, till exempel översvämning, brand eller andra händelser i kategorin "force majeure".

Spårbarhet, gallring och bevarande av information

Ansluten RA-organisation skall bevara den information som nämns i detta stycke.

För att bistå RA-organisationen finns inom Tjänsten i flera fall elektroniska stöd framtagna och finns dessa skall de användas.

Information som skall bevaras:

  • godkänd tillitsdeklaration
  • dokumentation från interna revisioner samt tillhörande åtgärdsplaner
  • incidentloggar för incidenter som är relaterade till Tjänsten samt tillhörande incidentrapporter med information om genomförda åtgärder
  • förteckning över innehavare av RA-roller samt deras ansvarsområden, inklusive historik
  • avtal med eventuella underleverantörer relaterat till genomförande av Tjänsten
  • användarnas kvittenser avseende mottagna e-legitimationer samt godkännande av Användaravtalet (hanteras automatiskt av Tjänsten).

Tiden för bevarande skall inte understiga 5 (fem) år från skapandedatum och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallats ur integritetssynvinkel och har stöd i lag eller annan författning.
Tiden minst 5 år gäller även om avtalsförhållanden med Pointsharp har avslutats.

RA-organisationen

Varje ansluten RA-organisation skall utse en RA Security Officer, en RA Auditor och RA Officers, samt upprätta en organisation för utfärdande, support och spärr av e-legitimationer inom RA-domänen. Förändringar av RA Security Officer och RA Auditor som ingår i RA-domänen skall skyndsamt meddelas till Pointsharp.

Varje person som utses till en RA-roll i organisationen skall ha uppvisat sig lämplig för respektive roll. Alla RA Officers skall ha tillräckligt med tid avsatt för att klara sina uppdrag.

Då RA-organisationen ansluts till Tjänsten så ingår en obligatorisk utbildning av de första personerna som utsetts till RA Officers inom RA-domänen. Utbildning av övriga som skall ha rollen RA Officer är organsationen själv ansvarig för.

RA-organisationen är ansvarig för att utbilda sina RA Officers kring GDPR t.ex. gällande rutiner för behandling av persondata. Poinstharp agerar som personuppgiftsbiträde till organisationen.

RA Security Officer

Krav på RA Security Officer

En RA Security Officer får inte ha ett annat uppdrag eller befattning inom RA-organisationen som kan bedömas stå i konflikt med arbetet som RA Security Officer.

Om RA Security Officer lämnar rollen skall RA-organisationen skyndsamt utse ny RA Security Officer som skall kommuniceras till Pointsharp. Under tiden som RA Security Officer saknas övertar RA-organisationens ordinarie informationssäkerhetsansvarige temporärt de skyldigheter som normalt åligger RA Security Officer. 

En RA Security Officer skall ha de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen.

Bakgrundskontroll av RA Security Officer

Det skall utföras en bakgrundskontroll personen som skall ha rollen RA Security Officer enligt nedanstående lista. Syftet med bakgrundskontrollen är att förvissa sig om att personen kan anses vara pålitlig och lämplig för rollen.

Alla RA-organisationer skall ha en process för bakgrundskontroll av RA Security Officer med lämplighetsprövning.

Bakgrundskontrollen skall inkludera men är inte begränsad till:

  • identifiering vid ett fysiskt möte,
  • kontroll av nuvarande anställning,
  • lämplighetsbedömning för rollen,
  • genomgången relevant utbildning,
  • finansiell riskbedömning, och 
  • kontroll mot brottregistret.

RA Security Officers skyldigheter

RA Security Officer skall:

  • ha det övergripande ansvaret för att upprätta en RA-domän med tillräckliga personalresurser för att uppfylla organisationens åtaganden;
  • ha kunskap om Tillitsramverk för RA och andra regulatoriska och styrande dokument relaterade till Tjänsten;
  • ansvara för att RA-domänen följer Tjänstens regler och rutiner om ansökan, beställning, uthämtning och spärr av e-legitimationer till personer och funktioner;
  • ansvara för processen för registrering av användare från betrott register;
  • ansvara för att lämna in tillitsdeklarationen till Pointsharp;
  • ansvara för att bakgrundskontroller utförs på alla RA Auditor samt RA Officers inom RA-domänen och att delar av bakgrundskontollerna återupprepas med en bestämd periodicitet;
  • ansvara för att RA Auditor samt RA Officers har adekvat kunskap och kompetens för att upprätthålla organisationens åtagande över tid;
  • ansvara för att utvärdera RA-domänens efterlevnad av utfärdandeprocesser för e-legitimationer;
  • ansvara för hantering av roller inom organisationen för åtkomst till Tjänsteportalen;
  • om RA Auditor lämnar rollen skyndsamt tillse att en ny RA Auditor utses samt under den tid som RA Auditor saknas temporärt överta de skyldigheter som normalt åligger RA Auditor;
  • ansvara för att informationssäkerhetsincidenter och brister i Tjänsten rapporteras till Pointsharp, samt där tillämpligt åtgärdas;
  • bidra till upprättandet och förvaltningen av de delar i RA-domänens kontinuitetsplan som rör Tjänsten, samt testa och dokumentera dess rutiner; samt;
  • genomföra riskanalyser inom RA-domänen.

RA Auditor och RA Officer

Krav på RA Auditor och RA Officer

En RA Auditor samt RA Officer får inte ha annat uppdrag som kan bedömas stå i konflikt med arbetet inom RA-domänen. Rollen RA Auditor får inte kombineras med en annan operativ roll inom RA-domänen.

RA Auditor samt alla RA Officers skall ha adekvat kunskap och förmåga. RA Security Officer skall tillse att deras kunskap upprätthålls så att de kan fullgöra sina arbetsuppgifter på ett sådant sätt att tilliten till Tjänsten säkras. Uppföljning av utbildning av RA Officers skall genomföras så att nödvändig kunskap upprätthålls inom RA-organisationen.

Personal från Pointsharp utbildar RA-domänens första RA Officers vid anslutning av RA-organisationen till Tjänsten. Därefter är RA-organisationen själv ansvarig för att utbilda sina RA Officers. 

Bakgrundskontroll av RA Auditor och RA Officer

Innan en person tilldelas en roll inom RA-organisationen skall RA Security Officer, eller en annan person denna delegerat utförandet till, ha genomfört en bakgrundskontroll. Syftet med bakgrundskontrollen är att förvissa sig om att personen kan anses vara pålitlig och har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen.

Alla RA-organisationer skall upprätta sin egen process för bakgrundskontroll av RA Auditor och RA Officers med lämplighetsprövning.

Bakgrundskontrollen skall inkludera men är inte begränsad till:

  • identifiering vid ett fysiskt möte,
  • kontroll av nuvarande anställning,
  • lämplighetsbedömning för rollen,
  • genomgått relevant utbildning,
  • en finansiell riskbedömning och 
  • kontroll mot brottregistret.

RA Auditors skyldigheter

En RA Auditor ansvarar för att utvärdera RA-organisationens efterlevnad av utfärdandeprocesser för e-legitimationer. I detta ingår ansvar för att internrevisioner genomförs samt tillsyn av RA Security Officer arbete.

RA Officers skyldigheter

En RA Officer medverkar i administrationen av användare, e-legitimationer och nyckelbärare inom RA-organisationen.

Termen RA Officer avser åtminstone rollerna RA Central Officer samt RA Local Officer, men kan även inkludera andra RA-roller. Tjänsteportalen har ett antal definierade roller för att utfärdande av e-legitimationer samt hantering av e-legitimationer skall ske på ett säkert sätt. Dessa roller finns beskrivna på Tjänstens webbsida, se https://www.pointsharpsecurecloud.com.

RA Officers arbetsuppgifter inkluderar men är inte begränsade till att:

  • hantera användare i Tjänsteportalen,
  • tilldela privilegier till alla RA roller i Tjänsteportalen,
  • identifiera användare i samband med beställning och uthämtning av e-legitimation,
  • utfärda ordinarie och tillfälliga e-legitimationer,
  • genomföra beställning av smartkort från kortleverantör,
  • spärra e-legitimation och nyckelbärare,
  • låsa upp spärrade nyckelbärare, och
  • utföra batchbeställning av smartkort.

Avveckling av RA-domän

En ansluten organisation som vill avsluta sin anslutning till Tjänsten skall informera Pointsharp genom att säga upp sitt kundavtal på sådant sätt som det som stipuleras i Kundavtalet.

Den anslutna organisationen skall:

  1. informera alla användare och parter som organisationen har avtal eller överenskommelser med,
  2. avsluta avtal och behörigheter för RA-domänen,
  3. spärra alla e-legitimationer som är utfärdade inom RA-domänen, samt
  4. tillse att alla arkiv och loggar bevaras enligt gällande anvisningar i stycke 3.2.7 Spårbarhet, gallring och bevarande av information.

E-legitimationer

Detta stycke berör processer för hantering av e-legitimationer och är nära relaterat till hanteringsflöden för e-legitimationer som tillhandahålls i Tjänsteportalen.

Användningsområden

E-legitimationer utfärdade inom Tjänsten är personliga och skall användas för att identifiera fysiska personer verksamma i, eller på annat sätt har en relation till, RA-organisationer anslutna till Tjänsten vid legitimering och underskrift.

Villkor

E-legitimationer får endast lämnas ut efter att användaren har underrättats om och accepterat Användaravtalet, det vill säga villkoren för användningen av e-legitimationen. Villkoren skall distribueras till användaren innan besöket för uthämtning av e-legitimationen så att användaren har tid på sig att läsa igenom avtalet. 

Användaren skall informeras om att förvara koder och nyckelbärare så att obehöriga inte får tillgång till dessa samt att koder och nyckelbärare skall förvaras fysiskt åtskilda.

Giltighetstid för e-legitimation

E-legitimation kommer beroende på nyckelbärare som används att ha de maximala giltighetstiderna enligt tabellen nedan.

Tillitsnivå

Nyckelbärare

Giltighetstid (maximal)

LoA3

Ordinarie smartkort eller annan hårdvarubärare

5 år

Tillfälligt smartkort eller annan hårdvarubärare

1 år

Mobil App

3 år

Ansökan om e-legitimation

Ansökan om e-legitimation är en begäran om att erhålla en svensk e-legitimation utfärdad av Tjänsten.

Förutsättningar

E-legitimationer kan utfärdas:

  • till anställda och konsulter inom RA-organisationen eller till andra personer med en relation till RA-organisationen.
  • till personer som är registrerade i Tjänsteportalen efter kontroll mot betrott internt register hos RA-organisationen samt Skatteverkets SPAR-tjänst.
  • på begäran av en person behörig att göra ansökningar i RA-domänen.
  • till personer som har fyllt 16 år.
  • efter att ansökan har kunnat knytas till giltigt personnummer eller styrkt samordningsnummer.

Ansökan måste innehålla entydiga uppgifter som möjliggör att en RA Officer kan hitta personen som ansökan gäller, samt om nödvändigt registrera personen, i Tjänsteportalen.

RA Officer skall avslå ansökan om förutsättningarna inte är uppfyllda. RA Officer skall meddela avslag eller godkännande till personen som lämnade in ansökan.

Beställning av e-legitimation

Beställningen av e-legitimationen innefattar delen av utfärdandeprocessen av e-legitimation, inklusive eventuell hårdvarubärare, för en beviljad ansökan fram till att den kan hämtas ut.

Kontroll av personuppgifter

RA Officer kontrollerar att uppgifterna knutna till ansökan är fullständiga samt stämmer överens med de användaruppgifter som finns registrerade om användaren i Tjänsteportalen.

Identifiering vid beställning

All identifiering skall ske enligt av PsPT fastställda rutiner.

Nyckelbärare

Identifieringsprocedur

Ordinarie personaliserat smartkort från korttillverkare

Identifiering skall ske på plats genom ett personligt möte med RA Officer enligt av RA fastställda rutiner.
Identifiering sker med någon av följande svenska identitetshandlingar:

  • Körkort
  • Nationellt id-kort
  • Pass
  • SIS-märkt id-kort
  • Skatteverkets id-kort

Övriga beställningar av e-legitimationer kräver inte att användaren identifierar sig med en identitetshandling. Användaren identifieras alltid i samband med uthämtning av e-legitimation. 

 Uthämtning av e-legitimation

Identifiering vid uthämtning

All identifiering skall ske enligt av PsPT fastställda rutiner.

Nyckelbärare

Identifieringsprocedur

Ordinarie personaliserat smartkort från korttillverkare

Identifiering skall ske på plats genom ett personligt möte med RA Officer enligt av RA fastställda rutiner.
Identifiering sker med någon av följande svenska identitetshandlingar:

  • Körkort
  • Nationellt id-kort
  • Pass
  • SIS-märkt id-kort
  • Skatteverkets id-kort

Ordinarie smartkort eller annan hårdvarubärare

Tillfälligt smartkort eller annan hårdvarubärare

Mobil app

Mobil app (id-växling)

Vid utfärdande av e-legitimation till mobil applikation (id-växling) sker identifiering mot Tjänsteportalen på distans med en svensk e-legitimation av LoA3 eller LoA4 och som är godkänd av DIGG och Pointsharp.

Uthämtning av e-legitimation vid personligt besök

Uthämtning av e-legitimationen sker efter identifiering vid personligt möte med RA Officer enligt tidigare beskrivning i stycke 6.6.1 Identifiering vid uthämtning.

Vid uthämtning av e-legitimationen väljer användaren sina egna PIN-koder och signerar elektroniskt kvittensen för mottagen e-legitimation och godkännandet av Användaravtalet. Inmatning av PIN-koder ska ske på ett sätt skyddat från insyn av andra än användaren själv.

Vid uthämntning av personaliserat smartkort ska RA-officer kontrollera namnet på kortet mot personens identitetshandling.

Spärr av e-legitimation

Spärrbegäran kan komma från användaren, verksamheten eller utfärdande organisation. Spärrbegäran skall skyndsamt verkställas av auktoriserad personal inom RA-domänen.

Spärr kan utföras av användaren eller behörig RA Officer.

Spärr skall göras om något av följande har inträffat:

  • Förhållanden som kan påverka certifikatsinnehållet har ändrats, t.ex. namnbyte.
  • Någon uppgift i e-legitimationen är eller misstänks vara felaktig.
  • Användaren har förlorat nyckelbäraren.
  • Koderna misstänks vara röjda.
  • Vid misstanke om otillåten användning.
  • När nyckelbäraren återlämnas.
  • När e-legitimationen inte längre behövs.
  • När e-legitimationen har använts i strid med de regler som anges i Användaravtalet.
  • När användaren inte längre har någon relation till utfärdande organisation.

Appendix A: Termordlista

Unable to render {include} The included page could not be found.

  • No labels