REPOSITORY
PoSC Net iD SweID (hädanefter kallad "Tjänsten") tillhandahåller e-legitimationer för identifiering och signering för verksamheter inom privat och offentlig sektor. Tjänsten uppfyller kraven ställda i Tillitsramverk för Svensk e-legitimation framtagen av Myndigheten för Digital Förvaltning (DIGG) (hädanefter kallad "DIGG:s Tillitsramverk").
Detta dokument, PoSC Net iD SweID Tillitsramverk för RA (hädanefter kallad "Tillitsramverk för RA"), beskriver det tillitsramverk för Tjänsten som alla anslutna RA-organisationer skall uppfylla och är baserat på valda delar av DIGGs Tillitsramverk som även definierar grundkraven för PoSC Net iD SweID Certificate Policy and Certification Practice Statement (hädanefter kallad "Tjänstens CP och CPS"). Tillsammans utgör de basen för alla övriga dokument som ingår i Tjänstens dokumenthierarki.
Tillitsramverket för RA syftar till att etablera gemensamma krav inom Tjänsten. Tillämpning av Tillitsramverket för RA beskrivs i de rutiner som fastställs av Pointsharp service Policy Team (PsPT).
Alla RA-organisationer som skall ansluta sig till Tjänsten skall lämna in en tillitsdeklaration till Pointsharp och efter anslutning skall ny tillitsdeklaration lämnas in var 12:e månad. Tillitsdeklarationens frågor som skall besvaras är baserat på detta Tillitsramverk för RA.
Tjänstens e-legitimationer inkluderar förutom elektroniska certifikat även de nyckelbärare (exempelvis smartkort och mobiltelefon) där certifikat och privata nycklar hanteras.
Kraven på processen för utfärdande av e-legitimationer ser olika ut beroende på tillitsnivå. Med tillitsnivå menas graden av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Tillitsnivåer förkortas ofta LoA (Level of Assurance). I detta Tillitsramverk beskrivs kraven för att LoA3 skall uppfyllas. LoA3 är den näst högsta nivån i standarden ISO/IEC 29115, vilken också beskrivs i DIGG:s Tillitsramverk för Svensk e-legitimation.
Målgruppen för dokumentet är RA Security Officer, RA Auditor, verksamhetsansvariga inom anslutna RA-organisationer samt rollinnehavare på Pointsharp.
Detta tillitsramverk gäller för de e-legitimationer som utfärdas enligt nedanstående policyer.
Namn | Objektidentifierare (OID) | Beskrivning |
---|---|---|
Tillitsramverk för RA | {1.2.752.179.100.1.3} | Detta dokument |
PoSC Net iD SweID Certificate Policy and Certification Practice Statement | {1.2.752.179.100.2.3} | Tjänstens CP och CPS |
RA-organisation som vill ansluta sig till Tjänsten, skall vara en aktiv juridisk person samt ha en god ekonomisk ställning. RA-organisationen är ansvarig för att eventuella underleverantörer som utför uppdrag i Tjänsten för deras räkning, uppfyller kraven i Tillitsramverket som rör deras verksamhet. RA är ansvariga för utföra granskning av de underleverantörer som de anlitar i Tjänsten.
En RA Officer skall ha fast lön och inte provisionslön vilken påverkas av huruvida en e-legitimation ges ut eller ej. En RA Officer får inte initiera utfärdandet av en e-legitimation utan detta skall göras av utsedd funktion i organisationen eller av användaren själv.
Regelverket för Tjänsten ägs och förvaltas av PsPT. Regelverket beskrivs i Tjänstens samlade dokumentstruktur. Varje RA-organisation som ansluter sig skall lämna in en tillitsdeklaration, en självskattning av organisationens överensstämmelse med Tillitsramverket och Tjänstens CP och CPS inom sin RA-domän.
Tillitsdeklarationen skall var 12:e månad fyllas i och lämnas in till Pointsharp, det kan förslagsvis göras i samband med den återkommande internrevisionen som RA-organisationen skall utföra, se stycke 3.2.2 Internrevision.
Förvaltare av Tjänsten är Pointsharp AB. Varje RA-organisation som ansluter sig för nyttjande av Tjänsten skall teckna avtal med Pointsharp AB.
Alla regulatoriska och styrande dokument relaterade till Tjänsten ägs och förvaltas av PsPT. Tillitsdeklaration ägs av de anslutna RA-organisationerna, men skall dokumenteras enligt mall från PsPT. RA interna dokument ägs och utformas av de anslutna RA-organisationerna, i vissa fall har PsPT tagit fram exempeldokument som kan användas.
Personal hos ansluten RA-organisation skall vara tillgänglig och behjälplig med framtagande av information i samband med:
Innan en RA-organisation blir ansluten till Tjänsten görs en revision av Pointsharp utsedd revisor för att säkerställa Tillitsdeklarationens efterlevnad.
Ansluten RA-organisation kommer därefter att vara föremål för stickprovsmässig revision från Pointsharp.
Revisionen kommer att genomföras i enlighet med den vid varje tidpunkt gällande processen.
Åtgärder av de brister som upptäcks i samband med revisionen skall dokumenteras i en åtgärdsplan som sedan följs upp av RA-organisationen tills dess att åtgärder genomförts.
Vid revision skall RA-organisationen omgående bistå med att ta fram nödvändig information och säkerställa att personal med rätt kompetens finns tillgänglig.
Ansluten RA-organisation skall ha ett strukturerat informationssäkerhetsarbete relaterat till sina åtaganden inom Tjänsten som skall omfatta:
RA-organisationen skall ha en riskhanteringsprocess som kontinuerligt analyserar hot och sårbarheter i verksamheten relaterat till Tjänsten. Riskhanteringsprocessen skall med hjälp av riskanalyser bedöma sannolikhet och konsekvens för identifierade risker för användare och RA-organisationen.
Resultatet från riskanalysen skall leda till säkerhetsåtgärder som ska balansera riskerna till acceptabla nivåer. Riskanalys och åtgärdsplan ska dokumenteras och kunna visas vid revision.
Ansluten RA-organisation skall minst var 12:e månad ha genomfört en internrevision av organisationens efterlevnad av Tillitsramverk för RA och den egna gällande tillitsdeklarationen.
Avvikelser som hittats under internrevision skall hanteras i en åtgärdsplan som därefter skall genomföras. Internrevision och åtgärdsplan med dess genomförande skall dokumenteras.
Dokumentationen skall minst omfatta:
Genomförda internrevisioner skall kunna redovisas vid revision från Pointsharp. Internrevision skall ledas av RA Auditor eller oberoende extern revisor/kontrollfunktion.
Med oberoende menas att RA Auditor inte får ha några andra operativa RA-roller relaterat till Tjänsten, exempelvis rollen som RA Officer, eller på annat sätt ansvara för eller delta i utfärdande av e-legitimationerna.
Ansluten RA-organisation skall ha en dokumenterad och etablerad process för att hantera informationssäkerhetsincidenter relaterade till Tjänsten.
Processen skall beskriva hur och när rapportering och eskalering till Pointsharp görs.
I händelse av en incident skall lämpliga åtgärder vidtas i samråd med Pointsharp för att mitigera effekten och förhindra ytterligare skador samt minimera risken för återupprepning av incident.
Perioden för RA-organisationen att genomföra åtgärderna beslutas av Pointsharp och är relaterat till händelsens allvar.
En incidentrapport skall upprättas och rapporteras till Pointsharp via kundsupportverktyget som tillhandahålls av Tjänsten.
Se Kundavtalet för mer information om incidentklassificering och incidenthantering.
RA-organisationen skall föra en incidentlogg där alla säkerhetsincidenter relaterade till Tjänsten noteras.
Incidentloggen skall innehålla följande information men är inte begränsad till:
Nyckelbärare skall skyddas fysiskt mot skada och otillåten åtkomst.
Tillträdeskontroll skall tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal. RA Officer skall ha tillgång till låsbar förvaring för ännu inte uthämtade nyckelbärare. RA Security Officer och annan utpekad personal skall ha exklusiv tillgång till låsbar förvaring för arkivmaterial.
Åtkomst till Tjänsteportalen för RA-roller kräver identifiering med e-legitimation av tillitsnivå 3 (LoA3) samt avtal mellan RA-organisation och Pointsharp.
RA-organisationen tilldelar RA-roller för den egna organisationen och skall ha en dokumenterad process för tilldelning och konfiguration av sådana roller. Processen skall även inkludera beställningsförfarandet av RA-roller, hur RA Central Officer får uppgiften att tilldela roller och förändra rolltillhörigheter i Tjänsteportalen, samt periodisk granskning av tilldelade roller.
RA-organisationen skall ha en kontinuitetsplan med etablerade och testade rutiner för verksamhetskritiska funktioner som rör utfärdande och användande av e-legitimationer som utfärdats i Tjänsten.
Rutinerna skall innefatta planer för hantering av avbrott i de delar av Tjänsten som hanterar spärrstatus (OCSP och certifikatspärrlistor (CRL)) och utfärdande av e-legitimationer.
Varje RA-organisation är ansvarig för möjligheten att komma åt nyckelkomponenter såsom OCSP och certifikatspärrlistor.
Avbrott kan ha sitt ursprung hos RA-organisationen, i extern infrastruktur eller i Tjänsten.
En kontinuitetsplan bör även innehålla åtgärder i samband med externt genererade, allvarliga informationssäkerhets- eller tillgänglighetsincidenter som gör att Tjänsten inte är tillgänglig, till exempel översvämning, brand eller andra händelser i kategorin "force majeure".
Ansluten RA-organisation skall bevara den information som nämns i detta stycke.
För att bistå RA-organisationen finns inom Tjänsten i flera fall elektroniska stöd framtagna och finns dessa skall de användas.
Information som skall bevaras:
Tiden för bevarande skall inte understiga 5 (fem) år från skapandedatum och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallats ur integritetssynvinkel och har stöd i lag eller annan författning.
Tiden minst 5 år gäller även om avtalsförhållanden med Pointsharp har avslutats.
Varje ansluten RA-organisation skall utse en RA Security Officer, en RA Auditor och RA Officers, samt upprätta en organisation för utfärdande, support och spärr av e-legitimationer inom RA-domänen. Förändringar av RA Security Officer och RA Auditor som ingår i RA-domänen skall skyndsamt meddelas till Pointsharp.
Varje person som utses till en RA-roll i organisationen skall ha uppvisat sig lämplig för respektive roll. Alla RA Officers skall ha tillräckligt med tid avsatt för att klara sina uppdrag.
Då RA-organisationen ansluts till Tjänsten så ingår en obligatorisk utbildning av de första personerna som utsetts till RA Officers inom RA-domänen. Utbildning av övriga som skall ha rollen RA Officer är organsationen själv ansvarig för.
RA-organisationen är ansvarig för att utbilda sina RA Officers kring GDPR t.ex. gällande rutiner för behandling av persondata. Poinstharp agerar som personuppgiftsbiträde till organisationen.
En RA Security Officer får inte ha ett annat uppdrag eller befattning inom RA-organisationen som kan bedömas stå i konflikt med arbetet som RA Security Officer.
Om RA Security Officer lämnar rollen skall RA-organisationen skyndsamt utse ny RA Security Officer som skall kommuniceras till Pointsharp. Under tiden som RA Security Officer saknas övertar RA-organisationens ordinarie informationssäkerhetsansvarige temporärt de skyldigheter som normalt åligger RA Security Officer.
En RA Security Officer skall ha de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen.
Det skall utföras en bakgrundskontroll på personen som skall ha rollen RA Security Officer enligt nedanstående lista. Syftet med bakgrundskontrollen är att förvissa sig om att personen kan anses vara pålitlig och lämplig för rollen.
Alla RA-organisationer skall ha en process för bakgrundskontroll av RA Security Officer med lämplighetsprövning.
Bakgrundskontrollen skall inkludera men är inte begränsad till:
RA Security Officer skall:
En RA Auditor samt RA Officer får inte ha annat uppdrag som kan bedömas stå i konflikt med arbetet inom RA-domänen. Rollen RA Auditor får inte kombineras med en annan operativ roll inom RA-domänen.
RA Auditor samt alla RA Officers skall ha adekvat kunskap och förmåga. RA Security Officer skall tillse att deras kunskap upprätthålls så att de kan fullgöra sina arbetsuppgifter på ett sådant sätt att tilliten till Tjänsten säkras. Uppföljning av utbildning av RA Officers skall genomföras så att nödvändig kunskap upprätthålls inom RA-organisationen.
Personal från Pointsharp utbildar RA-domänens första RA Officers vid anslutning av RA-organisationen till Tjänsten. Därefter är RA-organisationen själv ansvarig för att utbilda sina RA Officers.
Innan en person tilldelas en roll inom RA-organisationen skall RA Security Officer, eller en annan person denna delegerat utförandet till, ha genomfört en bakgrundskontroll. Syftet med bakgrundskontrollen är att förvissa sig om att personen kan anses vara pålitlig och har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen.
Alla RA-organisationer skall upprätta sin egen process för bakgrundskontroll av RA Auditor och RA Officers med lämplighetsprövning.
Bakgrundskontrollen skall inkludera men är inte begränsad till:
En RA Auditor ansvarar för att utvärdera RA-organisationens efterlevnad av utfärdandeprocesser för e-legitimationer. I detta ingår ansvar för att internrevisioner genomförs samt tillsyn av RA Security Officer arbete.
En RA Officer medverkar i administrationen av användare, e-legitimationer och nyckelbärare inom RA-organisationen.
Termen RA Officer avser åtminstone rollerna RA Central Officer samt RA Local Officer, men kan även inkludera andra RA-roller. Tjänsteportalen har ett antal definierade roller för att utfärdande av e-legitimationer samt hantering av e-legitimationer skall ske på ett säkert sätt. Dessa roller finns beskrivna på Tjänstens webbsida, se https://www.pointsharpsecurecloud.com.
RA Officers arbetsuppgifter inkluderar men är inte begränsade till att:
En ansluten organisation som vill avsluta sin anslutning till Tjänsten skall informera Pointsharp genom att säga upp sitt kundavtal på sådant sätt som det som stipuleras i Kundavtalet.
Den anslutna organisationen skall:
Detta stycke berör processer för hantering av e-legitimationer och är nära relaterat till hanteringsflöden för e-legitimationer som tillhandahålls i Tjänsteportalen.
E-legitimationer utfärdade inom Tjänsten är personliga och skall användas för att identifiera fysiska personer verksamma i, eller på annat sätt har en relation till, RA-organisationer anslutna till Tjänsten vid legitimering och underskrift.
E-legitimationer får endast lämnas ut efter att användaren har underrättats om och accepterat Användaravtalet, det vill säga villkoren för användningen av e-legitimationen. Villkoren skall distribueras till användaren innan besöket för uthämtning av e-legitimationen så att användaren har tid på sig att läsa igenom avtalet.
Användaren skall informeras om att förvara koder och nyckelbärare så att obehöriga inte får tillgång till dessa samt att koder och nyckelbärare skall förvaras fysiskt åtskilda.
E-legitimation kommer beroende på nyckelbärare som används att ha de maximala giltighetstiderna enligt tabellen nedan.
Tillitsnivå | Nyckelbärare | Giltighetstid (maximal) |
---|---|---|
LoA3 | Ordinarie smartkort eller annan hårdvarubärare | 5 år |
Tillfälligt smartkort eller annan hårdvarubärare | 1 år | |
Mobil App | 3 år |
Ansökan om e-legitimation är en begäran om att erhålla en svensk e-legitimation utfärdad av Tjänsten.
E-legitimationer kan utfärdas:
Ansökan måste innehålla entydiga uppgifter som möjliggör att en RA Officer kan hitta personen som ansökan gäller, samt om nödvändigt registrera personen, i Tjänsteportalen.
RA Officer skall avslå ansökan om förutsättningarna inte är uppfyllda. RA Officer skall meddela avslag eller godkännande till personen som lämnade in ansökan.
Beställningen av e-legitimationen innefattar delen av utfärdandeprocessen av e-legitimation, inklusive eventuell hårdvarubärare, för en beviljad ansökan fram till att den kan hämtas ut.
RA Officer kontrollerar att uppgifterna knutna till ansökan är fullständiga samt stämmer överens med de användaruppgifter som finns registrerade om användaren i Tjänsteportalen.
All identifiering skall ske enligt av PsPT fastställda rutiner.
Nyckelbärare | Identifieringsprocedur |
---|---|
Ordinarie personaliserat smartkort från korttillverkare | Identifiering skall ske på plats genom ett personligt möte med RA Officer enligt av RA fastställda rutiner.
|
Övriga beställningar av e-legitimationer kräver inte att användaren identifierar sig med en identitetshandling. Användaren identifieras alltid i samband med uthämtning av e-legitimation.
All identifiering skall ske enligt av PsPT fastställda rutiner.
Nyckelbärare | Identifieringsprocedur |
---|---|
Ordinarie personaliserat smartkort från korttillverkare | Identifiering skall ske på plats genom ett personligt möte med RA Officer enligt av RA fastställda rutiner.
|
Ordinarie smartkort eller annan hårdvarubärare | |
Tillfälligt smartkort eller annan hårdvarubärare | |
Mobil app | |
Mobil app (id-växling) | Vid utfärdande av e-legitimation till mobil applikation (id-växling) sker identifiering mot Tjänsteportalen på distans med en svensk e-legitimation av LoA3 eller LoA4 och som är godkänd av DIGG och Pointsharp. |
Uthämtning av e-legitimationen sker efter identifiering vid personligt möte med RA Officer enligt tidigare beskrivning i stycke 6.6.1 Identifiering vid uthämtning.
Vid uthämtning av e-legitimationen väljer användaren sina egna PIN-koder och signerar elektroniskt kvittensen för mottagen e-legitimation och godkännandet av Användaravtalet. Inmatning av PIN-koder ska ske på ett sätt skyddat från insyn av andra än användaren själv.
Vid uthämntning av personaliserat smartkort ska RA-officer kontrollera namnet på kortet mot personens identitetshandling.
Spärrbegäran kan komma från användaren, verksamheten eller utfärdande organisation. Spärrbegäran skall skyndsamt verkställas av auktoriserad personal inom RA-domänen.
Spärr kan utföras av användaren eller behörig RA Officer.
Spärr skall göras om något av följande har inträffat: