RAorganisation. Rutinbeskrivning 2.6. Västra Götalandsregionen

Transkript

1 Västra Götalands RAorganisation Rutinbeskrivning 2.6 Ale kommun Alingsås kommun Bengtsfors kommun Bollebygd kommun Borås stad Dals-Ed kommun Essunga kommun Falköping kommun Färgelanda kommun Grästorp kommun Gullspång kommun Göteborgs stad Götene kommun Herrljunga kommun Hjo kommun Härryda kommun Karlsborg kommun Kungälv kommun Lerum kommun Lidköping kommun Lilla Edet kommun Lysekil kommun Mariestad kommun Mark kommun Mellerud kommun Munkedal kommun Mölndals stad Orust (Henån) Partille kommun Skara kommun Skövde kommun Sotenäs (Kungshamn) Stenungssund kommun Strömstad kommun Svenljunga kommun Tanum kommun Tibro kommun Tidaholm kommun Tjörn kommun Tranemo kommun Trollhättan kommun Töreboda kommun Uddevalla kommun Ulricehamn kommun Vara kommun Vårgårda kommun Vänersborg kommun Västra Götalandsregionen Åmål kommun Öckerö kommun

2 2.6 (1)81 Denna rutinbeskrivning ersätter TjänsteID+ Rutinbeskrivning 2.6 RS Rutinbeskrivningen är bilaga 7 till RAPS Översikt SITHS är en tjänstelegitimation för både fysisk och elektronisk identifiering. SITHSkortet har många användningsområden och är anpassat till de nationella tjänsterna inom e-hälsa. SITHS-kortet (TjänsteID+) används till säker inloggning i olika IT-system, som e- legitimation för både personliga och företagsspecifika ändamål och för inpasseringskontroll. Kraven på högre säkerhet och behörighetsskydd av information blir allt viktigare inom vård, omsorg och andra närliggande verksamheter. Det är viktigt både för att patienter ska känna sig trygga, och för att personal ska kunna lita på den information de behöver för att kunna utföra en säker vård. En gemensam säkerhetslösning som SITHS behövs för att kunna uppfylla lagens krav på behörighetsskydd på ett smidigt och kostnadseffektivt sätt. Ett TjänsteID+ innehåller normalt en personlig e-legitimation och ett tjänstecertifikat. Detta ställer stora krav på utgivningen som vid oaktsamhet kan innebära stora problem för den enskilde. Fel e-legitimation till fel person kan vara förödande för en person och identitetsstöld är ett av de snabbast växande brotten idag. Fel tjänstecertifikat till fel person kan innebära motsvarande problem i tjänsten. Då kort och certifikat är skarpa redan från tillverkning måste de hanteras betryggande från att de anländer från Posten tills mottagaren kvitterat (och förstått) mottagandet. Denna rutinbeskrivning innehåller de rutiner som styr utgivning av kort och certifikat inom Västra Götalands RAområde och baserar sig på nationellt regelverk. Alla inblandade roller skall ha såväl förståelse som möjligheter att leva upp till regelverket. Det är enbart de som i sin roll inom kortutgivningen som kan upptäcka och förhindra en identitetsstöld uppsåtlig eller av misstag. Identifiering: Personbedömning, är det rimligt att personen ska ha kort? Kontroll av personen mot ID-handling, likhet, längd, ålder? Kontroll av ID-handling, manipulerad, giltighetstid? Vid misstanke, be kunden återkomma och tag hjälp

3 2.6 (2)81 Innehåll Västra Götalands RAorganisation... 0 Översikt... 1 Relaterande dokument... 6 Ändringshantering... 7 Definitioner... 8 Förutsättningar... 9 Förutsättningar för att få TjänsteID Förutsättningar för att få tjänstelegitimation... 9 Giltiga identitetshandlingar... 9 Identitetskontroll Identifiering efter namnbyte Intygsförfarande Administrationsgränssnitt Information på andra språk Rollförteckning PA RA ROA/LÄS Säkerhetsansvarig Registeransvarig ORA Utrustning: SITHSkontor KRA Utrustning: Handläggare LRA Utrustning: KUR KRA med utökade rättigheter Arbetsplats Personlig lämplighet Arkivering Utbildningsansvar och kunskapskrav Samverkan övriga landsting, kommuner Samverkan i utgivning Kortutfärdande och återlämnande TjänsteID Beställning av nytt kort Återlämnande av kort TjänsteID Rutin för beställning av kort i fotoautomat Tjänstelegitimation till befintligt kort Reservkort... 30

4 2.6 (3)81 Utfärdande av reservkort Återlämnande av reservkort Utgivning av reservkort på distans med LRA och reservkortsadministratör Utgivning av SITHS reservkort på distans utan kortutlämnare Reservkort till personer utan svenskt person-id (Crossborder) TjänsteID+ för personer med skyddad identitet Beställning av TjänsteID Utlämning av TjänsteID+ för personer med skyddade personuppgifter Utgivning av HCC till personer med skyddade personuppgifter Arkivering TjänsteID+ för personer med samordningsnummer Korttyp Arkivering Personer med svensk identitet men med utländsk folkbokföringsadress Studentkort (918) Konsultkort (480) Privata vårdgivare (431, 411, 454) Kommunkort Utgivning av HCC till andra kort än SITHS Godkända korttyper HCC till befintligt kort utanför SITHS Spärrning Administration Spärrning Spärr av kort och e-legitimation Spärr av kort, e-legitimation samt SITHScertifikat (KRA) Spärr av enbart SITHScertifikaten (LRA och ORA) Spärr av övriga funktioner Om SITHS-systemet inte är tillgängligt Nyttjande av Telia spärrtjänst Limbokontroll via ORA-mail Reklamation Test av kort Beställning av PUK-kod PMSI Personer med skyddad identitet Beställning av reservkort Tilldelning av roller Handläggarbehörighet Borttag av Handläggarbehörighet Registrering av nya kontorsnummer Beställning av tillbehör Beställning av SIS Capture Station beställningsstation... 52

5 2.6 (4)81 Beställning av externa kortläsare och andra tillbehör Beställning av reservkort Utfärdande av servercertifikat (funktionscertifikat) Domänvalidering Utgivning av funktions (server-)certifikat (PKCS 10) Utgivning av funktions (server-)certifikat (PKCS 12) Spärrning av funktions (server-)certifikat Utfärdande av funktionscertifikat till andra domäner Arkivering Skickande av kort och legitimation inom Västra Götalandsregionen Skicka tjänstekort mellan VGR:s förvaltningar Skicka tjänstekort inom VGR:s förvaltningar Självadministration Säkerhet och revision Efterlevnad Missbruk av certifikat Internkontroll Årshjul för revision Säkerhetsansvarig Lokalt säkerhetsansvariga RA ORA Årsinventering av KRA och LRA Revisionsområden Extern kontroll Riskanalys Logganalys Arkivering av privata nycklar Kontinuitetsplanering Avbrott i beställning, spärrning samt andra funktioner för administration av HCC Avbrott i möjligheten att använda HCC Upphittade kort Uppföljning av kort med status skickat Priser och övriga kostnader Beställning av PUK-brev Reservkort Leveranskostnad TjänsteID Ordinarie (909), Skyddad ID (910), Samordningsnummer (911) TjänsteID+ Övriga kort NetID... 67

6 2.6 (5)81 Korthållare och kortläsare mm Kostnader specifika för kommuner Kostnader specifika för Västra Götalandsregionen Teknik Tekniska krav Klientarbetsplats Kortutfärdarutrustning Konfiguration av SIS Capture Station Verifiering av kortfunktion Certifikatstyper Återpublicering till HSA SITHS testmiljö preprod Felkoder NetID Epost Konfiguration av Lotus Notes Konfiguration av Outlook Massutbytesfunktion Mifare Streckkoden Kontaktuppgifter Supporttjänster SITHS inom Västra Götalands Län IT support NAK Nationell kundtjänst Revokeringslistor/spärrlistor Kontaktuppgifter Västra Götalands RAorganisation RA Säkerhetsansvarig SITHS Förvaltningsansvariga VGR Ombud Privata vårdgivare Ombud kommuner ORA kommuner Kontaktuppgifter leverantörer Cygate AB Cygate webshop TeliaSonera CustomerServices Nationell kundtjänst Kontaktuppgifter kontor Västra Götalandsregionen Samverkande kommuner/kommunförbund... 80

7 2.6 (6)81 Relaterande dokument Dokument Syfte Ägare Placering SITHS CP SITHS Certificate policy SITHS PA Övergripande styrdokument över SITHS. SITHS RAP SITHS RA Policy SITHS PA Övergripande styrdokument hur utgivning av certifikat får gå till. SITHS RAPS SITHS RA Practice Statement VGR RA RS (4) Anger hur en utgivande organisation ämnar ge ut kort. Denna rutinbeskrivning är en detaljerad bilaga till RAPS. SITHS RPA SITHS Relying Party SITHS PA Agreement Brukare (system) av SITHS kan här ta del av vad som gäller dem. SITHS CPS SITHS Certification Practice TeliaSonera AB Statement. Driftleverantörens dokument hur de ämnar drifta SITHS. Telia Policy för utfärdande av Telia e- TeliaSonera AB kortutfärdarpolicy legitimation. Ägs av TeliaSonera. Villkor för Telia e- Ansvarsdokument som delas ut TeliaSonera AB legitimation till varje mottagare av e- legitimation. Handbok för Det i SITHSadmin inbyggda TeliaSonera AB SithsAdmin administratörer Information till kortinnehavare / Allmänna villkor hjälpdokumentet. Informationsfolder till mottagare av kort och certifikat. Lagrad på Alfresco. ORA Förvaltningsforum Alfresco SBC 151-U De sju stegen Särskilda bestämmelser för certifiering av ID-kort Kontroll av identitet och idhandlingar godkända av Svenska Bankföreningen Svenska Bankföreningen Svenska Bankföreningen desjustegen.se

8 2.6 (7)81 Ändringshantering Ändringshistorik intill 2014 arkiverad Tillagt översikt i syfte att betona förståelse och möjligheter och risk för identitetsstölder. Information till intygsgivare förstärkt betydelsen. Ansvar för posthanteringen definierad. Hantering av ej återlämnade kort förtydligad. Att användaren bör ta bort sitt gamla HCC från reservkort om detta tillförs ytterligare HCC. PUKbeställning till PMSIpersoner. Arkivering av revisionsrapporter. Personbevis bort från intygsgivning Förtydligande att korten är skarpa redan från tillverkning ingen aktivering sker vid utlämnandet. Ändrat efter PA granskning: Reklamation. Rollen registeransvarig. De 7 stegen. Dokumentering rolltilldelning RA diarie. Ej utlämnade kort flyttat till utlämning. Rekommenderad post vid distansutgivning. Reservkortsadministratör förtydligat identifieringsprocessen. Korttyp 911 elektroniskt. Specificerat behöriga beställare av funktionscertifikat. Kvittensförfarande Korrigeringar efter PA granskning. Dokumentet godkänt av SITHS PA Tydligare rubriksättning enligt önskemål. Identifiering efter namnbyte. Reservkort till personer med skyddade personuppgifter. Korrigeringar efter synpunkter från Region Skåne. Tagit bort ändringshistorik innan 2014 (tidigare rutinbeskrivningar är arkiverade). Arkiveringskrav ändrat till 15 år. Information till kortmottagare. Korttyper 481, 482 samt 483 borttaget. Rutin för utländska personer helt omarbetad enligt nytt regelverk, intygsgivning uppdaterad rutin. RPA servercertifikat PKCS#12 och Type 2 ej beställningsbara längre. Mindre korrigeringar och uppdateringar. Mer struktur gällande kontoren och kostnadsställen. Regler ang dubbla kort. Kommunanpassningar i texten. Årshjul för revision. VästKom logotyp Uppdaterad lista över accepterade primärcertifikat. Förenklad ansökan om handläggarbehörighet för många kundnummer. E-postadress i funktionscertifikat. Upphittade kort. Gamla kort med status Skickat. Fotoautomat nu inte bara förnyelse utan även nybeställning Blankett bilaga 1.3 ändrad. Krav på UV-ljus. Samverkan i utgivning med kommuner.

9 2.6 (8)81 Definitioner Certifikat CSP Handläggare HCC KRA/CRA LRA ORA LORA PA PKI RA RAområde SCS SITHS Säkerhetsansvarig Ett elektroniskt dokument innehållande personuppgifter, signerat av SITHS. Cryptographic Service Provider. Mellanlager mellan chip och operativsystem. SITHS använder NetID Tilläggsbehörighet till KRA/CRA som ger behörighet att beställa Telia e-legitimationer i SCS. Tilldelas av säkerhetsansvarig. SITHScertifikatet Kort/Card Registration Authority Roll som får hantera SITHSkort. Tilldelas av RA/ORA. Local Registration Authority Roll som får hantera certifikat och reservkort. Tilldelas av RA/ORA. Organizational Registration Authority Av RA delegerat utgivningsansvar till organisation eller del av. Tilldelas av RA. Lokal ORA. Delegerad utgivning, begreppet finns inte i SITHS men används för en decentraliserad utgivning Policy Authority Styrande organ för SITHS regelverk Public Key Infrastructure Internationell teknisk standard för certifikat. Registration Authority Ansvarig utgivare av e-legitimationer och tjänstecertifikat. Tilldelas av PA. Alla organisationer som ingår under en RA respektive säkerhetsansvarig. SIS Capture Station Beställningsapplikation Koncept baserat på PKI för säkert identifierad identitet i tjänsten Ansvarar för tillsynen av SITHS och Telia e-legitimation. Revisionsansvarig. Ansvarar för tilldelning av handläggarbehörigheter.

10 2.6 (9)81 Förutsättningar Förutsättningar för att få TjänsteID+ Ett krav för att få ett TjänsteID+ är att personens anställning eller uppdrag inom Västra Götalandsregionen eller ansluten kommun varar längre än sex månader. Om uppdragets omfattning är mindre än sex månader, eller det finns andra skäl för att personen inte kan få/bör ha ett ordinarie kort (909) kan personen istället få ett reservkort med enbart tjänstelegitimation, alternativt ett kort (911) baserat på samordningsnummer men utan e-legitimation. Förutsättningar för att få tjänstelegitimation En förutsättning för att kunna få tjänstelegitimation är att personen är upplagd i HSA, personen har ett HSA-id samt att personen har en anställning eller ett uppdrag inom Västra Götalandsregionen eller ansluten kommun. För att få hämta ut tjänstelegitimation måste även personen vara säkert identifierad. Giltiga identitetshandlingar För e-legitimationer följer Västra Götalands RA-organisation det regelverk DNV fastställer efter diverse remisser av en partssammansatt kommitté, CK. Den består av representanter från Svenska Bankföreningen, Svenskt Näringsliv, Finansinspektionen, Finanspolisen, Statens Kriminaltekniska Laboratorium (nuvarande National Forensic Center), SIS och DNV. Legitimeringssätten definieras i SBC151 (Särskilda bestämmelser för certifiering av identitetskort) Utgåva 14 under U3.3.1 som: Fullgod identitetshandling är svenskt körkort, svenskt vinrött pass, svenskt nationellt id-kort samt SIS-märkt företags-, tjänste- eller identitetskort. För att sådan identitetshandling ska godtas, krävs att den är giltig eller att giltighetstiden inte utgått mer än tre månader före beställningen av certifierat identitetskort". Därutöver godkänns fr.o.m Skatteverkets IDkort.

11 2.6 (10)81 Reglerna syftar till att säkerställa säkerheten i att utfärdade id-kort har rätt information och rätt foton, så att den som förlitar sig på dem, alltid kan känna sig trygg. Dessa är för närvarande: Svenskt rosa körkort kontrolleras hos Trafikverket Svenskt Nationellt ID-kort kontrolleras hos lokala polisen eller SIS-märkta ID-kort kontrolleras hos Gemalto på SIS-märkta tjänstekort - kontrolleras hos Gemalto på Nytt svenskt EU-pass (från 2005 och senare) kontrolleras hos lokala polisen eller Svenskt EU-pass (mellan januari 1998 och september 2005) - kontrolleras hos lokala polisen eller Skatteverkets ID-kort kort utgivna intill mars 2013 kontrolleras via Skatteverket på Kort utgivna mars 2013 och senare kontrolleras via Handläggare ska ha tillgång till Svenska Bankföreningens handbok De sju stegen 1 för kontroll av id-handlingar samt UV-ljus. Personer vilka inte kan legitimera sig enligt ovan får ej erhålla TjänsteID+ kort 909 utan där måste intygsgivning ske. Notera att SIS-godkänd ID-handling med Samordningsnummer inte räknas som giltig ID-handling. Identitetskontroll En legitimation kontrolleras alltid utan fodral och skall överlämnas till korthandläggaren, detta för att kortytan och kortämnet skall kunna kännas. Kontroll av individ - Titta på personens ansikte och jämför med fotot på idhandlingen. Är fotot porträttlikt? Kontroll av id-handling - Kontrollera att id-handlingen är giltig och att den inte är ändrad eller skadad på något sätt. ID-handlingar ska även granskas m.h.a UV-ljus. Rimlighetsbedömning finns det anledning att misstänka att det inte är rätt person? 1

12 2.6 (11)81 Identifiering efter namnbyte En kortinnehavare som byter namn och behöver legitimera sig kan göra detta med legitimation utställt i tidigare namn efter verifiering av personnumret direkt i befolkningsregister. Nytt namn kräver nytt kort. Intygsförfarande Saknas fullgod identitetshandling krävs skriftlig intygsblankett samt trovärdig intygsgivare som är personligen närvarande vid beställning av identitetskort. Intygsgivare ska informeras om att ett osant intygande är ett brott, som kan leda till straff och skadestånd. Intygsgivare skall vara annan behörig företrädare än RA, ORA, KRA, LRA eller registeransvarig och säkerhetsansvarig och bör vara överordnad chef eller den som anställt personen. Intygsgivaren och mottagaren skall närvara samtidigt vid beställning. Intyg får inte användas om beställaren innehar fullgod identitetshandling. På beställningsblanketten ska beställaren i detta fall intyga att fullgod identitetshandling saknas. Vid utfärdande till person under 18 år som saknar fullgod identitetshandling, krävs att vårdnadshavare är intygsgivare. Utrustning SITHS Intyg om styrkt identitet - Blankett.doc från Alfresco eller SITHS Kvitto intygsgivning Blankett.doc från Alfresco eller Vid beställningstillfället Kortmottagaren och intygsgivaren ska närvara när beställningen görs. Intygsgivaren ska ha med sig giltig id-handling. Genomför identifiering som vanligt, men nu på intygsgivaren. Ange legitimeringssätt samt ID-handlingens kortnummer. Kontrollera att intygsblanketten ( SITHS Intyg om styrkt identitet - Blankett.doc ) är rätt ifylld och att uppgifterna är korrekta. Ange i SCS intygsgivarens personnummer i fältet Intyg/ nr. KRA arkivera tillfälligt intyget om styrkt identitet till dess att SITHS-kortet har lämnats ut. Ge kortmottagaren ett kvitto ( SITHS Kvitto intygsgivning - Blankett ) på intygsgivning och informera om att detta kvitto ska medtagas när kortmottagaren ska hämta kortet. HSAid eller personnummer ska anges. Vid utlämning Mottagaren överlämnar kvittot på intygsgivningen och KRA tar fram intygsblanketten och kontrollerar riktigheten.

13 2.6 (12)81 Kontrollera att personnummer och namn på det nya SITHS-kortet stämmer med uppgifterna på intyget om styrkt identitet. Ange Intygsgivare som identifieringssätt. Fyll i intygsgivarens personnummer i systemet. Arkivering Arkivera intygsblanketten ( SITHS Intyg om styrkt identitet - Blankett.doc ). Kvittot destrueras. Administrationsgränssnitt SITHSadmin via Sjunet SITHSadmin via Internet Information på andra språk Kortare information om SITHS finns i dokumentet Information till användare om identifiering vid beställning av SITHS-kort på

14 2.6 (13)81 Rollförteckning PA SITHS PA ansvarar för nationella regelverk, policys och följsamhet för alla ingående organisationer. RA RA Uppdragsgivare till RA är avdelningschefen för Framtidens vårdprocesser i koncernstad hälso- och sjukvård 2 RA ansvarar för att Västra Götalands RAorganisation, inklusive annan uppdragstagare som eventuellt ingår, följer CA-policy, RA-policy och denna RAPS. RA ansvarar för att RAPS tas fram samt uppdateras vid förändringar i CA-policy, RA- Säkerhetsansvarig ORA ORA ORA Central organisation KRA LRA LRA LRA LRA LRA KRA / LRA Lokal organisation Figur 1 - Rollförteckning inom Västra Götalands RAområde 2 Regiondirektörens verkställighetsbeslut RS

15 2.6 (14)81 policy och i den egna organisationen och att dessa kommuniceras till ORA. Enligt bestämmelser reglerade i SITHS CA:s CPS, utser RA behöriga ORA personer och tilldelar åtkomsträttigheter i SITHS CA:s behörighetssystem. RA kan även utse behöriga LRA/KRA/ROA personer och tilldelar åtkomsträttigheter i SITHS CA:s behörighetssystem. Personkontroll RA genomförs av SITHS PA. ROA/LÄS Säkerhetsansvarig Läsadministratör som endast har rätt att titta i systemet från den gren där han/hon har behörighet. Förkortning for Read Only Administrator ROA. Kan även benämnas LÄS. Säkerhetsansvarig för SITHS inom Västra Götalands RA-område innehar ROA-behörighet för hela RA-området. Rollen kan även tilldelas vid behov för enskilda förvaltningar. Säkerhetsansvarig utövar årligen tillsyn genom internrevision. Det finns bara en säkerhetsansvarig för RA-området, för anslutna parter skall det dock finnas en utpekad säkerhetsansvarig som motpart. Säkerhetsansvarig gentemot SITHS är även säkerhetsansvarig gentemot TeliaSonera AB. Registeransvarig Registeransvarig ansvarar för att registerhållning av ingående dokument. Detta kan vara, men begränsas inte till, papperskvittenser, intyg m.fl. ORA Respektive förvaltning inom Västra Götalandsregionen skall utse en ORA vilken ansvarar för förvaltningens certifikatshantering 3. Företrädare för förvaltningen anmäler ORA till RA via epost. Anslutna kommuner har utsett en gemensam ORA. ORA ansvarar för efterlevnaden av RAPS, Telias policy för utfärdande av företagskort med e-legitimation samt Västra Götalands RA-organisations Rutinbeskrivning TjänsteID+. ORA har möjlighet att tilldela rollerna LRA samt KRA. ORA ansvarar för arkivering inom sitt ORA-område samt att vid eventuell revision uppvisa begärd information. ORA (med KUR-behörighet) hanterar TjänsteID+ för personer med skyddad identitet, samt ansvarar för de med samordningsnummer. 3 IT-rådet 18 dec 2009

16 2.6 (15)81 ORA ges behörigheter av RA. ORA innehar en förteckning över utsedda LRA samt KRA inom det egna ORA-området inklusive historik. ORA ansvarar för beställning, tilldelning samt återkallande av kontor samt Handläggare. Registration Authority Practice Statement, RAPS tillåter inte att utsedda SITHS rollpersoner har annat uppdrag som kan bedömas stå i konflikt med uppdraget samt att de kan anses dugliga och inte innebära en riskfaktorer i uppdraget. Tilldelning av ORA-behörighet sker av RA i samverkan med verksamhetschef (motsv.). Utrustning: Webbrowser Arkiveringsmöjligheter för pappersdokument (kvittenser mm) enligt Arkivera informationen. Blanketter för samordningsnummer och skyddad identitet. SITHSkontor ORA kan begära SITHSkontor via blankett för Handläggarbehörighet. Till kontoret kopplas leveransadress, behöriga Handläggare samt avropbara kortprodukter. Fakturaadress för kontoret skickas till RAfunktionen f.v.b. TeliaSonera ekonomitjänst. ORA ansvarar för att säkerställa att inkomna postförsändelser med kort hanteras som rekommenderad post, även vid intern postbefordran, alternativt enbart av behöriga KRA/LRA/ORA. KRA En KRA kan inneha två olika nivåer av behörighet, dels en KRA-behörighet vilken tilldelas av ORA alternativt RA och inbegriper Skapa underlag samt Utlämnande av kort. För att erhålla behörighet att skicka in beställning krävs Handläggarbehörighet, denna tilldelas av TeliaSonera efter godkännande av Säkerhetsansvarig (för Västra Götalands RAorganisation är det säkerhetsdirektören i Västra Götalandsregionen) enligt särskild blankett. Alla handläggare skall genomgå personlig lämplighetsbedömning där ansvarig ORA ansvarar för riskbedömning utifrån levererat utdrag. I samband med ORA internrevision, första kvartalet varje år, ska samtliga KRA behovsinventeras om de fortfarande ska inneha rollen KRA.

17 2.6 (16)81 En KRA har möjlighet att beställa TjänsteID+ inkl. e-legitimation (korttyp 909) med viss reservation 4. Beställningsprocessen inkluderar tre steg: Skapa underlag för beställning - normal KRAbehörighet Skicka beställning (inkl. ev. fotografering) KRAbehörighet inkl. Handläggarbehörighet Utlämnande av kort normal KRAbehörighet KRA ansvarar för att RAPS samt Telias policy för utfärdande av företagskort tillämpas. KRA är den som garanterar att mottagaren av TjänsteID+ är säkert identifierad och har fått tillgång till relevant regelverk och rutiner. KRA ansvarar även för att följande arkiveras: kortbeställningar, samt kortkvittenser, uppgifter om ut-, återlämnade TjänsteID+. KRA utses normalt av ORA i eventuell samverkan med KRA s verksamhetschef, se vidare under Personlig lämplighet. För handläggare skall rollen godkännas av Säkerhetsansvarig. Utrustning: 1. Webbrowser samt SIS Capture Station (SCS) inkl. kamera Se Tekniska krav. 2. Blanketter Villkor för Telia e-legitimation varav alla mottagare skall ha sitt ex 3. Foldern Information till kortinnehavare/allmänna villkor innehållande bl.a. information om spärrning och eget ansvar samt 4. Informationsfoldern i visitkortsformat. 5. Tillgång till skrivare för beställningsunderlag samt kvittens. 6. Säkrad lagring av kort och arkivmaterial 7. 2 kortläsare. 8. En KRA måste ha en giltig e-postadress i sitt HCC-certifikat 9. Foldern De 7 stegen. 10. UV-lampa för kontroll av id-handlingar Handläggare En KRA kan, men behöver inte, inneha tilläggsbefattningen Handläggare. Rollen medger behörighet att beställa e-legitimation, dvs att få beställa TjänsteID+. Enbart utlämnande av TjänsteID+ kräver ej Handläggarbehörighet. En KRA med Handläggarbehörighet kan enbart beställa leverans till fördefinierad leveransadress, dessa benämns kontor och anges med sitt kontorsnummer. 4 Handläggarbehörighet krävs för att få skicka in beställning.

18 2.6 (17)81 Behörigheten beställs genom denna rutin. Det krävs ett TjänsteID+ av typ 909, inkl. e-legitimation för att kunna skicka beställning till Leverantör. Handläggarbehörighetsansökan godkänns av Säkerhetsansvarig som via RA skickar ansökan till TeliaSonera. För att beställa används Internet Explorer som anpassas för att lita på Telia. Se vidare Konfiguration av Internet Explorer. LRA LRA ansvarar för hantering av reservkort (korttyp 473), utfärdar reservkort med HCC samt arkiverar reservkortskvittenser samt utfärdar HCC till befintliga kort. LRA rapporterar spärrade kort till korthandläggare inom egna förvaltningen. LRA ansvarar för sin efterlevnad av RAPS inom sitt LRA-område. LRA ansvarar för inventering av reservkort. LRA utses normalt av ORA i eventuell samverkan med LRA s verksamhetschef. Utrustning: 1. Webbrowser 2. Förråd av reservkort samt tillhörande PIN-koder. Förrådet hanteras enligt Utfärdande av reservkort. 3. Foldern De 7 stegen 4. Tillgång till skrivare för beställningsunderlag samt kvittens. 5. Säkrad lagring av kort och arkivmaterial KUR KRA med utökade rättigheter En administratör med KUR-behörighet har möjlighet att: Beställa SITHS-certifikat (HCC) till personer med skyddade personuppgifter Söka ut information i SITHSadmin om personer med skyddade personuppgifter KUR-behörighet tilldelas av Säkerhetsansvarig och RA gemensamt. Inom Västra Götalands RAområde finns KUR-funktion på: Sahlgrenska Universitetssjukhuset NU-sjukvården (vakant) Södra Älvsborgs Sjukhus Skaraborgs Sjukhus TjänsteIDservice (Regionservice) En person med skyddade personuppgifter kan, när rollerna är besatta, själv välja KUR oavsett förvaltningstillhörighet. KUR skall genomgå personlig lämplighetsbedömning.

19 2.6 (18)81 Arbetsplats RA/ORA/KRA/LRA-arbetsplatsen skall finnas i låsbart utrymme. Arkivmaterial 5 skall förvaras i låsbart skåp i låsbart utrymme. Säkerheten skall anses som betryggande 6. Postfack skall säkerställas att de enbart är åtkomliga för behörig personal. Varje förvaltning/enhet bör genomföra en riskanalys utifrån lokala förutsättningar angående risken för stöld, inbrott, brand och översvämningar o.s.v. Resultatet bör ligga till grund för val av skåp. Personlig lämplighet Handläggare skall begära utdrag ur belastningsregister och visar detta,oöppnat, ORA för riskbedömning, först därefter ansöker ORA om Handläggarbehörighet hos säkerhetsansvarig för handläggaren. RA visar utdrag ur belastningsregister, oöppnat, till säkerhetsansvarig för riskbedömning, först därefter ansöker organisationen om RAbehörighet till Inera AB 7. Beslutet diarieförs. ORA tilldelas av RA efter ansökan av förvaltningschef, kommunchef eller motsvarande. Ansökan skall skickas från organisationens mailsystem. ORA visar utdrag ur belastningsregister, oöppnat, till RA för riskbedömning. KUR visar utdrag till RA som i samverkan med säkerhetsansvarig efter riskbedömning tilldelar KURbehörighet. KRA tilldelas av ORA, skriftlig försäkran från KRA s chef om lämplighet samt att KRA signerar att denne har tillräckliga kunskaper och förutsättningar för att agera som KRA. Detta arkiveras hos ORA. Personen begär själv utdraget ur Rikspolisstyrelsens belastningsregister enligt 9 1st lagen (1998:620) om belastningsregister. Linjechef som rekommenderar en person till rollerna LRA och KRA ska i sin bedömning innefatta: att chefen bedömer personens pålitlighet och noggrannhet, vana och följsamhet till regelverk, samt datorvana. 5 RAPS Telia policy för utfärdande av företagskort med e-legitimation Tjänsteavtal SITHS Tilläggsavtal till grundavtal för IT-Tjänster avseende beställning och utgivning av elektroniska tjänste-, organisations- och funktionscertifikat enligt SIHTS-konceptet RS (46)

20 2.6 (19)81 Arkivering Utdrag ur belastningsregister skall enbart uppvisas (i oöppnat kuvert) och inte tas emot ingen arkivering. RA rolltilldelning diarieförs. Utbildningsansvar och kunskapskrav RA ansvarar för att ORA och KUR har tillräcklig kunskap genom utbildning. ORA ansvarar för att KRA och LRA har tillräckliga kunskaper genom utbildning. RA respektive ORA ansvarar för att utbildningsnivån upprätthålls genom internrevision. Säkerhetsansvarig tillser att internrevisioner genomförs. Utbildning går även att köpa in från leverantör, se

21 2.6 (20)81 Samverkan övriga landsting, kommuner Personer från övriga SITHS-anslutna organisationer vilka inkommer med spärrbegäran för eget kort spärras av Västra Götalands RA-område. Västra Götalands RAorganisation accepterar att andra SITHSanslutna lägger sina HCC på våra kort samt att vi accepterar att lägga våra HCC på andras kort. Detta kan påverka funktionen och det behöver informeras kortinnehavaren att: 1. Det kan vara svårt att särskilja vilket certifikat som skall väljas då det inte alltid framgår vilken organisation det är utfärdat av. 2. Det är inte alltid lämpligt att ha flera certifikat på samma kort då vissa system inte klarar av detta utan alltid går på sist tillagda certifikat. Västra Götalands RAorganisation tillhandahåller ett HCC för nedladdning, valet att tanka ned certifikatet är upp till respektive kortinnehavare och är dennes ansvar att följa eventuella regelverk från kortutgivaren. Samverkan i utgivning De i RAområdet ingående region och kommuner samverkar vad gäller kort och certifikatsadministration 8. Samordnande funktion för detta är GITS 9. Ingående parter samordnas under TjänsteIDservice. 8 Beslut SITIV GITS Gemensam IT i Samverkan

22 2.6 (21)81 Kortutfärdande och återlämnande Beställning delas in i fem skeden: 1. Beställningsuppdrag 2. Beställningsunderlag 3. Beställning 4. Lämna ut kort/certifikat 5. Avregistrering/spärr av kort/certifikat TjänsteID+ Korttyp: 909 i SCS applikation TjänsteID+ av typ 909 innehåller tjänstecertifikat samt personlig e-legitimation. Regelverket för utdelande av e-legitimation kräver svenskt personnummer samt giltig legitimation och svensk folkbokföringsadress. För de som saknar svenskt personnummer kan korttyp 911 användas. Skyddad identitet använder kort 910. SITHS kräver en kvalitetsgranskad utgivningsrutin för att säkert veta vem som sitter på andra sidan Internet, samt har ett spårbarhetskrav för åtkomst över huvudmannagränserna. Fundamentet i SITHS är att den baserar sig på en giltig e- legitimation vilket innebär att en extern oberoende part har rätt att såväl ställa upp regelverk samt genomföra revision. Kontroll av identitet ska alltid föregå utlämning av SITHS-kort. Beställning av nytt kort Se även specialrutin Rutin för förnyelse av kort i fotoautomat. Roll: KRA Beställningsuppdrag För att beställa ett kort eller certifikat måste det alltid föreligga ett beställningsuppdrag från verksamhetschef eller motsvarande. Beställningsuppdraget kan vara individuellt eller ett generellt beslut inom förvaltningen vilka som skall ha TjänsteID+. Skapa underlag för tjänstelegitimationen Notera att personen som skall ha TjänsteID+ inte behöver vara närvarande när underlaget skapas! Logga in på SITHSadmin. Ditt eget administratörskort måste sitta i datorns kortläsare. Du får upp en ruta där du kan välja certifikat. Välj SITHS-certifikatet. Skriv in ditt lösenord för certifikatet och klicka Jag legitimerar mig. Du är nu inne på SITHSadmin.

23 2.6 (22)81 Välj att gå in på HCC administration. Sök upp den person som du skall skapa kort åt (sökvägen här är valfri: antingen i sökrutan, eller från trädet). Bland knapparna under personfältet välj Begär HCC till nytt kort Välj korttyp, fyll i giltighetstid, avsluta med signering och skicka. Du får uppmaning att signera med din säkerhetskod Kontrollera och markera underlaget i rutan för HCC-underlag. Beställ TjänsteID+ Organisationen är ansvarig för att kortinnehavaren styrker sin identitet vid beställning och utlämnande av TjänsteID+ och certifikat. Den som utför kontrollen (KRA) skall ha erforderlig kompetens för detta och tillgång till nödvändig information. Det bör påminnas om behovet av skärpt uppmärksamhet i syfte att förhindra bedrägerier i form av exempelvis identitetsstölder. SCS stödjer upp till 10 MB och leverantör rekommenderar max 25 beställningar. Fotografier får återanvändas i upp till en månad. Öppna SIS Capture Station i beställningsläge genom att klicka på fliken SCS Beställningar i SITHSadmin Du får upp en lista med namn och personnummer på de personer du beställt beställningsunderlag till. Kontrollera att vald person finns i listan. Välj Starta SCS i icke SIS-läge. SIS Capture Station startas. Välj den person du har valt sedan tidigare. Markera aktuell person. Klicka på öppna Kontrollera att informationen stämmer. I fältet Övrig info kan titeln anges. Saknas tilltalsmarkering i folkbokföringen kan begärt tilltalsnamn markeras mellan två /. Detta ger ett påpekande till kortfabriken vid produktion om önskat tilltalsnamn. Vid konflikt med folkbokföring har alltid den sistnämnda prejudikat.

24 2.6 (23)81 Klicka nästa. Kontrollera personens ID och fyll i vilken identitetshandling som personen använt. För kort utan foto (och därmed ingen personkontakt vid beställningstillfället) anges i SCS mottagarens personnummer i fältet för Intyg/nr.

25 2.6 (24)81 Klicka nästa. Välj antingen att fånga bild eller hämta bild. Om du väljer fånga bild, så ser du tagna kort i rutan under fotorutan, se till att det finns plats runt om motivet se exempelbilden i SCS. Om du väljer att importera bild skall alla bilder vara döpta med personnummer redan från fotograferingstillfället. Enbart av organisationen ägda kameror får användas, privata kameror eller mobilkameror är ej tillåtna. Huvudbonad får bäras enbart av religiösa eller medicinska skäl men ansiktet skall vara väl synligt. Det är handläggaren som avgör huvudbonads vara eller icke vara, kortleverantören ska acceptera bilderna som de kommer förutsatt att de har en tillräcklig bildkvalité. Figur 2 - Bilden ska as med luft runt motivet Välj ett foto och OK. Markera önskad bild. Nu har du lämnat Fotografera och kommit tillbaka till SCS. Välj det foto du vill ha.klicka nästa. Kontrollera att informationen stämmer.

26 2.6 (25)81 Skriv ut beställningsunderlag genom att trycka på knappen "Skriv ut". Beställningsunderlaget är Handläggarens kvittens på beställningen, inget arkiveringskrav på detta. Signera och stäng sedan SCS. När du har fått ihop högst 25 beställningar, skickar du dem till Gemalto. Skicka beställning Vänta gärna med att skicka iväg beställningen tills dess att det finns flera beställningar att skicka samtidigt, varje beställning medför en kostnad. Observera även att du måste stänga ner SIS Capture Station efter det att du gjort en beställning och sedan öppna programmet ifrån programmenyn igen för att kunna skicka iväg beställningen. För att skicka beställningen skall Telia e-legitimationscertifikat användas inte tjänstecertifikatet (HCC). Logga in i "SIS Capture Admin" från programmenyn på din dator Välj alternativet "Icke-SIS-kort" och klicka på knappen "Skicka beställningar till Gemalto AB". Markera de beställningar som ska skickas iväg och kontrollera att de är korrekta genom att klicka på knappen "Granska beställning". För att se fler beställningar klickar man på knappen "Nästa". Klicka på knappen "Skicka beställning(ar)" och underteckna beställningen genom att ange din PIN- kod för signering. Systemet frågar om handläggaren vill spara beställningen. Om så görs hamnar foton mm i mapp SIS Capture Station datum. Lämna ut TjänsteID+ elektroniskt PIN-koder till TjänsteID+ levereras till personens folkbokföringsadress. TjänsteID+ får endast lämnas ut till den person som kortet är utställt till. Personen måste vara närvarande med giltig ID-handling. Kortet levereras till beställande KRA. Säkerställ att KRA inte ser pin-koderna vid de tillfällena när PIN-kodskuvertet ombedes visas upp. Legitimera personen med giltig ID-handling. För information om vilka ID-handlingar som är giltiga och hur identifieringen ska gå till, se broschyren "De sju stegen". IDhandlingen ska även kontrolleras under UV-lampa. Tillse att mottagaren har tagit del av Villkor för Telia e-legitimation, måste erbjudas kortmottagaren i skriftlig form vid utlämning av kort.

27 2.6 (26)81 Ge mottagaren broschyr information till kortinnehavare/allmänna villkor (i A4-format) med tillhörande informationsbroschyr i visitkortsformat. Informera även muntligt mottagaren att kort och koder är en värdehandling där eventuellt missbruk kan påverka såväl tjänsten som privatlivet. Kontrollera med mottagaren om tidigare kort skall spärras. Inom Västra Götalands Läns RA-område del gäller ett ordinarie kort per organisation men mottagaren kan även ha tillåtna kort från andra utgivare. Lämna ut kortet genom att klicka på knappen Lämna ut kort och signera Utlämnande med din elektroniska underskrift. Sätt in användarens kort i kortläsare nummer 2. Tryck på "Kvittera" och låt personen kvittera mottagandet av TjänsteID+ med sin PIN kod för signering/underskrift efter att personen tagit del av och förstått kvittenstexten. Upplys mottagaren att kortet är en värdehandling vilket aldrig skall förvaras utan uppsikt eller ihop med tillhörande koder. Om personen sedan tidigare haft ett kort med tjänstelegitimation ska detta återlämnas och den gamla tjänstelegitimationen spärras Ej utlämnade kort Korten förvaras säkert inlåsta intill dess de kvitteras ut då de går att använda även om de inte blivit korrekt utgivna och mottagna. Kort som ej är utlämnade ska första kvartalet, nästkommande år, avregistreras. Arkivera information Överlämning av arkiveringsinformation till ORA respektive RA sker under säkra former, antingen genom personlig överlämning eller genom bud med kvittenser. Tillse att arkivbeständigt bläck används. Efter införande av elektronisk kvittering har behovet av pappersarkivering minskat. I de fall papperskvittenser används gäller följande: Registret administreras av ORA och skall förvaras med betryggande säkerhet, enbart tillgängligt för register-, och säkerhetspersonal samt vid kontrollbesök för av Telia utsedd kontrollant. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan hanteras. Dubbla ordinarie kort med e-legitimation eller samordningsnummer. Skulle någon verksamhet ha extremt viktigt skäl för att ha undantag som t ex att MT-utrustning och journal inte går att hantera annars ska begäran gå via informationssäkerhetsansvarig till koncernsäkerhetschefen. I underlaget ska också

28 2.6 (27)81 ingå ett svar från IT genom IT-säkerhetsansvarig, så att det är säkerställt att det inte finns någon teknik som kan lösa problemet på annat sätt 10. Återlämnande av kort TjänsteID+ Spärra e-legitimationer och TjänsteID+ Spärra tjänstelegitimation, personlig e-legitimation, och lokala behörigheter på TjänsteID+ enligt Spärr av kort Leta upp medarbetaren i SITHSadmin Aktivera funktionen Avregistrera kort. Ange orsak till avregistrering, se orsaksbeskrivning. Klipp itu kortet Kortinnehavaren ansvarar för att klippa TjänsteID+ både genom datachip och magnetremsan. I de fall en RA/ORA/KRA/LRA eller chef mottar ett kort som inte är ituklippt skall de göra det omedelbart. Ej återlämnade kort Kort vilka inte återlämnas när anställning/uppdrag inom organisationen upphört skall makuleras. Avisering om detta sker genom ORAmail. 10 Beslut i Informationssäkerhetsrådet

29 2.6 (28)81 Rutin för beställning av kort i fotoautomat Förutsättningar Utgivning av Företagskort med hjälp av fotostation förutsätter att: korttypen inte är SIS-kort Rutinbeskrivning 1. Den informerade personalen går till fotoautomaten. 2. Tar del av regelverket 3. Tar fotot vilket skall anpassas automatiskt enligt kortstandard 4. Personnummer matas in 5. Beställningen samt att NI tagit del av regelverket signeras med antingen a. Befintligt korts SITHScertifikat, eller b. underskrift på inbyggd skrivplatta 6. Fotot sparas ner till säker lagringsplats tillsammans med signatur och personnummer. 7. KRA plockar upp foto, signatur och personnummer. 8. Kontrollerar uppgifterna mot SITHSadmin. 9. Kortet beställs via SIS Capture Station med angivande av a. NI personnummer under intyg. 10. Koder kommer hem till beställande persons folkbokföringsadress 11. Tid bokas hos KRA 12. KRA lämnar ut kortet efter sedvanlig identitetskontroll samt kontroll av att foto stämmer med person.

30 2.6 (29)81 Tjänstelegitimation till befintligt kort Kan vara anställda inom andra landsting eller kommuner vilka skall arbeta inom Västra Götalandsregionen eller kommunen. HCC från Västra Götalandsregionen kan laddas ned på andra (SITHS-) utgivares kort, samt Västra Götalandsregionens kort kan användas för andra (SITHS-) utgivares HCC. Se vidare Samverkan övriga landsting, kommuner. Skapa underlag för tjänstelegitimation Personen som ska få tjänstelegitimation till ett befintligt kort behöver inte vara närvarande när underlaget för tjänstelegitimationen skapas. Roll: LRA Användarens identifiering sker med hjälp av sitt befintliga kort. Logga in i SITHSadmin och sök upp personen i systemet Välj "Begär HCC till befintligt kort". Välj giltighetstid på tjänstelegitimationen som motsvarar personens anställnings- eller uppdragstid. Maximal giltighetstid för en tjänstelegitimation är fem år, men giltighetstiden för tjänstelegitimationen kan aldrig överstiga kortets giltighetstid. Signera och skicka beställningen genom att klicka på "Signera och skicka" Nedladdning av tjänstelegitimation Detta görs av personen som ska få tjänstelegitimationen. Roll: Kortinnehavaren Kortinnehavaren hämtar sin tjänstelegitimation via HCC Självadministration. Se Självadministration.

31 2.6 (30)81 Reservkort Roll: LRA Korttyp 473. Reservkortet är kort utan foto och personuppgifter. Reservkortet har ett serienummer tryckt på kortets utsida som fungerar som kortets kortnummer. I chipet på reservkortet finns ett transportcertifikat, istället för en personlig e- legitimation som på de ordinarie TjänsteID+, och en tjänstelegitimation. På reservkortet finns även magnetremsa och mifareslinga som kan användas om lokala behörigheter ska kopplas till kortet enligt lokala regelverk. En tjänstelegitimation kopplad till ett reservkort är likadan och används på samma sätt som en tjänstelegitimation kopplad till ett TjänsteID+. Den lokala förvaltningen bedömer i vilka situationer ett reservkort ska utfärdas, exempelvis: 1. en person inte har möjlighet att få ett TjänsteID+. Till exempel om personens uppdrag inom Västra Götalandsregionen är mindre än sex månader. 2. en person har glömt eller tappat bort sitt ordinarie TjänsteID+. Allmänt: Personen som ska få reservkortet måste vara närvarande vid beställningstillfället och kortet ska lämnas ut vid samma tillfälle. Utfärdande av reservkort Oanvända reservkort samt PINkuvert förvaras säkert och inlåst. Identifiera personen Legitimera personen med giltig ID-handling. För information om vilka ID-handlingar som är giltiga och hur identifieringen ska gå till, se broschyren "De sju stegen". I undantagsfall kan alternativet "känd" användas om så är fallet! Beställ tjänstelegitimation till reservkortet Plocka fram ett brev innehållande reservkort samt koder. Logga in i SITHSadmin och sök upp personen i systemet Välj "Begär HCC till reservkort". Registrera vilken legitimation användaren visat för att styrka sin identitet. Ange reservkortets kortnummer (står skrivet på kortet). Sätt en giltighetstid för den tjänstelegitimation som begäran avser. Signera beställningen genom att klicka på Signera och skicka och ange din PIN-kod för signering.

32 2.6 (31)81 Lämna ut reservkort och PIN-koder Lämna ut kortet genom att klicka på knappen Lämna ut kort. Ge användaren broschyr information till kortinnehavare/allmänna villkor Efter att mottagaren tagit del av och accepterar villkoren skrivs mottagarens kvittens ut på papper och signeras av mottagaren, kvittenserna arkiveras inom respektive ORA-område. Upplys mottagaren att kortet är en värdehandling vilket aldrig skall förvaras utan uppsikt eller ihop med tillhörande koder. Lämna ut information om reservkort till personen. Kortet innehåller ännu inte något HCC, informera personen om hur tjänstelegitimationen hämtas till kortet med hjälp av Självadministration. Har mottagaren mailadress skickas länk till Självadministration. Arkivera information Arkivera eventuell papperskvittens på din arbetsplats i en pärm över utlämnade reservkort. Kvittenserna arkiveras säkert och inlåst i 15 år inom respektive ORAområde. Kvittenserna skall vid revision kunna redovisas skyndsamt. Nedladdning av tjänstelegitimation Roll: Kortinnehavaren. Kortinnehavaren hämtar själv (eller med hjälp av LRA) sitt tjänstecertifikat (HCC) genom Självadministration. Mail med länk till Självadministration skickas med automatik till mottagaren från SITHS när kortet lämnas ut. Återlämnande av reservkort Spärra tjänstelegitimationen på reservkortet Kontrollera om tjänstecertifikatet har gått ut, om inte spärra certifikatet enligt Spärr av tjänstecertifikat. Destruering av reservkortet Avregistrera kortet och klipp reservkortet både genom datachip och magnetremsan varefter delarna kan slängas. Använt reservkort får inte återanvändas till annan person. Återanvändning av reservkort Ett reservkort kan få förnyat HCC till samma innehavare, välj HCC till reservkort. Användaren rekommenderas att först ta bort det tidigare inaktiverade certifikatet genom att följa Självadministrations Ta bort utgångna/spärrade HCC.

33 2.6 (32)81 Förnyelse av HCC till befintligt reservkort kräver förnyad identifiering. För att få spårbarhet ska kortet avregistreras och sedan lämnas ut igen till samma person. Utgivning av reservkort på distans med LRA och reservkortsadministratör. Syftet med tjänsten är att tillhandahålla funktionen att utfärda reservkort för att säkerställa att personalen alltid har tillgång till verksamhetens system. Reservkort används då den anställde glömt eller förlorat sitt ordinarie SITHS-kort. Tjänsten utförs av LRA som arbetar i SITHS Admin med hjälp av en kortutlämnare i verksamheten. ORA (motsv.): ORA (motsv.) ansvarar för att det alltid finns reservkort, PIN-koder, kvittenser inom egen verksamhet. Dessa ska förvaras inlåsta. Kortutlämnare Organisationen utser i förhand vilka personer som ska ha rollen kortutlämnare och var reservkort, koder och kvittenser ska förvaras. Förteckning över kortutlämnare skall finnas hos tjänsteansvarig ORA. Som kortutlämnare är du ansvarig för att reservkortmottagaren skriver under en papperskvittens. Kvittenserna skickas till tjänsteansvarig enligt lokal rutin. LRA Administratör med rollen LRA ska finnas tillgänglig.

34 2.6 (33)81 Tjänsteansvarig Ansvarig för distansutgivningsprocessen. Kortutlämnare Kortutlämnare ansvarar för identifiering och lagerhållning av ej utlämnade reservkort. Rutin för utlämning av reservkort med LRA och kortutlämnare via fax eller inskannat per e-post.: Kortutlämnare: 1. Kontrollera legitimation för den person som ska ha reservkort 2. Blivande reservkortsmottagare fyller i sina uppgifter på ansökningsblankett. 3. Kortutlämnaren kontrollerar identitet och anger detta på blanketten, samt egna personuppgifter och undertecknar. 4. Ta fram ett kuvert med reservkort och PIN-koder, notera kortnummer på blanketten och lämna ut kuvertet. 5. Reservkortsmottagaren kontrollerar kortnummer kvitterar mottagandet. 6. Kortutlämnaren faxar blanketten till LRA och ringer LRA och aviserar beställningen. 7. Ge användaren broschyr information till kortinnehavare/allmänna villkor Vid inkommen beställning via fax utför LRA: 1. Kontrollerar korrekt ifylld blankett samt jämför e-postadress på blankett och SITHSadmin 2. LRA beställer certifikat till reservkortet och anger kortutlämnarens personnummer i fältet för intyg 3. Kortet lämnas ut i SITHSadmin 4. E-post skickas till reservkortsmottagaren med information att ansökan är åtgärdad med kopia till tjänsteansvarigs funktionsbrevlåda 5. Utförande LRA signerar utförd handling på blanketten 6. Inkommen och av LRA utförd beställning arkiveras i 15 år hos ORA. Rutin för utlämning av reservkort med LRA och reservkortsadministratör via motringning. Kortutlämnare: 1. Kontrollera legitimation för den person som ska ha reservkort 2. Ta fram ett kuvert med reservkort och PIN-koder och en ansökningsblankett 3. Ser till att mottagaren kontrollerar att kortnummer är lika på kort och kuvert 4. Kontakta LRA enligt rutin 5. Informera LRA vem du är och vilken organisation du tillhör och att du vill ha hjälp med reservkortsutgivning. 6. Du avslutar samtalet så att LRA kan motringa dig på fördefinierat telefonnummer.

35 2.6 (34)81 Vid motringning vill LRA veta följande: 1. Personnumret på den som ska ha reservkortet 2. Kortnumret 3. Hur identiteten är kontrollerad 4. Kortutlämnarens personnummer LRA beställer certifikat till reservkortet och anger kortutlämnarens personnummer i fältet för intyg Kortutlämnare och reservkortsmottagare skriver under kvittensblanketten, denna lagras enligt Arkivera information. Utgivning av SITHS reservkort på distans utan kortutlämnare 1. LRA skickar reservkortskuvert med reservkort och PIN-koder, manuell reservkortskvittens och informationsmaterial med rekommenderad post till personens arbetsplats. 2. Kortmottagaren returnerar Ifylld reservkortskvittens 3. När underskriven kvittens mottagits skapar LRA HCC för reservkort. Reservkortskvittensen arkiveras. 4. LRA lämnar ut kortet i SITHSadmin med ID-sätt Identifierad med rekommenderad post.

36 2.6 (35)81 Reservkort till personer utan svenskt person-id (Crossborder) Till personer som saknar svenskt person-id (personnummer eller samordningsnummer) kan enbart reservkort utfärdas. Identifiering av personpost i HSAkatalog sker genom respektive katalogansvarig med giltigt pass. Slutdatum får ej överskrida passets giltighetstid. Så snart personposten finns upplagd i HSA kan LRA utfärda reservkort till kortmottagaren enligt nedan reservkortsrutin. Personlig identifierarare är passnummer istället för personid. SITHSadmin känner av att fältet person-id inte är ett korrekt person-id och förutsätter att det är ett passnummer certifikatet skapas därför inte av SITHS utan av Crossborder-CA (SITHSliknande certifikat). För att använda Crossborder-SITHS krävs att nyttjande system, förutom att lita på SITHS CA v3 och SITHS CA V1, även litar på Crossborder CA. Förutsättning Förutsättningen för när ett pass kan användas som identifieringssätt är att: 1. passinformationen stämmer med de uppgifter som finns inlagda i HSA 2. att det är ett certifikat från Crossborder CA som utfärdas till ett reservkort Identifiering Identifiering av utländska personer med utländska pass sker med hjälp av antingen intygsgivning eller PRADO i kombination med UV-ljus. Identifiering med intygsgivning: Kontrollera pass, intyg och intygsgivarens legitimation enligt rutin för intygsgivning. I de fall personen befinner sig utomlands kan distansrutin med REK-brev användas för utlämning. Som identifieringssätt anges Intygsgivning med KRA s personnummer där KRA intygar att identifieringskontrollerna utförst. Identifiering med utländskt pass: Använd PRADOrutinen. AutentiScan eller DocumentChecker används inte i dagsläget inom Västra Götaland. Verifieringssteg av pass: 1. Gör en helhetsbedömning av personen a. Jämför fotot med innehavaren b. Jämför andra detaljer som tex ålder och längd 2. Kontrollera sista giltighetsdatum. 3. Kontrollera säkerhetsdetaljer (kontrollera mot PRADO nedan vad som ska kontrolleras)

37 2.6 (36)81 a. Vattenmärken och genomsiktsbild: Håll upp handlingen mot ljuset. b. Säkerhetstrådar c. Sidans och fotots integritet d. Känn, se och vippa på passet. En bild eller tecken kan bli synlig eller förändras när man vippar på det. e. Kontrollera mikro- och minitext gärna med förstoringsglas. f. Intagliotryck - guilloché - mönster med tunna linjer g. Särskilda trycktekniker får bläcket att kännas upphöjt eller tjockare. För att känna ett upphöjt intagliotryck låt fingret löpa över det eller skrapa försiktigt på det med nageln. h. Optiskt säkerhetsdetaljer 4. Kontrollera med UV-lampa Om du misstänker att handlingen är ogiltig kontakta ORA/RA eller säkerhetsansvarig. Fotostatkopiera passet. Lämna inte ut SITHS-kortet Kontroll mot PRADO och UV-ljus För pass utfärdat av ett EU eller ESS-land kan PRADO användas. PRADO - Public Register of Authentic identity and travel Document Online är ett offentligt register över äkta identitets- och resehandlingar online, vilken tillhandahålls av EU. I PRADO finns information om säkerhetsdetaljer på identitets- och resehandlingar. Använd UV-lampa för att kontrollera de säkerhetsdetaljer i passet som framträder vid UV-belysning. Utrustning: PRADO: Förstoringsglas UV-ljus Kontroll mot DocumentChecker och UV-ljus Webbtjänst från företaget Keesing. Här finns bilder av specificerade exemplar av idhandlingar samt funktion för att kontrollera att en MRZ-kod överensstämmer med övriga passuppgifter. Använd UV-lampa för att kontrollera de säkerhetsdetaljer i passet som framträder vid UV-belysning. Utrustning: DocumentChecker: Licens för applikationen Förstoringsglas UV-ljus Kontroll med AutentiScan Produkt från företaget Keesing som kontrollerar samtliga säkerhetsdetaljer mot specificerade exemplar i deras databas. Programvara och helpdeskfunktion ingår.

38 2.6 (37)81 Utrustning: AutentiScan: Hårdvara med prenumerationslicens.

39 2.6 (38)81 TjänsteID+ för personer med skyddad identitet Korttyp 910 Roll: KRA med KUR-behörighet Förvaltningsgrupp TjänsteID+ rekommenderar dock att detta utförs av ORA med KRA/KUR-behörighet i syfte att begränsa insyn gällande dessa personer. Tillse att enbart Handläggare med ansvar för hantering av personer med skyddad identitet såväl utför, hanterar och arkiverar uppgifterna. Arkivmaterialet skall vara inlåst i säkert kassaskåp som enbart är tillgängligt för ovan. Kort med e-legitimation kan utfärdas av Handläggare med behörighet till kort 910 själva certifikaten kräver rollen KUR. Skyddade personuppgifter är all slags information som direkt eller indirekt kan hänföras till en fysisk person, vilka på olika sätt är sekretessbelagda. Kort till personer med skyddade personuppgifter skall beställas till kontor som enbart KUR har behörighet till. Behörighetstilldelning sker av RA samt Säkerhetsansvarig gemensamt. Beställning av TjänsteID+ Beställning av TjänsteID+ för personer med skyddade personuppgifter sker nu elektroniskt. PIN-koder till medarbetarens kort sker med rekommenderad post och PIN-brevet levereras till personens folkbokföringsadress via Skatteverkets förmedlingskontor vilket kan innebära fördröjning intill att det når mottagaren. Om personen tidigare haft ett SITHSkort av annan korttyp kan detta behållas så länge ingen PUKkod behöver beställas 11. Eventuella frågor gällande inkommen beställning från kortleverantörens sida skall alltid gå via telefon eller via mail från kortleverantören till Handläggaren att kontakt 11 Rutin för utgivning av SITHS till personer med skyddade personuppgifter 3.0

40 2.6 (39)81 söks per telefon. Som sista instans kontaktas RA-funktionsbrevlådan att telefonkontakt söks. Elektronisk beställning Beställ i vanlig ordning i SITHSadmin med tillägget att kryssa i kryssrutan PMSI Skyddade personuppgifter och signera detta. Tillse att det är korttyp 910 som beställs! Utlämning av TjänsteID+ för personer med skyddade personuppgifter Se till att mottagaren har tagit del av skriftlig kopia Villkor för Telia e-legitimation samt broschyr Information till kortinnehavare/allmänna villkor samt utför normal identitetskontroll. Telias villkor måste erbjudas mottagaren i skriftlig form vid kortutlämningen. Personen finns i HSA/SITHS Personen kvitterar mottagande elektroniskt. Utgivning av HCC till personer med skyddade personuppgifter Reservkort 473 får ges ut till personer med skyddade personuppgifter (sedan april 2014). KUR söker upp personen i SITHSadmin och begär HCC till befintligt kort eller HCC till reservkort Arkivering Tillse att enbart handläggare med ansvar för skyddad identitet har tillgång. Elektronisk arkivering sker i systemet med enbart behörighet för KUR. Eventuella pappersarkiv administreras av KUR och skall förvaras med betryggande säkerhet, enbart tillgängligt för register- och säkerhetspersonal samt vid kontrollbesök för av Telia utsedd kontrollant. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan hanteras. Kvittenser arkiveras i kassaskåp, tillgängligt enbart för KUR, och inlåst i 15 år.

41 2.6 (40)81 TjänsteID+ för personer med samordningsnummer Korttyp 911 Samordningsnummer ser ut som vanliga personnummer men där födelsedagen är ökad med 60. Roll: KRA med Handläggarbehörighet Personer vilka inte har svenskt personnummer men däremot samordningsnummer kan erhålla ett kort med samma utseende som ordinarie TjänsteID+ men utan e- legitimation. Korttyp 911 Korttyp 911 beställs elektroniskt. Intygsgivning sker alltid. Kontrollera intyg och intygsgivarens legitimation Beställ HCC till nytt kort Klicka i personen har ingen folkbokföringsadress i Sverige Välj korttyp Skriv in personens vistelseadress i Sverige i adressfälten och slutför kortbeställningen i SCS enligt gällande intygsgivning. PIN-koden får inte skickas till xra eller kortkontor. Skulle kortmottagaren inneha en xraroll ska adressen till RA anges.

42 2.6 (41)81 När kort och koder levererats: Kontrollera att uppgifterna på kort och chip stämmer Lämna ut kort och kodkuvert Kortet lämnas ut med intygsförfarande. Lämna ut Information till kortinnehavare / Allmänna villkor på plats. Arkivering Kvittenser och intygsgivningsblanketter arkiveras. Registret administreras av ORA och skall förvaras med betryggande säkerhet, enbart tillgängligt för register-, och säkerhetspersonal samt vid kontrollbesök för av Telia utsedd kontrollant. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan hanteras. Uppgifterna sparas i 15 år. Personer med svensk identitet men med utländsk folkbokföringsadress Personer med svensk identitet men med utländsk folkbokföringsadress kan inte erhålla e-legitimation. Detta gäller även personer bosatta ex-territoriellt som ambassader eller konsulat, eller personer som utvandrat. Till dessa personer beställs samordningskort enligt rutin för samordningskort, personens personnummer används då istället för samordningsnumret. Adress för PUK-brev skrivs direkt i SCS. PIN-koderna får inte skickas till xra eller kortkontor. Skulle kortmottagaren inneha en xraroll ska adressen till RA anges. Studentkort (918) Korttyp 918 enligt nationell SITHS-standard. Vi utfärdar enbart reservkort till studenter intill fastställda rutiner för hur avregistrering kan ske. Kortet är utan fotografi men med namn och personnummer. Studenten får sitt kort med HCC giltigt kortets giltighetstid och behåller därefter kortet med e-legitimationen. Behörig beställare är alltid inifrån organisationen och behörig beställare ansvarar för beställning av avregistrering efter att studenten är klar med sin utbildning. En förutsättning är även att behörig beställare genomför terminsvis avstämning med respektive högskola om studenten fortfarande genomför sin utbildning. I SCS anges Utfärdad enligt rutin för utfärdande av kort utan foto och underskrift i fältet för Intyg/nr.

43 2.6 (42)81 Konsultkort (480) Korttyp 480 enligt nationell SITHS-standard. Kortet innehåller namn, titel och organisationen personen företräder. I SCS mottagarens personnummer i fältet för Intyg/nr. Privata vårdgivare (431, 411, 454) Kort till privata vårdgivare kan nyttja kortprodukt 431 med kundnummer och Västra Götalandsregionens logotyp ersätts med logotypen för TjänsteID. Kortprodukt 431 innehåller inget fotografi men namn, personnummer och titel samt e-legitimation och SITHS-certifikat. För skyddade personuppgifter samt personer med samordningsnummer finns även kort 411 samt 454. I SCS anges mottagarens personnummer i fältet för Intyg/nr.

44 2.6 (43)81 Avtalade privata vårdgivare med Västra Götalandsregionen ansvaras av ORA för koncernkontoret. Utfärdande av kort till privata vårdgivare sker av TjänsteIDservice på uppdrag av koncernstab Hälso- och sjukvård. Förteckning över anslutna företag skall kunna levereras skyndsamt.

45 2.6 (44)81 Kommunkort Kommunkorten (kortprodukt 909, 910 samt 911 samt reservkort 473) särskiljs varandras logotyper med kundnummer enligt nedan: Kommun Kundnummer Kommun Kundnummer Ale Munkedal Alingsås Mölndal Bengtsfors Orust (Henån) Bollebygd Partille Borås Skara Dals-Ed Skövde Essunga Sotenäs (Kungshamn) Falköping Stenungssund Färgelanda Strömstad Grästorp Strömstad Reservkort Gullspång Svenljunga Göteborg Tanum Götene Tibro Herrljunga Tidaholm Hjo Tjörn Härryda Tranemo Karlsborg Trollhättan Kungälv Töreboda Lerum Uddevalla Lidköping Ulricehamn Lilla Edet Vara Lysekil Vårgårda Mariestad Vänersborg Mark Åmål Mellerud Öckerö 47231

46 2.6 (45)81 Utgivning av HCC till andra kort än SITHS Kraven är att det finns en betrodd utgivare, som Telia e-legitimation (HW CA v1/telia EU HW CA), e-legitimation för samordningsnummer (EnterpriseCA) och reservkortens transportcertifikat (Telia Card Identifier CA v1) för utgivning av certifikat i SITHS CA eller annan part enligt Nämnden för e-legitimation. Tekniska beroenden som kommunikationen med kortets chip på en klientdator hanteras av aktuell CSP, dvs. mjukvara på klientdatorn (SITHS erbjuder via ett generellt avtal programvaran Net ID). Många CSP hanterar många olika typer av kortchip, men inte alla chiptyper. Det är dock viktigt att kortets chip kan hantera både signerings- och autentiseringsnycklar för att SITHS modell ska rymmas i det. SITHSadmin kopplar ihop en kortbeställning med utfärdandet av underlag för certifikat. När kortet tillverkas hämtas underlaget för certifikat och används för att tillverka ett certifikat i samma process. Alla uppgifter om kortets serienummer, certifikatets serienummer, administratör som utfärdade kortet m.m. sparas i SITHSadmin. Ges ett nytt certifikat ut kopplas även detta till kortet. Om aktuellt kort inte är ett kort som beställts och tillverkats i SITHS-systemet kommer inte SITHSadmin kunna hantera uppgifter kring kort och e-legitimation. Information på magnetremsa och RFID-chip kan heller inte administreras. Godkända korttyper För att bli godkänd korttyp krävs: SITHSkompatibelt primärcertifikat inga avtalsrättsliga hinder möjlighet att hantera såväl legitimering som signeringscertifikat godkännande av SITHS Förvaltning godkännande av Förvaltningsgrupp TjänsteID+ I dagsläget kan HCC beställas till nedanstående korttyper/primärcertifikat: skatteverkets kort intill mars 2013 då det delar samma CA på primärcertifikatet (TeliaSoneras e-legitimation: HW CA v1/telia EU HW CA). Telia e-legitimation EU HW CA v1 ( ) Thumbprint = 07 cb 51 6e bf a5 e2 7e b3 1f a1 9d Telia e-legitimation HW CA v3 ( ) Thumbprint = 8c 6f 3b 02 d0 10 fe 90 c6 0a 1b d 2c b3 5f Telia Enterprise CA v3 ( ) Thumbprint = 34 f4 df c8 bf fd ed f2 5e c2 4d 5b db e5 Telia Enterprise CA v4 ( ) Thumbprint {18 e1 db 1e d2 3e 58 c9 54 b3 1a 29 0f 0e 64 1d 40 1f d3 c9} Telia Card Identifier CA v2 ( ) Thumbprint = 6e a aa c ac a7 8b 28 7e 24 f1 d8 ee ed 09 5c

47 2.6 (46)81 HCC till befintligt kort utanför SITHS Rutinen att utfärda HCC är densamma som för HCC till befintligt kort. Spärrning Om aktuellt kort som skall spärras inte är ett kort som beställts och tillverkats i SITHS-systemet kommer inte SITHSadmin kunna hantera uppgifter kring kort och e- legitimation. Spärr av kort och e-legitimation behöver då utföras hos utgivande part. Information på magnetremsa och RFID-chip kan heller inte administreras. Västra Götalands RA-område kan och skall spärra våra egna certifikat (HCC) på andras kort och uppmana användaren att kontakta utgivaren (Skatteverket) för spärr av primärcertifikat och kort. Certifikat utfärdade på andra kort saknar kortinformation i SITHSadmin men i Statistik och Loggar får man fram att certifikat är knutet till kortet.

48 2.6 (47)81 Administration Spärrning Roll: KRA, LRA samt ORA KRA kan spärra kort, LRA/ORA kan spärra certifikaten När ett kort avregistreras (spärras) avregistreras även e-legitimationen. Tjänstecertifikatet (HCC) spärras omedelbart när ett kort avregistreras av KRA. Kortet (gäller inte reservkort) står som avregistrerat i systemet tills Leverantör återkopplat i sina system då status ändrat till makulerat (kort avregistrerade före nov 2010 kan dock fortfarande stå som avregistrerade). Spärr av kort och e-legitimation Endast kortinnehavaren själv kan hos KRA begära spärrning av sitt TjänsteID+ och den personliga e-legitimationen. I undantagsfall kan även verksamhetsansvarig för personen göra det. Identifiera personen med en förenklad form av identifiering, t ex genom motringning och/eller genom att ställa kontrollfrågor. Spärra kort, e-legitimation och SITHScertifikat genom att välja Avregistrera kort. Spärr av kort, e-legitimation samt SITHScertifikat (KRA) Logga in i SITHSadmin. Sök upp personen vars kort, e-legitimation och tjänstelegitimation ska spärras. Välj Avregistrera kort Ange på vilket sätt personen identifierats. Förlorat TjänsteID+ som av någon anledning är borttappat, har försvunnit eller blivit stulet. Slutar anställning Person som har mottagit TjänsteID+, som slutar sin anställning i Västra Götalandsregionen eller kommunen och/eller returnerar sitt kort till förvaltningen. Teknisk anledning TjänsteID+ som inte fungerar (trasigt chip/mifare/magnetremsa eller sprucket) Ospecificerad Används endast i undantagsfall. Ej återlämnat Person med mottaget TjänsteID+, som slutar sin anställning och inte återlämnar sitt kort till förvaltningen. Ej utlämnat Person som slutar anställning och som inte hämtat ut sitt TjänsteID+ Kort ersatt TjänsteID+ som blir ersatt av nytt TjänsteID+ (namn- eller titelbyte) Signera och skicka beställningen genom att klicka på "Signera och skicka" och sedan ange din PIN- kod för signering.

49 2.6 (48)81 Spärr av enbart SITHScertifikaten (LRA och ORA) Logga in i SITHSadmin. Sök upp personen vars tjänstelegitimation ska spärras. Normalt spärras två certifikat, ett för legitimering (Aut) och ett för signering (sign) då dessa tillsammans skapar ett certifikatspar. I rutan till höger HCC (Giltigt t.o.m., typ): markera certifikatet som skall spärras och välj spärra. Upprepa för det andra certifikatet. Användaren kan därefter via Självadministration gå in och begära att radera spärrade certifikat från sitt kort. Kortinnehavare kan även själv gå in i SITHS Självadministration och begära spärr av sina certifikat. Spärr av övriga funktioner Om lokala behörigheter som passage mm är kopplade till kortet kontakta respektive funktion och meddela att behörigheter till TjänsteID+ ska spärras. Om SITHS-systemet inte är tillgängligt Registrera manuellt spärrbegäran inklusive tidsangivelse och uppdatera så snart systemet är tillgängligt. Manuellt registrerade och i SITHS införda spärrningar arkiveras under certifikatets livstid i syfte att underlätta loggkontroll i de fall certifikatet används otillbörligt mellan brukarens spärrbegäran och till dess certifikatet finns på spärrlista Nyttjande av Telia spärrtjänst Spärrning skall enligt avtal i möjligaste mån ske av RA-organisationen inom Västra Götalands Län. Utanför kontorstid kan TeliaSoneras spärrtjänst nyttjas Limbokontroll via ORA-mail Till hjälp för ORA inom Västra Götalandsregionen finns funktionsbrevlådor i Notes: ora.raindance-företagsnummer@vgregion.se. Från Katalog i Väst skickas information till ansvarig ORA en månad efter att sista anställningen inom Västra Götalandsregionen upphör. ORA kan då spärra personens kort och certifikat. Reklamation Korten kan reklameras inom ett år Test av kort Ett SITHSkort kan testas via Går det att läsa ut kortinformationen fungerar kortet. Användaren kan även testa sina PIN-koder för både legitimering som signering samt kontrollera om kortet blivit spärrat.

50 2.6 (49)81 Beställning av PUK-kod Roll: KRA Identifiera personen Endast personen som TjänsteID+ är utställt till kan begära PUK- kod till kortet. Nytt PUKbrev medför tilläggskostnad. Beställ PUK-kod Logga in i SITHSadmin och sök upp personen som ska få en ny PUK-kod Välj "Begär PUK till befintligt kort". Kontrollera vilket kortnummer som PUK-koden ska beställas till och markera det i systemet. Signera beställningen genom att trycka på "Signera och Skicka" och sedan ange din PIN- kod för signering. PUK-koden skickas till personens folkbokföringsadress som rekommenderat brev att hämta ut. Beställs PUK-brevet inom 30 dagar efter kortets tillverkning, och kortet har status Skickat, skickas ett identiskt PUK-brev innehållande 1 PUK-kod samt 2 PIN-koder. Sker PUK-beställningen efter 30 dagar innehåller det enbart en PUK-kod. Användaren måste då först välja nya PIN-koder innan utlämning kan ske. Adressen en PUK skickades till är sedan synlig i SITHSadmins personvy Beställ PUK-kod till personer med samordningsnummer kort 911 Personer med samordningsnummer har inga folkbokföringsadresser registrerade. Dessa PUK beställs manuellt via Ineras kundtjänst. I beställningen anges kortnummer, samordningsnummer, önskad leveransadress för PUK-koden, samt kontaktuppgifter för beställaren. Personen ska ha legitimerat sig vid ett personligt möte innan beställning. PUKbrev som inte levererats Har inte PUKbrevet levererats inom 5 arbetsdagar, anmäler korthandläggaren att det finns ett saknat PUKbrev till Ineras Servicedesk. I anmälan anger du namn, HSA-id och kortnummer för den person som inte fått sitt PUKbrev, samt datum när beställningen av PUKbrevet gjordes. Om PUKbrevet har skickats från PUKbrevsleverantören kommer du att få tillbaka ett rekbrevsnummer som du kan använda för att spåra försändelsen på postens

51 2.6 (50)81 webbplats. Om det inte finns ett reknummer på denna beställning, kommer ett nytt PUKbrev att skickas till dig omedelbart. PMSI Personer med skyddad identitet PUK-koder till PMSI kan inte slås via SPAR och rekbrev förmedlas inte. Beställ nytt kort Beställning av reservkort Roll: KRA Beställning av reservkort utförs i SITHSadmin. Markera den egna organisationens namn och välj knappen Beställ reservkort. Ange antal, korttyp (473) samt kontorsnummer (vartill reservkorten levereras). Signera och skicka.

52 2.6 (51)81 Tilldelning av roller Roll: RA samt ORA Endast underordnade roller kan hanteras. KUR-behörighet tilldelas av RA efter godkännande av Säkerhetsansvarig. Krav vid tilldelning av behörighet framgår av kapitlet Rollförteckning. Öppna och logga in i SITHSadmin. Sök upp och välj personen som skall tilldelas en roll. Klicka på Tilldela roll och markera den organisationsgren behörigheten skall gälla för. Signera och klicka på knappen stäng. Handläggarbehörighet För KRA-behörighet som Handläggare skall anmälan skickas till Cygate. Räkna med 30 arbetsdagar hos Leverantör. Se Rollbeskrivning. Nedanstående blankett skickas från respektive ORA till Säkerhetsansvarig som efter godkännande skickar blanketten till RA-funktionen f.v.b. Cygate AB. Blankett för Handläggarbehörighet: Telias Bilaga 1.3 Information om handläggare hämta från under dokument / avtal. Kundnummer för Västra Götalandsregionen är I de fall en handläggare ska ha många kundnummer så anges dessa på sidan 2. Varje inskickad bilaga 1.3 ersätter all tidigare information! Var därför noga med att se till att befintliga behörigheter finns med. Borttag av Handläggarbehörighet Blankett för Handläggarbehörighet: Telias Bilaga 1.3 Information om handläggare enligt ovan. Blanketten skickas, utan att passera Säkerhetsansvarig, till RAfunktionen. Registrering av nya kontorsnummer Använd blankett för Handläggarbehörighet: Telias Bilaga 1.3 Information om handläggare. Ange önskad leveransadress under Kontors/Leveransadress varvid ett tilldelat kontorsnummer kommer i retur från Leverantör. Blanketten skickas tillsammans med önskad faktureringsadress till RAfunktionen.

53 2.6 (52)81 Beställning av tillbehör Beställning av SIS Capture Station beställningsstation SIS Capture Station beställs från Cygate. Blankett: Telias Bilaga Tilläggsbeställning. Denna sida skickas till Cygate AB Beställning av externa kortläsare och andra tillbehör Sker genom registrering på Cygates kundweb. För VGR kan beställning kan även göras hos VGR IT eller Marknadsplatsen. Beställning av reservkort Reservkort beställs via SITHSadmin. Behörig att beställa reservkort är KRA med Handläggarbehörighet för kort 473. Markera den egna förvaltningen i SITHSadmin och välj knappen Beställ reservkort. Ange antal samt kontorsnummer, signera och skicka beställningen.

54 2.6 (53)81 Utfärdande av servercertifikat (funktionscertifikat) PKCS 10 kan utfärdas genom SITHS försorg. Förutsätter att serverobjektet förekommer i HSAkatalogens tjänstegren. Funktionscertifikat säkerhetskopieras enligt respektive NI ansvar. Ansvarig ORA skall bedöma säkerhetskopieringens efterlevnad av krav på insynsskydd mm. Certifikat får inte ges ut till beställande RA/ORA. Certifikat är giltigt i 2 år. Godkända beställare är systemförvaltare, systemägare, objektägare, objektledare, IT-chef motsv. Beställaren anger vem som skall kvittera ut certifikatet. Idag utfärdas SITHS CA v1 Type 3 som är PKCS#10 med SHA Tidigare utfärdades även PKCS#12 och PKCS#10 SHA1, bägge dessa har utgått av säkerhetsskäl. Ett PKCS#10 certifikat kan omvandlas till ett PKCS#12, detta gör inte Västra Götalands RA-organisation utan möjligen NI.

55 2.6 (54)81 Domänvalidering SITHS beställningssystem SITHSadmin medger fr.o.m. 29 januari 2013 enbart utgivning av funktionscertifikat till de av organisationen registrerade, och godkända domäner. Intill att en beställning kan göras krävs att behörig RA bevisar ägarskap till domänen alternativt kan bevisa fullmakt från annan domänägare. Ägarskapet kontrolleras var tredje månad av SITHS PA. RA fyller i Blankett anmälan domänvalidering SITHS och anger de domäner organisationen äger och vill registrera. RA tar fram bevis på ägarskapet, detta kan vara en printscreen från innehållande organisationsnummer och organisationsnamn. Registrerad kontaktperson för domänen skall vara sökbar i HSA. Alternativt kan faktura användas som bevis För sjunet.org behöver varken ägarbevis eller fullmakt presenteras. Anmälan skickas till sithspolicyauthority@inera.se För domäner ansluten organisation inte äger hänvisas till "SITHS rutin för domänvalidering av organisationer och ombud". Tillgängliga domäner Vid dokumentets fastställande: Västra Götalandsregionen *.vgregion.se *.vgr.se *.sahlgrenska.se *.vgregion.sjunet.org Övriga domäner *.inca.sjunet.org *.registercentrum.se *.incanet.se *.qregpv.se Kommuner Fullmaktens diarienr *.harryda.se RS ,9 *.tibro.se RS ,1 *.stromstad.se RS ,4 *.vargarda.se RS ,3 *.herrljunga.se RS ,2 *.kungalv.se RS ,6 *.tanum.se RS ,7 *.lerum.se RS ,5

56 2.6 (55)81 *.boras.se RS ,8 *.ale.se RS ,14 *.ale.sjunet.org RS ,14 *.trollhattan.sjunet.org RS ,15 *.trollhattan.se RS ,16 *.vgr.gotheborg.net RS ,17 *.mark.se RS ,18 RS (nästa)

57 2.6 (56)81 Utgivning av funktions (server-)certifikat (PKCS 10) Förutsättningar: Serverobjektet måste finnas i HSAkatalogens tjänstegren. Objektet ska vara kodat i binär form (DER-kodning) eller i textform (binär Base64- kodning). Vid Base64-kodning ska 7-bit ASCII användas för text, inte Unicode. Objektet får inte innehålla något annat än ovanstående.. Om sådant innehåll finns i filen måste det raderas för att objektet ska kunna hanteras i SITHS. Objektet måste vara korrekt självsignerat. Detta kontrolleras av SITHS Admin. Beställning och kontroll Beställningen ska vara undertecknad av beställaren. För servercertifikat som innehåller epostadress så ska kontroll av eposten ske, lämpligen genom att skicka kontrollmail till adressen. Certifikatets DNSnamn i CSR-filen ska verifieras mot beställningen genom en CSRdecoder 12. PKCS#10 certifikat ges i dagsläget enbart ut i en variant: SITHS Root CA v1 Type 3 SHA Sök fram den funktion som ska ha HCC i tjänstegrenen av HSA och Beställ HCC Funktion (PKCS#10). 2. Markera en ansvarig person i trädstrukturen, personen måste ha ett SITHScertifikat. 3. Välj om certifikatet ska användas för legitimering eller för underskrift. 4. Välj Giltig t.o.m. 5. Klicka på knappen Bläddra. Systemet öppnar en dialogruta där du kan hämta det PKCS#10 data (certifikatbegäran nn.p10 eller.txt) som du ska använda. 6. Signera och skicka. 7. Klicka på knappen Ladda ner certifikatet för att ladda ner ditt PKCS# Klicka på Skriv ut för utskrift av kvittens. Gör så här för att skapa en ny kvittens för ett visst HCC. 1. Markera HCC genom att klicka på det eller liknande

58 2.6 (57)81 2. Klicka på knappen KVITTENS för att skapa en ny kvittens. Ett nytt fönster innehållande kvittensen öppnas. Klicka på knappen Skriv ut för att skriva ut kvittensen på papper. Kvittensförfarande Kvittensen (papper) skrivs på av utpekad mottagare och erhåller därefter certifikatet via USBminne (motsv). Mottagaren ska även få en kopia av RPA Relying Party Agreement från SITHS, elektroniskt eller i pappersformat, beställaren bör få samma dokument. Utgivning av funktions (server-)certifikat (PKCS 12) PKCS#12-certifikat ges ut med minskad giltighetstid och kommer inte att tillåtas framöver enligt ackrediteringsorgan Webtrust 13. SITHS ger inte längre ut PKCS#12. Förutsättningar: Serverobjektet måste finnas i HSAkatalogens tjänstegren. Mottagaren av PIN-koderna måste ha ett SITHScertifikat med epostadress och kunna läsa SITHSkrypterad e-post i sitt epostsystem. Domäntillhörigheten av server eller funktion måste vara en domän validerad av SITHS PA se vidare. Lägst behörighet för att få utfärda servercertifikat är RA eller ORA i tjänstegrenen av HSA. 1. Logga in i SITHSadmin och välj tjänstedelen av katalogen där alla funktionsoch servercertifikat är lagrade. 2. Markera det serverobjekt som skall tilldelas ett certifikat 3. Välj knapp för att antingen utfärda PKCS#10 eller PKCS#12 4. Markera vem som skall ta emot lösenordet. Denna person måste ha ett HCCcertifikat och mailadress för att kunna ta emot och läsa lösenordet 5. Välj om det skall skapas certifikat för legitimering eller signering. 6. Ange slutdatum för certifikatet om det skall vara mindre än 2 år 7. Signera och certifikatet skapas. 8. Rulla upp till toppen på sidan där det nu finns en knapp för att ladda ned certifikatsfilen. 13

59 2.6 (58)81 9. Ladda ned certifikatet 10. Skriv ut kvittensen Kvittensförfarande Kvittensen (papper) skrivs på av utpekad mottagare och erhåller därefter certifikatet via USBminne (motsv). Spärrning av funktions (server-)certifikat RA samt ORA i tjänstegrenen av HSA 14 äger behörighet att spärra funktionscertifikat. Utfärdande av funktionscertifikat till andra domäner. Sker enligt nationell rutin 15 med avtal för respektive firmatecknare. Fullmakt 16 krävs. Arkivering Beställning och kvittens sparas i 15 år på säkert sätt. 14 F.n. TjänsteIDservice 15 SITHS Rutin för CA Personal och verifiering av ombud och organisationer (2).doc 16 Fullmakt för beställning av SITHS certifikat.doc

60 2.6 (59)81 Skickande av kort och legitimation inom Västra Götalandsregionen En särskild rutin är framtagen för att skicka kort inom och mellan förvaltningar innanför RA-området. Skicka tjänstekort mellan VGR:s förvaltningar Internt rekommenderad post. Använd förslutet diskett/cd kuvert 1. Avsändaren antecknar RR nummer och innehåll vid avsändning på egen lista. 2. Avsändaren meddelar mottagaren via e-post att kortet/korten, (specificeras), gått iväg. 3. Mottagaren antecknar RR numret när brevet tas emot. 4. Mottagaren meddelar avsändaren via e-post att försändelsen med uppgivet RR nummer och innehåll är mottaget. 5. Avsändaren antecknar mottagandet på egen lista. 6. Avsändaren spärrar kortet om det inte är framme inom 7 dagar. Skicka tjänstekort inom VGR:s förvaltningar Använd försluten Säkerhetspåse 1. Avsändaren antecknar på egen lista: a. nummer på säkerhetspåsen b. innehåll 2. Avsändaren river av flik med nummer på säkerhetspåsen 3. Avsändaren meddelar, via e-post, mottagaren att försändelsen är på väg. 4. Mottagaren bekräftar, via e-post, att försändelsen kommit fram, med rätt innehåll. 5. Avsändaren noterar på egen lista. 6. Avsändaren spärrar kortet om det inte är framme inom 5 dagar. Observera det är alltid avsändaren som är ansvarig för att dokumentera. Om försändelsen inte kommit fram inom 5 dagar skall tjänstekort avregistreras i SITHSadmin av avsändaren. Avsändaren är ansvarig för att ett nytt kort beställs efter ö k med mottagaren. En särskild lathund för interna transporter finns tillgänglig i Alfresco. Mottagaren ansvarar för att postlådan är bevakad eller låsbar.

61 2.6 (60)81 Självadministration Självadministration är namnet på den funktion via en kortinnehavare själv kan hämta nya HCC eller plocka bort inaktuella HCC från sitt kort. För inloggning till Självadministration används inte SITHS certifikat (HCC) då det är detta som skall administreras. Användaren väljer sin e-legitimation (motsv.) för ordinarie kort och transportcertifikat (identifieras som kortnumret) för reservkort. Användningen av Självadministration består av en guide som hjälper användaren genom de olika stegen och har en egen manual. Användaren kan göra följande själv: a. Hämta nya HCC b. Hantera sina befintliga certifikat, a. Hämta ned HCC igen b. Spärra sina egna certifikat c. Rensa sitt kort från utgångna eller spärrade certifikat Länk till Självadministration över Internet: Länk till Självadministration över Sjunet:

62 2.6 (61)81 Säkerhet och revision Efterlevnad Det åligger varje KRA, LRA, ORA, RA att kontinuerligt säkerställa att eget arbete sker inom ramen för tillämpliga regelverk. Upptäckta avvikelser skall alltid och skyndsamt rapporteras till överordnad ORA, RA funktionsbrevlåda och Säkerhetsansvarig via e- post och i akuta fall även telefon. Det åligger respektive ORA att löpande kontrollera LRA samt KRA arbete inom eget ORA-område. Det åligger RA att genomföra kontroll av respektive ORA-arbete samt kontrollera att intern kontroll sker inom respektive ORA-område. Stickprovskontroll skall ske inom respektive ORA samt RA område. Checklista över internrevision av ett ORA-område är framtagen. Missbruk av certifikat Då missbruk av certifikat misstänks eller kommer tillkänna skall RA och tillämplig ORA omedelbart informeras och vidta lämpliga åtgärder för att stoppa missbruket, till exempel genom att begära spärrning av aktuella certifikat och/eller behörigheter i CA-systemet. Aktuell ORA tillsammans med RA skall utreda missbrukets omfattning, informera berörd personal om aktuell händelse samt vilka åtgärder som vidtagits för att förhindra missbruket. Säkerhetsansvarig och/eller verksamhetsansvarig skall informeras om slutsats och vidtagna åtgärder. Åtgärderna skall arkiveras av RA. Erfarenheter av utredningar i samband med missbruk av certifikat skall återkopplas till verksamheten. I allvarliga fall av missbruk av certifikat skall SITHS PA underrättas Internkontroll SITHS handlar ytterst om att säkerställa en trygg och distribuerad utgivning av id handlingar (kort och certifikat). SITHS PA ansvarar för det nationella arbetet inom SITHS. Varje ansluten RA organisation tar här sitt ansvar för det lokala/regionala arbetet inom SITHS. Ansvaret för den anslutna RA organisationen är att tillse att: följsamhet till avtal och styrdokument, rätt person beställer en id handling, rätt person utfärdar en id handling, rätt person mottar en utfärdad id handling, mottagare kvitterar id handling,

63 2.6 (62)81 utfärdare arkiverar kvittens av id handling, utgångna, förkomna, missbrukade eller avslutade personers id handlingar spärras/återtas och att interna revisioner genomförs. Utförda aktiviteter ska kunna styrkas, antingen genom logg i SITHSadmin alternativt via skriftliga kvittenser. Årshjul för revision RA revision uppföljning slutförd Q4 Q1 ORA revision Avregistrering av kort med status skickat RA stickprovskontroll Behovsinventering av KRA/LRA Q3 Q2 SITHS PA revision slutförd RA stickprovskontrol l RA revision SITHS PA revision initieras

64 2.6 (63)81 Säkerhetsansvarig Det åvilar Säkerhetsansvarig 17 att årligen kontrollera RA-organisationen inklusive dess arbete med utfärdande av företagskort. Rapport över utförd kontroll kan infordras av Telia 18, DNV alternativt SITHS PA. Till stöd för intern kontroll används främst: Telias policy för utfärdande av företagskort Rev A RAPS plan för genomförande av intern kontroll Logganalys (Statistik och Loggar i SITHSadmin) Arkivering: Den årliga revisionen skall diarieföras. Lokalt säkerhetsansvariga Utgivning av kort i egen regi inom ramen för Västra Götalandsregionens avtal skall ha en lokalt säkerhetsansvarig och denne är kontaktperson till Västra Götalands RAområdes säkerhetsansvarig (SITHS). Samordningen häremellan regleras i avtal. Ett ORA-område kan välja att ha en lokalt säkerhetsansvarig men RAområdets Säkerhetsansvariges ansvar kan ej delegeras till denne. RA RA ansvarar för att revision av RAområdet genomförs årligen om detta inte inbegrips i Säkerhetsansvarigs revision ovan. RA ansvarar för att stickprovskontroll genomförs halvårsvis samt initierar internkontroll av ORAområden nedan. Resultat av stickprovskontroller skall delges förvaltargruppen samt Säkerhetsansvarig. Arkivering hos RA. ORA Inom varje ORAområde med egen kortutgivning skall intern kontroll genomföras årligen, resultat av internkontroll skall delges RAfunktionen som sammanställer och rapporterar resultat till Säkerhetsansvarig. RA kan initiera ORArevisioner. Lathund med exempel på frågor finns i Alfresco. 17 Med Säkerhetsansvarig åsyftas rollen Säkerhetsansvarig för SITHS inom Västra Götalands RAområde. 18 Telias policy för utfärdande av företagskort med e-legitimation 2.1.1

65 2.6 (64)81 Årsinventering av KRA och LRA I samband med ORA internrevision första kvartalet ska samtliga underlydande KRA och LRA inventeras om de fortfarande ska inneha rollen. Revisionsområden Intern revision bör, oavsett initierad av Säkerhetsansvarig, RA eller respektive ORA alltid kontrollera nedan områden: Uppföljning - Kontroll av tidigare revisioner samt eventuella avvikelser Beställning och utlämning av kort - Säkerställa att korrekt identifiering genomförs i samband med kortutgivning samt att Telias villkor för e-legitimation tillhandahålls mottagaren. Spärrning - Kontrollera efterlevnad runt spärrning Organisation - Kontrollera rolltilldelning, utbildning mm Arkivering - Kontroll av arkivering Fullmakter för domänvalidering (funktionscertifikat) skall kontrolleras (RA) Kunskapsnivå på ingående personer Behörigheter tilldelas och återkallas Handläggarbehörigheter och SITHSkontor tilldelas och återkallas Extern kontroll SITHS PA genomför årligen extern kontroll på ett antal anslutna organisationer, för Västra Götalands RAområde genomfördes detta TeliaSonera har mandat att själva eller begära extern kontroll gällande utgivning av e-legitimationer. DNV kan begära extern revision med hänvisning till SBC Särskilda Bestämmelser för Certifiering av överensstämmelse med standard SS Identitetskort Microsoft, genom Webtrust och Ernst & Young, genomför årligen revision. Säkerhetsansvarig har alltid mandat att låta utföra extern kontroll. Riskanalys Etableringen av Västra Götalands RAorganisation föregicks av riskanalyser: Riskanalys av RAorganisationen (Logica), RSK (5) Riskanalys av införande av SITHS koncept (Ernst & Young) RSK (4) Delvis ingående i riskanalys för säker åtkomst till verksamhetsfunktioner (Säkerhetsstrategiska enheten) Logganalys Loggarna arkiveras enligt avtal av driftande part (TeliaSonera/Cygate AB) i CAsystemet. Åtkomst till loggar sker genom Statistik och loggar i SITHSadmin.

66 2.6 (65)81 Loggarna kan användas för att identifiera avvikelser mot normalt, fördjupad kontroll av enskilda personer eller kort. Logganalys skall ske av RA kontinuerligt Logganalys skall ske av ORA med egen kortutgivning enligt eget intervall Logganalys kan ske av ORA utan egen kortutgivning. Arkivering av privata nycklar Arkivering av privata nycklar för personcertifikat tillåts inte. Arkivering av privata nycklar för funktionscertifikat tillåts enbart för säkerhetskopiering. Dessa säkerhetskopieras enligt respektive NI ansvar. Behörig beställare skall bedöma säkerhetskopieringens efterlevnad av krav på insynsskydd, alternativt kan regionens eller kommunens IT-chef, säkerhetschef eller motsvarande besluta om generella driftsrutiner för arkiveringen. Kontinuitetsplanering Kontinuitetsplanering gällande RAorganisationens beställning, utgivning och spärrning av kort. Avbrott i beställning, spärrning samt andra funktioner för administration av HCC Före Ej tillämpligt. Under Informationsspridning Information om avbrottet skall förmedlas via IT-nytt. RA-organisationen informeras. Åtgärder för återstart I händelse av att beställning, spärrning samt andra funktioner för administration av HCC inte kan genomföras skall Leverantören informeras i syfte att aktivera återstart: 1. Verifiera IT-nytt 19 och/eller driftstatus på 2. Felanmälan till Leverantör (Nationell kundtjänst och/eller lokal IT) 3. Avisera IT-nytt. 19 IT-nytt gäller enbart Västra Götalandsregionen

67 2.6 (66)81 Reservrutiner Under avbrottet skall KRA/LRA/ORA manuellt registrera inkommande spärrbeställningar och vid särskilt kritiska fall informera användaren att denne borde låta behörigheter kopplade till dessa HCC tillfälligt dras in. När SITHS åter är i drift informeras detta enligt ovan rutin. Respektive förvaltning eller kommun ansvarar för eskaleringsrutin till TiB (motsv.). Efter Återgång till normalläge När funktionen är återupprättad till normalläge skall reservrutiner återgå till det normala och manuellt registrerade spärrbeställningar registreras i systemet. Återkoppling till verksamheten Årsvis redovisas avvikelser till RAorganisationen för vidare befordran till verksamheterna och säkerhetsansvarig för SITHS inom Västra Götalandsregionen. Avbrott i möjligheten att använda HCC Hanteras inte av RAorganisationen. Upphittade kort Upphittade kort i den offentliga miljön återsänds av upphittaren till adressen på kortets baksida Diariet. Korten skickas vidare till TjänsteIDservice för avregistrering. Kort som hittas inom organisationernas väggar av kollegor, vi lämnar inte ut uppgifter om innehavaren men de kan skicka kortet till kortkontoret, även i internkuvert 20. Uppföljning av kort med status skickat Första kvartal spärras kort med status skickat beställda året innan föregående år. 20 ORAmöte dec 2015

68 2.6 (67)81 Priser och övriga kostnader Beställning av PUK-brev Faktureras Bransch för Västra Götalandsregionen 130,00 Reservkort Reservkort ,00 Faktureras till VGR och vidarefaktureras förvaltning Leveranskostnad Pris för porto och distribution av kort ,00 (Faktureras direkt från Telia till respektive kontor) TjänsteID+ Ordinarie (909), Skyddad ID (910), Samordningsnummer (911) Faktureras från Telia till respektive kontorsnummer 160,00 TjänsteID+ Övriga kort Studentkort (918), Konsultkort (480) och Privata VG (431). 160,00 NetID Nyttjandelicens för nya kort 23 25,00 Faktureras VGR IT 21 Enl. avtal Bilaga 1 Kundunika villkor RevA. P Enl. avtal Bilaga 1 Kundunika villkor RevA. P Enl. Regsam p8

69 2.6 (68)81 Korthållare och kortläsare mm Faktureras enligt på beställningen angiven fakturaadress. Beställs genom Cygate Webshop. Kortläsare kan även beställas via VGR IT och korthållare via Marknadsplatsen, gäller dock inte kommuner. Kostnader specifika för kommuner För finansiering av nationella centrala omkostnader vilka för landstingen finansieras med fast årsavgift. Beloppen faktureras Västra Götalandsregionen från Inera AB och faktureras därefter av GITS till kommunerna. Från 1 maj 2013 gäller: Årskostnad per HSA personpost med minst ett HCC 54,00 Kostnader specifika för Västra Götalandsregionen NetID underhållsavtal VGR IT PUK VGR IT, Beställar-id: , Fe 960, Göteborg

70 2.6 (69)81 Teknik Tekniska krav Klientarbetsplats En normal arbetsplats behöver Kortläsare med drivrutiner CSP (NetID klienten) SITHS rotcertifikat Kortläsare Dessa skall följa standarden PC/SC. Net ID klient Net id är en PKI klient som kan agera CSP (Cryptographic Service Provider), d.v.s. en funktion som ombesörjer kontakten mellan kortläsare och Windows. Net ID klienten är synlig i aktivitetslisten. SITHS CA rotcertifikat SITHS är ackrediterad av Microsofts certifikatsprogram genom WebTrust och finns redan i Windows operativsystem som standard. Samtliga CA certifikat från SITHS kan hämtas från Konfiguration av Internet Explorer Tillse att adressen: finns med i Tillförlitliga platser. Verktyg, Internetalternativ fliken Säkerhet, knappen Platser. Alla PC som administreras av en IT-avdelning bör ha inställningen per automatik. Kortutfärdarutrustning En KRA (handläggare) kräver förutom webbläsare programvaran SIS Capture Station (SCS). Installationen kräver administrativa behörigheter. SCS Kontrollerar kamera och skannerutrustning samt skickar beställningar till leverantören. Konfiguration av SIS Capture Station Från och med SCS 3.0 hämtas alla konfigurationer från SITHSadmin med automatik. För tidigare versioner gäller exemplet ovan. Kamerakompatibilitet står angivet på Programvara hämtas från Inloggade sidor på Kommunkort och specialkort har egna kundnummer/korttyper.

71 2.6 (70)81 Första gången SCS används hämtas de kundunika uppgifterna för handläggaren genom att logga in med Telia e-legitimation och välja Hämta kunduppgifter från Gemalto. Verifiering av kortfunktion Inera AB har en testsida där kort och dess certifikat kan kontrolleras: Certifikatstyper SITHS RootCA v1 Nuvarande generation SITHS RootCA v1 Type1 Personcertifikat SITHS RootCA v1 Type2 Funktionscertifikat SHA1, giltig intill SITHS RootCA v1 Type3 Funktionscertifikat SHA512 Crossborder Personcertifikat för personer utan personnummer eller samordningsnummer Återpublicering till HSA När ett certifikat skapas för placering på ett kort kopieras även certifikatet till HSAkatalogen. Vid fel på kommunikationen till HSA skickas ett e-brev till rafunktionen

72 2.6 (71)81 med ett meddelande om publikationsmisslyckande. Genom att gå in på SITHSadmins personvy går det at återpublicera informationen. SITHS testmiljö preprod Använder sig av HSA testkatalog med fiktiva personer. SITHSadmin preprod: Självadministration preprod Felkoder NetID (E0) Oväntat fel i det underliggande säkerhetssystemet. (E1) Ingen hjälp finns tillgänglig. (E2) Kunde inte skapa en elektronisk signatur. (E3) Operationen blev avbruten. (E4) Slut på minne. (E5) Det finns inget smartkort i kortläsaren. (E6) Felaktig säkerhetskod. (E7) Säkerhetskoden är ogiltig. (E8) Säkerhetskoden är för kort eller för lång. (E9) Säkerhetskoden är låst. (E10) Operationen misslyckades. (E11) Ingen uppdatering är vald. Välj en uppdatering ur listan och försök igen. (E12) Uppdateringen misslyckades. (E13) Inloggningen misslyckades. (E14) Fel användare, endast den användare som låste datorn kan låsa upp den. (E15) Misslyckades med att skriva användarinformation till kortet. (E16) Licensen är ogiltig eller har gått ut. (E17) En nyare version av programvaran behövs, kontakta din systemadministratör. (E18) Du måste ha administratörsrättighet för att installera eller avinstallera programvaran. (E19) Avinstallationen misslyckades, troligen otillräckliga rättigheter. (E20) Installationen misslyckades. (E21) Det finns en oavslutad installation eller avinstallation. Starta om datorn och försök igen. (E22) Lösenorden är inte lika. Ange samma nya lösenord i båda lösenordsfälten. (E23) Misslyckades med att ändra lösenordet. (E24) Programvaran är ej konfigurerad för att hämta uppdateringar. (E25) Operationen är ej tillåten. (E26) Du måste acceptera licensavtalet för att installera programvaran. (E27) Misslyckades med att öppna filen. (E28) Felaktigt filinnehåll. (E29) Den elektroniska signaturen är ogiltig eller kan inte verifieras. (E30) Krypteringen misslyckades. (E31) Dekrypteringen misslyckades. (E32) Misslyckades med att öppna din e-postklient, har du en e-post klient installerad?

73 2.6 (72)81 Kontakta din systemadministratör. (E33) Ingen filbaserad enhet finns tillgänglig. (E34) Ingen katalog konfigurerad, lägg till en katalog och försök igen. (E35) Misslyckades med att spara, finns det tillräckligt med minnesutrymme och har du skrivrättighet i den angivna katalogen? (E36) Endast filbaserade enheter kan exporteras. (E37) Felaktigt innehåll. (E38) Säkerhetskoderna är inte lika. Ange samma nya säkerhetskod i båda textfälten. (E39) Inget certifikat är valt. Välj ett certifikat i listan och försök igen. (E40) Det finns ingen data tillgänglig, kontakta din systemadministratör. (E41) Ingen filbaserad enhet är vald. Välj en enhet i listan och försök igen. (E42) Inget kort är valt. Stoppa i kortet i kortläsaren och försök igen. (E43) Ingen enhet finns tillgänglig. Installera en kortläsare eller lägg till en filbaserad enhet. (E43) Inget certifikat är valt. Välj ett certifikat i listan och försök igen. (E45) Certifikatet finns redan. (E46) Konfigurationen för kataloger gick inte att ändra, har du tillräckligt med rättigheter? Kontakta din systemadministratör. (E47) Ditt certifikat är ogiltig, kontakta din certifikatutfärdare. (E48) Felaktig upplåsningskod. (E49) Upplåsningskoden är låst. (E50) Ogiltig licens. Kortet du använder är inte tillåtet att användas med den installerade licensen. Kontakta din systemadministratör. (E51) Utfärdandet misslyckades, kontakta din systemadministratör. (M0) Den elektroniska signaturen är giltig. (M1) Importen av certifikatet lyckades. (M2) Borttagning av certifikatet lyckades. (M3) Skapandet av den filbaserade enheten lyckades. (M4) Borttagning av den filbaserade enheten lyckades. (M6) Ändringen av säkerhetskoden lyckades. (M5) Upplåsning av säkerhetskoden lyckades. (M7) Du måste ha administratörsrättighet för vissa inställningar. Övriga är utgråade.

74 2.6 (73)81 Epost Konfiguration av Lotus Notes För mottagare av PIN-koder via e-post (gäller funktionscertifikat) behöver epostklienten konfigureras för att kunna ta emot och läsa krypterad e-post från SITHS. Notera att stödet för smarta kort enbart finns i Lotus Notes version eller senare och i den fulla klienten, ej inotes.. I Lotus Notes, välj Arkiv i menyraden följt av undermeny Säkerhet och Användarsäkerhet. I rutan som dyker upp välj Din identitet följt av Ditt smartkort. Ange filen iidp11.dll under /Program/NetID/. Konfiguration av Outlook Krypterad epost kan enbart hanteras i den riktiga klienten och inte OWA. Klienten har inbyggt stöd för kryptering och signering (väljs under fliken Alternativ i version 2013). Se under inloggade sidor på Massutbytesfunktion Funktion för byte av certifikat på befintliga kort togs fram 2015 i samband med att generation v3 gick ur tiden.

75 2.6 (74)81 Mifare 24 Figur 3 - Västfastigheter Sektor 9,10,11 reserverad till Kungälvs sjukhus Streckkoden Sista 16 siffrorna i det 19ställiga kortnumret skrivs i magnetslingan enligt streckkodstypologin code I första hand använd sektorerna: - 12,32,33 till SALTO - 11,34,35 till ASSA / Bravida