Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Transkript

1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner fordras att hanteringen hos tillverkare, utfärdare och kortinnehavare sker på ett säkert och väl kontrollerat sätt. Utfärdare skall tillse att varje led i utfärdandet av ID-kort med Telia e-legitimation (framgent kallat ID-kort) är utformat så att riskerna för skada hos tredje man minimeras, t.ex. säkerhetsåtgärder mot manipulation eller obehörig användning. I de fall identifiering av individ, beställning och utlämning av ID-kort (framgent kallat Utfärdande) utförs av annan organisation än Telia skall denna organisation (framgent kallad Organisationen) ansvara för att Telias utfärdarpolicy för utfärdande av ID-kort med e-legitimation (framgent kallad Policyn) följs. Policyn är skapad med DNV:s dokument SBC151-U (Särskilda Bestämmelser för Certifiering av överensstämmelse med standard SS Identitetskort) utgåva 14 som utgångspunkt. I det fall Organisationen är Skatteverket kommer Utfärdandet att följa regelverk i Förordning om identitetskort för folkbokförda i Sverige (Förordning SFS 2009:284) samt Skatteverkets föreskrifter om identitetskort (Föreskrift SKVFS 2009:14). Detta medför bland annat att identitetshandlingar som räknas som fullgoda för att identifiera den kommande kortinnehavaren utökats att även omfatta EU-pass utfärdade av utländska myndigheter.

2 (7) 2. ANSVAR, ROLLER OCH RUTINER 2.1 Ansvar och funktioner Organisationen ansvarar för Utfärdande av ID-kort. Skriftliga regler avseende Utfärdande av ID-kort skall finnas fastlagda. Regelverket skall exempelvis innehålla rollbeskrivningar och rutiner som används av rollinnehavarna för att de skall kunna utföra sina arbetsuppgifter och uppfylla kraven i Policyn. Det åligger Organisationen att se till att befattningshavare utbildas så de har god kunskap om reglernas innebörd och tillämpning samt är medvetna om sitt ansvar. Följande befattningshavare skall minst utses inom Organisationen: - Säkerhetsansvarig - Handläggare - Registeransvarig. Säkerhetsansvarig får inte vara samma person som Handläggare eller Registeransvarig. Handläggare och Registeransvarig får vara samma person. Organisationen skall informera Telia om namn på Säkerhetsansvarig/ansvariga och informera Telia angående byte av personal på sådan befattning. Informationen används av Telia bland annat för att säkerställa att beställningar av nya Handläggare kommer från behörigt håll inom Organisationen samt vem som skall kontaktas på Organisationen vad det gäller säkerhetsrelaterade frågor. Säkerhetsansvarig är ytterst ansvarig för sina åtaganden enligt Policyn men kan välja att delegera utförandet av delar av sina åtaganden till andra personer inom Organisationen. Detta under förutsättning att Telia även informeras om namn och roll för personer som säkerhets-åtagandet delegerats till samt att det delegerade säkerhetsåtagandet inte bryter mot det grundläggande kravet på separering av roller enligt ovan. Organisationen skall årligen upprätta en rapport över verksamheten avseende Utfärdande av ID-kort. Rapporten skall på begäran överlämnas till Telia för granskning. Rapporten skall exempelvis innehålla: - eventuella säkerhetsincidenter som på något sätt har beröring med beställning, utlämning och användning av IDkort. - förändrade rutiner - statistik över handläggare (antal: befintliga/nya/slutat) Organisationen ansvarar för att alla kortinnehavare mottager information om Telias villkor för e-legitimation samt kvitterar godkännandet av dessa villkor på Kortkvittensen i samband med mottagandet av ID-kortet. Kortkvittensen är en nödvändighet för att det skall finnas ett bindande avtal mellan Telia och kortinnehavaren som användare av Telia e-legitimation. I de fall Organisationen själva tar fram texten för Kortkvittensen så skall kvittenstexten minst innehålla text motsvarande exempel på nästa sida. Organisationen skall se till att varje del av utfärdandet och registerhanteringen av ID-kort är utformad så att skada hos tredje man inte uppstår.

3 (7) EXEMPEL: Kortkvittens Jag har mottagit mitt ID-kort med Telia e-legitimation ifrån <Organisationen> och bekräftar att uppgifterna på kortet är korrekta. Jag är införstådd i vilka regler som gäller vid användning, hantering och förlust av mitt ID-kort. Jag har fått information om Telias villkor för e-legitimation och lovar att följa dessa. Kortserienummer: Mottagarens Personnummer: XXXX XXXX XXX XXXXXXX X ÅÅÅÅMMDD-NNNN Ovanstående villkor intygas. Underskrift kortinnehavare: Namnförtydligande: Kortinnehavaren ovan har vid mottagandet av ID-kort identifierats med giltig identitetshandling. Underskrift handläggare: Namnförtydligande: Kortinnehavaren identifierad genom: Körkort ID-kort Pass Identitetshandlingens nummer:

4 (7) Säkerhetsansvarig Säkerhetsansvarig skall regelbundet, minst årligen, kontrollera att Utfärdandet av ID-kort sker under i Policyn angivna former och i enlighet med de fastslagna skriftliga regler som gäller inom Organisationen. Rapport över utförd kontroll kan infordras av Telia. Säkerhetsansvarig skall vid säkerhetsincident, där risk för kompromettering av utfärdande av ID-kort och dess e- legitimationer åligger, omedelbart rapportera detta till Telia. Säkerhetsansvarig är ansvarig för att hos Telia, eller hos Telia utsedd representant, beställa behörighet för nya Handläggare inom Organisationen. Detta görs via vid var tid aktuella beställningsunderlag tillhandahållna av Telia och DNV om tillämpligt. Säkerhetsansvarig är också skyldig att meddela Telia, eller av Telia utsedd representant, så snart en Handläggare avslutar sin roll som Handläggare för Organisationen Handläggare Handläggare är den person som på varje utfärdarställe ansvarar för beställningar av ID-kort samt för eventuella återkallanden av ID-kort. I de fall där identifiering av person sker genom intygsgivning, ansvarar handläggaren för hanteringen av intygen. Handläggaren är ytterst ansvarig för att utlämnandet av ID-kort sker till den person som kortet är utställt till samt att underskrivna kortkvittenser och eventuella intyg lämnas till Registeransvarig för arkivering Registeransvarig Registeransvarig ansvarar för arkivet med underskrivna kortkvittenser för ID-kort, intyg samt register över ID-kort som beställts via fysisk beställningsblankett. Registeransvarig ansvarar också för att hantera makulering av skadade ID-kort samt för att meddela Telia så att e- legitimationer spärras för sådana kort. 2.2 Rutiner a. ID-kort får endast utfärdas till personer som innehar svenskt personnummer samt svensk folkbokföringsadress. Personen skall ha en ålder om minst 13 år. Vid beställning skall personen identifieras via fullgod identitetshandling eller via intygsgivning. I det fall Organisationen är Skatteverket är identitetskontroll i enlighet med 3 i Skatteverkets föreskrifter om identitetskort (Föreskrift SKVFS 2009:14) även tillåten. b. Vid beställning av ID-kort via fysisk beställningsblankett skall Handläggaren sända med följebrev där antalet beställda ID-kort framgår. Innan beställningen skickas till Tillverkaren skall även Handläggaren ta en kopia av den ifyllda beställningsblanketten för arkivering. Vid beställning av ID-kort via elektroniskt beställningsgränssnitt skall bekräftelsen över vilka kort som beställs skrivas ut för arkivering om inte elektroniska system där sådan information lagras finns inom Organisationen. c. Vid postbefordran för distribution av ID-kort skall försändelsen rekommenderas eller assureras. Vid annat sätt för distribution skall minst motsvarande säkerhetsnivå uppnås. d. Handläggaren informerar kortinnehavaren om gällande villkor för Telia e-legitimation vid beställning eller utlämnande av ID-kortet.

5 (7) e. Vid utlämnande av ID-kort skall uppgifter på ID-kortet kontrolleras. Handläggare kontrollerar kortnumret och datum för utlämnandet samt signerar utlämnandet på Kortkvittensen. Kortinnehavaren kvitterar mottagande av kortet samt acceptans av Telias villkor för e-legitimation på Kortkvittensen. Handläggaren är ytterst ansvarig för att utlämnandet av ID-kortet görs till rätt person samt för att korrekt ifylld Kortkvittens levereras till Registeransvarig för arkivering. Arkivering av Kortkvittenser sker på betryggande sätt enligt avsnitt 2.3. Kortkvittensen erhålls antingen som blankett eller utskrift framtagen av Organisationen eller som avskiljbar del från det PIN/PUK-brev som skickas separat till kortinnehavaren. f. I de fall där identifiering sker via intygsgivning, skall både den framtida kortinnehavaren och intygsgivaren vara närvarande. Intygsgivaren skall identifieras via fullgod identitetshandling. g. I de fall den framtida kortinnehavaren är minderårig skall tillstånd inhämtas från vårdnadshavare om godkännande för den minderårige att få ID-kort. I det fall det finns delat vårdnadshavande skall båda vårdnadshavarna godkänna ansökan. h. Förlust av ID-kort anmäls av kortinnehavaren till Telias kundtjänst. Kortinnehavaren ansvarar för att spärra e-legitimationen hos Telias spärrtjänst. i. Skadade ID-kort skall snarast förstöras varvid e-legitimationen även skall spärras. 2.3 Register a. Kortkvittenser till ID-kort samt underlag och register för ID-kort utfärdade via fysisk beställningsblankett arkiveras under ID-kortets giltighetstid och tio år därefter. b. Arkivering skall ske på ett betryggande sätt, så att det inte riskerar att tillgripas av obehöriga, förstöras eller förkomma. Det innebär bl.a. att arkivet/registret skall förvaras och transporteras på ett sätt som ger ett godtagbart skydd ur brand- och säkerhetshänseende, exempelvis förvaras i säkerhetsskåp, valv eller annat väl skyddat utrymme. c. Registret skall innehålla - underskrivna kortkvittenser. - underlag samt register över kort beställda via fysisk beställningsblankett. - intyg för styrkande av personuppgifter samt eventuella andra dokument som åberopats i det fall Utfärdare är Skatteverket, se 3 i Skatteverkets föreskrifter om identitetskort (Föreskrift SKVFS 2009:14). - register över felaktiga och återkallade ID-kort. d. Registret får endast vara tillgängligt för register- och säkerhetsansvarig personal samt Handläggare och vid kontrollbesök även för av Telia utsedd kontrollant. e. Kortkvittenser arkiveras exempelvis i bokstavsordning i pärmar. Registret skall vara i sådan ordning att telefonförfrågningar om uppgifternas riktighet omgående kan besvaras. f. I det fall Organisationen är Skatteverket kan arkiverade dokument komma att lyda under lag om offentlig handling. Rutiner skall då finnas för att göra dokumenten tillgängliga om de efterfrågas samtidigt som integriteten vad det gäller arkiverade dokument bibehålls.

6 (7) 3 REGLER FÖR FASTSTÄLLANDE AV EN PERSONS IDENTITET VID BESTÄLLNING OCH UTLÄMNANDE AV ID-KORT 3.1 Styrkande av identitet Organisationen är ansvarig för att kortinnehavaren styrker sin identitet vid beställning och utlämnande av ID-kort. Den som utför kontrollen, skall ha erforderlig kompetens härför och tillgång till erforderlig information. I de interna föreskrifterna för identifiering bör erinras om behovet av skärpt uppmärksamhet i syfte att förhindra bedrägerier i form av exempelvis identitetsstölder. Vid tveksamhet beträffande identifiering får ID-kort inte utfärdas. 3.2 Identitetskontroll Handläggaren skall genom signatur på Kortkvittensen bekräfta att identitetskontrollen skett enligt lämnade föreskrifter. 3.3 Fullgod identitetshandling Fullgod identitetshandling är svenskt körkort, svenskt EU-pass, svenskt nationellt id-kort samt SIS-märkt företags-, tjänste- eller identitetskort. I det fall Organisationen är Skatteverket godkänns även pass utfärdade efter 1 september 2006 av myndighet i EU/EES-land samt Skatteverkets identitetskort som fullgod identitetshandling. Detta görs i enlighet med 4 i Skatteverkets föreskrifter om identitetskort (Föreskrift SKVFS 2009:14). För att ovan nämnda identitetshandlingar skall godtas, krävs att den är giltig eller att giltighetstiden inte utgått mer än tre månader före beställningen av certifierat identitetskort. 3.4 Äkthetskontroll av identitetshandling Överlämnad fullgod identitetshandling skall noggrant kontrolleras beträffande äktheten. Särskilt bör kontrolleras att den ur fodral eller dylikt uttagna handlingen inte bär spår av förändring beträffande personuppgifter eller foto. Se broschyren De Sju Stegen, utgiven av Svenska Bankföreningen, för mer information om hur äktheten på olika identitetshandlingar kan kontrolleras. 3.5 Fullgod identitetshandling saknas Intygsgivning ID-kort kan utfärdas endast sedan den blivande kortinnehavaren på tillförlitligt sätt styrkt sin identitet. Saknas fullgod identitetshandling krävs personbevis samt trovärdig intygsgivare som är personligen närvarande vid beställning av IDkort. Intygsgivare skall informeras om att ett osant intygande är ett brott, som kan leda till straff och skadestånd. Intygsgivning får inte användas om beställaren innehar fullgod identitetshandling. Intyget skall vara skriftligt och utformat så att det minst innehåller informationen enligt exemplet nedan. I det fall Organisationen är Skatteverket krävs inte personbevis då Skatteverket har full tillgång till de mest aktuella uppgifterna om folkbokförda i de egna systemen. En ansökan om ID-kort via Skatteverket kan även godkännas om intygsgivare saknas. Detta skall då ske i enlighet med 3 i Skatteverkets föreskrifter om identitetskort (Föreskrift SKVFS 2009:14).

7 (7) EXEMPEL: Intyg INTYG FÖR STYRKANDE AV PERSONUPPGIFTER VID UTFÄRDANDE AV ID-KORT <Utfärdande Organisation> Intyg nr: <inom utfärdande organisation unikt intygsnummer> Härmed intygas att närvarande person, <Fullständigt namn på personen vars personuppgifter skall intygas> med personnummer <personnummer>, har de personuppgifter som här anges. Jag är införstådd i att osant intygande är ett brott och kan leda till straff samt krav på skadestånd. Underskrift Intygaren: Personuppgifter om Intygaren Fullständigt namn: Personnummer: Adress: Telefonnummer: Intygsgivaren har styrkt ovan nämnda personuppgifter för närvarande person och intygsgivaren har identifierats med giltig identitetshandling. Underskrift Handläggare: Namnförtydligande: Intygsgivaren identifierad genom: Körkort ID-kort Pass Identitetshandlingens nummer: