Försäkringskassans principer för e- tjänstelegitimationer

Storlek: px
Starta visningen från sidan:

Download "Försäkringskassans principer för e- tjänstelegitimationer"

Transkript

1 Försäkringskassans principer för e- tjänstelegitimationer Version Rev A Copyright, Försäkringskassan Sid. 1 (31)

2 Innehåll 1 OMFATTNING REFERENSER DEFINIONER OCH FÖRKORTNINGAR DEFINIONER FÖRKORTNINGAR ALLMÄNNA BEGREPP UTFÄRDARE (CA) CERTIFIERINGSTJÄNSTER CERTIFIKATPOLICY OCH UTFÄRDARDEKLARATION NYCKELINNEHAVARE INTRODUKTION TILL DESSA E-TJÄNSTELEGIMATIONSPRINCIPER FÖRÄNDRINGSRUTIN ÅTAGANDEN FÖRSÄKRINGSKASSANS ÅTAGANDEN NYCKELINNEHAVARNAS ÅTAGANDEN FÖRLANDE PARTS ÅTAGANDEN KRAV PÅ RUTINER FÖR CERTIFIERINGSTJÄNSTEN UTFÄRDARDEKLARATION PKI LIVSCYKELHANTERING AV NYCKLAR Skapande av Försäkringskassans nycklar Lagring, backup och återskapande av Försäkringskassans nycklar Distribution av Försäkringskassans publika nyckel Nyckeldeponering Användning av Försäkringskassans nycklar Avslutning av utfärdarnycklarnas livscykel Livscykelhantering av kryptografisk hårdvara Av Försäkringskassan tillhandahållen nyckelgenereringstjänst Preparering av smart kort PKI LIVSCYKELHANTERING AV E-TJÄNSTELEGIMATIONER Användarregistrering Förnyande och uppdatering av e-tjänstelegitimationer och nycklar Skapande av e-tjänstelegitimationer Spridning av användarvillkor Spridning av e-tjänstelegitimationer Spärr av e-tjänstelegitimationer DRIFT OCH LEDNING Säkerhetsledning Klassificering och hantering av tillgångar Personsäkerhet Fysisk säkerhet Driftshantering Hantering av systemåtkomst Installation och underhåll av pålitliga system Kontinuitetsplanering och incidenthantering Upphörande av certifieringstjänster Uppfyllande av legala krav Registrering av uppgifter gällande e-tjänstelegitimationer BILAGA A: KORSREFERENS Copyright, Försäkringskassan Sid. 2 (31)

3 Versionshantering Datum Version Ändring Rev A Fastställande av dokument Rev A Smärre uppdateringar i kap c, kap e Copyright, Försäkringskassan Sid. 3 (31)

4 1 Omfattning Försäkringskassans principer för e-tjänstelegitimationer beskriver krav för: 1. att utfärda och använda e-tjänstelegitimationer, kopplade till privata nycklar skyddade i chip på smart kort 1 eller annan maskinvara med motsvarande säkerhetsegenskaper, och 2. att spärra och kontrollera spärr för sådana e-tjänstelegitimationer och relaterade smarta kort samt tillhandahålla tjänster för spärrkontroll. De uppgifter som finns i Försäkringskassans e-tjänstelegitimationer tas fram i enlighet med e-tjänstelegitimationsprinciperna i detta dokument. I den mån det finns uppgifter tryckta på respektive smart kort ska dessa ej vara motstridiga med uppgifterna i e-tjänstelegitimationen. Försäkringskassan svarar för de åtagande som anges i kapitel 6.1 även om någon annan utför åtgärderna på uppdrag av Försäkringskassan. Ändamålet med Försäkringskassans e-tjänstelegitimationsprinciper är: 1. att ange de rutiner som ska tillämpas av Försäkringskassan vid utfärdande och spärr av e-tjänstelegitimationer och de åtaganden som övriga aktörer avses göra, och 2. att bidra till att reducera och tydliggöra de finansiella, operativa och juridiska riskerna, och därigenom skapa tillit, hos förlitande parter, till Försäkringskassans e-tjänstelegitimationer som utfärdas i överensstämmelse med dessa principer och de elektroniska underskrifter som verifieras med hjälp av e-tjänstelegitimationerna. Den förlitande part som tar emot en e-tjänstelegitimation eller en elektronisk underskrift som verifieras med hjälp av en e-tjänstelegitimation som utfärdats av Försäkringskassan i enlighet med dessa e- tjänstelegitimationsprinciper: 1. svarar enligt kapitel 6.3 för att kontrollera att e- tjänstelegitimationen och den elektroniska underskriften är äkta, att e-tjänstelegitimationen är giltig och inte har spärrats samt att den endast används för ändamål som är förenliga med dessa e- tjänstelegitimationsprinciper och Försäkringskassans utfärdardeklaration, och 2. bedömer utifrån e-tjänstelegitimationsprinciperna och Försäkringskassans utfärdardeklaration om e-tjänstelegitimationen 1 Notera att det inte är ett krav i dessa e-tjänstelegitimationsprinciper att det smarta kortet måste vara ett SIS-godkänt tjänstekort. Därför kommer i fortsättningen benämningen smart kort eller endast kort att användas. Copyright, Försäkringskassan Sid. 4 (31)

5 och den elektroniska underskriften kan anses vara tillförlitliga för den användning som är aktuell i det enskilda fallet. Vid tolkning av e-tjänstelegitimationsprinciperna gäller följande: 1. Rubrikerna i detta dokument följer i huvudsak europeisk praxis [ETSI QCP]. Vid tolkning av Försäkringskassans e- tjänstelegitimationsprinciper ska texten under varje rubrik ges företräde framför formuleringar och uttryck i rubriker. 2. Detta dokument anger miniminivåer för rutiner och säkerhetskrav. Copyright, Försäkringskassan Sid. 5 (31)

6 2 Referenser I detta dokument refereras till följande information: [SignaturLag] [X.509] [ISO 9001] [ISO 15408] [ISO 27001] [ISO 27002] [RFC 3647] [RFC 5280] [ETSI QCP] [SBC 151-U] Lag (2000:832) om kvalificerade elektroniska signaturer. U-T Recommendation X.509 (08/2005): Information Technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. SS-EN ISO 9001:2008, Ledningssystem för kvalitet Krav ISO/IEC (2005) (Parts 1-3): Information technology Security techniques Evaluation criteria for security. SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2005, Riktlinjer för styrning av informationssäkerhet RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Santosh Chokani, Warwick Ford, Randy V. Sabett, Charles R. Merrill, Stephen S. Wu, IETF, November 2003, RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, David Cooper, Stefan Santesson, Steven Farrell, Sharon Boyen, Russel Housley, Tim Polk, IETF, May 2008, ETSI TS V1.4.3 ( ): Electronic Signatures and Infrastructure (ESI); Policy requirements for certification authorities issuing qualified certificates, Technical specification. SBC 151-U, Särskilda Bestämmelser för Certifiering av överensstämmelse med standard, Utgåva 14, , (SS ), [FIPS 140-2] FIPS PUB 140-2: Federal Information Processing Standards Publication Security Requirements for Cryptographic Modules, May 25, 2001, [TCP] Bilaga 3: Tjänstecertifikatpolicy, Version 2.3, Skatteverket, Copyright, Försäkringskassan Sid. 6 (31)

7 3 Definitioner och förkortningar Termer och förkortningar som förekommer i dokumentet: 3.1 Definitioner Term Beskrivning Certifikat Publika nyckeln för en användare tillsammans med annan information som säkrats genom att de signerats av utfärdarens privata nyckel. [ETSI QCP] Certification En auktoritet som är betrodd av en eller flera användare att skapa och Authority (CA) tilldela certifikat. En CA kan även skapa användarnas nycklar. [X.509] CA-certifikat Ett certifikat för en CA utfärdat av en annan CA. [X.509] Certifikatpolicy En namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. [X.509] E-tjänstelegitimation Certifikat som identifierar en fysisk person (med namn och unik beteckning) och att denne är knuten till en organisation (med namn och organisationsnummer). Förlitande part En användare eller agent som förlitar sig på uppgifterna i ett certifikat för att fatta beslut. [X.509] Kryptosystem En samling transformationer från klartext till chiffertext och vice versa, där en specifik transformation väljs ut med en nyckel. [X.509] Nyckelinnehavare Fysisk person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i ett certifikat. Personnummer Identitetsbeteckning för varje folkbokförd person i Sverige enligt 18 folkbokföringslagen (1991:481) Privat nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares nyckelpar vilken endast är känd av den användaren [X.509]. Publik nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares Public Key Infrastructure (PKI) nyckelpar som är publikt känd [X.509]. En infrastruktur som kan stödja hanteringen av publika nycklar som kan användas för autentisering, kryptering, integritet eller oavvislighetstjänster. [X.509] Samordningsnummer En enhetlig identitetsbeteckning som utfärdats av Skatteverket för fysiska personer som inte är eller har varit folkbokförda i Sverige. Består av tio siffror där de första sex siffrorna utgår från personens födelsetid. Talet för födelsedag ökas dock med talet 60. Därefter följer i likhet med personnummer, fyra siffror. [SBC 151-U] Spärrlista Utfärdare Utfärdardeklaration (CPS) Elektroniskt undertecknad lista av certifikat som inte längre anses giltiga av certifikatutfärdaren. [X.509] Utfärdare av e-tjänstelegitimationer. I detta dokument liktydigt med Certification Authority (CA). En redogörelse för de rutiner som en CA använder för att utfärda certifikat. [X.509] Copyright, Försäkringskassan Sid. 7 (31)

8 3.2 Förkortningar Förkortning Fullständigt uttryck CA CPS CRL ETSI PIN PKI PUK RSA Certification Authority Certification Practice Statement Certificate Revocation List European Telecommunications Standards Institute Personal Identification Number Public Key Infrastructure PIN Unblocking Key Rivest Shamir Adleman Copyright, Försäkringskassan Sid. 8 (31)

9 4 Allmänna begrepp 4.1 Utfärdare (CA) Den part som är betrodd av användare av certifieringstjänster att skapa och utfärda certifikat benämns CA eller certifikatutfärdare. Termen utfärdare har valts framför CA eftersom det är på svenska och tros underlätta förståelsen för läsare som inte är så insatta i PKI. Utfärdaren har det övergripande ansvaret för att tillhandahålla certifieringstjänster enligt kapitel Certifieringstjänster Certifieringstjänsterna är uppdelad i följande delar: Registreringstjänst: Verifierar nyckelinnehavarens identitet och i förekommande fall särskilda attribut hos denne. Resultatet av denna verifiering skickas vidare till certifikatgenereringstjänsten. Certifikatgenereringstjänst: Skapar och signerar certifikat baserat på den identitet och andra attribut som verifierats i registreringstjänsten. Spridningstjänst: Sprider certifikat till nyckelinnehavare samt, under förutsättning att nyckelinnehavaren går med på det, gör dem tillgängliga för förlitande parter. Denna tjänst tillhandahåller även utfärdarens villkor, samt eventuell publicerad certifikatpolicy och utfärdardeklaration till nyckelinnehavare och förlitande parter. Spärrtjänst: Behandlar inkommen spärrbegäran och vidtar nödvändiga åtgärder. Resultatet av spärrtjänsten distribueras via spärrkontrolltjänsten. Spärrkontrolltjänst: Förser förlitande parter med information om certifikats status. Detta kan göras i form av spärrlistor eller en realtidstjänst. Statusinformation kan komma att uppdateras regelbundet och kan således riskera att inte visa ett certifikats nuvarande status. Kortutfärdartjänst: Preparerar och delar ut smarta kort till nyckelinnehavare. Nyckelgenereringstjänst: Skapar och delar ut nycklar åt nyckelinnehavare. Copyright, Försäkringskassan Sid. 9 (31)

10 4.3 Certifikatpolicy och utfärdardeklaration Ett certifikat kan innehålla ett fält som intygar att en certifikatpolicy gäller för certifikatet. Enligt [X.509] är en certifikatpolicy en namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. En certifikatpolicy kan användas av en förlitande part som hjälp att avgöra huruvida ett certifikat är tillräckligt pålitligt samt i övrigt lämpligt för en viss tillämpning. En beskrivning av de tillvägagångssätt som en utfärdare tillämpar för att utfärda och på annat sätt hantera certifikat ingår i utfärdardeklarationen (CPS) som utfärdaren publicerar eller refererar till. Enligt [X.509] är en utfärdardeklaration en redogörelse för de rutiner som en utfärdare använder för att utfärda certifikat. I allmänhet beskriver en utfärdardeklaration även vilka tillvägagångssätt en utfärdare tillämpar för alla certifieringstjänster under ett certifikats livscykel (t.ex. utfärdande, förvaltning, spärr och förnyande) och lämnar detaljerade upplysningar om andra affärsmässiga, juridiska och tekniska angelägenheter. Bestämmelserna i en certifikatpolicy eller utfärdardeklaration kan, men behöver inte, utgöra ett bindande kontrakt för deltagarna i PKI:n. Det vanligaste är att ett avtal mellan parterna kan innehålla hänvisningar till en certifikatpolicy och/eller en utfärdardeklaration. 4.4 Nyckelinnehavare Med begreppet nyckelinnehavare avses den person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i certifikatet. Begreppet har valts framför certifikatinnehavare för att slippa kvalificera begreppet såsom blivande certifikatinnehavare etc. [ETSI QCP] använder begreppet subjekt för nyckelinnehavare och abonnent för den part som ingår avtal om certifieringstjänst med utfärdare. Abonnenten kan vara samma part som nyckelinnehavaren (subjektet), men det kan även exempelvis vara nyckelinnehavarens arbetsgivare. Dessa begrepp, liksom även begreppet användare, har undvikits. Copyright, Försäkringskassan Sid. 10 (31)

11 5 Introduktion till dessa e- tjänstelegitimationsprinciper Försäkringskassans e-tjänstelegitimationsprinciper är registrerade av Försäkringskassan och tilldelad följande unika objektidentifierare: { iso(1) member-body(2) SE(752) Forsakringskassan(146) Policies(1) e- tjanstelegitimationsprinciper(1) version1(1) } Ovanstående objektidentifierare ska framgå i Försäkringskassans e- tjänstelegitimationer som utfärdas i enlighet med dessa e- tjänstelegitimationsprinciper. Termen principer används i stället för policy för att särskilja detta dokument från interna fastställda policydokument inom Försäkringskassan. Detta dokument använder samma dokumentstruktur som ETSI:s policy för kvalificerade certifikat [ETSI QCP]. 5.1 Förändringsrutin Förändringar som kan ske utan underrättelse De ändringar som kan göras av dessa e-tjänstelegitimationsprinciper utan underrättelse är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna regler. Förändringar som kräver underrättelse Stora ändringar av dessa e-tjänstelegitimationsprinciper får företas 90 dagar efter underrättelse. Mindre ändringar, som endast berör ett fåtal nyckelinnehavare eller förlitande parter, får göras 30 dagar efter underrättelse. Försäkringskassan, som är administrationsansvarig för dessa e- tjänstelegitimationsprinciper, avgör om ändringar ska ske efter underrättelse inom 90 dagar eller 30 dagar eller om ändringarna är så omfattande att ett nytt dokument ska utfärdas. Copyright, Försäkringskassan Sid. 11 (31)

12 6 Åtaganden 6.1 Försäkringskassans åtaganden Försäkringskassan ska säkerställa att alla krav som specificeras i kapitel 7 är uppfyllda. Försäkringskassan ska säkerställa att den tillämpar rutiner som överensstämmer med kraven som föreskrivs i dessa e- tjänstelegitimationsprinciper, även om delar av Försäkringskassans verksamhet utförs av entreprenörer. För delar av Försäkringskassans certifierings- och spärrtjänster som någon annan utför svarar Försäkringskassan som om han hade utfört dem själv. Försäkringskassan ska kontrollera att sådana underleverantörer följer dessa e- tjänstelegitimationsprinciper samt utfärdardeklarationen. Försäkringskassan ska tillhandahålla alla certifieringstjänster i överensstämmelse med sin utfärdardeklaration. 6.2 Nyckelinnehavarnas åtaganden Försäkringskassan ska ha en förbindelse med nyckelinnehavarna där det ska framgå att nyckelinnehavarna ska uppfylla följande åtaganden: a) Intyga att tillhandahållen information till Försäkringskassan vid ansökan om e-tjänstelegitimationer är korrekt och fullständig och i enlighet med kraven i dessa e-tjänstelegitimationsprinciper; b) Endast använda sitt nyckelpar för de ändamål som anges i e- tjänstelegitimationen samt i överensstämmelse med övriga begränsningar som påkallats nyckelinnehavaren; c) Utöva rimlig försiktighet för att motverka att obehöriga kan använda den privata nyckeln; Detta omfattar bl.a. följande åtgärder: i. inte avslöja PIN eller annan säkerhetsrutin för annan, ii. skydda det smarta kortet på motsvarande sätt som ett värdeföremål, iii. inte förvara anteckning om PIN eller PUK så att någon annan får del av uppgifterna eller kan förstå att noteringen avser PIN eller PUK, iv. inte förvara anteckning om PIN eller PUK tillsammans med det smarta kortet, v. inte lämna ett smart kort obevakat. d) Omedelbart meddela Försäkringskassan, genom att göra en anmälan om spärr, om något av följande inträffar: i. Den privata nyckeln har förkommit blivit stulen eller misstänks blivit komprometterad; Copyright, Försäkringskassan Sid. 12 (31)

13 ii. E-tjänstelegitimationen innehåller felaktig eller gammal information. e) Om den privata nyckeln blivit komprometterad ska den omedelbart sluta användas; f) Om de blivit informerade om att Försäkringskassans privata nyckel, som signerat e-tjänstelegitimationen, blivit komprometterad ska e- tjänstelegitimationen sluta användas. 6.3 Förlitande parts åtaganden Försäkringskassan ska informera förlitande parter om att förutsättningarna för att det ska vara rimligt att förlita sig på en e-tjänstelegitimation är att förlitande part har: a) Bekräftat att e-tjänstelegitimationen är giltig och inte är spärrad, givet den aktuella spärrinformation som kommit den förlitande parten till del. b) Tagit hänsyn till eventuella begränsningar i vad e- tjänstelegitimationen får användas till, som kommit den förlitande parten till del, antingen i e-tjänstelegitimationen eller i Försäkringskassans villkor i utfärdardeklarationen. c) Vidtagit andra försiktighetsåtgärder som kan ha föreskrivs i avtal eller på annat sätt. En förlitande part som underlåtit att med tillbörlig omsorg fullgöra sina åtaganden, enligt ovan, kan inte med fog förlita sig på elektroniska underskrifter, e-tjänstelegitimationer eller spärrinformation enligt dessa e- tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 13 (31)

14 7 Krav på rutiner för certifieringstjänsten Detta kapitel beskriver säkerhetskrav på Försäkringskassan för utfärdande och spärr av e-tjänstelegitimationer avsedda för användning inom svenska myndigheter. Kraven anges i termer av säkerhetsmål, och följs därefter av mer specifika krav på åtgärder för att uppfylla dessa mål, där så krävs för att skapa det nödvändiga förtroendet för att dessa mål kommer att bli uppfyllda. 7.1 Utfärdardeklaration Försäkringskassan ska säkerställa att den påvisar nödvändig tillförlitlighet för att erbjuda certifieringstjänster. I synnerhet ska följande punkt iakttas: a) Försäkringskassan ska ha en utfärdardeklaration som svarar mot kraven i dessa e-tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 14 (31)

15 7.2 PKI Livscykelhantering av nycklar Skapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess nycklar skapas under kontrollerade förhållanden. I synnerhet ska följande punkter iakttas: a) Skapandet av Försäkringskassans nycklar ska ske i en fysiskt säker miljö och utföras av tillförlitlig personal och kräva minst dubbelkommando. Antalet personer som är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. b) Försäkringskassans privata nyckel för signering ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. c) Skapande av Försäkringskassans nycklar ska göras med en algoritm som är erkänd för detta ändamål. d) Den valda nyckellängden och signeringsalgoritmen för utfärdarnycklarna ska vara erkända för detta ändamål. e) En lämplig tid före utgången av utfärdarnycklarnas giltighetstid (som anges i Försäkringskassans certifikat) ska Försäkringskassan skapa nya nycklar och tillämpa alla nödvändiga åtgärder för att undvika driftsavbrott för alla parter som förlitar sig på utfärdarnycklarna. De nya utfärdarnycklarna ska också skapas och distribueras i enlighet med dessa e-tjänstelegitimationsprinciper Lagring, backup och återskapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar behandlas konfidentiellt och med bibehållen integritet. Särskilt ska följande punkter iakttas: a) Försäkringskassans privata nyckel för underskrift ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. b) Utanför den kryptografiska säkra hårdvaran ska Försäkringskassans privata nyckel vara skyddad på samma säkerhetsnivå som ges av den kryptografiska säkra hårdvaran. c) Försäkringskassans privata nyckel får endast säkerhetskopieras, lagras och återläsas av medarbetare i betrodd ställning och kräva minst dubbelkommando i fysiskt säker miljö. Antalet personer som Copyright, Försäkringskassan Sid. 15 (31)

16 är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. d) Säkerhetskopior av Försäkringskassans privata nycklar ska minst hanteras med samma säkerhetsåtgärder som nycklarna som för tillfället används. e) När nycklar lagras i en speciellt avsedd hårdvara för nyckelhantering ska sådan behörighetskontroll användas som säkerställer att nycklarna inte är åtkomliga utanför hårdvaran Distribution av Försäkringskassans publika nyckel Försäkringskassan ska säkerställa att det finns förutsättningar för att dess publika nyckel med tillhörande parametrar kan hållas autentisk och med bibehållen integritet under distributionen till förlitande parter. Förlitande part har ansvaret för att bereda sig tillgång till Försäkringskassans publika nyckel samt att förvissa sig om att den är äkta och giltig. Särskilt ska följande punkt iakttas: a) Försäkringskassans publika nyckel ska göras tillgänglig för förlitande parter på sådant sätt att dess integritet och ursprung med fog kan anses vara autentiskt Nyckeldeponering Försäkringskassan ska säkerställa att deponering av nyckelinnehavarnas nycklar ej förekommer Användning av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar inte används på ett olämpligt sätt. Särskilt ska följande punkter iakttas: a) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer, enligt 7.3.3, kan också användas för att underteckna andra sorters certifikat, samt spärrinformation, så länge som driftkraven för utfärdarsystemet, enligt till 7.2.3, till och 7.4, inte bryts. b) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer ska endast användas inom fysiskt säkra lokaler Avslutning av utfärdarnycklarnas livscykel Försäkringskassan ska säkerställa att dess privata nycklar inte används under längre tid än till slutet av sin livscykel. Särskilt ska följande punkt iakttas: Copyright, Försäkringskassan Sid. 16 (31)

17 a) Alla kopior av Försäkringskassans privata nycklar för elektroniska underskrifter ska förstöras när de uppnått slutet av sin livscykel Livscykelhantering av kryptografisk hårdvara Försäkringskassan ska säkerställa att säkerheten för den kryptografiska hårdvaran, som används för att elektronisk underteckna e- tjänstelegitimationer, upprätthålls under hela dess livscykel. Särskilt ska Försäkringskassan säkerställa att: a) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under transport. b) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under förvaring. c) Installation, aktivering, back-up och återskapande av Försäkringskassans nyckel för elektronisk underskrift i kryptografisk hårdvara ska kräva samtidiga handgrepp av minst två betrodda medarbetare. d) Hårdvaran för elektroniskt undertecknande av e- tjänstelegitimationer och spärrinformation ska fungera korrekt. e) Försäkringskassans privata nycklar för elektronisk underskrift, som lagras i kryptografisk hårdvara, förstörs när de tas ur drift Av Försäkringskassan tillhandahållen nyckelgenereringstjänst I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan ska Försäkringskassan säkerställa att de skapas på ett säkert sätt samt att nyckelinnehavarnas privata nycklar hålls hemliga. Skapande av e-tjänstelegitimationer I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan: a) Nyckelinnehavarnas nycklar ska skapas med en erkänd algoritm som anses lämplig för ändamålet under hela e- tjänstelegitimationens giltighetstid. b) Nyckelinnehavarnas nycklar ska vara av sådan längd och användas av sådan asymmetrisk kryptoalgoritm som anses lämplig för ändamålet under hela e-tjänstelegitimationens giltighetstid. c) Försäkringskassan ska säkerställa att nycklarna skapas i en kontrollerad miljö som håller hög säkerhet samt att de skyddas på ett smart kort. d) Nyckelinnehavarnas privata nycklar ska levereras till nyckelinnehavarna på ett sätt som säkerställer att nycklarnas konfidentialitet och integritet inte komprometteras och den privata Copyright, Försäkringskassan Sid. 17 (31)

18 nyckeln ska endast kunna användas av nyckelinnehavaren efter att nycklarna levererats till nyckelinnehavarna. e) Efter leverans till nyckelinnehavaren ska alla eventuella kopior av nyckelinnehavarens privata nyckel förstöras av Försäkringskassan Preparering av smart kort Försäkringskassan ska säkerställa att smarta kort utfärdas på ett säkert sätt. Anskaffande av smarta kort I de fall att Försäkringskassan även utfärdar smarta kort ska Försäkringskassan särskilt säkerställa att: a) Preparering av smarta kort sker på ett säkert och kontrollerat sätt. b) Smarta kort lagras och levereras på ett säkert sätt. c) Låsning och upplåsning av smarta kort sker på ett säkert och kontrollerat sätt. d) Aktiveringskoder (PIN) till de smarta korten skapas på ett säkert sätt och levereras till innehavarna åtskilt från de smarta korten. Copyright, Försäkringskassan Sid. 18 (31)

19 7.3 PKI Livscykelhantering av e-tjänstelegitimationer Användarregistrering Försäkringskassan ska säkerställa att nyckelinnehavarna har blivit korrekt identifierade och att identiteterna blivit bestyrkta; samt att nyckelinnehavarnas beställningar av e-tjänstelegitimationer är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Särskilt ska följande punkter iakttas: a) Innan Försäkringskassan utfärdar e-tjänstelegitimationer till nyckelinnehavaren ska Försäkringskassan skriftligen och på ett lättbegripligt språk informera motparten om villkoren för att använda e-tjänstelegitimationer i sin utfärdardeklaration i enlighet med kapitel b) Försäkringskassan ska tillhandahålla denna information varaktigt över tiden. c) Vid tidpunkten för registrering ska Försäkringskassan eller annan myndighet på lämpligt sätt kontrollera den blivande nyckelinnehavarens identitet. Identitetsintyg - i form av giltig legitimationshandling 2 - ska antingen kontrolleras direkt mot den fysiska personen eller ha kontrollerats indirekt på ett sätt som ger likvärdig säkerhet som fysisk närvaro. Tillhandahållna intyg får vara i pappersform eller i form av elektroniska dokument. d) Om sökanden saknar giltig legitimationshandling kan den ersättas med ett aktuellt personbevis i kombination med ett undertecknat intyg av en myndig person som uppvisar godkänd och giltig legitimationshandling och under straffansvar intygar sökandens identitet 3. 2 Fullgod identitetshandling är enligt [SBC 151-U], kapitel U3.3.1, svenskt körkort, svenskt vinrött pass, svenskt nationellt id-kort samt SIS-märkt företags-, tjänste- eller identitetskort. För att sådan identitetshandling ska godtas, krävs att den är giltig eller att giltighetstiden inte utgått mer än tre månader före beställningen av certifierat identitetskort. Identitetskort med samordningsnummer räknas inte som fullgod identitetshandling vid utfärdande av nytt identitetskort. Intygsgivande fordras vid utfärdande av id-kort. 3 I enlighet med [SBC 151-U], kapitel U Copyright, Försäkringskassan Sid. 19 (31)

20 e) Om sökanden saknar svenskt personnummer kan e- tjänstelegitimation utfärdas under förutsättning att samtliga följande sex kriterier 4 är uppfyllda: - Utländsk medborgare kan få e-tjänstelegitimation om han eller hon stadigvarande vistas i Sverige. - E-tjänstelegitimationens giltighetstid ska motsvara vistelsetiden i Sverige men får inte understiga sex månader eller överstiga tre år. - Om personnummer saknas ska samordningsnummer anges. Om också samordningsnummer saknas ska ordningsnummer skapas av behöriga beställare enligt separat rutin. - Försäkringskassan ansvarar för att kontrollera sökandens identitet. Ansvaret kan överlåtas till utsedda personer på andra myndigheter. - Intygsförfarandet enligt ovanstående punkt (d) ska alltid tillämpas. Intygsgivaren ska vara den utländske medborgarens arbetsgivare eller uppdragsgivare i Sverige eller någon som på motsvarande säkra sätt kan styrka identitet och vistelsetid i Sverige. - Samordningsnummer ska styrkas med registerutdrag från Skatteverket eller i Sverige godkänd identitetshandling. f) Intyg ska tillhandahållas över: - Fullständigt namn, omfattande samtliga förnamn samt efternamn, inklusive eventuella mellannamn - Personnummer eller samordningsnummer. - Fullständigt namn och organisationsnummer tillhörande det statliga eller kommunala organ vid vilket nyckelinnehavaren tjänstgör eller innehar uppdrag. - Intyg att den blivande nyckelinnehavaren är anställd eller innehar uppdrag vid det inom den organisation som framgår av e-tjänstelegitimationen. 4 I enlighet med [SBC 161-U], kapitel U3.5. Copyright, Försäkringskassan Sid. 20 (31)

Telias policy för utfärdande av företagskort med e-legitimation

Telias policy för utfärdande av företagskort med e-legitimation 1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)

Läs mer

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation 2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner

Läs mer

Policy Underskriftstjänst Svensk e-legitimation

Policy Underskriftstjänst Svensk e-legitimation Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION

Läs mer

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation Tillitsramverk för Svensk e-legitimation 1 (11) 2 (11) 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering

Läs mer

Modul 3 Föreläsningsinnehåll

Modul 3 Föreläsningsinnehåll 2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben

Läs mer

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 3 Tillitsramverk Version: 1.3 BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3

Läs mer

Vad är en Certifikatspolicy och utfärdardeklaration

Vad är en Certifikatspolicy och utfärdardeklaration Certifikatspolicy och Utfärdardeklaration Innehåll Certifikatpolicy Migrationsverket Filcertifikat Version1 Certifikatpolicy Migrationsverket Smarta Kort Version 1 Utfärdardeklaration (CPS) Migrationsverket

Läs mer

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI 1 VGC RA Policy Västra Götalandsregionens Registration Authority Policy Kontaktperson: Fredrik Rasmusson OID för policy: 1.2.752.113.10.1.2.1.2.1 DOK.NAMN: Västra Götalandsregionens Registration Authority

Läs mer

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst

Läs mer

Företagens användning av ID-tjänster och e-tjänster juridiska frågor

Företagens användning av ID-tjänster och e-tjänster juridiska frågor Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman

Läs mer

Manual Beställning av certifikat (HCC) till reservkort

Manual Beställning av certifikat (HCC) till reservkort Manual Beställning av certifikat (HCC) till reservkort Landstinget Västmanland INNEHÅLLSFÖRTECKNING 1 REVISIONSHISTORIK... 3 2 INTRODUKTION... 4 3 UTFÄRDA RESERVKORT... 4 3.1 BESTÄLLNINGSUPPDRAG... 4 3.2

Läs mer

SBC 151-U. Särskilda Bestämmelser. för certifiering av överensstämmelse med standard Säkrar LIV EGENDOM MILJÖ. Utgåva 14 2008-04-04.

SBC 151-U. Särskilda Bestämmelser. för certifiering av överensstämmelse med standard Säkrar LIV EGENDOM MILJÖ. Utgåva 14 2008-04-04. Särskilda Bestämmelser för certifiering av överensstämmelse med standard Säkrar LIV EGENDOM MILJÖ SBC 151-U Utgåva 14 2008-04-04 Identitetskort SS 61 43 14 1 Särskilda bestämmelser 1 INNEHÅLL 1 INNEHÅLL...

Läs mer

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15

Vårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15 Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:

Läs mer

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:

Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala

Läs mer

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum: 2014-03-14

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum: 2014-03-14 Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3 Datum: 2014-03-14 Innehållsförteckning 1 Inledning... 4 1.1 Allmänt... 4 1.2 Identifiering... 4 1.3 Målgrupp och tillämplighet... 5

Läs mer

Riksarkivets författningssamling

Riksarkivets författningssamling Riksarkivets författningssamling ISSN 0283-2941 Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar (upptagningar för automatiserad behandling); RA-FS 2009:1 Utkom från trycket den 1

Läs mer

Ansvarsförbindelse etjänstekort

Ansvarsförbindelse etjänstekort Ansvarsförbindelse etjänstekort Ansvarsförbindelse avseende användning, utgivning och administration av etjänstekort för verksamhet: [Verksamhet som ansvarsförbindelsen gäller] Modell Anvisning Dokumentation

Läs mer

SAMLINK CUSTOMER CA Certifikatprinciper WS-MATERIALTJÄNSTER FÖR CERTIFIKAT OID: 1.2.246.558.10.09704098.11.2 v.1.0

SAMLINK CUSTOMER CA Certifikatprinciper WS-MATERIALTJÄNSTER FÖR CERTIFIKAT OID: 1.2.246.558.10.09704098.11.2 v.1.0 SAMLINK CUSTOMER CA Certifikatprinciper WS-MATERIALTJÄNSTER FÖR CERTIFIKAT OID: 1.2.246.558.10.09704098.11.2 v.1.0 GÄLLER FR.O.M. 22.9.2009 18.9.2009 OY SAMLINK AB VARMENNEPERIAATTEET 2 (47) Innehållsförteckning

Läs mer

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26

Förutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika

Läs mer

FÖRSVARETS FÖRFATTNINGSSAMLING

FÖRSVARETS FÖRFATTNINGSSAMLING FÖRSVARSMAKTEN HÖGKVARTERET FÖRSVARETS FÖRFATTNINGSSAMLING FMLOG/TF-redaktionen 107 86 STOCKHOLM ISSN 0347-7576 Försvarsmaktens föreskrifter om signalskyddstjänsten inom totalförsvaret; FFS 2005:2 Utkom

Läs mer

Tjänstespecifikation

Tjänstespecifikation TJÄNSTESPECIFIKATION 1(24) Tjänstespecifikation Underskriftstjänst som del av Svensk e-legitimation TJÄNSTESPECIFIKATION 2(24) INNEHÅLLSFÖRTECKNING 1 INLEDNING... 4 1.1 Tjänsten i sitt sammanhang... 4

Läs mer

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se

2011-11-02. E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun. jonas.wiman@linkoping.se E-legitimationer Jonas Wiman LKDATA Linköpings Kommun jonas.wiman@linkoping.se 1 Många funktioner i samhället bygger på möjligheten att identifiera personer För att: Ingå avtal Köpa saker, beställningar

Läs mer

Allmänna villkor för infrastrukturen Mina meddelanden

Allmänna villkor för infrastrukturen Mina meddelanden Allmänna villkor för infrastrukturen Mina meddelanden Bilaga 1 Krav på säkerhet för brevlådeoperatörer version 1.2 (Gäller fr.o.m. 2015-11-11) 2 Bakgrund och syfte Skatteverket tillhandahåller en myndighetsgemensam

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om försäkringsförmedling; SFS 2005:411 Utkom från trycket den 14 juni 2005 utfärdad den 2 juni 2005. Regeringen föreskriver följande. 1 kap. Definitioner 1 I denna

Läs mer

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss.

När du deltar i en panelundersökning som vårt företag utför kan du känna dig säker på att eventuell personlig information stannar hos oss. VISION CRITICAL COMMUNICATIONS INC. FÖRETAGETS INTEGRITETSPOLICY ÖVERSIKT Här hos Vision Critical Communications Inc. ("VCCI") är respekt för integriteten en viktig del av vårt åtagande gentemot klienter,

Läs mer

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia Upphandlingssystem och IT-säkerhet Britta Johansson Sentensia 1 Säkerhetsfrågor i fokus dagligen 2 IT-säkerhet i upphandlingssystem Deltagare presenterar sig för varandra Myndighet Erfarenhet av elektronisk

Läs mer

etjänstekortsmodellen

etjänstekortsmodellen SLL IT VERSION 3.0 etjänstekortsförvaltningen 2010-11-15 LS etjänstekortsmodellen INNEHÅLLSFÖRTECKNING etjänstekortsmodellen... 1 Versionshistorik... 5 1 Inledning... 6 1.1 Bakgrund... 6 1.1.1 Nationellt

Läs mer

http://iwww.rsv.se:82/samset/myndigh_anv.html

http://iwww.rsv.se:82/samset/myndigh_anv.html Sida 1 av 38 Vägledning till myndigheter inför införandet av elektronisk identifiering och underskrifter. Beskriver hur riktlinjerna ska användas och tar upp rättsfrågor som myndigheter och medborgare

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Särskilda Bestämmelser för certifiering av överensstämmelse med standard

Särskilda Bestämmelser för certifiering av överensstämmelse med standard Särskilda Bestämmelser för certifiering av överensstämmelse med standard SBC 151-U Identitetskort SS 61 43 14 Dokument.: SBC 151-U Utgåva: 15 Datum: 2015-05-25 DNV GL Business Assurance Sweden AB Box 6046

Läs mer

EAs krav vid ackreditering av flexibel omfattning

EAs krav vid ackreditering av flexibel omfattning SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15

Läs mer

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FÖRSVARSMAKTENS INTERNA BESTÄMMELSER FIB 2011:2 Utkom från trycket 2011-05-30 Försvarsmaktens interna bestämmelser om tjänstekort och vissa behörighetshandlingar; beslutade den 20 maj 2011. Försvarsmakten

Läs mer

OHSAS 18001.2007. Av Benny Halldin

OHSAS 18001.2007. Av Benny Halldin OHSAS 18001.2007 Av Benny Halldin Revision av OHSAS 18001 Ny standard klar juni/juli 2007! Mer lika ISO 14 001.2004 Mer tonvikt på Hälsa även psykisk sådan. Anläggningssäkerhet borttaget. Nytt avsnitt

Läs mer

Telias Utfärdardeklaration, CPS,

Telias Utfärdardeklaration, CPS, Page E-LEGITIMATION Public 1 (28) Telias Utfärdardeklaration, CPS, för hårdvarubaserad Telia e-legitimation Page E-LEGITIMATION Public 2 (28) 1 Inledning 4 1.1 Allmänt 4 1.2 Identifiering 5 1.3 Målgrupp

Läs mer

Rubrik: - Handelsregisterförordning (1974:188)

Rubrik: - Handelsregisterförordning (1974:188) Rubrik: - Handelsregisterförordning (197:188) Databas: SFST Observera att det kan förekomma fel i författningstexterna. Bilagor till författningarna saknas. Kontrollera därför alltid texten mot den tryckta

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Krav på identifiering för åtkomst till konfidentiell information

Krav på identifiering för åtkomst till konfidentiell information Krav på identifiering för åtkomst till konfidentiell information Apotekens Service tillämpning av tillitsnivå tre, baserat på Kantara Identity Assurance Framework, för åtkomst till känsliga personuppgifter.

Läs mer

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information Koncernkontoret Enheten för informationssäkerhet informationssakerhet@skane.se Datum: 2012-11-05 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutat Dokumentid:

Läs mer

ANVÄNDARVILLKOR ILLUSIONEN

ANVÄNDARVILLKOR ILLUSIONEN ANVÄNDARVILLKOR ILLUSIONEN Välkommen till Illusionen! Tack för att du använder Illusionen som tillhandahålls av Fotboll 2000. Detta är villkoren för användning av denna webbplats och programvara, bilder,

Läs mer

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad:

Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: I N T E R N T Säkerhetskrav på extern part För enskild individs direktåtkomst till Datum: 2011-02-10 Version: Författare: Christina Danielsson Senast ändrad: Dokumentnamn: Säkerhetskrav på extern part

Läs mer

VGC CA Policy Certifikatspolicy för utgivande av certifikat inom Västra Götalandsregionens interna PKI

VGC CA Policy Certifikatspolicy för utgivande av certifikat inom Västra Götalandsregionens interna PKI 1 VGC CA Policy Certifikatspolicy för utgivande av certifikat inom Västra Götalandsregionens interna PKI Kontaktperson: Fredrik Rasmusson OID för policy 1.2.752.113.10.1.2.1.1.2 2 Innehållsförteckning

Läs mer

Stockholms läns författningssamling

Stockholms läns författningssamling Stockholms läns författningssamling Länsstyrelsen Länsstyrelsens i Stockholms läns allmänna föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; beslutade den 18 december 2009 (dnr

Läs mer

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. 2008-08-15 1 (6) Reviderad 2010-04-21 Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun. Nedanstående lagar, förordningar allmänna råd ligger

Läs mer

Myndigheten för samhällsskydd och beredskaps författningssamling

Myndigheten för samhällsskydd och beredskaps författningssamling Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 8 januari 2010 Myndigheten

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem;

Läs mer

Allmänna Villkor för Tjänsten

Allmänna Villkor för Tjänsten Allmänna Villkor för Tjänsten 2014-12-23 1. OMFATTNING OCH DEFINITIONER 1.1. Dessa Allmänna Villkor för Kund gäller när Joblife AB (nedan kallad Joblife ) ger privatpersoner ( Användare ) tillgång till

Läs mer

ALLMÄNNA BESTÄMMELSER

ALLMÄNNA BESTÄMMELSER ALLMÄNNA BESTÄMMELSER 1. INLEDNING 1.1 Dessa Allmänna bestämmelser utgör avtalsvillkor i de abonnemangsavtal om tjänster hänförliga till domännamn registrerade under toppdomänen.se, som ni ingått med Nictrade

Läs mer

Apotekens Service. federationsmodell

Apotekens Service. federationsmodell Apotekens Service Federationsmodell Detta dokument beskriver hur Apotekens Service samverkar inom identitetsfederationer Datum: 2011-12-12 Version: Författare: Stefan Larsson Senast ändrad: Dokumentnamn:

Läs mer

Vägledning för certifieringsorgan vid ackreditering Produktcertifiering för korrosionsskyddssystem i form av beläggning enl.

Vägledning för certifieringsorgan vid ackreditering Produktcertifiering för korrosionsskyddssystem i form av beläggning enl. Vägledning för certifieringsorgan vid ackreditering Produktcertifiering för korrosionsskyddssystem i form av beläggning enl. MSBFS 2011:8 Grundförutsättningar Ackreditering av certifieringsorgan för certifiering

Läs mer

Transportstyrelsens föreskrifter om kompletterande bestämmelser för certifikat, auktorisationer och behörighetsbevis;

Transportstyrelsens föreskrifter om kompletterande bestämmelser för certifikat, auktorisationer och behörighetsbevis; Transportstyrelsens föreskrifter om kompletterande bestämmelser för certifikat, auktorisationer och ; beslutade den DATUM ÅR. Transportstyrelsen föreskriver följande med stöd av 2 förordningen (1994:1808)

Läs mer

ADMINISTRATIVA FÖRESKRIFTER UPPHANDLING AV

ADMINISTRATIVA FÖRESKRIFTER UPPHANDLING AV 1(7) ADMINISTRATIVA FÖRESKRIFTER UPPHANDLING AV Sysselsättning till personer med psykiska funktionshinder 2(7) Innehållsförteckning Sid nr 1 ALLMÄN ORIENTERING 3 1.1 Bakgrund 3 1.2 Upphandlingsförfarande

Läs mer

Kundverifiering av SPs digitala signaturer

Kundverifiering av SPs digitala signaturer 2014-08-28 Utgåva 8.0 1 (12) Kundverifiering av SPs digitala signaturer SP Sveriges Tekniska Forskningsinstitut SP IT 2014-08-28 Utgåva 8.0 2 (12) Versionshistorik Författare Utgåva Datum Kommentar Fredrik

Läs mer

Kammarkollegiets författningssamling

Kammarkollegiets författningssamling Kammarkollegiets författningssamling ISSN 1402-5345 ISSN 1654-9325 (on line) Utgivare: Bertil Kallner, Kammarkollegiet Fastighetsmäklarnämndens föreskrifter om åtgärder mot penningtvätt och finansiering

Läs mer

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem

Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem SOCIALFÖRVALTNINGEN Annika Nilsson, 0554-191 56 annika.nilsson@kil.se 2014-05-07 Rutin för kontroll av åtkomst till patientuppgifter-loggranskning av NPÖ, Meddix och verksamhetssystem INLEDNING Patientdatalagen

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare 1.2 110908 (1)18 TjänsteID+, Privata vårdgivare 1.2 110908 (2)18 1.2 110908 (3)18 Innehåll Dokumentstruktur... 4 Bakgrund... 5 Organisation... 5 Extern information... 6 Certifikaten... 6 E-legitimation...

Läs mer

Tekniskt ramverk för Svensk e- legitimation

Tekniskt ramverk för Svensk e- legitimation Tekniskt ramverk för Svensk e- legitimation ELN-0600-v1.4 Version: 1.4 2015-08-14 1 (10) 1 INTRODUKTION 3 1.1 IDENTITETSFEDERATIONER FÖR SVENSK E- LEGITIMATION 3 1.2 TILLITSRAMVERK OCH SÄKERHETSNIVÅER

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

Körkortsförordning (1998:980)

Körkortsförordning (1998:980) Körkortsförordning (1998:980) Allm. anm. Följande kapitel har inte tagits in i denna handbok: Kap. 3 (Körkortstillstånd och förlängning av körkortsbehörighets giltighet), kap. 4 (Övningskörning m.m.),

Läs mer

Lag (2008:962) om valfrihetssystem

Lag (2008:962) om valfrihetssystem Lag (2008:962) om valfrihetssystem 1 kap. Lagens tillämpningsområde Lagens omfattning 1 Denna lag gäller när en upphandlande myndighet beslutat att tillämpa valfrihetssystem vad gäller tjänster inom hälsovård

Läs mer

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson, ID-handlingar i traditionell och elektronisk form Fysisk ID-handling Elektronisk ID-handling

Läs mer

Sekretesspolicy för marknadsföringsregister

Sekretesspolicy för marknadsföringsregister Sekretesspolicy för marknadsföringsregister 1. Personuppgiftsansvarig Tikkurila Sverige AB (häri kallat Tikkurila) Textilgatan 31 120 86 Stockholm Sverige Org.nr: 556001-8300 Tel: +46(0)8 775 6000 2. Kontaktuppgifter

Läs mer

Certifikat för flygledarelever och flygledare

Certifikat för flygledarelever och flygledare 1 (5) Utfärdad: 29.1.2013 Träder i kraft: 1.2.2013 Giltighetstid: tills vidare Rättsgrund: Denna luftfartsföreskrift har utfärdats med stöd av 45, 46, 119 och 120 i luftfartslagen (1194/2009) med beaktande

Läs mer

Finansinspektionens författningssamling

Finansinspektionens författningssamling Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter och allmänna råd om it-system, informationssäkerhet och insättningssystem;

Läs mer

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL

PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL UTKAST Regeringens proposition till riksdagen med förslag till lag om ändring av lagen om utövning av veterinäryrket PROPOSITIONENS HUVUDSAKLIGA INNEHÅLL I denna proposition föreslås det att lagen Utöver

Läs mer

Identitetskort för folkbokförda i Sverige

Identitetskort för folkbokförda i Sverige Identitetskort för folkbokförda i Sverige Från och med april 2013 ser Skatteverkets id-kort ut så här. Det id-kort som utfärdats mellan 2009 och mars 2013 är giltiga fram till den dag som anges på kortet.

Läs mer

Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING

Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING Allmänna villkor för Arbetsgivare vid nyttjande av AFA Försäkrings kundwebb FÖRSÄKRING v 1.1 maj 2012 1. Bakgrund 1.1 AFA Försäkring är samlingsnamnet för de tre bolagen AFA Sjukförsäkrings aktiebolag,

Läs mer

Tillsyn efter inträffad integritetsincident i fakturasystem

Tillsyn efter inträffad integritetsincident i fakturasystem BESLUT 1(6) Datum Vår referens Aktbilaga 2014-09-30 Dnr: 14-6336 9 Nätsäkerhetsavdelningen Karin Lodin 08-678 56 04 karin.lodin@pts.se Tillsyn efter inträffad integritetsincident i fakturasystem Saken

Läs mer

HSA-policy. Version 3.4 2011-03-22

HSA-policy. Version 3.4 2011-03-22 HSA-policy Version 3.4 2011-03-22 Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...

Läs mer

Inga krav utöver ISO 14001

Inga krav utöver ISO 14001 Förordning (2009:907) om miljöledning i statliga myndigheter Relaterat till motsvarande krav i ISO 14001 och EMAS De krav som ställs på miljöledningssystem enligt EMAS utgår från kraven i ISO 14001. Dessutom

Läs mer

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef

Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem. Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef Hot mot nyckelhantering i DNSSEC och lite om hur man undviker dem Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef Överväganden Införandet av DNSSEC nödvändiggör en juridisk analys. Vilken riskexponering

Läs mer

Internetsäkerhet. banktjänster. September 2007

Internetsäkerhet. banktjänster. September 2007 Internetsäkerhet och banktjänster September 2007 Skydda din dator Att använda Internet för att utföra bankärenden är enkelt och bekvämt. Men tänk på att din datormiljö måste vara skyddad och att du aldrig

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL - DM

PERSONUPPGIFTSBITRÄDESAVTAL - DM 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL - DM Bakgrund Personuppgiftslagen ställer krav på skriftligt

Läs mer

ANVISNING. Koncernkontoret. Enheten för informationssäkerhet. Datum: 2012-10-15 Dnr: Dokumentets status: Beslutad

ANVISNING. Koncernkontoret. Enheten för informationssäkerhet. Datum: 2012-10-15 Dnr: Dokumentets status: Beslutad Koncernkontoret Enheten för informationssäkerhet Datum: 2012-10-15 Dnr: Dokumentförvaltare: Enheten för informationssäkerhet Koncernkontoret Dokumentets status: Beslutad Dokumentid: Identitetshantering

Läs mer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation Presentation Informationssäkerhet Kim Strandberg Informationssäkerhetsstrateg/jurist kim.strandberg@regionostergotland.se 010-103 03 385 Region Informationssäkerhet, Östergötland 2015-03-11, Kim Strandberg

Läs mer

En övergripande bild av SITHS

En övergripande bild av SITHS En övergripande bild av SITHS Kontakt: Jessica Nord E-post: servicedesk@inera.se Webbsida: www.siths.se 1 2 Nationell e-hälsa SITHS en pusselbit Vad används SITHS till? Fysisk ID-handling Inpassering Säker

Läs mer

De 16 principerna för samverkan

De 16 principerna för samverkan De 16 principerna för samverkan Syftet med de styrande principerna Kommunerna i Stockholms län värnar om nätneutralitet, autentiseringsneutralitet och federationsneutralitet. Syftet med principerna är

Läs mer

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun

4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun 1(5) 4.1 Riktlinje för dokumentation och informationsöverföring i hälsooch sjukvården i särskilt boende i Tyresö kommun Nedanstående lagar, förordningar allmänna råd ligger till grund för omvårdnadsdokumentationen.

Läs mer

BOVERKETS FÖRFATTNINGSSAMLING Utgivare: Förnamn Efternamn

BOVERKETS FÖRFATTNINGSSAMLING Utgivare: Förnamn Efternamn BOVERKETS FÖRFATTNINGSSAMLING Utgivare: Förnamn Efternamn BFS 2012:xx Boverkets föreskrifter om ändring i verkets föreskrifter och allmänna råd (2007:4) om energideklaration för byggnader; Utkom från trycket

Läs mer

Riktlinjen trädde i kraft den 1 januari 1997 enligt beslut i kommunfullmäktige den 19 december 1996, 161.

Riktlinjen trädde i kraft den 1 januari 1997 enligt beslut i kommunfullmäktige den 19 december 1996, 161. Riktlinje 2014-01-27 Attestreglemente för Norrköpings kommuns nämnder och förvaltningar KS 2013/0267-8 Riktlinjen trädde i kraft den 1 januari 1997 enligt beslut i kommunfullmäktige den 19 december 1996,

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Förordning om ändring i körkortsförordningen (1998:980); SFS 2009:1369 Utkom från trycket den 11 december 2009 utfärdad den 3 december 2009. Regeringen föreskriver i fråga om

Läs mer

Grunderna i PKI, Public Key Infrastructure

Grunderna i PKI, Public Key Infrastructure Grunderna i PKI, Public Key Infrastructure Christer Tallberg ctg07001@student.mdh.se Philip Vilhelmsson pvn05001@student.mdh.se 0 Sammanfattning I och med dagens informationssamhälle finns ett stort behov

Läs mer

Behörighet i Alectas internetkontor - Ombud

Behörighet i Alectas internetkontor - Ombud Behörighet i Alectas internetkontor - Ombud Nyanmälan. Vi anmäler oss till internetkontoret för första gången. Byte av behörighetsansvarig. Avregistrera nuvarande behörighetsansvarig (i samband med byte

Läs mer

TOTAL IMMERSION D FUSION RUNTIME LICENSAVTAL FÖR SLUTANVÄNDARE

TOTAL IMMERSION D FUSION RUNTIME LICENSAVTAL FÖR SLUTANVÄNDARE TOTAL IMMERSION D FUSION RUNTIME LICENSAVTAL FÖR SLUTANVÄNDARE Läs noga igenom alla villkor i detta licensavtal (nedan kallat avtalet ) mellan TOTAL IMMERSION och dig själv (nedan kallad du eller LICENSTAGARE

Läs mer

Riktlinjer för försäkringsföretags hantering av klagomål

Riktlinjer för försäkringsföretags hantering av klagomål EIOPA-BoS-12/069 SV Riktlinjer för försäkringsföretags hantering av klagomål 1/7 1. Riktlinjer Inledning 1. Dessa riktlinjer utfärdas i enlighet med artikel 16 i förordningen om Eiopa 1 (Europeiska försäkrings-

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Lag om europeiska grupperingar för territoriellt samarbete; SFS 2009:704 Utkom från trycket den 30 juni 2009 utfärdad den 7 juni 2009. Enligt riksdagens beslut föreskrivs följande.

Läs mer

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths

Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 1 Anslutning av Elektronisk Katalog EK/HSA, införande etjänstekort et/siths sida 2 1 Innehåll 2 Bakgrund - EK... 3 2.1 Vad är EK... 3 2.2 Tillämpningar för EK... 4 3 Bakgrund - etjänstekort... 5 3.1

Läs mer

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System

SITHS anpassning av IT system. Användarguide: Gör så här SITHS anpassning av IT System SITHS anpassning av IT system Användarguide: Gör så här SITHS anpassning av IT System Innehållsförteckning Inledning... 3 Dokumentets syfte... 3 Dokumentets målgrupp... 3 SITHS kort och certifikat... 4

Läs mer

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014. Joakim Nyberg ITS Umeå universitet Krypteringstjänster LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober 2014 Joakim Nyberg ITS Umeå universitet Projekt mål Identifiera de behov som finns av krypteringstjänster Utred funktionsbehov

Läs mer

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet Innehållsförteckning 1. Generell informationssäkerhet... 4 1.1. Styrande dokumentation... 4 1.2. Organisation... 4 Incidenthantering...

Läs mer

BILAGA 1 Användarvillkor för ledningsägare

BILAGA 1 Användarvillkor för ledningsägare Dokumenttyp Datum. Sida Vår referens D-nr: 07-6365 2015-04-14 1 (5) Version C BILAGA 1 Användarvillkor för ledningsägare Användarvillkor för Ledningskollen.se Ledningskollen.se är en webbtjänst som syftar

Läs mer

Avtal distribution m.m. av trycksaker. Box 27215 102 53 Stockholm

Avtal distribution m.m. av trycksaker. Box 27215 102 53 Stockholm AVTALSUTKAST Dnr Adm 2008/70 Bilaga 1 Avtal distribution m.m. av trycksaker 1. Avtalsparter Statens kulturråd Box 27215 102 53 Stockholm Organisationsnummer 202100-1280 Distributören Organisationsnummer

Läs mer

1. Bakgrund. 2. Parter. 3. Definitioner

1. Bakgrund. 2. Parter. 3. Definitioner Personuppgiftsbiträdesavtal samt fullmakt för såväl direktansluten vårdgivare som Inera AB att teckna personuppgiftsbiträdesavtal enligt 30-31 Personuppgiftslagen (1998:204) Modellavtal 2 riktar sig till

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

ProfessionGuard Professionsansvarsförsäkring

ProfessionGuard Professionsansvarsförsäkring Vänligen svara på alla frågor. Om det saknas utrymme för att kunna besvara frågan, vänligen fortsätt Ditt svar på ett papper med Ditt företags brevpapper med hänvisning till den fråga som besvaras. Del

Läs mer

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008

Tekn.dr. Göran Pulkkis Överlärare i Datateknik. Nätverksprotokoll 23.10.2008 Tekn.dr. Göran Pulkkis Överlärare i Datateknik Säker e-post Innehåll Principen för säker e-post Realisering av säker e-post Pretty Good Privacy (PGP) Secure / Multipurpose Internet Mail Extensions (S/MIME)

Läs mer

Behörighetsanmälan för Alectas internetkontor Företag

Behörighetsanmälan för Alectas internetkontor Företag Behörighetsanmälan för Alectas internetkontor Företag * Obligatorisk uppgift Vi anmäler oss till internetkontoret för första gången. Vi vill byta behörighetsansvarig. Vi vill lägga till eller ta bort kundnummer.

Läs mer

Ansökan om att bedriva hemvård i Essunga kommun

Ansökan om att bedriva hemvård i Essunga kommun Sid 1 av 5 Bilaga 1 A Befintligt företag Ansökan om att bedriva hemvård i Essunga kommun Information Personuppgifter i ansökan behandlas i enlighet med Personuppgiftslagen. Den sökande godkänner att lämnad

Läs mer

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Dokument: Attest-signatur Version 0.1 Författare Sida 1 av 16 Ola Ljungkrona PO Datum 2011-01-01 Innehåll 1 Inledning... 2 1.1 Syfte... 2 2 Informationsflöde... 3 2.1 Begrepp... 3 3 Grundprincip... 5 4

Läs mer