Försäkringskassans principer för e- tjänstelegitimationer
|
|
- Elisabeth Bengtsson
- för 8 år sedan
- Visningar:
Transkript
1 Försäkringskassans principer för e- tjänstelegitimationer Version Rev A Copyright, Försäkringskassan Sid. 1 (31)
2 Innehåll 1 OMFATTNING REFERENSER DEFINIONER OCH FÖRKORTNINGAR DEFINIONER FÖRKORTNINGAR ALLMÄNNA BEGREPP UTFÄRDARE (CA) CERTIFIERINGSTJÄNSTER CERTIFIKATPOLICY OCH UTFÄRDARDEKLARATION NYCKELINNEHAVARE INTRODUKTION TILL DESSA E-TJÄNSTELEGIMATIONSPRINCIPER FÖRÄNDRINGSRUTIN ÅTAGANDEN FÖRSÄKRINGSKASSANS ÅTAGANDEN NYCKELINNEHAVARNAS ÅTAGANDEN FÖRLANDE PARTS ÅTAGANDEN KRAV PÅ RUTINER FÖR CERTIFIERINGSTJÄNSTEN UTFÄRDARDEKLARATION PKI LIVSCYKELHANTERING AV NYCKLAR Skapande av Försäkringskassans nycklar Lagring, backup och återskapande av Försäkringskassans nycklar Distribution av Försäkringskassans publika nyckel Nyckeldeponering Användning av Försäkringskassans nycklar Avslutning av utfärdarnycklarnas livscykel Livscykelhantering av kryptografisk hårdvara Av Försäkringskassan tillhandahållen nyckelgenereringstjänst Preparering av smart kort PKI LIVSCYKELHANTERING AV E-TJÄNSTELEGIMATIONER Användarregistrering Förnyande och uppdatering av e-tjänstelegitimationer och nycklar Skapande av e-tjänstelegitimationer Spridning av användarvillkor Spridning av e-tjänstelegitimationer Spärr av e-tjänstelegitimationer DRIFT OCH LEDNING Säkerhetsledning Klassificering och hantering av tillgångar Personsäkerhet Fysisk säkerhet Driftshantering Hantering av systemåtkomst Installation och underhåll av pålitliga system Kontinuitetsplanering och incidenthantering Upphörande av certifieringstjänster Uppfyllande av legala krav Registrering av uppgifter gällande e-tjänstelegitimationer BILAGA A: KORSREFERENS Copyright, Försäkringskassan Sid. 2 (31)
3 Versionshantering Datum Version Ändring Rev A Fastställande av dokument Rev A Smärre uppdateringar i kap c, kap e Copyright, Försäkringskassan Sid. 3 (31)
4 1 Omfattning Försäkringskassans principer för e-tjänstelegitimationer beskriver krav för: 1. att utfärda och använda e-tjänstelegitimationer, kopplade till privata nycklar skyddade i chip på smart kort 1 eller annan maskinvara med motsvarande säkerhetsegenskaper, och 2. att spärra och kontrollera spärr för sådana e-tjänstelegitimationer och relaterade smarta kort samt tillhandahålla tjänster för spärrkontroll. De uppgifter som finns i Försäkringskassans e-tjänstelegitimationer tas fram i enlighet med e-tjänstelegitimationsprinciperna i detta dokument. I den mån det finns uppgifter tryckta på respektive smart kort ska dessa ej vara motstridiga med uppgifterna i e-tjänstelegitimationen. Försäkringskassan svarar för de åtagande som anges i kapitel 6.1 även om någon annan utför åtgärderna på uppdrag av Försäkringskassan. Ändamålet med Försäkringskassans e-tjänstelegitimationsprinciper är: 1. att ange de rutiner som ska tillämpas av Försäkringskassan vid utfärdande och spärr av e-tjänstelegitimationer och de åtaganden som övriga aktörer avses göra, och 2. att bidra till att reducera och tydliggöra de finansiella, operativa och juridiska riskerna, och därigenom skapa tillit, hos förlitande parter, till Försäkringskassans e-tjänstelegitimationer som utfärdas i överensstämmelse med dessa principer och de elektroniska underskrifter som verifieras med hjälp av e-tjänstelegitimationerna. Den förlitande part som tar emot en e-tjänstelegitimation eller en elektronisk underskrift som verifieras med hjälp av en e-tjänstelegitimation som utfärdats av Försäkringskassan i enlighet med dessa e- tjänstelegitimationsprinciper: 1. svarar enligt kapitel 6.3 för att kontrollera att e- tjänstelegitimationen och den elektroniska underskriften är äkta, att e-tjänstelegitimationen är giltig och inte har spärrats samt att den endast används för ändamål som är förenliga med dessa e- tjänstelegitimationsprinciper och Försäkringskassans utfärdardeklaration, och 2. bedömer utifrån e-tjänstelegitimationsprinciperna och Försäkringskassans utfärdardeklaration om e-tjänstelegitimationen 1 Notera att det inte är ett krav i dessa e-tjänstelegitimationsprinciper att det smarta kortet måste vara ett SIS-godkänt tjänstekort. Därför kommer i fortsättningen benämningen smart kort eller endast kort att användas. Copyright, Försäkringskassan Sid. 4 (31)
5 och den elektroniska underskriften kan anses vara tillförlitliga för den användning som är aktuell i det enskilda fallet. Vid tolkning av e-tjänstelegitimationsprinciperna gäller följande: 1. Rubrikerna i detta dokument följer i huvudsak europeisk praxis [ETSI QCP]. Vid tolkning av Försäkringskassans e- tjänstelegitimationsprinciper ska texten under varje rubrik ges företräde framför formuleringar och uttryck i rubriker. 2. Detta dokument anger miniminivåer för rutiner och säkerhetskrav. Copyright, Försäkringskassan Sid. 5 (31)
6 2 Referenser I detta dokument refereras till följande information: [SignaturLag] [X.509] [ISO 9001] [ISO 15408] [ISO 27001] [ISO 27002] [RFC 3647] [RFC 5280] [ETSI QCP] [SBC 151-U] Lag (2000:832) om kvalificerade elektroniska signaturer. U-T Recommendation X.509 (08/2005): Information Technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. SS-EN ISO 9001:2008, Ledningssystem för kvalitet Krav ISO/IEC (2005) (Parts 1-3): Information technology Security techniques Evaluation criteria for security. SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2005, Riktlinjer för styrning av informationssäkerhet RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Santosh Chokani, Warwick Ford, Randy V. Sabett, Charles R. Merrill, Stephen S. Wu, IETF, November 2003, RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, David Cooper, Stefan Santesson, Steven Farrell, Sharon Boyen, Russel Housley, Tim Polk, IETF, May 2008, ETSI TS V1.4.3 ( ): Electronic Signatures and Infrastructure (ESI); Policy requirements for certification authorities issuing qualified certificates, Technical specification. SBC 151-U, Särskilda Bestämmelser för Certifiering av överensstämmelse med standard, Utgåva 14, , (SS ), [FIPS 140-2] FIPS PUB 140-2: Federal Information Processing Standards Publication Security Requirements for Cryptographic Modules, May 25, 2001, [TCP] Bilaga 3: Tjänstecertifikatpolicy, Version 2.3, Skatteverket, Copyright, Försäkringskassan Sid. 6 (31)
7 3 Definitioner och förkortningar Termer och förkortningar som förekommer i dokumentet: 3.1 Definitioner Term Beskrivning Certifikat Publika nyckeln för en användare tillsammans med annan information som säkrats genom att de signerats av utfärdarens privata nyckel. [ETSI QCP] Certification En auktoritet som är betrodd av en eller flera användare att skapa och Authority (CA) tilldela certifikat. En CA kan även skapa användarnas nycklar. [X.509] CA-certifikat Ett certifikat för en CA utfärdat av en annan CA. [X.509] Certifikatpolicy En namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. [X.509] E-tjänstelegitimation Certifikat som identifierar en fysisk person (med namn och unik beteckning) och att denne är knuten till en organisation (med namn och organisationsnummer). Förlitande part En användare eller agent som förlitar sig på uppgifterna i ett certifikat för att fatta beslut. [X.509] Kryptosystem En samling transformationer från klartext till chiffertext och vice versa, där en specifik transformation väljs ut med en nyckel. [X.509] Nyckelinnehavare Fysisk person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i ett certifikat. Personnummer Identitetsbeteckning för varje folkbokförd person i Sverige enligt 18 folkbokföringslagen (1991:481) Privat nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares nyckelpar vilken endast är känd av den användaren [X.509]. Publik nyckel (I ett asymmetriskt kryptosystem) Den nyckel av en användares Public Key Infrastructure (PKI) nyckelpar som är publikt känd [X.509]. En infrastruktur som kan stödja hanteringen av publika nycklar som kan användas för autentisering, kryptering, integritet eller oavvislighetstjänster. [X.509] Samordningsnummer En enhetlig identitetsbeteckning som utfärdats av Skatteverket för fysiska personer som inte är eller har varit folkbokförda i Sverige. Består av tio siffror där de första sex siffrorna utgår från personens födelsetid. Talet för födelsedag ökas dock med talet 60. Därefter följer i likhet med personnummer, fyra siffror. [SBC 151-U] Spärrlista Utfärdare Utfärdardeklaration (CPS) Elektroniskt undertecknad lista av certifikat som inte längre anses giltiga av certifikatutfärdaren. [X.509] Utfärdare av e-tjänstelegitimationer. I detta dokument liktydigt med Certification Authority (CA). En redogörelse för de rutiner som en CA använder för att utfärda certifikat. [X.509] Copyright, Försäkringskassan Sid. 7 (31)
8 3.2 Förkortningar Förkortning Fullständigt uttryck CA CPS CRL ETSI PIN PKI PUK RSA Certification Authority Certification Practice Statement Certificate Revocation List European Telecommunications Standards Institute Personal Identification Number Public Key Infrastructure PIN Unblocking Key Rivest Shamir Adleman Copyright, Försäkringskassan Sid. 8 (31)
9 4 Allmänna begrepp 4.1 Utfärdare (CA) Den part som är betrodd av användare av certifieringstjänster att skapa och utfärda certifikat benämns CA eller certifikatutfärdare. Termen utfärdare har valts framför CA eftersom det är på svenska och tros underlätta förståelsen för läsare som inte är så insatta i PKI. Utfärdaren har det övergripande ansvaret för att tillhandahålla certifieringstjänster enligt kapitel Certifieringstjänster Certifieringstjänsterna är uppdelad i följande delar: Registreringstjänst: Verifierar nyckelinnehavarens identitet och i förekommande fall särskilda attribut hos denne. Resultatet av denna verifiering skickas vidare till certifikatgenereringstjänsten. Certifikatgenereringstjänst: Skapar och signerar certifikat baserat på den identitet och andra attribut som verifierats i registreringstjänsten. Spridningstjänst: Sprider certifikat till nyckelinnehavare samt, under förutsättning att nyckelinnehavaren går med på det, gör dem tillgängliga för förlitande parter. Denna tjänst tillhandahåller även utfärdarens villkor, samt eventuell publicerad certifikatpolicy och utfärdardeklaration till nyckelinnehavare och förlitande parter. Spärrtjänst: Behandlar inkommen spärrbegäran och vidtar nödvändiga åtgärder. Resultatet av spärrtjänsten distribueras via spärrkontrolltjänsten. Spärrkontrolltjänst: Förser förlitande parter med information om certifikats status. Detta kan göras i form av spärrlistor eller en realtidstjänst. Statusinformation kan komma att uppdateras regelbundet och kan således riskera att inte visa ett certifikats nuvarande status. Kortutfärdartjänst: Preparerar och delar ut smarta kort till nyckelinnehavare. Nyckelgenereringstjänst: Skapar och delar ut nycklar åt nyckelinnehavare. Copyright, Försäkringskassan Sid. 9 (31)
10 4.3 Certifikatpolicy och utfärdardeklaration Ett certifikat kan innehålla ett fält som intygar att en certifikatpolicy gäller för certifikatet. Enligt [X.509] är en certifikatpolicy en namngiven uppsättning regler som anger tillämpningen av ett certifikat till en viss gemenskap och/eller klass av tillämpningar med gemensamma krav på säkerhet. En certifikatpolicy kan användas av en förlitande part som hjälp att avgöra huruvida ett certifikat är tillräckligt pålitligt samt i övrigt lämpligt för en viss tillämpning. En beskrivning av de tillvägagångssätt som en utfärdare tillämpar för att utfärda och på annat sätt hantera certifikat ingår i utfärdardeklarationen (CPS) som utfärdaren publicerar eller refererar till. Enligt [X.509] är en utfärdardeklaration en redogörelse för de rutiner som en utfärdare använder för att utfärda certifikat. I allmänhet beskriver en utfärdardeklaration även vilka tillvägagångssätt en utfärdare tillämpar för alla certifieringstjänster under ett certifikats livscykel (t.ex. utfärdande, förvaltning, spärr och förnyande) och lämnar detaljerade upplysningar om andra affärsmässiga, juridiska och tekniska angelägenheter. Bestämmelserna i en certifikatpolicy eller utfärdardeklaration kan, men behöver inte, utgöra ett bindande kontrakt för deltagarna i PKI:n. Det vanligaste är att ett avtal mellan parterna kan innehålla hänvisningar till en certifikatpolicy och/eller en utfärdardeklaration. 4.4 Nyckelinnehavare Med begreppet nyckelinnehavare avses den person som är i besittning av den privata nyckel som korresponderar mot den publika nyckeln i certifikatet. Begreppet har valts framför certifikatinnehavare för att slippa kvalificera begreppet såsom blivande certifikatinnehavare etc. [ETSI QCP] använder begreppet subjekt för nyckelinnehavare och abonnent för den part som ingår avtal om certifieringstjänst med utfärdare. Abonnenten kan vara samma part som nyckelinnehavaren (subjektet), men det kan även exempelvis vara nyckelinnehavarens arbetsgivare. Dessa begrepp, liksom även begreppet användare, har undvikits. Copyright, Försäkringskassan Sid. 10 (31)
11 5 Introduktion till dessa e- tjänstelegitimationsprinciper Försäkringskassans e-tjänstelegitimationsprinciper är registrerade av Försäkringskassan och tilldelad följande unika objektidentifierare: { iso(1) member-body(2) SE(752) Forsakringskassan(146) Policies(1) e- tjanstelegitimationsprinciper(1) version1(1) } Ovanstående objektidentifierare ska framgå i Försäkringskassans e- tjänstelegitimationer som utfärdas i enlighet med dessa e- tjänstelegitimationsprinciper. Termen principer används i stället för policy för att särskilja detta dokument från interna fastställda policydokument inom Försäkringskassan. Detta dokument använder samma dokumentstruktur som ETSI:s policy för kvalificerade certifikat [ETSI QCP]. 5.1 Förändringsrutin Förändringar som kan ske utan underrättelse De ändringar som kan göras av dessa e-tjänstelegitimationsprinciper utan underrättelse är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna regler. Förändringar som kräver underrättelse Stora ändringar av dessa e-tjänstelegitimationsprinciper får företas 90 dagar efter underrättelse. Mindre ändringar, som endast berör ett fåtal nyckelinnehavare eller förlitande parter, får göras 30 dagar efter underrättelse. Försäkringskassan, som är administrationsansvarig för dessa e- tjänstelegitimationsprinciper, avgör om ändringar ska ske efter underrättelse inom 90 dagar eller 30 dagar eller om ändringarna är så omfattande att ett nytt dokument ska utfärdas. Copyright, Försäkringskassan Sid. 11 (31)
12 6 Åtaganden 6.1 Försäkringskassans åtaganden Försäkringskassan ska säkerställa att alla krav som specificeras i kapitel 7 är uppfyllda. Försäkringskassan ska säkerställa att den tillämpar rutiner som överensstämmer med kraven som föreskrivs i dessa e- tjänstelegitimationsprinciper, även om delar av Försäkringskassans verksamhet utförs av entreprenörer. För delar av Försäkringskassans certifierings- och spärrtjänster som någon annan utför svarar Försäkringskassan som om han hade utfört dem själv. Försäkringskassan ska kontrollera att sådana underleverantörer följer dessa e- tjänstelegitimationsprinciper samt utfärdardeklarationen. Försäkringskassan ska tillhandahålla alla certifieringstjänster i överensstämmelse med sin utfärdardeklaration. 6.2 Nyckelinnehavarnas åtaganden Försäkringskassan ska ha en förbindelse med nyckelinnehavarna där det ska framgå att nyckelinnehavarna ska uppfylla följande åtaganden: a) Intyga att tillhandahållen information till Försäkringskassan vid ansökan om e-tjänstelegitimationer är korrekt och fullständig och i enlighet med kraven i dessa e-tjänstelegitimationsprinciper; b) Endast använda sitt nyckelpar för de ändamål som anges i e- tjänstelegitimationen samt i överensstämmelse med övriga begränsningar som påkallats nyckelinnehavaren; c) Utöva rimlig försiktighet för att motverka att obehöriga kan använda den privata nyckeln; Detta omfattar bl.a. följande åtgärder: i. inte avslöja PIN eller annan säkerhetsrutin för annan, ii. skydda det smarta kortet på motsvarande sätt som ett värdeföremål, iii. inte förvara anteckning om PIN eller PUK så att någon annan får del av uppgifterna eller kan förstå att noteringen avser PIN eller PUK, iv. inte förvara anteckning om PIN eller PUK tillsammans med det smarta kortet, v. inte lämna ett smart kort obevakat. d) Omedelbart meddela Försäkringskassan, genom att göra en anmälan om spärr, om något av följande inträffar: i. Den privata nyckeln har förkommit blivit stulen eller misstänks blivit komprometterad; Copyright, Försäkringskassan Sid. 12 (31)
13 ii. E-tjänstelegitimationen innehåller felaktig eller gammal information. e) Om den privata nyckeln blivit komprometterad ska den omedelbart sluta användas; f) Om de blivit informerade om att Försäkringskassans privata nyckel, som signerat e-tjänstelegitimationen, blivit komprometterad ska e- tjänstelegitimationen sluta användas. 6.3 Förlitande parts åtaganden Försäkringskassan ska informera förlitande parter om att förutsättningarna för att det ska vara rimligt att förlita sig på en e-tjänstelegitimation är att förlitande part har: a) Bekräftat att e-tjänstelegitimationen är giltig och inte är spärrad, givet den aktuella spärrinformation som kommit den förlitande parten till del. b) Tagit hänsyn till eventuella begränsningar i vad e- tjänstelegitimationen får användas till, som kommit den förlitande parten till del, antingen i e-tjänstelegitimationen eller i Försäkringskassans villkor i utfärdardeklarationen. c) Vidtagit andra försiktighetsåtgärder som kan ha föreskrivs i avtal eller på annat sätt. En förlitande part som underlåtit att med tillbörlig omsorg fullgöra sina åtaganden, enligt ovan, kan inte med fog förlita sig på elektroniska underskrifter, e-tjänstelegitimationer eller spärrinformation enligt dessa e- tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 13 (31)
14 7 Krav på rutiner för certifieringstjänsten Detta kapitel beskriver säkerhetskrav på Försäkringskassan för utfärdande och spärr av e-tjänstelegitimationer avsedda för användning inom svenska myndigheter. Kraven anges i termer av säkerhetsmål, och följs därefter av mer specifika krav på åtgärder för att uppfylla dessa mål, där så krävs för att skapa det nödvändiga förtroendet för att dessa mål kommer att bli uppfyllda. 7.1 Utfärdardeklaration Försäkringskassan ska säkerställa att den påvisar nödvändig tillförlitlighet för att erbjuda certifieringstjänster. I synnerhet ska följande punkt iakttas: a) Försäkringskassan ska ha en utfärdardeklaration som svarar mot kraven i dessa e-tjänstelegitimationsprinciper. Copyright, Försäkringskassan Sid. 14 (31)
15 7.2 PKI Livscykelhantering av nycklar Skapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess nycklar skapas under kontrollerade förhållanden. I synnerhet ska följande punkter iakttas: a) Skapandet av Försäkringskassans nycklar ska ske i en fysiskt säker miljö och utföras av tillförlitlig personal och kräva minst dubbelkommando. Antalet personer som är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. b) Försäkringskassans privata nyckel för signering ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. c) Skapande av Försäkringskassans nycklar ska göras med en algoritm som är erkänd för detta ändamål. d) Den valda nyckellängden och signeringsalgoritmen för utfärdarnycklarna ska vara erkända för detta ändamål. e) En lämplig tid före utgången av utfärdarnycklarnas giltighetstid (som anges i Försäkringskassans certifikat) ska Försäkringskassan skapa nya nycklar och tillämpa alla nödvändiga åtgärder för att undvika driftsavbrott för alla parter som förlitar sig på utfärdarnycklarna. De nya utfärdarnycklarna ska också skapas och distribueras i enlighet med dessa e-tjänstelegitimationsprinciper Lagring, backup och återskapande av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar behandlas konfidentiellt och med bibehållen integritet. Särskilt ska följande punkter iakttas: a) Försäkringskassans privata nyckel för underskrift ska lagras och användas i en kryptografiskt säker hårdvara, som antingen: - minst uppfyller kraven i [FIPS 140-2], nivå 3, eller - är ett pålitligt system motsvarande minst EAL4 enligt [ISO 15408], eller motsvarande säkerhetskriterium. b) Utanför den kryptografiska säkra hårdvaran ska Försäkringskassans privata nyckel vara skyddad på samma säkerhetsnivå som ges av den kryptografiska säkra hårdvaran. c) Försäkringskassans privata nyckel får endast säkerhetskopieras, lagras och återläsas av medarbetare i betrodd ställning och kräva minst dubbelkommando i fysiskt säker miljö. Antalet personer som Copyright, Försäkringskassan Sid. 15 (31)
16 är betrodda att utföra denna funktion ska hållas så få som möjligt och uppfylla Försäkringskassans utfärdardeklaration. d) Säkerhetskopior av Försäkringskassans privata nycklar ska minst hanteras med samma säkerhetsåtgärder som nycklarna som för tillfället används. e) När nycklar lagras i en speciellt avsedd hårdvara för nyckelhantering ska sådan behörighetskontroll användas som säkerställer att nycklarna inte är åtkomliga utanför hårdvaran Distribution av Försäkringskassans publika nyckel Försäkringskassan ska säkerställa att det finns förutsättningar för att dess publika nyckel med tillhörande parametrar kan hållas autentisk och med bibehållen integritet under distributionen till förlitande parter. Förlitande part har ansvaret för att bereda sig tillgång till Försäkringskassans publika nyckel samt att förvissa sig om att den är äkta och giltig. Särskilt ska följande punkt iakttas: a) Försäkringskassans publika nyckel ska göras tillgänglig för förlitande parter på sådant sätt att dess integritet och ursprung med fog kan anses vara autentiskt Nyckeldeponering Försäkringskassan ska säkerställa att deponering av nyckelinnehavarnas nycklar ej förekommer Användning av Försäkringskassans nycklar Försäkringskassan ska säkerställa att dess privata nycklar inte används på ett olämpligt sätt. Särskilt ska följande punkter iakttas: a) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer, enligt 7.3.3, kan också användas för att underteckna andra sorters certifikat, samt spärrinformation, så länge som driftkraven för utfärdarsystemet, enligt till 7.2.3, till och 7.4, inte bryts. b) Försäkringskassans nycklar som används för att elektroniskt underteckna e-tjänstelegitimationer ska endast användas inom fysiskt säkra lokaler Avslutning av utfärdarnycklarnas livscykel Försäkringskassan ska säkerställa att dess privata nycklar inte används under längre tid än till slutet av sin livscykel. Särskilt ska följande punkt iakttas: Copyright, Försäkringskassan Sid. 16 (31)
17 a) Alla kopior av Försäkringskassans privata nycklar för elektroniska underskrifter ska förstöras när de uppnått slutet av sin livscykel Livscykelhantering av kryptografisk hårdvara Försäkringskassan ska säkerställa att säkerheten för den kryptografiska hårdvaran, som används för att elektronisk underteckna e- tjänstelegitimationer, upprätthålls under hela dess livscykel. Särskilt ska Försäkringskassan säkerställa att: a) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under transport. b) Det inte sker någon åverkan eller manipulation av hårdvaran för elektroniskt undertecknande av e-tjänstelegitimationer och spärrinformation under förvaring. c) Installation, aktivering, back-up och återskapande av Försäkringskassans nyckel för elektronisk underskrift i kryptografisk hårdvara ska kräva samtidiga handgrepp av minst två betrodda medarbetare. d) Hårdvaran för elektroniskt undertecknande av e- tjänstelegitimationer och spärrinformation ska fungera korrekt. e) Försäkringskassans privata nycklar för elektronisk underskrift, som lagras i kryptografisk hårdvara, förstörs när de tas ur drift Av Försäkringskassan tillhandahållen nyckelgenereringstjänst I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan ska Försäkringskassan säkerställa att de skapas på ett säkert sätt samt att nyckelinnehavarnas privata nycklar hålls hemliga. Skapande av e-tjänstelegitimationer I de fall att nyckelinnehavarnas nycklar skapas av Försäkringskassan: a) Nyckelinnehavarnas nycklar ska skapas med en erkänd algoritm som anses lämplig för ändamålet under hela e- tjänstelegitimationens giltighetstid. b) Nyckelinnehavarnas nycklar ska vara av sådan längd och användas av sådan asymmetrisk kryptoalgoritm som anses lämplig för ändamålet under hela e-tjänstelegitimationens giltighetstid. c) Försäkringskassan ska säkerställa att nycklarna skapas i en kontrollerad miljö som håller hög säkerhet samt att de skyddas på ett smart kort. d) Nyckelinnehavarnas privata nycklar ska levereras till nyckelinnehavarna på ett sätt som säkerställer att nycklarnas konfidentialitet och integritet inte komprometteras och den privata Copyright, Försäkringskassan Sid. 17 (31)
18 nyckeln ska endast kunna användas av nyckelinnehavaren efter att nycklarna levererats till nyckelinnehavarna. e) Efter leverans till nyckelinnehavaren ska alla eventuella kopior av nyckelinnehavarens privata nyckel förstöras av Försäkringskassan Preparering av smart kort Försäkringskassan ska säkerställa att smarta kort utfärdas på ett säkert sätt. Anskaffande av smarta kort I de fall att Försäkringskassan även utfärdar smarta kort ska Försäkringskassan särskilt säkerställa att: a) Preparering av smarta kort sker på ett säkert och kontrollerat sätt. b) Smarta kort lagras och levereras på ett säkert sätt. c) Låsning och upplåsning av smarta kort sker på ett säkert och kontrollerat sätt. d) Aktiveringskoder (PIN) till de smarta korten skapas på ett säkert sätt och levereras till innehavarna åtskilt från de smarta korten. Copyright, Försäkringskassan Sid. 18 (31)
19 7.3 PKI Livscykelhantering av e-tjänstelegitimationer Användarregistrering Försäkringskassan ska säkerställa att nyckelinnehavarna har blivit korrekt identifierade och att identiteterna blivit bestyrkta; samt att nyckelinnehavarnas beställningar av e-tjänstelegitimationer är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Särskilt ska följande punkter iakttas: a) Innan Försäkringskassan utfärdar e-tjänstelegitimationer till nyckelinnehavaren ska Försäkringskassan skriftligen och på ett lättbegripligt språk informera motparten om villkoren för att använda e-tjänstelegitimationer i sin utfärdardeklaration i enlighet med kapitel b) Försäkringskassan ska tillhandahålla denna information varaktigt över tiden. c) Vid tidpunkten för registrering ska Försäkringskassan eller annan myndighet på lämpligt sätt kontrollera den blivande nyckelinnehavarens identitet. Identitetsintyg - i form av giltig legitimationshandling 2 - ska antingen kontrolleras direkt mot den fysiska personen eller ha kontrollerats indirekt på ett sätt som ger likvärdig säkerhet som fysisk närvaro. Tillhandahållna intyg får vara i pappersform eller i form av elektroniska dokument. d) Om sökanden saknar giltig legitimationshandling kan den ersättas med ett aktuellt personbevis i kombination med ett undertecknat intyg av en myndig person som uppvisar godkänd och giltig legitimationshandling och under straffansvar intygar sökandens identitet 3. 2 Fullgod identitetshandling är enligt [SBC 151-U], kapitel U3.3.1, svenskt körkort, svenskt vinrött pass, svenskt nationellt id-kort samt SIS-märkt företags-, tjänste- eller identitetskort. För att sådan identitetshandling ska godtas, krävs att den är giltig eller att giltighetstiden inte utgått mer än tre månader före beställningen av certifierat identitetskort. Identitetskort med samordningsnummer räknas inte som fullgod identitetshandling vid utfärdande av nytt identitetskort. Intygsgivande fordras vid utfärdande av id-kort. 3 I enlighet med [SBC 151-U], kapitel U Copyright, Försäkringskassan Sid. 19 (31)
20 e) Om sökanden saknar svenskt personnummer kan e- tjänstelegitimation utfärdas under förutsättning att samtliga följande sex kriterier 4 är uppfyllda: - Utländsk medborgare kan få e-tjänstelegitimation om han eller hon stadigvarande vistas i Sverige. - E-tjänstelegitimationens giltighetstid ska motsvara vistelsetiden i Sverige men får inte understiga sex månader eller överstiga tre år. - Om personnummer saknas ska samordningsnummer anges. Om också samordningsnummer saknas ska ordningsnummer skapas av behöriga beställare enligt separat rutin. - Försäkringskassan ansvarar för att kontrollera sökandens identitet. Ansvaret kan överlåtas till utsedda personer på andra myndigheter. - Intygsförfarandet enligt ovanstående punkt (d) ska alltid tillämpas. Intygsgivaren ska vara den utländske medborgarens arbetsgivare eller uppdragsgivare i Sverige eller någon som på motsvarande säkra sätt kan styrka identitet och vistelsetid i Sverige. - Samordningsnummer ska styrkas med registerutdrag från Skatteverket eller i Sverige godkänd identitetshandling. f) Intyg ska tillhandahållas över: - Fullständigt namn, omfattande samtliga förnamn samt efternamn, inklusive eventuella mellannamn - Personnummer eller samordningsnummer. - Fullständigt namn och organisationsnummer tillhörande det statliga eller kommunala organ vid vilket nyckelinnehavaren tjänstgör eller innehar uppdrag. - Intyg att den blivande nyckelinnehavaren är anställd eller innehar uppdrag vid det inom den organisation som framgår av e-tjänstelegitimationen. 4 I enlighet med [SBC 161-U], kapitel U3.5. Copyright, Försäkringskassan Sid. 20 (31)
Försäkringskassans utfärdardeklaration. Rev A
Försäkringskassans utfärdardeklaration Rev A , Infrastruktur, Säkerhet Innehåll 1 OMFATTNING... 3 2 REFERENSER... 5 3 DEFINIONER OCH FÖRKORTNINGAR... 6 3.2 FÖRKORTNINGAR... 6 5 INTRODUKTION TILL DENNA
Läs merUTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET
UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET KUNDCERTIFIKAT VERSION 1 2006-12-06 UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET KUNDCERTIFIKAT VERSION 1 Copyright Sjöfartsverket, 2005, doc ver 1.0 The information
Läs merANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER
1 (5) Har getts 4.10.2018 Diarienummer VH/1890/00.01.02/2018 Giltighet 4.10.2018 - Tills vidare ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER I II Användarvillkorens
Läs merTelias policy för utfärdande av företagskort med e-legitimation
1 (8) Telias policy för utfärdande av företagskort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som utfärdandet av Telias e-legitimationer på företagskort (framgent kallat Företagskort)
Läs merTermer och begrepp. Identifieringstjänst SITHS
Termer och begrepp Identifieringstjänst Revisionshistorik Version Datum Författare Kommentar 1.0 2019-02-20 Policy Authority Fastställd 1. Dokumentets syfte Definition av termer och begrepp som används
Läs merTermer och begrepp. Identifieringstjänst SITHS
Termer och begrepp Identifieringstjänst Revisionshistorik Version Datum Författare Kommentar 1.0 2019-02.20 Policy Authority Fastställt 1.1 Policy Authority Mindre justeringar 1. Dokumentets syfte Definition
Läs merPolicy. 1 Telias policy för utfärdande av ID-kort med e-legitimation
2014-06-16 1 (7) 1 Telias policy för utfärdande av ID-kort med e-legitimation 1. INLEDNING För att upprätthålla den säkerhetsnivå som krävs för utfärdandet av Telias e-legitimationer på ID-kort till privatpersoner
Läs merPolicy Underskriftstjänst Svensk e-legitimation
Policy Underskriftstjänst Svensk e-legitimation Version 1.0 2014-04-15 1 (7) 1 INLEDNING OCH SYFTE 3 1.1 AVGRÄNSNINGAR 3 1.2 DEFINITIONER 3 2 POLICYPARAMETRAR 4 2.1 DATALAGRING 4 2.1.1 LAGRING AV INFORMATION
Läs merBILAGA 3 Tillitsramverk Version: 2.02
BILAGA 3 Tillitsramverk Version: 2.02 Innehåll Inledning... 2 Bakgrund... 2 ställning... 3 Definitioner... 3 A. Generella krav... 4 Övergripande krav på verksamheten... 4 Säkerhetsarbete... 4 Granskning
Läs merTransportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;
Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare; beslutade den 14 september 2018. TSFS 2018:85 Utkom från trycket
Läs merBILAGA 3 Tillitsramverk Version: 1.2
BILAGA 3 Tillitsramverk Version: 1.2 Innehåll Revisionshistorik... 1 Allmänt... 2 A. Organisation och styrning... 2 Övergripande krav på verksamheten... 2 Villkor för användning av Leverantörer... 3 Handlingars
Läs merBILAGA 3 Tillitsramverk
BILAGA 3 Tillitsramverk Version: 2.01 Innehåll Revisionshistorik... 1 Inledning... 2 Bakgrund... 2 ställning... 2 Definitioner... 3 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete...
Läs merRegelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.
Regelverk Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag Bilaga D Personuppgiftsbiträdesavtal Version: 2.0 Innehållsförteckning 1 Allmänt om personuppgiftsbiträdesavtal... 1
Läs merTransportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;
Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den 13 december 2012. Transportstyrelsen föreskriver följande med
Läs merCertifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)
A Autentisering - Kontroll av uppgiven identitet. Källa: SOSFS 2008:14 Autentisering - Kontroll av uppgiven identitet, t ex vid inloggning, vid kommunikation mellan system eller vid utväxling av meddelanden
Läs merPersonuppgiftsbiträdesavtal Zynatic Medlemsregister
PERSONUPPGIFTSBITRÄDESAVTAL Sida 1(5) Personuppgiftsbiträdesavtal Zynatic Medlemsregister 1 PARTER Den som beställer och använder Zynatic Medlemsregister, och därmed bekräftar att de accepterar våra Allmänna
Läs merTillitsregler för Valfrihetssystem 2018 E-legitimering
Ärendenr 2018-158 Tillitsregler för Valfrihetssystem 2018 E-legitimering Sida 1 av 5 1. Anvisningar... 3 2. Tillitsregler för utfärdare... 3 3. Rutiner vid ansökan om e-legitimation... 3 4. Utfärdarens
Läs merTransportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;
Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare; beslutade den [DATUM ÅR]. Transportstyrelsen föreskriver följande med stöd
Läs merModul 3 Föreläsningsinnehåll
2015-02-03 2015 Jacob Lindehoff, Linnéuniversitetet 1 Modul 3 Föreläsningsinnehåll Vad är ett certifikat? Användningsområden Microsoft Certificate Services Installation Laboration Ingår i Klustringslabben
Läs merTillitskrav för Valfrihetssystem 2017 E-legitimering
Ärendenr 2018-158 Tillitskrav för Valfrihetssystem 2017 E-legitimering Sida 1 av 11 1. Anvisningar... 3 2. Organisation och styrning... 3 3. Fysisk, administrativ och personorienterad säkerhet... 5 4.
Läs merTillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation
Tillitsramverk för Svensk e-legitimation 1 (11) 2 (11) 1. Bakgrund och syfte Enligt förordningen (2010:1497) med instruktion för E-legitimationsnämnden ska nämnden stödja och samordna elektronisk identifiering
Läs merBILAGA 3 Tillitsramverk Version: 2.1
BILAGA 3 Tillitsramverk Version: 2.1 Innehåll Inledning... 2 Läs tillitsramverket så här... 2 A. Generella krav... 3 Övergripande krav på verksamheten... 3 Säkerhetsarbete... 3 Kryptografisk säkerhet...
Läs merBilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)
Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK) 1. Allmänt Dessa Allmänna villkor reglerar Socialnämndens anslutning till Sammansatt Bastjänst
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL PARTER Brf Föreningen 769600-9999 (nedan kallad Personuppgiftsansvarig) och Nordstaden Stockholm AB 556646-3187 (nedan kallad Personuppgiftsbiträde) har denna dag ingått följande
Läs merIdentifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor
Identifieringstjänst SITHS - Beskrivning och tjänstespecifika Innehåll 1. INLEDNING... 2 2. BAKGRUND... 2 3. REFERENSER... 2 4. TERMER OCH BEGREPP... 2 5. BESKRIVNING AV TJÄNSTEN... 3 5.1 Övergripande
Läs merBILAGA 3 Tillitsramverk Version: 1.3
BILAGA 3 Tillitsramverk Version: 1.3 Innehåll Allmänt... 2 A. Generella krav... 2 Övergripande krav på verksamheten... 2 Säkerhetsarbete... 3 Granskning och uppföljning... 3 Kryptografisk säkerhet... 3
Läs merVad är en Certifikatspolicy och utfärdardeklaration
Certifikatspolicy och Utfärdardeklaration Innehåll Certifikatpolicy Migrationsverket Filcertifikat Version1 Certifikatpolicy Migrationsverket Smarta Kort Version 1 Utfärdardeklaration (CPS) Migrationsverket
Läs merTillitsramverk för Svensk e-legitimation
Ärendenr 2018-158 Tillitsramverk för Svensk e-legitimation Sida 1 av 9 1. Bakgrund och syfte Tillitsramverket för Svensk e-legitimation syftar till att etablera gemensamma krav för utfärdare av Svensk
Läs merREGISTRERINGSANVISNING
REGISTRERINGSANVISNING REGISTRERINGSANVIS NING 2 (8) Innehållsförteckning 1 Allmänt... 3 2 Registrerarens allmänna uppgifter och skyldigheter... 3 3 Uppgifter i anslutning till registrering och identifiering
Läs merAvtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE
Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE 1. Personuppgiftsbiträdesavtalets syfte Detta Personuppgiftsbiträdesavtal syftar till att uppfylla stadgandet i 30 personuppgiftslagen (PuL)
Läs merPersonuppgiftsbiträdesavtal
Personuppgiftsbiträdesavtal 1. Parter Personuppgiftsansvarig (PA) Namn: Organisationsnummer: Adressuppgifter: Telefonnummer: E-post: Personuppgiftsbiträde (PB) Namn: Digerati Sverige AB Organisationsnummer:
Läs merSvensk författningssamling
Svensk författningssamling Förordning om register över europeiska grupperingar för territoriellt samarbete; SFS 2009:705 Utkom från trycket den 30 juni 2009 utfärdad den 17 juni 2009. Regeringen föreskriver
Läs merI de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.
NORDSTADEN STOCKHOLMS AB S PERSONUPPGIFTSPOLICY Din integritet är viktig för oss på Nordstaden Stockholm AB och vi ansvarar för den personliga information som du förser oss med. För att du som medlem/hyresgäst/användare/kund/leverantör
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL DEFINITIONER Begrepp och definitioner i detta Avtal ska ha motsvarande betydelse som i Europaparlamentets och Rådets förordning (EU) 2016/679 (nedan kallad dataskyddsförordningen)
Läs merMELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7
MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7 Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) XXX ( XXX ), org. nr 123456-7890, (Personuppgiftsansvarig) och 2) [ ],
Läs merTillitsramverk ÄRENDENUMMER: Tillitsramverk. för kvalitetsmärket Svensk e-legitimation. Version digg.se 1
Tillitsramverk ÄRENDENUMMER: 2019-277 Tillitsramverk för kvalitetsmärket Svensk e-legitimation Version 2019-09-19 1 1. Bakgrund och syfte Tillitsramverket för kvalitetsmärket Svensk e-legitimation syftar
Läs merStyrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ
Konsoliderad version av Styrelsens för ackreditering och teknisk kontroll (Swedac) föreskrifter och allmänna råd (STAFS 2011:5) om anmälda organ Ändring införd t.o.m. STAFS 2012:10 Tillämpningsområde 1
Läs merCertifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat
Certifikatbeskrivning VARMENNEKUVAUS Dnr 798/617/16 2 (8) HANTERING AV DOKUMENT Ägare Upprättat av Saaripuu Tuire Granskat av Godkänt av Kankaanrinne Joonas VERSIONSHANTERING version nr åtgärder datum/person
Läs merFinansinspektionens författningssamling
Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism; beslutade
Läs merBILAGA 3 Tillitsramverk Version 0.8
BILAGA 3 Tillitsramverk Version 0.8 Sammanfattning Sambi har likt andra federativa initiativ som mål att i tillämpliga delar följa E-legitimationsnämndens Tillitsramverk (EID2) som i sin tur har använt
Läs merBILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1
BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1 Innehåll 1 Inledning... 2 Om detta dokument... 2 Samverkan... 2 2 Sambiombudets tekniska tjänst... 5 3 Tillitsgranskning av Sambiombud... 5 Initiala
Läs merFöretagens användning av ID-tjänster och e-tjänster juridiska frågor
Företagens användning av ID-tjänster och e-tjänster juridiska frågor Per.Furberg@Setterwalls.se Per Furberg advokat Sekreterare/expert i olika utredningar 1988 1998 http://www.setterwalls.se F.d. rådman
Läs merBilaga 1a Personuppgiftsbiträdesavtal
Bilaga 1a Personuppgiftsbiträdesavtal stockholm.se Stadsledningskontoret Avdelningen för digital utveckling Ragnar Östbergs Plan 1 105 35 Stockholm Växel 08-508 29 000 www.stockholm.se Innehåll 1 Parter
Läs merVGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI
1 VGC RA Policy Västra Götalandsregionens Registration Authority Policy Kontaktperson: Fredrik Rasmusson OID för policy: 1.2.752.113.10.1.2.1.2.1 DOK.NAMN: Västra Götalandsregionens Registration Authority
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL Detta personuppgiftsbiträdesavtal, nedan Avtalet, har träffats mellan 1. Underentreprenör, nedan Personuppgiftsansvarig och 2. Bellmans åkeri & entreprenad AB, 556402-9006,
Läs merSvensk författningssamling
Svensk författningssamling Brottsdataförordning Utfärdad den 20 juni 2018 Publicerad den 27 juni 2018 Regeringen föreskriver 1 följande. 1 kap. Allmänna bestämmelser 1 I denna förordning finns kompletterande
Läs mer1. INLEDNING 2. PERSONUPPGIFTSANSVARIG 3. INSAMLING OCH ÄNDAMÅL
Integritetspolicy 1. INLEDNING... 2 1.1 VÅRA PRINCIPER... 2 2. PERSONUPPGIFTSANSVARIG... 2 3. INSAMLING OCH ÄNDAMÅL... 2 3.1 HUR SAMLAR VI IN DINA PERSONUPPGIFTER?... 2 3.2 VILKA PERSONUPPGIFTER BEHANDLAR
Läs merVårdval tandvård Västernorrland. Bilaga 2 Ansökan. Allmän barn- och ungdomstandvård. Version 2013-01-15
Vårdval tandvård Västernorrland Bilaga 2 Ansökan Allmän barn- och ungdomstandvård Version 2013-01-15 1 1. Uppgifter om sökande Detta dokument ska besvaras och undertecknas av sökande. Namn på sökande Organisationsnummer:
Läs merFÖRSLAG Transportstyrelsens föreskrifter om teknisk utrustning hos redovisningscentraler för taxitrafik;
FÖRSLAG 2016-01-18 Transportstyrelsens föreskrifter om teknisk utrustning hos redovisningscentraler för taxitrafik; beslutade den [DATUM ÅR]. [XX] Utkom från trycket den [DATUM ÅR] VÄGTRAFIK Transportstyrelsen
Läs merTermen "Leverantör" avser en anställd hos en organisation som levererar Comforta till produkter eller tjänster.
Sekretesspolicy (Integritetspolicy) 1. Introduktion Tack för att du har interagerat med Comforta BLP AB, svenskt registreringsnummer 556594-0607 eller BLP i Älmhult AB, svenskt registreringsnummer 556726-5425
Läs merINFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS
INFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS 1 Inledning För att kunna uppfylla avtal ( Avtalet ) mellan din arbetsgivare/ditt företag ( Motparten
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,
Läs merCirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare:
Cirkulärnr: 2001:53 Diarienr: 2001/0985 Handläggare: Kerstin Wiss Holmdahl Sektion/Enhet: Civilrättssektionen Datum: 2001-04-30 Mottagare: Kommunstyrelsen Kommunledning Juridik Inköp IT Ekonomi Kommunala
Läs merSITHS Anslutningsavtal RA Policy
SITHS Anslutningsavtal RA Policy Innehållsförteckning 1 INLEDNING... 5 1.1 ÖVERSIKT... 5 1.2 IDENTIFIERING... 5 1.3 MÅLGRUPPER OCH TILLÄMPLIGHET FÖR RA-POLICY... 5 1.4 KONTAKTUPPGIFTER... 6 2 ALLMÄNNA
Läs merSBC 151-U. Särskilda Bestämmelser. för certifiering av överensstämmelse med standard Säkrar LIV EGENDOM MILJÖ. Utgåva 14 2008-04-04.
Särskilda Bestämmelser för certifiering av överensstämmelse med standard Säkrar LIV EGENDOM MILJÖ SBC 151-U Utgåva 14 2008-04-04 Identitetskort SS 61 43 14 1 Särskilda bestämmelser 1 INNEHÅLL 1 INNEHÅLL...
Läs merManual Beställning av certifikat (HCC) till reservkort
Manual Beställning av certifikat (HCC) till reservkort Landstinget Västmanland INNEHÅLLSFÖRTECKNING 1 REVISIONSHISTORIK... 3 2 INTRODUKTION... 4 3 UTFÄRDA RESERVKORT... 4 3.1 BESTÄLLNINGSUPPDRAG... 4 3.2
Läs merSäkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren
Säkerhet och Tillit vid elektronisk identifiering? Fredrik Ljunggren 2012-11-13 Internationella tillitsramverk OMB M-04-04/NIST SP 800-63 STORK QAA Kantara IAF ISO/IEC 29115 Identifiering och registrering
Läs merTerminologi för e-legitimationer
Terminologi för e-legitimationer Terminologi för e-legitimationer Det pratas mycket om e-legitimationer nu. Men om man försöker hitta svaret på frågan Vad är egentligen en e-legitimation för något? möts
Läs mer1. Vad är en personuppgift och vad är en behandling av personuppgifter?
Innehåll Integritetspolicy... 2 1. Vad är en personuppgift och vad är en behandling av personuppgifter?... 2 2. Vem är ansvarig för de personuppgifter vi samlar in?... 2 3. Vilka personuppgifter samlar
Läs merFinansinspektionens författningssamling
Remissexemplar 2017-04-11 Finansinspektionens författningssamling Utgivare: Finansinspektionen, Sverige, www.fi.se ISSN 1102-7460 Finansinspektionens föreskrifter om åtgärder mot penningtvätt och finansiering
Läs merTelias CPS för certifikatutfärdande under SITHS CA-Policy (ver. 4 2008-06-24)
-POLICY 2009-05-07 1 (42) Uppgjord, reviderad Dok nr Rev Telias CPS för certifikatutfärdande under -Policy (ver. 4 2008-06-24) version 2.0 Organisationsuppgifter Skapad Uppdaterad Godkänd Giltig från TeliaSonera
Läs merInnehåll 1(14) Granskningsdokumentation
1(14) Innehåll Granskningsobjekt... 2 Preliminär riskbedömning... 3 Sammanfattning... 4 Övergripande slutsats/rekommendation... 4 1 Inledning... 5 2 Allmänna åtaganden... 5 3 Organisation och styrning...
Läs merVad är en personuppgift och vad är en behandling av personuppgifter?
MBe 2018-05-23 Integritetspolicy Gäller från och med den 25 maj 2018 Inledning Svensk Scenkonst och Svensk Scenkonst Servicebolag AB (nedan kallad Svensk Scenkonst) värnar om den personliga integriteten
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal
Läs mereidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén
eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén Vad är eidas? EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda
Läs merVersion
Policy Underskriftstjänstt Svensk e legitimation Version 1.20 2015-09-15 1 (7) 1 INLEDNING OCH SYFTE 1.1 AVGRÄNSNINGAR 1.2 DEFINITIONER 2 POLICYPARAMETRAR 2.1 DATALAGRING 2.1.1 LAGRING AV INFORMATION TILL
Läs merHSA Anslutningsavtal. HSA-policy
HSA Anslutningsavtal HSA-policy Innehållsförteckning Revisionshistorik... 3 Kontaktuppgifter... 3 Övergripande dokumentstruktur för HSA... 4 1. Introduktion... 6 1.1. Översikt... 6 1.2. Terminologi...
Läs merINTEGRITETSPOLICY ID06
INTEGRITETSPOLICY ID06 1. INLEDNING ID06 AB ( ID06 ) värnar om din personliga integritet. Denna integritetspolicy förklarar hur vi samlar in och använder dina i anslutning till ID06-systemet. Den beskriver
Läs merREGISTRERINGS- ANVISNING 1 (10) Befolkningsregistercentralen Digitala tjänster. Registreringsanvisning
1 (10) Registreringsanvisning 2 (10) Innehållsförteckning 1 Allmänt... 3 2 Registrerarens allmänna uppgifter och skyldigheter... 3 3 Uppgifter som hänför sig till registrering och autentisering i samband
Läs merRutin vid kryptering av e post i Outlook
Beslutad av: Chef Säkerhet och beredskap Diarienummer: RS 255 2016 Giltighet: från 2016 03 31 [rev 18 11 01] Rutin vid kryptering av e post i Outlook Rutinen gäller för alla förvaltningar och bolag Innehållsansvar:
Läs mer(Text av betydelse för EES)
30.6.2016 L 173/47 KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2016/1055 av den 29 juni 2016 om fastställande av tekniska standarder vad gäller de tekniska villkoren för lämpligt offentliggörande av insiderinformation
Läs merCERTIFIKATBESKRIVNING
CERTIFIKATBESKRIVNING Befolkningsregistercentralens tillfälliga certifikat för yrkesutbildade personer inom social- och hälsovården v. 1.0 CERTIFIKATBESKRIVNING Dnr 798/617/16 2 (9) DOKUMENTHANTERING Ägare
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Anna Asp, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 30 oktober 2018 Myndigheten
Läs merEAs krav vid ackreditering av flexibel omfattning
SWEDAC DOC 12:1 2012-05-10 Utgåva 1 Inofficiell översättning av EA 2/15 M:2008 EAs krav vid ackreditering av flexibel omfattning Swedac, Styrelsen för ackreditering och teknisk kontroll, Box 878, 501 15
Läs merRiktlinjer för informationssäkerhet
UFV 2014/389 Riktlinjer för informationssäkerhet Säkrare elektronisk kommunikation - Tvåfaktorautentisering - Kryptering av e-post - Elektronisk signering av dokument Fastställd av: Säkerhetschef 2014-
Läs merINTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA
RESTAURANG AB SVARTENGRENS INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA Svartengrens värnar om Din personliga integritet och eftersträvar alltid att skydda Dina personuppgifter i största möjliga
Läs merBilaga - Personuppgiftsbiträdesavtal
Bilaga - Personuppgiftsbiträdesavtal Detta avtal reglerar förhållandet mellan personuppgiftsansvarig, Kunden, och Personuppgiftsbiträdet, Ecuni AB. Med Personuppgiftsbiträdet avses Ecuni AB för de av Kunden
Läs merPolicy för användande av IT
Policy för användande av IT Inledning Det här dokumentet beskriver regler och riktlinjer för användningen av IT inom företaget. Med företaget menas [fylls i av kund] och med IT-avdelning menas vår partner
Läs merTelias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum: 2014-03-14
Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3 Datum: 2014-03-14 Innehållsförteckning 1 Inledning... 4 1.1 Allmänt... 4 1.2 Identifiering... 4 1.3 Målgrupp och tillämplighet... 5
Läs merSvensk författningssamling
Svensk författningssamling Lag om kvalificerade elektroniska signaturer; SFS 2000:832 Utkom från trycket den 14 november 2000 utfärdad den 2 november 2000. Enligt riksdagens beslut 1 föreskrivs 2 följande.
Läs merAVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH
Personuppgiftsavtal AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Detta avtal har dagen för undertecknanden ingåtts mellan parterna; 1) (Personuppgiftsansvarig) Företagsnamn Organisationsnummer
Läs merMPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7
1.9.2009 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7 OM SKYLDIGHET FÖR LEVERANTÖRER AV IDENTIFIERINGSTJÄNSTER OCH CERTIFIKATUTFÄRDARE SOM TILLHANDAHÅLLER ALLMÄNHETEN KVALIFICERADE CERTIFIKAT ATT GÖRA
Läs merINTEGRITETSPOLICY för Webcap i Sverige AB
INTEGRITETSPOLICY för Webcap i Sverige AB 1. ALLMÄNT 1.1 Vi på Webcap tar din personliga integritet på stort allvar och en hög nivå av dataskydd är alltid prioriterad. Denna integritetspolicy förklarar
Läs merPERSONUPPGIFTSBITRÄDESAVTAL
PERSONUPPGIFTSBITRÄDESAVTAL PARTER Företagets namn, organisationsnummer (nedan kallad Personuppgiftsansvarig) och IDHA (Intelligent Drivers Hour Analyzer Sweden AB (idha), 556380 2833, (nedan kallad Personuppgiftsbiträde)
Läs merIntegritetspolicy leverantör
Integritetspolicy leverantör Innehåll 1 Inledning... 1 1.1 Målgrupp... 2 1.2 Ändringsnotering... 2 2 Sammanfattning... 2 3 Vad är personuppgifter?... 2 4 Vad är känsliga personuppgifter?... 2 5 Vad är
Läs merFörutsättningar för gallring efter skanning 1 (5) Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26
Tillsynsavdelningen Datum Dnr RA 01-2011/1121 Håkan Lövblad 2011-10-26 1 (5) Förutsättningar för gallring efter skanning För att myndighet ska få gallra pappershandlingar efter skanning fordras det myndighetsspecifika
Läs merTillägg om Zervants behandling av personuppgifter
Tillägg om Zervants behandling av personuppgifter Detta tillägg om behandling av personuppgifter är en bilaga till användaravtalet mellan Zervant och kunden och är underkastad dess användarvillkor i den
Läs merPersonuppgiftspolicy
Sida: 1(5) 1 INTRODUKTION Första Hjälpen Konsulten AB (härefter benämnt "Konsulten" eller vi ) är personuppgiftsansvariga för behandlingen av de personuppgifter du lämnar i samband med att du begär att
Läs merKOMMISSIONENS REKOMMENDATION
29.11.2011 Europeiska unionens officiella tidning L 314/41 REKOMMENDATIONER KOMMISSIONENS REKOMMENDATION av den 22 november 2011 om erkännande av utbildningsanstalter och examinatorer för lokförare i enlighet
Läs merALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt
ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA 1. Allmänt Bayou AB ( Bayou ) tillhandahåller tjänsten Tyra ( Tyra ). Tyra är ett verktyg avsedd för förskola och föräldrar till barn i förskola ( Skolan ). Genom
Läs merIDkollens Integritetspolicy
IDkollens Integritetspolicy Gäller från och med 2018-05-23 Innehållsförteckning 1 Inledning 2 Vad är en personuppgift och vad innebär behandling av personuppgifter? 3. För vem gäller denna policy? 4. För
Läs merCERTIFIKATPOLICY SJÖFARTSVERKET
CERTIFIKATPOLICY SJÖFARTSVERKET KUNDCERTIFIKAT VERSION 1 2006-12-06 CERTIFIKATPOLICY SJÖFARTSVERKET KUNDCERTIFIKAT VERSION 1 Copyright Sjöfartsverket, 2006, doc. ver 1.0 The information contained in this
Läs merMyndigheten för samhällsskydd och beredskaps författningssamling
Myndigheten för samhällsskydd och beredskaps författningssamling Utgivare: Key Hedström, Myndigheten för samhällsskydd och beredskap ISSN 2000-1886 MSBFS Utkom från trycket den 11 mars 2016 Myndigheten
Läs merStrand Kapitalförvaltning AB:s integritetspolicy
Strand Kapitalförvaltning AB:s integritetspolicy Strand Kapitalförvaltning AB ser våra kunders och övriga intressenters förtroende som vår största tillgång. Detta förtroende utgör grunden för vår verksamhet
Läs merINTEGRITETSPOLICY GÄLLANDE BEHANDLING AV PERSONUPPGIFTER I SAMBAND MED BOLAGSSTÄMMA
INTEGRITETSPOLICY GÄLLANDE BEHANDLING AV PERSONUPPGIFTER I SAMBAND MED BOLAGSSTÄMMA Augusti 2018 Information till aktieägare som deltar i en av Clas Ohlson AB (publ) hållen bolagsstämma, samt till andra
Läs merInformation om personuppgiftsbehandling till studenter
Koncernkontoret Koncernstab HR Marie Karlsson HR-strateg 040-6753639 Marie.mk.karlsson@skane.se Datum 180912 Version 1 1 (5) Information om personuppgiftsbehandling till studenter Allmänt Nedan följer
Läs merPERSONUPPGIFTSPOLICY
PERSONUPPGIFTSPOLICY Wistrand (Wistrand Advokatbyrå Stockholm KB och Wistrand Advokatbyrå Göteborg KB) värnar om din personliga integritet och är mån om att du ska känna dig trygg med att vi, eller de
Läs merBilaga 1: Personuppgiftsbiträdesavtal 1/10
Bilaga 1: Personuppgiftsbiträdesavtal 1/10 2/10 Innehållsförteckning 1 Bakgrund och syfte... 3 2 Lagval och definitioner... 3 3 Behandling av personuppgifter... 3 4 Underbiträden... 4 5 Begränsningar i
Läs merStyrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad
Styrande dokument Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad 2BDetta dokument gäller för Göteborgs Stads samtliga nämnder samt styrelser i sådana organisationer där Göteborgs
Läs merINTEGRITETSPOLICY Tikkurila Sverige AB
INTEGRITETSPOLICY Tikkurila Sverige AB Om Tikkurila Sverige AB och denna integritetspolicy Behandling av dina personuppgifter Tikkurila Sverige AB, org.nr 556001-8300, Textilgatan 31, 120 86 Stockholm,
Läs mer