Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte

Transkript

1 PM Marknadsundersökning 1(13) Marknadsundersökning avseende centrala tjänster för Svensk e-legitimation Inbjudan till möte Innehåll 1 BAKGRUND FÖRUTSÄTTNINGAR AGENDA FRÅGESTÄLLNINGAR De centrala tjänsterna Leverans av tjänst Öppna beskrivningar Tydliga villkor och förutsägbara kostnader Underskriftstjänst Framtagning av lösningar Support och kundtjänst Utvecklingen inom området Kostnadsaspekter KORT BESKRIVNING AV SVENSK E-LEGITIMATION Identitetsfederation Tjänster som är föremål för upphandling Anvisningstjänst Tjänst för metadata Underskriftstjänst Mer information om E-legitimationsnämnden... 13

2 PM Marknadsundersökning 2(13) 1 BAKGRUND E-legitimationsnämnden planerar att upphandla centrala tjänster för Svensk e-legitimation. De tjänster som i första hand kan bli föremål för upphandling är anvisningstjänst för val av legitimeringssätt, tjänst för metadata som håller information om tjänster inom identitetsfederationen samt underskriftstjänst. I samband med den förstudie som nu genomförs inför upphandlingen avser E-legitimationsnämnden att träffa ett antal leverantörer för att informera sig om marknadsläget för att tillhandahålla den typ av tjänster som kan komma att efterfrågas. 2 FÖRUTSÄTTNINGAR En marknadsundersökning i samband med en förstudie inför en eventuell upphandling kräver att leverantörerna behandlas lika och icke-diskriminerade. Informations-hanteringen behöver därför hållas på en formell nivå. Leverantörerna väljer själva om de vill medverka i undersökningen eller inte. Ingen ekonomisk ersättning utgår för medverkan i undersökningen. Att delta i undersökningen påverkar inte medverkan i en eventuell kommande upphandling inom området. E-legitimationsnämnden kan i detta skede inte ge någon ytterligare information om kommande upphandlingar. Marknadsundersökningen medför inte heller några förpliktelser för E-legitimationsnämnden att genomföra upphandling i någon form, vare sig genom avrop från statliga ramavtal eller som en egen fristående upphandling. I nedanstående framgår de frågor som E-legitimationsnämnden önskar belysta vid mötet samt en kort beskrivning av Svensk e-legitimation. E-legitimationsnämnden önskar leverantörens svar på ställda frågor dokumenterat som text och/eller bilder som används vid presentationen under träffen. Mötet hålls i Skatteverkets lokaler i Stockholm Solna, Korta gatan 10. Tiden för mötet är 2,5 timmar.

3 PM Marknadsundersökning 3(13) 3 AGENDA Följande agenda gäller för mötet. Inledning (ca 5 min) Leverantörens presentation Sammanfattning (ca 10 min) 4 FRÅGESTÄLLNINGAR E-legitimationsnämnden önskar leverantörens syn på nedanstående områden och frågeställningar. Svar önskas på en övergripande funktionell nivå. Observera att de förslag som presenteras bör så långt det är möjligt baseras på tillgängliga och väl beprövade tekniska lösningar. Leverantören bör i sin presentation följa den ordning i vilken frågorna är ställda. 4.1 DE CENTRALA TJÄNSTERNA Nedan i avsnitt 5.2 beskrivs kort tjänster som kan bli föremål för upphandling. E-legitimationsnämnden önskar leverantörens syn på funktionella aspekter avseende dessa tjänster. Överensstämmer given bild med leverantörens syn på dessa tjänster och kan det finnas andra viktiga delar som också bör ingå i dessa tjänster eller som komplement till dessa? Det kan också gälla tillämpning av standarder, brist på standarder inom vissa områden eller hur funktioner ska tillhandahållas inom federationen. 4.2 LEVERANS AV TJÄNST När de centrala tjänsterna ska levereras måste de utvecklas och sättas samman för att tillhandahålla den funktionalitet som ska gälla för den offentliga federationen för Svensk e-legitimation. Här kan finnas olika mer eller mindre färdiga lösningar för de tjänster som efterfrågas. E-legitimationsnämnden undrar i detta sammanhang hur stora delar av funktionaliteten som finns framme i färdiga lösningar/system och hur mycket som måste utvecklas från grunden i de olika tjänsterna och hur långa leveranstider detta kan vara för att få tjänsterna på plats. Denna fråga ställs också mot bakgrund att de centrala tjänsterna för anvisning och metadata sannolikt behöver kunna överföras till annan leverantör vid avtalets slut. Hur kan denna typ av överföring av tjänst realiseras?

4 PM Marknadsundersökning 4(13) 4.3 ÖPPNA BESKRIVNINGAR I ambitionen att öka användning och göra det enkelt för olika aktörer att bidra med tjänster inom Svensk e-legitimation behöver kunskapen om gränssnitt och funktioner som krävs för säker legitimering och underskrift spridas till de som bygger och ansvarar för e-tjänster. E-legitimationsnämnden önskar höra leverantörens syn på att för de efterfrågade tjänsterna tillhandahålla och upprätthålla öppna beskrivningar av gränssnitt och funktionalitet, kanske till och med som öppen källkod i vissa delar. Det kan också handla om att sprida kunskap och erfarenhet på olika sätt genom till exempel seminarier och utbildningar. Ser leverantören detta som problem och kan det vara kostnadsdrivande för att tillhandahålla tjänsterna? 4.4 TYDLIGA VILLKOR OCH FÖRUTSÄGBARA KOSTNADER Det framgår av beskrivningar för Svensk e-legitimation att villkoren för offentlig sektor att använda tjänsterna ska vara enkla, förutsägbara och kostnadseffektiva. Det är också känt att olika typer av organisationer inom offentlig sektor är känsliga för olika delar, vissa vill se helt fasta kostnader medan andra är mer observanta på själva transaktionskostnaden. Det är också känt att för höga kostnader hämmar användning av säkra identifieringsmetoder och underskrifter. Frågan som E-legitimationsnämnden önskar leverantörens syn på här är hur E-legitimationsnämnden ska kunna säkerställa att de centrala tjänsterna blir enkla att använda, förutsägbara avseende kostnader och inte för dyra att använda? Dvs hur ska tjänsterna organiseras och tillhandahållas för att bidra till ökad användning av elektronisk legitimering och elektroniska underskrifter i samhället på ett så bra sätt som möjligt? 4.5 UNDERSKRIFTSTJÄNST Underskriftstjänsten är en tjänst som ur ett konceptuellt perspektiv egentligen inte tillhör federationsoperatörens ansvar att tillhandahålla. Men för att initialt skapa tillgång till denna typ av tjänst inom den offentliga federationen för Svensk e-legitimation kan E-legitimationsnämnden behöva ta ett ökat ansvar för tillhandahållande och/eller försörjning av tjänsten. Det diskuteras också om det från start ska finnas en eller flera sådana tjänster och om det på sikt kommer att växa fram ytterligare dylika tjänster inom den offentliga federationen. Hur ser leverantören på detta och hur många sådana tjänster kan och bör tillhandahållas centralt av olika leverantörer? Frågan är också ställd med avseende på vad som kan vara drivande eller hämmande för tjänstens utveckling och också om det är kostnadsdrivande. E-legitimationsnämnden undrar vidare hur leverantören förhåller sig till att i eget namn utfärda kvalificerade certifikat inom ramen för en tillhandahållen underskriftstjänst. Det som framför allt avses här är synen på det utökade ansvaret avseende funktion och skadeståndsskyldighet.

5 PM Marknadsundersökning 5(13) 4.6 FRAMTAGNING AV LÖSNINGAR Vid utveckling av de centrala tjänsterna måste de säkerställas avseende användbarhet, tillgänglighet, funktion och prestanda innan de kan tillhandahållas inom federationen. Detta samtidigt som det är viktigt att kunna utveckla tjänsterna över tid i takt med nya erfarenheter och teknisk utveckling. Federationen kommer också i olika delar att innehålla olika sorters tekniska plattformar och teknikneutraliteten i de centrala tjänsterna är viktig för att säkerställa konkurrens och innovation inom området. I sammanhanget är det viktigt att förstå att de centrala tjänsterna är EN del i en större helhet. E-legitimationsnämnden önskar leverantörens syn på hur test av tjänster bör gå till för att säkerställa funktion och prestanda. Ska t.ex. en testmiljö som speglar en hel federation sättas upp eller kan kunder och andra tjänsteleverantörer inom federation medverka vid tester, eller kan tjänsternas funktion säkerställas på annat sätt? I olika gränssnitt, speciellt i anvisningstjänsten, kommer det att behöva tas speciell hänsyn till användbarhet och tillgängligheten. Vad är leverantörens syn på och erfarenhet av att skapa gränssnitt med hög användbarhet och tillgänglighet, gränssnitt som blir normerande i en bred användning som här, t ex för val av legitimeringssätt? E-legitimationsnämnden kan också vilja ha en aktiv roll i utveckling och vidareutveckling av tjänsterna. Vad är leverantörens syn på och erfarenhet av att ha beställaren och kanske också andra intressenter aktivt inblandade i processen för utveckling och vidareutveckling? 4.7 SUPPORT OCH KUNDTJÄNST Tillhandahållandet av de centrala tjänsterna ska omfattaeffektiv och professionell hjälp till i federationen ingående aktörer att få svar på frågor samt lösa incidenter och problem. Inom ramen för support och kundtjänst behöver också ärenden hanteras på ett ändamålsenligt och effektivt sätt inom federationen. Eftersom efterfrågade tjänster är en del av en större helhet kan det vara så att andra aktörers kundtjänst ska kunna utbyta information med leverantörens kundtjänst eller att E-legitimationsnämnden ska kunna ta del av och kanske också kunna interagera i vissa typer av ärenden. Vilka problem och utmaningar ser leverantören i att tillhandahålla detta stöd inom en identitetsfederation, hur kan den löpande leveransen upprätthållas på ett effektivt sätt och vad finns det för sätt att effektivt lösa detta behov av samverkan kring ärenden? 4.8 UTVECKLINGEN INOM OMRÅDET Elektronisk legitimering och underskrift är ett dynamiskt område där nya tekniker och sätt att tillhandahålla dessa funktioner växer kontinuerligt fram. Samtidigt som E-legitimationsnämnden har för avsikt att tillhandahålla en hållbar och säker tjänst för Svensk e-legitimation kommer det sannolikt att behöva göras utveckling och förändringar av tjänsterna, rutiner och

6 PM Marknadsundersökning 6(13) regelverk över tiden. För detta behövs kompetens att driva utveckling inom området inklusive kunskap om standarder och teknik. Dessutom behöver denna kunskap föras ut på den svenska marknaden på lämpligt sätt. Vad är leverantörens syn på och erfarenhet av att vara aktiv och pådrivande inom ett sådant teknikområde och hur stor del kan och ska en leverantör bidra med i detta? 4.9 KOSTNADSASPEKTER De tjänster som efterfrågas har olika egenskaper avseende användning och funktionalitet. Både underskriftstjänsten och anvisningstjänsten är till stor del transaktionsorienterade medan tjänsten för metadata mer på ett säkert sätt ska hålla information om aktörerna inom federationen. På grund av tjänsternas särart kommer de att kräva hög driftsäkerhet och tillgänglighet. Noteras bör också att tjänst för metadata omfattas av säkerhetsskydd enligt säkerhetsskyddslagstiftningen och hanteringen av tjänsten kommer därför att omfattas av ett säkerhetsskyddsavtal. E-legitimationsnämnden undrar vad som är de mest kostnadsdrivande aspekterna i dessa tjänster? Kan det vara de transaktionsorienterade egenskaperna eller är det mer de grundläggande funktionella och icke funktionella egenskaperna, till exempel säkerheten, eller att upprätthålla tjänsterna som är mer kostnadsdrivande? 5 KORT BESKRIVNING AV SVENSK E-LEGITIMATION Sverige var tidigt ute med elektronisk legitimering på nätet och nådde snabbt en hög användning. Idag finns mer än 4 miljoner e-legitimationer utfärdade och de användes mer än 250 miljoner gånger under Det som har fungerat bra används nu för att ta nästa steg i utvecklingen. Med grund i nuvarande infrastruktur skapas därför konceptet Svensk e-legitimation, en federativ lösning på legitimering och underskrift som ska kunna användas inom såväl offentlig som privat sektor. Inom Svensk e-legitimation ska det vara enkelt och tryggt för användare att använda e-legitimation och villkoren för offentlig sektor att använda tjänster med e-legitimation ska vara enkla, förutsägbara och kostnadseffektiva. På detta sätt kan e-legitimationer stödja utveckling av e-förvaltning och även underlätta användning av e-tjänster i samhället. Vad är nytt med Svensk e-legitimation jämfört med dagens lösning? E-legitimationsnämnden ansvarar för samordning och successiv vidareutveckling av en för offentlig och privat sektor gemensam basstruktur med regelverk och funktioner. Utfärdare som ger ut e-legitimationer som uppfyller kraven i basstrukturen får rätt att kalla dessa Svensk e-legitimation. Ett nytt sätt för offentlig sektor att anskaffa elektronisk legitimering genom en samordnande part, E-legitimationsnämnden.

7 PM Marknadsundersökning 7(13) Tillhandahållare av e-tjänster, som myndigheter, kommuner och landsting, knyts samman med leverantörer av eid-tjänster i en för offentlig sektor gemensam så kallad identitetsfederation. Standardiserade identitetsintyg införs för att förenkla integration och förvaltning i e-tjänster och göra det möjligt att anpassa information om innehavaren av e-legitimation efter behov hos tillhandahållaren av e-tjänsten. En central underskriftstjänst tas fram för att möta krav på teknikneutrala e-legitimationer och möjliggöra elektronisk underskrift med stöd av identitetsintyg. Målet med Svensk e-legitimation är att genom förenklingar underlätta beslut om införande och användning av e-tjänster med behov av elektronisk legitimering och/eller underskrift, bland annat genom: Avtalshanteringen förenklas genom att offentlig sektor får en samordnande avtalspart, E-legitimationsnämnden. Tillhandahållare av e-tjänster tecknar ett avtal med nämnden för tillgång till e-legitimationer. Nämnden hanterar avtal med leverantörer av eid-tjänst och utfärdare av e-legitimationer. Det tekniska införandet och förvaltningen av tjänster för legitimering i e-tjänsterna blir enklare genom att identitetsintyg införs. Nämnden ger stöd och tar fram vägledningar för införande av legitimering och underskrift i e-tjänsterna. Inom federationen finns centrala tjänster som underlättar säker kommunikation mellan aktörerna och som förenklar anslutning av e-tjänster och eid-tjänster. De standardiserade identitetsintygen och den centrala anvisningstjänsten kommer att förenkla för tillhandahållarna när nya typer av e-legitimationer tillkommer. Det nya systemet för e-legitimationer planeras finnas på plats från och med halvårsskiftet Genom en tjänstekoncessionslösning med särskilt lagstöd kommer E-legitimationsnämnden i egenskap av ombud att teckna avtal med samtliga leverantörer av eid-tjänster som uppfyller de ställda kraven och på detta sätt ge myndigheter tillgång till tjänsterna. Det myndigheter, kommuner och landsting behöver göra är: Ansluta sig till den offentliga sektorns identitetsfederation genom ett fullmaktsavtal med E-legitimationsnämnden. Planera för möjligheten att ta emot identitetsintyg i sina e-tjänster. Integrera stöd för användning av den centrala underskriftstjänsten. 5.1 IDENTITETSFEDERATION Målet med en identitetsfederation är att såväl tekniskt som affärsmässigt på ett säkert sätt koppla samman ett antal tillhandahållare av e-tjänster med leverantörer av eid-tjänst. Identitetsfederationen gör det möjligt för användare att elektroniskt legitimera sig gentemot e-tjänster. Inom identitetsfederationen finns en federationsoperatör som anger vilka regler som gäller för federationen genom att hänvisa till och tillämpa reglerna i basstrukturen samt genom att beskriva eventuella federationsspecifika regler. Federationsoperatören tillhandahåller också för federationen gemensamma funktioner såsom anvisningstjänst och metadataregister. Även en central underskriftstjänst kommer att tillhandahållas i den offentliga federationen.

8 PM Marknadsundersökning 8(13) Federationsoperatören tecknar avtal om leverans av identitetsintyg med leverantörer av eid-tjänst respektive tillhandahållare av e-tjänst och på så vis uppkommer ett avtalsförhållande mellan parterna. Figur 1. Federationen kopplar samman tillhandahållare av e-tjänst med leverantörer av eidtjänst. I federationen ingår bland annat följande komponenter: Federationsspecifika regler och funktioner såsom metadataregister, anvisningstjänst och regler för anslutning. En tillämpning av de gemensamma reglerna och funktionerna i basstrukturen. De aktörer som agerar i olika roller i federationen samt avtal som skapar affärsmässiga, juridiska och tekniska relationer mellan de olika aktörerna. Ändringar i basstrukturen hanteras i särskild ordning under E-legitimationsnämndens ledning. E-legitimationsnämnden är federationsoperatör för den offentliga sektorns federation och tillhandahåller för denna federation metadataregister, anvisningstjänst samt en underskriftstjänst. Anledningen till att särskilja offentlig sektor och privat sektor i federationsarkitekturen beror på att tillhandahållare av e-tjänst i offentlig sektor har att förhålla sig till särskilda regler kring offentlig upphandling. I praktiken innebär det att E-legitimationsnämnden och leverantörer av eid-tjänst ingår ett tjänstekoncessionsavtal.

9 PM Marknadsundersökning 9(13) Figur 2. Offentlig identitetsfederation för Svensk e-legitimation

10 PM Marknadsundersökning 10(13) 5.2 TJÄNSTER SOM ÄR FÖREMÅL FÖR UPPHANDLING Bland annat följande tjänster är föremål för den upphandling som detta dokument tar upp Anvisningstjänst Syftet med en fristående Anvisningstjänst inom en federation är att avlasta de enskilda e-tjänsterna från att behöva ta reda på vilken eid-tjänst som ska användas för att legitimera en given användare. När en e-tjänst sänder en användare till Anvisningstjänsten ska den stödja användare att välja e-legitimation/legitimeringstjänst. Anvisningstjänsten ska också förenkla valsituation för användaren (eller helt eliminera den) i syfte att ge användaren en bättre användarupplevelse. Som stöd för detta ska Anvisningstjänsten bland annat kunna hantera sparade och aktuella val av eid-tjänst. Användargränssnittet är också en viktig del inom Anvisningstjänsten. Genom att centralisera användarens val av legitimering inom federationen kan också Single Sign On-upplevelsen för användaren stärkas jämfört med om varje enskild e-tjänst försöker ta reda på vilken eid-tjänst som ska användas. Profilen IdpDisco (OASIS Committee Specification, Identity Provider Discovery Service Protocol and Profile ) beskriver en profil för anvisningstjänst som Svenska e-legitimation kommer att använda. Bland annat följande förutsättningar för Svensk e-legitimation påverkar Anvisningstjänstens funktioner inom federationen: Ett av kraven för framtagandet av Svensk e-legitimation är att det ska bli enklare och billigare för tillhandahållare av e-tjänster att erbjuda användande av e-legitimationer. Detta krav kan tolkas som att integrationen mot de komponenter som en e-tjänst kommunicerar med bör vara så enkel och rättfram som möjligt, men ändå erbjuda den funktionalitet som krävs. Arkitektur och funktionalitet för federationen måste sträva efter att Anvisningstjänstens inblandning hålls till ett minimum. Med andra ord, en användare skall bara uppmanas göra ett val av eid-tjänst då inga andra möjligheter att härleda vilken eidtjänst som ska användas finns. Enhetlighet i utseende är viktigt. Gränssnitten för Anvisningstjänsten och federationens eid-tjänster bör ha ett utseende som gör att en användare känner sig trygg och känner igen sig Tjänst för metadata Tjänst för metadata samlar in, administrerar och publicerar information om de tjänster som finns inom identitetsfederationen. Det är tjänster som e-tjänster, eid-tjänster, Attributstjänster, m fl. Tjänst för metadata tillhandahåller således information om de tjänster som finns inom federationen samt de nycklar som krävs för ett säkert informationsutbyte mellan de olika tjänsterna.

11 PM Marknadsundersökning 11(13) Tjänst för metadata omfattas av säkerhetsskydd enligt säkerhetsskyddslagstiftningen och hanteringen av tjänsten ska därför omfattas av ett säkerhetsskyddsavtal. Information till Tjänst för metadata ska kunna samlas in både manuellt och med automatik. Inkomna uppgifter ska verifieras och korrigeras. Det sker genom att vissa uppgifter kontrolleras mot till exempel regelverk och avtal samt genom att lägga till, ta bort eller ändra i uppgifter. När metadata publiceras görs det som ett signerat XML-dokument strukturerat enligt standarden Metadata for the OASIS Security Assertion Markup Language (SAML), V2.0. XML-dokumentet är organiserat i ett rotelement och element som innehåller information om tjänster inom federation. Rotelementet innehåller bland annat en elektronisk signatur som skyddar metadatas integritet och säkerställer att all metadata är korrekt samt information om hur länge uppgifterna är giltiga. Element som innehåller information om en tjänst, representerar en tjänst som tillhandahålls av någon av federationens deltagare. Om en myndighet tillhandahåller flera olika e-tjänster som kräver e-legitimation så beskrivs varje sådan tjänst i ett eget element. Olika typer av tjänster kan ha en egen definierad struktur för att beskriva tjänsten. Annan information som kan ingå är uppgifter om den som tillhandahåller tjänsten, uppgifter om användargränssnitt, tjänstekategori samt uppgift om tillitsnivåer som tjänsten är godkänd för. Metadata ska göras tillgänglig för federationens deltagare genom att uppgifterna publiceras i XML-format på tjänstens webbplats. Publiceringen sker med såväl statisk som dymanisk URL. Uppgifterna ska förses med tjänstens elektroniska stämpel. Aviseringstjänsten erhåller uppgifter från metadata Underskriftstjänst Underskriftstjänsten ska stödja en e-tjänst i offentlig sektor när en användare skriver under en elektronisk handling med användning av en Svensk e-legitimation. Användaren har identifierat sig för åtkomst till e-tjänsten och kommer till en punkt där e-tjänsten kräver att en handling ska förses med en elektronisk underskrift, exempelvis för att möta lagkrav på egenhändigt undertecknande i samband med vissa handlingar eller för att markera ett avslut på en ansökan. Typiska exempel på detta är underskrift av elektronisk deklaration i Skatteverkets e-tjänst eller underskrift av elektronisk ansökan för registrering av bolag i Bolagsverkets e-tjänst. Andra exempel är när handlingar som kräver underskrift av en behörig firmatecknare eller när någon med fullmakt som ska skriva under den specifika handlingen. I dessa fall behöver identitetsintyget som styrker användarens identitet kompletteras med relevanta attribut som styrker de nödvändiga uppgifterna. Ytterligare exempel kan vara då en myndighetsanställd i egenskap av tjänsteman har behov av att skriva under en elektronisk handling i en egen e-tjänst för att exempelvis kunna expediera ett elektroniskt myndighetsbeslut till en medborgare eller ett företag.

12 PM Marknadsundersökning 12(13) Även ett antal internationella exempel kan identifieras, där utländska e-legitimationer används i svenska e-tjänster och svenska e-legitimationer används i utländska e-tjänster. För att beskriva den funktionalitet som underskriftstjänsten ska erbjuda beskrivs ett typiskt flöde nedan. Flödesbeskrivningen tar sikte på det ovan beskrivna huvudanvändarfallet, men de alternativa exemplen torde inte skilja sig nämnvärt från nedan beskrivna förlopp. Flöde Steg 1: Myndigheten X ger i sin e-tjänst användaren möjlighet att granska den färdiga information som skall undertecknas och tillhandahåller en knapp för att användaren ska gå vidare till underskrift. E-tjänsten genererar en så kallad hashsumma, som kan beskrivas som ett fingeravtryck av den text användaren granskat, inför underskrift samt skapar en av myndigheten elektroniskt stämplad begäran om underskrift där hashsumman ingår. Användaren dirigeras, efter att ha klickat på knappen, till underskriftstjänsten och medför till underskrifttjänsten den begäran om underskrift som stämplats av myndigheten. Underskrifttjänsten kontrollerar begäran om underskrift från myndigheten. Steg 2: Användaren överförs till sin eid-tjänst för att legitimera sig för underskrift. eid-tjänsten sänder ett identitetsintyg till underskriftstjänsten som genererar ett engångscertifikat för den identifierade användaren, krypterar den erhållna hashsumman med den privata nyckel som hör till engångscertifikatet och destruerar den privata nyckeln. Därefter sänder underskriftstjänsten den krypterade hashsumman och engångscertifikatet till den förlitande parten, dvs myndigheten, tillsammans med uppgifter om hanteringen i övrigt. Försändelsen förses med underskrifttjänstens elektroniska stämpel så att förlitande part kan kontrollera att den är äkta. Steg 3: Tillhandahållaren av e-tjänsten, myndigheten, tar emot materialet, fogar samman den underskrivna texten med engångscertifikatet och den krypterade hashsumman (underskriften), kontrollerar att handlingen är äkta, tidstämplar den vid behov och bevarar materialet i form av ett paket enligt en viss vedertagen standard, så att handlingen även på sikt kan vinna tillit samt presenteras och kontrolleras. I detta paket med den underskrivna handlingen kan även ingå uppgifter som kan användas för förnyad äkthetskontroll i form av stämplad spärrlista eller ett stämplat intyg på att certifikatet vid tidpunkten för undertecknandet var giltigt. Sådana uppgifter kan även lagras separat tillsammans med uppgift om att förlitande part själv eller en tredje part (till exempel en notariattjänst) kontrollerat underskriften vid viss tidpunkt och enligt viss metod. Slutligen sänder e-tjänsteleverantören en kvittens till undertecknaren. Information i underskriftstjänsten Underskriftsresultatet, som utgörs av underskrifttjänstens svar till e-tjänst, ska utformats så att det i efterhand ska gå att följa transaktionens olika led. Därför ingår i svaret till e-tjänsten: 1. viss teknisk information som uppgift om protokollsversion, unik referensidentitet i begäran om underskrift och tidpunkten för svaret, 2. uppgift om huruvida underskrift skapades eller inte, det inkluderar såväl statuskod för maskinell hantering som statusmeddelande för visuell presentation, 3. e-tjänstens begäran om underskrift,

13 PM Marknadsundersökning 13(13) 4. uppgifter om legitimering av undertecknaren, dvs uppgifter från det identitetsintyg som underskrifttjänsten mottagit från eid-tjänsten om undertecknarens identitet och accept att skriva under vari ingår på vilket sätt och när användaren legitimerades av eid-tjänsten och vilka identitetsattribut som underskrifttjänsten mottagit i identitetsintyget från eid-tjänsten, 5. underskriften, vilket består av den krypterade hashsumman för det dokument som skulle skrivas under, 6. det skapade engångscertifikatet samt tillhörande utfärdarcertifikat som krävs för kontroll av engångscertifikatet, och 7. underskriftstjänstens elektroniska stämpel på hela underskriftsresultatet. Information i begäran av underskrift Begäran från e-tjänsten om underskrift innehåller: viss teknisk information som uppgift om protokollversion, unik referensidentitet för begäran och tidpunkten för begäran om underskrift, tidsfönster inom vilket begäran om underskrift måste expedieras och adress till vilken underskriften ska skickas, identiteter som undertecknarens identitet, undertecknarens eid-tjänsts identitet, identitet för den som begär underskrift och underskriftstjänstens identitet, hashsumma för det dokument som skall skrivas under, och e-tjänstens elektroniska stämpel, dvs begäran är stämplad. 5.3 MER INFORMATION OM E-LEGITIMATIONSNÄMNDEN Information om Svensk e-legitimation och E-legitimationsnämnden finns på nämndens webbplats: