etjänstekortsmodellen

Transkript

1 SLL IT VERSION 3.0 etjänstekortsförvaltningen LS etjänstekortsmodellen

2 INNEHÅLLSFÖRTECKNING etjänstekortsmodellen... 1 Versionshistorik Inledning Bakgrund Nationellt samarbete Definitioner av viktiga begrepp Syftet Användningsområden Förvaltning av etjänstekortsmodellen Kontaktuppgifter Roller vid administration Självadministration av e-tjänstelegitimationer Hantering av e-tjänstelegitimationer Rensning av etjänstekort Byte av pinkoder Administration av etjänstekort, reservkort och e-tjänstelegitimationer Beskrivning och förutsättningar etjänstekort SIS-godkänt eller ej Reservkort Personlig e-legitimation E-tjänstelegitimation Giltighetstider Korthållare Beställning av kort och e-legitimationer Utgivning av nytt etjänstekort och e-tjänstelegitimation Beställning av e-tjänstelegitimation till befintligt etjänstekort Beställning av e-tjänstelegitimation till reservkort Pin- och puk-koder Byte av pinkoder Användning av etjänstekort och reservkort i lokala tillämpningar Spärr av etjänstekort och e-legitimationer Spärrorsaker Spärrning Vid felaktig spärr

3 2.6 Återlämning av etjänstekort och reservkort Hantering av återlämnade etjänstekort och reservkort Arkivering Om etjänstekortet/reservkortet inte lämnas in Administration av HCC Funktion Inledning Beställning av HCC Funktion Utlämning av HCC Funktion Pinkoder till HCC Funktion Arkivering i samband med utlämning av HCC Funktion Spärr av HCC Funktion Utbyte av HCC Person etjänstekortsorganisationen RA-organisationen Registration Authority (RA) etjänstekortsansvarig etjänstekortsadministratör Läsadministratör Organisation för SIS-kort et-säkerhetsansvarig et-registeransvarig etjänstekortshandläggare Organisation för lokala tillämpningar Samarbeten med kommuner i Stockholms län Administration av behörigheter och konfigureringar i SITHS Admin Krav för behörigheter i SITHS Admin Administratörsroller i SITHS Admin RA etjänstekortsansvarig etjänstekortsadministratör etjänstekortshandläggare etjänstekortshandläggare med utökad behörighet Läsadministratör Audit Officer (AO) Tilldelning av behörigheter i SITHS Admin Borttag av behörigheter i SITHS Admin

4 5.5 Rollförändringar vid omorganisering Konfigurationsmöjligheter Beställning och förvaring av kort, tillbehör och utrustning Reservkort Korthållare e-beställningsstation Kortläsare Applikationen CSP etjänstekort HCC Funktion Kvittenser och arkivmaterial - HIT Utbildning av administratörer Utbildning av RA Utbildning av etjänstekortsansvarig Utbildning av etjänstekortsadministratör Utbildning av et-säkerhetsansvarig Utbildning av et-registeransvarig Utbildning av etjänstekortshandläggare Kontroll och uppföljning inom etjänstekortsorganisationen Riskanalys och kontinuitetsplanering Avbrottshantering Intern revision inom etjänstekortsförvaltningen Återkommande revision Revisionsområden Olika metoder för intern revision Hantering vid missbruk av kort och e-tjänstelegitimationer Rutin- och ansvarsförändringar Förvaltning av etjänstekortsmodellen

5 Versionshistorik Version Datum Status Första godkända versionen Tillägg av information om OSIS-kortet och internrevision med mera Allmän genomgång och uppdatering av begrepp och information om hantering. Tillägg av information om distansutgivning av reservkort samt samarbetet med kommuner och privata aktörer. 5

6 1 Inledning etjänstekortsmodellen beskriver hur administration av etjänstekort och e- tjänstelegitimationer ska fungera inom SLL. Modellen ligger till grund för de rutiner som tas fram inom SLL:s etjänstekortsorganisation. 1.1 Bakgrund Den ökande användningen av elektronisk information ställer högre krav än tidigare på tekniken för att garantera säkerheten inom informationshantering. Inom vården har kravet från patienter och personal ökat vad gäller säker överföring, lagring och kontroll av information. Genom införandet av IT-ramverket inom Stockholms läns landsting kommer fler anställda att få tillgång till integritetskänslig information, vilket ställer högre krav på säkerhetsnivån i identifieringsmekanismerna. Stockholms läns landsting har i sin IT-strategi fastslagit att inloggning mot system som innehåller så kallad gemensam vårdinformation ska ske genom stark autentisering för att möjliggöra bra spårbarhet i systemen och för att skydda integritetskänslig information så att inte obehöriga får tillgång till denna. Alla anställda inom SLL:s vård och omsorgsorganisationer ska få elektroniska tjänstelegitimationer, så kallade HCC (Health Care Certificate) eller Hälso- och sjukvårdscertifikat, som kan användas för säker elektronisk identifiering och signering. Syftet med modellen är att beskriva hanteringen av etjänstekort, reservkort, personliga e- legitimationer och e-tjänstelegitimationer inom SLL Nationellt samarbete SLL:s etjänstekortsmodell bygger på en modell för säker IT inom vård och omsorg som utarbetats på nationell nivå, SITHS-modellen. SITHS-modellen bygger på PKI, Public Key Infrastructure eller den öppna nyckelns infrastruktur, och uppfyller mycket högt ställda krav på säkerhet vad gäller säker identifiering, oavvislighet, insynsskydd och integritet. SITHSmodellen är en öppen PKI som baseras på standarder och nationell samverkan. etjänstekortsmodellen innebär att anställda utrustas med elektroniska tjänstelegitimationer, HCC, som lagras på kort. Dessa e-tjänstelegitimationer kan användas för att identifiera anställda elektroniskt inom svensk vård och omsorg. HCC kan även ges ut till system och servrar. 1.2 Definitioner av viktiga begrepp Detta avsnitt beskriver de termer och begrepp som används inom etjänstekortsmodellen. Vissa av begreppen är definierade inom ramen för SITHS nationella samarbete. Begrepp/Term Ansvarig handläggare Definition För utgivning av SIS-godkända kort måste det finnas ansvariga handläggare. Inom etjänstekortsorganisationen är det etjänstekortshandläggaren som har den uppgiften. 6

7 Begrepp/Term Autentisering Behörig representant Befintligt etjänstekort CA-policy/Certifikatpolicy CA/ Certification Authority CA-nyckel Certifikat CSP CSR/Certificate Signing Request Dekryptering Digital signatur DNV/Det Norske Veritas Definition Kontroll av uppgiven identitet, t.ex. vid inloggning, vid kommunikation mellan två system eller vid utväxling av meddelanden mellan användare. Allmänt: styrkande av äkthet. Anställd hos uppdragsgivare som har befogenhet att beställa, ta emot och spärra HCC Funktion och HCC Organisation hos administratören etjänstekortsansvarig. Används i texten som förklaring till att en person redan har ett etjänstekort. E-legitimationer på chipet kan bytas ut på ett befintligt kort. En namngiven uppsättning regler för framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. Organisation som utfärdar certifikat genom att signera certifikat med sin privata CA-nyckel. Nyckelpar där den privata nyckeln används av CA för att signera certifikat och där den publika nyckeln används för att verifiera samma certifikat. Ett digitalt signerat intyg av en publik nyckels tillhörighet till en specifik nyckelinnehavare (NI). Kallas även ibland för e-legitimation. Klientprogramvara för certifikathantering. Certificate Signing Request, underlag innehållande bland annat publik nyckel och uppgifter ifrån t.ex. en webbserver. CSR används vid skapandet av ett certifikat till den aktuella servern. Processen att omvandla krypterad (kodad) information till dekrypterad (läsbar) information. Se vidare kryptering. En form av elektronisk signatur som skapas genom att signatären signerar digital information med sin privata nyckel enligt en speciell procedur. Den digitala signaturen kan användas dels för att spåra vem som signerat informationen och dels för att verifiera att informationen inte förändrats sedan den signerades. Organisation som bland annat utfärdar SIS-tillstånd för utfärdare av identitetskort. DNV kontrollerar även att utfärdandet av SIS- godkända id-kort sker enligt gällande regler, SCB151. 7

8 Begrepp/Term eid-kort EK/Elektronisk Katalog e-legitimation Elektronisk signatur et etjänstekort etjänstekortsansvarig etjänstekortsadministratör etjänstekortshandläggare etjänstekortsorganisation et-registeransvarig et-säkerhetsansvarig Definition Elektroniska id-kort i form av ett aktivt kort innehållande certifikat och nycklar samtidigt som kortets framsida kan utgöra en visuell id-handling. Den för SLL interna katalogen. En elektronisk motsvarighet till en fysisk legitimation. Innehavaren använder den för att legitimera sig och att skriva under elektronisk information. Generell beteckning på signatur som skapats med hjälp av IT. Digital motsvarighet till traditionell underskrift. Se också digital signatur. Se etjänstekort. SIS-godkänd id-handling med personlig e-legitimation och HCC utställd av SLL. En person som av RA tilldelats uppgiften att administrera behörigheter och hantera etjänstekort och HCC inom det egna ansvarsområdet. Den administratör som av RA eller etjänstekortsansvarig tilldelats uppgiften att identifiera och registrera nyckelinnehavare samt därtill hantera olika decentraliserade procedurer relaterat till certifikatbeställning, spärrning, nyckelgenerering mm. Den administratör som beställer, lämnar ut, spärrar och återkallar själva etjänstekortet. SLL:s organisation för administration av etjänstekort, reservkort, personliga e-legitimationer och HCC. Person som ansvarar för registret över utfärdade etjänstekort inom SLL. Person som ansvarar för utfärdade etjänstekort inom SLL. et-registret Funktion Funktionscertifikat HCC/Healthcare Certificate HCC Funktion Elektroniskt register över utlämnade och återlämnade etjänstekort och reservkort samt utlämnade HCC Funktion. De tjänster (IT-tjänster och bemannade tjänster) som använder funktionscertifikat. Se HCC Funktion. Certifikat för svensk vård och omsorg. HCC som utfärdas till en funktion inom SLL. Finns i PKCS#10 och PKCS#12 format. HCC Funktion är ett primärcertifikat som lagras på fil. 8

9 Begrepp/Term HCC Organisation HCC Person HCC Självadministration Underlag för e-tjänstelegitimation HSA Identifieringscertifikat Kryptering Logg Lokala behörigheter Läsadministratör NI/Nyckelinnehavare Omisskännlig identitet Definition HCC som utfärdas till en organisationsenhet inom SLL. Finns i PKCS#10 och PKCS#12 format. HCC Organisation är ett primärcertifikat som lagras på fil. HCC som utfärdas som sekundärcertifikat till en person med etjänstekort eller reservkort till anställda och uppdragstagare inom SLL. HCC är en e-legitimation för tjänstebruk. Administrationssystem för nyckelinnehavare för nedladdning, hantering och spärrning av HCC Person. Den information som ligger till grund för att ett HCC ska kunna skapas. Dessa uppgifter hämtas ifrån HSA. Nationell katalogtjänst för svensk vård och omsorg. Certifikat som används för elektronisk identifiering. Både den personliga e-legitimationen och HCC innehåller ett identifieringscertifikat och ett signeringscertifikat. Processen att omvandla tolkningsbar information (klartext) till krypterad information. Syftet med den krypterade informationen är att den inte skall kunna tolkas av någon som inte innehar exakt rätt nyckel (vid symmetrisk kryptering) eller exakt rätt privat nyckel (vid asymmetrisk kryptering) som krävs för att korrekt dekryptera informationen. En sekventiell och obruten lista över händelser i ett system eller en process. En typisk logg innehåller loggposter för enskilda händelser vilka var och en innehåller information om händelsen, vem som initierade den, när den inträffade, vad den resulterade i etc. Behörigheter för t.ex. inpassering eller betalfunktioner, som bestäms av den lokala organisationsenheten. Läsadministratör som endast har rätt att titta i systemet från den gren där han/hon har behörighet. I detta sammanhang en person, en organisation, en organisatorisk enhet eller en funktion som innehar exklusiv kontroll av den privata nyckel vars publika motsvarighet certifieras i ett certifikat. En identitet bestående av en uppsättning attribut som på ett omisskännligt sätt relaterar till en specifik person. Den omisskännliga kopplingen mellan identiteten och personen kan vara beroende på sammanhang inom vilka identitetsbegreppen hanteras. Vissa av dessa sammanhang kan kräva hjälp från aktuell registerhållare av olika attribut. 9

10 Begrepp/Term Organisationscertifikat Personlig e-legitimation Pinkod PKI Primärcertifikat Privat nyckel Publik nyckel Puk-kod RA/Registration Authority RA-organisation RA-policy/Registration Authority policy RAPS/Registration Authority Practice Statement Reservkort Definition Se HCC Organisation. E-legitimation som innehåller personliga identitetsuppgifter, t.ex. personnummer. Det är Telia som ger ut personliga e-legitimationer inom SITHS. Kod som används för att ge access till privat nyckel lagrad på etjänstekort, reservkort eller i PKCS#12-fil. Koden är vanligtvis numerisk, fyr- eller femställig. Det finns en pinkod för den privata autentiseringsnyckeln och en för den privata signeringsnyckeln. Pinkoderna skall vara hemliga för alla utom för nyckelinnehavaren. Public Key Infrastructure Ett certifikat, som utfärdats på grundval av identifiering av nyckelinnehavaren på annat sätt än att denne företrett ett annat certifikat. Identifieringen sker då vanligtvis genom att nyckelinnehavaren istället företrer en identitetshandling. Den privata delen av ett nyckelpar som används inom asymmetrisk kryptering. Den privata nyckeln används främst för att skapa digitala signaturer samt för dekryptering av krypterad information. Den publika delen av ett nyckelpar som används inom asymmetrisk kryptering. Den publika nyckeln används främst för att verifiera digitala signaturer samt för att kryptera information. Kod som kan användas för att ändra eller skapa nya pinkoder. Puk-koden är betydligt längre än pinkoden, 12 siffror eller mer. En part som av CA tilldelats uppgiften att identifiera och registrera nyckelinnehavare samt därtill hantera olika decentraliserade procedurer relaterat till certifikatbeställning, spärrning, nyckelgenerering mm. Den organisation inom SLL som ansvarar för administration av reservkort och HCC. En namngiven uppsättning regler för RA:s roll i framställning, utgivning och spärrning av certifikat och som reglerar tillämpligheten av certifikaten inom ett specifikt användningsområde. En dokumentation av hur en RA tillämpar en RA-policy. Kort som används när etjänstekort inte kan användas som bärare av HCC. Reservkortet har ett transportcertifikat som 10

11 Begrepp/Term Samordningsnummer SBC151 SCS/SIS Capture Station Sekundärcertifikat Signeringscertifikat SIS SITHS Admin SITHS-modellen Spärrlista Spärrning Säkrad personpost Tjänstecertifikat för servrar Definition primärcertifikat. Samordningsnummer är ett temporärt personnummerliknande id-nummer som myndigheter använder för personer som inte har svenskt personnummer. Regelverk för tillverkare och utfärdare av SIS-godkända identitetskort Programvara för beställning av etjänstekort. Certifikat som utfärdas på grundval av ett annat certifikat, primärcertifikatet. Detta innebär att utfärdande CA litar på den CA som utgett primärcertifikatet, dvs. accepterar certifieringen av den publika nyckeln till nyckelinnehavaren, vilket i sin tur förutsätter tillit till att identifieringen av nyckelinnehavaren vid utfärdandet av primärcertifikatet är korrekt. Det certifikat som används för signering av elektronisk information. Både den personliga e-legitimationen och HCC innehåller ett signeringscertifikat och ett identifieringscertifikat. Swedish Standards Institute brukar förkortas SIS eftersom deras gamla namn var Standardiseringskommissionen i Sverige. SIS är en industriorganisation som arbetar för standardisering och utger dokumentserien svensk standard SS. Systemet för beställning, spärrning, loggning med mera av etjänstekort, reservkort och HCC. SITHS-modellen bygger på att anställda i vård och omsorg har ett personligt elektroniskt id-kort som sedan förses med ett särskilt anställningscertifikat. Med detta kan man identifiera sig i t.ex. e-post eller mot IT-system av olika slag på ett mycket säkert sätt. Certifikaten ger också möjlighet att signera en handling digitalt vilket motsvarar en vanlig namnteckning. En digitalt signerad lista över spärrade certifikat. Kallas även för CRL (Certificate Revocation List) Processen att spärra ett certifikat genom att lägga in information om certifikatet i en spärrlista. En personpost i den Elektroniska katalogen, EK, där personens namnär kontrollerat mot folkbokföringsregistret, personen har ett HSA-id samt att personen har en anställning eller ett uppdrag inom SLL. Se HCC Funktion. 11

12 Begrepp/Term E-tjänstelegitimation Transportcertifikat Verifiering Definition Se HCC Person. Primärcertifikatet på reservkort. Processen att säkerställa att ett antagande är korrekt. Detta begrepp avser i detta dokument främst processen att säkerställa att en digital signatur är framställd av den som av den signerade informationen framstår som dess utställare. 1.3 Syftet Syftet med etjänstekortsmodellen är att skapa en enhetlig modell för SLL:s hantering av etjänstekort och elektroniska tjänstelegitimationer som grundar sig på nationella regelverk och riktlinjer. etjänstekort är en förutsättning för säker informationshantering, både inom SLL och i kontakter mellan SLL och andra organisationer genom: säker identifiering av vårdgivare, anställda och uppdragstagare, säkerställa för patienter och personal att integritetskänslig information bara hanteras av behörig personal (insynsskydd), säkerställa att hantering av information kan spåras med hjälp av elektroniska signaturer, säker elektronisk signering av vårdinformation 1.4 Användningsområden etjänstekortet är ett multifunktionellt kort för anställda och uppdragstagare inom SLL. E- legitimationerna på korten möjliggör säker elektronisk identifiering och signering, både som privatperson med den personliga e-legitimationen och som tjänsteutövare med e- tjänstelegitimationen. Kortets yta kan användas som visuell identifiering. I kortet finns även inbyggda funktioner för identifiering vid inpassering eller liknande. Magnetremsan på kortet kan användas för inpassering och en inbyggd RFID-krets (Mifareslinga) kan användas för kontaktlös inpassering. Magnetremsan på kortet kan även användas för andra funktionaliteter som till exempel betalning i personalmatsalen, parkeringsplatser med mera. 1.5 Förvaltning av etjänstekortsmodellen RA förvaltar och uppdaterar denna etjänstekortsmodell Kontaktuppgifter Vid frågor rörande etjänstekortsmodellen kontaktas RA för SLL. e-postadress: rafunktionen@sll.se 1.6 Roller vid administration För att hantera etjänstekort och e-legitimationer finns ett antal roller som beskrivs närmare i avsnittet om etjänstekortsorganisationen. Dessa roller är: 12

13 RA Övergripande ansvarig för administrationen av e-tjänstelegitimationer inom SLL. etjänstekortsansvarig Delansvarig för administrationen av e- tjänstelegitimationer inom SLL. etjänstekortsadministratör/et-administratör Den administratör som hanterar e-tjänstelegitimationer. Det finns även roller som hanterar SIS-kraven från DNV vad gäller administrationen av etjänstekorten. Dessa roller är: et-säkerhetsansvarig Person som ansvarar för att administrationen av de SISgodkända etjänstekorten inom SLL sker enligt gällande regler för SIS-kort. et-registeransvarig Person som ansvarar för registret över utfärdade etjänstekort inom SLL. etjänstekortshandläggare/et-handläggare Den administratör som beställer, lämnar ut, spärrar och återkallar etjänstekort. Landstingets förvaltningar och bolag skall kunna ge ut etjänstekort och etjänstelegitimationer till alla anställda, även personer med skyddade personuppgifter (skyddad identitet). Ansvaret för hantering av skyddade personuppgifter är ett arbetsgivaransvar, vid respektive förvaltning eller bolag där individen är anställd. etjänstekortshandläggare med ansvar för personer med skyddad identitet formellt utsedd ansvarig person som ger ut och administrerar etjänstekort respektive e-tjänstelegitimationer till personer med skyddade personuppgifter. 1.7 Självadministration av e-tjänstelegitimationer Vid användning av etjänstekort och reservkort inom SLL kan användarna till viss del själva administrera sina egna e-tjänstelegitimationer och kort. Detta sker dels med hjälp av en webbapplikationen HCC Självadministration, dels via den CSP (Crypto Service Provider) som finns installerad på användarens dator Hantering av e-tjänstelegitimationer I HCC Självadministration kan personen: Ladda ner e-tjänstelegitimation på sitt etjänstekort eller reservkort. Spärra sina egna e-tjänstelegitimationer. För de personer som inte har tillgång till en dator eller för personer som behöver hjälp med delar av administrationen, så kan administratörer inom etjänstekortsorganisationen hjälpa till Rensning av etjänstekort Spärrade e-tjänstelegitimationer rensas inte bort från etjänstekortet automatiskt. En användare som får många e-tjänstelegitimationer nedladdade till samma kort kan hamna i en situation där en ny e-tjänstelegitimation inte kan laddas ned till kortet för att det är fullt. Även om etjänstekortet inte är fullt så kan personen vilja ta bort de e-tjänstelegitimationer som inte längre används eftersom dessa visas när man ska identifiera sig elektroniskt. 13

14 Personen kan inte se vilka e-tjänstelegitimationer som är aktiva på kortet i inloggningsrutan, utan måste öppna varje e-tjänstelegitimation för att kontrollera att det är rätt e-legitimation. Därför underlättar det mycket om bara den aktuella e-tjänstelegitimationen finns på kortet. Rensning av etjänstekortet sker i CSP:n som finns installerad på datorn. I CSP:n kan personen se alla e-legitimationer som ligger på etjänstekortet eller reservkortet, både personliga e-legitimationer och e-tjänstelegitimationer. För rensning av etjänstekortet kan personen även be etjänstekortsadministratören om hjälp Byte av pinkoder Byte av pinkoder kan ske när som helst och hur ofta som helst. För att byta pinkod använder sig personen av klientprogramvaran för korthantering (CSP) som finns installerad på personens dator. 14

15 2 Administration av etjänstekort, reservkort och e- tjänstelegitimationer Applikationen för att beställa och hantera etjänstekort och reservkort med tillhörande e- legitimationer kallas SITHS Admin. 2.1 Beskrivning och förutsättningar etjänstekort, reservkort, personlig e-legitimation och e-tjänstelegitimation, kan användas för både vanlig visuell legitimering, elektronisk legitimering samt funktioner för inpassering och liknande. Den elektroniska legitimationen kan användas för säker identifiering av individer, säkert utbyte av elektronisk information och elektronisk signering av information. Alla anställda inom SLL kan få ett etjänstekort med personlig e-legitimation och e- tjänstelegitimation. Personer som utför uppdrag åt SLL eller som arbetar som studenter eller timanställda kan också få ett etjänstekort med personlig e-legitimation och e- tjänstelegitimation. Om etjänstekort inte kan delas ut av något skäl kan personen istället få ett reservkort med e-tjänstelegitimation. etjänstekort kan även utfärdas till organisationer som har avtalat om detta med SLL IT. Det gäller t.ex. privata vårdaktörer med vårdavtal och viss del av den kommunala verksamheten som behöver tillgång till delad vårdinformation i enlighet med patientdatalagen etjänstekort SIS-godkänt eller ej Det finns två typer av fotoförsedda etjänstekort; SIS-godkända etjänstekort och Icke SISgodkända etjänstekort (OSIS-kortet). Skillnaden mellan dessa båda kort är att det SIS-godkända kortet är en giltig identitetshandling som kan användas av innehavaren för exempel identifiering på post och bank, medan det icke SIS-godkända kortet, OSIS-kortet, endast är en giltig identitetshandling inom SLL. På etjänstekortet finns ett chip för lagring av e-legitimationer, en inbyggd RFID-krets (mifareslinga) för kontaktlös identifiering vid inpassering och en magnetremsa för identifiering i exempelvis inpasseringssystem eller betalning i matsalar. Kortet fungerar alltså både som visuell id-handling och elektronisk id-handling och kan även även användas för ytterligare funktioner som kontaktlös inpassering och inpassering med magnetremsa. Nedan visas en bild av hur det SIS-godkända etjänstekortet ser ut inom SLL. 15

16 Ett krav för att få det SIS-godkända etjänstekortet är att personens anställning eller uppdrag inom SLL varar längre än sex månader. Orsaken till detta är att reglverket för utgivning av SIS-kort som DNV ansvarar för kräver detta. Om uppdragets omfattning är mindre än sex månader, eller det finns andra skäl för att personen inte kan/bör ha ett SIS-godkänt etjänstekort, kan personen istället få ett OSISkort. Undantag beslutas av personens chef. Bilden nedan visar hur OSIS-kortet ser ut Reservkort Reservkortet är ett på ytan blankt kort utan foto och personuppgifter. Reservkortet har bara ett serienummer tryckt på kortets utsida som fungerar som kortets kortnummer. I chipet på reservkortet finns ett transportcertifikat, istället för en personlig e-legitimation som på de ordinarie etjänstekorten, och en e-tjänstelegitimation. Reservkortet innehåller även magnetremsa och RFID-krets (mifareslinga) som kan användas för andra användningsområden. Bilden nedan visar hur reservkortet ser ut. En e-tjänstelegitimation på ett reservkort är likadan och används på samma sätt som en e- tjänstelegitimation på ett etjänstekort. 16

17 Reservkort kan användas om: en person inte har möjlighet att få ett etjänstekort. Till exempel om personen inte vill/bör skylta med t.ex. sitt personnummer. en person har glömt eller tappat bort sitt ordinarie etjänstekort. Den lokala organisationsenheten bedömer i vilka situationer ett reservkort ska utfärdas Personlig e-legitimation I chipet på etjänstekortet finns det en elektronisk identitetshandling, en personlig e- legitimation. Den personliga e-legitimationen kan användas i privata syften som till exempel vid deklaration på internet eller vid anmälan om vård av sjukt barn hos Försäkringskassan på internet. Den personliga e-legitimationen innehåller bland annat information om personens för- och efternamn, personnummer, land, utgivare av certifikatet, giltighetstid och information för själva certifikatet. Den personliga e-legitimationen består egentligen av två certifikat: Ett identifieringscertifikat och ett signeringscertifikat. Identifieringscertifikatet används för säker inloggning och signeringscertifikatet används för att skapa digitala signaturer vid signering av elektronisk information. Det är olika pinkoder till identifieringscertifikat och signeringscertifikatet. Den personliga e-legitimationen utgör grunden för den e-tjänstelegitimation som skapas för personen, men i övrigt kommer den personliga e-legitimationen inte att användas i tjänsten E-tjänstelegitimation På etjänstekortet finns en e-tjänstelegitimation utgiven av SITHS CA. Denna kallas för HCC Person och består egentligen av ett identifieringscertifikat och ett signeringscertifikat. Identifieringscertifikatet används för säker elektronisk identifiering och signeringscertifikatet används för signering av elektronisk information. Det är olika pinkoder till identifieringscertifikatet och signeringscertifikatet. E-tjänstelegitimationen innehåller information för att unikt kunna identifiera personen, bland annat för- och efternamn, HSA-id som är unikt för individen och som ersätter personnummer så att detta inte behöver användas i tjänsten, giltighetstid för certifikatet, yrkestitel, utgivare av certifikatet, e-postadress med mera. E-tjänstelegitimationen används för elektroniskt identifiering av personer vid tjänsteutövning inom SLL Förutsättningar för att få e-tjänstelegitimation En förutsättning för att kunna få e-tjänstelegitimation är att personen är upplagd i den elektroniska katalogen, EK. Personposten i EK måste vara en så kallad säkrad personpost vilket bland annat innebär att personens namn i EK är kontrollerat mot folkbokföringsregistret, personen har ett HSA-id samt att personen har en anställning eller ett uppdrag inom SLL Giltighetstider Den maximala giltighetstiden för etjänstekort är fem år. Detsamma gäller för den personliga e-legitimationen och för e-tjänstelegitimationen. Giltighetstiden för etjänstekort, personlig e- legitimation och e-tjänstelegitimation får dock aldrig överstiga anställnings- eller uppdragstiden för den person som får ett etjänstekort och e-legitimation. 17

18 Det finns även andra begränsningar för giltighetstiden. En ny e-tjänstelegitimation som skapas för ett redan existerande etjänstekort kan inte ha längre giltighetstid än det etjänstekort och den personliga e-legitimationen som e-tjänstelegitimationen grundar sig på. Giltighetstiden för e-tjänstelegitimation på reservkort sätts olika beroende på om: reservkortet och e-tjänstelegitimationen ska användas som en tillfällig lösning för en person som till exempel har glömt sitt ordinarie etjänstekort hemma eller som har tappat bort sitt ordinarie etjänstekort och ska beställa ett nytt sådant, eller om, reservkort och e-tjänstelegitimation ska användas istället för ett ordinarie etjänstekort. Giltighetstiden på e-tjänstelegitimation på reservkort ska sättas efter behovet i varje enskilt fall. Giltighetstiden får dock inte sättas till längre än anställningens eller uppdragets slut för personen och kan heller inte överstiga 6 månader Korthållare Varje organisatorisk enhet bestämmer själva om och vilken typ av korthållare som ska användas inom den egna enheten. Korthållaren kan delas ut i samband med utlämningen av etjänstekortet eller reservkortet. 2.2 Beställning av kort och e-legitimationer Vid beställning av etjänstekort beställs alltid en e-tjänstelegitimation till kortet, men e- tjänstelegitimation kan även beställas till ett redan befintligt etjänstekort eller reservkort. Beställning av e-tjänstelegitimation kan ske när som helst under dygnet till ett befintligt etjänstekort eller till ett reservkort, nytt etjänstekort kan bara beställas då etjänstekortshandläggaren är på plats. För att kunna beställa nya etjänstekort måste etjänstekortshandläggaren ha en e- beställningsstation på sin arbetsplats Utgivning av nytt etjänstekort och e-tjänstelegitimation Ansökan av etjänstekort med personlig e-legitimation och e-tjänstelegitimation sker hos etjänstekortshandläggaren. Då ett nytt etjänstekort ska beställas skapas först ett underlag för e-tjänstelegitimation. Därefter beställs själva etjänstekortet. etjänstekortshandläggaren kan göra flera beställningar av etjänstekort och spara dessa lokalt på datorn efter det att de är signerade, innan beställningarna skickas vidare till leverantören. Det är att rekommendera då varje ivägskickad beställning kostar lika mycket oberoende om det är ett etjänstekort eller 200 etjänstekort som beställs Identifiering i samband med beställning av nytt etjänstekort och e- tjänstelegitimation Vid beställning av etjänstekort med personlig e-legitimation och e-tjänstelegitimation måste etjänstekortshandläggaren identifiera personen på ett säkert sätt genom kontroll av giltig legitimation. Detta krävs enligt SIS-reglerna. etjänstekortshandläggaren har en beskrivning över vilka identitetshandlingar som är giltiga. Identifieringen ska ske i samband med att etjänstekortet beställs Beställning av e-tjänstelegitimation Vid beställning av etjänstekort och personlig e-legitimation skapas först ett underlag för e- tjänstelegitimationen. Uppgifterna för underlaget hämtas i SITHS Admin från EK och 18

19 innehåller de uppgifter som kommer att finnas i e-tjänstelegitimation. Därefter gör etjänstekortshandläggaren beställningen av etjänstekort och den personliga e- legitimationen. Det är möjligt för en etjänstekortshandläggare att förbereda flera underlag för e- tjänstelegitimationer innan personerna närvarar, identifieringen av personerna kan ske då dessa kommer till etjänstekortshandläggaren Fotografering och namnteckning etjänstekortet innehåller bl.a. personens foto och namnteckning. Fotografering för etjänstekortet sker hos etjänstekortshandläggaren och görs i samma process som personen identifieras och underlag till själva etjänstekortet sammanställs. Fotografiet går att ta om i beställningsprocessen om så skulle behövas. Det finns vissa regler för hur fotografiet ska se ut på ett SIS-godkänt id-kort och etjänstekortshandläggaren har instruktioner om detta. Om fotografiet inte uppfyller kraven meddelar etjänstekortsleverantören detta till etjänstekortshandläggaren och hela beställningen måste göras om. Det går inte att använda sig av ett eget foto utan detta måste tas på plats vid beställningstillfället. I samma process som fotograferingen sker skannas personens namnteckning in i systemet Information i samband med beställning av etjänstekort I samband med beställningen av etjänstekort ska personen informeras om vad etjänstekort, personlig e-legitimation och e-tjänstelegitimation är och hur personen får tillgång till pinoch puk- koder. Personen ska även informeras om hur pin- och puk-koder ska hanteras Utlämning av etjänstekort etjänstekortshandläggaren får etjänstekorten levererade till sin arbetsplats med rekommenderad post och dessa ska förvaras på säkert ställe som ingen obehörig kommer åt, t.ex. i ett kassaskåp, tills de kvitterats ut av personen (SIS-regler). I de fall då personen beställt ett nytt etjänstekort och haft ett reservkort under tiden måste personen återlämna reservkortet till etjänstekortshandläggaren för att få ut etjänstekortet. Identifiering och kvittens vid utlämning av etjänstekort Innan utlämning av etjänstekort med e-legitimation och e-tjänstelegitimation sker måste etjänstekortshandläggaren enligt SIS- reglerna kontrollera identitet på mottagaren av etjänstekortet. Detta måste ske med annan giltig legitimation än den som etjänstekortshandläggaren lämnar ut. etjänstekortshandläggaren har en beskrivning av vilka identitetshandlingar som är giltiga. Vid mottagande av etjänstekortet ska personen även skriva under en elektronisk eller manuell kvittens på att han/hon mottagit kortet. Denna kvittens innehåller bl.a. kortnummer och personens personnummer. Den elektroniska kvittensen sker i SITHS Admin genom att kortmottagaren slår sin pinkod för signering i systemet. Om manuell kvittens används ska kvittensen även undertecknas av den etjänstekortshandläggare som lämnat ut kortet och legitimerat personen. Information i samband med utlämning av etjänstekort Vid utlämning av etjänstekort ska etjänstekortshandläggaren informera personen om etjänstekortet, e-legitimationer och pin- och puk-koder, samt när e-legitimationer ska spärras och etjänstekort återlämnas. Personen ska informeras om vikten av att hålla pin- och puk-koder hemliga. etjänstekortshandläggaren informerar även personen om hur självadministrationen fungerar och hur reservkort beställs, samt var personen kan finna mer information om 19

20 etjänstekortet och e-legitimationerna. En särskild broschyr finns framtagen som innehåller all väsentlig information, "et Välkomstfolder" Arkivering vid beställning och utlämning av etjänstekort I samband med beställning och utlämning av etjänstekort finns det SIS-krav på arkivering. Det som ska arkiveras är beställningsunderlag för etjänstekort och kvittenser som skrivs på i samband med utlämning av etjänstekort. Beställningsunderlag och elektroniska kvittenser arkiveras i SITHS-systemet. Eventuella manuella kvittenser av fotoförsedda etjänstekort skickas av etjänstekortshandläggare med rekommenderad post eller överlämnas personligen till et-registeransvarig som arkiverar det enligt gällande SIS-regler Utbyte av etjänstekort Nytt etjänstekort med personlig e-legitimation och e-tjänstelegitimation kan beställas till personen om det gamla etjänstekortet kommit bort eller slutat gälla, till exempel genom att giltighetstiden har gått ut eller om uppgifter på kortet eller e-legitimationerna har förändrats så att de inte längre stämmer. Vid beställning av nytt etjänstekort bör kontroll ske för att se till att en person inte beställer alltför många etjänstekort Beställning av e-tjänstelegitimation till befintligt etjänstekort Beställning av e-tjänstelegitimation till en person som redan har ett etjänstekort sker via SITHS Admin. När beställning av e-tjänstelegitimation är gjord skickas ett e-postmeddelande till kortinnehavaren om att e-tjänstelegitimationen är färdig. Kortinnehavaren hämtar själv ner e-tjänstelegitimationen till sitt etjänstekort genom HCC Självadministration Identifiering i samband med beställning av e-tjänstelegitimation till befintligt etjänstekort Om personen har ett befintligt etjänstekortet krävs inte personlig kontakt med etjänstekortsadministratören för identifiering vid beställning av ny e-tjänstelegitimation. Identifieringen sker då istället elektroniskt med den personliga e-legitimationen som används när personen hämtar sin nya e-tjänstelegitimation Beställning av e-tjänstelegitimation till reservkort Beställning av reservkort med e-tjänstelegitimation sker hos administratörer inom etjänstekortsorganisationen. Denna administratör har ett lager av oanvända reservkort med tillhörande pin- och puk-koder på sin arbetsplats. På dessa reservkort finns ett transportcertifikat som används som grund för e-tjänstelegitimationen. När e-tjänstelegitimationen är beställd till reservkortet får personen kvittera mottagande av kort och pinkoder. Den manuella kvittensen ska sparas på administratörens arbetsplats. I samband med att en person får ett reservkort för att det ordinarie etjänstekortet förkommit ska kontroll ske av att det ordinarie etjänstekortet med tillhörande e-legitimationer är spärrat. Det kan dock finnas tillfällen då ett etjänstekort med tillhörande e- legitimationer inte spärras trots att personen får ett nytt tillfälligt reservkort. Det kan till exempel ske om personen glömt sitt etjänstekort hemma utan att kortet riskerar att användas av obehörig. Det är alltid upp till administratören att göra bedömningen om det ordinarie etjänstekortet med tillhörande e-legitimationer ska spärras eller inte. 20

21 Identifiering i samband med beställning av reservkort med e- tjänstelegitimation Vid beställning av reservkort med e-tjänstelegitimation måste personen som ska få reservkortet inställa sig personligen hos etjänstekortsadminstratören eller annan utsedd distansadministratör. Identifiering av personen ska ske med giltig identitetshandling eller med intygsförfarande om giltig legitimation saknas. etjänstekortsadministratören kan även själv gå i god för personens identitet genom att ange att personen är "känd". Detta innebär att administratören själv intygar identiteten. Det finns en beskrivning över vilka identitetshandlingar som är giltiga Information i samband med erhållande av reservkort Vid mottagande av reservkort och e-tjänstelegitimation ska personen informeras om hur reservkort och pin- och puk-koder ska användas och hanteras. Personen ska även informeras om hur spärr av e-tjänstelegitimation samt återlämning av reservkort sker. Efter mottagande av reservkortet ska personen byta pinkoder till kortet utan att administratören får tillgång till dessa nya koder. etjänstekortsadministratören informerar personen om att detta ska ske, men pinkodsbytet kan ske vid personens egen arbetsplats. Om personen behöver beställa ett nytt etjänstekort informerar även administratören om hur detta sker Arkivering i samband med beställning av reservkort med e- tjänstelegitimation I samband med beställning av reservkort arkiveras information om personen och vilket kort som e-tjänstelegitimationen kopplas till direkt i SITHS Admin. Personen kvitterar mottagandet av reservkort och e-tjänstelegitimation på en skriftlig kvittens och kvittensen sparas på administratörens arbetsplats. 2.3 Pin- och puk-koder Det finns två pinkoder kopplat till etjänstekortet och reservkortet: en identifieringskod, eller autentiseringskod som den också kallas, som används vid säker elektronisk identifiering, till exempel vid inloggning mot system, en signeringskod, som används vid elektronisk signering (underskrift) av elektroniskt lagrad information. Puk-koden används för att öppna kortet för användning om det låst sig. Några dagar efter det att beställning av etjänstekort gjorts skickas pin- och puk-koder för etjänstekortet till personens folkbokföringsadress. När det gäller reservkort delas koderna ut i samband med att personen får reservkortet. Pin- och puk-koder till etjänstekort och reservkort ska hållas hemliga av kortinnehavaren så att inte någon obehörig person får tillgång till dessa. Pin- och puk-koden till etjänstekortet får inte förvaras tillsammans med kortet Byte av pinkoder Byte av pinkoder kan ske när som helst och hur ofta som helst. Byte av pinkoder ska ske om personen till exempel misstänker att någon kommit över koderna till etjänstekortet eller reservkortet. När det gäller reservkort ska pinkoderna bytas direkt vid mottagande av reservkortet utan att administratören tar del av dessa. 21

22 2.4 Användning av etjänstekort och reservkort i lokala tillämpningar Det finns olika typer av lokala tillämpningar som kan använda etjänstekortet eller reservkortet. Ofta handlar det om tillämpningar för inpassering. etjänstekortet och reservkortet har både en mifareslinga som kan användas för kontaktlös inpassering och en magnetremsa som kan användas för inpassering. Magnetremsan kan även användas för tillämpningar som betalning i personalmatsal, på parkeringsplatser och liknande. De lokala tillämpningarna är olika beroende på var personen arbetar. etjänstekortsorganisationen ansvarar inte för hantering och administration av lokala tillämpningar. 2.5 Spärr av etjänstekort och e-legitimationer Spärrorsaker etjänstekort, reservkort, personlig e-legitimation och e-tjänstelegitimation ska spärras då: personen har tappat etjänstekortet/reservkortet eller då personen misstänker att någon kommit över pin- och puk-koder som hör till etjänstekortet eller reservkortet. uppgifterna på etjänstekortet eller i e-legitimationerna inte längre stämmer. personen slutar sin anställning eller sitt uppdrag på SLL. etjänstekort eller reservkort fungerar felaktigt. E-legitimationer spärras alltid vid återlämning av etjänstekort och reservkort Spärrning Det är olika spärrförfarande beroende på om det är själva etjänstekortet, den personliga e- legitimationen eller e-tjänstelegitimationen som ska spärras. För spärr kan man behöva kontakta flera instanser beroende på hur respektive organisation byggts upp Spärr av etjänstekortets visuella yta Om etjänstekortet förkommit eller blivit stulet ska den visuella id-handlingen spärras. Eftersom det är en SIS-godkänd legitimation ska polisen kontaktas precis som vid all förlust av legitimationshandlingar. Det är endast personen själv som kan anmäla till polisen. SIS-krav ställs också på att personen spärrar kortet hos etjänstekortsleverantören och även meddelar sin etjänstekortshandläggaren som arkiverar uppgifterna om spärrningen av etjänstekortet. SIS-kortet och alla e-legitimationer kopplade till kortet spärras genom att kortet avregistreras i SITHS Admin Spärr av reservkortet Även reservkortet spärras genom att det markeras som avregistrerat i SITHS Admin. Vid återlämning av reservkort klipps även kortet genom chipet för att göra detta obrukbart. I samband med avregistrering av kortet arkiveras uppgifter om detta i SITHS Admin Spärr av e-legitimation E-legitimationen spärras genom att etjänstekortet avregistreras. Personen kan även själv kontakta etjänstekortsleverantörens kundtjänst för att genomföra denna spärr. När en e- legitimation spärras hos etjänstekortsleverantören meddelas automatiskt den etjänstekortshandläggaren som givit personen e-legitimationen att den är spärrad. 22

23 Spärr av e-tjänstelegitimation E-tjänstelegitimation kopplat till etjänstekort eller reservkort spärras via SITHS Admin eller via HCC Självadminstration av personen själv. Administratörer inom etjänstekortsorganisationen kan utföra spärr av e-tjänstelegitimation om personen tar kontakt och begär spärr eller om administratören själv bedömer att en viss e-tjänstelegitimation ska spärras Vid felaktig spärr Vid felaktig spärr av etjänstekort eller personlig e-legitimation måste nytt etjänstekort, personlig e-legitimation och e-tjänstelegitimation beställas. Vid felaktig spärr av enbart e-tjänstelegitimation räcker det med att ny etjänstelegitimation beställs till det befintliga etjänstekortet eller reservkortet. 2.6 Återlämning av etjänstekort och reservkort Återlämning av etjänstekortet eller reservkortet till etjänstekortshandläggaren ska ske då personen slutar sin anställning eller sitt uppdrag inom SLL. Återlämning sker också då identitetsuppgifterna på etjänstekortet och/eller i den personliga e-legitimationen på kortet blivit ogiltiga, då giltighetstiden på kortet och e-legitimationen gått ut eller om det är något tekniskt fel på kortet. Reservkort återlämnas även då det har använts i väntan på ett etjänstekort. Alla kort avregistreras i SITHS Admin i samband med återlämningen. Eftersom etjänstekortet är en legitimationshandling så kräver SIS- reglerna att detta måste återlämnas till utgivaren. Anledningen att etjänstekortet måste lämnas in till etjänstekortshandläggaren är att SLL fungerar som ansvarig utgivare för kortet. I det ansvaret ingår även att kontrollera att etjänstekortet destrueras på ett tillförlitligt sätt då de slutar gälla eller då uppgifterna på kortet är felaktiga. Det är upp till varje organisatorisk enhet att bestämma hur återlämning av etjänstekort och reservkort ska säkerställas Hantering av återlämnade etjänstekort och reservkort Vid återlämning av etjänstekort spärras tillhörande giltiga e-legitimationer och själva kortet klipps snett genom chippet och kortnumret. I samband med återlämningen registreras uppgifter om avregistreringen. I samband med återlämning av reservkort spärras e-tjänstelegitimationer på kortet och kortet klipps. Administratörer inom etjänstekortsorganisationen registrerar uppgifter om återlämningen av reservkortet. Inga reservkort får återanvändas för nya personer. Om personen använder kortet i lokala tillämpningar ska även den lokala organisationsenheten som sköter administrationen av detta informeras om detta Arkivering I samband med återlämning och avregistrering av etjänstekort/reservkort ska uppgifter om återlämningen registreras. Detta görs i SITHS Admin Om etjänstekortet/reservkortet inte lämnas in Det är mycket viktigt att etjänstekort återlämnas till etjänstekortshandläggaren då SISreglementet kräver detta. Det är upp till varje organisatiorisk enhet att bestämma vilka 23

24 åtgärder som ska tas för att se till att detta efterlevs. Undantaget för återlämning av etjänstekort är då förlust av kortet anmälts till polisen. Om man använt sitt reservkort längre än giltighetstiden så kommer e-tjänstelegitimationen på kortet inte att kunna användas i och med att detta är obrukbart då giltighetstiden har gått ut. 24

25 3 Administration av HCC Funktion 3.1 Inledning HCC Funktion är en typ av tjänstecertifikat som används för identifiering av tjänster, t.ex. en IT-tjänst. Det är ett mjukt certifikat som lagras på fil istället för på kort. Det finns både identifierings- och signeringscertifikat för HCC Funktion. HCC Funktion möjliggör t.ex. SSL-skyddad datakommunikation mellan servrar. 3.2 Beställning av HCC Funktion Beställning av HCC Funktion sker i SITHS Admin av RA eller etjänstekortsansvarig. För att kunna beställa HCC Funktion måste den aktuella funktionen finnas i den elektroniska katalogen (EK) på rätt plats och med rätt uppgifter. Personen som beställer HCC Funktion ska vara behörig att begära ett tjänstecertifikat till den aktuella funktionen, t.ex. genom att vara systemägare eller systemförvaltare för det aktuella systemet. Denna person kan dock överlåta till någon annan att ta emot och installera det beställda HCC Funktion. 3.3 Utlämning av HCC Funktion HCC Funktion levereras till etjänstekortsansvarig/ra via SITHS Admin. etjänstekortsansvarig/ra lämnar i sin tur ut HCC Funktion till mottagaren efter att personen har identifierat sig och kvitterat mottagandet av HCC Funktion. När personen får sitt HCC Funktion ska etjänstekortsansvarig/ra informera honom/henne om hanteringen av certifikatet. HCC Funktion ska installeras på det system som certifikatet är avsett för och får inte kopieras och installeras på andra servrar eller system. 3.4 Pinkoder till HCC Funktion I vissa fall levereras HCC Funktion i ett format som skyddas av en pinkod. Denna pinkod levereras då med säker e-post till den behöriga mottagaren av HCC Funktion. 3.5 Arkivering i samband med utlämning av HCC Funktion Kvittensen som skrivs under i samband med utlämning av HCC Funktion ska sparas på etjänstekortsansvariges arbetsplats. 3.6 Spärr av HCC Funktion HCC Funktion ska spärras om någon obehörig kommit över den privata nyckeln till certifikatet eller om informationen i certifikatet inte längre är giltig. Endast ansvarig systemägare eller systemförvaltare för den aktuella funktionen får begära spärr av ett HCC Funktion. etjänstekortsansvarig/ra verkställer spärr av HCC Funktion i SITHS Admin. 3.7 Utbyte av HCC Person För att underlätta hanteringen av HCC finns funktionen Utbyte av HCC. Denna används när man vill byta flera HCC samtidigt under en och samma gren och nedåt i den elektroniska 25