Freja eid. Anders Henrikson

Transkript

1 Freja eid Anders Henrikson

2 Vad är Freja eid Mobil elegitimation Första av DIGG godkända mobila elegitimationen LOA3 Tjänster: För SP- Verifering av Identitet, validering av underskrift, inhämtning av ID-attribut För individ- Legitimering, 2FAutentisering, Digital underskrift, Samtycke Fungerar både som personlig legitimation och som tjänstelegitimation

3 Tre tillitsnivåer Plus Godkänd elegitimation (LOA3) i Sverige baserat på personnummer eller styrkt samordningsnummer Extended Digital legitimtionskontroll Uppfyller krav för PSD2, AML, KYC etc. Men är inte en godkänd svensk elegitimation Bas 2FA tjänst, kräver endast e-post eller mobilnummer

4 Internationell Internationell/ global tjänst på lägre tillitsnivåer Finland, Norge och UK lanseras under 2019 Kommer att certiferas mot eidas substantial

5 Identitetskontroll (RA) E-post / Mobilnummerregistrering ID dokumentsscanning Kontroll mot datakällor (pass, körkort, ID kortsutgivare) Addressuppslagning i SPAR-registret 3D Ansiktsigenkänning i appen Manuell verifering av ID- dokuments äkthet samt jämförelse av dokument bild mot ansikts- ID (görs remote av säkerhetsklassad Verisec-personal) För LOA3 Sverige- Fysiskt möte via Verisecs ombudsnätverk

6 Device registrering (RA) Patenterad nyckelhanteringsprocess mellan eid tjänst och mobil enhet eid appen instantieras för en viss individ Privat nyckel skyddas på enheten Appen PIN- kodsskyddas (PIN och transaktionsvalidering sker server side) Skydd mot brute force attacker PIN lagras inte lokalt App shielding OATH/ OCRA symmetrisk krypto för autentisering PKI för underskrift

7 Ett eid- fera ID begrepp E-post addresser- upp till 3 st per person Mobiltelefonnummer- upp till 3 st per person Personnummer Samordningsnummer Icke svenskt personnummer (Norskt, Finskt) Användar-ID defnierat av förlitande part ( custom attribute ) Systemgenererat persistent användar-id (one per användare per förlitande part)

8 PKI-underskrift Native i Freja eid appen Freja eid tjänsten validerar individens underskrift Privat nyckel ligger skyddad på mobil device, cert och publika nycklar exponeras inte Tjänsten exponerar inte individers publika nycklar och certifkat så FP kan inte validera individens underskrift Förliitande part kan validera Fraja eid tjänstens underskrift och det signaturdata som användaren skrivit under. Stödjer fristående underskriftstjänster

9 Integration Integrationspartners (eg. Tieto) REST API för direktintegration IDP Sweden Connect Valfrihetssystem 2017, eidas Enterprise connector (Freja Classic)- stöd för företagsinterna miljöer

10

11

12

13

14 Freja eid and compliance Compliance Freja eid What does this mean for our customers (service providers)? NIST (The NIST guidelines form standards and process descriptions set out in the NIST the basis of many assurance guidelines networks internationally) You can have users on Identity High level of assurance and trust Facilitates GDPR compliance if Government Meets all regulatory standards set out in the GDPR many national e-id schemes personal data is stored or protected by Freja eid Meets the standards for 2FA according to PSD2 Directory 2) eidas Meets the standards set out by accreditation by Swedish Regulation) PSD2 (Payment Services assurance level 2 and 3 ISO equivalent equivalent to Svensk e-legitimation GDPR (General Data Protection Designed to meet the regulatory Designed in accordance to the eidas standards application submitted to Swedish Gov t Freja eid can be used for approval of Transfer the responsibilities in fraud Minimize risk of online fraud Can be used accessing public online payments situations services within EU and between EU countries