Frågor och svar. Frågor kring åtkomstlösning

Relevanta dokument
Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

Introduktion. September 2018

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

BILAGA 1 Definitioner Version: 2.02

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Sambiombudsavtal. 1 Inledning

BILAGA 1 Definitioner

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Anslutningsavtal för medlemskap i Sambi

BILAGA 3 Tillitsramverk Version: 2.1

ehälsomyndighetens nya säkerhetslösning

ehälsomyndighetens nya åtkomstlösning och Sambi

ehälsomyndighetens nya åtkomstlösning och Sambi

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

Mö tesanteckningar fra n Sambis arbetsgrupp

Tillitsgranskningsavtal

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Tillitsgranskningsavtal

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

ehälsomyndighetens nya säkerhetskrav

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

BILAGA 3 Tillitsramverk Version: 1.3

Granskningsinstruktioner och checklista för Tillitsgranskare

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Internetstiftelsen i Sverige.

Anslutningsavtal för medlemskap i Sambi

E-legitimationsdagen

Lennart Beckmanä Beckman Security.

Lennart Beckmanä Beckman Security.

Lennart Beckmanä Beckman Security.

Tillitsramverk och granskning April 2014

BILAGA 3 Tillitsramverk Version: 1.2

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

Svenskt federationsforum

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Krav på federationstjänst

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

ehälsomyndighetens nya säkerhetslösning

Granskningsinstruktion och checklista för Tillitsdeklaration

Säkerhetsgranskning

Säker åtkomst för vård- och apoteksaktörer. David Skullered

Svensk e-legitimation

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

PhenixID & Inera referensarkitektur. Product Manager

Tjänstelegitimation och privata aktörer i offentlig regi. E-legitimationsdagen :15 14:45 Ulf Palmgren

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Mötesanteckningar från Sambis arbetsgruppsmöte

Säker åtkomst till ehälsomyndighetens nationella tjänster

Tekniskt ramverk för Svensk e- legitimation

Mötesanteckningar - Sambidemo

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

Välkommen som Sambi-kund!

Vad händer här och nu? E-legitimationsnämndens aktiviteter

Svensk e-legitimation. 7 mars

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Anteckningar från Sambis arbetsgruppsmöte

Skolfederation.se. KommITS

Mo tesanteckningar Sambis arbetsgrupp

Underlag till möte om Sambis testbädd och pilotverksamhet

Anteckningar från Sambis arbetsgruppsmöte

En workshop om anpassning av e-tjänster och IdP-lösningar för Sambi den 6 feb 2014

Utveckling av Skolfederations tillitshantering

Anteckningar från möte om Sambis testbädd och pilotverksamhet

Mötesantecknignar - Sambidemo

Välkomna till introduktionskurs i Sambi

Avtal om Kundens användning av E-identitet för offentlig sektor

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION För Tjänsteleverantör

Tekniskt ramverk för Svensk e-legitimation

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation

E-legitimering och e-underskrift Johan Bålman esam

Testning av Sambi. Testplan. Version PA12. Fil namn: SAMBI_TP.docx Senast sparad: Copyright (c) 2014 IIS

Avtal om Kundens användning av Identifieringstjänst SITHS

Hur passar SITHS in i verkligheten? Svensk e-legitimation i förhållande till SITHS?

Apotekens Service. federationsmodell

Checklista. För åtkomst till Svevac

Förvaltning av attribut och attributprofiler

Elevlegitimation ett konkret initiativ.

Internetstiftelsens remissvar på betänkandet Ett säkert statligt ID-kort - med e-legitimation

Infrastruktur med möjligheter

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Anteckningar från möte om Sambis testbädd och pilotverksamhet

E-legitimationsdagen - Seminariepass - Spår 1

Tillitsregler för Valfrihetssystem 2018 E-legitimering

BILAGA 3 Tillitsramverk Version 0.8

Federerad åtkomst Information om åtkomst till Apotekens Services tjänster inom ramen för en identitetsfederation.

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Per Rasck Tjänsteansvarig. Tobias Ljunggren IAM Arkitekt

Mötesunderlag till Sambis arbetsgrupp

Transkript:

Frågor och svar Frågor kring åtkomstlösning Vad innebär åtkomstlösningen för mig som aktör? o Åtkomstlösningen innebär två saker: Du behöver göra tekniska anpassningar i dina system Du behöver bli medlem i federationen Sambi. Vad innebär ett medlemskap i federationen Sambi? o Som medlem i Sambi ska du uppfylla ett antal krav på säkerhet. Det gäller främstpå hanteringen av elektroniska identiteter och behörigheter. Tanken med Sambi är att säkerhetsnivåerna ska höjas inom hälsa, vård och omsorg. Bland annat ska Sambi bidra till att skyddet för den personliga integriteten hamnar i linje med svensk och europeisk lagstiftning. Behöver jag som apoteksaktör vara e-identitesutfärdare? o Nej, så länge utfärdandet sker i enlighet med Sambis krav kan du antingen utfärda egna e-identiteter eller använda underleverantörer. Vilka e-identitetslösningar finns det att tillgå för mig som apoteksaktör? o AB Svenska Pass är en godkänd e-identitetslösning. Ytterligare leverantörer har sina lösningar inne för granskning (juni 2017). E-legitimationsnämnden granskar och godkänner identitetsutfärdare. Kan jag som vård- eller apoteksaktör vara både en användarorganisation och IdP (identity provider)? o Ja, det är möjligt Vilka av mina tjänster behöver genomgå tillitsgranskning av Sambi? o De tjänster som ehälsomyndigheten kräver ska vara med i Sambis metadata. Vilka avtal behöver jag som aktör ingå i inom ramen för detta arbete? o Alla aktörer behöver ha ett giltigt avtal med ehälsomyndigheten samt teckna ett anslutningsavtal med Sambi i samband med tecknande av medlemskap. Dokumentnamn: Frågor och svar om säker åtkomst 1/6

Vilka anpassningar krävs av apoteks- och vårdaktörernas egna system? o Vilka IdP:er finns det idag? o I dagsläget finns två godkända utfärdare av e-identiteter, Svenska pass AB och Huddinge kommun. Fler aktörer är på väg att godkännas som utfärdare. Beskrivning av ombudsförfarande SAMBI-godkända ombud", vad är det? Vad är det tänkt att lösa? Vad löser det inte? o Syftet med ett Sambi-ombud är att förenkla förfarandet för den användarorganisation som ska ansöka om anslutning till Sambi. Ombudet kan själv eller tillsammans med underleverantörer tillhandahålla en färdig paketlösning för Användarorganisationens identitetshantering. Sambiombudet ska bistå Användarorganisationen med hjälp för att säkerställa att Användarorganisationen lever upp till kraven i Sambis Tillitsramverk. Detta omfattar lösningar och tjänster för uppföljning av informationssäkerhet, eid, attributkatalog, identitetsintygsutgivning, incidenthantering, rapportering, övervakning samt medlemsansökning för Sambi. o Genom att anlita ett Sambiombud behöver en Användarorganisation inte själv organisera och anskaffa tjänster och lösningar från flera olika parter. Sambiombudet ska tillse att de tjänster som erbjuds Användarorganisationer är godkända av Sambis tillitsgranskningstjänst. Dessa kan sedan Användaorganisationen referera till i sin egen tillitsdeklaration. Hur ser processen ut för att få till ombudsavtalet? o Den som vill bli ett Sambiombud måste teckna ett avtal med federationsoperatören. Innan avtalet tecknas ska det blivande Sambiombudet ha granskats av Sambis Tillitsgranskningstjänst med godkänt resultat och godkänts av Sambis styrgrupp. Sambiombudet granskas årligen av Sambis Tillitsgranskningstjänst. Hur långt har vi kommit? Hur ser tidplanen ut? Dokumentnamn: Frågor och svar om säker åtkomst 2/6

o Under hösten kommer ett praktiskt arbete starta för att få fram Sambiombud. Vilka ombud som finns (nuläget) o Det finns i nuläget inget godkänt ombud då avtalet ännu inte är klart. Så fort det är klart kommer denna text att uppdateras med godkända ombud. Kan alla aktörer använda ett ombud? o Tanken med Sambiombuden är i huvudsak att underlätta arbetet när väldigt små aktörer blir medlemmar i Sambifederationen. Frågor kring åtkomstlösning Vad är en e-legitimation o Begreppet e-legitimation (ibland även e-leg, eid) är en förkortning av elektronisk legitimation. E-legitimationen motsvarar en vanlig idhandling, t.ex. ett nationellt id-kort, och används t.ex. för att identifiera sig när man använder tjänster över Internet Beskrivning av e-legitimationsutfärdare, IdP o En e-legitimationsutfärdare, förkortat IdP, är helt enkelt en organisation som ger ut e-legitimationer Vilka e-legitimationsutfärdare finns idag? o I juni 2017 finns två stycken e-legitimationsutfärdare som har rätt att ge ut Svensk e-legitimation baserat på e-legitimationsnämndens krav Hur ser framtiden ut? o I juni 2017 har ett antal blivande e-legitimationsutfärdare sina e- legitimationslösningar inne hos e-legitimationsnämnden för godkännande Kan jag som aktör utfärda egna e-legitimationer? o Vem som helst som uppfyller e-legitimationsnämndens krav kan bli utfärdare av e-legitimationer Dokumentnamn: Frågor och svar om säker åtkomst 3/6

Exempelfall olika aktörer IT-säkerhetsansvarig på ett landsting Fråga: Jag arbetar som IT-säkerhetsansvarig på Landstinget XYZ. I vår verksamhet använder vi oss av journalsystemet Vårdsystemet och vi använder SITHS-kort. Jag har förstått att det systemet använder sig av ehälsomyndighetens e- recepttjänster. Behöver vi på landstinget göra något när det nu blir en ny säkerhetslösning hos er? I så fall, vad behöver vi göra? Är det bara leverantören av systemet som behöver ta något i beaktande? Ja Landstinget XYZ ska ansöka om medlemskap i Sambifederationen. Här kan du läsa mer om hur man blir medlem i Sambi. För att bli medlem i Sambi behöver ni gå igenom en så kallad tillitsgranskning. Är ni en liten organisation kan ni använda er av ett så kallat Sambiombud för att ta er igenom processen.. Som organisation ansvarar ni för att funktionerna e-legitimationsutfärdare, attribututgivare och identitetsintygsutgivare följer regelverket, antingen genom att ni själva eller en underleverantör tillhandahåller funktionerna. Resultatet av tillitsgranskningen kommer att visa på om ni på landstinget behöver vidta några ytterligare åtgärder. I grunden handlar det om mognadsgraden på er riskhantering och ert säkerhetsarbete. Nej, både ni på landstinget och systemleverantören behöver vidta åtgärder. Er systemleverantör behöver dock inte vara medlem i Sambi. Däremot måste de göra tekniska anpassningar av Vårdsystemet. Vad detta innebär kan du läsa mer om i avsnittet som beskriver systemleverantörens roll. Produktansvarig hos en vårdsystemleverantör Fråga: Jag arbetar som produktansvarig hos systemleverantören Vården framförallt AB. Vårt journalsystem Vårdsystemet används hos ett antal landsting. Det används också hos några privata vårdaktörer, då i en något nerskalad version. Vi kommer nu att behöva göra tekniska anpassningar för er nya säkerhetslösning. Vad innebär de tekniska anpassningarna, hur mycket arbete kan det röra sig om? Dokumentnamn: Frågor och svar om säker åtkomst 4/6

Var kan vi få hjälp med de tekniska anpassningarna när vi har frågor, vilken typ av hjälp kan vi få, och var kan vi läsa mer om vad som krävs? Sedan är det väl så att vi inte behöver vara med i Sambi, det är landstinget som använder Vårdsystemet som behöver vara det? För en systemleverantör innebär de tekniska anpassningarna två saker, dels att kommunikation ska ske över kanal med dubbelriktade certifikat (Mutual TLS) och dels att de attribut som tidigare fanns i biljetten flyttas ner till payloaden. Specifikationer över detta finns att tillgå i release notes för den externa uppgraderingen 17.1 som finns pubilcerade på ehälsomyndighetens externa kundyta. För att få tillgång till kundytan behöver du kontakta oss. Hur mycket arbete det rör sig om för att genomföra de tekniska anpassningara är svårt att svara på och beror till stor del på hur det specifika systemet är utformat. För att få hjälp med de tekniska anpassningarna rekomenderar vi först och främst att ni deltar i våra kostnadsfria utbildningar, specifikt kurs 3 som är en teknisk workshop. Kursen innehåller ett teknikpass om federationsteknink, integration och SAML och är till för dig som är utvecklare eller arkitekt. Det går också bra att kontakta oss för att få hjälp med att förstå de tekniska kraven. IT-säkerhetsansvarig på ett apotek Fråga: Jag arbetar som IT-säkerhetsansvarig på Apoteket ABC. I vår verksamhet använder vi oss av receptexpeditionssystemet E-receptet och vi utfärdar idag själva våra identitetskort. Jag har förstått att systemet använder sig av ehälsomyndighetens e- recepttjänster. Behöver vi på apoteket göra något när det nu blir en ny säkerhetslösning hos er och i så fall vad? Eller är det bara vår leverantör av systemet som behöver ta något i beaktande? Apoteket ABC ska ansöka om medlemskap i federationen Sambi och gå igenom en så kallad tillitsdeklaration. Här kan du läsa mer om hur man blir medlem i Sambi. Är ni en liten organisation kan ni använda er av ett så kallat Sambiombud för att ta sig igenom processen. Som organisation ansvarar ni för att de tre funktionerna e- legitimationsutfärdare, attribututgivare och identitetsintygsutgivare följer Dokumentnamn: Frågor och svar om säker åtkomst 5/6

regelverket, antingen genom att ni själva eller en underleverantör tillhandahåller detta. Resultatet av tillitsdeklarationen kommer att visa på om Apoteket ABC behöver vidta några ytterligare åtgärder. I grunden handlar det om mognadsgraden på er riskhantering och ert säkerhetsarbete. Här kan du läsa mer om hur en tillitsdeklaration går till. Er systemleverantör behöver inte vara medlem i Sambi men måste däremot göra tekniska anpassningar av receptexpeditionssystemet E-receptet. Vad detta innebär kan ni läsa mer om i avsnittet som beskriver systemleverantörens roll. Produktansvarig hos en apotekssystemleverantör Fråga: Jag arbetar som produktansvarig hos systemleverantören Apoteket framförallt AB. Vårt receptexpeditionssystem E-receptet används hos ett antal apotek. Vi kommer nu att behöva göra tekniska anpassningar för er nya säkerhetslösning. Vad innebär de tekniska anpassningarna, hur mycket arbete kan det röra sig om? Var kan vi få hjälp med de tekniska anpassningarna när vi har frågor, vilken typ av hjälp kan vi få, och var kan vi läsa mer om vad som krävs? Sedan är det väl så att vi inte behöver vara med i Sambi, det är apoteket som använder systemet E-receptet som behöver vara det? För en systemleverantör innebär de tekniska anpassningarna två saker, dels att kommunikation ska ske över kanal med dubbelriktade certifikat (dvs. Mutual TLS) och dels att de attribut som tidigare fanns i biljetten flyttas ner till payloaden. Specifikationer över detta finns att tillgå i release notes för den externa uppgraderingen 17.1 som finns publicerade på ehälsomyndighetens externa kundyta. För att få tillgång till kundytan behöver du kontakta oss. Hur mycket arbete det rör sig om för att genomföra de tekniska anpassningara är svårt att svara på eftersom det till stor del beror på hur det specifika systemet är utformat. För att få hjälp med de tekniska anpassningar rekomenderar vi först och främst att ni deltar i våra kostnadsfria utbildningar, specifikt kurs 3 som är en teknisk workshop. Kursen innehåller ett teknikpass om federationsteknik, integration och SAML och är till för dig som är utvecklare eller arkitekt. Det går också bra att kontakta oss för att få hjälp med att förstå de tekniska kraven. Som systemleverantör behöver ni inte vara medlem i Sambi. Dokumentnamn: Frågor och svar om säker åtkomst 6/6

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss