Försäkringskassans utfärdardeklaration. Rev A

Relevanta dokument
Försäkringskassans principer för e- tjänstelegitimationer

Modul 3 Föreläsningsinnehåll

Termer och begrepp. Identifieringstjänst SITHS

UTFÄRDARDEKLARATION (CPS) SJÖFARTSVERKET

Termer och begrepp. Identifieringstjänst SITHS

Policy Underskriftstjänst Svensk e-legitimation

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Telias CPS för certifikatutfärdande under SITHS CA-Policy (ver )

Vad är en Certifikatspolicy och utfärdardeklaration

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Tjänstespecifikation

Åtgärdsplan. CRL Åtgärdsplan Copyright 2015 SecMaker AB Författare: Jens Alm

SSEK Säkra webbtjänster för affärskritisk kommunikation

Kundverifiering av SPs digitala signaturer

Telias policy för utfärdande av företagskort med e-legitimation

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Telias Utfärdardeklaration, CPS, för Telia e-legitimation Version 1.3. Datum:

Tillitsregler för Valfrihetssystem 2018 E-legitimering

BILAGA 3 Tillitsramverk

Policy. SITHS Certifikatspolicy för utgivande av certifikat inom vård och omsorg Version

BILAGA 3 Tillitsramverk Version: 2.02

SITHS Anslutningsavtal RA Policy

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Certificate Policy och Certificate Practice Statement

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

ANVÄNDARVILLKOR FÖR SKATTEFÖRVALTNINGENS OCH INKOMSTREGISTRETS GRÄNSSNITTSTJÄNSTER

VGC RA Policy Västra Götalandsregionens Registration Authority Policy intern PKI

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat med mera för tillverkning av digitala färdskrivare;

INTEGRITETSPOLICY ID06

BILAGA 3 Tillitsramverk Version: 1.2

Policy. 1 Telias policy för utfärdande av ID-kort med e-legitimation

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

SITHS. Integration SITHS CA Copyright 2015 SecMaker AB Författare: Andreas Mossnelid Version 1.2

Version

PERSONUPPGIFTSBITRÄDESAVTAL

BILAGA 3 Tillitsramverk Version: 1.3

Telias Utfärdardeklaration, CPS,

I de fall du är direkt kund hos NS är NS den personuppgiftsansvarige.

CERTIFIKATPOLICY SJÖFARTSVERKET

VGC RAPS RA Practice Statement för Västra Götalandsregionens intern PKI

VGC CA Policy Certifikatspolicy för utgivande av certifikat inom Västra Götalandsregionens interna PKI

Användningen av elektronisk identifiering.

Transportstyrelsens föreskrifter om hantering av kryptografiska nycklar och certifikat för tillverkning av digitala färdskrivare;

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

SITHS RAPS för Region Skåne Version

CERTIFIERINGSPRAXIS. för Befolkningsregistercentralens servercertifikat OID:

Tillitsramverk. Identifieringstjänst SITHS

Tillitsramverk för E-identitet för offentlig sektor

PTS informationsmöte om eidas och betrodda tjänster

CERTIFIERINGSPRAXIS. för Befolkningsregistercentralens servercertifikat för kommunikation inom social- och hälsovården OID:

CERTIFIKATPOLICY. för Befolkningsregistercentralens servicecertifikat OID:

Certifikatbeskrivning. för Befolkningsregistercentralens servicecertifikat

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Användarvillkor Mina meddelanden

Authentication Context QC Statement. Stefan Santesson, 3xA Security AB

Registration Authority Practice Statement RAPS

BILAGA 3 Tillitsramverk Version: 2.1

Rutin vid kryptering av e post i Outlook

Utfärdande av SITHS-kort. Utbyte av kort som inte klarar av SITHS CA v1 certifikat

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

HSA Anslutningsavtal. HSA-policy

Inom SITHS e-id finns det certifikat för olika syften som grupperas enligt:

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Innehåll 1(14) Granskningsdokumentation

PERSONUPPGIFTSBITRÄDESAVTAL

CERTIFIKATPOLICY FÖR FINSKA STATENS ROTCERTIFIKATUTFÄRDARE. OID: v.1.0

SITHS inloggning i AD

EAs krav vid ackreditering av flexibel omfattning

Introduktion till eidas. Dnr: /

GRABBARNA FLYTT SWEDEN AB PRIVACY POLICY

VÄGLEDNING LEDNINGSSYSTEM Ansökan. Version:

Certifikatpolicy (CP) och utfärdardeklaration (CPS)

SAMLINK CUSTOMER CA Certifikatprinciper WS-MATERIALTJÄNSTER FÖR CERTIFIKAT OID: v.1.0

Internetsäkerhet. banktjänster. September 2007

Version Datum Kommentar Etablering av dokumentet Efter första genomgång av Cygate och SITHS PA

BILAGA Personuppgiftsbiträdesavtal

DATASKYDDSBESKRIVNING

MPS 7 MOTIVERING TILL OCH TILLÄMPNING AV FÖRESKRIFT 7

Tjänster för elektronisk identifiering och signering

Tekniskt ramverk för Svensk e- legitimation

Ändringar i utfärdande av HCC Funktion

Rutin för administrering av KOMKAT och SITHS kort

STOCKHOLMS STADS CERTIFIKATPOLICY

Strand Kapitalförvaltning AB:s integritetspolicy

Tillitskrav för Valfrihetssystem 2017 E-legitimering

Tillitsramverk för Svensk e-legitimation. 1 (11) Ref.nr: ELN-0700-v1.2 Tillitsramverk för Svensk e-legitimation

Tillitsramverk för Svensk e-legitimation

CERTIFIKATPOLICY. för Befolkningsregistercentralens medborgarcertifikat OID:

Certifikatspecifikation för Sveriges kommuner och landsting med samarbetspartners HCC

Mallar för kvittenser och e-post. Exempel på text till kvittenser och e-post i administrationshantering av SITHS-kort

PTS remissvar på betänkandet om E-legitimationsnämnd och e-legitimationer i Sverige

Överenskommelse om myndighetssamverkan

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

1.2. Advokatfirman Carler är personuppgiftsansvarig för den behandling som utförs av Advokatfirman Carler i enlighet med denna personuppgiftspolicy.

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Svensk författningssamling

PERSONUPPGIFTSBITRÄDESAVTAL

Metoder för verifiering av användare i ELMS 1.1

Policy för informations- säkerhet och personuppgiftshantering

Transkript:

Försäkringskassans utfärdardeklaration Rev A

, Infrastruktur, Säkerhet Innehåll 1 OMFATTNING... 3 2 REFERENSER... 5 3 DEFINIONER OCH FÖRKORTNINGAR... 6 3.2 FÖRKORTNINGAR... 6 5 INTRODUKTION TILL DENNA UTFÄRDARDEKLARATION... 7 5.1 FÖRÄNDRINGSRUTIN... 7 7 KRAV PÅ RUTINER FÖR CERTIFIERINGSTJÄNSTEN... 8 7.2 PKI LIVSCYKELHANTERING AV NYCKLAR... 8 7.2.2 Lagring, backup och återskapande av Försäkringskassans nycklar... 8 7.2.3 Distribution av Försäkringskassans publika nyckel... 8 7.3 PKI LIVSCYKELHANTERING AV E-TJÄNSTELEGIMATIONER... 9 7.3.1 Användarregistrering... 9 7.3.3 Skapande av e-tjänstelegitimationer... 9 7.3.4 Spridning av användarvillkor... 10 7.3.5 Spridning av e-tjänstelegitimationer... 11 7.3.6 Spärr av e-tjänstelegitimationer... 11 7.4 DRIFT OCH LEDNING... 13 7.4.9 Upphörande av Försäkringskassans certifieringstjänster... 13 7.4.11 Registrering av uppgifter gällande e-tjänstelegitimationer... 13 Versionshantering Datum Version Ändring 2010-10-08 Rev A Officiell version Copyright, Försäkringskassan Sid. 2 (14)

, Infrastruktur, Säkerhet 1 Omfattning Denna utfärdardeklaration beskriver de procedurer och rutiner som Försäkringskassan tillämpar vid utfärdande av e-tjänstelegitimationer som möter de krav som specificeras i Försäkringskassans principer för e- tjänstelegitimationer [ETLP]. Av strukturella skäl följer denna utfärdardeklaration samma numrering av rubriker som [ETLP]. Försäkringskassan svarar för de åtaganden som anges i kapitel 6.1 av [ETLP] samt denna utfärdardeklaration, även om någon annan utför åtgärderna på Försäkringskassans uppdrag. Hänvisningar till denna utfärdardeklaration innefattar hädanefter också en hänvisning till Försäkringskassans principer för e-tjänstelegitimationer [ETLP]. Ändamålet med denna utfärdardeklaration är: 1. att ange de rutiner som Försäkringskassan tillämpar för utfärdande och spärr av e-tjänstelegitimationer och de åtaganden som aktörerna avses göra, och 2. att skapa tillit till de e-tjänstelegitimationer som utfärdas i överensstämmelse med Försäkringskassans principer för e- tjänstelegitimationer [ETLP] och de elektroniska underskrifter som verifieras med hjälp av e-tjänstelegitimationerna, genom att reducera och tydliggöra de finansiella, operativa och juridiska riskerna. Den förlitande part som tar emot en e-tjänstelegitimation eller en elektronisk underskrift som verifieras med hjälp av en e-tjänstelegitimation som utfärdats av Försäkringskassan i enlighet med [ETLP] och denna utfärdardeklaration: 1. svarar enligt kapitel 6.3 för att kontrollera att e- tjänstelegitimationen och den elektroniska underskriften är äkta, att e-tjänstelegitimationen är giltig och inte har spärrats samt att den endast används för ändamål som är förenliga med e- tjänstelegitimationsprinciperna [ETLP] och denna utfärdardeklaration, och 2. bedömer utifrån e-tjänstelegitimationsprinciperna [ETLP] och denna utfärdardeklaration om en e-tjänstelegitimation kan anses vara tillförlitlig för den användning som är aktuell i det enskilda fallet. Försäkringskassan förbinder sig att följa e-tjänstelegitimationsprinciperna [ETLP], där det är tillämpligt, och tydligt upplysa i information om e- Copyright, Försäkringskassan Sid. 3 (14)

, Infrastruktur, Säkerhet tjänstelegitimationer och spärrtjänster, att e-tjänstelegitimationerna tillhandahålls i enlighet med [ETLP] och denna utfärdardeklaration. Försäkringskassan är utfärdare och ansvarar för innehållet i de e- tjänstelegitimationer som Försäkringskassan utfärdar. I det fall Försäkringskassan utfärdar e-tjänstelegitimationer till smarta kort som utfärdats av annan organisation ansvarar Försäkringskassan för att kortutfärdandet följer de krav som ställs i [ETLP] och i denna utfärdardeklaration. För att Försäkringskassan i de fallet ska kunna fullfölja sitt uppdrag som utfärdare utför kortutfärdaren vissa funktioner såsom identifiering och kontroll av nyckelinnehavaren samt utlämning av smart kort (med nycklar och e-tjänstelegitimationer) för Försäkringskassans räkning. Försäkringskassan anlitar Gemalto fortsättningsvis kallad Leverantören som underleverantör. Leverantören utför ett flertal tjänster på Försäkringskassans uppdrag för att Försäkringskassan ska kunna fullgöra sitt ansvar som utfärdare. Det är dock Försäkringskassan som har det övergripande ansvaret för utfärdande av e-tjänstelegitimationer. Vid tolkning av utfärdardeklarationen gäller följande: 1. Rubrikerna följer i huvudsak europeisk praxis [ETSI QCP]. Vid tolkning av utfärdardeklarationen ska texten under varje rubrik ges företräde framför formuleringar och uttryck i rubriker. 2. Utfärdardeklarationen anger miniminivåer för rutiner och säkerhetskrav. Copyright, Försäkringskassan Sid. 4 (14)

, Infrastruktur, Säkerhet 2 Referenser I detta dokument refereras till följande information: [SignaturLag] [X.509] [ISO 9001] [ISO 15408] [ISO 27001] [ISO 27002] [RFC 3647] [RFC 5280] [ETSI QCP] [SBC 151-U] Lag (2000:832) om kvalificerade elektroniska signaturer. U-T Recommendation X.509 (08/2005): Information Technology - Open Systems Interconnection - The Directory: Public-key and attribute certificate frameworks. SS-EN ISO 9001:2008, Ledningssystem för kvalitet Krav ISO/IEC 15408 (2005) (Parts 1-3): Information technology Security techniques Evaluation criteria for security. SS-ISO/IEC 27001:2006, Ledningssystem för informationssäkerhet Krav SS-ISO/IEC 27002:2005, Riktlinjer för styrning av informationssäkerhet RFC 3647: Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Framework, Santosh Chokani, Warwick Ford, Randy V. Sabett, Charles R. Merrill, Stephen S. Wu, IETF, November 2003, http://www.rfc-editor.org/rfc/rfc3647.txt. RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, David Cooper, Stefan Santesson, Steven Farrell, Sharon Boyen, Russel Housley, Tim Polk, IETF, May 2008, http://www.ietf.org/rfc/rfc3280.txt. ETSI TS 101 456 V1.4.3 (2007-05): Electronic Signatures and Infrastructure (ESI); Policy requirements for certification authorities issuing qualified certificates, Technical specification. SBC 151-U, Särskilda Bestämmelser för Certifiering av överensstämmelse med standard, Utgåva 14, 2008-04-04, (SS 61 43 14), http://www.detnorskeveritas.se/binaries/sbc%20151u.14_tcm147-413928.pdf. [FIPS 140-2] FIPS PUB 140-2: Federal Information Processing Standards Publication Security Requirements for Cryptographic Modules, May 25, 2001, http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf. [TCP] Bilaga 3: Tjänstecertifikatpolicy, Version 2.3, Skatteverket, 2007-11-23. [ETLP] Försäkringskassans principer för e-tjänstelegitimationer. Copyright, Försäkringskassan Sid. 5 (14)

, Infrastruktur, Säkerhet 3 Definitioner och förkortningar För definitioner som förekommer i dokumentet, se [ETLB]. 3.2 Förkortningar Förkortning Fullständigt uttryck AD CA CPS CRL ETSI OCSP PIN PKI PUK RSA UPN Active Directory Certification Authority Certification Practice Statement Certificate Revocation List European Telecommunications Standards Institute Online Certificate Status Protocol Personal Identification Number Public Key Infrastructure PIN Unblocking Key Rivest Shamir Adleman User Principal Name Copyright, Försäkringskassan Sid. 6 (14)

, Infrastruktur, Säkerhet 5 Introduktion till denna utfärdardeklaration Försäkringskassans rutiner och åtaganden som följer av denna utfärdardeklaration är endast tillämpliga i samband med e- tjänstelegitimationer som åberopar Försäkringskassans principer för e- tjänstelegitimationer [ETLP] som är tilldelad följande unika objektidentifierare: { iso(1) member-body(2) SE(752) Forsakringskassan(146) Policies(1) e- tjanstelegitimationspolicy(1) version1(1) } Ovanstående objektidentifierare framgår i Försäkringskassans e- tjänstelegitimationer som utfärdas i enlighet med Försäkringskassans principer för e-tjänstelegitimationer och denna utfärdardeklaration. 5.1 Förändringsrutin Förändringar som kan ske utan underrättelse De ändringar som kan göras av denna utfärdardeklaration utan underrättelse är språkliga justeringar och omdispositioner som inte påverkar säkerhetsnivån i beskrivna regler. Förändringar som kräver underrättelse Stora ändringar av denna utfärdardeklaration får företas 90 dagar efter underrättelse. Mindre ändringar som endast berör ett fåtal nyckelinnehavare eller förlitande parter kan göras 30 dagar efter underrättelse. Försäkringskassan avgör om ändringar av utfärdardeklarationen ska ske efter underrättelse inom 90 dagar eller 30 dagar. Copyright, Försäkringskassan Sid. 7 (14)

, Infrastruktur, Säkerhet 7 Krav på rutiner för certifieringstjänsten Försäkringskassan säkerställer att säkerhetsmålen från [ETLP] är uppfyllda. Endast i de fall att det har ansetts att uppfyllandet av säkerhetsmålen i [ETLP] har krävt en utförligare beskrivning har motsvarande kapitel eller punkter tagit med i denna utfärdardeklaration. 7.2 PKI Livscykelhantering av nycklar 7.2.2 Lagring, backup och återskapande av Försäkringskassans nycklar Försäkringskassan säkerställer att dess privata nycklar behandlas konfidentiellt och med bibehållen integritet. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassans privata nyckel för underskrift lagras och användas i en kryptografiskt säker hårdvara, som: - uppfyller kraven i [FIPS 140-2], nivå 3, och - håller på att evalueras till nivå EAL4+ enligt [ISO 15408]. b) Försäkringskassans privata nyckel hanteras aldrig utanför den kryptografiska säkra hårdvaran. c) Försäkringskassans privata nyckel säkerhetskopieras och lagras i hårdvara och återläsas av medarbetare i betrodd ställning, vilket kräver dubbelkommando i fysiskt säker miljö. Antalet personer som är betrodda att utföra denna funktion hålls så få som möjligt. 7.2.3 Distribution av Försäkringskassans publika nyckel Försäkringskassan säkerställer att det finns förutsättningar för att dess publika nyckel med tillhörande parametrar kan hållas autentisk och med bibehållen integritet under distributionen till förlitande parter. Förlitande part har ansvaret för att bereda sig tillgång till Försäkringskassans publika nyckel samt att förvissa sig om att den är äkta och giltig. Särskilt iakttar Försäkringskassan följande punkt: a) Försäkringskassans publika nyckel görs tillgänglig för förlitande parter i form av ett självsignerat CA-certifikat som ligger på Försäkringskassans web. Copyright, Försäkringskassan Sid. 8 (14)

, Infrastruktur, Säkerhet 7.3 PKI Livscykelhantering av e-tjänstelegitimationer 7.3.1 Användarregistrering Försäkringskassan säkerställer att nyckelinnehavarna har blivit korrekt identifierade och att identiteterna blivit bestyrkta; samt att nyckelinnehavarnas beställningar av e-tjänstelegitimationer är fullständiga, korrekta och vederbörligen behörighetskontrollerade. Särskilt har följande punkter iakttagits: h) Övrig personlig information som identifierar nyckelinnehavaren som ingår i Försäkringskassans e-tjänstelegitimationer enligt denna utfärdardeklaration är: a. SIS-kortnumret 1 läses upp automatiskt från det smarta kortets filstruktur av Leverantören och skickas över till Försäkringskassans utfärdarsystem i meddelandet om begäran av e-tjänstelegitimation. b. Användarens kontonamn (UPN 2 ) kontrolleras automatiskt mot det lokala -systemet (AD) tillhörande det statliga eller kommunala organ vid vilket nyckelinnehavaren tjänstgör eller innehar uppdrag och förs över till Försäkringskassans utfärdarsystem i samband med beställningen av smart kort med e-tjänstelegitimation. j) De register som anges ovan bevaras under minst 10 år efter att e- tjänstelegitimationens giltighet gått ut för att kunna utgöra bevis för utfärdande av e-tjänstelegitimation i rättsliga förfaranden enligt gällande lag. 7.3.3 Skapande av e-tjänstelegitimationer Försäkringskassan säkerställer att utfärdandet av e-tjänstelegitimationer görs på ett så säkert sätt att e-tjänstelegitimationernas äkthet upprätthålls. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassans e -tjänstelegitimationer utfärdas för viss tid samt innehåller 3 : 1 Enligt SS 61 41 14 och ISO/IEC 7812 2 User Principal Name; måste finnas i certifikat för inloggning mot AD i alla Windows versioner före Windows 2008 Server. 3 Jämför med [SignaturLag], 6. Copyright, Försäkringskassan Sid. 9 (14)

, Infrastruktur, Säkerhet - Försäkringskassans namn på engelska (Swedish Social Insurance Agency) samt uppgift om e-tjänstelegitimationen är utfärdad i Sverige. - Nyckelinnehavarens namn och personnummer eller samordningsnummer - Särskilda uppgifter om nyckelinnehavaren (UPN) som krävs för att använda e-tjänstelegitimationen för att logga in i Windows - Uppgift om e-tjänstelegitimationens giltighetstid - Ett serienummer som unikt identifierar e- tjänstelegitimationen - Försäkringskassans avancerade elektroniska underskrift - Uppgift om begränsningar av e-tjänstelegitimationens användningsområde i form av extensionerna nyckelanvändning (keyusage) och avancerad nyckelanvändning (extendedkeyusage). d) I de fall Försäkringskassan skapar nyckelinnehavarnas nycklar: - Kopplas utfärdande av e-tjänstelegitimationen till skapandet av nyckelparet genom att nycklarna skapas på kortets chip under överseende av en lokal administratör som en integrerad del av skapandet av e-tjänstelegitimationen i rutinen för tilldelning av tidsbegränsat smart kort. - Skickas den privata nyckeln till den registrerade blivande nyckelinnehavaren genom att det smarta kortet där den privata nyckeln ligger överlämnas från den lokala administratören till nyckelinnehavaren. 7.3.4 Spridning av användarvillkor Försäkringskassan säkerställer att användarvillkoren görs tillgängliga för nyckelinnehavare och förlitande parter. Särskilt iakttar Försäkringskassan följande punkter: a) Försäkringskassan säkerställer att följande villkor för användning av e-tjänstelegitimationen görs tillgängliga för nyckelinnehavare och förlitande parter: - Försäkringskassans principer för e-tjänstelegitimationer [ETLP] ska följas. - Användning av e-tjänstelegitimationen får endast ske i sitt yrkesutövande och med det användningsområde (elegitimering respektive e-underskrift) som anges i e- tjänstelegitimationen. - Nyckelinnehavaren ska uppfylla åtagandena enligt kapitel 6.2. - Förlitande part ska verifiera att e-tjänstelegitimationen är äkta, utefter en lämplig certifieringskedja i enlighet med de Copyright, Försäkringskassan Sid. 10 (14)

, Infrastruktur, Säkerhet procedurer som specificeras i [X.509] och [RFC 5280], inklusive kontroll av spärrinformation, så att det kan anses rimligt att förlita sig på e-tjänstelegitimationen. - Försäkringskassan kommer att bevara den registrerade informationen i 10 år efter att giltighetstiden för e- tjänstelegitimationen gått ut. - Försäkringskassan loggar kommer att bevaras i minst 10 år. - Procedurer för konfliktlösning mellan Försäkringskassan och förlitande parter samt hantering av klagomål kan regleras i separata överenskommelser eller avtal. 7.3.5 Spridning av e-tjänstelegitimationer Försäkringskassan säkerställer att e-tjänstelegitimationerna görs tillgängliga för nyckelinnehavare och förlitande parter på det sätt som krävs. Särskilt iakttar Försäkringskassan följande punkter: b) E-tjänstelegitimationen görs tillgänglig för hämtning av nyckelinnehavaren. Försäkringskassan ansvarar däremot inte för att göra e-tjänstelegitimationer tillgängliga för förlitande parter. Detta ansvar åläggs nyckelinnehavarna. c) De tillämpliga villkoren i denna utfärdardeklaration kan identifieras för en given e-tjänstelegitimation genom att e-tjänstelegitimationen är försedd med en länk (URL) som pekar på detta dokument. d) Informationen i b) och c) ovan är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan informationen vara otillgänglig under viss tid. 7.3.6 Spärr av e-tjänstelegitimationer Försäkringskassan säkerställer att e-tjänstelegitimationer spärras i tid baserat på en trovärdig spärrbegäran. Särskilt iakttar Försäkringskassan följande punkter: Spärrhantering a) Försäkringskassans förfarande att spärra e-tjänstelegitimationer bygger på följande principer: - Tillämplig personal som har rätt att spärra e- tjänstelegitimationer är: nyckelinnehavare, centrala kortadministrationen på Försäkringskassan samt behöriga personer som representerar nyckelinnehavarnas arbetsgivare. Copyright, Försäkringskassan Sid. 11 (14)

, Infrastruktur, Säkerhet - Begäran om spärr kan lämnas genom att ringa till centrala kortadministrationen på Försäkringskassan - Försäkringskassan kräver ingen ytterligare bekräftelse av inkomna spärrar. - Försäkringskassan tillämpar inte tillfällig spärr av e- tjänstelegitimationer. När en e-tjänstelegitimation blivit spärrad kommer den inte att tas bort från spärrlistan förrän e-tjänstelegitimationens giltighetstid gått ut. - Försäkringskassan gör spärrinformationen tillgänglig i form av spärrlistor och via en realtidstjänst (OCSP). - Försäkringskassan säkerställer att behandlingstiden från mottagande av begäran av spärr till dess spärrinformation gjorts tillgänglig för alla förlitande parter ej kommer att överstiga ett dygn. g) Försäkringskassans spärrlistor publiceras åtminstone en gång var 6:e timme, samt: - Varje spärrlista anger att nästa spärrlista senast kommer att publiceras (i fältet nextupdate) 6 timmar efter den aktuella spärrlistan publicerades. - En ny spärrlista kan publiceras innan den tid som anges (i fältet nextupdate) i föregående spärrlista - Varje spärrlista är signerad av Försäkringskassan. h) Försäkringskassans tekniska spärrtjänst 4 är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan spärrtjänsten vara otillgänglig under viss tid. Försäkringskassans spärrtjänst är bemannad och öppen följande tider: - Vardagar: 8:00 16:30 Spärrinformation i) Försäkringskassans spärrinformation är tillgänglig 24 timmar per dygn, 7 dagar i veckan. Vid systemfel, erforderlig service eller andra faktorer som står utanför Försäkringskassans kontroll, kan information vara otillgänglig under viss tid. 4 Med begreppet teknisk spärrtjänst avses det tekniska system med vilket man kan spärra certifikat. Copyright, Försäkringskassan Sid. 12 (14)

, Infrastruktur, Säkerhet 7.4 Drift och ledning 7.4.9 Upphörande av Försäkringskassans certifieringstjänster Försäkringskassan säkerställer att risken för potentiella avbrott för nyckelinnehavare och förlitande parter som ett resultat av upphörande av Försäkringskassans certifieringstjänster är minimal. Försäkringskassan säkerställer fortsatt underhåll av de register som krävs för att ge belägg för utfärdande av e-tjänstelegitimation (t.ex. vid en rättegång) efter att Försäkringskassans certifieringstjänster har upphört. Särskilt iakttar Försäkringskassan följande punkt: c) Försäkringskassan kommer att vidta följande åtgärder vid upphörandet av certifieringstjänsterna: - Försäkringskassan kommer att se till att berörda parter kommer att informeras. - Försäkringskassan kommer att se till att Försäkringskassans skyldigheter som utfärdare kommer att överföras till andra parter - Om Försäkringskassan upphör med sina övriga certifieringstjänster kommer Försäkringskassan ändå att tillhandahålla en spärrkontrolltjänst för alla utfärdade e- tjänstelegitimationer så länge det finns utfärdade e- tjänstelegitimationer som är giltiga. 7.4.11 Registrering av uppgifter gällande e- tjänstelegitimationer Försäkringskassan säkerställer att all relevant information rörande e- tjänstelegitimationer registreras och hålls arkiverad, skyddad mot förändring och förstörelse, för en lämpligt lång tidsperiod, i synnerhet med avsikten att kunna ge belägg för utfärdande av e-tjänstelegitimationer. Särskilt iakttar Försäkringskassan följande punkt: g) Försäkringskassan loggar åtminstone följande händelser i direkt anslutning till utfärdarsystemet: - skapande av användarkonton, - initiering av transaktioner, med information om vem som begärde transaktionen, tidpunkt, vilken typ av transaktion som initierats samt uppgift om resultatet av initieringen, - installation och uppdatering av programvara, - relevant information om säkerhetskopiering, - start och stopp av systemet, - datum och tid för uppgradering av maskinvara, - datum och tid för säkerhetskopiering och tömning av loggar, Copyright, Försäkringskassan Sid. 13 (14)

, Infrastruktur, Säkerhet - datum och tid för säkerhetskopiering och tömning av arkivdata. Försäkringskassan säkerställer att åtminstone följande information loggas av Leverantören i system för personalisering av smarta kort: - referens till kortbeställning, - chipnummer, - kortnummer, - certifikatnummer, - datum och tid för personalisering. Copyright, Försäkringskassan Sid. 14 (14)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss