Infrastruktur med möjligheter

Relevanta dokument
Anvisning Autentisering

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

PhenixID & Inera referensarkitektur. Product Manager

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Referensarkitektur för Identitet och åtkomst Per Mützell, Inera

eidas-förordningens krav det juridiska perspektivet Anna Månsson Nylén

Möjligheter och utmaningar med Personuppgiftstjänsten och dess lösning för nationell ReservID-hantering

Mobilt Efos och ny metod för stark autentisering

BILAGA 1 Definitioner Version: 2.02

Mobilt Efos och ny metod för stark autentisering

Mobilt Efos och ny metod för stark autentisering

BILAGA 1 Definitioner

BILAGA 1 Definitioner

BILAGA 1 Definitioner Version: 2.01

Tekniskt ramverk för Svensk e- legitimation

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Tekniskt ramverk för Svensk e-legitimation

eidas och Svensk e-legitimation

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Termer och begrepp. Identifieringstjänst SITHS

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Termer och begrepp. Identifieringstjänst SITHS

E-legitimering och e-underskrift Johan Bålman esam

Manual - Inloggning. Svevac

Identitet, kontroll & spårbarhet

Koncernkontoret Området för informationsförsörjning och regionarkiv

Avtal om Kundens användning av Identifieringstjänst SITHS

Avtal om Kundens användning av E-identitet för offentlig sektor

Elevlegitimation ett konkret initiativ.

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Säkerhet och Tillit i en identitetsfederation

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

E-legitimeringssystemet - så här fungerar det och de här avtalen finns. Anna Månsson Nylén

Introduktion till eidas. Dnr: /

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

eidas i korthet Eva Sartorius

Krav på identifiering för åtkomst till konfidentiell information

Manual - Inloggning. Svevac

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

eidas införande i Sverige Björn Scharin, PTS

Krav på säker autentisering över öppna nät

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Viktiga steg för gränsöverskridande e-legitimation

Avtal om Kundens användning av Svevac Bilaga 1 - Specifikation av tjänsten Svevac

Manual inloggning Svevac

ehälsomyndighetens nya säkerhetskrav

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Vem är du och vad får du göra?

BILAGA 3 Tillitsramverk Version: 2.1

EFOS-dagen, Lanseringsplan. 26 September 2018

Apotekens Service. federationsmodell

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Bilaga 2. Säkerhetslösning för Mina intyg

Stark autentisering i kvalitetsregister

Svensk e-legitimation och eidas

Kopplingsregister eidas. Förstudie

Nationell Patientöversikt. - Beskrivning och tjänstespecifika villkor

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Referensarkitektur för Identitet och Åtkomst

Juridik och informationssäkerhet

Ett säkert statligt ID-kort med e- legitimation (SOU 2019:14)

EyeNet Sweden stark autentisering i kvalitetsregister

Referensarkitektur för Identitet och Åtkomst

Instruktion för integration mot CAS

Avtal om Kundens mottagande av intyg från Mina intyg Bilaga 1 - Specifikation av tjänsten mottagande av intyg från Mina Intyg

Samtycke vid direktåtkomst till sammanhållen journalföring

Stark autentisering i kvalitetsregister

Betänkandet - E-legitimationsnämnden och Svensk E-legitimation (SOU 2010:104)

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

Hjälp oss att bygga upp ett bra stöd för era e tjänster kopplat till utländska e legitimationer genom att svara på denna enkät.

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.2

Frågor och svar. Frågor kring åtkomstlösning

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum

Nationell patientöversikt en lösning som ökar patientsäkerheten

E-legitimationsdagen dag 2. En översikt av eidas-arkitekturen och E-legitimationsnämndens erbjudande

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Svensk e-legitimation - Vägen framåt mot en gemensam lösning

Referensarkitekturen för Identitet och Åtkomst och hur det fungerar i praktiken. Per Mützell, Inera Tomas Fransson, Inera

Kvalitetsregister & Integritetsskydd. Patrik Sundström, jurist SKL

VERISECS PLATTFORM FÖR DIGITAL TILLIT

Certifikat - Ett av en CA elektroniskt signerat intyg som knyter en publik nyckel till en specifik nyckelinnehavare. Källa: Inera (BIF)

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

Internetbaserad kommunikation - videosamtal, telefonsamtal, chatt, delning av skrivbord och videomöte

Informationssäkerhet, säker identifikation och KLASSA. Webbseminarium

2

Introduktion till SAML federation

BILAGA 3 Tillitsramverk Version: 2.02

Skåne läns författningssamling

Riktlinjer för informationssäkerhet

Filleveranser till VINN och KRITA

Riktlinjer för informationshantering och journalföring i hälsooch sjukvården i särskilt boende i Järfälla kommun.

E-legitimationsutredningen SOU 2010:104

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Patientdatalagen. Juridik- och Upphandlingsstaben

Transkript:

Infrastruktur med möjligheter Anvisning Autentisering (dokumentet är i status 1.0 RC1) Bengt-Göran Andersson, Inera IT Säkerhetsansvarig 2017-09-28

Följer Referensarkitektur för Identitet och åtkomst Federation Medlemmar Tillitsramverk Attribut Godkännandeprocess Regelverkstjänst Åtkomstintygsutfärdare E-tjänster API Säkerhet Identifieringstjänst Identity Provider Identititetsdatalager Identitetsintygsutfärdare Stödtjänster Samtycke Autentiseringstjänster Inloggning Spärr Logg Provisionering E-identitetsutfärdare e-id Personuppgifter Person Utfärdande

Bakgrund till Anvisningen Startade med krav från Ineras certifiering av 3-parts applikationer som vill ansluta mot de tjänster som Ineras tillhandahåller med patientinformation. Certifieringen har ett starkt behov av ett tydligt bedömningsunderlag för att utvärdera vald autentiseringsteknik i våra tjänster och 3-partsprodukter

Mål med Anvisning Autentisering Anvisning ska beskriva de krav Inera har på autentisering för att användare ska få ta del av patientinformation. Ett annat mål är att vårdsverige signalerar ett starkt behov av ett förenklat autentiseringsförfarande för användare i verksamheten. Tydlighet i bedömningen av en autentiseringsteknik Grönt är godkänd nivå Gult är acceptabel nivå Rött är inte acceptabel nivå.

Workshops och grottforskning Initierades med ett antal workshop runt autentisering Anvisningen bygger mycket på eidas tillitsramverk för utgivning och själva autentiseringstekniken Foto: Eneko Bidegain

Autentisering och Auktorisering Många blandar ihop begreppen: Autentisering (identifiering) Auktorisering (behörighet) Autentisering är att jag vill veta vem du är, med olika tillitsgrader Socialstyrelsens har krav på stark autentisering

Vad är stark autentisering? Socialstyrelsen och EU Kommissionen har tagit fram begrepp och definitioner för stark autentisering HSLF-FS 2016:40. Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården. 2 kap Definitioner: Stark autentisering: kontroll av identiteten på två olika sätt

Stark autentisering enligt Socialstyrelsen HSLF-FS 2016:40 Öppna nät 3 kap 15 Om vårdgivaren använder öppna nät vid behandling av personuppgifter, ska denne ansvara för att 1. överföring av uppgifterna görs på ett sådant sätt att inte obehöriga kan ta del av dom, och 2. elektronisk åtkomst eller direktåtkomst till uppgifterna föregås av stark autentisering.

Stark autentisering enligt Socialstyrelsen HSLF-FS 2016:40 Direktåtkomst till uppgifter om den enskilde själv 4 kap 11 Vårdgivaren ska ansvara för att en enskilds direktåtkomst till uppgifter om sig själv och till dokumentation om åtkomst tillåts endast efter att den enskildes identitet har säkerställts genom stark autentisering.

Stark autentisering enligt eidas? EU:s förordning om gränsöverskridande elektronisk legitimering (eidas-förordningen). Började tillämpas 1 juli 2016 men den 29 september 2018 krävs också att svenska offentliga myndigheter erkänner utländska e-legitimationer i svenska e-tjänster. KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2015/1502 Om fastställande av tekniska minimispecifikationer och förfaranden för tillitsnivåer för medel för elektronisk identifiering i enlighet med artikel 8.3 i Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.

Autentiseringsfaktorer, Tillämpliga definitioner Autentiseringsfaktor: en faktor som bekräftas vara bunden till en person och som tillhör någon av följande kategorier: a. innehavsbaserad autentiseringsfaktor: en autentiseringsfaktor som personen måste kunna visa att den innehar. b. kunskapsbaserad autentiseringsfaktor: en autentiseringsfaktor som personen måste kunna visa att den har kunskap om. c. egenskapsbaserad autentiseringsfaktor: en autentiseringsfaktor som utgår från en kroppslig egenskap hos en fysisk person, som denne måste kunna visa att den har.

Harmonisering av tillitsnivåer E-Legitimationsnämnden pekar på ISO 29115 med fyra LoA, Level of Assurance nivåer 1 Low, Little or no confidence in the asserted identity 2 Medium, Medium Some confidence in the asserted identity 3 High, High confidence in the asserted identity 4 Very high, Very high confidence in the asserted identity eidas säger tre tillits nivåer: Låg Väsentlig Hög

eidas Tillitsnivå Erforderliga beståndsdelar Låg 1. Medlet för elektronisk identifiering använder minst en autentiseringsfaktor. 2. Medlet för elektronisk identifiering är utformat så att utfärdaren vidtar rimliga åtgärder för att kontrollera att det endast används under ägarens kontroll eller innehav. Tillitsnivå (LoA) enligt ISO 29115 2 Medium Medium Some confidence in the asserted identity Väsentlig 1. Medlet för elektronisk identifiering använder minst två autentiseringsfaktorer från olika kategorier. 2. Medlet för elektronisk identifiering är utformat så att det kan antas att det endast används under ägarens kontroll eller innehav. 3 High High confidence in the asserted identity Hög Nivå väsentlig, samt 1. medlet för elektronisk identifiering skyddar mot kopiering och manipulering samt mot angripare med hög angreppskapacitet, 2. medlet för elektronisk identifiering är utformat så att ägaren på tillförlitligt sätt kan skyddas mot användning av andra. 4 Very high Very high confidence in the asserted identity

Utfärdandeprocessen

Utfärdandeprocessen Även om en autentiseringsteknik i sig ses som väldigt säker så kan inte en teknik uppfylla en tillit om inte : Styrkande och kontroll av identitet Utfärdandet Leverans Aktiveringsprocessen för att ställa ut medlet för den elektroniska identifieringen

Styrkande och kontroll av identitet eidas har tre tillits även nivåer på Styrkande och kontroll av identitet (fysisk person): Låg Väsentlig Hög

Utfärdande, leverans och aktivering eidas har tre tillits även nivåer på Utfärdande, leverans och aktivering Låg Väsentlig Hög

Utfärdandeprocessen Viktigt: Utfärdandeprocessen av medlet för den elektroniska identifieringen måste alltid granskas och riskbedömas tillsammans med autentiseringstekniken för att ge en helhetsbild av lösningen.

Grundprinciper gällande åtkomst till patientinformation

Grundprinciper gällande åtkomst till patientinformation Baserat på eidas Genomförandeförordning 1502/2015 är grundprincipen att en användares medel för elektronisk identifiering skall vara minst på nivå Väsentlig som så står i paritet med ISO 29115 Level of Assurance LoA 3 för att få åtkomst till patientinformation för tjänster som Inera tillhandahåller.

Giltighetstider och skärmlåsning Giltighetstiden för en stark autentisering Sessionstid mot vårdsystem, basvärde 4 timmar Tänjas till maximalt 12 timmar, beroende på verksamhet Låsning av skärm För att förhindra obehörig åtkomst av patientinformation Basvärde 1-2 minuter om obehöriga kan vistas i lokalen Kontrollerad miljö Operationssal, hela operationstiden. Ambulans >30 minuter

Ärvda legitimationer Ärvd legitimering = ID Växling (ELN) Förnya ett utgående certifikat Skapa mjuka certifikat till mobila enheter (P12:or) Icke certifikatbaserade enheter (kortlivade)

Förenklat autentiseringsförfarande Verksamheten har, under en arbetsdag, behov av att enkelt låsa och låsa upp en terminal Efter krav på godkänd stark autentisering kunna ärva legitimationen till t.ex. en kontaktlös ID enhet. Den förenklade får ej skapa nya ärvda legitimationer Foto: Phil Hilfiker

Autentiseringsmetoder Certifikatbaserade, X.509 Smarta kort Certifikatbaserade, X.509 Mobila certifikat Engångslösenord (OTP, One-Time Password) Autentisering med OTP via SMS Certifikatbaserade, Bankkort/BankID Certifikatbaserade, Mobilt BankID Autentisering med Användarnamn och Lösenord Biometriska metoder Då som ensam autentiseringsmetod

BankID Vad är avsikten med BankID? Good enough för access till den enskildes uppgifter Vad har vi för tillit till utgivningsprocessen? Vad har vi för tillit till bankernas CA dvs. certifikatutgivning? Vår bedömning just nu är: BankID är Good enough för MVK/Journalen dvs. för din egen journalinformation men i dagsläget inte för att få åtkomst till patientinformation för tjänster som Inera tillhandahåller.

Mobilt BankID Vad är avsikten med Mobilt BankID? Att användas för autentisering till Egen information på Banken, Skatten, Försäkringsbolag Vem är kravställare för autentiseringstjänsten Mobilt BankID? Vem har granskat Mobilt BankID? ELN säger på sin hemsida om Svenska e-legitimationer Övriga svenska e-legitimationer som är välspridda och allmänt accepterade inom Sverige Mobilt BankID, BankID på kort och fil Telia Vår bedömning just nu är: Mobilt BankID är Good enough för MVK/Journalen dvs. för din egen journalinformation men i dagsläget inte för att få åtkomst till patientinformation för tjänster som Inera tillhandahåller.

Biometriska metoder Referensarkitekturens styrande princip #IA10: Vid användning av biometri för autentisering bör biometrisk data hållas nära användaren själv, helst endast inom användarens personliga eidentitetsbärare. Biometri bör inte användas som den enda faktorn i en autentiseringslösning. Foto: Miguel Librero Ineras bedömning Bedömningsgrunden är alltså att t.ex. fingeravtrycks och irisskanning kan och ska endast användas som ersättning för PIN-kod och ska inte lagras centralt då det är svårt att revokera biometriskt baserad information. Foto: Michael Gil

Frågor? Bengt-Göran Andersson bengt-goran.andersson@inera.se 08-452 7132

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss