Krav på Fakturapresentatör

Relevanta dokument
Riktlinjer för Fakturapresentatör

Krav på Fakturapresentatör

6.3 Riktlinjer för fakturautställare

Support Frågor och svar

E09 - Totally Tool Time

Internetsäkerhet. banktjänster. September 2007

Användarhandledning för RSV:s Elektroniska brevlåda

Instruktion för integration mot CAS

SOLHEMSSKOLAN. Vårdnadshavare inloggning i Stockholms Skolwebb

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

PDL medarbetaruppdrag vårdgivare vårdenhet Organisation verksamhetschef. NetID drivrutiner kortläsare operativ browser

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

SURFTOWNS SÄKERHETSMILJÖ. Databehandlingsavtal - Bilaga 1

Dataintrång - åtgärder vid misstanke om olovlig åtkomst

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Icke funktionella krav

BILAGA PERSONUPPGIFTSBITRÄDESAVTAL

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Hja lp till Mina sidor

DATASKYDDSPOLICY. Godkännande av denna policy När du använder våra produkter och tjänster, accepterar du denna Dataskyddspolicy och vår Cookiepolicy.

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Bilaga 3c Informationssäkerhet

Tillsyn efter inträffad integritetsincident i fakturasystem

Mobilt Efos och ny metod för stark autentisering

Alfa e-recept: Ny anva ndare

86 / 100 Hastighet. PageSpeed Insights. Överväg att Fixa: Utnyttja cachelagring i webbläsare. Minska svarstiden från servern.

GDPR Brizy extern integritetspolicy

FlexiTid Extern webbokning. Copyright Datatal AB. Med ensamrätt. Copyright 2013 Datatal AB. All rights reserved.

INFORMATIONSSKRIFT OM BEHANDLING AV PERSONUPPGIFTER LEVERANTÖRER, UNDERLEVERANTÖRER OCH SAMARBETSPARTNERS

PageSpeed Insights. (utgångsdatum har inte angetts)

Compose Connect. Hosted Exchange

E-Betalning Teknisk handbok Version 0702 Innehåll

Grattis till ett bra köp!

Exponerade fakturor på internet

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Policy för användande av IT

E-Faktura Användarhandbok till Servicesidorna för Fakturamottagare

Mobilt Efos och ny metod för stark autentisering

Fakturaportalen Axfood Administrationsgränssnittet

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Guide till Inera IdP. Information angående anslutning av Nationella e-tjänster

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q2

Bilaga 9. Överenskommelse om tjänstenivåer (SLA)

Mobilt Efos och ny metod för stark autentisering

Systemkrav och tekniska förutsättningar

Extern åtkomst till Sociala system

Sammanträdesdatum Arbetsutskott (1) 28 Dnr KS/2016:389. Slutredovisningen av internkontroll 2017, KSF

XML-produkter. -Registret över verkliga huvudmän (RVH) Teknisk handledning för webbtjänst mot RVH (Web Services) Datum: Version: 1.

Ny förskrivare. Registrera ny användare av Alfa e-recept. Klicka på [Ny förskrivare]

ANSÖKAN OM GODKÄNNANDE FÖR VÅRDVAL ALLMÄN BARN- OCH UNGDOMSTANDVÅRD NORRBOTTENS LÄN

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Systemkrav. Åtkomst till Pascal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

PERSONUPPGIFTER VI BEHANDLAR OCH LAGRINGSPERIODEN

Sekretesspolicy. 1 Allmänt. 2 Vilka uppgifter behandlar MyNumbers om dig? De sammanfattande punkterna är inte en del av policyn.

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

Person- och kontaktinformation namn, födelsedatum, personnummer, fakturaoch leveransadress, e-postadress, mobiltelefonnummer, etc.

Integritetspolicy. Aktiva i Södermalmskyrkan

Handledning för Exder eprinter

Installationsanvisning för LUQSUS version 2.0

E-postpolicy för företag och organisationer Sammanställt av Azenna Advox AB

SBR-Net - SBR:s informations- och mötesplats på webben! Med First Class-klientprogram

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Godkännande av kundapplikationer

Lathund för användare. Barn och ungdomstandvård, Tandvårdsfönster

IDkollens Integritetspolicy

Sammanfattning och specifikationer för POT

Bilaga 1, Allmänna villkor för Systemleverantör till Assistansanordnare avseende elektroniska tidredovisningar för assistansersättning.

98 / 100 Hastighet. PageSpeed Insights. Överväg att Fixa: Utnyttja cachelagring i webbläsare. 9 Godkända Regler. Mobil

Innehåll. Dokumentet gäller från och med version

ANSÖKAN OM GODKÄNNANDE AV PSYKOTERAPI INOM LOV ÖREBRO LÄN

Agresso AB Tillämpning SFTI

Integritetspolicy Rinkaby Rör

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

Introduktion Schenker-BTL AB, Stab IT Beskrivning över informationsintegreringmed Schenker, metodbeskrivning version 1.

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Anvisningar för klientdator vid inloggning med certifikat på smarta kort

Lathund för att hantera kongresshandlingar

Tekniskt driftdokumentation & krishantering v.1.0

Informationssäkerhetspolicy

Test specifikation. SF Bio App. Författare: Zina Alhilfi Datum: Version: v1,0. Granskad: Klar Ref: Testplan_v1.

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Dokumentation för funktionsblocksbibliotek MwaCOMLI

DOCUMENT MANAGER FI/ NO/ SE

Instruktion för Betanias Kundportal

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

ASS 84, , Sverige är personuppgiftsansvarig för behandlingen av dina personuppgifter.

Så här behandlar vi dina personuppgifter

Säker IP telefoni? Hakan Nohre, CISSP

Handbok kundwebb för kunder Innehållsförteckning

Dataskyddspolicy Vilken information samlar vi in? Norra Finans Inkasso AB

PROTOKOLLSUTDRAG 95 KS/2016:222, KS/2019:73. IT-säkerhet svar på revisionens uppföljande granskningsrapport

Om Vårdgivare avser att ansöka om godkännande för flera mottagningar lämnas en ansökan per mottagning.

Integritetspolicy SwedOffice.se

Transkript:

på Fakturapresentatör Dokumentbeskrivning: Detta dokument innehåller riktlinjer som skall följas av aktör som presenterar fakturor samt anmälningssida, sk Fakturapresentatör (FP), som deltager i samverkan e-faktura privat. Dessa riktlinjer kan efter beslut av Arbetsutskottet ändras Observera att Bankerna inte ansvarar för att nedan beskrivna åtgärder är tillräckliga för att förhindra angrepp, kapacitetsproblem eller andra problem. Använda begrepp: Presentation Presentation via webben av faktura eller anmälningssida, inklusive funktionalitet hos dessa, Förkortningar i dokumentet FM FU FUB PB FP Fakturamottagare Fakturautställare Fakturautställarbank Presentatörsbank Fakturapresentatör Ändringshantering Datum Version Ansvarig av förändring 2009-10-23 1.9 Johan Schmalholz 2.11 Ny tvingande regel efter beslut i Arbetsutskott e-faktura privat. Visning av URL till faktura i webbläsarens adressfält (Location, directories) får inte ske på ett sådant sätt att det är möjligt att utläsa den faktiska sökvägen till en e-faktura. Location och directories får inte heller på något sätt möjliggöra obehörig åtkomst av e-faktura via manipulering av dessa. 5.4 Ny tvingande regel efter beslut i Arbetsutskott e-faktura privat. FP är skyldig att utan dröjsmål underrätta FUB i det fall obestånd eller väsentlig risk för obestånd föreligger. 5.5 Ny tvingande regel efter beslut i Arbetsutskott e-faktura privat. FP är skyldig att underrätta FUB om aktuell URL adress mot vilken presentation av fakturor sker 5.6 Ny tvingande regel efter beslut i Arbetsutskott e-faktura privat. FP är skyldig att underrätta FUB om aktuella kontaktuppgifter till FP avseende firma, styrelsens säte, organisationsnummer, telefonnummer och e-postadress. I det fall förändringar sker åligger det FP att utan dröjsmål underrätta FUB därom. 1.4 Beslut i verksamhetsråd för e-dokument Ny text: Storleken är minst 800* 600 (bredd * höjd) med följande satt till true : toolbar, scrollbars, resizable och 2013-09-25 1 (7)

status. 2012-03-16 2.0 Johan Schmalholz 2013-04-22 2.1 Johan Schmalholz 2013-08-19 / 2013-09-25 2,2 Tomas Rimming/ Erik Engberg (Know IT) Johan Schmalholz 1.3 Beslut i verksamhetsråd för e-dokument En Fakturautställares genomsnittliga faktura får ej vara större än 1 megabyte, eventuella bilder inkluderade. 2.12 Beslut vid extra möte i Arbetsutskotten för e-faktura 2013-04-22. Faktura som visas för en användare får inte cachas av användarens webbläsare. Uppdatering efter säkerhetsutredning av Know IT 2013 - Ändring av rubriker till, Skall/Bör samt 2.5 Nytt tvingande krav på att Nyckellängd 2013 ska vara minst 128 bitar 2.7 Nytt tvingande krav på att FP:s server skall vara säkerhetsoptimerad enligt en etablerad standard och att Samtliga portar och tjänster som ej är nödvändiga för applikationen eller driften av denna skall vara avstängda. 2.12 Integritetskontroll, exekveringskontroll eller annat bevisat effektivt skydd mot skadlig kod användas istället för klassiskt antivirus (gäller framför allt på Unix/Linux plattform). Status för samtliga krav nedan ändras efter beslut av samverkande banker från bör till skall. 1.1, 1,8, 2,7-2,9, 2,11-2.12, 3,3-3,4, 4,1-4,4, 5,2-5,3 1. Tekniska krav 1 B FP ska se till att Presentation fungerar korrekt för varje kombination av operativsystem och browser som stöds av de samverkande bankerna. 2 S Fakturor skall presenteras i PDF-format eller HTML-format. Fakturor avsedda för juridiska personer skall presenteras i PDF format 3 B Fakturor bör presenteras i HTML-format då det ger kortare svarstid för kund. 4 S Presentation i HTML-format skall följa standard enligt /W3C//DTD HTML 4.0.1 Transitional//EN. Motovering Minimikrav på tjänstekvalitet. Båda formaten är spridda och allmänt accepterade. HTML ger kortare svarstid för kund. Vissa kunder kanske inte har PDF-läsare installerad. Detta säkerställer läsbarhet i alla standard webläsare. Det är tillåtet att använda Cascading Style Sheets, version CSS1 and CSS2, och javascript, version 1.1, version 1.2, version 2013-09-25 2 (7)

1.3. FP kan för Presentation även följa senare standards under förutsättning att kontroll vid presentationstillfället görs av fakturamottagarens webbläsares versionsnummer och presentation sker enligt de standards denna stödjer. 5 S Om fakturor presenteras i PDF-format skall de skapas i sådan version att faktura är tillgänglig för kund med Acrobat Reader version 5 eller senare. 6 S En Fakturautställares genomsnittliga faktura får ej vara större än 1 megabyte, eventuella bilder inkluderade. 7 S Presentation skall vara anpassad för browser-fönster med följande parametrar: Storleken är minst 800 * 600 (bredd * höjd) med följande satt till true : toolbar, scrollbars, resizable och status. Location, directories ska inte visas. Övriga parametrar kan variera. Säkerställer läsbarhet i alla standard PDF-läsare. För att få korta svarstider och begränsa kapacitetsutnyttjande för kund och FP. Säkerställer läsbarhet i alla standardläsare. I de fall FP öppnar nytt fönster på kundens PC, t.ex. vid val av PDF-faktura skall fönstret följa dessa regler. Samma regler gäller för ev. fönster som öppnas av Fakturapresentatören för t.ex. visning av PDF-faktura. 8 S Kunden skall kunna verifiera att sessionen är SSL-säkrad genom att symbolen (exempelvis lås eller nyckel) för SSL-kryptering visas i browser-fönstret Kunden kan då själv enkelt säkerställa att webplatsen är den rätta och inte en förfalskad. 2. Allmänna säkerhetsregler 1 S FP skall använda programvara som uppfyller specifikationen i Referens 1 - Specifikation över tekniskt gränssnitt för biljettuppackaren för att kontrollera biljett. 2 S Webservrar som används för presentation av faktura eller anmälningsärende skall ha klockan tekniskt synkroniserad enligt regler för Stratum 5 eller bättre. 3 S Systemet skall ej godkänna biljett där tidstämpeln är äldre än 180 sekunder. 4 S All kommunikation med Fakturamottagare som initierats av att Fakturamottagare länkats Motivering Säkerställer kompatibilitet med bl.a. anropande bank. Förhindrar att en angripare återanvänder gamla biljetter. Dessutom behövs korrekta tidsstämplar i log vid felhantering och incidentutredning. Gamla biljetter skall inte kunna återanvändas. Trafiken skyddas mot avlyssning. Äldre protokoll är 2013-09-25 3 (7)

vidare av Presentatörsbank skall vara skyddad med Https:/SSL v3/tls. Undantag från denna regel är visning av informationssidan för vilken Https: inte behöver användas. 5 S Endast starka chiffer och långa nycklar skall användas. Nyckellängd 2013 ska vara 128 bitar eller mer. 6 S FP:s server skall endast vara dedikerad för syftet att lagra och presentera elektroniska fakturor. (Skall ej fungera som mailserver, news osv) 7 S FP:s server skall vara säkerhetsoptimerad enligt en etablerad standard, t.ex. tillämpliga delar av: http://csrc.nist.gov/publications/nistpubs/800-44-ver2/sp800-44v2.pdf inte längre säkra och kan därför ej användas. Se motivering till krav A4. Övriga tjänster ger ökad riskexponering. Härdningen minskar sårbarheten för angrepp. Härdningen ska bland annat säkerställa att erforderliga säkerhetspatchar appliceras, fördefinierade standardlösenord ändras och att komponenter och tjänster som inte används tas bort. Samtliga portar och tjänster som ej är nödvändiga för applikationen eller driften av denna skall vara avstängda. 8 S FP:s system skall implementeras så att obehörig åtkomst förhindras, exempelvis genom: detektera försök till angrepp 9 S Lösningen skall vara dokumenterad, varav säkerhetsdokumentationen skall beskriva vilka säkerhetsåtgärder som vidtagits samt varför man vidtagit dessa. 10 S SSL-certifikat som installeras på server skall vara utfärdat av CA vars giltiga root-certifikat förutsätts vara förladdat i kundernas browser. Åtgärderna minskar risken för lyckade angrepp och medför att angreppsförsök kan upptäckas och skada förhindras. Säkerställer spårbarhet och ökar förvaltningsbarheten. Kunderna kan därmed lita på att det är rätt server de kommunicerar med. 11 S Verifikation av biljett/identifikation av FM, skall ske i samma http-session som upprättas då FM:s faktura presenteras (Ticket Resolver bör vara tillgänglig för den server som presenterar fakturan). Eventuell vidare återidentifikationer av FM (mot samma server eller om kunden genom redirect hamnar på annan server) skall utföras med skyddsmekanismer av motsvarande nivå som används då FM identifieras av biljetten. Det vill säga SSLsession och en kryptografiskt tillräckligt stark (i dagsläget 128 respektive 1024 bitar beroende Åtgärderna syftar till att hela kommunikationskedjan skall hålla samma säkerhetsnivå och minskar på så sätt angreppsmöjligheterna. 2013-09-25 4 (7)

på metod) cookie och/eller identifikationssträng. 12 S Systemet skall skyddas av ett för syftet väl anpassat virusskydd som skall hållas uppdaterat med de senaste virusdefinitionerna. Alternativt kan integritetskontroll, exekveringskontroll eller annat bevisat effektivt skydd mot skadlig kod användas istället för klassiskt antivirus (gäller framför allt på Unix/Linux plattform). 13 S Visning av URL till faktura i webbläsarens adressfält (Location, directories) får inte ske på ett sådant sätt att det är möjligt att utläsa den faktiska sökvägen till en e-faktura. Location och directories får inte heller på något sätt möjliggöra obehörig åtkomst av e- faktura via manipulering av dessa. 14 B Samtliga försök till ogiltiga URL som ej beror på fel eller gamla fakturor bör loggas och flaggas som angreppsförsök. 15 S Faktura som visas för en användare får inte cachas av användarens webbläsare. För att hindra detta måste samtliga HTTP response anrop som innehåller en faktura inneha följande två HTTP headrar: Pragma: No-cache Cache-Control: no-cache, no-store 16 S FP skall på begäran ge tillträde till Samverkan e-faktura Privat eller av Samverkan utsedd representant för att denne ska kunna genomföra säkerhetstester och granskning av uppfyllandet av detta regelverk. 3. Tillgänglighet 1 S FP ska tillse att Presentation kan ske varje dygn mellan kl 00.00 och kl 24.00. 2 S FP ska tillse att systemet är dimensionerat och konstruerat så att driftavbrott förebyggs. Systemet ska klara höga belastningar som kan förekomma t ex i samband med månadsskiften. Fakturautställaren, eller fakturautställarens underleverantör, ska utforma sina system så att den planerade tillgängligheten under avtalade öppettider inte underskrider 96% per dygn och 99% per månad. Den faktiska tillgängligheten hos Minskar risken för att skadlig kod kommer in i systemet. En angripare skall ej kunna visa faktururor eller få åtkomst till annan information genom att gissa eller manipulera sökvägar. Uppmärksamhet på försök till obehörig åtkomst. Informationen skall ej ligga kvar på kundens dator av säkerhetsskäl. Särskilt viktigt om det är en lånedator eller t.ex. internetcafé. Ger möjlighet att testa säkerhet och tillgänglighet. Motivering Garant för att FP lever upp till de krav som ställs på Presentatörsbanken i Det gemensamma regelverket. Garant för att FP lever upp till de krav som ställs på Presentatörsbanken i Det gemensamma regelverket. 2013-09-25 5 (7)

sådana system ska dock inte underskrida 96% per månad. 3 S FP skall skriftligen kunna redovisa uppnådd tillgänglighet för systemet. 4 S FP skall tillse att webservern som används för visning av fakturor övervakas utifrån, som minst övervakning utanför brandväggen. 5 S Svarstiden vid Presentation hos FP skall inte överstiga 3 sekunder (svarstiden inkluderar inte transport av data till och från Fakturamottagaren). 6 S FP ska tillse att fakturor ska vara tillgängliga minst 19 månader efter det förfallodatum som är angivet för respektive faktura. Enligt av tal med FUB. Möjliggör uppföljning av T1-T2. Åtgärden gör att problem med t.ex. lastbalanserare och brandväggar som kan blockera åtkomsten upptäcks. Garant för att FUB ska kunna leva upp till krav enligt Det gemensamma Regelverket. Garant för att FUB ska kunna leva upp till krav enligt Det gemensamma Regelverket. 4. Loggning och säkerhetskopiering 1 S FP ansvarar för att tillräckliga loggar finns så att händelseförlopp kan följas vid exempelvis felutredningar. Det innebär att klockslag och all information som mottagits från kundens biljett skall lagras på ett sådant sätt att det kan återfinnas minst tre månader bakåt i tiden. 2 S FP:s system skall vara robust konstruerat så att information inte tappas bort. 3 S FP ansvarar för att all information i Systemet säkerhetskopieras kontinuerligt så att förlust av information förhindras. 4 S FP skall också ha dokumenterade rutiner för att återskapa Systemet från säkerhetskopia. Motivering Loggarna behövs för att förenkla/möjliggöra incidentutredning. Systemet innehåller värdefull information som inte får gå förlorad. Se L2 Se L2 Kommentar [j1]: Samverkande banker bör precisera vad som avses med robust 2013-09-25 6 (7)

5. Övriga krav 1 S I de fall även annan information än fakturan eller anmälningssida presenteras för Fakturamottagare, skall fakturan eller anmälningssida vara det första som presenteras. 2 S FP skall utöver vad som tidigare beskrivits upprätthålla skriftligt dokumenterade beskrivningar av: Implementerad systemdesign Arbetsrutiner för kundtjänst och upprätthållande av kompetens hos kundtjänst Rutin för löpande drift och systemförvaltning Dokumenterade rutiner för regelbunden hantering av/genomgång av säkerhetsoptimering, patchar FWkonfiguration 3 S Innan produktionssättning av nytt eller förändrat system skall FP genomföra erforderliga tester av hela systemet. Dessa tester skall säkerställa att funktionalitet och säkerhet följer de krav som deltagarna i samverkan ställer. Speciellt skall FP testa att samtidiga anrop från FM aldrig resulterar i att fakturor visas för fel FM. Testerna skall dokumenteras i testrapport omfattandes minst kortfattad beskrivning av genomförda testfall, upptäckta fel och kvarvarande fel. 4 S FP är skyldig att utan dröjsmål underrätta FUB i det fall obestånd eller väsentlig risk för obestånd föreligger. 5 S FP är skyldig att underrätta FUB om aktuell URL adress mot vilken presentation av fakturor sker 6 S FP är skyldig att underrätta FUB om aktuella kontaktuppgifter till FP avseende firma, styrelsens säte, organisationsnummer, telefonnummer och e-postadress. I det fall förändringar sker åligger det FP att utan dröjsmål underrätta FUB därom. Motiviering på Fakturautställarbank enligt Det gemensamma Regelverket. Säkerställer kvalitet, spårbarhet och ökar förvaltningsbarheten. Säkerställer kvalitet, spårbarhet och ökar förvaltningsbarheten. e-faktura -samarbetet involverar många olika parter där alla är beroende av varandra för att tjänsterna ska fungera väl.. I annat fall kan ingen fakturavisning ske. Möjliggör snabba kontaktvägar vid driftstörningar samt uppmärksammar FUB om organisatoriska förändringar. 2013-09-25 7 (7)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss