Till innehållet

Vägledning för IdP-leverantör

Vägledning för Tillhandahållare av Intygsfunktion: Uppfyllande av tillitsramverkets krav. Senast uppdaterad 2021-02-08.

1. Inledning

Denna skrift syftar till att utgöra vägledning för Tillhandahållare av Intygsfunktion som avser att ansöka om godkännande för att ställa ut identitetsintyg med angivande av de tillitsnivåer som gäller för granskade och godkända Utfärdare av Svensk e-legitimation.

I vägledningen beskrivs de krav som är tillämpliga för Tillhandahållare av Intygsfunktion på en mer detaljerad nivå än vad som framgår av Tillitsramverket, samt ger exempel på hur den avsedda skyddsnivån kan uppnås. Vägledningen belyser också tekniska säkerhetsaspekter som är av sådan karaktär att de kan tänkas ändras förhållandevis ofta eller med kort varsel.

Det bör därför noteras att vägledningen är ett levande dokument som förväntas uppdateras i takt med teknikutveckling, omvärldskrav och förändrade risknivåer.

När Tillitsramverket hänvisar till Utfärdare av e-legitimation, avses i denna vägledning Tillhandahållare av Intygsfunktion, om inget annat anges.

2. Organisation och styrning

Övergripande krav på verksamheten

K2.1 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation som inte är ett offentligt organ ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

K2.2 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska ha en etablerad verksamhet, vara fullt operationell i alla delar som berörs i detta dokument, samt vara väl insatt i de juridiska krav som ställs på denne som utfärdare med kvalitetsmärket Svensk e-legitimation.

K2.3 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska ha förmåga att bära risken för skadeståndsskyldighet samt förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst 1 år.

Vägledning till 2.1 – 2.3 

Bestämmelserna i denna del syftar till att säkerställa att intygsgivare har en stabil ekonomisk och finansiell ställning som är tillräcklig för att DIGG, förlitande parter och innehavare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska kunna fästa tillit till verksamhetens stabilitet och kontinuitet, samt att intygsgivaren kan hållas ansvarig vid eventuella upptäckta brister.

Gällande kraven på erforderliga försäkringar i K2.1, så avses sådana försäkringar som är nödvändiga för att säkerställa verksamhetens fortlevnad och kontinuitet vid extraordinära händelser. Om intygsgivarens finansiella ställning är sådan att försäkringar inte behövs för att täcka skador som kan tänkas uppkomma (t.ex. genom plötsliga händelser eller att intygsgivaren har befunnits skadeståndsskyldig), kan alltså kravet på försäkringar lämnas utan avseende. Bestämmelsen K2.2 innebär att intygsgivaren, redan då en granskningsaktivitet inleds, ska kunna visa på komplett kravuppfyllnad. Det ska vara möjligt att via revisionsspår följa att samtliga kontroller är införda och är effektiva. I en nyetablerad verksamhet kan det naturligtvis vara så att inga kunder i verklig mening finns anslutna till tjänsten. Då ska tjänstens kravuppfyllnad åtminstone kunna verifieras via ett rimligt antal pilotanvändare som fungerat i tillräckligt lång tid för att revisionsspår till respektive kontroll ska ha uppstått.

Kravet i K2.3 avser alltså inte reglera intygsgivarens eventuella skadeståndsansvar, utan enbart intygsgivarens förmåga att bära risken för sådan skadeståndsskyldighet.

Informationssäkerhet

K2.4 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska för de delar av verksamheten som berörs i tillitsramverket ha ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet, innefattande bl.a. att:

(a) Samtliga säkerhetskritiska administrativa och tekniska processer ska dokumenteras och vila på en formell grund, där roller, ansvar och befogenheter finns tydligt definierade.

(b) Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska säkerställa att denne vid var tid har tillräckliga personella resurser till förfogande för att uppfylla sina åtaganden.

(c) Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska inrätta en process för riskhantering som på ett ändamålsenligt sätt, kontinuerligt eller minst var tolfte månad, analyserar hot och sårbarheter i verksamheten, och som genom införande av säkerhetsåtgärder balanserar riskerna till acceptabla nivåer.

(d) Utfärdare e-legitimation med kvalitetsmärket av Svensk e-legitimation ska inrätta en process för incidenthantering som systematiskt säkerställer kvaliteten i tjänsten, former för vidarerapportering och att lämpliga reaktiva och preventiva åtgärder vidtas för att lindra eller förhindra skada till följd av sådana händelser.

(e) Utfärdare e-legitimation med kvalitetsmärket av Svensk e-legitimation ska upprätta och testa en kontinuitetsplan som tillgodoser verksamhetens tillgänglighetskrav genom en förmåga att återställa kritiska processer vid händelse av kris eller allvarliga incidenter.

(f) Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska regelbundet utvärdera informationssäkerhetsskyddet och införa förbättringsåtgärder i ledningssystemet och säkerhetskontroller.

K2.5 Ledningssystemets omfattning och mognadsgrad

Nivå 4: Ledningssystemet för informationssäkerhet ska följa SS-ISO/IEC 27001:2014 eller därmed jämställbara internationella versioner av standarden, och inom avgränsningen för detta inkludera samtliga krav som ställs på utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation.

Vägledning till K2.4 – K2.5

Kraven i K2.4 tar fasta på styrning, kontroll och uppföljning av informationssäkerhetsarbetet. Till stöd för detta bör ledningssystemstandarden ISO/IEC 27001 användas, men aktörer som implementerat likvärdiga principer för ledning och styrning av informationssäkerhetsarbetet, och som fyller bestämmelsens syfte, kan också godtas. Centralt för kravuppfyllnad är att ledningen gett bevis på sitt åtagande för att upprätta, införa, driva, övervaka, granska, underhålla och förbättra ledningssystemet, att processerna för varje steg är dokumenterade och planerade, samt att erforderliga resurser för att genomföra detta är tillsatta.

Ledningssystemets omfattning och tillämplighet ska vara dokumenterad och beslutad av ledningen genom ett uttalande om tillämplighet (statement of applicability) eller motsvarande dokument. Särskilt ska de ovan uppräknade punkterna innefattas inom ramen för ledningssystemet och dess kontroller.

Processen för riskanalys ska vara dokumenterad och tillämpad, och ska bygga på en riskanalysmetodik som ger konsistenta, korrekta och jämförbara resultat. Processen ska innefatta att också utforma, införa och följa upp risklindrande åtgärder, samt utverkande av riskägarens godkännande av kvarvarande risk. Resultatet av sådana riskanalyser ska bevaras för att möjliggöra uppföljning och internrevision.

För aktörer som levererar tjänster enligt tillitsnivå 4 ska ledningssystemet fullt ut leva upp till kraven i ledningssystemstandarden SS-ISO/IEC 27001:2014 eller motsvarande internationella versioner av standarderna. Kravuppfyllnad på denna nivå kan styrkas genom certifiering av ledningssystemet, genomförd av ackrediterad revisor. Om alternativa standarder eller principer tillämpas ska en analys av överensstämmelse mellan standarderna vara genomförd, för att klargöra att inga väsentliga avvikelser förekommer.

Villkor för underleverantörer

K2.6 En utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation som på annan part har lagt ut utförandet av en eller flera säkerhetskritiska processer, ska genom avtal definiera vilka kritiska processer som underleverantören är ansvarig för och vilka krav som är tillämpliga på dessa, samt tydliggöra avtalsförhållandet i utfärdardeklarationen.

Vägledning till 2.6 

Även om intygsgivare lägger ut utförandet av vissa delar på en eller flera underleverantörer, så ansvarar intygsgivaren för dessa som för egen verksamhet. Det avses innefatta samtliga krav som följer av anslutningsavtalet, bland annat DIGG bereds samma möjlighet till insyn i underleverantörs verksamhet som i den egna.

Bestämmelsen K2.6 syftar dock till att i första hand klargöra dessa eventuella under­leverantörs­förhållanden. Vilka underleverantörer som ansvarar för vilka delar ska bland annat belysas för att DIGG ska kunna bedöma om det kan finnas några sårbarhetsaspekter i användandet av en leverantör, möjligen genom att flera andra intygsgivare använder samma underleverantör för utförandet av en likartad tjänst.

Spårbarhet, gallring och handlingars bevarande

K2.7 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska bevara

(a) ansökningshandlingar och handlingar som rör utlämnande, mottagande eller spärr av e-legitimationer,

(b) avtal, policydokument och utfärdardeklarationer, och

(c) behandlingshistorik, dokumentation och övriga uppgifter som styrker efterlevnaden av de krav som ställs på utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation, som möjliggör uppföljning och som visar att de säkerhetskritiska processerna och kontrollerna är införda och effektiva.

K2.8 Tiden för bevarande ska inte understiga tio år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas ur integritetssynpunkt och har stöd i lag eller annan författning.

Vägledning till K2.7 – K2.8

Bestämmelserna i denna del syftar till att säkerställa spårbarhet i intygsgivarens verksamhet samt möjlighet till uppföljning av kravuppfyllnad. Spårbarheten är även viktig för möjlighet till uppföljning av eventuella incidenter.

Kravet i K2.7(c) bör läsas så att det innefattar att registrera och bevara spår från alla sådana händelser som kan vara av relevans för uppföljning. Det innefattar särskilt att de tekniska system intygsgivaren använder för att leverera funktionaliteten registrerar sådana händelser i en säkerhetslogg. I termen bevara bör också inläsas att den information som ska bevaras skyddas mot förvanskning och obehörig insyn.

Att information ska kunna tas fram i läsbar form under hela dess arkiveringstid innebär att information som lagras elektroniskt, ska lagras i sådant format och på sådant lagringsmedia, att det är rimligt säkerställt att den utrustning och programvara som krävs för att återsöka och återläsa informationen finns tillgänglig 10 år efter att informationen en gång lagrades i mediet. Kravet omfattar även uppgifter som lagrats i traditionell form på papper.

Granskning och uppföljning

K2.9 Ledningssystemet för informationssäkerhet och efterlevnaden av samtliga de krav som ställs på utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska under en treårsperiod vara föremål för internrevision, utförd av oberoende intern eller externt anlitad kontrollfunktion, såvida inte organisationens storlek eller annan försvarbar orsak motiverar att revision sker på annat sätt.

Vägledning till K2.9

Intygsgivare ska inrätta en funktion för internrevision som periodiskt granskar verksamheten. Internrevisorn ska självständigt planera genomförandet av revisionen och dokumentera detta i en revisionsplan. Revisionsmoment ska väljas utifrån en risk- och väsentlighetsanalys och grundas i den ansökan som Intygsgivaren lämnat. Revisionsplanen ska under en 3-årsperiod täcka samtliga tillämpliga delar av ansökan, och där för säkerheten särskilt kritiska delar granskas årligen.

Internrevisorn ska vara oberoende i utförandet av uppdraget på ett sätt som tryggar en objektiv och opartisk granskning. Internrevisorn ska också ha den kompetens och erfarenhet som krävs för att granska utfärdarverksamheten. I många fall kan den huvudansvarige revisorn behöva tekniskt stöd för att verifiera efterlevnad av tillitsramverkets alla delar. Även sådan teknisk stödfunktion anses kräva ett oberoende för att kunna göra en objektiv och skärskådande granskning.

Resultatet av internrevisionen ska dokumenteras i en internrevisionsrapport och innefatta ett uttalande från den ansvarige internrevisorn om denne anser att lämnade beskrivningar i ansökningshandlingarna återspeglar en rättvisande bild av hur intygsgivaren uppfyller kraven i tillitsramverket eller om dessa beskrivningar kan vara behäftade med väsentliga felaktigheter.

Uttalandet från internrevisionsrapporten ska vara styrkt genom att de kontroller som har genomförts är dokumenterade och att relevanta revisionsbevis har samlats in.

3. Fysisk, administrativ och personorienterad säkerhet

K3.1 För verksamheten centrala delar ska skyddas fysiskt mot skada som följd av miljörelaterade händelser, otillåten åtkomst eller andra yttre störningar. Tillträdeskontroll ska tillämpas så att åtkomst till känsliga utrymmen är begränsad till behörig personal, att informationsbärande media förvaras och utmönstras på ett säkert sätt, samt att tillträde till dessa skyddade utrymmen kontinuerligt övervakas.

Vägledning till K3.1

Alla verksamhetsställen som inhyser utrustning eller informationsbärande media där känsliga uppgifter behandlas eller lagras (tillfälligt eller mer permanent) anses kräva ett omfattande och heltäckande fysiskt skydd för att förhindra informationsförlust eller röjande av sådana känsliga uppgifter till obehöriga.

Det fysiska (mekaniska) skyddet ska vara så pass fördröjande att det reaktiva skyddet (t.ex. skalskydd och försåtsskydd) kan verka genom att påkalla uppmärksamhet från bevakningsbolag, polis, etc., som i sin tur hinner avvärja ett pågående intrång. En mer avlägsen driftanläggning kan därför anses kräva ett starkare mekaniskt skydd, jämfört med en driftanläggning där väktare finns till hands dygnet runt.

Det fysiska skyddet bör inordnas i lager av stegvis högre säkerhetsgrad. Enligt detta resonemang bör utrymmen för utrustning som lagrar t.ex. kryptografiskt nyckelmaterial placeras i sådana inre lager som åtnjuter den högsta graden av skydd, och dit endast den personal har tillträde som oundgängligen behöver det för att kunna fullgöra sina arbetsuppgifter

De normer som utarbetats av Svenska Stöldskyddsföreningen (SSF), kan utnyttjas av intygsgivare för att dimensionera mekaniskt inbrottsskydd och inbrottslarm för skyddade utrymmen. Det mekaniska inbrottsskyddet bör då som regel uppfylla SSF 200 skyddsklass 2, och ha ett larmskydd som uppfyller SSF 130 larmklass 2.

K3.2 Innan en person antar någon av de roller som identifierats i enlighet med 4K2.4(a), och som är av särskild betydelse för säkerheten, ska utfärdaren av e-legitimation med kvalitetsmärket Svensk e-legitimation ha genomfört bakgrundskontroll i syfte att förvissa sig om att personen kan anses vara pålitlig samt att personen har de kvalifikationer och den utbildning som krävs för att på ett tillfredsställande, korrekt och säkert sätt utföra de arbetsuppgifter som följer av rollen.

Vägledning till K3.2

Intygsgivare ska särskilt identifiera de roller som har möjlighet att åsidosätta säkerhetskontroller som innebär att falska identitetsintyg kan ställas ut. Personer som antar en sådan roll ska ha genomgått bakgrundskontroll. Det är dock inte fråga om registerkontroll enligt säkerhetsskyddsförordningen, varför utdrag ur belastningsregistret inte heller bör vara en del av bakgrundskontrollen.

Intygsgivaren förväntas inrätta en egen process för bakgrundskontroll med lämplighetsprövning som kan innefatta verifiering av akademiska meriter, tidigare anställningar, kontakt av både angivna och icke-angivna referenspersoner, samt göra en ekonomisk riskbedömning av personen. Delar av prövningen kan behöva upprepas med vissa intervall, vilket även bör framgå av den process man dokumenterar. Personal som sedan länge varit anställd hos intygsgivaren och visat sig pålitlig behöver inte genomgå förnyad bakgrundskontroll, utöver den del som eventuellt regelbundet upprepas enligt det föregående.

K3.3 Utfärdare ska ha rutiner som säkerställer att endast särskilt bemyndigad personal har åtkomst till de uppgifter som samlas in och bevaras i enlighet med K2.7.

Vägledning till K3.3

De uppgifter som ska samlas in och bevaras i enlighet med K2.7 innefattar behandlingshistorik som registreras i säkerhetslogg från de aktuella systemen. Uppgifterna kan också vara av integritetskänslig karaktär. Säkerhetsloggen ska kunna användas för att genomföra regelbunden och systematisk uppföljning och kontroll, i syfte att säkerställa att otillåten åtkomst till system och information inte förekommit.

Intygsgivare ska därför säkerställa att den personal som har tillgång till den tekniska systemmiljön inte har tillgång till säkerhetsloggen, och att det alltså i denna del finns en separation av arbetsuppgifter.

K3.4 Nivå 3 och 4: Utfärdare ska genom hela kedjan i utfärdandeprocessen säkerställa att separation av arbetsuppgifter tillämpas på ett sådant sätt att ingen ensam person har möjlighet att tillskansa sig en e-legitimation i en annan persons namn.

Vägledning till K3.4

För tillitsnivå 3 och 4 ställs särskilt rigorösa krav kring separation av arbetsuppgifter i verksamheten. Inte i något led ska en enskild individ ensam kunna kringgå, upphäva eller annars åsidosätta säkerhetskontrollerna på ett sådant sätt att denne kan tillskansa sig en identitetsintyg i en annan persons namn.

Detta innefattar att ordna rutiner, processer och den tekniska infrastrukturen på ett sådant sätt att missbruk av kritiska komponenter inte kan förekomma utan att flera personer agerar i samförstånd. Särskilt kritiska delar utgörs naturligtvis av intygsgivningsfunktionen. Kravet omfattar dock även möjlighet till missbruk av det systemstöd som omgärdar verksamheten. Kritiska komponenter utgörs vanligen av nyckelmaterial som krävs för kommunikation mot delsystem, intygsgivningsfunktionen i sig samt de lagringssystem och databaser som dessa system nyttjar.

4. Teknisk säkerhet

K4.1 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska säkerställa att de tekniska kontroller som finns införda är tillräckliga för att uppnå den skyddsnivå som bedöms nödvändig med hänsyn till verksamhetens art, omfattning och övriga omständigheter, och att dessa kontroller fungerar och är effektiva.

Vägledning till K4.1

Tekniska styrmedel och kontroller ska tillämpas för att säkerställa integritet, sekretesskydd, tillgänglighet och spårbarhet i de system och i den information som systemen behandlar. Kontrollernas effektivitet ska regelbundet utvärderas som del i förbättringsarbetet.

Förutom de tvingande åtgärder som anges i K4.2-K4.4, ska intygsgivaren utforma och införa de skyddsåtgärder denne anser vara lämpliga och tillräckliga mot bakgrund av riskanalysen och de uppsatta riskacceptanskriterierna. Principer som bör tillämpas är djupledsförsvar och överlappande säkerhetsåtgärder. Detta innefattar bl.a. krypteringsåtgärder, styrmedel för nätverkskommunikation i flera nivåer och restriktiv åtkomstkontroll till systemresurser och informationstillgångar.

Riskanalysen förväntas identifiera identitetsintygsfunktionen (avsnitt 8 i tillitsramverket) som särskilt utsatt för risk, då denna i normalfallet har en hög exponeringsgrad samtidigt som säkerhetsberoendet till denna är mycket stort. Särskilt rigorösa fysiska och logiska säkerhetskontroller förväntas omgärda denna del, där intygsgivaren utnyttjat alla tillgängliga medel för att förhindra, försvåra och upptäcka säkerhetsöverträdelser.

K4.2 Elektroniska kommunikationsvägar som nyttjas i verksamheten för överföring av känsliga uppgifter ska skyddas mot insyn, manipulation och återuppspelning.

Vägledning till K4.2

Säkerhetskritisk kommunikation till-, från- eller mellan fysiskt skyddade utrymmen kräver skydd mot avlyssning och förvanskning. Vanligen är det effektivare att tillämpa starka kryptografiska metoder för att skydda sådan kommunikation, snarare än att fysiskt skydda anslutningarna längs hela deras sträckning. Skydd av kommunikation avses kunna tillämpas både som skydd av meddelanden eller som skydd endast under transport (transportskydd). Det krävs dock alltid att de kommunicerande parternas identitet är ömsesidigt säkerställd. Autentiseringsmekanismen och hanteringen av de uppgifter som ligger till grund för autentiseringen måste säkerhetsmässigt motsvara minst samma skyddsnivå som de e-legitimationer som systemet hanterar.

K4.3 Känsligt kryptografiskt nyckelmaterial som används för att utfärda e-legitimationer, identifiera innehavare och ställa ut identitetsintyg ska skyddas så att:

(a) åtkomst begränsas, logiskt och fysiskt, till de roller och de tillämpningar som oundgängligen kräver det,

(b) nyckelmaterialet aldrig lagras i klartext på beständigt lagringsmedia,

(c) nyckelmaterialet skyddas när det inte är under användning, direkt eller indirekt, via kryptografisk hårdvarumodul med aktiva säkerhetsmekanismer som skyddar mot både fysiska och logiska försök att röja nyckelmaterialet,

(d) säkerhetsmekanismerna för skydd av nyckelmaterial är genomlysta och baserade på erkända och väletablerade standarder; och

(e) Nivå 3 och 4: aktiveringsdata för skydd av nyckelmaterial hanteras genom flerpersonkontroll.

Vägledning till K4.3

Med kryptografiskt nyckelmaterial avses här sådant nyckelmaterial som används för att autentisera användare samt utfärda identitetsintyg enligt K8.1. Nyckelmaterial som till exempel används i nätverksutrustning och för skydd av kommunikation avses inte omfattas av kraven.

Sådant nyckelmaterial som omfattas av kraven i K4.3, ska skyddas genom användande av kryptografisk hårdvarumodul som erbjuder såväl logiskt som fysiskt skydd. Hårdvarumodulens säkerhetsfunktioner ska vara trovärdiga, innebärande att de ska vara baserade på välkända standarder och principer, samt vara genomlysta av erkänt och fristående granskningsorgan. I det är det lämpligt att använda produkter som är certifierade enligt t.ex. Common Criteria (ISO/IEC15408)*, ISO/IEC 19790:2006 eller FIPS 140-3 (nivå 3 eller högre).

Åtkomst till hårdvarumodulerna och den tekniska och fysiska omgivning där de finns installerade ska begränsas till de personer vars arbetsuppgifter kräver det. För nivå 3 och uppåt ska aktivering av nyckelmaterialet ske genom minst två personer i förening.

* Vid produktcertifiering enligt Common Criteria (ISO/IEC15408) avses att detta ska göras gentemot en för ändamålet utformad skyddsprofil (PP), t.ex. CWA 14167-2, av ett certifieringsorgan erkänt inom Common Criteria Recognition Arrangement (CCRA) och/eller Senior Officials Group Information Systems Security Mutual Recognition Agreement (SOGIS-MRA).

K4.4 Utfärdare ska ha infört dokumenterade rutiner som säkerställer att erforderlig skyddsnivå i den berörda IT-miljön kan upprätthållas över tid och i samband med förändringar, innefattande ändamålsenlig beredskap för att möta förändrade risknivåer och inträffade incidenter.

Vägledning till K4.4

Bestämmelsen omfattar de ingående IT-systemens hela livscykel, från utveckling eller anskaffning, till konfiguration, drift, ändring och avveckling. Samtliga dessa delar ska vila på en formell dokumenterad grund. IT-systemet och dess omgivning ska övervakas för att på ett tidigt stadium kunna upptäcka avvikelser och anomalier. Processer ska inrättas som säkerställer kontinuerlig omvärldsbevakning och att omedelbara preventiva och reaktiva åtgärder kan vidtas som svar på förändrade risknivåer eller uppkomna incidenter.

5. Ansökan, identifiering och registrering (utgår)

Detta avsnitt utgår för Tillhandahållare av Intygsfunktion men rubriken lämnas kvar i denna vägledning för att numreringen i vägledningen ska överensstämma med den som gäller för Utfärdare av Svensk e-legitimation.

6. Utfärdande och spärr av e-legitimation (utgår)

Detta avsnitt utgår för Tillhandahållare av Intygsfunktion men rubriken lämnas kvar i denna vägledning för att numreringen i vägledningen ska överensstämma med den som gäller för Utfärdare av Svensk e-legitimation.

7. Kontroll av innehavares elektroniska identiteter

K7.1 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska säkerställa att det vid verifieringen av innehavarens e-legitimation sker tillförlitliga kontroller av den elektroniska legitimationshandlingens äkthet och giltighet.

Detta avsnitt i tillitsramverket behandlar den tekniska process, ofta benämnd autentisering, genom vilken en innehavare av en e-legitimation uppger och bevisar sin identitet.

Vägledning till K7.1

Kraven i K7.1 tar fasta på att autentiseringsprocessen som nyttjas när en e-legitimation används och ska innefatta sådana kontroller som dels säkerställer att e-legitimationen ifråga är äkta, dels att den inte är spärrad eller att dess giltighetstid har löpt ut.

K7.2 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska säkerställa att tekniska säkerhetskontroller införts vid kontroll av elektronisk identitet så att det är osannolikt att utomstående genom gissning, avlyssning, återuppspelning eller manipulation av kommunikation kan forcera skyddsmekanismerna.

Vägledning till K7.2

Kraven i K7.2 innebär att användarnas kommunikation vid autentiseringstillfället ska skyddas kryptografiskt. Då autentiseringen sker mot en intygutgivningstjänsten innefattar dessa krav även att tjänsten ska kunna identifieras av användaren på ett säkert sätt. Det ska i möjligaste mån vara uppenbart för användaren att denne kommunicerar med intygsgivaren, och i detta ska de medel som står till buds användas. Detta bör innefatta att förebygga och förhindra att användaren förleds att identifiera sig mot fel part.

8. Utställande av identitetsintyg

Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation som tillhandahåller tjänst för utställande av identitetsintyg till förlitande e-tjänster, ska även efterleva bestämmelserna i detta avsnitt.

K8.1 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation ska säkerställa att tjänsten för utställande av identitetsintyg har god tillgänglighet samt att utlämnande av identitetsintyg föregås av en tillförlitlig identifiering i enlighet med bestämmelserna i avsnitt 7.

Nivå 4: Intygen ska innefatta en referens till kryptografiskt nyckelmaterial som utfärdaren verifierat att endast innehavaren förfogar över.

Intygsgivare ska även efterleva bestämmelserna i detta avsnitt.

Vägledning till K8.1

För att säkerställa att innehavare kan använda sina e-legitimationer då de behövs, ska intygsgivare ha ändamålsenlig beredskap för att hantera stunder av exceptionell belastning och försök till överbelastningsangrepp i de delar som rör intygsutgivningstjänsten. Kravet i K8.1 innefattar även att intygsutgivningstjänsten inför utställande av ett identitetintyg med positivt resultat ska ha genomfört en sådan tillförlitlig autentisering i enlighet med avsnitt 7.

För utställande av identitetsintyg på nivå 4 krävs även att identitetsintygen innefattar en referens som går att härleda till en kryptografisk nyckel som intygsgivaren vid tidigare tillfälle verifierat att innehavaren har kontroll över. Vanligen är denna nyckel samma nyckel som används för att upprätta transportskyddet, vilket dock inte med nödvändighet måste vara samma nyckelmaterial som används för att autentisera användaren i intygsgivningsfunktionen.

Syftet med skyddet är att förhindra att en mellanhand som förmår snappa upp ett identitetintyg obehörigen ska kunna använda detta. Denna variant av identitetsintyg benämns ibland HoK-intyg (“Holder-of-Key”).

K8.2 Lämnade identitetsintyg ska vara giltiga endast så länge som det krävs för att användaren ska kunna beredas tillgång till den efterfrågade e‑tjänsten, samt skyddas så att informationen endast är läsbar för den avsedda mottagaren och att de som tar emot intygen kan kontrollera att intygen är äkta.

Vägledning till K8.2

DIGG publicerar från tid till annan genom det tekniska ramverket de format och övriga förutsättningar som råder för utformningen av identitetsintyg, samt ombesörjer den distribution av de kryptografiska nycklar som krävs för verifiering av äkthetsskydd (av begäran om intyg samt de intyg som ställs ut) och för kryptering av identitetintygen. Intygsgivarens egna konfidentiella nyckelmaterial ska hanteras och skyddas i enlighet med K4.3.

K8.3 Utfärdare av e-legitimation med kvalitetsmärket Svensk e-legitimation, ska med hänsyn till riskerna för missbruk av intygstjänsten, begränsa den tidsperiod inom vilken flera på varandra följande identitetsintyg kan ställas ut för en viss innehavare, innan denne på nytt ska identifieras i enlighet med bestämmelserna i avsnitt 7.

Vägledning till K8.3

Den maximala tid under vilken användaren tillåts göra single-sign-on ska begränsas i enlighet med de förskrifter som DIGG från tid till annan publicerar i det tekniska ramverket.