Till innehållet

Normativ specifikation för fristående underskriftstjänst

Version 1.40, senast uppdaterad 2020-04-22.

Versionshantering

  • Version 1.00 (2013-11-01, SB): Första fastställda versionen av specifikationen. 
  • Version 1.10 (2014-08-20, SB): Policy Underskriftstjänst Svensk e-legitimation tillagd i avsnitt 2 Omfattning.
  • Version 1.20 (2015-09-15, SB): Direkta kopplingar till ramavtal har tagits bort. Avsnitt 3.1.2, anslutning till testfederation sker i kundens namn.  Avsnitt 5, förvaltningsforum för underskriftstjänst ändrat till förvaltning av Svensk e-legitimation. Definitioner har kopplats till regelverket för Svensk e-legitimation.
  • Version 1.30 (2018-08-01, SB): Knytningar till Svensk e-legitimation borttaget, användning av eID-systemet där det är lämpligt. Vissa definitioner tillagda. Uppdaterat med eIDAS.
  • Version 1.40 (2020-04-22, SB): Dokumentet inlagt i DIGGs dokumentmall och E-legitimations­nämnden ändrat till DIGG. Underskriftstjänst ändrat till fristående underskriftstjänst. Definition av fristående underskriftstjänsten samt underskriftsprocess tillagda. Vissa förtydliganden och tillägg avseende tjänstens sammanhang avsnitt 1, funktionsprov avsnitt 3 samt testtjänst avsnitt 4.1.2.

1. Inledning

Den fristående underskriftstjänsten är designad för att leverantörer ska kunna tillhandahålla en tjänst som kan användas av många kunder utan att göra avkall på säkerhet eller integritet för den enskilda kunden. Kunden ansluts till tjänsten som en logiskt separat instans och den fristående underskriftstjänsten är en del av kundens underskriftsprocess.

Kund som använder den fristående underskriftstjänsten kommer aldrig att sända över de handlingar som ska undertecknas till tjänsten. Det som sänds över till den fristående underskriftstjänsten är endast ett kondensat[1] av den handling som ska skrivas under. Ett underskriftscertifikat (intyget som knyter den fysiska personen till underskriften) ställs ut vid underskriftstillfället vilket bidrar till stark säkerhet. Legitimering av den fysiska personen sker också vid underskriftstillfället i en från underskriftstjänsten fristående legitimeringstjänst.

Gränssnittet mot och funktionen i den fristående underskriftstjänsten är väl specificerat vilket ska göra det möjligt för kunden att byta leverantör av den fristående underskriftstjänsten vid till exempel ny upphandlingen utan att övriga delar av e-tjänsten behöver göras om.

Det är möjligt att begära underskrift av flera handlingar samtidigt i den fristående underskriftstjänsten.

 Myndigheten för digital förvaltning (DIGG) är ansvarig för den normativa specifikationen för fristående underskriftstjänst.

Mer information om den normativa specifikationen för fristående underskriftstjänst kan lämnas av DIGG. Se myndighetens webbplats för mer information och för kontaktinformation, www.digg.se.

Fotnot [1]: Termen ”kondensat” används här som en förenklad teknisk beskrivning och avser en hashsumma som tagits fram genom en matematisk operation som utförts på den handling som ska undertecknas. Varje signaturstandard har sin egen mängd data som representerar en handling samt förutsättningar under vilka handlingen undertecknas. För vidare detaljer hänvisas till den tekniska specifikationen av tjänsten.

2. Omfattning

Den normativa specifikationen för fristående underskriftstjänst omfattar följande dokument:

  • Normativ specifikation fristående underskriftstjänst (detta dokument)
  • Policy fristående underskriftstjänst
  • Tjänstespecifikation fristående underskriftstjänst
  • Icke funktionella krav fristående underskriftstjänst

3. Funktionsprov

Leverantörer av fristående underskriftstjänst kan ansöka hos DIGG att få sin tjänst prövad mot den normativa specifikationen för fristående underskriftstjänst.

Funktionsprovet omfattar:

  • Tekniska tester av tjänsten i testmiljö
  • Avstämning av kravuppfyllnad vid möte med leverantören

Godkänt prov är ett bevis på att tjänsten fungerar som avsett samt att leverantören enligt egen utsago och mot uppvisade bevis kan leverera en tjänst som uppfyller kraven på fristående underskriftstjänsten när provningen genomfördes.

Godkänt genomförd prov medför inte att DIGG tar ansvar för tjänstens funktionalitet när den levereras. Det är alltid upp till beställare av tjänsten att kontrollera att leverantören uppfyller ställda krav.

Leverantörens är alltid ansvarig för levererad tjänst och för att tjänsten uppfyller de krav som framgår att den normativa specifikationen.

4. Tjänster

Fristående underskrifttjänsten omfattar följande tjänster:

  • Elektroniska underskrifter med avancerade certifikat (grundtjänst).
  • Elektroniska underskrifter med kvalificerade certifikat (option).

Dessutom bör Leverantören tillhandahålla tjänster och/eller funktioner för integration mot fristående underskriftstjänst.

4.1 Elektronisk underskrift (grundtjänst)

Fristående underskriftstjänst ska uppfylla samtliga de krav som ställs på tjänsten enligt den normativa specifikationen.

4.1.1 Utställare av certifikat

Leverantör av fristående underskriftstjänst ska vara ansvarig utfärdare av det underskriftcertifikat som används i fristående underskriftstjänst. 

Leverantör av fristående underskriftstjänst får enbart göra sådana begränsningar avseende tredje parts förlitande till underskriftcertifikatet som godkänts av kund (avropande part).

Vad gäller utfärdande av avancerade och kvalificerade certifikat ska leverantör av fristående underskriftstjänst följa de författningskrav som vid var tid gäller för utfärdande av sådana certifikat.

4.1.2 Testtjänst

Leverantören ska, som en del av grundtjänsten för elektronisk underskrift, tillhandahålla en tjänst där kunder kan utföra elektroniska underskrifter i testsyfte vid utveckling och tester av e-tjänster. Testtjänsten ska vara en spegling av motsvarande produktionstjänst i den bemärkelse att den har samma funktion och samma programvaruversion som tjänsten i produktion. Testtjänsten ska kunna användas utan extra kostnad för kunderna.

Om det efterfrågas bör Leverantören som tillägg kunna tillhandahålla testtjänsten för prestandaprov, det vill säga en testtjänst med hög prestanda.

4.2 Underskrift som uppfyller kraven på kvalificerade elektroniska underskrifter

Tjänst för att skapa underskrifter som uppfyller kraven på kvalificerade elektroniska underskrifter enligt eIDAS kan tillhandahållas som option. Om sådan tjänst tillhandahålls ska den kunna beställas som tilläggstjänst till grundtjänsten. Tjänst för underskrift som uppfyller kraven på kvalificerade elektroniska signaturer ska också prissättas separat.

4.3 Tjänster och funktioner för integration

Tjänster och funktioner för integration mot fristående underskriftstjänst kan vara e‑tjänster med färdiga gränssnitt mot fristående underskriftstjänst, paketerade tjänster för integration av befintliga e‑tjänster med fristående underskriftstjänst eller motsvarande.

Dessa tjänster och funktioner ska uppfylla samtliga krav som ställs i gränssnittet mot fristående underskriftstjänst enligt tjänstespecifikationen för fristående underskriftstjänst.

Det är viktigt att de tjänster som arbetar mot fristående underskriftstjänst säkerställer att gjorda underskrifter är korrekta. Detta omfattar bland annat att det säkerställs i alla delar att det är rätt handling som får rätt underskrift. Vidare måste det kontrolleras att det som returneras från den fristående underskriftstjänsten är korrekt.

Ansvaret för att det är rätt dokument som är underskrivet måste i sammanhanget ligga i den e-tjänst som använder den fristående underskriftstjänsten. Fristående underskriftstjänst kan endast ansvara för att det som sänts till fristående underskriftstjänst blir rätt underskrivet.

5. Förändringar i fristående underskriftstjänst

Förändringar i fristående underskriftstjänst sker genom att den normativa specifikationen ändras.

DIGG beslutar om ändringar i den normativa specifikationen för fristående underskriftstjänst.

Ändringar meddelas på DIGGs webbplats www.digg.se.

6. Definitioner

Följande definitioner gäller för fristående underskriftstjänst:

Ord
Förklaring
Aktör
Organisation som tillhandahåller eller använder tjänst i eID-systemet.
Användare
Fysisk person som nyttjar e-tjänst. I samband med fristående underskriftstjänst, fysisk person med e-legitimation som nyttjar e-tjänst i syfte att skriva under elektronisk handling.
Bråd tid
Tidperiod med hög och tidskritisk belastning där aktör behöver extra stöd för att säkerställa kapacitet och tillgänglighet inom systemet för elektronisk underskrift.
E-tjänst
Webbtjänst som användaren besöker och där användaren begär att få underteckna en elektronisk handling, till exempel underskrift av självdeklaration i Skatteverkets e-tjänst.
eID-system  
Ett antal tjänster och funktioner som samverkar och kommunicerar med varandra på ett ordnat sätt. Det är tjänster och funktioner som e-tjänster, legitimeringstjänster, utfärdare av e-legitimationer, e underskriftstjänster med flera.
Elektronisk legitimering
Med hjälp av elektroniska medel bevisa sin identitet. Vid legitimering i samband med elektronisk underskrift utrycker användaren normalt också sin avsikt att skriva under en handling.
Elektronisk underskrift
Uppgifter i elektronisk form som är fogade till eller logiskt knutna till andra uppgifter i elektronisk form och som används av undertecknaren för att skriva under.
Avancerad elektronisk underskrift
En elektronisk underskrift som uppfyller kraven enligt artikel 26 eIDAS.
Kvalificerad elektronisk underskrift
En avancerad elektronisk underskrift som skapas med hjälp av en kvalificerad anordning för underskriftframställning och som är baserad på ett kvalificerat certifikat för elektroniska underskrifter som uppfyller krav på kvalificerade elektroniska underskrifter enligt avsnitt 4 eIDAS.
Underskriftsprocess
En antal samverkande delar som gör att användaren kan skriva under en elektronisk handling. Processen startar med att användaren kommer in i den delen av e-tjänsten som initierar underskrift och slutar med att underskriften är genomförd och den handling som skrivits under är samman­fogad med underskriftscertifikatet på ett kontrollerat sätt.
Fristående underskriftstjänst
Fysiskt avskild del i underskriftsprocessen där användaren kan skriva under en elektronisk handling med en avancerad eller kvalificerad elektronisk underskrift. I den fristående underskriftstjänsten signeras ett kondensat av den handling som skrivs under på ett säkert sätt och ett underskrifts­certifikat ställs ut. Vid underskriftstillfället sker legitimering av den fysiska personen i en fristående legitimeringstjänst. Eng: Sign Service.
eIDAS
Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden.