Regelverk för deltagarorganisationer inom SDK

För att säkerställa att deltagarorganisationer ska kunna utbyta information inom SDK-federationen behövs gemensamma regler som gäller för alla deltagarorganisationer. Detta regelverk ersätter tidigare Regelverk för anslutning till Säker digital kommunikation - Informationssäkerhet, samt tillhörande bilagor som tidigare publicerats av Inera AB.

Innan läsning av regelverket påbörjas, bör man ha läst beskrivningen Vad är SDK.

Regelverket är en del av anslutningsavtal för deltagarorganisationer angående Säker digital kommunikation (SDK). Här nedan finns styrande bilagor till regelverket med fördjupande beskrivningar, se lista nedan.

Regelverket med styrande regler för leverantörer av meddelandesystem, inklusive tekniska specifikationer, finns samlat på sidan Regelverk för meddelandesystem.

Styrande bilagor till regelverket:

• Bilaga för tillgänglighet i SDK
• Bilaga för IT- säkerhet inom SDK
• Bilaga för informationssäkerhet i SDK
• Bilaga för personuppgiftsbehandling inom SDK
• Bilaga för bristande/bristfällig efterlevnad
• Bilaga om allmänna handlingar inom SDK
• Bilaga om avgifter och betalningsvillkor för SDK
• Bilaga om deltagarmodell för SDK
• Bilaga om meddelandetyper i SDK
• Bilaga om livscykelhantering för SDK
• Bilaga Anslutningsresa för deltagarorganisationer inom SDK
• Bilaga om beslutade e-legitimationer för åtkomst till SDK:s gemensamma komponenter
• Bilaga Deltagarorganisation - Testfall för federationsgodkännande
  

1. Deltagarorganisationens åtaganden

1. Deltagarorganisationen ska hålla sig uppdaterad om och följa de ändringar i regelverket som federationsägaren (Digg) vidtar i enlighet med rutiner för releasehantering, se bilaga om livscykelhantering inom SDK.
2. Deltagarorganisationen ansvarar för sina meddelandesystem.
3. Deltagarorganisationen ansvarar för den information och de meddelanden som deltagarorganisationen och dess underorganisationer skickar inom SDK vad gäller tillämplig dataskyddslagstiftning, sekretess och övriga eventuella regleringar på området.
4. Deltagarorganisationen ansvarar för att hålla sig uppdaterad om övriga rättsliga krav som ställs på organisationen i samband med användandet av SDK utöver vad som framgår av punkt 1.3. Det gäller bland annat kravställning vid utkontraktering hos extern leverantör som påverkar efterlevande av dataskyddsförordningens samtliga krav på en personuppgiftsansvarig, så som upprättande av personuppgiftsbiträdesavtal och att säkerställa att sekretessuppgifter hanteras i enlighet med författningskraven.
5. Deltagarorganisationen ansvarar för egen anslutning till aktuella SDK miljöer.
   
6. Mottagande deltagarorganisation ska skyndsamt meddela sändande deltagarorganisation vid felaktigt inkommet meddelande.

2. Anslutningsprocess och godkännande

1. Deltagarorganisationen ska följa den av federationsägarens definierade anslutningsprocessen för anslutning till SDK. Se Anslutningsresa för deltagarorganisationer inom SDK.
2. Deltagarorganisationen ska välja en leverantör av meddelandesystem (MT/MK) som har uppfyllt regelverket för meddelandesystem.
   
3. Deltagarorganisationer ska ansluta till SDK-federationen under de förutsättningar och på sätt som bestäms av deltagarmodell för SDK.
4. Deltagarorganisationen ska ange sin organisationsidentitet samt övrig information som federationsägaren efterfrågar vid anslutning till SDK. Läs mer om anslutningsresa för deltagarorganisationer i bilaga. Deltagarorganisationen ansvarar för att informationen är korrekt.
5. Deltagarorganisationen ska vid behov, vid väsentliga förändringar som påverkar dess anslutning såsom byte av accesspunkt eller ändring av leverantör och/eller programvara för meddelandesystem, inkomma med en skriftlig förändringsbegäran.
6. En deltagarorganisation som vill ha dispens från något eller några krav i regelverket ska skriftligt ansöka om dispens hos federationsägaren. Om det avser en regel som har mindre påverkan på förutsättningarna för federationen eller det finns andra särskilda skäl får federationsägaren medge dispens. Godkännande av dispenser tillämpas restriktivt.

3. Avregistrering

1. Deltagarorganisationen ska följa federationsägarens avregistreringsrutin, se Anslutningsresa för deltagarorganisationer, bilaga.
   
2. En deltagarorganisation som vill avsluta sin anslutning till SDK ska avregistrera samtliga uppgifter i metadata- och adressregister och frånträda avtalet med SDK-federationsägare. Spårbarhetsinformation ska fortsatt hållas tillgänglig i enlighet med kraven i avsnitt 6.1 i detta dokument. I de fall deltagarorganisationen inte avregistrerar sina uppgifter kommer SDK-federationsägare att göra detta tidigast när alla delar i anslutningen formellt avslutas.

4. Informationssäkerhet

Deltagarorganisationen ska följa nedanstående krav som gäller informationssäkerhet samt förtydliganden i bilaga för informationssäkerhet inom SDK.

Nivån på informationssäkerhet inom SDK är dimensionerad för att tillgodose skyddsnivå allvarlig enligt informationsklassningsmodell som tillhandahålls i Myndigheten för Samhällsskydd och Beredskaps (MSB:s) metodstöd för systematiskt informationssäkerhetsarbete. Det innebär att SDK uppfyller den säkerhetsnivå som krävs för att utbyta sekretessbelagd information som kan innehålla integritetskänsliga och känsliga personuppgifter.

1. SDK ska användas för att utbyta information som inte omfattas av gällande säkerhetsskyddslagstiftning.
2. För att undvika risk för felaktig adressering ska deltagarorganisationen inte återanvända funktionsadresser som tidigare använts i annat syfte.
3. Deltagarorganisationen ska själv bedöma om SDK har tillräcklig nivå av säkerhet för att utbyta information med tilltänkta mottagare.
4. Deltagarorganisationen ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med utgångspunkt i standarden ISO/IEC 27000-serien eller motsvarande, för de delar av verksamheten som berörs genom anslutningen till SDK.
   
   Det innebär att deltagarorganisationen ska:
   • Tillse att information som utbyts via SDK är identifierad och att informationsklassning har genomförts.
   • Regelbundet analysera risker förknippade med anslutningen. Riskanalysen ska inkludera en åtgärdsplan som följs upp årligen.
   • Vidta ändamålsenliga och proportionella organisatoriska och tekniska åtgärder för att hantera risker. Åtgärderna ska säkerställa en nivå av säkerhet som är lämplig i förhållande till risken.
   • Tillse att lämpliga åtgärder vidtas för att förebygga och minimera konsekvenser av incidenter. Åtgärderna ska syfta till att säkerställa kontinuitet.Dokumentera och revidera det systematiska informationssäkerhetsarbetet årligen.
5. Deltagarorganisationen ska både vid anslutning till SDK och därefter vidmakthålla korrekt och uppdaterat metadata samt adressinformation i SDK gemensamma tjänster för överföring av meddelanden via SDK.
6. Vid osäkerhet om mottagande deltagarorganisations funktionsadress bör sändande deltagarorganisation skicka ett frågemeddelande för bekräftelse av korrekt mottagande organisation innan personuppgifter överförs.
   
7. Deltagarorganisationen ska vid förändring av organisationsuppgifter, utan oskäligt dröjsmål, genomföra uppdatering via de administrationsgränssnitt och andra förfaranden som tillhandahålls för SDK-federationen och plattformen för eDelivery.

5. IT-säkerhet

Deltagarorganisationen ska följa nedanstående krav som finns beskriven i bilaga för IT-säkerhet inom SDK.

1. Deltagarorganisationen ska säkerställa att meddelandetjänst följer kraven på signering, kryptering, validering av signatur och dekryptering av meddelande enligt regelverk för meddelandesystem, B1.
2. Deltagarorganisationen ska säkerställa att meddelanden som skickas inom SDK signeras och krypteras mellan meddelandetjänster för sändande respektive mottagande av meddelanden.
3. Deltagarorganisationer ska för sin egen anslutning ansvara för att krav på krypteringsalgoritmer, säkerhetsprotokoll och nyckellängder uppfylls enligt gällande krav på skydd vid meddelandeöverföring inom SDK enligt regelverk för meddelandesystem, B1, samt beskrivningar i Bilaga för IT-säkerhet inom SDK.
4. Deltagarorganisation ska säkerställa hantering och rutiner för hantering av certifikat enligt bilaga för IT-säkerhet inom SDK.
5. Deltagarorganisationen ska följa standarden X.509 för samtliga certifikat, se bilaga IT-säkerhet inom SDK.
6. Deltagarorganisation ska välja certifikatsutgivare för kryptering och signering av samtlig TLS-trafik från federationens förteckning över godkända leverantörer av certifikat. Det kan göras av deltagarorganisationen eller tillsammans med extern leverantör för meddelandesystem, se Bilaga för IT-säkerhet inom SDK.
7. Deltagarorganisation ska välja certifikatsutgivare för kryptering och signering av O2O-trafik från federationsägarens förteckning över beslutade certifikatutfärdare. Se Bilaga för IT-säkerhet inom SDK.
8. Deltagarorganisationen ska införskaffa och tillhandahålla ett servercertifikat, motsvarande funktionscertifikat i SITHS. Detta gäller både O2O-kryptering och signering enligt Bilaga för IT-säkerhet inom SDK.
9. Tekniska säkerhetsåtgärder och skydd inom meddelandesystem ska hanteras mellan deltagarorganisation och leverantör av meddelandesystem. Se Bilaga för IT-säkerhet inom SDK.
10. Tekniska säkerhetsåtgärder och skydd för gemensamma komponenter ska hanteras mellan deltagarorganisation och leverantör av meddelandesystem. Se beskrivning i Bilaga för IT-säkerhet inom SDK.
11. Tekniska säkerhetsåtgärder och rutiner för felsökning, loggning och tid ska hanteras mellan deltagarorganisation och ansvariga för lokala komponenter. Se beskrivning i Bilaga för IT-säkerhet inom SDK.
12. Samtliga datorklockor ska synkroniseras mot tillförlitliga källor, spårbara till världstiden UTC (SP) men minimum UTC. Tidssynkroniseringen ska övervakas kontinuerligt.
13. Metoder för skydd mot insyn och manipulation i säkerhetsprotokoll, algoritmer och nyckellängder tillämpas vid överföring av meddelanden via SDK. Krav på kryptografiska säkerhetsåtgärder specificeras i Bilaga för IT-säkerhet inom SDK.
14. Kryptografiskt nyckelmaterial som används för skydd av överföring av meddelanden via SDK ska skapas på ett säkert och trovärdigt sätt med slumptalsgenerator, samt skyddas vid förvaring och användning så att det inte röjs till obehöriga.
15. Deltagarorganisationen ska ha skydd mot intrång, skydd mot inkommande skadlig kod samt skydd mot spridning av skadlig kod för att undvika att påverka mottagande deltagarorganisation eller andra aktörer i SDK.

6. Spårbarhet

1. Deltagarorganisation ska säkerställa att alla meddelandeöverföringar via dess lokala komponenter loggas samt att logginformationen bevaras i minst 12 månader.
2. Deltagarorganisation ska säkerställa att loggar kan tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas från integritetssynpunkt eller har stöd i lag eller annan författning. Information om vad loggarna ska innehålla finns beskrivet i Bilaga för IT-säkerhet inom SDK.
3. En deltagarorganisation ska vid förfrågan från annan deltagarorganisation vara behjälplig med att ta fram och lämna ut relevant logginformation. Detta under förutsättning att den part som efterfrågat uppgifterna har ett berättigat intresse av dessa och att deltagarorganisationen inte enligt lag eller annan författning är förhindrad att lämna ut sådana uppgifter.

7. Tillgänglighet

1. Deltagarorganisationen ska definiera sin egen tillgänglighet i sina lokala komponenter och ska löpande bevaka att tillgänglighetskraven efterlevs enligt gällande nivåer beskrivna i Bilaga för tillgänglighet inom SDK.

8. Informationsutbyte

1. En deltagarorganisation ska acceptera meddelandeöverföring från alla anslutna deltagarorganisationer inom SDK.
2. Deltagarorganisationen ska endast utbyta information som är kopplad till sin verksamhet, vilket innebär att exempelvis reklam eller spam inte är tillåtet.
3. Deltagarorganisationen ska enbart skicka och ta emot godkända meddelandetyper. Se bilaga om meddelandetyper för SDK.
   

9. Accesspunkt

Följande punkter innehåller regler för deltagarorganisationen och dennes förhållande till accesspunktsoperatör.

1. Deltagarorganisationen ska inneha en accesspunkt från en av Diggs godkända accesspunktsoperatörer.
2. Deltagarorganisationen ska upprätta ett avtal vid anlitande av en extern accesspunktsoperatör. Detta avtal ska reglera att accesspunktsoperatör agerar på uppdrag av deltagarorganisationen.
3. En deltagarorganisation ska meddela federationsägaren om en accesspunktsoperatör inte uppfyller sina åtaganden.
4. Eventuella krav om strängare servicenivåer än vad som framgår av bilaga för tillgänglighet i SDK ska framgå av serviceavtal med accesspunktsoperatör.
5. Deltagarorganisationen ska säkerställa att accesspunktsoperatör registrerar följande metadata i plattformstjänster, se bilaga för informationssäkerhet i SDK:
   • Deltagaridentitet i eDelivery transportinfrastruktur
   • SDK meddelandetyp och version
     

10. Meddelandesystem

1. Test av deltagarorganisationens meddelandesystem inför federationsgodkännande ska dokumenteras.
2. Deltagarorganisationen ska endast anlita leverantörer av meddelandesystem som kan garantera tillräckliga säkerhetsåtgärder enligt gällande lagstiftning om dataskydd och sekretess. Se bilaga för personuppgiftsbehandling inom SDK.
   

11. Certifikat

1. Deltagarorganisationen ska vid var tid ha ett giltigt O2O-certifikat.

12. Incidenter, felhantering och support

1. Deltagarorganisationen ska följa supportprocessen för SDK, se bilaga A1.7 om support, incident- och felhantering.
2. Deltagarorganisationen eller av tredje part utsedd aktör ska prenumerera på Diggs driftsida för att få information om planerade och oplanerade driftsstörningar som påverkar SDK:s gemensamma komponenter.
3. Deltagarorganisationen ska stödja övriga anslutna aktörer i SDK vid felhantering och support enligt gällande avtal mellan berörda aktörer. Detta gäller även att stödja sin egen accesspunktsoperatör.
4. Deltagarorganisationen ska bedöma och anmäla incidenter enligt lagar och förordningar, samt ska följa federationsägarens regler och rutiner för incidenthantering. Se vidare i bilaga om support, incident- och felhantering.

13. SDK adressbok

SDK adressbok är den adressbok som deltagarorganisationen förbinder sig att använda i SDK.

1. Deltagarorganisationen ska tillse att det finns behörig(a) administratör(er) som kan uppdatera adressinformation i SDK adressbok.
   
2. Deltagarorganisationen ska tillhandahålla och vidmakthålla korrekt adressinformation för överföring av meddelanden. Informationen som krävs för registrering av deltagarorganisation i SDK adressbok ska inkludera:
   • Organisationsidentifierare, dvs deltagaridentitet i eDelivery transportinfrastruktur.
   • Namn på organisation och organisationsnummer.
   • Administratörsuppgifter, se bilagan om personuppgiftsbehandling inom SDK.
3. Deltagarorganisationen ska endast hämta adressinformation om andra deltagare och funktionsadresser från SDK adressbok.
4. Deltagarorganisation ska vid användning av lokal läskopia av adressbok uppdatera den lokala kopian enligt givna intervaller. Se mer information i Bilaga för IT-säkerhet inom SDK..

14. Identifiering av organisationer

I enlighet med Diggs regelverk för organisationsidentifierare ska varje organisation identifieras enligt standard ISO6523 för global identifiering av avsändare och mottagare. Organisationsidentifieraren ska vara unik och säkert kunna knytas till organisationen.

Inom standarden tillåts följande typer (ICD) för SDK:

• ISO6523:0007 – Svenskt organisationsnummer
• ISO6523:0203 – eDelivery Network Participant identifier.

15. Åtkomst till deltagarorganisationens meddelandesystem

Deltagarorganisationen ska tillse att endast behöriga användare i deltagarorganisationen har åtkomst till anslutande meddelandesystem (meddelandetjänst, meddelandeklient) för att skydda informationen som överförs. I första hand ska en e-legitimation användas som är godkänd enligt Diggs kvalitetsmärke Svensk e-legitimation (minst LoA3).

Alternativt ska deltagarorganisationen ha en autentiseringsmetod för åtkomst till eget meddelandesystem som följer tillitsramverk för Svensk e-legitimation LoA3 eller eIDAS nivå väsentlig. Detta innebär att minst följande krav ska vara uppfyllda:

1. Användare ska kontrolleras mot offentligt register, såsom folkbokföringsregistret, innan eller i samband med att e-identitet skapas.
2. Vid utlämnande av e-identiteter ska kontroll av fysisk legitimationshandling ske.
3. Deltagarorganisationen ska ha rutiner för att granska sina användarbehörigheter för åtkomst. Obehöriga eller användare som inte längre behöver åtkomst ska tas bort. Ändringar av behörigheter ska dokumenteras.
4. Användarens e-identitet ska vara unik och bestående över tid.
5. Användarens åtkomst ska vara personlig och knuten till den enskilda användaren och får inte delas med andra.
6. Användarens åtkomst ska ske med stark autentisering och uppfylla minst två av nedanstående krav (faktorer):
   • Med någonting som användaren vet, t.ex. användarnamn/lösenord eller pinkod.
   • Med någonting som användaren har, t.ex. smart kort, fysisk enhet (OTP-dosa), USB-token eller mobila certifikat med säker lagring av den privata nyckeln. SMS-kod ska ej användas.
   • Med hjälp av användaren själv (biometri), t.ex. fingeravtryck eller avläsning av iris. Biometri ska dock endast användas som PIN-kodsersättning.

16. Uppföljning av deltagarorganisation

SDK-federationsägare har rätt att granska och göra revision av anslutna deltagarorganisationer i SDK. Det kan ske slumpmässigt eller vid misstanke om överträdelse av SDK:s ramverk för deltagarorganisationer. Deltagarorganisationen förbinder sig att förse federationsägaren med efterfrågad dokumentation.

17. Livscykelhantering

Deltagarorganisationen och SDK-federationsägare ska följa livscykelhantering enligt Livscykelhantering inom SDK..

18. Efterlevnad

1. Om en deltagarorganisation uppmärksammar brister i egen eller annan deltagarorganisations efterlevnad av SDK:s regelverk ska deltagarorganisationen informera SDK federationsägare och den deltagarorganisation som brister i efterlevnad.
2. SDK federationsägare har rätt att begära in ett nytt intyg om följsamhet till SDK regelverk vid granskning eller revision av anslutna parter eller vid misstanke om att deltagarorganisationen brister i efterlevnad av SDK:s regelverk. Det kan även ske vid regelbundna intervaller som är beslutade inom SDK-federationen.
   
   Om deltagarorganisationen inte följer SDK:s regelverk kan deltagarorganisationen varnas eller i särskilda fall stängas av från SDK. Se bilaga om bristande/bristfällig efterlevnad.