Tillitsramverket för Svensk e-legitimation

Tillitsramverket för Svensk e-legitimation har skapats för att etablera gemensamma krav på utfärdare av svenska e-legitimationer. Tillitsramverket bygger på relevanta delar av internationella standarder.

Kraven är fördelade på olika skyddsklasser, eller tillitsnivåer. Dessa svarar mot olika grader av teknisk och operationell säkerhet hos utfärdaren samt olika grader av kontroll av att en person som tilldelas en elektronisk identitet verkligen är den han eller hon utger sig för att vara.

Nivåindelningen motsvarar den som används i den internationella standarden ISO/IEC 29115. I Tillitsramverket beskrivs vilka krav som ställs på en e-legitimation från tillitsnivå 2 och uppåt.

Ny version börjar gälla 20 augusti 2018

E-legitimationsnämnden har tagit fram ett reviderat Tillitsramverk för utfärdare av Svensk e-legitimation. Det träder i kraft 180 dagar från nämndbeslutet vilket betyder att det nya tillitsramverket gäller för såväl gamla som nya utfärdare av Svensk e-legitimation den 20 augusti 2018.

De största förändringarna

3. Fysisk, administrativ och personorienterad säkerhet

K3.4 Nytt förtydligat krav för Nivå 3 och 4:

Utfärdare ska genom hela kedjan i utfärdandeprocessen säkerställa att separation av arbetsuppgifter tillämpas på ett sådant sätt att ingen ensam person har möjlighet att tillskansa sig en e-legitimation i en annan persons namn.

5. Ansökan, identifiering och registrering

K 5.12 Identifiering grundad på Svensk e-legitimation:

Förtydligande att identitetsväxling från nivå 3 till en annan godkänd Svensk e-legitimation på tillitsnivå 3 eller 2 är tillåtet givet det inte finns avtalsrättsliga hinder.

6. Utfärdande och spärr av e-legitimation

K6.1: Nivå 2-krav har lyfts in i samma krav som för tillitsnivå 3 gällande krav på flerfaktorsprincip.

K6.2: Förstärkt krav för tillitsnivå 3 och 4 att eID inte ska kunna kopieras från media den är lagrad på och sedan kunna brukas.

7. Kontroll av innehavares elektroniska identiteter

Nu obligatoriskt krav på alla utfärdare redan i ansökan oaktat teknikval.

8. Utställande av identitetsintyg

Nu obligatoriskt krav på alla utfärdare redan i ansökan oaktat teknikval om denne ställer ut identitetsintyg inom sin tjänst till förlitande parter.

Nyhetsbrev

Sociala medier