...
Vi föreslår tillitsmärken som mappar emot tekniska komponenter enligt nedanstående bild och tabell.
| Notera att vi inte föreslår tillitsmärken för metadatapublicering och -validering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och det inte är vettigt att säkerställa dem specifik märkning. |
|---|
| Komponent | Tillitsmärken |
|---|---|
| Legitimeringstjänst | Ena Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Auktorisationstjänst | Ena Utfärdare, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Attributkälla | Ena Källa, Ena LoT-1, Ena LoT-2, Ena LoT-3, Ena LoT-4 |
| Resursserver (API) | Ena Hantering |
| E-tjänst | Ena Hantering |
| Klient | Ena Hantering |
Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer.
| Notera att LoT-nivå inte nödvändigtvis kan mappas rakt mot Svensk e-legitimations LoA-nivåer! |
|---|
Utvikning kring tillitsnivåer
...
Level of Trust | När ska man kräva det och vad innebär det? |
|---|---|
| LoT-1 | Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet. |
| LoT-2 | Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet. |
LoT-3 | Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet. |
| LoT-4 | Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet. |
Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har LoT-tillitsmärke på minst den klassade nivån.
Tillitsskapande krav
@TODO
Efterlevnadskontroll vid tilldelning av tillitsmärken
@TODO
Exempel på tillämpning av tillitsstrukturen
...