...

Organisationsverifiering vid anslutning

...

Verifiering av organisation och beställare

Syftet är att säkerställa att den organisation som ska ansluta är en registrerad juridisk person och att den som företräder organisationen i anslutningsprocessen är identifierad och tillhör organisationen.

Vid anslutning av organisation ska minst följande ligga som grund för beslut att ansluta:

...

Minimala verifieringssteg för identifiering av organisation och beställareatt det är en registrerad juridisk person:

• Verifiera organisationsnummer mot en relevant nationell registerkälla, t.ex. hos Bolagsverket.
Begär intyg eller utdrag som visar registrerad styrelse/firma-tecknare, eller annat officiellt registerutdrag.

Minimala verifieringssteg för identifiering av beställare och att denna tillhör anslutande organisation:

• Beställaren ska identifieras med "hög tillförlitlighet - vad heter det?"
  • elektroniskt genom e-legitimation på minst tillitsnivå 3
  • personlig inställelse med styrkande av indentitet med giltig svensk identitetshandling (kolla vad det heter?)

Verifiering av behörig företrädare 

Ta bort detta avsnitt om policyn inte behöver verifiera behörig beställare

Privata aktörer

Minimala verifieringssteg vid anslutning (exempel):

...

• Pålitlig verifiering att beställaren tillhör organisationen, t.ex genom uppvisande av fullmakt eller out-of-band-verifiering

Kvalificering av organisation

Syftet är att avgöra huruvida organisationen uppfyller de formella krav som ställs på organisationen för att den ska kunna ansluta som Federationsmedlem.

Anslutningsoperatören ska verifiera att den anslutande organisationen uppfyller följande krav i kravkatalogen:

• Ena O.1
• Ena O.5
• Ena O.15

Kommentarer till kravkatalogen:

• Krav på att det är registrerad organisation i Sverige med organisationsnummer finns inte i kravlistan, men kanske kan härledas från O.1?
• Företaget får inte vara vilande?
• Registrerad för F-skatt för privata aktörer? Arbetsgivaravgifter och andra "hygienkrav?"
• Här krävs fortsatt arbete med att definiera "formella krav"

Verifiering att avtalstecknare är behörig företrädare

Syftet är att säkerställa att federationsavtal för Samordnad identitet och behörighet mellan Ledningsaktör och Federationsmedlem är juridiskt bindande. Detta uppnås genom att styrka identitet och behörighet för att avtalstecknare är behörig att ingå juridiskt bindande avtal för anslutande organisations räkning.

Identifiera avtalstecknare

Avtalstecknare ska identifieras med "hög tillförlitlighet - vad heter det?"

• elektroniskt genom e-legitimation på minst tillitsnivå 3

Verifiera behörig företrädare

Privata organisationer

Verifiera att avtalstecknare är behörig företrädare; Avtalstecknare

...

är firmatecknare eller innehar ett skriftligt och signerbart mandat från firmatecknare

...

, tex genom Mina Ombud

...

.

Offentliga

...

organisationer

För offentliga organisationer ska operatören kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll. Minst ett av följande alternativ ska användas (i prioritetsordning):

• Formellt beslutsdokument (protokollutdrag, delegationsbeslut) som visar att namngiven person avtalstecknare har mandat; dokumentet ska vara undertecknat enligt organisationens delegationsordning.

• Bekräftelse från officiell e-postadress kopplad till myndighetens domän i kombination med offentlig hänvisning (t.ex. på myndighetens webbplats).

• I avvikande fall: notariserad fullmakt eller motsvarande.

Operatören ska alltid notera vilken källa som använts och motivera val av metod.

Kvalificering av organisation

Vilka krav ska operatören verifiera för att organisationen ska kvalificeras som federationsmedlem? Referera till krav i kravkatalog?

• Ena O.1
• Ena O.5
• Ena O.15

Krav på att det är registrerad organisation i Sverige med organisationsnummer finns inte i kravlistan, men kanske kan härledas från O.1?

Delegation och delegationens krav

Utse behöriga kontaktpersoner

Syftet är att det finns utsedda och behöriga kontaktpersoner som kan representera organisationen för olika ändamål, t.ex. registrera tekniska komponenter

Spårbarhet och krav på dokumentation

För varje anslutning ska följande sparas:

• Anslutningsoperatören ska i samtliga fall dokumentera och arkivera bevis som ligger till grund för verifieringen enligt avsnitt 6, inkl. protokoll över utförda kontroller (vem, vad, när).

• Om delegation används för verifiering ska delegationen

• Beställning ska göras av firmatecknare eller av person med dokumenterat mandat.

• Delegation ska vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.

Delegationskedjan ska kunna spåras och kopplas till verifieringsunderlag
• Om out-of-band-metod används för verifiering ska anslutningsoperatören ska ha dokumenterat varför den valda metoden anses tillräcklig.

• Beslut om och datum för avvisning, återkallelse eller uppdatering.

Dokumentationen ska sparas så länge organisationen är federationsmedlem + 3 år (eller enligt lagstadgade krav).

Dokumentation avseende avvisning ska sparas i 1 år.

Verifiering genom out-of-band-metod

När krävs Med out-of-band -verifiering? om beställaren identifierats och denna är behörig företrädare behövs väl inte out-of-band? Lägg den under 6.1 identifiering?avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information.

Exempel på Minst ett out-of-band-steg krävs vid anslutning. Godkända metoder kan vara:

• Fysisk post (aktiveringskod) till organisationens registrerade adress.

• Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerat verifiering på organisationens webbplats.

• Undertecknat beslutsdokument eller notariserad fullmakt.

Operatören ska dokumentera varför den valda metoden anses tillräcklig.

Dokumentation och retention

För varje anslutning ska följande sparas i minst angiven period (eller enligt lagstadgade krav):

• Registerutdrag och identifierande handlingar.

• Delegationshandlingar, mandat och signaturer.

• Protokoll över utförda kontroller (vem, vad, när).

• Beslut om och datum för avvisning, återkallelse eller uppdatering.

...

• .

Revision, uppföljning och sanktioner

Federationen eller dess utsedda revisorer har rätt att:

• Begära verifieringsunderlag och utföra stickprov.

• Begära korrigerande åtgärder eller temporär avstängning vid bristande underlag.

• I allvarliga eller upprepade fall neka fortsatt samarbete.

Avgränsning mot åtkomst- och verksamhetsbeslut

Denna policy innehåller endast krav för identitets- och organisationsverifiering. Tjänsteleverantörer ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

Livscykelhantering — verifiering över tid

För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.

Periodisk re-verifiering (rutiner)

• Standardintervall: årlig re-bekräftelse från firmatecknare (digitalt undertecknad intyg) rekommenderas som basnivå.

• Förhöjd frekvens för högre risk: för organisationer i hög-riskkategori (t.ex. verksamhet med hög påverkan, stora transaktioner eller känsliga data) rekommenderas halvårsvis eller kvartalsvis re-verifiering.

• Re-verifiering kan bestå av: uppdaterat registerutdrag, nytt undertecknat delegationsdokument, eller elektronisk attesterad bekräftelse från firmatecknare.

Händelsestyrd re-verifiering (triggers)

Omgående re-verifiering ska initieras vid indicier eller händelser som kan påverka organisationsidentitet, exempelvis:

• Ändring i firmatecknare eller styrelse.

• Företagsfusion, förvärv, namnändring eller annan registreringsändring.

• Offentlig anmälan om konkurs, likvidation eller rättsliga tvister som påverkar bolaget.

• Meddelande från organisationen själv om större omstrukturering.

• Indikationer om falska eller förfalskade delegationshandlingar.

Löpande automatiska kontroller (rekommendation)

• Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar (t.ex. ändrat registreringsstatus).

• Automatisk övervakning bör kombineras med manuell bedömning vid avvikelse.

Återkommande bekräftelseprocess

• Skicka årligt (eller enligt riskklass) en digital bekräftelseförfrågan till firmatecknares officiella e-post, där firmatecknare signerar/attesterar att uppgifterna är korrekta.

• Om bekräftelse uteblir: följ upp via telefon eller kravbrev till registrerad adress; om ej löst inom angiven tid: sätt anslutningen i karantän tills verifiering är genomförd.

Beviskedja för löpande verifiering

• Spara varje re-verifiering som separat post i anslutningsärendet med tidsstämpel, signatur och referens till källa.

• Behåll historik för revision och spårbarhet.

Riskbaserad tillämpning

Operatören ska klassificera anslutna organisationer baserat på risk och välja frekvens/omfattning av re-verifiering därefter. Riskfaktorer kan inkludera organisationens roll i federationen, mängd och känslighet av data, samt historik av förändringar eller incidenter.

Incidenthantering och åtgärdstrappor

Vid upptäckt av felaktig eller förfalskad organisationsidentitet ska operatören:

1. Omedelbart initiera förnyad verifiering och tillfällig minimering av förtroende (t.ex. karantän eller begränsad åtkomst).

2. Informera federationen och berörda parter enligt avtal och sekretessregler.

3. Genomföra åtgärd (uppdatering, återkallelse av anslutning eller uppsägning) baserat på utredningens resultat.

Dokumentation av process och ansvar

Operatören ska ha skriftlig dokumentation som beskriver process och rutin för hur anslutningspolicyn tillämpas.

Sammanfattning och vidareutveckling

Denna policy utgör federationsnivåns krav för verifiering av juridisk organisationsidentitet och beskriver både initiala verifieringssteg och rutiner för verifiering över tid. För framtida versioner kan övervägas:

...