Versions Compared

Old Version 26

changes.mady.by.user Niklas Dahlbäck

Saved on

compared with

New Version 27

changes.mady.by.user Johan Tjäder

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Anslutande organisation: den organisation som ansöker om anslutning till Samordnad identitet och behörighet.
  • Avtalstecknare: den person som undertecknar federationsavtalet för anslutande organisation. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

  • Beställare: person som initierar och driver anslutningsprocessen för organisationens räkning (handläggning/processroll).

  • Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal om anslutning (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

  • Federationsmedlem: en organisation som tecknat avtal om anslutning som Federationsmedlem till Samordnad Identitet och behörighet
  • Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

  • Oberoende kanalbekräftelse: bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter/kontaktpunkt.

Organisationsverifiering vid anslutning

...

Anslutningsoperatören ska styrka att beställaren kan kopplas till den anslutande organisationen i anslutningsärendet (handläggning). Detta ska uppnås genom minst en av följande

  • skriftlig fullmakt/delegation som anger att beställaren får driva anslutningsärendet, eller

  • oberoende kanalbekräftelse.

Not: Tillhörighetskontrollen avser inte att verifiera beställarens rätt att ingå avtal (se 6.3)

...

För varje anslutning eller re-verifiering enligt avsnitt 11 ska följande sparas:

  • Anslutningsoperatören ska i samtliga fall dokumentera och arkivera bevis som ligger till grund för verifieringen enligt avsnitt 6 (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer och signaturunderlag).

  • Anslutningsoperatören ska föra och arkivera protokoll/logg över utförda kontroller: vem som utfört kontrollen, vad som kontrollerats, när kontrollen utförts, använda källor/metoder samt resultat/beslut.

  • Om delegation används för verifiering ska delegationen vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.

  • Om oberoende kanalbekräftelse används ska anslutningsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.

  • Beslut om och datum för avvisning, återkallelse eller uppdatering.

  • Dokumentationen ska sparas så länge organisationen är federationsmedlem + 3 år (eller enligt lagstadgade krav).

  • Dokumentation avseende avvisning ska sparas i 1 år.

Verifiering genom oberoende kanalbekräftelse

Med oberoende kanalbekräftelse avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information.

Med oberoende kanalbekräftelse avses bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter och kontaktpunkt.
Out-of-band är en möjlig metod för att uppfylla kraven i 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i 6.3 (behörighetsstyrkning) när det bedöms motiverat.

Exempel på out-of-band-metoder kan vara:

  • Fysisk post (aktiveringskod) till organisationens registrerade adress.

  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats.

  • Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Operatören ska, baserat på riskanalys, fastställa och dokumentera vilka out-of-band-metoder som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 14).

Revision, uppföljning och sanktioner

...