...

• Anslutande organisation: den organisation som ansöker om anslutning till Samordnad identitet och behörighet.
• Avtalstecknare: den person som undertecknar federationsavtalet för anslutande organisation. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

• Beställare: person som initierar och driver anslutningsprocessen för organisationens räkning (handläggning/processroll).

• Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal om anslutning (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

• Federationsmedlem: en organisation som tecknat avtal om anslutning som Federationsmedlem till Samordnad Identitet och behörighet
• Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

• Oberoende kanalbekräftelse: bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter/kontaktpunkt.

Organisationsverifiering vid anslutning

...

Anslutningsoperatören ska styrka att beställaren kan kopplas till den anslutande organisationen i anslutningsärendet (handläggning). Detta ska uppnås genom minst en av följande

• skriftlig fullmakt/delegation som anger att beställaren får driva anslutningsärendet, eller

• oberoende kanalbekräftelse.

Not: Tillhörighetskontrollen avser inte att verifiera beställarens rätt att ingå avtal (se 6.3)

...

För varje anslutning eller re-verifiering enligt avsnitt 11 ska följande sparas:

• Anslutningsoperatören ska i samtliga fall dokumentera och arkivera bevis som ligger till grund för verifieringen enligt avsnitt 6 (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer och signaturunderlag).

• Anslutningsoperatören ska föra och arkivera protokoll/logg över utförda kontroller: vem som utfört kontrollen, vad som kontrollerats, när kontrollen utförts, använda källor/metoder samt resultat/beslut.

• Om delegation används för verifiering ska delegationen vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.

• Om oberoende kanalbekräftelse används ska anslutningsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.

• Beslut om och datum för avvisning, återkallelse eller uppdatering.

• Dokumentationen ska sparas så länge organisationen är federationsmedlem + 3 år (eller enligt lagstadgade krav).

• Dokumentation avseende avvisning ska sparas i 1 år.

Verifiering genom oberoende kanalbekräftelse

Med oberoende kanalbekräftelse avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information.

Med oberoende kanalbekräftelse avses bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter och kontaktpunkt.
Out-of-band är en möjlig metod för att uppfylla kraven i 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i 6.3 (behörighetsstyrkning) när det bedöms motiverat.

Exempel på out-of-band-metoder kan vara:

• Fysisk post (aktiveringskod) till organisationens registrerade adress.

• Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerad verifiering på organisationens webbplats.

• Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Operatören ska, baserat på riskanalys, fastställa och dokumentera vilka out-of-band-metoder som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 14).

Revision, uppföljning och sanktioner

...