Versions Compared

Old Version 1

changes.mady.by.user Johan Tjäder

Saved on

compared with

New Version 2

changes.mady.by.user Niklas Dahlbäck

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

På sidan:

Table of Contents

1. Syfte

Syftet med denna anslutningspolicy är att beskriva ett normativt golv (minimikrav) för hur anslutningsoperatörer ska verifiera och dokumentera:

  • verifierbar systemidentitet, samt
  • verifierad koppling mellan system och anslutande organisation,

så att andra parter i federationen kan förlita sig på en tydligt definierad och repeterbar nivå av tillit vid MVP‑drift.

Policyn avser endast identifiering och organisationskoppling på federationsnivå — ej beslut om åtkomst eller verksamhetsbedömningar i enskilda tjänster.

2. Vad policyn garanterar (“vad andra parter kan förutsätta”)

När en aktör eller komponent ansluts enligt denna policy ska andra parter i federationen kunna förutsätta att:

...

Denna policy beskriver krav och rekommenderade arbetsmetoder för verifiering, dokumentation och uppföljning av juridisk organisationsidentitet för aktörer som ansluts till federationen. Policyn reglerar endast verifiering av organisationsidentitet och delegation/behörighet — inga tekniska verifieringar av system, certifikat eller komponenter ingår här. Den avser att ge tjänsteleverantörer i federationen ett pålitligt underlag för att bedöma vem de har affärsrelation med.

2. Vad andra parter kan förutsätta

När en organisation ansluts enligt denna policy kan andra parter i federationen förvänta sig att:

  • Organisationsidentiteten har verifierats mot lämpliga och relevanta källor vid onboarding.

  • Den person som godkände anslutningen har ett dokumenterat mandat att företräda organisationen.

  • Det finns sparade, spårbara verifieringsunderlag som länkar beställning -> delegationshandling -> verifieringskälla.

  • Operatören genomför löpande uppföljning enligt avsnitt 12 och kan uppvisa uppdaterade verifieringshandlingar vid begäran.

(Verifiering enligt denna policy garanterar inte automatiskt åtkomst till någon tjänst — tjänsteleverantörer fattar egna åtkomstbeslut.)

3. Omfattning och avgränsning

Denna policy gäller endast kontroller och processer som rör juridisk organisationsidentitet och behöriga företrädare vid federationsanslutning och löpande re-verifiering. Policyn omfattar inte:

  • Teknisk verifiering av systemidentiteter, certifikat eller kryptografisk nyckelhantering.

  • Beslut om åtkomsträtt, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar.

4. Roller och ansvar

  • Federationen: fastställer policy och kan begära verifieringsunderlag, utföra stickprov och initiera revisioner.

  • Anslutningsoperatören: utför verifieringar, sparar underlag, driver löpande uppföljning och rapporterar avvikelser.

  • Ansluten organisation: tillhandahåller korrekta handlingar, underrättar om förändringar och genomför återkommande bekräftelser när så krävs.

5. Definitioner

  • Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och att en given person eller delegat har mandat att agera för organisationen.

  • Behörig företrädare: person med rätt att binda organisationen enligt interna regler eller offentlig registrering (t.ex. firmatecknare)

Observera: policyn GARANTERAR inte åtkomsträtt till någon tjänst. Tjänsteleverantörer måste fortfarande fatta egna åtkomstbeslut baserade på den tillit de behöver.

3. Roller och ansvar — vad som är federationskrav vs operatörsprocess

3.1 Normativt golv (federationskrav — obligatoriskt)

Följande krav är bindande för alla anslutningsoperatörer och kan åberopas av tjänsteleverantörer som förutsättning för grundläggande tillit:

  • Verifiering av juridisk organisationsidentitet vid onboarding (se avsnitt 4 och 5).
  • Verifiering av behörig företrädare enligt miniminivåer för privata respektive offentliga aktörer (se avsnitt 6).
  • Utfärdande eller godkännande av systemidentitet med kryptografiska nyckelpar som uppfyller angivna kryptografiska krav (se avsnitt 7).
  • Out‑of‑band‑verifiering minst enligt ett av alternativen i avsnitt 6.4.
  • Dokumentation och retention av verifieringsunderlag enligt avsnitt 9.
  • Möjlighet till revision av federationen enligt avsnitt 10.

3.2 Operatörens processer (implementeringsutrymme)

Anslutningsoperatören ansvarar för hur de obligatoriska kontrollerna genomförs inom ramen för följande krav: säkerhetsnivå, spårbarhet, beviskedja och rimlig kostnad/effektivitet. Operatören får själv välja tekniska lösningar, mallar och arbetsflöden så länge de uppfyller det normativa golvet.

Operatören ska dessutom bedriva en lokal riskbedömning och ange vilka kompletterande kontroller som tillämpas för högre riskfall (exempelvis för system med högre påverkan).

4. Definitioner

...

  • .

  • Offentlig aktör: statlig, regional eller kommunal juridisk enhet.

...

6. Organisationsverifiering

...

vid onboarding

6.1 Privata aktörer

Minimala verifieringssteg vid onboarding (

...

exempel):

  • Verifiera organisationsnummer mot en relevant nationell registerkälla, t.ex. Bolagsverket

...

  • .

  • Begär intyg eller utdrag som visar registrerad styrelse/firma-tecknare, eller annat officiellt registerutdrag.

  • Säkerställ att beställaren är firmatecknare eller

...

  • innehar ett

...

  • skriftligt och signerbart mandat från firmatecknare (underskrift eller

...

  • giltig e-signatur

...

  • ).

...

  • Dokumentera och arkivera verifieringsbevis (registerutdrag, fullmakt, signerat dokument)

...

  • .

...

6.2 Offentliga aktörer

...

Minst ett av följande

...

alternativ ska användas (i prioritetsordning):

  • Verifiering mot officiellt myndighetsregister eller offentlig förteckning

...

  • (t.ex.

...

  • myndighetslistor

...

  • Regeringskansliets nivå

...

  • ).

...

  • Regeringskansliet

  • Formellt beslutsdokument (

...

  • protokollutdrag, delegationsbeslut

...

  • ) som

...

  • visar att

...

  • namngiven person har mandat

...

  • ; dokumentet ska vara

...

  • undertecknat enligt organisationens delegationsordning.

  • Bekräftelse

...

  • från officiell

...

  • e-postadress kopplad till myndighetens

...

  • domän

...

  • i kombination med

...

  • offentlig hänvisning (t.ex. på myndighetens

...

  • webbplats

...

  • ).

...

  • I avvikande fall: notariserad fullmakt eller motsvarande

...

  • .

Operatören ska alltid

...

notera vilken källa som använts och motivera

...

val av metod.

...

7.

...

Delegation och

...

delegationens krav

  • Beställning

...

  • ska göras av firmatecknare eller av person med dokumenterat mandat.

...

  • Delegation ska

...

  • vara

...

  • skriftlig eller elektroniskt signerad,

...

  • ange omfattning och vara tidsbegränsad eller tydligt reglerad.

  • Delegationskedjan ska kunna

...

  • spåras och

...

  • kopplas till

...

7. Systemidentitet och kryptografiska krav

7.1 Krav

  • Systemidentitet ska baseras på asymmetrisk kryptografi.
  • Utfärdat material ska inkludera:
    • unik identifierare (URI/subject),
    • offentlig nyckel,
    • referens till ansvarig organisations identifierare,
    • metadata om giltighetstid och avsedd användning.
  • Stöd för automatiserad verifiering (t.ex. CRL/OCSP eller JWT‑nyckelpublicering) ska erbjudas.

7.2 Nyckelhantering (minimikrav)

  • Privat nyckel ska lagras i skyddad miljö (HSM, KSP eller motsv.) där det är tekniskt möjligt.
  • Nyckelgenerering bör ske i enlighet med bästa praxis; om kund genererar nyckel ska processen verifieras.
  • Återkallelseprocess ska vara dokumenterad och kunna initieras av ansvarig organisation eller anslutningsoperatör.

8. Out‑of‑band‑verifiering (miniminivå)

Minst ett out‑of‑band‑steg krävs. Acceptabla metoder är:

...

  • verifieringsunderlag.

8. Acceptabla out-of-band-metoder (exempel)

Minst ett out-of-band-steg krävs vid onboarding. Godkända metoder kan vara:

  • Fysisk post (aktiveringskod) till organisationens

...

  • registrerade adress

...

  • .

  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerat stöd (beslut)

...

  • offentlig webbplats

...

  • .

  • Undertecknat beslutsdokument eller notariserad fullmakt

...

  • .

Operatören ska

...

dokumentera varför den valda metoden

...

anses tillräcklig.

9. Dokumentation

...

och retention

...

...

För varje anslutning ska

...

följande sparas i minst angiven period (eller enligt lagstadgade krav):

  • Registerutdrag och identifierande handlingar.

  • Delegationshandlingar, mandat och signaturer.

  • Protokoll

...

  • över utförda kontroller (vem, vad, när)

...

  • .

  • Beslut om

...

  • och datum för

...

  • avvisning, återkallelse eller uppdatering.

Rekommenderad retention: minst den tid verifieringsuppgiften är relevant + 3 år, om inte lagstiftning anger annat.

10. Revision, uppföljning och sanktioner

Federationen

...

eller dess utsedda revisorer har rätt att:

...

  • Begära verifieringsunderlag

...

  • och utföra stickprov

...

  • .

  • Begära

...

  • korrigerande åtgärder eller temporär avstängning

...

  • vid bristande underlag.

  • I allvarliga eller upprepade fall neka fortsatt samarbete.

11. Avgränsning mot

...

åtkomst- och

...

Det är tydligt: denna policy reglerar enbart tillitsbyggande åtgärder för identitet och organisationskoppling på federationsnivå. Den reglerar inte:

  • autentiseringsnivåer som krävs för att få åtkomst till särskilda tjänster,
  • beslut om vilka API‑operationer eller datamängder en ansluten komponent får utföra/åtkomst till,
  • verksamhetsbedömningar eller efterlevnadsfrågor i tjänsteleverantörens egna domäner.

Tjänsteleverantörer måste fortsätta att fatta egna åtkomst‑ och säkerhetsbeslut med stöd i federationens tillitserbjudande.

12. Livscykelhantering

Operatören ska ha rutiner för:

  • ändringar i organisationsuppgifter (ny firmatecknare, namnändring),
  • rotation och återkallelse av nyckelmaterial,
  • avveckling av systemidentiteter och borttagning av metadata från publiceringspunkter.

13. Vidareutveckling

Policyn gäller som MVP‑golv. För framtida faser rekommenderas:

...

verksamhetsbeslut

Denna policy innehåller endast krav för identitets- och organisationsverifiering. Tjänsteleverantörer ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

12. Livscykelhantering — verifiering över tid (nytt avsnitt)

För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.

12.1 Periodisk re-verifiering (rutiner)

  • Standardintervall: årlig re-bekräftelse från firmatecknare (digitalt undertecknad intyg) rekommenderas som basnivå.

  • Förhöjd frekvens för högre risk: för organisationer i hög-riskkategori (t.ex. verksamhet med hög påverkan, stora transaktioner eller känsliga data) rekommenderas halvårsvis eller kvartalsvis re-verifiering.

  • Re-verifiering kan bestå av: uppdaterat registerutdrag, nytt undertecknat delegationsdokument, eller elektronisk attesterad bekräftelse från firmatecknare.

12.2 Händelsestyrd re-verifiering (triggers)

Omgående re-verifiering ska initieras vid indicier eller händelser som kan påverka organisationsidentitet, exempelvis:

  • Ändring i firmatecknare eller styrelse.

  • Företagsfusion, förvärv, namnändring eller annan registreringsändring.

  • Offentlig anmälan om konkurs, likvidation eller rättsliga tvister som påverkar bolaget.

  • Meddelande från organisationen själv om större omstrukturering.

  • Indikationer om falska eller förfalskade delegationshandlingar.

12.3 Löpande automatiska kontroller (rekommendation)

  • Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar (t.ex. ändrat registreringsstatus).

  • Automatisk övervakning bör kombineras med manuell bedömning vid avvikelse.

12.4 Återkommande bekräftelseprocess (pragmatiskt arbetsflöde)

  • Skicka årligt (eller enligt riskklass) en digital bekräftelseförfrågan till firmatecknares officiella e-post, där firmatecknare signerar/attesterar att uppgifterna är korrekta.

  • Om bekräftelse uteblir: följ upp via telefon eller kravbrev till registrerad adress; om ej löst inom angiven tid: sätt anslutningen i karantän tills verifiering är genomförd.

12.5 Beviskedja för löpande verifiering

  • Spara varje re-verifiering som separat post i anslutningsärendet med tidsstämpel, signatur och referens till källa.

  • Behåll historik för revision och spårbarhet.

13. Riskbaserad tillämpning

Operatören ska klassificera anslutna organisationer baserat på risk och välja frekvens/omfattning av re-verifiering därefter. Riskfaktorer kan inkludera organisationens roll i federationen, mängd och känslighet av data, samt historik av förändringar eller incidenter.

14. Incidenthantering och åtgärdstrappor

Vid upptäckt av felaktig eller förfalskad organisationsidentitet ska operatören:

  1. Omedelbart initiera förnyad verifiering och tillfällig minimering av förtroende (t.ex. karantän eller begränsad åtkomst).

  2. Informera federationen och berörda parter enligt avtal och sekretessregler.

  3. Genomföra åtgärd (uppdatering, återkallelse av anslutning eller uppsägning) baserat på utredningens resultat.

15. Dokumentation av process och ansvar

Operatören ska ha skriftliga arbetsinstruktioner som beskriver:

  • Onboarding-checklistor för organisationsverifiering.

  • Mallar för delegationshandlingar och attestmallar.

  • Arbetsflöde för periodisk re-verifiering och händelsestyrda kontroller.

  • Ansvarsroller och kontaktpunkter för uppföljning.

16. Sammanfattning och vidareutveckling

Denna policy utgör federationsnivåns krav för verifiering av juridisk organisationsidentitet och beskriver både initiala verifieringssteg och rutiner för verifiering över tid. För framtida versioner kan övervägas:

  • Mer detaljerade riskprofiler och automatiserade integrationspunkter mot registertjänster.

  • Mallar för elektronisk attest och standardiserade API-ytor för re-verifiering

...

  • .