Versions Compared

Old Version 24

changes.mady.by.user Johan Tjäder

Saved on

compared with

New Version 25

changes.mady.by.user Niklas Dahlbäck

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Organisationsidentiteten har verifierats mot lämpliga och relevanta källor vid anslutning vilket ligger till grund för den verifiering av identitet för de komponenter som registreras av organisationen genom tillämpning av Registreringspolicy för tekniska komponenter.

  • Den person som ansökte om anslutningen har ett dokumenterat mandat att företräda organisationen i anslutning till Samordnad identitet och behörighet. Ta bort detta avsnitt om policyn inte behöver verifiera behörig beställare

  • Det finns dokumenterade och spårbara verifieringsunderlag

  • Operatören genomför löpande uppföljning och verifiering av organisationsidentitet och kan uppvisa verifieringshandlingar vid begäran.

...

Verifiera behörig företrädare

Privata organisationer

Verifiera att avtalstecknare är behörig företrädare; Avtalstecknare är firmatecknare eller innehar ett skriftligt och signerbart mandat från firmatecknare, tex genom Mina Ombud.

Offentliga organisationer

För offentliga organisationer ska operatören kontrollera vilken roll som är behörig att företräda organisationen och att avtalstecknaren innehar sådan roll. Minst ett av följande alternativ ska användas:

...

  • Fysisk post (aktiveringskod) till organisationens registrerade adress.

  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med publicerat verifiering på organisationens webbplats.

Revision, uppföljning och sanktioner

Federationen eller dess utsedda revisorer har rätt att:

  • Begära verifieringsunderlag och utföra stickprov.

  • Begära korrigerande åtgärder eller temporär avstängning vid bristande underlag.

  • I allvarliga eller upprepade fall neka fortsatt samarbete.

Avgränsning mot åtkomst- och verksamhetsbeslut

Denna policy innehåller endast krav för identitets- och organisationsverifiering. Tjänsteleverantörer ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.

Livscykelhantering — verifiering över tid

För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.

Periodisk re-verifiering (rutiner)

  • Standardintervall: årlig re-bekräftelse från firmatecknare (digitalt undertecknad intyg) rekommenderas som basnivå.

  • Förhöjd frekvens för högre risk: för organisationer i hög-riskkategori (t.ex. verksamhet med hög påverkan, stora transaktioner eller känsliga data) rekommenderas halvårsvis eller kvartalsvis re-verifiering.

  • Re-verifiering kan bestå av: uppdaterat registerutdrag, nytt undertecknat delegationsdokument, eller elektronisk attesterad bekräftelse från firmatecknare.

Händelsestyrd re-verifiering (triggers)

Omgående re-verifiering ska initieras vid indicier eller händelser som kan påverka organisationsidentitet, exempelvis:

  • Ändring i firmatecknare eller styrelse.

  • Företagsfusion, förvärv, namnändring eller annan registreringsändring.

  • Offentlig anmälan om konkurs, likvidation eller rättsliga tvister som påverkar bolaget.

  • Meddelande från organisationen själv om större omstrukturering.

  • Indikationer om falska eller förfalskade delegationshandlingar.

Löpande automatiska kontroller (rekommendation)

  • Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar (t.ex. ändrat registreringsstatus).

  • Automatisk övervakning bör kombineras med manuell bedömning vid avvikelse.

Återkommande bekräftelseprocess

  • Skicka årligt (eller enligt riskklass) en digital bekräftelseförfrågan till firmatecknares officiella e-post, där firmatecknare signerar/attesterar att uppgifterna är korrekta.

  • Om bekräftelse uteblir: följ upp via telefon eller kravbrev till registrerad adress; om ej löst inom angiven tid: sätt anslutningen i karantän tills verifiering är genomförd.

Beviskedja för löpande verifiering

  • Spara varje re-verifiering som separat post i anslutningsärendet med tidsstämpel, signatur och referens till källa.

  • Behåll historik för revision och spårbarhet.

Riskbaserad tillämpning

Operatören ska klassificera anslutna organisationer baserat på risk och välja frekvens/omfattning av re-verifiering därefter. Riskfaktorer kan inkludera organisationens roll i federationen, mängd och känslighet av data, samt historik av förändringar eller incidenter.

Incidenthantering och åtgärdstrappor

Vid upptäckt av felaktig eller förfalskad organisationsidentitet ska operatören:

  1. Omedelbart initiera förnyad verifiering och tillfällig minimering av förtroende (t.ex. karantän eller begränsad åtkomst).

  2. Informera federationen och berörda parter enligt avtal och sekretessregler.

  3. Genomföra åtgärd (uppdatering, återkallelse av anslutning eller uppsägning) baserat på utredningens resultat.

Dokumentation av process och ansvar

Operatören ska ha skriftlig dokumentation som beskriver process och rutin för hur anslutningspolicyn tillämpas.

Sammanfattning och vidareutveckling

Denna policy utgör federationsnivåns krav för verifiering av juridisk organisationsidentitet och beskriver både initiala verifieringssteg och rutiner för verifiering över tid. För framtida versioner kan övervägas:

...