Versions Compared

Old Version 25

changes.mady.by.user Niklas Dahlbäck

Saved on

compared with

New Version 26

changes.mady.by.user Niklas Dahlbäck

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • Organisationsidentiteten har verifierats mot lämpliga och relevanta källor vid anslutning vilket ligger till grund för den verifiering av identitet för de komponenter som registreras av organisationen genom tillämpning av Registreringspolicy för tekniska komponenter.

  • Den person som ansökte om anslutningen tecknat federationsavtalet (avtalstecknaren) har ett verifierat och dokumenterat mandat att företräda organisationen i anslutning till Samordnad identitet och behörighetvid ingående av juridiskt bindande avtal om anslutning.

  • Det finns dokumenterade och spårbara verifieringsunderlag

  • Operatören genomför löpande uppföljning och verifiering av organisationsidentitet och kan uppvisa verifieringshandlingar vid begäran.

...

  • Ledningsaktör: fastställer policy och kan begära verifieringsunderlag, utföra stickprov och initiera revisioner.

  • Anslutningsoperatören: utför verifieringar, sparar underlag, driver löpande uppföljning och rapporterar avvikelser.

  • Federationsmedlem (anslutande organisation): tillhandahåller korrekta handlingar, underrättar om förändringar och genomför återkommande bekräftelser när så krävs.

Definitioner

    Organisationsverifiering
  • Anslutande organisation:
    • kontroll som fastställer att en juridisk person existerar och att en beställare har mandat att agera för organisationen
  • den organisation som ansöker om anslutning till Samordnad identitet och behörighet.
  • Avtalstecknare: den person som undertecknar federationsavtalet för anslutande organisation. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.

  • Beställare: person som

    • ansöker om anslutning för organisations räkning

  • initierar och driver anslutningsprocessen för organisationens räkning (handläggning/processroll).

  • Behörig företrädare: person

    • med mandat

  • som har rätt att företräda organisationen

    • avseende anslutningen

  • vid ingående av juridiskt bindande avtal om anslutning (t.ex. firmatecknare eller person med giltig fullmakt/delegation).

  • Anslutande organisation: den organisation som ansöker om anslutning till Samordnad identitet och behörighet.

  • Federationsmedlem: en organisation som tecknat avtal om anslutning som Federationsmedlem till Samordnad Identitet och behörighet
  • Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.

  • Oberoende kanalbekräftelse: bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter/kontaktpunkt.

Organisationsverifiering vid anslutning

...

Syftet är att säkerställa att den organisation som ska ansluta är en registrerad juridisk person och att den som företräder organisationen i anslutningsprocessen är identifierad och tillhör organisationen.

Vid anslutning av organisation ska minst följande ligga som grund för beslut att ansluta:

  • Beställarens identitet
  • Organisationsnummer för den organisation som ska ansluta

Minimala verifieringssteg för identifiering av organisation och att det Anslutningsoperatören ska kontrollera att anslutande organisation är en registrerad juridisk person :

...

genom att verifiera organisationsnummer mot en relevant nationell registerkälla, t.ex. hos Bolagsverket.

Minimala verifieringssteg för identifiering av beställare och att denna tillhör anslutande organisation:

...

Anslutningsoperatören ska identifiera Beställaren med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3

...

(eller metod med motsvarande tillförlitlighet).

Anslutningsoperatören ska styrka att beställaren kan kopplas till den anslutande organisationen i anslutningsärendet (handläggning). Detta ska uppnås genom minst en av följande

  • skriftlig fullmakt/delegation som anger att beställaren får driva anslutningsärendet, eller

  • oberoende kanalbekräftelse.

Not: Tillhörighetskontrollen avser inte att verifiera beställarens rätt att ingå avtal (se 6.3)

Kvalificering av organisation

...

Anslutningsoperatören ska verifiera att den anslutande organisationen uppfyller följande krav i kravkatalogen:

  • Ena O.1
  • Ena O.5
  • Ena O.15


Panel
borderColorblack
borderStyledashed
titleAnteckningar

Kommentarer till kravkatalogen:

  • Krav på att det är registrerad organisation i Sverige med organisationsnummer finns inte i kravlistan, men kanske kan härledas från O.1?
  • Företaget får inte vara vilande?
  • Registrerad för F-skatt för privata aktörer? Arbetsgivaravgifter och andra "hygienkrav?"
  • Här krävs fortsatt arbete med att definiera "formella krav"

Verifiering att avtalstecknare är behörig företrädare

...

Avtalstecknare ska identifieras med "hög tillförlitlighet - vad heter det?"stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet).

Verifiera behörig företrädare

Övergripande krav (gäller alla organisationstyper):

Operatören ska verifiera och dokumentera:

  • vilken behörighetsgrund som gäller för organisationen vid avtalstecknande (t.ex. firmateckning, delegationsordning, fullmakt), samt
  • att den namngivna avtalstecknaren innehar denna behörighetsgrund vid tidpunkten för undertecknande.

Privata organisationer

Verifiera att avtalstecknare avtalstecknaren är behörig företrädare ; Avtalstecknare är firmatecknare eller innehar ett skriftligt och signerbart mandat från firmatecknare, tex genom Mina Ombudgenom att styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare.

Offentliga organisationer

...

  • Formellt beslutsdokument (protokollutdrag, delegationsbeslut) som visar att avtalstecknare har mandat; dokumentet ska vara undertecknat enligt organisationens delegationsordning.

  • Bekräftelse från officiell e-postadress kopplad till myndighetens domän i kombination med offentlig hänvisning (t.ex. på myndighetens webbplats).

...

  • I avvikande fall: annan motsvarande tillförlitlig styrkning av behörighet, dokumenterad och motiverad av operatören.

Kvalificera behöriga kontaktpersoner

Syftet är att det finns utsedda och behöriga kontaktpersoner som kan representera organisationen för olika ändamål, t.ex. registrera tekniska komponenter

Federationsmedlemmen ska utse relevanta kontaktpersoner för handläggning och/eller teknisk registrering. Om kontaktperson ges rätt att utföra åtgärder i federationens system (t.ex. registrera tekniska komponenter) ska detta grundas på dokumenterad delegation/fullmakt med spårbarhet enligt avsnitt 7.

Spårbarhet och krav på dokumentation vid anslutningsärenden

För varje anslutning eller re-verifiering enligt avsnitt 11 ska följande sparas:

  • Anslutningsoperatören ska i samtliga fall dokumentera och arkivera bevis som ligger till grund för verifieringen enligt avsnitt 6

    • , inkl. protokoll

  • (t.ex. registerutdrag, undertecknade beslut, fullmakter/delegationer och signaturunderlag).

  • Anslutningsoperatören ska föra och arkivera protokoll/logg över utförda kontroller

    • (

  • : vem som utfört kontrollen, vad som kontrollerats, när

    • )

  • kontrollen utförts, använda källor/metoder samt resultat/beslut.

  • Om delegation används för verifiering ska delegationen

    • ska

  • vara skriftlig eller elektroniskt signerad, ange omfattning och vara tidsbegränsad eller tydligt reglerad.

  • Om

    • out-of-band-metod används för verifiering ska anslutningsoperatören ska ha dokumenterat varför den valda metoden anses tillräcklig

  • oberoende kanalbekräftelse används ska anslutningsoperatören dokumentera varför vald metod och kanal bedöms tillräcklig utifrån risk och tillförlitlighet.

  • Beslut om och datum för avvisning, återkallelse eller uppdatering.

  • Dokumentationen ska sparas så länge organisationen är federationsmedlem + 3 år (eller enligt lagstadgade krav).

  • Dokumentation avseende avvisning ska sparas i 1 år.

Verifiering genom

...

oberoende kanalbekräftelse

Med oberoende kanalbekräftelseMed out-of-band avses nyttjandet av en pålitlig och erkänd kanal för att kontrollera äkthet i påstådd information.

Med oberoende kanalbekräftelse avses bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter och kontaktpunkt.
Out-of-band är en möjlig metod för att uppfylla kraven i 6.1 (tillhörighetskontroll) och kan även användas som kompletterande kontroll i 6.3 (behörighetsstyrkning) när det bedöms motiverat.

Exempel på out-of-band-metoder kan vara:

  • Fysisk post (aktiveringskod) till organisationens registrerade adress.

  • Bekräftelse via officiell e-post kopplad till organisationens domän i kombination med

    • publicerat

  • publicerad verifiering på organisationens webbplats.

  • Bekräftelse via annan kontrollerad organisationskanal med motsvarande tillförlitlighet.

Operatören ska, baserat på riskanalys, fastställa och dokumentera vilka out-of-band-metoder som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 14).

Revision, uppföljning och sanktioner

...

För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.

...

Re-verifiering

...

Standardintervall: årlig re-bekräftelse från firmatecknare (digitalt undertecknad intyg) rekommenderas som basnivå.

...

Förhöjd frekvens för högre risk: för organisationer i hög-riskkategori (t.ex. verksamhet med hög påverkan, stora transaktioner eller känsliga data) rekommenderas halvårsvis eller kvartalsvis re-verifiering.

ska omfatta samma verifieringsobjekt och kontrollpunkter som vid anslutning enligt avsnitt 6. Det innebär att kontroller ska genomföras på federationsmedlemsnivå (juridisk person) och, i den utsträckning som är relevant, även omfatta beställare/tillhörighet, kvalificering, behörig företrädare/avtalstecknare samt utsedda kontaktpersoner/delegationer.
Re-verifiering kan initieras periodiskt eller händelsestyrt (triggers). Resultat ska dokumenteras enligt spårbarhetskraven.

Periodisk re-verifiering

Anslutningsoperatören ska re-verifiera Federationsmedlems anslutning minst en gång per år

...

.

Händelsestyrd re-verifiering

...

Omgående re-verifiering ska initieras vid indicier incidenter eller andra händelser som kan påverka organisationsidentitet, exempelvistillförlighet till organisationsveriferingen. Detta kan exempelvis vara:

  • Ändring i firmatecknare eller styrelse.

  • Företagsfusion, förvärv, namnändring eller annan registreringsändring.

  • Offentlig anmälan om konkurs, likvidation eller rättsliga tvister som påverkar bolaget.

  • Meddelande från organisationen själv om större omstrukturering.

  • Indikationer om falska eller förfalskade delegationshandlingar.

...

  • Avvikelser där uppgifter eller underlag som lämnats i anslutningsärendet inte längre stämmer överens med betrodd källa eller tidigare verifierat underlag.

Anslutningsoperatören bör, där möjligt, upprätta automatisk övervakning mot officiella register eller notifieringstjänster för att få signaler om relevanta ändringar

...

.

...

Automatisk övervakning bör kombineras med manuell bedömning vid avvikelse.

Om automatisk övervakning inte är möjlig ska operatören säkerställa att motsvarande informationsinhämtning sker genom andra rutiner med dokumenterad riskbedömning.

Återkommande bekräftelseprocess

  • Skicka årligt (eller enligt riskklass) en digital bekräftelseförfrågan till firmatecknares officiella e-post, där firmatecknare signerar/attesterar att uppgifterna är korrekta.

  • Om bekräftelse uteblir: följ upp via telefon eller kravbrev till registrerad adress; om ej löst inom angiven tid: sätt anslutningen i karantän tills verifiering är genomförd.

Beviskedja för löpande verifiering

  • Spara varje re-verifiering som separat post i anslutningsärendet med tidsstämpel, signatur och referens till källa.

  • Behåll historik för revision och spårbarhet.

Riskbaserad tillämpning

Operatören ska klassificera anslutna organisationer baserat på risk och välja frekvens/omfattning av re-verifiering därefter. Riskfaktorer kan inkludera organisationens roll i federationen, mängd och känslighet av data, samt historik av förändringar eller incidenter.

Incidenthantering och åtgärdstrappor

Vid upptäckt av felaktig eller förfalskad organisationsidentitet att Federationsmedlem inte kan re-verifieras ska operatören:

  1. Omedelbart initiera förnyad verifiering och tillfällig minimering av förtroende (t.ex. karantän eller begränsad åtkomst).

  2. Informera federationen och berörda parter enligt avtal och sekretessregler.

  3. Genomföra åtgärd (uppdatering, återkallelse av anslutning eller uppsägning) baserat på utredningens resultat.


Panel
borderColorblack
borderStyledashed
titleAnteckningar

Behöver uppdateras - behöver uppdateras i takt med att övriga regelverket tar form

Vem är det som fattar beslut om t.ex. avregistrering/uppsägning?

Dokumentation av process och

...

rutin för tillämpning av anslutningspolicy

Operatören ska ha skriftlig dokumentation som beskriver process och rutin för hur anslutningspolicyn tillämpas.

Sammanfattning och vidareutveckling

Denna policy utgör federationsnivåns krav för verifiering av juridisk organisationsidentitet och beskriver både initiala verifieringssteg och rutiner för verifiering över tid. För framtida versioner kan övervägas:

...

Mer detaljerade riskprofiler och automatiserade integrationspunkter mot registertjänster.

...

Dokumentationen ska inkludera operatörens riskbedömning och motivering av valda verifieringsmetoder (inkl. oberoende kanalbekräftelse), samt kriterier för när kompletterande kontroller krävs.