...
Denna policy beskriver krav och rekommenderade arbetsmetoder för verifiering, dokumentation och uppföljning av juridisk organisationsidentitet för organisationer som ansluts till federationen. Policyn reglerar endast verifiering av organisationsidentitet och delegation/behörighet — inga tekniska verifieringar av system, certifikat eller komponenter ingår här. Policyn avser att skapa förutsättningar för en stark och tillförlitlig koppling mellan en organisation och dess registrerade komponenter så att federationsmedlemmar vet vilka organisationer som de samverkar med inom federationen.
Policyn konkretiserar relevanta krav i kravkatalogen, för syftet som anges i 1 st. innebär det att Anslutningsoperatören ska verifiera att den anslutande organisationen uppfyller följande krav i kravkatalogen:
Ena O.1Ena O.5Ena O.15
Vad andra parter kan förutsätta
...
Teknisk verifiering av systemidentiteter, certifikat eller kryptografisk nyckelhantering.
Beslut om åtkomst, tjänstespecifika behörigheter eller verksamhetsmässiga efterlevnadsbedömningar.
Roller och ansvar
Ledningsaktör: fastställer policy och kan begära verifieringsunderlag, utföra stickprov och initiera revisioner.Federationsoperatörer och anslutningsoperatörer: utför verifieringar, sparar underlag, driver löpande uppföljning och rapporterar avvikelserFederationsoperatör: den som genom fullmakt ger uppdraget åt anslutningsoperatören att ansluta federationsmedlemmenAnslutningsoperatör: den organisation som på uppdrag av federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar.Federationsmedlem (anslutande organisation): tillhandahåller korrekta handlingar, underrättar om förändringar och genomför återkommande bekräftelser när så krävs.
Definitioner
Federationsoperatör: den som genom fullmakt ger uppdraget åt anslutningsoperatören att ansluta federationsmedlemmen
Anslutningsoperatör: den organisation som på uppdrag av federationsoperatören utför verifieringar och hanterar anslutningsärenden för federationsmedlemmar.
- Anslutande organisation: den organisation som ansöker om anslutning till Samordnad identitet och behörighet.
- Federationsmedlem: en organisation som tecknat avtal om anslutning som Federationsmedlem till Samordnad Identitet och behörighet
- Avtalstecknare: den person som undertecknar federationsavtalet för anslutande organisation. Avtalstecknare ska vara behörig företrädare eller inneha behörighet genom fullmakt/delegation.
Beställare: person som initierar och driver anslutningsprocessen för organisationens räkning (handläggning/processroll).
Behörig företrädare: person som har rätt att företräda organisationen vid ingående av juridiskt bindande avtal om anslutning (t.ex. firmatecknare eller person med giltig fullmakt/delegation).
- Federationsmedlem: en organisation som tecknat avtal om anslutning som Federationsmedlem till Samordnad Identitet och behörighet
- Organisationsverifiering: kontroll som fastställer att en juridisk person existerar och kan identifieras entydigt genom tillförlitliga källor.
Oberoende kanalbekräftelse: bekräftelse via kanal som är oberoende av den kanal där anslutningsärendet initierades, i syfte att styrka äkthet i uppgifter/kontaktpunkt.
...
Anslutningsoperatören ska kontrollera att anslutande organisation är en registrerad juridisk person genom att verifiera organisationsnummer mot en relevant nationell registerkällanationellt myndighetsregister, t.ex. hos Bolagsverket.hos Bolagsverket för de organisationsformer som finns registrerade där.
Anslutande organisation som inte är registrerad i Sverige ska ha motsvarande registrering i annat EU/EES-land. Anslutningsoperatören ska i dessa fall verifiera utländsk registrering med motsvarande tillförlitlighet som för svenska organisationer, i första hand genom officiella källor. Anslutningsoperatören ska i dessa fall dokumentera hur verifiering gått till och varför den bedöms som tillförlitlig (se avsnitt 12).
Anslutningsoperatören ska Anslutningsoperatören ska identifiera Beställaren med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet). I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of assurance Substantial (Väsentlig).
Anslutningsoperatören ska styrka att beställaren kan kopplas till den anslutande organisationen i anslutningsärendet (handläggning). Detta ska uppnås genom minst en av följande
skriftlig fullmakt/delegation som anger att beställaren får driva anslutningsärendet, eller
oberoende kanalbekräftelse (se avsnitt 8).
Not: Tillhörighetskontrollen avser inte att verifiera beställarens rätt att ingå avtal (se 6.3)
...
Syftet är att avgöra huruvida organisationen uppfyller de formella krav som ställs på organisationen för att den ska kunna ansluta som Federationsmedlemfederationsmedlem. Kraven avser organisationens status, skattemässiga registrering och transparens i kontrollstruktur. Kontrollerna syftar till att säkerställa att federationen består av aktörer som är verksamma, identifierbara och vars kontrollförhållanden kan klarläggas — vilket är en förutsättning för tillit mellan federationsmedlemmar.
Anslutningsoperatören ska verifiera kontrollera att den anslutande organisationen organisation uppfyller följande krav i kravkatalogen:
- Ena O.1
- Ena O.5
- Ena O.15
...
| borderColor | black |
|---|---|
| borderStyle | dashed |
| title | Anteckningar |
Kommentarer till kravkatalogen:
...
Organisationens status
Organisationen ska vara aktiv och inte föremål för likvidation, konkurs, avveckling eller vara registrerad som vilande vid tidpunkten för anslutning. Anslutningsoperatören ska kontrollera detta mot relevant myndighetsregister. För utländsk organisation ska kontrollen göras mot tillämpligt register i hemlandet eller på annat sätt som bedöms tillförlitligt, Anslutningsoperatören ska i dessa fall dokumentera hur kontrollen gått till och varför den bedöms som tillförlitlig (se avsnitt 12).
Skattemässig registrering
Privat organisation som bedriver näringsverksamhet ska vara registrerad för F-skatt. Undantag kan medges om organisationsformen inte förutsätter F-skattsregistrering, under förutsättning att anslutningsoperatören dokumenterar alternativ bedömning och motivering (eller motsvarande i annat EU-land)
Transparens i kontrollstruktur
Anslutande organisation ska vid anslutning, samt löpande under medlemskapet, säkerställa att uppgifter om organisationens kontrollstruktur är transparenta och dokumenterade.
Organisation som enligt lag (2017:631) om registrering av verkliga huvudmän är skyldig att anmäla uppgifter till Bolagsverket ska ha en aktuell och korrekt registrering. Anslutningsoperatören ska kontrollera detta mot Bolagsverkets register. För utländsk organisation med motsvarande registreringsskyldighet ska kontrollen göras mot tillämpligt register i hemlandet.
Organisation som är undantagen från registreringsskyldighet (t.ex. statlig myndighet, börsnoterat bolag, kommun eller region eller enskild näringsidkare) ska på begäran kunna redogöra för sin kontrollstruktur eller motsvarande behörighetsordning.
Federationsmedlem ska utan dröjsmål underrätta anslutningsoperatören om väsentliga förändringar i verkligt huvudmannaskap eller kontrollstruktur som kan påverka förtroendet för organisationens anslutning.
Försäkringar
Ska vi ha krav på försäkringar? står i krav O.1. En idé är att organisatoriska krav på "vem man samverkar med" finns i denna policy medan kravkatalogen hanterar krav kopplat till typ av tjänst med fokus på informationssäkerhet.
...
Verifiering att avtalstecknare är behörig företrädare
...
Avtalstecknare ska identifieras med stark identifiering, normalt elektroniskt genom e-legitimation på minst tillitsnivå 3 (eller metod med motsvarande tillförlitlighet). I de fall legitimering sker med utländsk e-legitimation utfärdad inom EU/EES ska denna uppfylla minst Level of assurance Substantial (Väsentlig).
Verifiera behörig företrädare
...
Verifiera att avtalstecknaren är behörig företrädare genom att styrka firmateckningsrätt eller giltig fullmakt/delegation från behörig företrädare. Behörighet ska verifieras genom relevant nationellt myndighetsregister, t.ex. hos Bolagsverket för de organisationsformer som finns registrerade där.
Offentliga organisationer
...
Federationsmedlemmen ska utse relevanta kontaktpersoner för handläggning och/eller teknisk registrering. Om kontaktperson ges rätt att utföra åtgärder i federationens system (t.ex. registrera tekniska komponenter) ska detta grundas på dokumenterad delegation/fullmakt med spårbarhet enligt avsnitt 7.
För kontaktpersoner som ska ges rätt att registrera eller ändra i registrering av komponenter i federationens metadata ska personlig identifierare dokumenteras i syfte att kunna identifiera och styrka behörighet vid registrerings-/ändringstillfället.
Spårbarhet och krav på dokumentation vid anslutningsärenden
...
Operatören ska, baserat på riskanalys, fastställa och dokumentera vilka out-of-band-metoder som används och under vilka förutsättningar de bedöms tillräckliga (se avsnitt 14).
Revision, uppföljning och sanktioner
Federationen eller dess utsedda revisorer har rätt att:
...
.
...
Begära korrigerande åtgärder eller temporär avstängning vid bristande underlag.
...
I allvarliga eller upprepade fall neka fortsatt samarbete.
Avgränsning mot åtkomst- och verksamhetsbeslut
Denna policy innehåller endast krav för identitets- och organisationsverifiering. Tjänsteleverantörer Federationsmedlemmar ansvarar fortsatt för egna åtkomst- och verksamhetsbedömningar.
Livscykelhantering — verifiering över tid
För att säkerställa att organisationsidentiteten förblir korrekt över tid ska anslutningsoperatören tillämpa en kombination av periodisk re-verifiering, händelsestyrd uppföljning och kontinuerlig/automatisk övervakning enligt nedan.
Re-verifiering ska omfatta samma verifieringsobjekt och kontrollpunkter som vid anslutning enligt avsnitt 6. Det innebär att kontroller ska genomföras på federationsmedlemsnivå (juridisk person) och, i den utsträckning som är relevant, även omfatta beställare/tillhörighet, kvalificering, behörig företrädare/avtalstecknare samt utsedda kontaktpersoner/delegationer.
Re-verifiering kan initieras periodiskt eller händelsestyrt (triggers). Resultat ska dokumenteras enligt spårbarhetskraven.
Periodisk re-verifiering
Anslutningsoperatören ska re-verifiera Federationsmedlems anslutning minst en gång per år.
Händelsestyrd re-verifiering
Omgående re-verifiering ska initieras vid incidenter eller andra händelser som kan påverka tillförlighet till organisationsveriferingen. Detta kan exempelvis vara:
...
Om automatisk övervakning inte är möjlig ska operatören säkerställa att motsvarande informationsinhämtning sker genom andra rutiner med dokumenterad riskbedömning.
Incidenthantering och åtgärdstrappor
Vid upptäckt av att Federationsmedlem inte kan re-verifieras ska operatören:
...
| Panel | ||||||
|---|---|---|---|---|---|---|
| ||||||
Behöver uppdateras - behöver uppdateras i takt med att övriga regelverket tar form Vem är det som fattar beslut om t.ex. avregistrering/uppsägning? |
Ändring av behöriga kontaktpersoner
Kontaktpersoner kan endast ändras av behörig företrädare för ansluten federationsmedlem. Varje ändring ska dokumenteras enligt avsnitt 12. I övrigt gäller samma regler som anges i avsnitt 6.4.
Dokumentation av process och rutin för tillämpning av anslutningspolicy
Operatören ska ha skriftlig dokumentation som beskriver process och rutin för hur anslutningspolicyn tillämpas.
Dokumentationen ska inkludera operatörens riskbedömning och motivering av valda verifieringsmetoder (inkl. oberoende kanalbekräftelse), samt kriterier för när kompletterande kontroller krävs.
Uppsägning och avslut av anslutning
Anslutningsoperatören ska skyndsamt informera federationsoperatören om brister upptäcks avseende federationsmedlemens förutsättningar för anslutning i enlighet med denna policy.
Anslutningsoperatören ska vidta de åtgärder som federationsoperatören beslutar om gällande avstängning och uppsägning. Anslutningsoperatören får inte utan godkännande från federationsoperatören fatta beslut om avstängning eller uppsägning.