Versions Compared

Old Version 6

changes.mady.by.user Johan Tjäder

Saved on

compared with

New Version Current

changes.mady.by.user Henric Norlander

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Ett tillitsmärke är ett administrativt beslut inom federationsinfrastrukturen, genom vilket en federationsmedlem och/eller  en tillitsoperatör intygar att en aktör vid tidpunkten för utfärdandet uppfyller den fastställda kravkatalogen och standardiserade krav för säker och kontrollerad användning av federationens tjänster. Ett tillitsmärke är ett standardiserat, Intygandet skulle kunna basera sig på självdeklaration eller granskning (behöver kanske beskrivas lite det längre ned). Ett tillitsmärke är maskinläsbart och verifierbart påstående: “den här entiteten uppfyller de här kraven".

...

OpenID Federation (OIDF) definierar hur tillit uttrycks tekniskt – till exempel hur ett Trust Mark kan publiceras, signeras och verifieras maskinellt i federationens metadata.
Men ramverket säger säger ingenting om vilka krav ett sådant märke faktiskt ska omfatta.
I vårt utveckligsarbete har vi översatt detta till Tillitsmärken och med det har vi uttökat innebörden av "Trust marks" med en verksamhetsmässig och legala innebörd.

Det är både en styrka och en risk.
Styrka, därför att det ger frihet att anpassa federationen efter nationella behov.
Risk, därför att utan en tydlig definition blir tillitsmärket ett otydligt artefakt och med det både svårt att förstå och omöjligt att förklara juridiskt.

...

Ena-tillitsmärket är alltså federationens spelplan: den beskriver vilka minimikrav som gäller för att delta, och gör dessa krav maskinellt verifierbara via federationens metadata och trust chain.

På så sätt blir tilliten gemensam, transparent och automatiskt kontrollerbar, i stället för förhandlad och subjektiv.

...

  • Särskilda juridiska krav vid direktåtkomst: I vissa reglerade informationsutbyten, till exempel inom hälso- och sjukvården, krävs särskild insyn i motpartens informationssäkerhet. Dessa krav går längre än vad ENA-tillitsmärket omfattar ( se Särskilda utmaningar inom hälso- och sjukvården)

  • Branschspecifika risker: Sektorer med egna regelverk (som vården, rättsväsende etc.) kan behöva komplettera det nationella Ena-tillitsmärket med egna krav som speglar deras juridiska spelplan.

  • Organisationens hela säkerhetsarbete: Märket gäller en aktörs funktion i federationen, inte dess samlade interna säkerhetsarbete.

Skillnad mellan Ena tillitsmärke och de tillitsramverk som finns i andra federationer

...

Särskilda utmaningar inom hälso- och sjukvården 
Anchor
direktåtkomst
direktåtkomst

...

Denna utmaning fördjupas ytterligare i Användningen av en behörighetsinfrastruktur inom hälso- och sjukvårdenText inte längre aktuell för redigering.