Mötesanteckningar

Registreringspolicy, chaining mellan federationer och struktur för regelverk/policydokument.


Huvudsakliga diskussionspunkter

1. Chaining mellan federationer

Frågan lyftes om hur tillit ska etableras vid kontroll av trust marks

  • Två huvudsakliga lösningsspår diskuterades:
    • flera trust mark issuers/owners under respektive trust anchor
    • chaining mellan federationer
  • Det diskuterades om chaining ska ske:
    • på leaf-nivå
    • på intermediate-nivå
    • eller via särskilda intermediates enbart för chaining

Det finns behov av att beskriva hur chaining ska gå till mellan två federationer, inklusive vilka policyer och trust marks som ska accepteras.

2. Registreringspolicy och dess roll

  • Fokus bör ligga på vad som kontrolleras för en teknisk komponent, inte på hela anslutningsoperatörens verksamhet.
  • Policyn bör användas för att uttrycka:
    • vilka krav som gäller
    • vilka kontroller som ska göras
    • vilka profiler/specifikationer som ska följas

Vi landar för nu i att policyn i stor utsträckning bör peka på specifikationer och profiler, och endast förtydliga eller avgränsa där det behövs.

3. Detaljeringsnivå i policyerna

  • Diskussion om hur detaljerad styrningen behöver vara. Frågan var om policyn ska beskriva exakt hur kontroller ska utföras, eller om det räcker att beskriva vilket resultat som ska uppnås.
  • En möjlig inriktning är att policyn anger vad som ska kontrolleras, medan hur det praktiskt görs får lösas i processer eller vägledningar.

4. Koppling mellan avtal, villkor och tekniska ramverk

  • Diskussion om avtal och villkor ska innehålla allmänna eller självklara tekniska krav.
  • Diskussionen landade i att avtal och villkor i stället ska:
    • peka på gällande tekniska ramverk och profiler
    • reglera följsamhet över tid
    • reglera livscykelhantering och förändringar
  • Registreringspolicy ska snarare operationalisera de krav som följer av profiler och tekniska ramverk.

Slutsatser/sammanfattning:

  • Det behövs en tydlig beskrivning i federationsregelverket för hur chaining mellan federationer ska fungera.
  • Det behövs sannolikt en särskild chaining-klausul eller motsvarande i regelverket.
  • Incidenthantering, spårbarhet och operativa krav ska inte ligga i samma dokument som registreringspolicyn för tekniska komponenter.
  • Det behövs olika dokument för:
    • tekniska registreringskrav
    • krav och vägledning för anslutningsoperatörers verksamhet
  • Policydokument bör publiceras som identifierbara dokument med egna URI:er.
  • Policyn ska i första hand peka på specifikationer/profiler och endast komplettera där det behövs.

Öppna frågor

  • Hur ska chaining mellan federationer utformas i praktiken?
    • Ska chaining ske via leaf entities, intermediates eller båda?
  • Vilka registreringspolicys ska godkännas vid chaining?
    • Hur stor variation i anslutnings- eller registreringspolicy kan accepteras utan att interoperabilitet går förlorad?
  • Vilka delar måste vara tekniskt verifierbara och vilka delar kan vara avtalsbaserade?
  • Hur detaljerad ska registreringspolicyn vara när det gäller kontrollmoment?
  • No labels