You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 2 Next »

Regelverk för federationskontext BAS

inom Samordnad identitet och behörighet

Status: Utkast
Version: 0.1
Tillämpning: Produktion
Federationskontext: BAS
Ledningsaktör: Myndigheten för digital förvaltning, Digg
Federationsoperatör: Myndigheten för digital förvaltning, Digg
Anslutningsoperatörer: Inera och Internetstiftelsen
Federationsmedlem: E-hälsomyndigheten

1. Inledning

1.1 Om dokumentet

Detta dokument anger regelverk för federationskontexten BAS inom Samordnad identitet och behörighet.

Regelverket beskriver syfte, avgränsning, roller, ansvar, anslutningsbar krets och grundläggande villkor för BAS. Det anger även vilka frågor som hanteras i andra styrande dokument, såsom anslutningspolicyer, registreringspolicyer, tekniska anslutningsregler, tekniskt ramverk, incidentprocess, förändringspolicy och tillämpliga avtalsvillkor.

1.2 BAS som federationskontext

BAS är en federationskontext inom Samordnad identitet och behörighet.

BAS är inte hela federationsplattformen. BAS är en konkret tillämpning av den gemensamma federationsplattformen och ska använda de gemensamma regler, processer, tekniska profiler och styrningsprinciper som gäller för Samordnad identitet och behörighet.

BAS utgör grundnivå för verifierbar teknisk och organisatorisk tillit mellan tekniska komponenter i maskin-till-maskin-samverkan.

1.3 Förhållande till andra styrande dokument

Detta regelverk ska läsas tillsammans med följande dokumenttyper:

a) anslutningspolicy för anslutningsoperatörer,
b) anslutningspolicy för federationsmedlemmar,
c) registreringspolicy för teknisk komponent,
d) tekniska anslutningsregler för federationskontext BAS,
e) tekniskt ramverk för Samordnad identitet och behörighet,
f) förändringspolicy,
g) incident- och avvikelseprocesser,
h) tillämpliga avtalsvillkor

Anslutningspolicyerna reglerar vem som får ansluta, ansvar, skyldigheter, uppföljning, sanktioner och återkallelse.

Registreringspolicyerna reglerar hur tekniska komponenter registreras, valideras, publiceras, ändras och avregistreras.

Tekniskt ramverk reglerar de exakta tekniska kraven, såsom standarder, profiler, parametrar, endpoints, claims, algoritmer och felhantering.

Incidentprocessen reglerar rapportering, hantering, kommunikation, åtgärder och uppföljning av incidenter och avvikelser.

Förändringspolicyn reglerar hur ändringar i regelverk, tekniska krav, profiler, processer och andra styrande dokument ska beslutas, införas och kommuniceras.

Detta regelverk ska därför inte duplicera detaljer som hör hemma i dessa dokument.

2. Syfte

2.1 Syfte med BAS

Syftet med BAS är att skapa en gemensam grundnivå för verifierbar teknisk och organisatorisk tillit.

BAS ska göra det möjligt att verifiera:

a) vilken teknisk komponent som kommunicerar,
b) vilken organisation som ansvarar för komponenten,
c) att komponenten är registrerad enligt gällande regler,
d) att komponentens metadata kan verifieras, och
e) att komponenten ingår i en giltig tillitskedja enligt tekniskt ramverk.

2.2 Vad BAS ska möjliggöra

BAS ska möjliggöra maskin-till-maskin-samverkan där ett mottagande system behöver kontrollera att ett anrop kommer från en viss teknisk komponent som kan kopplas till en viss ansvarig organisation.

BAS ska ge en verifierbar tillitsgrund som kan användas av en förlitande part i dennes egen åtkomstbedömning.

BAS ger inte i sig rätt till åtkomst, informationsutbyte, behandling av uppgifter eller användning av viss digital tjänst.

2.3 Avgränsning mot åtkomstbeslut

BAS fastställer inte om en organisation, teknisk komponent eller användare har rätt att få åtkomst till viss information eller viss tjänst.

Den förlitande parten ansvarar för sina egna åtkomstbeslut.

Tjänsteleverantören eller den förlitande parten definierar villkor och fattar åtkomstbeslut, medan BAS möjliggör verifierbar motpart och återanvändbar tillitsgrund.

3. Tillämpningsområde

3.1 BAS omfattar

BAS omfattar:

a) anslutning av federationsmedlemmar,
b) anslutning och godkännande av anslutningsoperatörer,
c) registrering av tekniska komponenter,
d) verifiering av organisationskoppling,
e) publicering och verifiering av metadata,
f) hantering av tekniska identifierare,
g) hantering av nycklar och signaturer,
h) tillitskedjor enligt tekniskt ramverk,
i) användning av uppslags- och verifieringstjänst,
j) incident- och avvikelsehantering, och
k) ändring, avregistrering och återkallelse.

3.2 Verksamhetsansvar

Varje part ansvarar fortsatt för sin verksamhet, sina system, sina åtkomstbeslut och sina rättsliga bedömningar.

BAS innebär inte att Digg, anslutningsoperatören eller annan part övertar den förlitande partens ansvar för utlämnande, åtkomst eller användning av information.

4. Roller och aktörer

4.1 Ledningsaktör

Myndigheten för digital förvaltning, Digg, är ledningsaktör för BAS.

Digg ansvarar i denna roll för att hålla samman styrning, regler, förändringshantering och övergripande interoperabilitet inom BAS.

Digg ska som ledningsaktör:

a) fastställa och förvalta gemensamma regler för BAS,
b) besluta om förändringar av BAS-regelverket enligt beslutad förändringsprocess,
c) ange vilka styrande dokument som gäller för BAS,
d) säkerställa att BAS följer Samordnad identitet och behörighets övergripande arkitektur och principer,
e) ange vilka tekniska ramverk och profiler som gäller genom hänvisning till tekniskt ramverk,
f) fastställa krav på anslutningsoperatörer, och
g) hantera frågor som inte kan avgöras av anslutningsoperatör eller federationsmedlem.

Diggs interna beslutsordning för BAS regleras av Diggs vid var tid gällande interna styrning och beslutsordning.

4.2 Federationsoperatör

Myndigheten för digital förvaltning, Digg, är federationsoperatör för BAS.

Digg ansvarar i denna roll för de federationsinfrastrukturtjänster som krävs för BAS, i enlighet med tekniskt ramverk och tillämpliga anslutningsregler.

Digg driftar infrastrukturtjänsterna för BAS.

Digg ska som federationsoperatör tillhandahålla:

a) tillitsankartjänst,
b) uppslags- och verifieringstjänst,
c) tekniska regler för tillitskedjor,
d) krav för anslutningsoperatörer,
e) rutiner för anslutning av anslutningsoperatörer, och
f) teknisk dokumentation som krävs för att anslutningsoperatörer och federationsmedlemmar ska kunna delta.

4.3 Anslutningsoperatörer

Inera och Internetstiftelsen kan vara anslutningsoperatörer i BAS.

En anslutningsoperatör får ansluta federationsmedlemmar och hantera deras tekniska komponenter efter godkännande enligt anslutningspolicy för anslutningsoperatörer.

Anslutningsoperatör får hosta metadata för federationsmedlemmar, om detta sker enligt registreringspolicy och tekniskt ramverk.

Anslutningsoperatören ansvarar för:

a) anslutning av federationsmedlemmar,
b) verifiering enligt anslutningspolicy,
c) registrering av tekniska komponenter enligt registreringspolicy,
d) hantering av metadata enligt tekniskt ramverk,
e) ändring och avregistrering,
f) incident- och avvikelsehantering inom sitt ansvar, och
g) rapportering till Digg vid väsentliga händelser.

Anslutningsoperatör är den organisation som ansluter och hanterar federationsmedlemmar och deras livscykel inom BAS.

4.4 Federationsmedlem

E-hälsomyndigheten är federationsmedlem i BAS.

E-hälsomyndigheten ansvarar som federationsmedlem för sina anslutna tekniska komponenter, sin metadata, sina nycklar, sin interna förvaltning och sin användning av BAS i egna tjänster eller informationsutbyten.

En federationsmedlem är en organisation som ansluter via anslutningsoperatör och publicerar eller driver entiteter och komponenter i federationskontexten.

4.5 Förlitande part

Förlitande part är den part som använder verifierad information från BAS som underlag i egna beslut.

E-hälsomyndigheten kan agera förlitande part i den utsträckning myndigheten använder BAS för att verifiera anropande komponent, organisationskoppling eller annan tillitsinformation inför åtkomst till egna tjänster.

Förlitande part ansvarar alltid för:

a) sin åtkomstpolicy,
b) sina åtkomstbeslut,
c) sina loggar och sin spårbarhet,
d) sin rättsliga bedömning, och
e) sin användning av tillitsmärken och andra verifierbara underlag.

5. Krets av anslutningsbara aktörer

5.1 Primär målgrupp

Samordnad identitet och behörighet är i första hand till för verksamheter inom välfärdsområdet som helt eller delvis är offentligt finansierade.

Med välfärdsområdet avses här verksamheter där offentliga aktörer, eller aktörer som utför offentligt finansierade uppgifter, behöver säker digital samverkan över organisationsgränser.

Närmare avgränsning av välfärdsområdet och anslutningsbar krets regleras i anslutningspolicy och tillämpliga avtalsvillkor.

5.2 Aktörer som kan anslutas

Följande aktörer kan anslutas till BAS efter prövning enligt anslutningspolicy:

a) statliga myndigheter,
b) kommuner,
c) regioner,
d) offentligt styrda organ,
e) kommunala och regionala bolag,
f) organisationer som helt eller delvis bedriver offentligt finansierad verksamhet inom välfärdsområdet, och
g) andra organisationer som behöver delta i informationsutbyte med anslutna offentliga eller offentligt finansierade aktörer.

5.3 Andra organisationer

Informationsutbyte sker även med andra organisationer än offentliga och offentligt finansierade aktörer.

Andra organisationer får anslutas när anslutningen krävs för ett informationsutbyte som en offentlig eller offentligt finansierad aktör har behov av.

Sådana organisationer kan exempelvis vara:

a) privata leverantörer av digitala tjänster,
b) systemleverantörer,
c) tjänsteleverantörer,
d) privata utförare inom offentligt finansierad verksamhet,
e) underleverantörer, och
f) andra organisationer som behöver delta i ett konkret informationsutbyte med ansluten offentlig aktör.

Prövning av sådan anslutning sker enligt anslutningspolicy.

6. Anslutning

6.1 Allmänt om anslutning

Anslutning till BAS sker enligt anslutningspolicy.

Anslutningspolicy för federationsmedlemmar reglerar medlemskriterier, åtaganden, ansvar för metadata, nycklar, incidenter och förändringar samt principer för avstängning och återkallelse.

Detta regelverk anger därför endast grundläggande principer. Detaljer om anslutningsprocess, kontroller, underlag och beslut ska framgå av anslutningspolicy.

6.2 Förutsättningar för anslutning

En organisation får anslutas till BAS om organisationen:

a) omfattas av kretsen av anslutningsbara aktörer,
b) kan ingå tillämpligt avtal,
c) har utsedda kontaktfunktioner för teknik, säkerhet och verksamhet,
d) kan uppfylla tillämpliga krav i tekniska anslutningsregler,
e) kan implementera relevanta krav i tekniskt ramverk, och
f) kan genomgå registrering och validering enligt registreringspolicy.

6.3 Anslutningsväg

Federationsmedlem ansluts via anslutningsoperatör.

E-hälsomyndigheten avgör själv om anslutning sker via Inera, Internetstiftelsen eller båda, under förutsättning att anslutningen sker enligt gällande anslutningspolicy, registreringspolicy och tekniskt ramverk.

Direktanslutning till Digg ska inte ske initialt.

Frågan om direktanslutning till Digg som federationsoperatör kan tillåtas i senare skede eller i särskilda fall hanteras enligt vid var tid gällande anslutningspolicy.

6.4 Avtal

Federationsmedlem ska ingå tillämpligt avtal eller anslutningsförbindelse enligt den avtalsstruktur som gäller för BAS.

Avtalsform och avtalsvillkor regleras i vid var tid gällande avtalsmallar, villkorsbilagor och anslutningspolicy.

7. Registrering av teknisk komponent

7.1 Allmänt om registrering

Registrering av teknisk komponent ska ske enligt registreringspolicy.

Registreringspolicyn reglerar hur en teknisk komponent registreras, vilken evidens som krävs, hur validering sker, hur publicering sker samt hur ändring och avregistrering hanteras.

7.2 Förutsättning för registrering

En teknisk komponent får registreras i BAS endast om komponenten omfattas av en ansluten federationsmedlems ansvar.

E-hälsomyndighetens tekniska komponenter får registreras som federationsmedlemmens komponenter, under förutsättning att de uppfyller registreringspolicy och tekniskt ramverk.

7.3 Uppgifter vid registrering

Registreringspolicy ska ange vilka uppgifter som krävs vid registrering.

Uppgifter vid registrering ska vara tillräckliga för att anslutningsoperatören ska kunna verifiera ansvarig organisation, teknisk komponent, organisationskoppling, metadata, nyckelmaterial och tillämplig teknisk profil.

7.4 Kontroll före registrering

Före registrering ska anslutningsoperatören kontrollera att komponenten kan registreras enligt registreringspolicy och tekniskt ramverk.

Obligatoriska kontroller före registrering regleras i registreringspolicy och tekniska anslutningsregler.

8. Metadata och tekniskt ramverk

8.1 Metadata

Metadata ska beskriva tekniska komponenter på ett sätt som gör det möjligt att verifiera komponentens identitet, funktion, tekniska egenskaper och koppling till ansvarig organisation.

Metadata ska hanteras enligt tekniskt ramverk och registreringspolicy.

Anslutningsoperatör får hosta metadata för federationsmedlem enligt registreringspolicy och tekniskt ramverk.

8.2 Tekniskt ramverk

Tekniska profiler finns beskrivna i Tekniskt ramverk för Samordnad identitet och behörighet.

Tekniskt ramverk anger exakta tekniska krav och ska tillämpas för de komponenttyper och profiler som omfattas av BAS.

Tekniska anslutningsregler och registreringspolicy ska hänvisa till tekniskt ramverk för protokollkrav, metadataformat, endpoints, claims, algoritmer och andra tekniska detaljer.

8.3 Tillitskedja

Tillitskedjan för federationsmedlem följer principen:

Federationsoperatör → Anslutningsoperatör → Federationsmedlem → Federationsmedlemmens entiteter

Tillitskedjan ska kunna verifieras enligt tekniskt ramverk.

8.4 Tillitsankare och uppslags- och verifieringstjänst

Digg ska som federationsoperatör tillhandahålla tillitsankartjänst och uppslags- och verifieringstjänst enligt tekniskt ramverk.

Digg ansvarar för att BAS har tillgång till de infrastrukturtjänster som krävs för att tillitskedjor ska kunna etableras och verifieras.

9. Tillitsmärken

9.1 Allmänt

Tillitsmärken kan förmedlas inom BAS.

Tillitsmärken är verifierbara underlag som kan uttrycka att en viss egenskap, kravprofil eller kvalificering är uppfylld.

Tillitsmärken får användas som underlag för en förlitande parts åtkomstbedömning, men tillitsmärken innebär inte i sig att åtkomst ska beviljas.

9.2 E-hälsomyndighetens ansvar för tillitsmärken

E-hälsomyndigheten ansvarar själv för att skapa, kravställa och verifiera tillitsmärken i den bilaterala relation eller samverkanskontext där de används.

BAS förmedlar eller möjliggör verifiering av tillitsmärken tekniskt, men BAS tar inte över E-hälsomyndighetens ansvar för kravställning, kontroll eller bedömning av tillitsmärkenas betydelse.

9.3 Tillitsmärkesägare

Tillitsmärkesägaren ansvarar för regelverket för de tillitsmärken som tillitsmärkesägaren står bakom och beslutar om kontrollmekanismer.

För tillitsmärken som E-hälsomyndigheten använder i sin samverkan är E-hälsomyndigheten ansvarig för att ange:

a) vad tillitsmärket betyder,
b) vilka krav som ligger bakom tillitsmärket,
c) hur efterlevnad kontrolleras,
d) vem som får utfärda eller intyga tillitsmärket,
e) hur länge tillitsmärket gäller,
f) hur tillitsmärket återkallas, och
g) hur en förlitande part ska värdera tillitsmärket.

9.4 Begränsad verkan

Tillitsmärke får inte förstås som ett åtkomstbeslut.

Tillitsmärke är ett underlag som kan vägas in av den förlitande parten tillsammans med övriga villkor, metadata, åtkomstpolicy och tillämpliga rättsliga krav.

9.5 Förmedling inom BAS

BAS får förmedla tillitsmärken eller göra dem tekniskt verifierbara, om detta stöds av tekniskt ramverk.

Teknisk representation och verifiering av tillitsmärken regleras i tekniskt ramverk och tillämpliga tillitsmärkesregler.

Generella tillitsmärken inom BAS får endast användas om sådana har fastställts av behörig tillitsmärkesägare och stöds av tekniskt ramverk.

10. Åtaganden för Digg

10.1 Digg som ledningsaktör

Digg ska som ledningsaktör:

a) hålla samman regelverket för BAS,
b) besluta om förändringar av BAS enligt beslutad förändringsprocess,
c) förvalta relationen mellan BAS och övriga federationskontexter,
d) besluta om krav på anslutningsoperatörer,
e) besluta om eller godkänna ändringar i tekniska anslutningsregler, och
f) fastställa vilka tekniska ramverk och profiler som gäller.

10.2 Digg som federationsoperatör

Digg ska som federationsoperatör:

a) drifta infrastrukturtjänsterna för BAS,
b) tillhandahålla tillitsankartjänst,
c) tillhandahålla uppslags- och verifieringstjänst,
d) säkerställa att tillitskedjor kan etableras och verifieras,
e) hantera anslutning av anslutningsoperatörer enligt tillämplig policy,
f) tillhandahålla tekniskt ramverk eller hänvisa till tekniskt ramverk,
g) följa upp väsentliga händelser som påverkar BAS, och
h) vid behov besluta om federationsgemensamma åtgärder.

Diggs ansvar som ledningsaktör respektive federationsoperatör ska hållas isär funktionellt, även när båda rollerna utförs av samma myndighet.

11. Åtaganden för anslutningsoperatör

Anslutningsoperatör ska:

a) ansluta federationsmedlemmar enligt anslutningspolicy,
b) verifiera organisation och behörig uppgiftslämnare enligt anslutningspolicy och registreringspolicy,
c) registrera tekniska komponenter enligt registreringspolicy,
d) hantera metadata enligt tekniskt ramverk,
e) hosta metadata för federationsmedlem när detta sker enligt registreringspolicy och tekniskt ramverk,
f) hantera ändringar och avregistrering,
g) hantera avstängning och återkallelse enligt anslutningspolicy,
h) rapportera väsentliga händelser till Digg, och
i) dokumentera anslutnings- och registreringsbeslut.

Anslutningsoperatören ska vid avstängning eller återkallelse genomföra teknisk avpublicering eller ogiltigförklaring enligt registreringspolicy, dokumentera beslutet, kommunicera till federationsmedlemmen och informera federationsoperatören vid väsentliga händelser.

12. Åtaganden för E-hälsomyndigheten som federationsmedlem

E-hälsomyndigheten ska som federationsmedlem:

a) följa BAS-regelverket,
b) följa tillämplig anslutningspolicy,
c) följa registreringspolicy för tekniska komponenter,
d) följa tekniskt ramverk för anslutna komponenter,
e) säkerställa att lämnade uppgifter är riktiga och aktuella,
f) ansvara för egna tekniska komponenter,
g) skydda nycklar och andra säkerhetskritiska uppgifter,
h) rapportera incidenter enligt gällande process,
i) anmäla ändringar som påverkar metadata, nycklar eller organisationskoppling,
j) avregistrera komponenter som inte längre används, och
k) ansvara för de tillitsmärken som E-hälsomyndigheten själv skapar, kravställer eller verifierar bilateralt.

13. Användning hos förlitande part

13.1 Förlitande parts kontroll

Förlitande part får använda BAS för att verifiera:

a) teknisk komponent,
b) ansvarig organisation,
c) metadata,
d) tillitskedja,
e) tekniska nycklar och signaturer, och
f) tillitsmärken där sådana används.

13.2 Åtkomstbeslut

Förlitande part ansvarar själv för att fatta åtkomstbeslut.

Förlitande part ska själv ange:

a) vilken tjänst eller vilket API som omfattas,
b) vilka organisationer som får använda tjänsten,
c) vilka tekniska komponenter som får anropa tjänsten,
d) vilka tillitsmärken eller andra underlag som krävs,
e) vilka ändamål som är tillåtna, och
f) vilka övriga villkor som gäller.

13.3 Ingen automatisk åtkomst

Verifiering enligt BAS innebär inte att åtkomst ska beviljas.

BAS ger endast ett verifierbart underlag. Den förlitande parten ansvarar för hur underlaget används.

14. Incidenter och avvikelser

14.1 Incidentprocess

Incidenter och avvikelser ska hanteras enligt vid var tid gällande incidentprocess för BAS.

Parter som deltar i BAS ska följa de rapporteringsvägar, tidsfrister, klassificeringar och åtgärdsrutiner som anges i incidentprocessen.

14.2 Incidenter som ska rapporteras

Minst följande händelser ska rapporteras:

a) misstänkt eller konstaterad kompromettering av nyckel,
b) felaktig metadata,
c) otillåten användning av teknisk komponent,
d) bristande kontroll av organisationskoppling,
e) otillgänglighet i federationskritisk komponent,
f) felaktigt tillitsmärke, och
g) annan händelse som kan påverka BAS tillit, säkerhet eller interoperabilitet.

14.3 Tillfälliga skyddsåtgärder

Anslutningsoperatör får vidta tillfälliga skyddsåtgärder inom sitt ansvarsområde om fortsatt användning av en komponent kan skada BAS tillit, säkerhet eller interoperabilitet.

Digg får som federationsoperatör vidta federationsgemensamma skyddsåtgärder om händelsen påverkar BAS som helhet.

Beslut om spärrning, avpublicering, återkallelse eller annan skyddsåtgärd ska fattas och dokumenteras enligt incidentprocess, anslutningspolicy och registreringspolicy.

15. Ändring, avregistrering och återkallelse

15.1 Ändring

Federationsmedlem ska anmäla ändringar som påverkar:

a) organisationsuppgifter,
b) kontaktfunktioner,
c) teknisk komponent,
d) metadata,
e) nyckelmaterial,
f) tillitsmärken, eller
g) organisationskoppling.

Detaljerade regler för ändring ska framgå av registreringspolicy.

15.2 Avregistrering

Teknisk komponent ska avregistreras om:

a) komponenten inte längre används,
b) komponenten inte längre uppfyller tillämpliga krav,
c) organisationskopplingen inte längre är giltig,
d) metadata är felaktig och inte rättas,
e) nyckelmaterial har komprometterats, eller
f) fortsatt registrering kan skada BAS tillit, säkerhet eller interoperabilitet.

15.3 Återkallelse

Återkallelse av federationsmedlems anslutning eller teknisk komponent ska ske enligt anslutningspolicy och registreringspolicy.

Beslut om återkallelse ska dokumenteras och kommuniceras enligt tillämplig process.

16. Förändring av regelverket

16.1 Förändringsansvar

Digg ansvarar som ledningsaktör för förändring av detta regelverk.

Ändringar ska dokumenteras, versionshanteras och kommuniceras till berörda parter.

16.2 Förändringspolicy

Ändring ska ske enligt vid var tid gällande förändringspolicy för BAS.

Förändringspolicyn reglerar hur ändringar bereds, beslutas, kommuniceras och träder i kraft.

16.3 Övergångstid

Vid ändring av krav som påverkar anslutna parter ska övergångstid hanteras enligt förändringspolicy.

Säkerhetskritiska ändringar får genomföras utan ordinarie övergångstid om det krävs för att skydda BAS tillit, säkerhet eller interoperabilitet.

17. Drift och etablerad tillämpning

17.1 Aktörer i drift

BAS tillämpas med följande aktörsbild:

a) Digg är ledningsaktör,
b) Digg är federationsoperatör,
c) Inera och Internetstiftelsen kan vara anslutningsoperatörer,
d) E-hälsomyndigheten är federationsmedlem, och
e) E-hälsomyndigheten ansvarar för egna tillitsmärken i bilateral samverkan.

17.2 Dokumentation som ska vara fastställd

För drift av BAS ska följande vara dokumenterat:

a) vilka tekniska komponenter E-hälsomyndigheten registrerar,
b) vilken version av tekniskt ramverk som gäller,
c) vilken anslutningspolicy som gäller,
d) vilken registreringspolicy som gäller,
e) hur E-hälsomyndighetens tillitsmärken ska representeras och verifieras tekniskt,
f) vilken incidentrutin som gäller,
g) vilka avtal eller överenskommelser som gäller, och
h) hur uppföljning och förvaltning av BAS ska ske.

17.3 Driftens omfattning

Drift av BAS omfattar de parter, tekniska komponenter, metadata, tillitskedjor och tillitsmärken som är anslutna eller registrerade enligt gällande anslutningspolicy, registreringspolicy och tekniskt ramverk.

Nya parter och komponenter får anslutas efter prövning enligt gällande processer.

18. Ansvar och riskfördelning

18.1 Grundprincip

Varje part ansvarar för sina egna åtaganden.

BAS innebär inte att någon part övertar annan parts ansvar för åtkomstbeslut, informationsutbyte, verksamhetsbedömning, personuppgiftsbehandling eller intern behörighetsstyrning.

18.2 Diggs ansvar

Digg ansvarar som ledningsaktör och federationsoperatör enligt detta regelverk, tekniskt ramverk och tillämpliga avtal.

18.3 Anslutningsoperatörens ansvar

Anslutningsoperatören ansvarar för de kontroller och processer som följer av anslutningspolicy, registreringspolicy och avtal.

18.4 Federationsmedlemmens ansvar

Federationsmedlemmen ansvarar för egna uppgifter, egna komponenter, egen metadata, egna nycklar och egen efterlevnad.

18.5 Förlitande parts ansvar

Förlitande part ansvarar för sina egna åtkomstbeslut och sin egen användning av verifierad information från BAS.

18.6 E-hälsomyndighetens ansvar för tillitsmärken

E-hälsomyndigheten ansvarar själv för tillitsmärken som myndigheten skapar, kravställer eller verifierar i bilateral samverkan.

BAS kan tekniskt förmedla eller möjliggöra verifiering av sådana tillitsmärken, men BAS övertar inte E-hälsomyndighetens ansvar för tillitsmärkets innehåll, kontrollmodell eller betydelse i åtkomstbeslut.

19. Sammanfattande bestämmelse

BAS är federationskontexten för grundläggande teknisk och organisatorisk tillit inom Samordnad identitet och behörighet.

Digg är ledningsaktör och federationsoperatör för BAS.

Digg driftar infrastrukturtjänsterna för BAS.

Inera och Internetstiftelsen kan vara anslutningsoperatörer.

Anslutningsoperatörer får hosta metadata för federationsmedlemmar, om detta sker enligt registreringspolicy och tekniskt ramverk.

E-hälsomyndigheten är federationsmedlem.

BAS ska göra det möjligt att verifiera teknisk komponent, ansvarig organisation, metadata och tillitskedja.

BAS ska inte hantera användaridentitet, individuella behörigheter, verksamhetsmässiga åtkomstbeslut eller rätt till data.

Tillitsmärken kan förmedlas inom BAS, men E-hälsomyndigheten ansvarar själv för de tillitsmärken som myndigheten skapar, kravställer eller verifierar bilateralt.

Tekniska detaljer regleras i tekniskt ramverk.

Anslutning och registrering regleras i anslutningspolicyer och registreringspolicyer.

  • No labels