You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 3 Next »

Nedan angiven operatör förklarar härmed gentemot Ena federationsråd att den vill ansluta nedan angiven anslutningspunkt (eller vad vi kallar t ex en intermediär entitet) till Ena federationsinfrastruktur, och att denne kommer att följa ramverket för Enas federationsinfrastruktur:

  1. Operatören kommer att samla och vidaredelegera metadata för tillitsetablering mellan sin överordnade tillitsankare i Ena och de underliggande tjänster som hanteras under operatörens anslutningspunkt.
  2. Operatören ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna SS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002 eller motsvarande. Avgränsningen för ledningssystemet ska innefatta åtminstone alla delar i operatörens verksamhet som berör dennes medverkan i Ena federationsinfrastruktur. Om operatören väljer att använda andra standarder än ISO-standarderna ska operatören analysera och dokumentera de likheter och skillnader som finns mellan ISO-standarderna och valda standarder för att säkerställa att de ger tillräckligt stöd i det systematiska och riskbaserade informationssäkerhetsarbetet.
    a. Om operatören inte är en statlig myndighet ska operatören styrka att ett sådant informationssäkerhetsarbete bedrivs genom certifiering eller revision.
    b. Revision av informationssäkerhetsarbetet ska ske i en treårscykel som inleds med en ny- eller omrevision. Övriga år ska federationsoperatören genomgå en uppföljningsrevision.
    c. Revision enligt punkterna 2 a och 2 b ska utföras av en oberoende extern revisor med kompetens inom informationssäkerhet och i enlighet med god revisionssed.
    Kravet är formulerat utifrån MSB:s föreskrifter (MSBFS 2020:6) om informationssäkerhet för statliga myndigheter, varför även aktörer som omfattas av de föreskrifterna uppfyller informationssäkerhetskravet för anslutning. Statliga myndigheter är därför även undantagna från kravet på certifiering eller oberoende revision. 

  3. Operatören ska ha en kontaktpunkt för sina medlemmar för att hantera tekniska problem.

  4. Operatören ska ha ett avtal eller motsvarande som definierar medlemskapet mellan operatören och dess medlemmar.

  5. Operatören ska utan onödigt dröjsmål informera Ena federationsinfrastruktur (via Ena federationsråd samt sina supportkanaler) om förhållanden som påverkar operatörens möjligheter att tillhandahålla sina infrastrukturtjänster på ett tillfredsställande sätt.
  6. Operatören kommer att ge sådant bistånd till andra deltagande operatörer som de rimligen kan begära rörande offentliggörandet eller användningen av metadata om entiteter.
  7. Operatören kommer att på begäran tillhandahålla ledningsaktören sådan dokumentation eller avtal som behövs för att förtydliga anslutning och registreringsförfaranden och därmed de förtroendenivåer som kan krävas av metadata i infrastrukturen.
  8. Klagomål som rör en medlem ska göras till operatören som hanterar medlemmens deltagande i federationen. Klagomål hanteras enligt villkor i medlemsavtal med operatören, reglerna för Ena federationsinfrastruktur och styrs av svensk lag och jurisdiktion.

  9. Varken förekomsten av denna deklaration, eller utbytet av information som tillåts genom den, ska skapa nya juridiska skyldigheter eller rättigheter mellan medlemmarna eller mellan operatörerna av någon federation.

  10. I synnerhet skapar denna deklaration ingen rätt till medlemskap eller ger någon tillgång till tjänster för digital samverkan mellan medlemmar.

  11. Ekonomisk ersättning mellan Ledningsaktör och operatörer och eventuella ekonomiska överväganden mellan medlemmar eller medlemmar och operatörer ligger utanför ramen för denna deklaration.

  12. Om operatören vill avsluta sin verksamhet i Ena federationsinfrastruktur, kommer den att meddela detta tolv månader i förväg till Ena federationsråd i enlighet med Ramverk för Enas federationsinfrastruktur.

  13. Operatören ska på begäran av ledningsaktör lämna uppgifter om hur verksamheten ägs och styrs.

  14. Operatören ska förfoga över tillräckliga ekonomiska medel för att kunna bedriva verksamheten i minst ett år.

  15. Operatören som upphör med sin verksamhet ska informera sina medlemmar och Ena federationsråd. Den ska hålla arkiverat material tillgängligt. Tiden för bevarande ska inte understiga tio år och material ska kunna tas fram i läsbar form under hela denna tid, såvida inte krav på gallring påkallas ur integritetssynpunkt och har stöd i lag eller annan författning.

  16. Operatören som inte är en myndighet ska drivas som registrerad juridisk person samt teckna och vidmakthålla för verksamheten erforderliga försäkringar.

  17. Operatören åtar sig att tillhandahålla kontaktuppgifter (namn, efternamn, telefonnummer, mejladress – företrädesvis en funktionsbrevlåda) till följande roller i sin verksamhet:
    a. Kontaktperson för Avtalet och administrativa frågor,
    b. Kontaktperson som är behörig att anmäla uppgifter för interfederering om manuell hantering skulle vara nödvändig,
    c. Kontaktperson som är behörig att hantera säkerhetsincidenter,
    d. Kontaktperson för supportfrågor.

  18. Skulle någon bestämmelse i denna deklaration befinnas vara ogiltig, olaglig eller otillåten i någon jurisdiktion ska detta inte påverka giltigheten, lagenligheten eller verkställigheten av någon annan bestämmelse. Federationen går med på att ersätta en sådan bestämmelse med en bestämmelse som har väsentligen samma verkan men som inte är ogiltig, olaglig eller ej verkställbar.

  19. Begreppen i denna federationsdeklaration ska ha den betydelse som anges i Ramverket för Enas federationsinfrastruktur.

  20. Särskilda tekniska krav:
    a. Vid interfedering av SAML-metadata ska operatören tydligt märka sina entiteter (medlemmarnas metadata) med vilken federation entiteterna kommer ifrån (genom att fylla i attributen ”Registration Authority” i metadatafilen. ”Registration Authority” är därmed en unik identifierare för SAML-federationen).


Operatörens underskrift genom behörig företrädare. Genom undertecknandet ges ovan angivna kontaktpersoner fullmakt/intygas att ovan angivna kontaktpersoner är behöriga att för operatörens räkning agera inom ramen för respektive angiven funktion.


Datum:

Ort:

Behörig företrädares namnanteckning:

Namnförtydligande:

Bilagda behörighetshandlingar för undertecknare:


  • No labels