Metadata

1. Identitet

  • Domän: Juridisk, organisatorisk och teknisk interoperabilitet
  • Version: 0.1
  • Status: UTKAST [Utkast / Remiss / Fastställd / Ersatt / Arkiverad]

2. Syfte och tillämpning

  • Syfte: Denna policy fastställer krav och kontroller vid registrering av tekniska komponenter med koppling till organisatoriskt ansvar.
  • Målgrupp:
    • Primär: Federationsoperatör och Anslutningsoperatör
    • Sekundär: Federationsmedlem
  • Typ av normativt artefakt: Policy [Villkor / Policy / Ramverk / Krav / Profil/Specifikation / Annat]
  • Relationer till andra artefakter: Villkorsbilaga B, (Registeringspolicy för teknisk komponent)

3. Anteckningar (materiella oklarheter)

  • [Punktlista: saker vi måste komma ihåg men där regleringsplats/ansats inte är bestämd]

4. To do (uppföljningsbara åtgärder)

ID Åtgärd Orsak/nytta Beroende Ansvar (roll) Deadline Status
TD-001

1. Syfte

Denna policy fastställer villkor, principer och processer för registrering av tekniska komponenter, inklusive verifiering av organisationskoppling, inom ramen för Samordnad identitet och behörighet.

Syftet är att säkerställa att registrerade tekniska komponenter har en verifierbar och spårbar koppling till den federationsmedlem som ansvarar för dem, samt till den behöriga uppgiftslämnare som har initierat och genomfört registreringen av tillhörande metadata. Detta möjliggör för andra aktörer att bedöma vilken organisation som står bakom en komponent, vilket nyckelmaterial som är knutet till den och under vilka förutsättningar den kan användas inom ett eller flera federationskontexter.

Policyn ska skapa förutsättningar för tillit till tekniska komponenter genom en enhetlig och kontrollerad registreringsprocess, där ansvar, ursprung och förändringar kan verifieras och följas över tid.

Policyn tillämpas efter att en organisation har anslutits som federationsmedlem i enlighet med tillämplig anslutningspolicy och utgör en operationalisering av de krav som följer av federationsplattformens regelverk för registrering av tekniska komponenter.

2. Vad andra parter kan förutsätta

När en teknisk komponent har registrerats enligt denna policy får andra parter förutsätta att:

  1. komponenten är knuten till en federationsmedlem som har anslutits i enlighet med tillämplig anslutningspolicy,
  2. organisationskopplingen mellan komponent och federationsmedlem har verifierats och är spårbar,
  3. registreringen har genomförts av en identifierad och verifierad uppgiftslämnare som agerar för federationsmedlemmens räkning,
  4. komponentens metadata har verifierats av anslutningsoperatören i enlighet med denna policy och tillämpliga tekniska krav,
  5. publicerade uppgifter om komponenten omfattas av federationens regler för spårbarhet, förändringshantering och uppföljning.

Notera: Registreringen innebär inte i sig att komponenten har rätt att få tillgång till viss information, utföra viss rättshandling eller på annat sätt agera inom eller mellan federationskontexter. Sådana rättigheter följer av tillämpliga avtal, policyer och övriga regelverk.

3. Registreringsprocess

3.1. Nyregistrering av teknisk komponent

Vid nyregistrering ska ett registreringsärende upprättas och loggas. Ärendet ska knytas till berörd federationsmedlem samt till den uppgiftslämnare som initierar registreringen.

Federationsmedlemmen ska tillhandahålla de uppgifter som krävs för att komponenten ska kunna identifieras, valideras och publiceras inom federationen. Uppgifterna ska vara fullständiga, aktuella och lämnade i enlighet med tillämpliga tekniska krav och profiler.

Validering
Följande ska verifieras innan registrering får genomföras:

  1. Den organisation som ansvarar för den tekniska komponenten ska vara ansluten som federationsmedlem i enlighet med tillämplig anslutningspolicy.
  2. Uppgiftslämnaren ska vara identifierad och verifierad som behörig företrädare för federationsmedlemmen. Identifiering ska ske genom legitimering med e-legitimation på minst tillitsnivå 3 (LoA3) eller motsvarande.
  3. Metadata ska verifieras uppfylla tillämpliga tekniska krav enligt SIB:s tekniska ramverk.
  4. Registrerat organisationsnamn ska vara det juridiskt registrerade bolagsnamnet (modernare språk är bolagsnamnet). 

Om samtliga krav är uppfyllda ska komponenten registreras. Om kraven inte är uppfyllda ska registrering inte genomföras förrän bristerna har åtgärdats.

Registrering och publicering

  1. Metadata ska innehålla en referens till registreringspolicy-URI https://id.ena-infrastructure.se/regpolicy/v1/orgconnection
  2. Följande metadata ska vara låsta efter godkänd registrering och får inte ändras genom uppdatering:
    – organisationsidentifierare
    – organisationsnamn

Efter godkänd registrering ska komponentens metadata publiceras i enlighet med gällande regler.

3.2. Uppdatering

Uppdatering innebär ändring av metadata eller andra registrerade uppgifter för en befintlig komponent.

Följande principer ska gälla:

  1. uppdateringar ska vara spårbara med uppgift om vem, vad, när och varför,
  2. uppdaterad metadata verifieras att den är följsam mot SIB tekniska ramverk, kapitel 3.2 (hittepå) i det fall att metadata hostas av anslutningsoperatören.

Ändringar av uppgifter som påverkar tillit eller trafikflöden ska riskbedömas och, när så krävs, valideras på nytt.

3.3. Avregistrering och återkallelse

Avregistrering innebär att komponents metadata inte längre publicerad och är därmed inte heller upptäckbar. 

En teknisk komponent ska avregistreras när:

  1. federationsmedlemmen begär avregistrering,
  2. federationsmedlemmen inte efterlever federationens regler.

Varje Anslutningsoperatören beslutar om avregistrering för dem federationsmedlemmar som anslutit via dem. Avregistrering innebär avpublicering av metadata enligt federationens regler, dokumentera beslutet och underrätta federationsmedlemmen.



  • No labels