LÅST FÖR REDIGERING P.G.A DELNING
Vad anslutning avser
Anslutning avser organisationen som juridisk part i federationen, inte dess tekniska komponenter.
Kontrollernas uppgift är att fastställa vem som blir part i federationen. Det innebär att kontrollera att organisationen existerar och kan identifieras entydigt, att avtalet eller överenskommelsen ingås av en person med rätt att binda organisationen och att organisationen har utsett namngivna personer med dokumenterade mandat för den fortsatta relationen med federationen.
Anslutning och registrering är två skilda steg i den federativa modellen.
Anslutning avser organisationens inträde som part i federationen. Vid anslutning prövas organisationens identitet, företrädarskap och de roller som organisationen utser för den fortsatta relationen med federationen.
Registrering av tekniska komponenter avser de klienter, auktorisationstjänster, API:er eller andra tekniska komponenter som organisationen ansvarar för och vill använda inom en federationskontext. Dessa komponenter behöver registreras enligt tillämpliga registreringskrav innan de kan användas inom BAS.
En organisation kan därför vara ansluten som federationsmedlem utan att alla dess tekniska komponenter är registrerade eller godkända för användning inom BAS.
Varför detta är grunden
Varje federativ tillitskedja slutar ytterst i en organisation. När en part förlitar sig på att en viss organisation ansvarar för en viss teknisk komponent bygger den förlitan på att organisationens identitet, företrädarskap och ansvarsförhållande har verifierats.
Anslutning är därför inte endast en engångskontroll. Kraven omfattar även periodisk re-verifiering, händelsestyrd uppföljning och hantering av förändringar i roller, kontaktvägar, företrädare och organisationsförhållanden.
Genom anslutningen etableras den organisatoriska grunden för den tillit som senare uttrycks tekniskt genom metadata, nyckelmaterial, registreringsuppgifter och tillitsmärken. Om organisationens identitet eller företrädarskap är oklart påverkas tilliten till de tekniska komponenter som organisationen ansvarar för.
Två dokument – två roller med olika krav
Det finns två huvudsakliga dokument för anslutning, eftersom olika roller i federationen medför olika ansvar och olika risknivå.
- Krav och vägledning för anslutning av federationsmedlemmar gäller organisationer som ansluter sig för att tillhandahålla eller konsumera digitala tjänster inom federationen. Federationsmedlemmen är den organisation som ansvarar för sina tekniska komponenter och för den användning som sker inom ramen för tillämpliga federationskontexter.
- Krav vid anslutning av anslutningsoperatörer gäller organisationer som ska verka som betrodd operativ part och utföra verifieringar av federationsmedlemmar eller deras tekniska komponenter. Anslutningsoperatören har därmed en mer kvalificerad roll i tillitsmodellen.
Eftersom anslutningsoperatörens tillförlitlighet påverkar tilliten till de anslutningar och registreringar som operatören hanterar ställs högre krav på denna roll. Det kan bland annat avse finansiell stabilitet, organisatorisk mognad, dokumenterade och faktiskt tillämpade processer, spårbar ärendehantering, informationssäkerhet och återkommande revision.
Skillnaden i kravnivå är avsiktlig. Kraven ska stå i proportion till den roll organisationen tar i federationen och till konsekvenserna av brister i rollen.
Sammanfattande princip
Anslutningen fastställer vilken organisation som deltar i federationen och vilket ansvar organisationen har. Registreringen fastställer vilka tekniska komponenter organisationen får använda inom en federationskontext.
Båda stegen behövs för att en mottagande part ska kunna förlita sig på att en teknisk komponent är federativt identifierbar, kopplad till en ansvarig organisation och registrerad enligt de krav som gäller för BAS.