Ladda ner i pdf-format (nytt fönster) - E-delegationen
Ladda ner i pdf-format (nytt fönster) - E-delegationen
Ladda ner i pdf-format (nytt fönster) - E-delegationen
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
E-NÄMNDEN 04:02 1 (19)<br />
Dnr 2004/8-3<br />
Grundläggande vägledning för<br />
myndigheternas användning av elegitimatio<strong>ner</strong><br />
och elektroniska underskrifter<br />
Denna Grundläggande vägledning för myndigheternas användning av elegitimatio<strong>ner</strong><br />
och elektroniska underskrifter (e-nämnden 04:02) har<br />
fastställts av e-nämnden den 9 juni 2004. Gustaf Johnssén, kansliansvarig,<br />
deltog i den slutliga handläggningen.<br />
Alf Nilsson<br />
Innehåll<br />
/Gustaf Johnssén<br />
Inledning 2<br />
1 Det samordnade området 2<br />
2 Myndighet som avropar ID-tjänster 4<br />
3 Utfärdare av e-legitimatio<strong>ner</strong> 5<br />
4 Innehavare av e-legitimatio<strong>ner</strong> 9<br />
Fysiska perso<strong>ner</strong> som sökande och innehavare av e-legitimatio<strong>ner</strong> 9<br />
Förlitande part 11<br />
5 Myndigheter 11<br />
Myndigheten som sökande och utställare 11<br />
Myndigheten som förlitande part 12<br />
Myndigheten som tillhandahållare av e-tjänster m.m. 13<br />
6 Helhetslösningar m.m. 15<br />
7 Säkerhetsskydd och standarder, m.m. 15<br />
Bilaga 1 – Begrepp och definitio<strong>ner</strong> 17
Inledning<br />
Denna vägledning gäller för användningen av ID- och infratjänster som<br />
upphandlats av Statskontoret. Dessa tjänster avses stödja 24-timmarsmyndigheterna<br />
vid införandet av e-legitimatio<strong>ner</strong> och elektroniska underskrifter<br />
m.m. Användare av dessa tjänster är myndigheter och fysiska perso<strong>ner</strong> i<br />
deras egenskap av privatperso<strong>ner</strong> eller företrädare för företag, t.ex.<br />
firmatecknare eller ombud. Andra sätt att företräda ett företag omfattas inte<br />
av vägledningen och har heller inte upphandlats. Vägledningen anger inte<br />
heller vilka krav som en myndighet skall ställa på in<strong>format</strong>ionssäkerheten i<br />
det enskilda fallet. Den internationella utvecklingen och frågor om in<strong>format</strong>ionssäkerhet<br />
kommer att bevakas i E-nämndens fortsatta arbete.<br />
1 Det samordnade området<br />
1.1 Denna vägledning gäller ruti<strong>ner</strong> och säkerhetskrav på<br />
myndighetsområdet för att<br />
1. utfärda, använda, spärra och kontrollera spärr av elektroniska<br />
identitetshandlingar (e-legitimatio<strong>ner</strong>),<br />
2. identifiera den som legitimerar sig, kontrollera om en elektroniskt<br />
undertecknad handling är äkta och använda anknytande funktio<strong>ner</strong> för<br />
skydd, och<br />
3. bedöma vilka ID-tjänster som tillgodoser säkerhetskraven inom en etjänst.<br />
Syftet med samordningen är att e-legitimatio<strong>ner</strong>, elektroniska underskrifter<br />
och anknytande funktio<strong>ner</strong> skall bli förenliga med gällande rätt och enkla att<br />
förstå och använda.<br />
1.2 En fysisk person, som inte företräder en myndighet, använder en IDtjänst<br />
för<br />
1. legitimering vid<br />
a. tillträde, för att elektroniskt få tillgång till uppgifter som får lämnas<br />
ut till honom eller henne och för att få skydd mot att obehöriga får<br />
tillgång till uppgifterna under sken av att vara honom eller henne,<br />
a. uppgiftslämnande, för att få lämna uppgifter elektroniskt och för att<br />
få skydd mot att obehöriga lämnar uppgifter under sken av att vara<br />
honom eller henne,<br />
2. identifiering av myndighet, för att kontrollera till vilken myndighets<br />
webbplats eller e-tjänst som anslutning har skett,<br />
2
3. elektronisk underskrift, för att ställa ut elektroniska handlingar som är<br />
skyddade mot förfalskning och förnekande av elektronisk underskrift på<br />
motsvarande sätt som en handling som är undertecknad på traditionellt<br />
sätt,<br />
4. kontroll av elektronisk underskrift, för att granska om en elektroniskt<br />
undertecknad handling är utställd av den som har angetts som<br />
undertecknare,<br />
5. kontroll av myndighetens elektroniska stämpel, för att granska om en<br />
stämplad elektronisk handling härrör från den myndighet som har<br />
angetts som utställare, och<br />
6. insynsskydd, för att genom kryptering hindra obehöriga från att ta del av<br />
in<strong>format</strong>ionen.<br />
1.3 En myndighet använder en ID-tjänst för<br />
1. identifiering vid<br />
a. tillträde, för att kunna ge tillgång till uppgifter elektroniskt så att inte<br />
obehöriga får ut uppgifterna,<br />
b. uppgiftslämnande, för att kontrollera vem som är ansluten till<br />
myndighetens e-tjänst när vissa uppgifter lämnas,<br />
2. identifiering av annan myndighet, för att kontrollera till vilken<br />
myndighets webbplats eller e-tjänst som anslutning har skett,<br />
3. elektronisk underskrift, för att ställa ut elektroniska handlingar, som är<br />
skyddade mot förfalskning eller förnekande av underskrift på<br />
motsvarande sätt som en handling som har undertecknats av en<br />
handläggare på traditionellt sätt,<br />
4. kontroll av elektronisk underskrift, för att granska om en elektroniskt<br />
undertecknad handling som har kommit in till myndigheten eller<br />
upprättats vid myndigheten är utställd ut av den som angetts som<br />
undertecknare,<br />
5. myndighetens elektroniska stämpel, för att ställa ut elektroniska<br />
handlingar som är skyddade mot förfalskning på motsvarande sätt som<br />
en traditionell handling i vilken en myndighet anges som utställare<br />
genom särskilt tryck eller på annat liknande sätt,<br />
6. kontroll av en annan myndighets elektroniska stämpel, för att granska<br />
om en stämplad elektronisk handling härrör från den myndighet som har<br />
angetts som utställare, och<br />
7. insynsskydd, för att genom kryptering hindra obehöriga från att ta del av<br />
in<strong>format</strong>ionen.<br />
3
1.4 E-legitimatio<strong>ner</strong> kan utfärdas för fysiska perso<strong>ner</strong>, som personlig elegitimation<br />
eller tjänstelegitimation. För myndigheter kan e-legitimatio<strong>ner</strong><br />
utfärdas som serverlegitimation eller e-legitimation för myndighetens<br />
elektroniska stämpel. E-legitimatio<strong>ner</strong>na används enligt följande:<br />
1. Personlig e-legitimation används av fysiska perso<strong>ner</strong> när de<br />
kommunicerar elektroniskt med myndigheter. I en myndighets<br />
verksamhet kan en personlig e-legitimation användas som<br />
tjänstelegitimation.<br />
2. Tjänstelegitimation används av handläggare vid myndigheter när de<br />
kommunicerar elektroniskt i egenskap av anställd eller uppdragstagare<br />
hos myndigheten. En tjänstelegitimation som en myndighet bör godta<br />
enligt 5.9 får användas som personlig e-legitimation.<br />
3. Serverlegitimation brukas för att användare skall kunna identifiera en<br />
myndighets webbplats eller e-tjänst med vilken de kommunicerar och<br />
skydda denna kommunikation mot obehörig insyn.<br />
4. E-legitimation för myndighetens elektroniska stämpel används av<br />
myndigheter när de ställer ut elektroniska handlingar som skyddas mot<br />
förfalskning och förnekande så att det kan kontrolleras att den<br />
elektroniska handlingen har ställts ut av myndigheten, eller inom ramen<br />
för ett visst verksamhetsområde inom myndigheten, och inte har ändrats.<br />
1.5 E-legitimatio<strong>ner</strong> enligt 1.4 skall ha det innehåll och <strong>format</strong> som anges i<br />
Statskontorets ramavtal för ID-tjänster.<br />
2 Myndighet som avropar ID-tjänster<br />
2.1 En myndighet som inför elektronisk identifiering och elektroniska<br />
underskrifter kan avropa ID-tjänster som omfattas av ramavtal med<br />
Statskontoret.<br />
2.2 In<strong>format</strong>ion om ramavtalen finns på Statskontorets webbplats för ITupphandling<br />
(http://it-upphandling.statskontoret.se).<br />
2.3 På Statskontorets webbplats finns ge<strong>ner</strong>ell in<strong>format</strong>ion för avrop enligt<br />
ramavtalet; dels en vägledning till ramavtalet, dels skriften ”Statskontorets<br />
ramavtal – en introduktion för dig som är inköpare”<br />
(http://www.statskontoret.se/<strong>pdf</strong>/2000102.<strong>pdf</strong>).<br />
4
3 Utfärdare av e-legitimatio<strong>ner</strong><br />
Tillförlitliga regler och ruti<strong>ner</strong><br />
3.1 Den som utfärdar e-legitimatio<strong>ner</strong> som godtas enligt 5.9 (utfärdaren)<br />
skall ha sådana regler och ruti<strong>ner</strong> att det finns fog för att lita på elegitimatio<strong>ner</strong>na<br />
och tillhörande ID-tjänst.<br />
Ansökan<br />
3.2 Personliga e-legitimatio<strong>ner</strong> och tjänstelegitimatio<strong>ner</strong> som godtas enligt<br />
5.9 får utfärdas endast efter skriftlig ansökan i traditionell pappersbaserad<br />
form. Ansökan skall vara undertecknad på traditionellt sätt, med intyg om<br />
att lämnade uppgifter är riktiga och fullständiga.<br />
3.3 Om en sökande har identifierats enligt 3.9 får en sådan motsvarighet till<br />
legitimering för uppgiftslämnande ersätta en underskrift enligt 3.2.<br />
3.4 Ansökan skall innehålla uppgifter enligt 1.5 och de övriga uppgifter som<br />
behövs i e-legitimationen eller för utfärdarens kontroller och för ID-tjänsten<br />
i övrigt.<br />
3.5 I avtal med den sökande skall utfärdaren, som villkor för att utfärda elegitimatio<strong>ner</strong><br />
och ställa tillhörande tjänster till förfogande, föreskriva att de<br />
sökande skall skydda sin e-legitimation och säkerhetskod enligt 4.10 och<br />
4.11 och välja säkerhetskod och använda ID-programvara och utrustning<br />
enligt 4.7 och 4.8.<br />
3.6 Utfärdare av e-legitimatio<strong>ner</strong> skall informera de sökande om<br />
avtalsvillkorens innehåll. En utfärdare som vill införa villkor som inte finns<br />
med i själva ansökningshandlingen skall tydligt hänvisa till villkoren och<br />
utforma ruti<strong>ner</strong>na så att villkoren kommer sökanden tillhanda innan denne<br />
undertecknar eller annars bekräftar sin ansökan enligt 4.2 eller 4.3.<br />
3.7 Utfärdaren skall tillhandahålla uppgifter om avtal, villkor, policies,<br />
utfärdardeklaratio<strong>ner</strong>, regelverk och anknytande uppgifter till innehavare av<br />
e-legitimatio<strong>ner</strong>, förlitande parter och andra som behöver uppgifterna i<br />
samband med kontroller enligt 4.14 och 5.4 – 5.7. Detta innebär inte att<br />
utfärdaren behöver röja företagshemligheter eller uppgifter som skulle<br />
kunna äventyra in<strong>format</strong>ionssäkerheten om de blev tillgängliga.<br />
Identifiering av sökande<br />
3.8 Utfärdaren skall identifiera den sökande vid personligt besök, på<br />
likvärdigt sätt som vid en ansökan om en SIS-godkänd identitetshandling.<br />
3.9 Om en sökande redan har identifierats vid ett personligt besök för att få<br />
använda bank på Internet eller någon liknande tjänst för ekonomiskt eller<br />
rättsligt betydelsefulla mellanhavanden får utfärdaren identifiera den<br />
sökande genom denna tjänst i stället för enligt 3.8. Denna elektroniska rutin<br />
får dock inte användas om den har spärrats eller om det annars kan antas att<br />
den inte identifierar den sökande på ett tillräckligt säkert sätt.<br />
5
3.10 Identifiering av en sökande vid förnyelse av en e-legitimation som<br />
godtas enligt 5.9 får ske genom att innehavaren legitimerar sig eller<br />
undertecknar med den privata nyckel som hör till e-legitimationen för att<br />
därigenom visa att han eller hon innehar nyckeln.<br />
Kontroll av uppgifter och produktion och utlämnande av e-legitimation<br />
3.11 En utfärdare av en e-legitimation skall<br />
1. kontrollera att ansökan om e-legitimation är behörigen undertecknad på<br />
papper eller lämnad elektroniskt enligt 4.3 och att de uppgifter som den<br />
sökande lämnar enligt 4.2 är fullständiga och stämmer överens med<br />
uppgifter som finns registrerade i SPAR-registret eller något annat<br />
officiellt register,<br />
2. producera e-legitimatio<strong>ner</strong> på ett säkert sätt och förse dem med en<br />
elektronisk underskrift eller en elektronisk stämpel, och<br />
3. befordra e-legitimatio<strong>ner</strong> till innehavaren på ett säkert sätt. Detsamma<br />
gäller för privata nycklar och säkerhetskoder som inte ge<strong>ner</strong>eras eller<br />
väljs av innehavaren.<br />
3.12 Om en utfärdare tillhandahåller privata nycklar och säkerhetskoder<br />
skall dessa befordras<br />
1. i separata försändelser och lämnas ut till sökanden vid personligt besök<br />
hos utfärdaren eller ett ombud för utfärdaren, eller<br />
2. genom ett elektroniskt förfarande som är förenligt med 3.9.<br />
3.13 Privata nycklar som utfärdare använder för att underteckna eller<br />
stämpla e-legitimatio<strong>ner</strong> skall skyddas genom särskilt tillförlitliga ruti<strong>ner</strong><br />
och bör användas endast för att ställa ut e-legitimatio<strong>ner</strong> och<br />
spärrin<strong>format</strong>ion.<br />
Utformning av ID-programvara och utrustning<br />
3.14 En utfärdare bör förse innehavare av e-legitimatio<strong>ner</strong> med programvara<br />
för att hantera privata nycklar och säkerhetskoder på ett pålitligt sätt inom<br />
ramen för ID-tjänsten. Sådan ID-programvara – och utrustning, för det fall<br />
att aktiva kort eller andra hårdvaruskydd ingår – skall ha ut<strong>format</strong>s så att det<br />
krävs en aktiv handling för att legitimera sig eller underteckna och<br />
insynsskydda handlingar. Ruti<strong>ner</strong>na bör ta sikte på att likna de<br />
omständigheter som innehavaren av e-legitimationen ställs inför när han<br />
eller hon<br />
1. fattar en penna och skriver under,<br />
2. visar upp en traditionell legitimationshandling för identitetskontroll,<br />
respektive<br />
6
3. försluter eller öppnar ett vanligt kuvert eller ett annat slutet förvar.<br />
Utformning av programvara för dokumenthantering<br />
3.15 I det fall en utfärdare av e-legitimatio<strong>ner</strong> eller en myndighet förser<br />
innehavare av e-legitimatio<strong>ner</strong> med en programvara för att granska utkast<br />
till dokument eller presentera underskrivna eller stämplade dokument, skall<br />
programvaran utformas så att<br />
1. den möjliggör tydlig och lättbegriplig presentation av e-legitimatio<strong>ner</strong><br />
och anknytande uppgifter om spärrkontroll, och<br />
2. en innehavare som läser ett utkast eller ett undertecknat eller stämplat<br />
dokument<br />
a. tydligt kan se<br />
i. all text, och<br />
ii. om texten är undertecknad respektive stämplad, samt<br />
b. inte förväxlar<br />
i. den text som granskas, för att undertecknas eller<br />
stämplas, med annan text,<br />
ii. den underskrivna eller stämplade texten med oskyddad<br />
text eller med text som hör till andra dokument, eller<br />
iii. vidimerade handlingar med andra handlingar eller<br />
dokument.<br />
3.16 Om en programvara enligt 3.15 för granskning av handlingar stöder<br />
hantering av handlingar i olika versio<strong>ner</strong> eller liknande bör särskilt beaktas<br />
att underskrifter och stämplar inte får presenteras så att det finns risk för att<br />
läsaren missförstår vad som har undertecknats eller stämplats.<br />
Spärrtjänst och spärrkontrolltjänst<br />
3.17 En utfärdare skall tillhandahålla en tjänst där en innehavare kan spärra<br />
sin e-legitimation (spärrtjänst). Tjänsten skall ha god tillgänglighet och<br />
utfärdaren skall behandla anmälan om spärr skyndsamt.<br />
3.18 En utfärdare skall göra uppgifter om spärr av e-legitimatio<strong>ner</strong><br />
tillgängliga för den som skall bedöma om han eller hon kan lita på en viss elegitimation<br />
(spärrkontrolltjänst). Uppgifter om spärr kan tillhandahållas<br />
genom spärrlistor som utfärdaren uppdaterar med korta intervaller eller<br />
genom en tjänst för transaktionsbaserad giltighetskontroll. Utfärdaren bör<br />
hålla sådana uppgifter tillgängliga även för andra som behöver dem för att<br />
kontrollera om en undertecknad elektronisk handling är äkta.<br />
3.19 En förlitande parts kontroller och bedömningar enligt 4.14 och 5.4 –<br />
5.7 bör automatiseras enligt 6.2 eller på annat sätt underlättas med stöd av<br />
helhetslösningar så att den förlitande parten enkelt kan överblicka och förstå<br />
åtgärdernas innebörd.<br />
7
Arkivfrågor<br />
3.20 Utfärdare skall arkivera<br />
1. ansökningshandlingar och handlingar som rör utlämnande och<br />
mottagande av nycklar och e-legitimatio<strong>ner</strong>, anmälningar om spärr samt<br />
handlingar om spärr som tillhandahållits av utfärdaren,<br />
2. avtal om ID-tjänster samt policydokument och utfärdardeklaratio<strong>ner</strong>,<br />
och<br />
3. övriga handlingar och uppgifter som kan behövas för att kontrollera<br />
elektroniska underskrifter och stämplar, identifiera perso<strong>ner</strong> och<br />
myndigheter och hantera insynsskydd.<br />
3.21 Handlingarna skall bevaras och skyddas under den tid som behövs för<br />
att tillgodose ändamålen med elektroniska underskrifter m.m. Tiden för<br />
bevarande bör inte understiga tio år och material skall kunna tas fram i<br />
läsbar form under hela denna tid. Myndigheter och andra organ för vilka<br />
arkivlagen (1990:782) gäller får gallra allmänna handlingar endast om<br />
åtgärden har stöd i lag eller annan författning eller beslut om gallring.<br />
3.22 Utfärdare bör lämna ut in<strong>format</strong>ion om enskilda händelser på begäran<br />
av den som behöver kontrollera en underskrift eller en stämpel. Arkiverat<br />
material får emellertid inte lämnas ut i strid mot lag eller författning eller<br />
avtal med innehavaren av e-legitimationen.<br />
3.23 En utfärdare som upphör med sin ID-tjänst skall informera innehavare<br />
av e-legitimatio<strong>ner</strong> och förlitande parter som slutit avtal om ID-tjänsten.<br />
Utfärdaren skall hålla arkiverat material tillgängligt enligt 3.21 och 3.22.<br />
Serverlegitimation och e-legitimation för myndighetens elektroniska stämpel<br />
3.24 Bestämmelserna om personliga e-legitimatio<strong>ner</strong> och<br />
tjänstelegitimatio<strong>ner</strong> gäller i tillämpliga delar för serverlegitimatio<strong>ner</strong> och elegitimatio<strong>ner</strong><br />
för myndighetens elektroniska stämpel.<br />
3.25 En serverlegitimation skall säkerställa kopplingen till myndighetens<br />
webbplats eller e-tjänst genom att intyga att det är myndigheten som innehar<br />
eller annars använder angivet domännamn. En e-legitimation för<br />
myndighetens elektroniska stämpel skall individualisera myndigheten<br />
genom namn och organisationsnummer. När ytterligare uppgifter behövs för<br />
att särskilja en verksamhetsgren inom en myndighet bör den benämning<br />
under vilken myndigheten driver sin verksamhet eller en verksamhetsgren<br />
användas.<br />
3.26 En utfärdare får lämna ut en serverlegitimation eller en e-legitimation<br />
för myndighetens elektroniska stämpel och tillhörande privata nycklar<br />
endast till den som har legitimerat sig med en SIS-godkänd<br />
legitimationshandling eller på motsvarande sätt och visat att han eller hon är<br />
behörig att företräda myndigheten i berörda frågor. Utlämnande får ske först<br />
8
efter att företrädaren har tagit emot in<strong>format</strong>ion om hur och till vad elegitimationen<br />
får användas.<br />
Utfärdarens ansvar<br />
3.27 En utfärdares ansvar gentemot innehavare av e-legitimatio<strong>ner</strong> bör<br />
regleras i avtal mellan parterna. Detsamma gäller för ansvaret mot en<br />
förlitande part.<br />
3.28 Utfärdaren kan anlita någon annan för att utföra delar av verksamheten<br />
men skall i förhållande till innehavare av e-legitimatio<strong>ner</strong> och förlitande<br />
parter ansvara som om utfärdaren hade utfört hela arbetet själv.<br />
4 Innehavare av e-legitimatio<strong>ner</strong><br />
4.1 Innehavare av e-legitimatio<strong>ner</strong> kan bl.a. legitimera sig och underteckna<br />
elektroniskt. Innehavare kan också agera som förlitande part som tar emot<br />
och kontrollerar undertecknade eller stämplade handlingar. I detta avsnitt<br />
ges regler och ruti<strong>ner</strong> för fysiska perso<strong>ner</strong> som ansöker om, tilldelas och<br />
använder personliga e-legitimatio<strong>ner</strong> och litar på tjänstelegitimatio<strong>ner</strong>, elegitimatio<strong>ner</strong><br />
för myndighetens elektroniska stämpel eller<br />
serverlegitimatio<strong>ner</strong> samt anknytande ruti<strong>ner</strong> enligt 1.2.<br />
En reglering i enlighet med denna vägledning avses ske genom avtal mellan<br />
utfärdare och innehavare av e-legitimatio<strong>ner</strong>.<br />
Fysiska perso<strong>ner</strong> som sökande och innehavare av elegitimatio<strong>ner</strong><br />
Ansökan och avtalsvillkor<br />
4.2 Fysiska perso<strong>ner</strong> ansöker om e-legitimation. Den sökande skall<br />
skriftligen lämna de uppgifter som behövs enligt 3.4 och underteckna<br />
ansökan i traditionell pappersbaserad form, med intyg om att lämnade<br />
uppgifter är riktiga och fullständiga.<br />
4.3 Om en sökande redan har identifierats vid ett personligt besök för att få<br />
använda bank på Internet eller någon liknande tjänst för ekonomiskt eller<br />
rättsligt betydelsefulla mellanhavanden bör han eller hon få använda<br />
elektroniska ruti<strong>ner</strong> enligt 3.9 för att ansöka om e-legitimation, utan krav på<br />
underskrift enligt 4.2.<br />
Detsamma gäller vid ansökan om förnyelse av en e-legitimation som godtas<br />
enligt 5.9. Innehavaren skall underteckna med en privat nyckel som hör till<br />
e-legitimationen.<br />
4.4 Innan ansökan sker bör den sökande ta del av utfärdarens villkor och<br />
in<strong>format</strong>ion enligt 3.5 – 3.6 samt tydligt ange om han eller hon till någon del<br />
9
inte godtar villkoren. En innehavares ansvar mot utfärdaren och mot<br />
förlitande parter vid fel eller försummelse bör regleras i villkoren.<br />
Identifiering<br />
4.5 Den som ansöker om en e-legitimation skall vidta de åtgärder som<br />
behövs för att en utfärdare skall kunna identifiera den sökande enligt 3.8<br />
eller 3.9.<br />
Mottagande och hantering av e-legitimation och nycklar m.m.<br />
4.6 En sökande som fått ansökan beviljad, men inte själva har valt<br />
säkerhetskod och ge<strong>ner</strong>erat nycklar, tilldelas privata nycklar, säkerhetskoder<br />
och e-legitimatio<strong>ner</strong> på det sätt som utfärdaren tillämpar enligt 3.12. Dessa<br />
nycklar och säkerhetskoder skall behandlas enligt villkoren i innehavarens<br />
avtal med utfärdaren.<br />
4.7 En innehavare av e-legitimatio<strong>ner</strong> som själv väljer sina säkerhetskoder<br />
får inte använda sådana som är enkla att lista ut (jfr 3.5).<br />
4.8 En innehavare av en e-legitimation bör använda den ID-programvara<br />
och utrustning samt programvara för dokumenthantering, som utfärdaren<br />
eller en myndighet tillhandahåller enligt 3.14, 3.15 eller 5.21, så att<br />
legitimering, elektronisk underskrift och kryptering för insynsskydd sker<br />
med tillförlitliga ruti<strong>ner</strong> (jfr 3.5).<br />
Skydd för e-legitimatio<strong>ner</strong> och säkerhetskoder m.m.<br />
4.9 En innehavare av en e-legitimation skall skydda sin e-legitimation så att<br />
ingen annan får tillgång till den och sin säkerhetskod så att ingen annan kan<br />
få reda på den.<br />
4.10 Åtgärder enligt 4.9 består i att bl.a.<br />
1. skydda datorer och annan utrustning där e-legitimationen förvaras eller<br />
används,<br />
2. välja en säkerhetskod som inte är lätt att lista ut, och<br />
3. hålla säkerhetskoden hemlig och inte anteckna säkerhetskoden på ett sätt<br />
eller på en plats som gör att den kan kopplas till e-legitimationen.<br />
Anmälan om spärr<br />
4.11 En innehavare av en e-legitimation skall göra en spärranmälan snarast<br />
efter att han eller hon upptäcker att det finns anledning att spärra<br />
legitimationen. Anledning att spärra kan föreligga bl.a. om uppgifter i elegitimationen<br />
visat sig vara felaktiga eller har blivit felaktiga, t.ex. till följd<br />
av att innehavaren bytt namn, eller att ID-programvara eller utrustning har<br />
förvarats utan tillräckligt skydd så att en privat nyckel eller en säkerhetskod<br />
kan ha blivit tillgänglig för någon annan.<br />
10
Förlitande part<br />
4.12 En fysisk person som inte företräder en myndighet kan kontrollera om<br />
elektroniskt undertecknade eller stämplade handlingar är äkta samt<br />
identifiera en webbserver eller en e-tjänst som han eller hon har anslutits till.<br />
För handläggare finns regler i avsnitt 5.<br />
4.13 En förlitande part svarar för kontroll och bedömning av säkerhetsnivå<br />
och användningsområde, giltighetskontroll, spärrkontroll och kontroll av<br />
elektronisk underskrift eller stämpel samt för att bereda sig tillgång till de<br />
uppgifter som behövs för dessa kontroller.<br />
Reglerna i 5.4 – 5.7 skall tillämpas på motsvarande sätt vid kontroller och<br />
bedömningar enligt första stycket.<br />
Format och ruti<strong>ner</strong> för att ge in handlingar<br />
4.14 En privatperson som ger in en elektronisk handling till en myndighet<br />
bör anpassa <strong>format</strong> och ruti<strong>ner</strong> så att myndigheten kan läsa och bevara<br />
handlingen och skydda sig mot datavirus och andra hot mot<br />
in<strong>format</strong>ionssäkerheten; jfr 5.16.<br />
5 Myndigheter<br />
5.1 En myndighet kan agera som förlitande part som identifierar innehavare<br />
av e-legitimatio<strong>ner</strong> och kontrollerar undertecknade eller stämplade<br />
handlingar. Myndigheten kan också ställa ut handlingar. I detta avsnitt ges<br />
regler och ruti<strong>ner</strong> för<br />
1. myndigheter som<br />
a. ansöker om, tilldelas, använder och litar på serverlegitimatio<strong>ner</strong><br />
eller e-legitimatio<strong>ner</strong> för myndighetens elektroniska stämpel och<br />
som litar på personliga e-legitimatio<strong>ner</strong>, tjänstelegitimatio<strong>ner</strong> och<br />
ID-tjänster enligt 1.3, och<br />
b. tillhandahåller e-tjänster, samt<br />
2. handläggare som för myndighetens räkning litar på e-legitimatio<strong>ner</strong> och<br />
anknytande användning enligt 1.3. Regler för handläggare som<br />
undertecknare m.m. finns i avsnitt 4.<br />
En reglering i enlighet med denna vägledning avses ske genom avtal mellan<br />
utfärdare och förlitande parter.<br />
Myndigheten som sökande och utställare<br />
5.2 Bestämmelserna i 4.2 – 4.12 om personliga e-legitimatio<strong>ner</strong> och<br />
tjänstelegitimatio<strong>ner</strong> skall gälla i tillämpliga delar, med de anpassningar<br />
som följer av 3.25 och 3.26, för ansökan om och tilldelning och användning<br />
11
av serverlegitimation och e-legitimation för myndighetens elektroniska<br />
stämpel.<br />
Myndigheten som förlitande part<br />
5.3 En myndighet svarar i egenskap av förlitande part för kontroll och<br />
bedömning av säkerhetsnivå och användningsområde, giltighetskontroll,<br />
spärrkontroll och kontroll av elektronisk underskrift eller stämpel samt för<br />
att bereda sig tillgång till de uppgifter som behövs för dessa kontroller.<br />
Kontroller som inte sker automatiskt bör utföras av en handläggare för<br />
myndighetens räkning.<br />
För handläggarens användning av sin tjänstelegitimation finns regler i 4.9 –<br />
4.11.<br />
Kontroll och bedömning av säkerhetsnivå och användningsområde<br />
5.4 En förlitande part svarar för att kontrollera och bedöma om en utfärdare<br />
och en e-legitimation uppfyller de säkerhetskrav som den förlitande parten<br />
ställer och om e-legitimationen är lämplig för det aktuella<br />
användningsområdet.<br />
Giltighetskontroll och spärrkontroll<br />
5.5 En part bör lita på en e-legitimation först efter det att han eller hon har<br />
kontrollerat att den inte hade spärrats och att giltighetstiden inte hade löpt ut<br />
när den användes för legitimering eller underskrift.<br />
5.6 Den förlitande parten svarar för att giltighetskontroll och spärrkontroll<br />
sker.<br />
Uppgifter om spärr av e-legitimatio<strong>ner</strong> kan anges i spärrlistor. Spärrkontroll<br />
sker då mot av utfärdaren regelbundet uppdaterade spärrlistor. Uppgifter om<br />
spärr kan också tillhandahållas via en tjänst för transaktionsbaserad<br />
giltighetskontroll.<br />
Den förlitande parten kontrollerar att listans giltighetstid inte har löpt ut.<br />
Uppgifternas giltighet kontrolleras på likvärdigt sätt vid användning av en<br />
tjänst för transaktionsbaserad giltighetskontroll.<br />
Kontroll av elektronisk underskrift eller stämpel<br />
5.7 En part bör lita på en e-legitimation, en spärrlista eller en annan<br />
undertecknad eller stämplad elektronisk handling först efter att ha<br />
kontrollerat underskriften eller stämpeln.<br />
Om skydd ges genom en serverlegitimation bör en part lita på en uppgift om<br />
vilken myndighets webbplats eller e-tjänst han eller hon har anslutits till<br />
först efter att ha kontrollerat serverlegitimationen enligt första stycket.<br />
5.8 Den förlitande parten svarar för att bereda sig tillgång till uppgifter för<br />
kontroller och kan behöva ha tillgång till<br />
12
1. utfärdarens publika nycklar för att kontrollera e-legitimatio<strong>ner</strong> och<br />
spärrlistor,<br />
2. en tjänstelegitimation, för att kontrollera elektroniska handlingar som<br />
har undertecknats av en handläggare,<br />
3. en e-legitimation för myndighetens elektroniska stämpel, för att<br />
kontrollera stämplade elektroniska handlingar med en myndighet som<br />
utställare, och<br />
4. en serverlegitimation, för att identifiera en webbplats eller en e-tjänst.<br />
5.9 En myndighet bör godta giltiga e-legitimatio<strong>ner</strong> som inte har spärrats<br />
och som har en kontrollerad underskrift eller stämpel samt sådant innehåll<br />
och <strong>format</strong> som anges i Statskontorets ramavtal för ID-tjänster, under<br />
förutsättning att<br />
1. e-legitimationen har ställts ut av en utfärdare som<br />
a. omfattas av ramavtal med Statskontoret För ID-tjänster, eller<br />
b. i enlighet med sådant ramavtal är underleverantör till en<br />
utfärdare enligt a),<br />
2. det regelverk och de ruti<strong>ner</strong> som gäller för e-legitimatio<strong>ner</strong>na är<br />
förenliga med denna vägledning,<br />
3. myndigheten har tillgång till uppgifter för spärrkontroll,<br />
giltighetskontroll och kontroll av elektronisk underskrift eller stämpel,<br />
och<br />
4. det inte i det enskilda fallet finns skäl för annan kontrollåtgärd.<br />
Myndigheten som tillhandahållare av e-tjänster m.m.<br />
Interna regler för myndigheten<br />
5.10 En myndighet som använder en ID-tjänst och tillhandahåller en e-tjänst<br />
bör ha interna regler där det framgår bl.a. hur handlingar undertecknas,<br />
stämplas, kontrolleras, insynsskyddas och dekrypteras hos myndigheten.<br />
Underskrifter och stämplar<br />
5.11 En elektronisk underskrift bör presenteras i anknytning till den text<br />
som skrivs under, så att underskriftens innebörd framgår av sammanhanget,<br />
på samma sätt som vid underskrift på traditionellt sätt. Behövs skriftlig<br />
in<strong>format</strong>ion om denna innebörd, t.ex. en angivelse av den fullständiga<br />
firman vid firmateckning enligt 26 § firmalagen (1974:156), bör detta anges<br />
i den text som skall undertecknas. Detsamma bör gälla för elektroniska<br />
stämplar.<br />
13
5.12 Presenteras flera underskrifter eller stämplar på samma ”sida” eller<br />
presenteras en underskrift eller en stämpel så att det finns risk för att läsaren<br />
missförstår vilken text som undertecknats eller stämplats bör åtgärder vidtas<br />
för att förenkla och förtydliga läsarens tolkning av det som presenteras.<br />
Detsamma gäller om både skyddad och oskyddad text presenteras<br />
tillsammans.<br />
5.13 Av 10 § tredje stycket förvaltningslagen (1986:223), 44 § tredje stycket<br />
förvaltningsprocesslagen (1971:291) och 33 kap. 3 § tredje stycket<br />
rättegångsbalken följer att behöriga handläggare från fall till fall får avgöra<br />
om en elektroniskt undertecknad eller stämplad handling skall godtas av en<br />
myndighet eller om en bekräftelse skall inhämtas.<br />
Ruti<strong>ner</strong> för att ta emot, expediera, presentera, hantera och långtidslagra<br />
elektroniska handlingar<br />
5.14 En myndighet som tar emot eller ställer ut undertecknade eller<br />
stämplade elektroniska handlingar skall säkerställa att de krav som de<br />
kryptografiska ruti<strong>ner</strong>na för med sig beaktas från arkivsynpunkt. I<br />
Riksarkivets föreskrifter finns bestämmelser om framställning, hantering,<br />
förvaring och skydd av allmänna handlingar.<br />
5.15 Innan ruti<strong>ner</strong> för insynsskydd tas i drift vid en myndighet bör<br />
myndigheten införa ruti<strong>ner</strong> för att kunna göra insynsskyddade elektroniska<br />
handlingar läsbara när den eller de som har tillgång till den nyckel som<br />
behövs för dekryptering inte finns till hands. Dessa ruti<strong>ner</strong> bör ge stöd för<br />
att dekryptera handlingarna under hela den tid som de skall bevaras.<br />
5.16 En myndighet bör på sin webbplats eller på annat liknande sätt upplysa<br />
om vilka <strong>format</strong> och ruti<strong>ner</strong> som kan användas för att ge in elektroniska<br />
handlingar så att myndigheten kan läsa och bevara inkomna handlingar; jfr<br />
4.15.<br />
Om det finns särskilda skäl och det kan ske utan hinder för arbetets behöriga<br />
gång bör myndigheten tillgodose önskemål om att godta <strong>format</strong> eller ruti<strong>ner</strong><br />
för ta emot elektroniska handlingar som inte uppfyller kraven i första<br />
stycket.<br />
5.17 Myndigheter bör tydligt anvisa den adress där myndigheten tar emot<br />
elektroniska handlingar. Detta behövs dock inte inom ramen för t.ex.<br />
webbformulär och webbtjänster där adresseringen till mottagande<br />
myndighet sker automatiskt.<br />
5.18 Kvittenser och andra bekräftelser från myndigheter bör utformas så att<br />
det inte finns risk för att mottagaren vilseleds om vad som har undertecknats<br />
eller stämplats.<br />
Konvertering och vidimering av dokument<br />
5.19 Om en myndighet, som tar emot eller upprättar undertecknade eller<br />
stämplade elektroniska handlingar, vill gallra elektroniska underskrifter eller<br />
stämplar, skall myndigheten, innan gallring sker, vidta åtgärder för att<br />
14
kontrollera och dokumentera handlingarnas äkthet och skydda de delvis<br />
gallrade handlingarna från förändringar. Om elektroniska underskrifter eller<br />
stämplar tas bort måste detta ha stöd i lag eller annan författning eller beslut<br />
om gallring.<br />
5.20 Med hänsyn till rättssäkerhets- eller in<strong>format</strong>ionssäkerhetssynpunkt<br />
skall myndigheter, som gallrat delar av handlingar enligt 5.19, skydda den<br />
text som bevaras, med myndighetens elektroniska stämpel eller en<br />
handläggares elektroniska underskrift, i förening med ett intyg om att texten<br />
överensstämmer med det ursprungliga innehållet. Av intyget bör också<br />
framgå, direkt eller genom en hänvisning, vilka åtgärder som har vidtagits<br />
för att skydda innehållet från förändringar under det tekniska förfarandet.<br />
Programvara för dokumenthantering<br />
5.21 I det fall en myndighet förser innehavare av e-legitimatio<strong>ner</strong> med<br />
programvara för att granska utkast till dokument eller presentera<br />
underskrivna dokument eller om myndigheten tillhandahåller stöd för<br />
sådana funktio<strong>ner</strong> via en e-tjänst tillämpas reglerna i 3.15 och 3.16.<br />
6 Helhetslösningar m.m.<br />
6.1 Utfärdare av e-legitimatio<strong>ner</strong> som har ramavtal med Statskontoret om<br />
ID-tjänster bör tillhandahålla helhetslösningar för att använda ID-tjänsterna.<br />
Varje sådan helhetslösning bör utformas som ett paket. I paketet bör ingå de<br />
produkter och tjänster som användare behöver för funktio<strong>ner</strong> och<br />
användningssätt enligt 1.2 och 1.3 som paketet avses stödja.<br />
6.2 Åtgärder för giltighetskontroll, spärrkontroll kontroll av elektronisk<br />
underskrift eller stämpel och åtkomst till erforderliga uppgifter bör kunna<br />
genomföras helt eller delvis automatiskt av innehavare av e-legitimatio<strong>ner</strong><br />
och myndigheter med stöd av de programvaror och tjänster som ingår i ett<br />
paket enligt 6.1. Paketen bör vara utformade så att den som skall genomföra<br />
en kontroll eller en annan åtgärd enkelt kan överblicka och förstå<br />
åtgärdernas innebörd och resultat.<br />
Helhetslösningar som tillhandahålls åt användare bör innefatta skydd enligt<br />
3.14 – 3.16 för innehavarens ID-programvara och utrusning samt<br />
programvara för dokumenthantering.<br />
6.3 Utfärdarnas paket bör vara förenliga så att de funktio<strong>ner</strong> de erbjuder<br />
fungerar vid kommunikation mellan olika innehavare av e-legitimatio<strong>ner</strong><br />
även om legitimatio<strong>ner</strong>na har ställts ut av olika utfärdare.<br />
7 Säkerhetsskydd och standarder, m.m.<br />
7.1 Myndigheter och andra som berörs av ruti<strong>ner</strong> och funktio<strong>ner</strong> m.m. inom<br />
det samordnade området erinras om föreskrifterna i säkerhetsskyddslagen<br />
15
(1996:627) rörande utredning och prövning av vilket skydd som kan<br />
behövas för en verksamhet.<br />
7.2 Som stöd för myndigheternas arbete för in<strong>format</strong>ionssäkerhet erinras om<br />
standarden ISO/IEC 17799 Ledningssystem för in<strong>format</strong>ionssäkerhet –<br />
Riktlinjer för ledning av in<strong>format</strong>ionssäkerhet.<br />
16
Bilaga 1 – Begrepp och definitio<strong>ner</strong><br />
Begreppsapparaten är avsedd för s.k. publika nyckelsystem (PKI). För vissa<br />
definitio<strong>ner</strong> anges flera synonyma begrepp. De begrepp som anges med fet<br />
stil används i vägledningen och har i vissa fall ersatt tidigare använda<br />
uttryck. För vissa begrepp ges dessutom en förenklad beskrivning som<br />
rekommenderas för dialogen med privatperso<strong>ner</strong>. Där det behöver klargöras<br />
att pappersbaserade ruti<strong>ner</strong> inte innefattas används begreppet ”elektronisk”<br />
som ett tillägg till den term som definieras.<br />
Vissa begrepp, t.ex. handläggare, knyter an till verksamheter på<br />
myndighetsområdet. Vägledningen har emellertid getts en sådan utformning<br />
att de skall kunna tillämpas på motsvarande sätt även på andra områden.<br />
Begrepp Förenklad beskrivning Definition<br />
e-legitimation<br />
Elektronisk legitimation<br />
(e-leg)<br />
Elektronisk identitetshandling<br />
(eID)<br />
En elektronisk<br />
motsvarighet till en<br />
vanlig legitimation.<br />
Innehavaren använder<br />
den för att legitimera sig<br />
och att skriva under<br />
Certifikat Den del av en elegitimation<br />
som<br />
används för att<br />
identifiera innehavaren<br />
och kontrollera om det<br />
är innehavaren som<br />
undertecknat<br />
e-legitimation för<br />
myndighets elektroniska<br />
stämpel<br />
e-tjänst<br />
(Elektronisk)<br />
självbetjäningstjänst<br />
En elektronisk tjänst där<br />
användaren kan utföra<br />
sina ärenden<br />
Förlitande part Den som litar på en<br />
elektronisk underskrift,<br />
en elektronisk stämpel<br />
eller en e-legitimation<br />
(Elektronisk) handling En elektronisk<br />
motsvarighet till en<br />
pappershandling<br />
Intyg i elektronisk form av en utfärdare som kopplar<br />
ihop en publik nyckel med en innehavare och bekräftar<br />
vem innehavaren är samt en privat nyckel som<br />
förvaras tillsammans med intyget. Utfärdaren förser<br />
intyget med sin avancerade elektroniska stämpel<br />
Ett av en utfärdare stämplat intyg i elektronisk form<br />
som kopplar ihop ett nyckelpar med en innehavare och<br />
bekräftar vem innehavaren är<br />
e-legitimation som utfärdas för att det skall kunna<br />
kontrolleras att stämplade elektroniska handlingar är<br />
äkta<br />
En tjänst där kommunikation sker elektroniskt mellan<br />
t.ex. myndighet och privatperson. Tjänsten kan<br />
innefatta funktio<strong>ner</strong> för legitimering och<br />
undertecknande med stöd av en ID-tjänst<br />
Den som tar emot en e-legitimation, en annan<br />
undertecknad eller stämplad elektronisk handling eller<br />
data för identifiering av innehavare av e-legitimatio<strong>ner</strong><br />
och som svarar för vissa kontroller samt avses lita på<br />
den elektroniska handlingen eller data för identifiering<br />
En bestämd mängd data i digital form som kan läsas,<br />
avlyssnas eller på annat sätt uppfattas med tekniskt<br />
hjälpmedel<br />
Handläggare Den som i egenskap av anställd eller uppdragstagare<br />
hos en myndighet kommunicerar elektroniskt inom<br />
myndigheten eller med andra<br />
(Elektronisk) identifiering<br />
Elektronisk ID-kontroll<br />
ID-programvara och<br />
utrustning<br />
Anordning för<br />
signaturframställning m.m.<br />
Kontroll av vem som<br />
legitimerar sig med en<br />
e-legitimation<br />
ID-tjänst En tjänst för att utfärda,<br />
stödja och kontrollera elegitimatio<strong>ner</strong><br />
Innehavare<br />
(av e-legitimation)<br />
Certifikatinnehavare<br />
Kontroll (för att identifiera<br />
den som legitimerar sig, eller<br />
av att en elektroniskt<br />
undertecknad handling är<br />
äkta)<br />
Verifiering<br />
Den som innehar en elegitimation<br />
Granskning av vem som<br />
legitimerat sig eller av<br />
att en undertecknad<br />
handling är äkta<br />
Kontroll av att en viss fysisk persons eller myndighets<br />
privata nyckel för legitimering har använts. Den<br />
privata nyckeln för legitimering skall a) vara knuten<br />
uteslutande till en fysisk person eller en myndighet,<br />
och b) ha använts i en process som gör det möjligt att<br />
identifiera personen eller myndigheten genom att<br />
kontrollera vissa elektroniska data; normalt ett av<br />
motparten sig<strong>ner</strong>at slumptal. Data som kontrolleras<br />
skall ha skapats med en nyckel som endast<br />
innehavaren har under sin kontroll<br />
Programvara för att använda privata nycklar och<br />
säkerhetskoder på ett säkert sätt, i vissa fall<br />
kombi<strong>ner</strong>ade med chipkort eller andra skyddande<br />
hårdvaror<br />
En tjänst som en utfärdare av e-legitimatio<strong>ner</strong><br />
tillhandahåller för att stödja elektroniska underskrifter<br />
och legitimatio<strong>ner</strong><br />
Den för vilken en e-legitimation har utfärdats<br />
En process för att kontrollera att en viss innehavares<br />
privata nyckel använts vid legitimering eller<br />
elektronisk underskrift<br />
17
(jfr spärrkontroll)<br />
Kvalificerad elektronisk<br />
signatur<br />
Avancerad elektronisk signatur som enligt lagen<br />
(2000:832) om kvalificerade elektroniska signaturer är<br />
baserad på ett kvalificerat certifikat och skapad av en<br />
säker anordning för signaturframställning<br />
Kvalificerat certifikat Certifikat som uppfyller kraven i 6 eller 7 § lagen<br />
(2000:832) om kvalificerade elektroniska signaturer<br />
(Elektronisk) legitimering Du presenterar din elegitimation<br />
för att bli<br />
identifierad<br />
En åtgärd av en viss fysisk person eller myndighet,<br />
som innehar en e-legitimation, för att göra det möjligt<br />
att identifiera innehavaren av en e-legitimation eller<br />
en e-tjänst<br />
Myndighet Ett statligt eller kommunalt organ med undantag av<br />
riksdagen och de kommunala beslutande<br />
församlingarna<br />
Policy<br />
Certifikatpolicy<br />
Personlig e-legitimation<br />
Medborgarcertifikat<br />
Privat nyckel Dina hemliga data som<br />
du aktiverar med din<br />
säkerhetskod och<br />
använder för att<br />
underteckna eller<br />
legitimera dig<br />
elektroniskt<br />
Privatperson<br />
Medborgare<br />
Publik nyckel Uppgift i din<br />
e-legitimation som<br />
förlitande part använder<br />
för att identifiera dig<br />
eller att kontrollera din<br />
underskrift<br />
(Elektronisk) signatur En digital namnteckning<br />
som inte behöver<br />
uppfylla myndigheternas<br />
krav på elektronisk<br />
underskrift<br />
Ett regelverk enligt vilket en e-legitimation avses<br />
användas inom en viss grupp eller klass av<br />
tillämpningar med gemensamma krav på säkerhet<br />
E-legitimation som tilldelas en fysisk person<br />
Den hemliga delen av ett nyckelpar för kryptering där<br />
olika nycklar används för att kryptera och dekryptera<br />
Fysisk person som innehar en personlig e-legitimation<br />
och använder den för egen räkning<br />
Den publika delen av ett nyckelpar för kryptering där<br />
olika nycklar används för att kryptera och dekryptera<br />
Data i elektronisk form som är fogade till eller logiskt<br />
knutna till andra elektroniska data och som används<br />
för att kontrollera att innehållet härrör från den som<br />
framstår som utställare och att det inte har<br />
förvanskats<br />
Spärr En markering om att en e-legitimation inte längre bör<br />
anses tillförlitlig. Spärrarna distribueras i form av<br />
spärrlistor eller görs tillgängliga via en tjänst för<br />
transaktionsbaserad giltighetskontroll<br />
Spärrkontroll Kontroll som förlitande part gör av att en elegitimation<br />
inte har spärrats. Spärrkontroll kan göras<br />
gentemot en spärrlista eller mot en tjänst för<br />
transaktionsbaserad giltighetskontroll<br />
Spärrlista En elektroniskt undertecknad eller stämplad lista över<br />
e-legitimatio<strong>ner</strong> som har spärrats<br />
(Elektronisk) stämpel<br />
Avancerad elektronisk<br />
stämpel<br />
e-stämpel<br />
Stämplad (elektronisk)<br />
handling<br />
e-stämplad handling<br />
(Säkerhets)kod<br />
Lösenord PIN-kod<br />
Aktiveringsdata<br />
(Elektronisk)<br />
tjänstelegitimation<br />
Tjänstecertifikat<br />
Tjänst för<br />
transaktionsbaserad<br />
giltighetskontroll<br />
(Elektronisk) underskrift<br />
Avancerad elektronisk<br />
Ett elektroniskt bevis,<br />
som motsvarar en<br />
elektronisk underskrift<br />
och intygar vilken<br />
organisation som har<br />
ställt ut handlingen<br />
En handling som en<br />
organisation har försett<br />
med sin elektroniska<br />
stämpel<br />
Personlig och hemlig kod<br />
för att kunna legitimera<br />
sig och skriva under<br />
E-legitimation för<br />
handläggare vid en<br />
myndighet<br />
En tjänst för kontroll av<br />
att en e-legitimation inte<br />
är spärrad<br />
En elektronisk<br />
motsvarighet till en<br />
Elektronisk signatur som<br />
a) är knuten uteslutande till en myndighet eller en<br />
annan organisation,<br />
b) gör det möjligt att identifiera myndigheten eller<br />
organisationen,<br />
c) är skapad med hjälpmedel som endast myndigheten<br />
eller organisationen har kontroll över, och<br />
d) är knuten till andra elektroniska data på ett sådant<br />
sätt att förvanskningar av dessa data kan upptäckas<br />
Elektronisk handling som försetts med en avancerad<br />
elektronisk stämpel<br />
Alfanumeriska tecken eller biometriska data som<br />
används för att göra en privat nyckel tillgänglig för<br />
användning<br />
E-legitimation som tilldelas en person i egenskap av<br />
anställd eller uppdragstagare<br />
Funktion för att vid användningstillfället kontrollera att<br />
en<br />
e-legitimation är giltig och inte har spärrats. Vanliga<br />
protokoll för denna funktion är Online Certificate<br />
Status Protocol (OCSP) och Simple Certificate<br />
Verification Protocol (SCVP)<br />
Elektronisk signatur som<br />
a) är knuten uteslutande till en undertecknare,<br />
18
signatur namnteckning b) gör det möjligt att identifiera undertecknaren,<br />
c) är skapad med hjälpmedel som endast<br />
undertecknaren har kontroll över, och<br />
d) är knuten till andra elektroniska data på ett sådant<br />
sätt att förvanskningar av dessa data kan upptäckas<br />
(Elektroniskt)<br />
undertecknad handling<br />
Elektroniskt dokument<br />
Sig<strong>ner</strong>ad handling<br />
En handling som har<br />
skrivits under<br />
elektroniskt<br />
Undertecknare En person som skriver<br />
under en handling<br />
elektroniskt<br />
En elektronisk handling som försetts med en<br />
avancerad eller kvalificerad elektronisk signatur<br />
En fysisk person som behörigen innehar en elegitimation<br />
och undertecknar med en privat nyckel<br />
som hör till e-legitimationen<br />
Utfärdardeklaration (CPS) Beskrivning av de regler och ruti<strong>ner</strong> som en utfärdare<br />
tillämpar för att uppfylla kraven i en policy<br />
Utfärdare<br />
(av e-legitimation)<br />
Certifikatutfärdare<br />
Utgivare<br />
Den som ger ut elegitimatio<strong>ner</strong><br />
Utställare En person som skriver<br />
under eller en<br />
organisation som<br />
stämplar en elektronisk<br />
handling<br />
Serverlegitimation<br />
servercertifikat<br />
Äkta<br />
Äkthet<br />
Äkthet och integritet<br />
Att en handling inte är<br />
förfalskad<br />
Den som utfärdar e-legitimatio<strong>ner</strong>; här beteckning på<br />
utfärdare som uppfyller kraven enligt denna<br />
vägledning<br />
Fysisk person, myndighet eller annan organisation som<br />
behörigen innehar en e-legitimation, använder IDprogramvara<br />
och undertecknar eller stämplar med en<br />
privat nyckel som hör samman med e-legitimationen<br />
E-legitimation som utfärdas för att användare skall<br />
kunna identifiera en myndighets e-tjänst som de<br />
kommunicerar med och skydda denna kommunikation<br />
mot obehörig insyn<br />
Att en handling i alla delar härrör från angiven<br />
utställare; dvs. att uppgiften om utställare är riktig<br />
och att innehållet inte har ändrats; jfr motsvarande<br />
krav enligt fakturadirektivet på äkthet och integritet<br />
(”authenticity of the origin” och ”integrity of the<br />
contents”)<br />
19