Diggs infrastruktur för e-legitimering

Digg tillhandahåller det svenska systemet för elektronisk identifiering som består av fyra hörnstenar. Tillsammans skapar hörnstenarna ett öppet ekosystem för e-legitimationsutfärdarna och aktörer som önskar nyttja dessa tjänster.

Granskning och kontroll

Som en del av ansvaret för att förvalta infrastrukturen kan organisationer som ufärdar e-legitimationer ansöka om att bli granskad av Digg enligt Tillitsramverket för Svensk e-legitimation.

Digg granskar utfärdarens:

  • tekniska arkitektur
  • finansiella stabilitet
  • informationssäkerhetsarbete och internkontroll
  • process för identifiering av personer som ansöker om att få en e-legitimation
  • utfärdande och tillhandahållande av e-legitimationer

Tillitsnivåer

Tillitsnivån anger e-legitimationens grad av säkerhet och tillförlitlighet. Ju högre tillitsnivå en e-legitimation har desto säkrare är den, både när det gäller teknisk och administrativ säkerhet. Digg granskar e-legitimationer på tillitsnivå 2, 3 och 4.

Bedömning av tillitsnivå för e-tjänsten

Aktörer med e-tjänster behöver avgöra vilken tillitsnivå som ska krävas för att få logga in i tjänsten. Kravet på tillitsnivå bestäms utifrån hur stor skadan riskerar att bli om fel person får tillgång till tjänsten.

Tillitsnivåer

Avtalsstruktur

För aktörer med e-tjänster

En aktör med en e-tjänst kan teckna avtal till något av Diggs e-legitimeringsavtal och erbjuda inloggning med de godkända e-legitimationerna som ingår. Fördelen att teckna Diggs avtal är att man inte behöver få tillgång till leverantörens tjänster genom upphandling. Diggs avtal riktar sig till offentliga aktörer men privata aktörer kan ansluta till avtal för att ansluta till Diggs infrastruktur för att erbjuda inloggningen över landsgränser.

E-legitimationsutfärdare

En e-legitimationsutfärdare får ingå avtal med Digg om tillhandahållande av e-legitimationstjänster inom ramen för det svenska e-legitimationssystemet. Både privata och offentliga organ som utfärdar e-legitimation är välkomna att ansöka som leverantörer.

Teknisk infrastruktur

För att undvika att offentliga aktörer ska behöva anpassa sig till flera grundläggande tekniska gränssnitt tillhandahåller Digg en standardiserad infrastruktur för e-legitimeringstjänster genom Sweden Connect för att förenkla för offentliga aktörer.

Både offentliga och privata aktörer kan ansluta sina e-tjänster till Sweden Connect. Genom infrastrukturen får e-tjänster tillgång till inloggning med både svenska och utländska e-legitimationer. De utländska e-legitimationer som ingår är de som anmälts av andra eIDAS-anslutna länder.

De centrala delarna av Sweden Connect är de tekniska specifikationerna och metadata som beskriver aktörerna och deras förmågor, i kombination med säkra rutiner för anslutning och incidenthantering.

Sweden Connect består av:

  • Ett tekniskt ramverk
  • Metadata och kontaktinformation om alla anslutna aktörer
  • Sveriges kontaktpunkt (Single Point of Contact) inom eIDAS. Digg företräder Sverige i eIDAS samarbetsnätverk.

Sweden Connect stödjer idag den tekniska standarden SAML 2.0.

För utvecklare

Webbplatsen swedenconnect.se ger stöd i utvecklingen av anslutningar mellan e-tjänster och lösningar för e-legitimering och e-underskrift.

Sweden Connect (swedenconnect.se) Länk till annan webbplats.

En rättslig ram

Digg har genom sin instruktion ansvaret för att:

  1. Ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift
  2. Tillhandahålla och administrera valfrihetssystem – kommande auktorisationssystem
  3. Främja den offentliga sektorns användning av elektronisk identifiering och-underskrift
  4. Ansvara för den svenska eIDAS-noden
  5. Anmäla svenska e-legitimationer enligt eIDAS. Digg ansvarar för eIDAS-noden för gränsöverskridande elektronisk identifiering i enlighet med eIDAS-förordningen.

Det finns regleringar både nationellt och inom EU som en del av den rättsliga ramen:

  • Lagen om valfrihetssystem - Lag (2013: 311) om valfrihet med avseende på tjänster för elektronisk identifiering.
  • EU-förordningen eIDAS (EU) 910/2014
  • Lag (2016: 561) om kompletterande bestämmelser till eIDAS-förordningen
  • Folkbokföringslagen (1991: 481)
  • Förordning (2016:576) med kompletterande bestämmelser till EU:s förordning om elektronisk identifiering

Nyttan med en gemensam infrastruktur

Flera olika e-legitimationer på marknaden innebär utmaningar för myndigheterna. Brist på standardisering riskerar att leda till inlåsning av leverantörer och höga genomförandekostnader på grund av behovet av att anpassa sig till flera grundläggande tekniska gränssnitt.

För att åtgärda detta har en standardiserad infrastruktur för tillhandahållande av e-legitimeringstjänster och e-underskrifter utvecklats för att samordna och förenkla för de offentliga myndigheterna, och för att främja ytterligare utveckling av digitala tjänster. Utöver de e-legitimeringsavtal som Digg tillhandahåller och Tillitsramverket för Svensk e-legitimation ingår också en nationell identitetsfederation, Sweden Connect, i infrastrukturen.

eIDAS

eIDAS-förordningen är en EU-förordning som är uppdelad i två delar, elektronisk identifiering och betrodda tjänster. Digg ansvarar för den del som hanterar elektronisk identifiering.

Elektronisk identifiering över gränserna

Enligt eIDAS-förordningen ska användare från europeiska länder kunna använda sina nationella e-legitimationer även vid inloggning till e-tjänster hos offentliga aktörer i Sverige. En användare med en svensk e-legitimation som är anmäld till eIDAS ska också kunna använda sin svenska e-legitimation vid inloggning hos offentliga aktörer inom EU. Digg ansvarar för den svenska eIDAS-noden som möjliggör denna gränsöverskridande e-legitimering. Infrastrukturen kan även användas av privata aktörer.

För att kunna logga in med en svensk e-legitimation i utländska e-tjänster behöver e-legitimationen först anmälas till eIDAS och genomgå en granskning. Det är Digg som för Sveriges räkning anmäler e-legitimationer till eIDAS.

Erbjud inloggning med utländska e-legitimationer

Leverera e-legitimering inom eIDAS

Betrodda tjänster

Post- och Telestyrelsen (PTS) ansvarar för den del som handlar om betrodda tjänster i eIDAS-förordningen.

Betrodda tjänster (pts.se) Länk till annan webbplats.

Granskade och godkända e-legitimationer

Aktörer med e-tjänster som kräver e-legitimation kan lita på e-legitimationer som har granskats och godkänts av Digg, och användare kan känna sig trygga med att det är en säker identitetshandling.

Granskade och godkända e-legitmationer

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: