Rekommendation för delad IT-lösning till exempel mjukvara vid anslutning till SDK

Vissa deltagarorganisationer samarbetar med ett företag eller en annan kommun som hanterar IT-drift för flera kommuner samtidigt. Frågan som då uppkommit är om dessa kommuner behöver ha en egen accesspunkt/meddelandetjänst per kommun/organisation eller om finns det någon speciallösning. SDK:s regelverk reglerar inte direkt hur en deltagarorganisation organiserar sin IT-drift eller väljer leverantör för mjukvara (t.ex. meddelandetjänst och meddelandeklient).

En deltagarorganisation kan använda en eller flera valfria leverantörer som levererar, tillhandahåller och förvaltar IT-lösningar. Det gäller t.ex. accesspunkt (AP), meddelandetjänst (MT) och meddelandeklient(er) (MK) under förutsättning att regelverk och specifikationer för deltagarorganisationer inom SDK följs. För att vara följsam mot SDK:s regelverk krävs en säker och lagenlig informationsseparering av deltagarorganisationens information.

Nedan följer några exempel från regelverk för deltagarorganisationer inom SDK samt från bilaga för IT-säkerhet som deltagarorganisationen måste förhålla sig till:

• Verksamheten bestämmer själv vilka som ska vara behöriga användare i SDK och vilka affärsprocesser de kan verka inom.
• Deltagarorganisationen ska säkerställa konfidentialitet och riktighet mellan anslutande system och accesspunkt, så kallad inre säkerhet.
• Leverantörens IT-system måste separera metadata för varje deltagarorganisation.
• Varje deltagarorganisation skall ha sin egen privata nyckel för kryptering, dekryptering, signering och validering av signatur.
  • Kryptografiskt nyckelmaterial som används för skydd av överföring av meddelanden via SDK ska skapas på ett säkert och trovärdigt sätt, samt skyddas vid förvaring och användning så att det inte röjs till obehöriga.
• Spårbarhet: Deltagarorganisationen ska säkerställa att alla meddelandeöverföringar via dess lokala komponenter loggas där deltagarorganisationen är deltagande part.