Versions Compared

Old Version 1

changes.mady.by.user Magnus Nordstrand

Saved on

compared with

New Version 2

changes.mady.by.user Magnus Nordstrand

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.


...

scroll-viewporttrue
scroll-pdftrue
scroll-officetrue
scroll-chmtrue
scroll-docbooktrue
scroll-eclipsehelptrue
scroll-epubtrue
scroll-htmltrue

REVISION HISTORY

...

Version

...

Version date

...

Change

...

Author

...

Jan 26, 2023  

 

...

Om detta dokument

Detta dokument ger potentiella och befintliga kunder av Pointsharp Net iD en beskrivning av hur tjänsten är designad och fungerar ur ett teknik- och säkerhetsperspektiv. Dokumentet beskriver även bakomliggande infrastruktur som krävs för att tjänsten ska fungera.

...

Termer och definitioner

Term

Synonym

Definition

Kommentar

PKI

public key infrastructure

öppen nyckel-kryptering

kryptering med öppen nyckel

asymmetrisk kryptering där den ena av krypteringsnycklarna är en öppen nyckel och den andra en hemlig nyckel

Vid kryptering med öppen nyckel skapar en betrodd tredje part eller certifieringsmyndighet ett nyckelpar åt användarna, certifierar nycklarna med sin digitala signatur och distribuerar dem till användarna samt för ett register och en tillhörande spärrlista över öppna nycklar. Eventuellt erbjuder certifieraren även andra tjänster som ansluter sig till kryptering med öppen nyckel. Vem som helst kan kontrollera ett erhållet certifikat och certifikatets giltighet i dessa offentliga register.

Öppna nycklar används för kryptering och hemliga nycklar för dekryptering av information.

Den vanligaste typen av kryptering med öppen nyckel är RSA-kryptering.

...

Vad är Pointsharp Net iD?

Med Pointsharp Net iD erhålls en molnbaserad tjänst som innehåller Pointsharps produktportfölj.

...

  • Hög tillgänglighet

  • Drift och övervakning dygnet runt

  • Redundanta datorhallar placerade i Sverige och med hög säkerhetsnivå

  • E-legitimationerna Net iD och Mobilt Net iD på tillitsnivå 3

...

Anslutning till Tjänsten

...

Kundens anslutning

Kunden måste uppylla kraven i tjänstens tillitsramverk samt i tillitsdeklarationen beskriva hur dessa uppfylls. Kunden genomgår även ett granksningsprogram för att säkerställa att de uppfyller kraven innan de blir godkända utfärdare av e-tjänstelegitimation i tjänsten Pointsharp Net iD.

Kunden förbinder sig som del av kundavtalet att följa tjänstens tillitsramverk.

...

Användarens anslutning

Användaren godkänner Pointsharp Net iD:s användaravtal när de hämtar ut sin e-legitimation. 

...

Tjänst och produkter

I tjänsten Pointsharp Net iD ingår samtliga nödvändiga programvaror för tjänsten.

...

Tjänsteportalen

Administration av användare kan upplevas som omständlig och tidskrävande. Som tjänsteportal används därför Pointsharp Net iD Portal som är väl beprövat verktyg för administration och livscykelhantering av e-legitimationer (certifikat), smartkort eller andra bärare samt användare.

...

Klienter

...

Net iD Client

Klientprogramvaran Net iD Client är marknadens mest använda PKI-klienter för etablering av stark multifaktorautentisering (MFA) baserad på baserat på publika certifikat (PKI). Net iD Client integrerar smartkort och andra nyckelbärare med alla typer av applikationer och IT-miljöer.

...

  • Bygger på standardkomponenter och fungerar i alla vanliga systemmiljöer.

  • Plattformsoberoende. Windows, macOS, Linux eller Chrome OS.

  • Stöd för bärare som smartkort och YubiKey.

  • Flexibilitet i val av integrationsgränssnitt för applikationer.

  • Konfiguration av kundanpassade flöden genom Group Policy Object (GPO).

...

Net iD Access

Net iD Access ger kunden full PKI-baserad multifaktorautentisering till verksamhetskritisk information och applikationer på alla typer av klientenheter.

...

  • Tillgång till verksamhetskritisk information överallt.

  • Integrerar med befintlig PKI-infrastruktur.

  • Hanterar klientappars behov av integration med kortläsare, kort, nycklar och certifikat.

  • Kostnadsfri för nedladdning till iOS och Android.

  • Finns även för Windows, macOS, Linux och Chrome OS.

...

Miljöer

...

Produktion

Varje kund har tillgång till produktionsmiljön av Pointsharp Net iD. I produktionsmiljön bearbetas och lagras kundens data i molntjänsten.

Produktionsmiljön innehåller en version av Pointsharp Net iD som har genomgått erforderlig testning och kvalitetssäkring.

...

Temporära och kundunika miljöer

Utöver produktionsmiljön kan kunder behöva tillgång till en miljö för Pointsharp Net iD för till exempel test, demo eller i utbildningsyfte.

...

Tjänstearkitektur

Allt ligger i redundanta datorhallar med full high availability (HA). Vid behov ökas antalet servrar dynamiskt.

...

Tjänstekrav

För att ta tjänsten i bruk måste kunden och dennes tekniska miljö uppfylla teknikkraven beskrivna i följande stycken.

...

Klient för dator (Net iD Client)

Med klient avses den dator eller mobila enhet vilken slutanvändaren ansluter till tjänsten.

Benämning

Beskrivning

Kommunikation

Internetanslutning

Operativsystem

https://docs.pointsharp.com/net-id-client/latest/nic-release-notes/nic-130-system-requirements.html#_operating_systems

Webbläsare

https://docs.pointsharp.com/net-id-client/latest/nic-release-notes/nic-130-system-requirements.html#_web_browsers

Programvaror

Net iD Client

...

Klient för mobil applikation (Net iD Access Client)

Benämning

Beskrivning

Kommunikation

Internetanslutning

Operativsystem

  • iOS

  • Android

App

Net iD Access Client

...

Autentisering

Tjänsten använder TLS och en egen krypteringskanal. Klientcertifikat på hårdvarubärare krävs för inloggning i tjänsten.

...

Funktioner inom tjänsten

...

Utgivningsförfaranden

Tjänsten har lösningar för att utfärda e-tjänstelegitimationer på tillitsnivå 3. För att få utfärda e-tjänstelegitimationer enligt denna tillitsnivå krävs att ett kundavtal undertecknas av respektive RA-organisation samt ett godkännande efter kontroll av organisationen.

...

För att utfärda e-legitimationer enligt LoA3 krävs att mottagaren identifierar sig med en godkänd svensk identitetshandling.

...

Tekniska och organisatoriska säkerhetsåtgärder

Pointsharp Net iD är designat för att möta de höga säkerhetskrav som ställs av våra kunder.

...

Fysisk säkerhet

Pointsharp Net iD driftas i moderna datorhallar som är fysiskt separerade från varandra. Datorhallarna är självförsörjande och helt oberoende av yttre faktorer som exempelvis kraft- och kylförsörjning. Det innebär att anläggningen fungerar även under omfattande strömavbrott eller andra krissituationer. Endast auktoriserad personal som i sitt arbete har behov av fysisk närvaro ges tillträde till datorhallarna. Se Pointsharp Net iD Certificate Policy and Certification Practice Statement för detaljerad information.

...

Nät och kommunikation

Den fysiska arkitekturen är skiktad i logiska lager och bara specifika portar och IP-adresser är öppna för att säkerställa att endast relevant data är åtkomligt direkt via internet. Se Pointsharp Net iD Certificate Policy and Certification Practice Statement för detaljerad information.

...

Kommunikation till och från Pointsharp Net iD

Anslutning till tjänster i Pointsharp Net iD sker via internet. Anslutningen är redundant och kapaciteten ("bandbredden") skalas upp successivt i takt med ökat behov. Se Drift och underhåll.

...

Brandvägg

Alla tjänster och dess bakomliggande servrar ligger bakom en redundant brandvägg. Se Drift och underhåll.

...

Kryptering av trafik

All trafik till och från tjänsten sker i krypterad form, via protokollet HTTPS och dess inbyggda stöd för krypteringstekniken TLS (v1.3 eller senare, SHA256), samt ett kompletterande proprietärt krypteringslager.

...

Datalager och backup

Informationen som skapas och hanteras av tjänsten lagras i krypterad form på databasservrar som ej är exponerade mot internet.

...

Systemkonton

Systemkonton och tjänster skapas alltid med lägsta möjliga behörighet. Vid behov ges behörighet för specifika ändamål, till exempel access till specifik filarea, åtkomst till specifikt certifikat och så vidare. Konton är av typen grupphanterat tjänstekonto (gMSA).

...

Hantering av persondata

Pointsharp följer EU-lagstiftning samt svensk lagstiftning för hantering av personuppgifter.

...

All åtkomst till information samt förändringar av systemet loggas för spårbarhet. Se Pointsharp Net iD Certificate Policy and Certification Practice Statementoch Privacy Noticeför detaljerad information.

...

Backup och återläsning av data

Backup görs av relevanta delar i tjänsten (applikationer, konfigurationer och data).

  • Backup av transaktionsloggar samt känslig data.

  • Återläsningstest sker:

    • Minst årligen eller vid större förändringar.

    • Med senaste säkerhetskopian från produktionsmiljön.

    • Alltid till en särskild testmiljö för detta ändamål och har ingen påverkan på tillgänglighet till kundens produktionsmiljö.

...

Antivirus

Alla servrar är utrustade med kontinuerligt uppdaterad programvara för antivirus och andra säkerhetsskydd.

...

Autentisering

För att komma åt tjänsten krävs tvåfaktorautentisering med personliga klientcertifikat vars privata nyckel skyddas i hårdvara, exempelvis smartkort. Detta erhålls i samband med att man tecknar avtal samt blir godkänd för tjänsten.

...

Kakor ("cookies")

Tjänsten lagrar användarens bild för inloggningsdialog samt de tio senast inloggade användarna för att välja default-användare vid flera certifikat och kort i kakor. Språkresursen lagras i klienten för tjänsten, d.v.s. cache i Net iD Client.

De kakor vi använder är så kallade temporära sessionskakor som i huvudsak används för att veta om användaren är auktoriserad. De försvinner när användaren loggar ut, stänger webbläsaren eller stänger av datorn.

...

Spårbarhet och loggning

Loggning sker i alla led och delar av Pointsharp Net iD för att ge bästa möjliga spårbarhet. Loggningen ger ovärderlig hjälp vid felsökning samt vid säkerhetsrevisioner.

...

Drift och underhåll

...

Kontinuerlig drift

Pointsharp Net iD driftas nästan uteslutande på virtuella servrar. De fåtal fysiska servrar som används är alla redundanta.

...

Alla servrar finns i minst två separata datorhallar för att få så kallad high availability (HA).

...

Ändringshantering

Ändringshantering av miljö såsom servrar, nätverk, brandväggar med mera hanteras via change requests (CR) i driftleverantörens service management system. Om inte CR-mallar används kan Service Desk kontaktas via epost eller per telefon. Datorhallsleverantören har en utsedd Change Manager för varje kund. Change Manager är ansvarig för att alla ändringar blir utförda och dokumenterade för spårbarhet på ett korrekt sätt. Change Manager prioriterar även mellan ändringsärenden.

...

Ändringar som berör applikation hanteras hos Pointsharp genom tickets.

...

Incidenthantering och eskalering

Fel och problem som upptäcks av kunder rapporteras i regel som incidenter i Pointsharps supportportal. Antingen skrivs de av kunden direkt eller av Pointsharps Support Desk efter kontakt med kunden och en beskrivning av problemet.

...

Fel och andra händelser som uppstår i Pointsharp Net iD:s tjänsteleverans (hårdvara, nätverk, applikationer, akuta uppdateringar, etc.), och som riskerar att påverka kunder, eskaleras vanligtvis via de olika verksamheternas service desk och supportorganisationer.

...

Servicenivå

Se villkor till Kundavtal – Pointsharp Net iD.