You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »


REVISION HISTORY

Version

Version date

Change

Author


Jan 26, 2023  











 


1. Om detta dokument

Detta dokument ger potentiella och befintliga kunder av Pointsharp Net iD en beskrivning av hur tjänsten är designad och fungerar ur ett teknik- och säkerhetsperspektiv. Dokumentet beskriver även bakomliggande infrastruktur som krävs för att tjänsten ska fungera.

1.1. Termer och definitioner

Term

Synonym

Definition

Kommentar

PKI

public key infrastructure

öppen nyckel-kryptering

kryptering med öppen nyckel

asymmetrisk kryptering där den ena av krypteringsnycklarna är en öppen nyckel och den andra en hemlig nyckel

Vid kryptering med öppen nyckel skapar en betrodd tredje part eller certifieringsmyndighet ett nyckelpar åt användarna, certifierar nycklarna med sin digitala signatur och distribuerar dem till användarna samt för ett register och en tillhörande spärrlista över öppna nycklar. Eventuellt erbjuder certifieraren även andra tjänster som ansluter sig till kryptering med öppen nyckel. Vem som helst kan kontrollera ett erhållet certifikat och certifikatets giltighet i dessa offentliga register.

Öppna nycklar används för kryptering och hemliga nycklar för dekryptering av information.

Den vanligaste typen av kryptering med öppen nyckel är RSA-kryptering.

2. Vad är Pointsharp Net iD?

Med Pointsharp Net iD erhålls en molnbaserad tjänst som innehåller Pointsharps produktportfölj.

Tjänsten Pointsharp Net iD ger tillgång till en molnbaserad tjänst som gör det möjligt att använda svenska e-tjänstelegitimationer på tillitsnivå 3, godkända av Myndigheten för digital förvaltning (Digg). Då e-legitimationerna Net iD och Mobilt Net iD uppfyller de krav som ställs i Digg:s tillitsramverk på tillitsnivå 3 har de fått kvalitetsmärket Svensk e-legitimation.

Pointsharp Net iD är baserad på den globalt standardiserade informationssäkerhetsmetoden public key infrastructure (PKI). PKI är en global säkerhetsstandard som är kärnan i digitalt förtroende och säkerhet och används därför för att säkra kommunikation, autentisera identiteter och skydda känsliga uppgifter. Pointsharp är ett europeiskt cybersäkerhetsföretag som gör det möjligt för organisationer att säkra data och identiteter.

Detta ingår i Pointsharp Net iD:

  • Hög tillgänglighet

  • Drift och övervakning dygnet runt

  • Redundanta datorhallar placerade i Sverige och med hög säkerhetsnivå

  • E-legitimationerna Net iD och Mobilt Net iD på tillitsnivå 3

3. Anslutning till Tjänsten

3.1. Kundens anslutning

Kunden måste uppylla kraven i tjänstens tillitsramverk samt i tillitsdeklarationen beskriva hur dessa uppfylls. Kunden genomgår även ett granksningsprogram för att säkerställa att de uppfyller kraven innan de blir godkända utfärdare av e-tjänstelegitimation i tjänsten Pointsharp Net iD.

Kunden förbinder sig som del av kundavtalet att följa tjänstens tillitsramverk.

3.2. Användarens anslutning

Användaren godkänner Pointsharp Net iD:s användaravtal när de hämtar ut sin e-legitimation. 

4. Tjänst och produkter

I tjänsten Pointsharp Net iD ingår samtliga nödvändiga programvaror för tjänsten.

4.1. Tjänsteportalen

Administration av användare kan upplevas som omständlig och tidskrävande. Som tjänsteportal används därför Pointsharp Net iD Portal som är väl beprövat verktyg för administration och livscykelhantering av e-legitimationer (certifikat), smartkort eller andra bärare samt användare.

4.2. Klienter

4.2.1. Net iD Client

Klientprogramvaran Net iD Client är marknadens mest använda PKI-klienter för etablering av stark multifaktorautentisering (MFA) baserad på baserat på publika certifikat (PKI). Net iD Client integrerar smartkort och andra nyckelbärare med alla typer av applikationer och IT-miljöer.

Kunden väljer vilken arbetsmiljö som ska skyddas och Pointsharp levererar snabbt en optimal lösning för det operativsystem som önskas, t.ex Windows, macOS, Linux eller Chrome OS. Högsta möjliga skydd erhålls vid inloggning till dator, domän, applikationer, intygstjänst (IdP), onlinetjänster och servrar.

  • Bygger på standardkomponenter och fungerar i alla vanliga systemmiljöer.

  • Plattformsoberoende. Windows, macOS, Linux eller Chrome OS.

  • Stöd för bärare som smartkort och YubiKey.

  • Flexibilitet i val av integrationsgränssnitt för applikationer.

  • Konfiguration av kundanpassade flöden genom Group Policy Object (GPO).

4.2.2. Net iD Access

Net iD Access ger kunden full PKI-baserad multifaktorautentisering till verksamhetskritisk information och applikationer på alla typer av klientenheter.

Tack vare stöd för iOS och Android erhålls en bibehållen säkerhet även med mobila enheter som mobiltelefon och surfplatta. Net iD Access fungerar lika bra med webbapplikationer som mobila appar.

  • Tillgång till verksamhetskritisk information överallt.

  • Integrerar med befintlig PKI-infrastruktur.

  • Hanterar klientappars behov av integration med kortläsare, kort, nycklar och certifikat.

  • Kostnadsfri för nedladdning till iOS och Android.

  • Finns även för Windows, macOS, Linux och Chrome OS.

5. Miljöer

5.1. Produktion

Varje kund har tillgång till produktionsmiljön av Pointsharp Net iD. I produktionsmiljön bearbetas och lagras kundens data i molntjänsten.

Produktionsmiljön innehåller en version av Pointsharp Net iD som har genomgått erforderlig testning och kvalitetssäkring.

5.1.1. Temporära och kundunika miljöer

Utöver produktionsmiljön kan kunder behöva tillgång till en miljö för Pointsharp Net iD för till exempel test, demo eller i utbildningsyfte.

6. Tjänstearkitektur

Allt ligger i redundanta datorhallar med full high availability (HA). Vid behov ökas antalet servrar dynamiskt.

7. Tjänstekrav

För att ta tjänsten i bruk måste kunden och dennes tekniska miljö uppfylla teknikkraven beskrivna i följande stycken.

7.1. Klient för dator (Net iD Client)

Med klient avses den dator eller mobila enhet vilken slutanvändaren ansluter till tjänsten.

Benämning

Beskrivning

Kommunikation

Internetanslutning

Operativsystem

https://docs.pointsharp.com/net-id-client/latest/nic-release-notes/nic-130-system-requirements.html#_operating_systems

Webbläsare

https://docs.pointsharp.com/net-id-client/latest/nic-release-notes/nic-130-system-requirements.html#_web_browsers

Programvaror

Net iD Client

7.2. Klient för mobil applikation (Net iD Access Client)

Benämning

Beskrivning

Kommunikation

Internetanslutning

Operativsystem

  • iOS

  • Android

App

Net iD Access Client

7.3. Autentisering

Tjänsten använder TLS och en egen krypteringskanal. Klientcertifikat på hårdvarubärare krävs för inloggning i tjänsten.

8. Funktioner inom tjänsten

8.1. Utgivningsförfaranden

Tjänsten har lösningar för att utfärda e-tjänstelegitimationer på tillitsnivå 3. För att få utfärda e-tjänstelegitimationer enligt denna tillitsnivå krävs att ett kundavtal undertecknas av respektive RA-organisation samt ett godkännande efter kontroll av organisationen.

En domänvalidering för domänen under vilken e-legitimationerna ska utfärdas genomförs alltid. Beoroende på kund kan även giltigt registreringsbevis samt andra kontroller krävas. Även en tillitsdeklaration måste fyllas i samt efter genomförd revision godkännas av Pointsharp. När detta är klart utfärdas de första RA-handläggarnas e-legitimationer på plats hos kunden av personal Pointsharp. Efter detta kan RA-organisationen själv utfärda sina e-legitimationer.

För att utfärda e-legitimationer enligt LoA3 krävs att mottagaren identifierar sig med en godkänd svensk identitetshandling.

9. Tekniska och organisatoriska säkerhetsåtgärder

Pointsharp Net iD är designat för att möta de höga säkerhetskrav som ställs av våra kunder.

9.1. Fysisk säkerhet

Pointsharp Net iD driftas i moderna datorhallar som är fysiskt separerade från varandra. Datorhallarna är självförsörjande och helt oberoende av yttre faktorer som exempelvis kraft- och kylförsörjning. Det innebär att anläggningen fungerar även under omfattande strömavbrott eller andra krissituationer. Endast auktoriserad personal som i sitt arbete har behov av fysisk närvaro ges tillträde till datorhallarna. Se Pointsharp Net iD Certificate Policy and Certification Practice Statement för detaljerad information.

9.2. Nät och kommunikation

Den fysiska arkitekturen är skiktad i logiska lager och bara specifika portar och IP-adresser är öppna för att säkerställa att endast relevant data är åtkomligt direkt via internet. Se Pointsharp Net iD Certificate Policy and Certification Practice Statement för detaljerad information.

9.2.1. Kommunikation till och från Pointsharp Net iD

Anslutning till tjänster i Pointsharp Net iD sker via internet. Anslutningen är redundant och kapaciteten ("bandbredden") skalas upp successivt i takt med ökat behov. Se Drift och underhåll.

9.2.2. Brandvägg

Alla tjänster och dess bakomliggande servrar ligger bakom en redundant brandvägg. Se Drift och underhåll.

9.2.3. Kryptering av trafik

All trafik till och från tjänsten sker i krypterad form, via protokollet HTTPS och dess inbyggda stöd för krypteringstekniken TLS (v1.3 eller senare, SHA256), samt ett kompletterande proprietärt krypteringslager.

9.3. Datalager och backup

Informationen som skapas och hanteras av tjänsten lagras i krypterad form på databasservrar som ej är exponerade mot internet.

9.4. Systemkonton

Systemkonton och tjänster skapas alltid med lägsta möjliga behörighet. Vid behov ges behörighet för specifika ändamål, till exempel access till specifik filarea, åtkomst till specifikt certifikat och så vidare. Konton är av typen grupphanterat tjänstekonto (gMSA).

9.5. Hantering av persondata

Pointsharp följer EU-lagstiftning samt svensk lagstiftning för hantering av personuppgifter.

Pointsharp följer de regler och direktiv som Integritetsskyddsmyndigheten (IMY) har tagit fram för personuppgiftsombud. Endast behörig personal såsom support och driftpersonal har tillgång till servrar och information.

Behörighet till Pointsharp Net iD får enbart tilldelas personal som är kontrollerad och godkänd av Pointsharp. Tillgång till systemet ges genom autentisering, se Autentisering.

All åtkomst till information samt förändringar av systemet loggas för spårbarhet. Se Pointsharp Net iD Certificate Policy and Certification Practice Statement och Privacy Notice för detaljerad information.

9.6. Backup och återläsning av data

Backup görs av relevanta delar i tjänsten (applikationer, konfigurationer och data).

  • Backup av transaktionsloggar samt känslig data.

  • Återläsningstest sker:

    • Minst årligen eller vid större förändringar.

    • Med senaste säkerhetskopian från produktionsmiljön.

    • Alltid till en särskild testmiljö för detta ändamål och har ingen påverkan på tillgänglighet till kundens produktionsmiljö.

9.7. Antivirus

Alla servrar är utrustade med kontinuerligt uppdaterad programvara för antivirus och andra säkerhetsskydd.

9.8. Autentisering

För att komma åt tjänsten krävs tvåfaktorautentisering med personliga klientcertifikat vars privata nyckel skyddas i hårdvara, exempelvis smartkort. Detta erhålls i samband med att man tecknar avtal samt blir godkänd för tjänsten.

9.9. Kakor ("cookies")

Tjänsten lagrar användarens bild för inloggningsdialog samt de tio senast inloggade användarna för att välja default-användare vid flera certifikat och kort i kakor. Språkresursen lagras i klienten för tjänsten, d.v.s. cache i Net iD Client.

De kakor vi använder är så kallade temporära sessionskakor som i huvudsak används för att veta om användaren är auktoriserad. De försvinner när användaren loggar ut, stänger webbläsaren eller stänger av datorn.

9.10. Spårbarhet och loggning

Loggning sker i alla led och delar av Pointsharp Net iD för att ge bästa möjliga spårbarhet. Loggningen ger ovärderlig hjälp vid felsökning samt vid säkerhetsrevisioner.

10. Drift och underhåll

10.1. Kontinuerlig drift

Pointsharp Net iD driftas nästan uteslutande på virtuella servrar. De fåtal fysiska servrar som används är alla redundanta.

Pointsharp Net iD och de tjänster och applikationer som driftas där, hanteras av ett dedikerat team som uteslutande jobbar med drift, övervakning och underhåll. Därutöver finns ett antal experter knutna till teamet för olika områden som nätverk, Windows, SQL, etc.

Teamet får automatiskt larm via fördefinerade events om t.ex. status på tjänsteapplikationer och infrastruktur. Exempelvis övervakas prestanda och resursutnyttjande så att kapaciteten kan utökas vid behov.

Alla servrar finns i minst två separata datorhallar för att få så kallad high availability (HA).

10.2. Ändringshantering

Ändringshantering av miljö såsom servrar, nätverk, brandväggar med mera hanteras via change requests (CR) i driftleverantörens service management system. Om inte CR-mallar används kan Service Desk kontaktas via epost eller per telefon. Datorhallsleverantören har en utsedd Change Manager för varje kund. Change Manager är ansvarig för att alla ändringar blir utförda och dokumenterade för spårbarhet på ett korrekt sätt. Change Manager prioriterar även mellan ändringsärenden.

Ändringar och uppdateringar av tjänsteapplikationerna testas och verifieras först i testmiljöer innan de läggs in i produktionsmiljön så att eventuella fel och brister kan åtgärdas. Dessa ändringar införs i schemalagda servicefönster som kommuniceras på tjänstens webbsida.

Ändringar som berör applikation hanteras hos Pointsharp genom tickets.

10.3. Incidenthantering och eskalering

Fel och problem som upptäcks av kunder rapporteras i regel som incidenter i Pointsharps supportportal. Antingen skrivs de av kunden direkt eller av Pointsharps Support Desk efter kontakt med kunden och en beskrivning av problemet.

Analys görs av Pointsharps support. Kunden hålls uppdaterad om ärendets status och ibland via direktkontakt om kompletterande information krävs.

Fel och andra händelser som uppstår i Pointsharp Net iD:s tjänsteleverans (hårdvara, nätverk, applikationer, akuta uppdateringar, etc.), och som riskerar att påverka kunder, eskaleras vanligtvis via de olika verksamheternas service desk och supportorganisationer.

10.4. Servicenivå

Se villkor till Kundavtal – Pointsharp Net iD.

  • No labels