Säkerhet och utväxling av uppgifter
Säkerhet och utväxling av uppgifter
Bilaga 2
v. 190918
Dessa säkerhetskrav gäller för minPension och Ansluten Pensionsaktör oavsett om informationen hanteras internt eller externt. Således omfattar kraven även konsulter och extern personal som handhar IT-drift, förvaltar och utvecklar system åt endera Part.
Information som endera Part får del av direkt från avtalspart, eller information om annan avtalspart, med anledning av Xxxxxxx och som antingen av den överlämnande Parten har angett som konfidentiell eller som av omständigheterna måste anses konfidentiell, ska behandlas med sekretess och får inte lämnas ut till tredje man. Sekretessåtagandet gäller även efter avtalets upphörande samt med undantag för myndighets lagstadgade skyldighet att, efter erforderlig sekretessprövning, lämna ut allmän handling.
1. Säkerhet
1.1 Allmänt
Alla Uppgifter som lagras på datamedia hos minPension och Ansluten Pensionsaktör ska skyddas av ett behörighetskontrollsystem. Det åligger Part att tillse att dess anställda endast får del av Uppgifter i den utsträckning det är nödvändigt för att utföra sina respektive uppgifter.
Uppgifterna ska, förutom mellan minPension och Ansluten Pensionsaktör, endast lämnas ut till den Användare som Uppgifterna avser direkt eller via Användarassistans i enlighet med villkoren härför. Användarens identitet ska verifieras genom godkänd e-legitimation.
Datakommunikation mellan minPension, Användarna och Ansluten Pensionsaktör ska skyddas genom kryptering.
Ansluten Pensionsaktör ansvarar för sina Uppgifter och deras säkerhet till dess att Uppgifterna mottagits av minPension.
Parternas avtal med konsulter, externa leverantörer och övriga parter som hanterar Uppgifter ska uppfylla åtminstone de säkerhetskrav som gäller enligt detta Avtal.
Dessa avtal ska även innehålla en sekretessförbindelse som omfattar all hantering av Uppgifterna.
1.2 Kommunikation
1.2.1 Implementationen
Ansluten Pensionsaktör kan fritt välja implementation av SSEK, antingen en färdigutvecklad produkt levererad av tredje part, eller en egenutvecklad lösning.
Dock ska implementationen av SSEK fullt ut följa SSEK-standarden enligt specifikationen SSEK 1.1 eller senare och utföras efter överenskommelse med minPension.
2. Utväxling av Uppgifter
2.1 Funktionella krav
Utväxlingen av Uppgifter mellan minPension och Ansluten Pensionsaktör görs med MIS Life XML, samt vad gäller utväxling enligt punkt 2.2 genom säker synkron filutväxling. Dessa filer är XML-filer som följer givna XML Schemadefinitioner.
Integrationen delas in i två separata förfaranden: kontinuerlig uppdatering eller fullständig uppdatering (årsuppdatering). Uppdateringar i samband med att en specifik Användare begär uppdaterade Uppgifter sker på samma sätt som en årsuppdatering för den aktuella Användaren.
2.2 Synkronisering med uppdatering av allmän pension
För inhämtande av Uppgifter om allmän pension inklusive premiepension, samt kontroll om Användare kan anslutas till Tjänsterna på minPension görs en synkron filutväxling mellan minPension och Pensionsmyndigheten. Filutväxlingen sker i syfte;
- Att inhämta information om Användarnas allmänna pension
- Att inhämta sådan information om Användarna som eventuellt kan utgöra grund för undantagshantering, dvs. Användaren inte kan anslutas på grund av skyddade uppgifter, avsaknad av svenskt personnummer m.m.
2.3 Uppdateringar av Uppgifter från Ansluten Aktör
Uppdatering av Uppgifter, andra än i punkt 2.2. ovan, sker dels vid nyregistrering av Användare, vid anrop från befintlig Användare samt för övriga Användare efter en med Ansluten Pensionsaktör överenskommen schemalagd kontinuerlig uppdatering.
Vid var tid gällande krav och tekniska villkor för uppdateringar framgår av xxx.xxxxxxxxxx.xx/xxxxxxx
2.4 Fullständig/Xxxxxxx uppdatering (årsuppdatering)
För vissa Anslutna Pensionsaktörer sker ingen schemalagd uppdatering enligt ovan utan uppdatering sker årligen i samråd med minPension och dess driftsleverantör.
Vid var tid gällande krav och tekniska villkor för uppdateringar framgår av xxx.xxxxxxxxxx.xx/xxxxxxx
2.5 Filöverföring
Filer överförs mellan minPension och Ansluten Pensionsaktör via SSEK 1.1 eller senare.
Ansluten Pensionsaktör och minPension ska i samband med anslutning och införandeprojektet komma överens om inställningar av parametrar, volymer och frekvenser, t.ex. hur många Användares Uppgifter som skickas per fil, vilket därefter kan justeras efter överenskommelse mellan minPension och den aktuella Anslutna Pensionsaktören.
2.6 Uppdatering för nyregistrerade Användare under pågående fullständig uppdatering
Under perioden från och med att processen för fullständig uppdatering startas fram till dess att uppdateringarna är slutförda hos minPension, skickas Individdokument och MIS Life-filen för eventuella nyregistrerade Användare som vanligt. De svarsuppgifter som skickas från Ansluten Pensionsaktör till minPension under denna tid för nyregistrerade Användare ska baseras på de uppdaterade Uppgifterna hos den Anslutna Pensionsaktören, så att alla registrerade Användare har aktuella Uppgifter hos minPension när uppdateringen är klar.
2.7 Ansvarsfördelning
- lagra uppgifter om Ansluten Pensionsaktör, inklusive bl.a. kommunikationssätt, överföringsadresser och kontaktuppgifter,
- tillhandahålla Individdokument till Ansluten Pensionsaktör via SSEK, och
- ta emot MIS Life-filen från Ansluten Pensionsaktör via SSEK och uppdatera minPensions databas med MIS Life-filens innehåll.
Ansluten Pensionsaktör ansvarar för att:
- ta emot Individdokument från minPension via SSEK,
- ta fram Uppgifter med korrekt resultat enligt Individdokumentens innehåll, och skapa MIS Life-fil innehållande dessa Uppgifter.
- skicka MIS Life-filen till minPension via SSEK.
De Uppgifter som skickas från Ansluten Pensionsaktör ska innehålla efterfrågade Uppgifter enligt Individdokumentet. Parterna ska verka för att eventuella
överskottsuppgifter, dvs. ej efterfrågade Uppgifter, begränsas och/eller raderas om sådan överföring sker.
2.8 Struktur och format på överförda filer
Struktur och format på Individdokument finns på S4I:s hemsida xxxx://xxx.x0x.xx.
Ett exemplar av Individdokumentet och ett exemplar av MIS Life-filen utgör tillsammans en transaktion, dvs. en utväxling av Individdokument och MIS Life-filen mellan minPension och Ansluten Pensionsaktör. De två filerna i en transaktion hålls ihop med hjälp av ett transaktions-ID (i XML-filerna benämnt ”TxId”) som minPension utser innan Individdokumentet skapas. Båda filer i en transaktion delar samma transaktions-ID.
2.9 Valideringsfel
Alla filer ska valideras mot XSD av minPension innan de skickas till Ansluten Pensionsaktör, och när de tas emot från Ansluten Pensionsaktör innan bearbetning. Vardera Parten ansvarar själv för att logga eventuella valideringsfel och underrätta systempersonal om dessa, så att kontakt kan tas med systempersonal hos den andre Parten för att initiera korrigering och omsändningar av felaktiga data.
2.10 Omsändning
Om Ansluten Pensionsaktör upptäcker att felaktiga Uppgifter har levererats till minPension ska denne på eget initiativ sända om samma fil med korrekt innehåll. Samma transaktions-ID ska då användas som i den första (felaktiga) filen. minPension kommer då att kunna avgöra att överföringen är en korrigerande omsändning av en redan avslutad transaktion, och göra nödvändiga uppdateringar i databasen.
Vid överföring av felaktiga Uppgifter ska part informera den andra parten till stöd för respektive parts eventuella incidentrapportering i anledning av den felaktiga överföringen i enlighet med Bilaga 1 punkt 7.2.
2.11 Filhantering till och från minPension
Hämta filer
Ansluten Pensionsaktör kan hämta/få filer från minPension alla dagar (365/år) mellan kl. 00:00 och 24:00.
Sända filer
Ansluten Pensionsaktör kan sända/lämna filer till minPension alla dagar mellan klockan 00:00 och 24:00.
Ansluten Pensionsaktör ska besvara Individdokument inom 24 timmar.
Servicefönster
Alla dagar mellan kl. 00:00 och 24:00 bearbetar minPension alla data i inkommande filer samt lägger upp nya filer för avhämtning i respektive Ansluten Pensionsaktörs mappar.