Sambiombud
Sambiombud
18-03-15
Målgrupper för Sambi
Privata
omsorgsgivare
Kommuner
Apoteksaktörer
Veterinärer
Landsting
Tandläkare
Privata vårdgivare
Regionförbund
Myndigheter
. . .
Varför återförsäljare?
Domännamns registrarer | Sambiombud |
Webbhotell | eID |
E-mejl | Directory service |
Domännamn | IdP (SAML) |
Hosting, immaterialrätt… | Implementation av ett strukturerat säkerhetsarbete (motsvarande ISO 27001) |
Centrala krav för Sambi,
gäller även för anslutning via Sambiombud
• En användarorganisation ska fortsatt ha ett tydligt ansvar för sina användare och deras identiteter och behörighetsstyrande attribut.
• Det ska alltid framgå vilken organisation som en individ representerar även när ombud används.
• En användarorganisation ska alltid ha ett eget juridiskt bindande avtal med federationen.
• Problem till följd av att ombud inte sköter sina åtaganden ska kunna hanteras.
Sambiombud
• Svensk e-identitet
• Federationsoperatörens eget
Erfarenheter från
IIS domännamnsregistry
Anslutning via ombud
FedOp Back end
Medlems register
Sambiombud
Metadata
FedOp Front end
”Direkt Anslutning”
”Info om Medlemmar”
Avtalspaket
Part | Anslutningsavtal | Tillitsgransknings avtal |
Direktansluten Medlem | Ja | Ja |
Medlem ansluten via Sambiombud | Ja | Ja (Allmänna villkor) |
Sambiombud | Ja | Ja |
Trepartsavtal för Anslutning via Sambiombud
Federationsoperatören
Anslutningsavtal för Sambiombud
Sambiombud
”avtal”
Anslutningsavtal vid anslutning via Sambiombud
Anslutningsavtal för direktanslutning
Användarorganisation
Användarorganisation
Direktansluten Medlem
Anslutningsavtal Sambi
• Xxxxx Xxxxxx 1 – Definitioner för Sambi
• Sambi Bilaga 2 – Tekniska krav
• Xxxxx Xxxxxx 3 – Tillitsramverk
• Xxxxx Xxxxxx 4 – Föreskrifter för Sambis Federationsoperatör
• Xxxxx Xxxxxx 5 – Avgifter
Tillitsgranskningsavtal
• Bilaga 1 – Tillitsgranskningens omfattning
Finns för: Användarorganisation, Tjänsteleverantör, Leverantör till Användarorganisation, Leverantör till Tjänsteleverantör
Sambiombud
Sambiombudsavtal
• Xxxxx Xxxxxx 1 – Definitioner för Sambi
• Sambi Bilaga 2 – Tekniska krav
• Xxxxx Xxxxxx 3 – Tillitsramverk
• Xxxxx Xxxxxx 4 – Föreskrifter för Sambis Federationsoperatör
• Sambiombud Bilaga 5 – Föreskrifter för Sambiombud
• Sambiombud Bilaga 6 – Avgifter
Tillitsgranskningsavtal
Samma som för direktanslutna medlemmar
Granskning av Sambiombud
Granskning av Medlem ansluten via Sambiombud
Sambiombudet ska leverera en Fullständig tillitsdeklaration för Användarorganisationen till Sambis Tillitsgranskningstjänst, omfattande:
A. Generella krav
B. E-legitimationsutfärdare
C. Attribututgivare
D. Identitetsintygsutgivare
A. Generella krav - Säkerhetsarbete
Krav A.3: Betrodd Part ska för den tjänst som medlemskapet avser ha infört ett strukturerat säkerhetsarbete anpassat efter risker och säkerhetsbehov, bestående av:
• En riskanalys avseende tjänsten och dess funktioner. Denna ska ta hänsyn till skyddsvärde, befintliga skyddsåtgärder och legala krav. Riskanalysen ska omfatta analys av hot och sårbarheter, samt sannolikhet och konsekvens (skada) på Användare, den egna organisationen, andra Medlemmar och Federationsoperatören.
• Ett ledningssystem för informationssäkerhet för tjänsten baserat på ISO/IEC 27001 eller motsvarande. Säkerhetsåtgärderna ska hantera riskerna enligt riskanalysen för tjänsten och dess funktioner.
• Genomförd internrevision av införandet och efterlevnaden av säkerhetsregelverket för tjänsten.
Riskanalys och internrevision ska genomföras årligen och leda till en förbättringsplan innehållande rekommenderade säkerhetsåtgärder.
Några aktuella frågor
• Xxx en koncern ansluta alla sina anslutna företag
• Granskning av Sambiombud
• Hur långt kan ett strukturerat säkerhetsarbete förenklas för Medlemmar anslutna via Sambiombud
• Hantering av Medlemmar och Sambiombud som inte lever upp till federationens krav
• Gränssnitt mellan federationsoperatören och Sambiombudet