DemTech Group DemTech/DIGST/Report 1 (dansk) Review Fase 3 Scenarie analyse: oplæg til beslutninger. DemTech Group Denmark CVR:
|
|
- Morten Karlsen
- 8 år siden
- Visninger:
Transkript
1 DemTech Group DemTech/DIGST/Report 1 (dansk) Review Fase 3 Scenarie analyse: oplæg til beslutninger Carsten Schürmann, David Basin Februar 2015 DemTech Group Denmark CVR:
2
3 DemTech/DIGST/Report 1 (dansk) Januar 2015 Review Fase 3 Scenarie analyse: oplæg til beslutninger Carsten Schürmann, David Basin DemTech Group Ribegade 19 st th DK Copenhagen Denmark
4
5 Inholdsfortegnelse 1 Ledelsesresumé Baggrund Og Formål Scenarie Overblik Udfordringer Scenarie Overblik Udfordringer Scenarie Overblik Udfordringer Nemid Til Børn Overblik Udfordringer Litteratur... 13
6
7 1 Ledelsesresumé Vi har i foreliggende rapport analyseret tre scenarier for den næste generation af NemID, som er udarbejdet af Rambøll Consulting Management og Implement Consulting Group for Digitaliseringsstyrelsen. De tre scenarier er blevet analyseret fra forskellige interessenters perspektiver; brugernes (fx borgerne og ansatte i virksomheder og offentlige institutioner), beslutningstagernes, de juridiske myndigheders, leverandørernes og administratorernes. Rapporten fokuserer på, i hvilken grad det i de tre scenarier er muligt at opfylde de vigtigste krav til den næste generation af NemID, herunder funktionelle krav, sikkerhed og brugervenlighed. De tre scenarier viser en progressiv forbedring af NemID, hvad angår brugervenlighed, fleksibilitet og sikkerhed. Det første scenarie er en udvidet udgave af det nuværende NemID og vurderes ikke at imødekomme fremtidige behov hos borgere, virksomheder og offentlige institutioner i tilstrækkelig grad. Derimod indeholder scenarie 2 og scenarie 3 en række væsentlige forbedringer. Ikke desto mindre indeholder denne analyse en række udfordringer, som vi har klassificeret som enten større eller mindre alt efter i, hvilken grad de påvirker projektet. Større udfordringer: Disse er enten alvorlige problemer eller mangler, som gør det vanskeligt at analysere og forudse konsekvenserne af systemdesignet. Det er altgørende, at der bliver taget stilling til disse udfordringer, før kravspecifikationerne til i den kommende generation af NemID bliver udarbejdede for at undgå efterfølgende korrektioner, som formodentlig vil medføre store udgifter. Mindre udfordringer: Disse er mindre alvorlige udfordringer, som omfatter punkter, der er blevet overset eller områder, hvor der er oplagte muligheder for forbedringer. Disse udfordringer bør tages i betragtning inden færdiggørelsen af kravspecifikationerne. Følgende er eksempler på de større udfordringer, som er identificeret i rapporten: Manglende information: De tre scenarier skelner mellem autentifikation og autorisation, dvs. NemID i forhold til andre infrastrukturer som fx NemLog-in. Denne skelnen giver logisk mening og beskrivelser af både NemID og NemLog-in bør indgå i de tre scenarier. Det er nødvendigt, fordi formuleringen af attributter i forbindelse med autentifikation (fx identitet, virksomhedernes rolle og andre legitimationsoplysninger) er altafgørende. 1
8 Det er ligeledes vigtigt at overveje, hvilke andre kontekstuelle oplysninger (om fx autentifikationsprocedurens kapacitet), som er til tilgængelige. Dette bør afklares i forbindelse med analyser af kravene til systemet. En forståelse af samspillet mellem autentifikation og autorisation er fx også nødvendig for bestemmelser i forhold til, hvordan nøgler og privilegier skal kunne tilbagekaldes eller hvordan NemLog-in-rettighederne administreres internt i virksomheder. Uden yderligere detaljer om autorisation og rettighedsinformationstjenesterne er det ikke muligt at vurdere, hvorvidt signaturene i fremtidens NemID kan accepteres som bindende. Det afhænger bl.a. de mekanismer, som skal sikre en hensigtsmæssig tilbagekaldelse af rettigheder og nøgler. Det er heller ikke muligt at vurdere, hvordan systemdesignet påvirker brugervenligheden, omkostningerne og interoperationaliteten etc. Produktion og håndtering af private nøgler: De nøgler, som bliver brugt til at signere digitalt, bliver genereret af en tredje part og er derfor ikke udelukkende kontrolleret af den enkelte bruger. Dette rejser en række spørgsmål om nøglernes egnethed i forhold til de juridisk bindende digitale signaturer. Utilstrækkelige eller manglende krav: Privacy er et bredt område, som der kun tages stilling til i begrænset omfang i scenarie 3, som beskriver en maskering af personlige attributter. Flere af de standardiserede krav på dette område indgår ikke i scenariet. Fx vil det være muligt for en leverandør eller tjenesteudbyder at overvåge brugernes transaktioner samt at identificere, hvilke personer og virksomheder en given bruger interagerer med. Potentielle sikkerhedsproblemer: Det nuværende NemID har flere svagheder i forhold til sikkerhed, fx i forhold til de såkaldte man-in-themiddle-attacks og angreb på kompromitterede klientsystemer, hvor kriminelle kan autentificere sig som brugere af forskellige services, ligesom de også vil kunne signere dokumenter som brugere. Uden konkrete tiltag i protokollerne på dette område, er det sandsynligt, at den fremtidige generation af NemID også vil blive sårbar overfor sådanne og lignende angreb. Hvis ikke man bruger Hardware Security Modules (HSM s), risikerer man endvidere også angreb på specifikke brugere samt kompromittering af brugernes privatnøgler. Vi vil gerne understrege vores bekymringer i forhold til sikkerheden i den næste generation af NemID. Generelt er følgende nødvendigt i forhold til at kunne argumentere for sikkerheden i et system: (1) En præcis beskrivelse af, hvilke sikkerhedsmæssige udfordringer, som systemet skal kunne modstå. 2
9 (2) En specificering af, hvilke former for modstandere (eller potentielle trusler), som systemet bør beskyttes imod. Det kan fx være om et givent system skal kunne modstå interne eller eksterne angreb, om det skal kunne modstå forsøg på at kompromittere et klientsystem (fx manin-the browser-attacks eller aflæsning af nøglerfiler på en harddisk) eller hvorvidt en potentiel modstander (the adversary) vil være i stand til at lave en kryptoanalyse af svage nøgler etc. Vi finder ikke ovenstående punkter tilstrækkeligt beskrevet i de modtagne dokumenter. Endvidere savner vi også: (3) En rationel og udførlig begrundelse for, hvorfor systemets sikkerhedsmæssige egenskaber er tilstrækkelige i forhold til den forventede trussel. I de gennemgåede dokumenter, bliver der i de tre scenarier sporadisk refereret til forskellige former for sikkerhedsløsninger. Med vekslende detaljeringsgrad bliver der eksemplificeret for at vise, at de komponenter, som skal udgøre infrastrukturen i fremtidens NemID, er modstandsdygtige, og at de vil fungere under angreb. I denne sammenhæng er beskrivelserne i de tre scenarier ikke fyldestgørende, og det anbefales, at der fremadrettet tages stilling til manglerne i de tre ovenstående punkter. I alle tre scenarier er det et eksplicit mål at involvere forskellige tjenesteudbydere, identitetsgaranter og brokers. Vi vil gerne understrege, at det i denne forbindelse er nødvendigt at udarbejde præcise kravspecifikationer. En underspecifikation vil fx øge risikoen for, at én tjenesteudbyder vil kunne inkorporere elementer, som tjenesteudbyderen selv har designet, i den nye version af NemID. Dette vil efterfølgende kunne gøre det vanskeligt for andre udbydere at konkurrere, bl.a. fordi de vil blive nødt til at implementere tjenesteudbyderens protokoller. Derfor bør alle versioner være interoperationelle, hvorved man også vil imødekomme fremtidige rettighedsspørgsmål (fx intellectual property). Disse udfordringer imødekommes bedst ved udarbejde de nødvendige specifikationer forud for udbudsprocessen. Vi anbefaler, at Digitaliseringsstyrelsen behandler de større udfordringer og overvejer de mindre i forbindelse med udarbejdelsen af kravspecifikationerne forud for et efterfølgende udbud. Vi har i det følgende udarbejdet nogle retningslinjer i vores anbefalinger, som, vi håber, kan være til nytte i denne proces. 3
10 2 Baggrund og formål Grundlaget for vores analyse af de tre scenarier for den næste generation af NemID er disse dokumenter, som blev modtaget d. 12. januar, 2015: Næste generation af NemID, Fase 3 Scenarie analyse: oplæg til beslutninger [1]. Bilag 1: Afdækning af relevant funktionalitet i den eksisterende NemID for næste generation NemID. Bilag 2: Til scenarie 2 Virksomhedsområdet. Dokumentet, som vedrører fase 3, samt Bilag 2 er blevet udarbejdet af Rambøll Consulting Management og Implement Consulting Group. Bilag 1 er udarbejdet af Digitaliseringsstyrelsen. Dokumentet, som vedrører Fase 3, har til hensigt at fungere som beslutningsgrundlag og må derfor betragtes som helt centralt i forhold til udarbejdelsen af de kravspecifikationer, som vil blive væsentlige i forhold til den fremtidige indkøbsproces. Dokumenterne beskriver de tre scenarier på basis af input fra interessenter og høringsvar, som styregruppen har indsamlet. Det er vigtigt at understrege, at vi i denne analyse ikke har til hensigt at udarbejde selve kravspecifikationerne, systemdesignet (design documents) eller en forundersøgelse (feasibility study). Vi har heller ikke undersøgt, hvordan den næste generation af NemID vil interagere med fremtidige generationer og andre services som fx NemLog-in, ligesom vi heller ikke har beskæftiget os med de økonomiske aspekter. 4
11 3 Scenarie Overblik Dette scenarie er en mindre revision og udvidelse i forhold til det nuværende NemID: De private nøgler opbevares centralt på leverandørernes servere. I scenariet bliver kun 2 factor-autentifikation understøttet via passwords og et standard challenge response scheme. Det understøtter fortsat NemID borger og NemID medarbejdersignatur (dvs. både borgere og virksomheder). Den mindre udvidelse består i at muliggøre brugen af Hardware Security Modules (HSM s) og forbedringer i forhold til systemets brugerinterface. 3.2 Udfordringer Det fremgår af dokumentet (1), at scenariet ikke imødekommer mange af interessenternes ønsker, og at dette scenarie derfor ikke bør tages op til yderligere overvejelse. Vi bakker dette synspunkt op Større udfordringer De samme nøgler bruges til signering og autentifikation: Hver bruger er i besiddelse af et nøglepar (bestående af én offentlig og én privat nøgle). Den private nøgle bliver brugt i forbindelse med både signering og autentifikation. Det er dårlig sikkerhedspraksis. De forskellige nøgler bør brugt til forskellige formål og specielt bør nøglen, som bliver brugt til autentifikation, holdes adskilt fra nøglen, som bliver brugt til at signere med. Hvis den samme nøgle kan bruges til signering og autentifikation, er det muligt for en modstander (adversary) at udnytte dette til at narre en bruger til uforvarende at signere data eller dokumenter. Yderligere oplysninger om disse risici og best practices for Key Management findes i kapitel 5 (litteraturhenvisningen), Recommendation for key management - part 1 (revision 3) [2]. Anbefalinger: I forbindelse med signering og autentifikation bør der bruges separate nøgler. Scenarie 1 understøtter ikke denne separation, hvilket i sig selv er et stærkt argument for, hvorfor der ikke bør arbejdes videre med dette forslag som en løsning til den kommende generation NemID. Avancerede elektroniske signaturer: Vi mener, at de foreliggende dokumenter bør indeholde overvejelser af alternativer til nuværende løsning med centralt opbevarede nøgler på tjenesteudbydernes(fx Nets) servere, fordi man i sådanne overvejelser vil skulle forholde sig til den tiltagne digitalisering af services i Europa samt det fremtidige online-trusler. 5
12 Et af alternativerne til den nuværende løsning er at sikre, at den enkelte borgers offentlige/private nøglepar bliver genereret på brugernes egne kryptografiske hardware og at private nøgler aldrig adskilles fra denne hardware. Kontrollen af nøglerne er et gennemgående problem i alle tre scenarier, hvor central opbevaring af nøgler og nøglefiler er muligt. Vi er bekymrede i forhold til, at der i beskrivelsen af de tre scenarier ikke bliver taget stilling til i hvilken udstrækning, det er sandsynligt, at det nye NemID vil være foreneligt med fremtidige EU-direktiver. Hvis det nye NemID ikke lever op til fremtidige EUdirektiver kan det blive nødvendigt at redesigne NemID, hvilket vil betyde øgede udgifter, og det kan have en negativ effekt for danske virksomheder, som handler på det europæiske marked. Anbefaling: Når kravene for den næste generation af NemID skal udarbejdes, bør det genovervejes, hvor de private nøgler, som skal bruges til signering, skal genereres og opbevares, og hvorvidt en central opbevaringsløsning er den bedste løsning. Bemærk venligst at vores bekymring kun vedrører nøgler, som bruges til signering. For nøgler til autentifikation er dette ikke nødvendigt i samme omfang og her er andre (og mindre sikre) løsninger mulige, deriblandt central opbevaring, opbevaring i nøglefiler og opbevaring på tjenesteudbydernes servere. 6
13 4 Scenarie Overblik I scenarie 1 og 2 bliver de private nøgler genereret af og opbevaret på identitetsgarantens server. Forskellen mellem de to scenarier er, at der i scenarie 2 er forskel mellem de nøgler, som skal bruges til autentifikation og signering. Hver borger får to private nøgler, som begge opbevares på identitetsgarantens server. Det er en forbedring i forhold til scenarie 1, fordi det forhindrer tilfælde, hvor der på ulovlig vis bliver signeret på en brugers vegne. I scenarie 2 præsenteres forskellige sikkerhedsniveauer, især 1-factor autentifikationen, som giver borgerne nemmere adgang og dermed en bedre brugeroplevelse. Det beskrevne design vil gøre det muligt for andre serviceudbydere (specielt bankerne) at genbruge specifikke NemIDfunktioner og at tilbyde tillægsservices så som konto-kig. Sidst introduceres der i scenarie 2 et nyt komponent til NemID s infrastruktur; rettighedsinformationstjenesterne. Her kan NemID borger blive konfigureret til at erstatte NemID medarbejdersignatur, hvilket vil forbedre brugeroplevelsen og nogle områder af administrationen i forhold til scenarie Udfordringer I forhold til scenarie 1, løser scenarie 2 problemet med at bruge de samme nøgler til autentifikation og signering. En af udfordringerne i forhold til scenarie 1, nemlig kravene til de digitale signaturer, gælder imidlertid også i forhold til scenarie 2. I nedenstående beskriver vi de yderligere udfordringer: Større udfordringer Administration af rettigheder: I Scenarie 2 (og scenarie 3) samt bilag 2 introduceres rettighedsinformationstjenesterne, som inkluderer delegation, i den næste generation af NemID. Dette er nødvendigt, for når forretningsmæssige og personlige nøgler blandes, og der kun udstedes et nøglepar per borger, skal systemet vide, i hvilken egenskab en borger/medarbejder bruger NemID for at kunne administrere rettighederne hensigtsmæssigt. Spørgsmålet er, hvilken effekt rettighedsinformationstjenesterne vil have ikke bare på NemID, men også på andre systemer, i særdeleshed NemLog-in. 7
14 Rettighedsinformationstjenesterne giver virksomheder og forvaltninger mulighed for at definere og kontrollere en given brugers privilegier, således at den enkelte bruger kan gennemføre tiltag på deres vegne. I den forbindelse skal man være opmærksom på, at validiteten af en signatur ikke blot afhænger af, hvorvidt en given bruger vil kunne signere et dokument, men også af i hvilken udstrækning det er juridisk dokumenterbart, at det er den givne bruger, som har signeret dokumentet og at vedkommende er autoriseret til at signere det. Blandt de fagfolk, som arbejder med access control, er sådanne management-løsninger blevet studeret intensivt, og der er blevet udviklet mange løsningsmodeller på området. Generelt er der en tendens til, at der i forhold til disse løsninger synes at være afvejning mellem fleksibiliteten og kapaciteten på den ene side og brugervenligheden på anden. Hvor svært er det fx at specificere og vedligeholde retningslinjerne for autorisationen? Hvis man skal bedømme tilstrækkeligheden af en given løsning, kræver det, at egenskaberne er præciserede. Dette er ikke tilfældet i scenarie 2, B. Vi vil gerne understrege, at rettighedsinformationstjenesterne er afgørende for sikkerheden i den næste generation af NemID. Det er også meget vigtigt, at designet er brugervenligt, især fordi de brugere, som er ansvarlige for at administrere rettighederne ikke kan forventes at have udpræget erfaring på dette område. Endvidere bemærker vi, at designet af den næste generation af NemID og NemLog-in må hænge sammen. Interaktionen mellem de to systemer er subtil og ændringer ét sted vil let medføre problemer i forhold til tidligere design. Anbefaling: Kravene til rettighedsinformationstjenesterne kan ikke udarbejdes isoleret, fordi de påvirker kravene til andre komponenter, designet og implementeringen af disse, administrationen og brugeroplevelsen. De skal derfor udvikles sammen med scenarierne. Trusselsanalyse (adversary model): Fraværet af en trusselsanalyse gør det vanskeligt at evaluere sikkerheden i scenarie 2. Vi kan kun gætte på, at en ny og mere strømlinet generation af NemID vil være attraktivt for tjenesteudbydere, hvilket kan skabe opmærksomhed blandt it-kriminelle. Det er også oplagt, at 1-faktor-autentificeringen kan føre til flere tilfælde af identitetstyveri. Anbefaling: En trusselsanalyse, som kan indgå i overvejelser vedr. sikkerhed, bør udarbejdes Mindre udfordringer Tilgængelighed: I dette scenarie beskrives en distribueret arkitektur for NemID, som består af brokere og identitetsgaranter (se detaljer i (1) kapitel 8
15 8). Afhængigt af hvordan systemet implementeres, kan brugernes tilgængelighed øges, fordi antallet af brokere betyder, at der er mange udbydere til de samme services. Tilgængeligheden kan også blive reduceret, hvis en tjenesteudbyder kun bruger en enkelt broker og hvis denne ene broker fejler, vil det have negative konsekvenser for tjenesteudbyderen. Derfor afhænger meget af, hvordan systemet bliver designet. Dokumentet indeholder ingen forslag til eller diskussioner om, hvordan man vil kunne sikre en hensigtsmæssig tilgængelighed. Anbefaling: Kravene til systemets design bør indeholde en beskrivelse af de foranstaltninger, som skal sikre tilgængelighed. Denne beskrivelse bør omfatte, hvilke rammer man vil opstille i forhold til identitetsgaranter, brokere (fx i forhold til mirroring, redundans, load balancing) og tjenesteudbydere (fx at der skal være en backup-broker, hvis den primære broker ikke leverer). Kryptografiske muligheder: Der er mange forskellige måder, hvorpå man vil kunne bruge kryptografi i forhold til autentifikation og signering. I forhold til autentifikationen er det muligt at bruge symmetrisk og asymmetrisk kryptografi. Mht. asymmetrisk kryptografi er der forskellige muligheder for implementering, fx RSA og elliptiske kurver. Hvis nøglerne bliver opbevaret centralt, vil antallet af tillidsskabende faktorer måske kunne reduceres ved brug af teknikker som fx keysharing. Der bliver ikke taget stilling til sådanne muligheder. Andre muligheder bliver kun overfladisk og inkonsekvent behandlet. Fx bliver Yubikey bliver nævnt i scenarie 3. Yubikey bruger symmetrisk kryptografi, som ellers ikke er yderligere beskrevet. Samlet set vurderer vi, at de tekniske deltaljer er utilstrækkelige i betragtning af formålet med dokumentet. Anbefaling: Der mangler et rationale i forhold til understøttelsen af kryptografiske muligheder og de tilhørende kryptografiske protokoller bør blive specificeret i efterfølgende dokumenter om systemdesignet (design documents). 9
16 5 Scenarie Overblik Scenarie 3 indeholder ud over tre elementer, som allerede er blevet præsenteret i scenarie 2 et element, som gør det muligt at begrænse tjenesteudbydernes adgang til personlige informationer, alt afhængig af, hvem tjenesteudbyderen er og til hvilket formål tjenesteudbyderen skal bruge informationerne. Dette element er udviklet for at beskytte borgernes privatliv i videst muligt omfang med det in mente, at ikke alle personlige oplysninger vil kunne være hemmelige. Det andet nye element muliggør tilføjelse af login-faktorer, fx HSM s deriblandt Yubico Security Key. I scenariet anslås det, at der er et stigende behov for sådanne muligheder, specielt hos større virksomheder, som er afhængige af en høj sikkerhed i infrastrukturen. Og ja; hvis den korrekte hardware er understøttet, kan det højne hele sikkerheden i NemID s infrastruktur. Hvis alle borgere havde en HSM konfigureret med deres egne respektive private nøgler til autentifikation og signering, vil det forbedre sikkerheden i NemID. Det tredje element, som er særegent for scenarie 3 omhandler ikke det tekniske design, men handler om måder, hvorpå servicen vil kunne optimeres i forhold til ressourcer, økonomiske rammer etc. 5.2 Udfordringer Større udfordringer Beskyttelse af personlige oplysninger: Privacy er et komplekst begreb, som der i Scenarie 3 kun bliver taget overfladisk stilling til. Vi forventer, at de involverede parter (borgere, politikere, virksomheder og andre interessenter) generelt er bekymrede i forhold til beskyttelse af personlige oplysninger om, hvem de interagerer med og hvordan de interagerer med andre. Fx skal borgerne gerne kunne bruge forskellige services uden at andre parter, herunder identitetsgaranterne, får viden derom, ligesom tjenesteudbyderne gerne vil have, at oplysninger om, hvem deres kunder er, ikke deles med andre parter. Der er en tendens til, at privacy betragtes som et snævert spørgsmål om at maskere specifikke brugerattributter. Her bør det holdes for øje, at identitetsgaranten (fx Nets) kan observere og relatere transaktioner og 10
17 derved indhente informationer, som fortæller meget om NemID-brugernes adfærd. Det samme er tilfældet for andre parter, fx ISP s (Internet Service Providers). Andre udfordringer i forhold til beskyttelse af personlige oplysninger bliver slet ikke beskrevet. Formodentlig logger identitetsgaranterne, brokerne og tjenesteudbyderne de transaktioner, som de behandler. Hvordan bliver disse oplysninger beskyttet, og hvornår bliver de slettet? Hvilke mekanismer vil man bruge for at beskytte personfølsomme oplysninger i forhold til logning og i forhold til at sikre, at loven bliver håndhævet? Mindre udfordringer Billigere og bedre support: I Element F anslås det, at man i den nye generation af NemID vil kunne yde billigere og bedre support. Vi ser dette som et prisværdigt ønske, men vil gerne se en bedre argumentation for, at det rent faktisk er muligt. Afhængigt af rettighedsinformationstjenesternes design kan den valgte løsning blive vanskelig at konfigurere og bruge. I mangel af flere detaljer, vil vi bemærke, at det modsatte vil kunne blive tilfældet, og at supporten vil kunne blive dyre, før den vil blive bedre. Anbefaling: En genovervejelse af dette punkt anbefales, når der foreligger flere detaljer om løsningen til rettighedsinformationstjenesterne. Rationale i forhold til design: I den samlede selvevaluering skrives der, at designet vil skabe større tillid til NemID. Vi er bekymrede for, at dette ikke bliver tilfældet. Den omstændighed, at brugeren skal bruge NemID, hvis vedkommende fx skal have adgang til et casino eller et andet sted, som vil tjekke, at alle gæster er over 18 år, vil formodentlig blive betragtet som en krænkelse af privatlivets fred, også selv om det bliver lovet, at det kun er oplysninger om alder, som afsløres. Som det bliver noteret i scenarie 3, vil det ydermere være muligt for en tjenesteudbyder (i dette tilfælde Casinoet) at kræve yderligere oplysninger. Med mindre der er mekanismer, som forhindre dette (fx at det bliver muligt for borgerne at specificere deres egne præferencer i forhold til beskyttelse af deres personlige oplysninger, og at de har sikkerhed for, at disse præferencer respekteres) vil dette potentielt kunne skabe mistillid hos borgerne. 11
18 6 NemID til børn 6.1 Overblik Dette scenarie er tænkt som en parallel i forhold til de andre tre scenarier. NemID til børn er i højere grad baseret på infrastrukturerne i scenarie 2 og 3 end scenarie 1. Børn under 15 år er ikke gamle nok til selv at kunne signere, og derfor kræver det, at autentifikationen separeres fra signeringen. 6.2 Udfordringer Udstedelse af NemID til børn: Dette scenarie er ikke overbevisende i forhold til, hvorfor NemID til børn overhovedet er nødvendigt i Danmark. Fordelene ved at børn under 15 år vil kunne autentificere sig, når de bruger offentlige services som fx biblioteker, står ikke mål med de ulemper, som er forbundet med, at de samtidig vil kunne få adgang til utallige private tjenesteudbydere (måske uden at det var intentionen). En anden bekymring handler om, at forældre, som jo er ansvarlige for deres børn handlinger, er afskåret fra disse handlinger. Anbefaling: En mere detaljeret analyse af forretningsmodellen for NemID til børn under 15 år bør udarbejdes. Customization og vedligeholdelse: NemID til børn under 15 år er forskelligt fra det NemID, som vil møde de øvrige borgere. Derfor er det nødvendigt at lave et modificeret system (som endnu ikke er specificeret). Denne tilføjede kompleksitet vil øge udgifterne til implementeringen, ligesom systemet også vil være dyrere og vanskeligere at vedligeholde. Systemet skal konstrueres så det automatisk træffer de nødvendige foranstaltninger, når børnene fylder 16 år, da det ellers vil blive nødvendigt med yderligere foranstaltninger til vedligeholdelse. Disse processer er ikke tilstrækkeligt beskrevet i de analyserede dokumenter. Anbefaling: En mere detaljeret analyse af forretningsmodellen for NemID til børn under 15 år bør udarbejdes. 12
19 Litteratur [1] Rambøll Management Consulting and Implement Consulting Group. Næste generation af nemid, fase 3 scenarie analyse: oplæg til beslutninger. Draft, January [2] Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid. Recommendation for key management - part 1 (revision 3): General. In NIST Special Publication , National Institute of Standards and Technology,
Workshop om næste generation NemID
Workshop om næste generation NemID 1 DAGSORDEN Kort præsentationsrunde Introduktion til dagens workshop v/marianne Sørensen, kontorchef i Digitaliseringsstyrelsen Præsentation af elementer i næste generation
Læs mereDen samlede erhvervsløsning i næste generation af NemID og NemLog-in3
Notat 21. februar 2017 Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3 Dette notat giver en overordnet konceptuel fremstilling af, hvordan erhvervsområdet forventes håndteret samlet
Læs mereSikker adgang til personfølsomme data i Aula
Sikker adgang til personfølsomme data i Aula Version.0 6. februar 09 TEL SALES WWW TWITTER VAT +45 5 6 95 05 orders@liga.com liga.com @ligainsights DK9860 +46 8 669 75 75 SE556597-5 Forord Når en bruger
Læs mereBrokere i Identitetsinfrastrukturen
Brokere i Identitetsinfrastrukturen Juni 2018 Introduktion Dette notat beskriver forhold vedr. identitetsbrokere i den kommende, nationale identitets-infrastruktur bestående af MitID og NemLog-in3. Notatet
Læs mereeid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019
eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019 Hovedemner på dette oplæg Vores fælles ramme NemID til MitID NemLog-in3 NSIS eid-gateway Visionen Den fællesoffentlige strategi
Læs mereAutencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.
Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring
Læs mereStruktur på privatlivsimplikationsrapporten
Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...
Læs mereMitID. 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen
FDA2018 MitID 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen Agenda eid infrastruktur projekterne MitID-udbuddet Konceptuel arkitektur model Mens vi venter på MitID 24-04-2018 3 Identitetsfunktionalitet
Læs mereInteressentforum for næste generation NemID
Klassifikation: C - Til offentlig brug Interessentforum for næste generation NemID 20. januar 2017 Partnerskabet mellem Digitaliseringsstyrelsen og Pengeinstitutterne om tilvejebringelse og drift af næste
Læs mereDigital Signatur OCES en fælles offentlig certifikat-standard
Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard
Læs mereUdvalget for Videnskab og Teknologi 2009-10 UVT alm. del Svar på Spørgsmål 33 Offentligt
Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del på Spørgsmål 33 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg 1240
Læs mereDigitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer
Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen
Læs mereVejledning til valg af NSIS Sikringsniveau for tjenesteudbydere
3. oktober 2019 Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere Version 2.0.1 Introduktion Denne vejledning er henvendt til offentlige myndigheder og sekundært private tjenesteudbydere,
Læs mereNEMID MED ROBOTTER. Muligheder samt en anbefaling til at løse NemID-opgaver med robotter
NEMID MED ROBOTTER Muligheder samt en anbefaling til at løse NemID-opgaver med robotter 1 En softwarerobot må ikke handle på vegne af et menneske med vedkommendes NemID. Men hvilke andre muligheder er
Læs mereEuropaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt
Europaudvalget 2014-15 (2. samling) EUU Alm.del Bilag 4 Offentligt KOMITÉNOTAT TIL FOLKETINGETS EUROPAUDVALG 18. juni 2015 Europa-Kommissionens forslag af 11. juni 2015 om gennemførelsesretsakt vedrørende
Læs mere28 August 2015. Data privacy i SAP Lyngby 27/8 2015
28 August 2015 Data privacy i SAP Lyngby 27/8 2015 Agenda Om 2BM - Compliance Sikker håndtering af person data i SAP 1. Revisorerklæring for håndtering af personfølsomme data 2. Personfølsomme data definition
Læs mereIT-sikkerhedspanelets anbefalinger vedrørende privacy
Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy
Læs mereIt-principper. Bilag 1 til It- og Digitaliseringsstrategi for Sønderborg Kommune
It-principper Bilag 1 til It- og Digitaliseringsstrategi for Sønderborg Kommune Indledning It-principperne er grundstenene for it-arkitekturen i Sønderborg Kommune. Principperne skal bidrage til, at vi
Læs mereUnderstøttelse af LSS til NemID i organisationen
Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL
Læs mereIntroduktion til ændringerne ifm. overgangen til MitID og NemLog-in3
Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3 Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede, 30. oktober 2018 1. Velkommen til webinaret
Læs mereIntroduktion til ændringerne ifm. overgangen til MitID og NemLog-in3
Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3 Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede På vegne af Digitaliseringsstyrelsen Charlotte
Læs mereReducér risikoen for falske mails
Reducér risikoen for falske mails Center for Cybersikkerhed 1 November 2017 Indledning Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb.
Læs mereGuide til NemLog-in Security Token Service
Guide til NemLog-in Security Token Service Side 1 af 10 18. juni 2014 TG Denne guide indeholder en kort beskrivelse af, hvordan en myndighed eller itleverandør kan benytte NemLog-in s Security Token Service
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereLøsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.
Løsningsbeskrivelse for log-in og signering med NemID Valg af målgruppe og navigation omkring NemID på jeres tjeneste. Om dette dokument Indhold I dette dokument kan du finde en overordnet løsningsbeskrivelse
Læs mereKravspecification IdP løsning
Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige
Læs mereNemID DataHub adgang. morten@signaturgruppen.dk & jakob@signaturgruppen.dk. Doc. 25538-12, sag 10/3365
NemID DataHub adgang morten@signaturgruppen.dk & jakob@signaturgruppen.dk Agenda Funktionaliteten og brugeroplevelsen Arkitekturen og komponenterne bag NemID og digital signatur Datahub token Pause Udvikling
Læs merePixiguide til udarbejdelse af konsekvensvurdering
28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for
Læs mereDenne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig.
Version 1.0: 18. maj 2018 Denne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig. Vi respekterer dit privatliv. Uanset om du er en tilbagevendende
Læs mereATP s digitaliseringsstrategi 2014-2018
ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning
Læs mereKommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23
Kommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23 Formål Formålet med dette notat er at beskrive forskellige løsninger for kommunikationssikkerhed til brugerne af bibliotek.dk, med henblik
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereHøringsnotat om forslag til ændrede regler vedr. DNSSEC
Høringsnotat om forslag til ændrede regler vedr. DNSSEC Dansk Internet Forum (herefter DIFO) og DK Hostmaster sendte den 4. maj 2010 et forslag til ændring af Generelle vilkår for tildeling, registrering
Læs mereValg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere
Side 1 af 13 30. marts 2017 Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere Version 1.1. Denne vejledning er henvendt til offentlige myndigheder, som udbyder digitale
Læs mereUndersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr
Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...
Læs merespørgsmål vedrørende privatlivets fred
Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3
Læs mereGuide til kravspecifikation
Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten
Læs mereOFFENTLIG INFRASTRUKTUR I VERDENSKLASSE
SESSION OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE TIL INFORMATIONSMØDER OM NYE STRATEGIER Peter Falkenberg, IT-arkitekt, KL (pfl@kl.dk) (NemID og NemLogin) Anders Lillienfryd, chefkonsulent, KL, (alh@kl.dk)
Læs mereVersion: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen
Anbefalinger om brug af Digital Post for store virksomheder, administratorer/advokater (fx ejendomsadministratorer) og virksomheder med mange p- enheder Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af:
Læs mereStyregruppen for data og arkitektur
Styregruppen for data og arkitektur Review-rapport for: Indhold Arkitekturreview af overblik over offentlige data - 2 Reviewgrundlag 2 Projektresume 2 Indstilling 3 Anbefalinger 3 Anbefalinger til det
Læs mereInformationsmøde for brokere. 21. maj 2019
Informationsmøde for brokere 21. maj 2019 Dagsorden Intro til MitID Brokerrollen Hvorfor blive broker? MitID-integration Anvendelsesmodeller Brokeraftale og certificering Pause Betaling Support MitID s
Læs mereVISUELLE GUIDELINES FOR LOG-IN OG SIGNERING MED NEMID. Guide til udseende, sprog og struktur for tjenester, der bruger NemID.
VISUELLE GUIDELINES FOR LOG-IN OG SIGNERING MED NEMID Guide til udseende, sprog og struktur for tjenester, der bruger NemID. November 2015 Indhold Dokumentet indeholder anbefalinger og råd til integration
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereTermer og begreber i NemID
Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Termer og begreber i NemID DanID A/S 26. maj 2014 Side 1-11 Indholdsfortegnelse
Læs mereLØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.
LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste. November 2015 Indhold Her finder I en overordnet løsningsbeskrivelse for NemID og de
Læs mereIt-sikkerhedstekst ST4
It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger
Læs mereNets - Medarbejder Signatur
Nets - Medarbejder Signatur Nets Direkte Kommunikation Nøgle Bestilling Version: 2.1, Oktober 2013 Continia Software a/s Hjulmagervej 55 DK-9000 Aalborg Denmark Tel. +45 82 30 50 00 Support mail: cm@continia.dk
Læs mereNemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen
NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil
Læs merePrivatlivsfremmende teknologier (PETs)
Privatlivsfremmende teknologier (PETs) Appendiks 7 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Privatlivsfremmende teknologier... 3 Midler til imødegåelse af privatlivskrænkende
Læs mereJanuar 2012. Version 2.0. OTP-politik - 1 -
OTP-politik Januar 2012 Version 2.0 OTP-politik - 1 - Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 1.1. Baggrund og formål... 3 1.2. Kildehenvisninger... 3 1.3. Forkortelser... 3 1.4.
Læs mere1. Hvordan vi indsamler og opbevarer personoplysninger
WAVINS ERKLÆRING OM PERSONOPLYSNINGER OG COOKIES Vi beskytter dine oplysninger og giver dig fuld gennemsigtighed og kontrol over dem Dette er erklæringen om personoplysninger og cookies for webstedet http://dk.wavin.com/
Læs mereAfholdt 20. januar 2017 kl hos Digitaliseringsstyrelsen
Referat: Interessentforum 20. januar 2017 Klassifikation: C - Til offentlig brug Afholdt 20. januar 2017 kl. 13.00-15.00 hos Digitaliseringsstyrelsen Deltagere: Marianne Sørensen, DIGST Michael Busk-Jepsen,
Læs mereTil høringsparterne Se vedlagte liste
Til høringsparterne Se vedlagte liste Side 2 af 7 17. maj 2016 CSS/MAPAN Høring i forbindelse med ny National Standard for Identiteters Sikringsniveau. Digitaliseringsstyrelsen har udarbejdet vedlagte
Læs mereVejledning til valg af NSIS Sikringsniveau for tjenesteudbydere
22. januar 2019 Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere Version 2.0 Introduktion Denne vejledning er henvendt til offentlige myndigheder og sekundært private tjenesteudbydere, som
Læs merePBS CA Certifikat Center. Generelle vilkår for certifikatindehavere (chipkort) Version 1.1
Payment Business Services PBS A/S Lautrupbjerg 10 P.O. 500 DK 2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 pbsmailservice@pbs.dk www.pbs.dk PBS-nr. 00010014 CVR-nr. 20016175 PBS CA Certifikat Center
Læs mereEU Kommisionens RFID henstilling.
Vi har behov for en proaktiv europæisk tilgang, så vi kan drage nytte af RFID teknologiens fordele, samtidigt med at vi giver borgere, forbrugere og virksomheder valgmulighed, gennemsigtighed og kontrol.
Læs mereNemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig
NemLog-in Kenneth Kruuse, projektleder og serviceansvarlig Hvad er NemLog-in? SSO - med mere Formålet med NemLog-in Fællesoffentlig infrastruktur bygger ét sted og stiller komponenter gratis til rådighed
Læs mereDataHub Forbrugeradgangsløsning Spørgsmål og svar
9. Januar 2013 MEH/MHC DataHub Forbrugeradgangsløsning Spørgsmål og svar Dok 75938-12_v2, Sag 10/3365 1/7 1. Generelt 1.1 I hvilket omfang yder Energinet.dk support til elleverandørerne? Forretningskonceptet
Læs mereIntroduktion til NemID og Tjenesteudbyderpakken
Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S 11. april
Læs mereSmartFraming Et vindue til nationale sundhedssystemer. Version 3.0
SmartFraming Et vindue til nationale sundhedssystemer Version 3.0 Infrastruktur i dagens sundheds IT Det sundhedsfaglige personale benytter sig i dag af en række forskellige systemer i forbindelse med
Læs mereInteressentforum for næste generation NemID. Møde den 21. marts 2018
Interessentforum for næste generation NemID Møde den 21. marts 2018 Dagsorden Siden sidst MitID-udbuddet NemLog-in-udbuddene Migrering og implementering Support Det kommende forløb Eventuelt Partnerskabet
Læs mereSikker udstilling af data
Sikker udstilling af data Digitaliseringsstyrelsen 8. oktober 2012 Thomas Gundel Agenda Baggrund hvorfor udstille data? OWSA Model T Identitetsbaserede Web Services NemLog-in s fuldmagtsløsning OAuth 2.0
Læs mereSAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA
26. marts 2014 NOTAT SAPAs forretningsmæssige behov i relation til Dialogintegration Dette notat beskriver SAPAs specifikke forretningsmæssige behov i forhold til integration med relevante ESDH-/fagsystemer,
Læs mereReglerne Om Behandling Af Personlige Oplysninger
Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.
Læs mereStyregruppen for data og arkitektur. Reviewrapport for: Referencearkitektur for deling af data og dokumenter (RAD)
Styregruppen for data og arkitektur Reviewrapport for: data og dokumenter (RAD) Indhold Arkitekturreview (scopereview) af referencearkitektur for deling af data og dokumenter 2 Reviewgrundlag 2 Projektresume
Læs mereCAMSS analysen vurderer standarder inden for følgende 4 kategorier og et antal subkategorier.
Bilag 4a CAMSS 1 vurdering af GS1-standarder til implantatregisteret 1. Baggrund Det er aftalt i økonomiaftalen for 2016 mellem Regeringen og Danske Regioner, at der skal etableres et nationalt implantatregister.
Læs mereHøring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27.
Høringsparter vedr. certifikatpolitikker Se vedlagte liste Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27. februar
Læs mereStatens strategi for overgang til IPv6
Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,
Læs mereProfil Search s Persondatapolitik
Profil Search s Persondatapolitik Hvad er det Profil Search værner om privatlivets fred, og vi er naturligvis forpligtet til at beskytte den. I overensstemmelse med den generelle databeskyttelsesforordning
Læs mereFra NemID til MitID og NemLog-in3. Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede
Fra NemID til MitID og NemLog-in3 Kontorchef Charlotte Jacoby og it-arkitekt Christian Schmidt- Madsen giver et øjebliksbillede På vegne af Digitaliseringsstyrelsen Charlotte Jacoby, kontorchef for Center
Læs mereHvad er en NSIS to-faktor løsning?
Signaturgruppens NSIS program Hvad er en NSIS to-faktor løsning? NSIS er den nye standard, der supplerer NemID medarbejdersignatur fremadrettet, når medarbejderne skal på nationale tjenester, som behandler
Læs mereDigital Kommuneplan. Kravsspecifikation gennem brugerinvolvering
Digital Kommuneplan Kravsspecifikation gennem brugerinvolvering Indhold Introduktion Afklaring af behov: Hvad skal digitale kommuneplaner kunne? Udarbejdelse og test af løsning: Hvordan skal digitale kommuneplaner
Læs mere11. januar 2013 EBA/REC/2013/01. EBA-henstillinger. om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet
11. januar 2013 EBA/REC/2013/01 EBA-henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet Henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet
Læs mereSOSI Gateway Komponenten (SOSI GW)
SOSI Gateway Komponenten (SOSI GW) - en security domain gateway Version 1.2 1/8 Indledning Region Syddanmark er udvalgt som pilotregion for projektet Det Fælles Medicingrundlag, og i den forbindelse arbejdes
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereIt-sikkerhedstekst ST2
It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version
Læs mereIndhold. Digital Sundhed. Brugerstyringsattributter - Politikker ... 2. 1. Introduktion... 2 2. Identifikation...
Digital Sundhed Brugerstyringsattributter - Politikker - Specificering af nye og ændrede attributter i id-kortet Indhold 1. Introduktion... 2 2. Identifikation...... 2 2.1. Politik... 2 3. Sundhedsfaglig
Læs mereFAQ Login og step-up. Version 1.0, December Copyright 2018 Netcompany. All rights reserved
FAQ Login og step-up Version 1.0, December 2018 Copyright 2018 Netcompany. All rights reserved FAQ Denne FAQ imødekommer de oftest stillet spørgsmål vedrørende login. Det er spørgsmål, som er kommet til
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mereI det følgende vil de væsentligste ændringer, samt hvilke virksomheder loven omfatter, blive gennemgået.
7. august 2017 N Y H V I D V A S K N I N G S L O V E R T R Å D T I K R A F T Indledning Folketinget implementerede den 2. juni 2017 den sidste del af det fjerde EU-direktiv om forebyggende foranstaltninger
Læs mereUnderbilag 14 C: Afprøvningsforskrifter til prøver og tests
Underbilag 14 C: Afprøvningsforskrifter til prøver tests Udbud om levering, installation, implementering, support, drift vedligehold af Borgeradministrativt System (BAS) Indhold underbilag 14 C Afprøvningsforskrifter
Læs mereSpørgsmål og svar - Aalborg Kommunes EOJ udbud
Spørgsmål og svar - Aalborg Kommunes EOJ udbud spørgs mål ID Vedr. Spørgsmål Svar 1 Bilag 1 Der synes at være nogen inkonsistens i bilag 1 og tilhørende underbilag, hvorfor Udbyder bedes præcisere udbudsmaterialet
Læs mereSTS Designdokument. STS Designdokument
STS Designdokument i STS Designdokument STS Designdokument ii REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.3 2013-01 N STS Designdokument iii Indhold 1 Introduktion 1 2 Arkitekturoverblik 1 2.1 Eksterne
Læs mereArbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99
5093/98/DA/endelig udg. WP 17 Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger
Læs mereHvad er en NSIS to-faktor løsning?
Signaturgruppens NSIS program Hvad er en NSIS to-faktor løsning? NSIS er den nye standard, der supplerer NemID medarbejdersignatur fremadrettet, når medarbejderne skal på nationale tjenester, som behandler
Læs mereVisuelle guidelines for log-in og signering med NemID. Guide til udseende, sprog og struktur for tjenester der bruger NemID.
Visuelle guidelines for log-in og signering med NemID Guide til udseende, sprog og struktur for tjenester der bruger NemID. Om dette dokument Indhold I dette dokument kan du finde anbefalinger og råd til
Læs mereSäker Digital Post från myndigheterna
1 Säker Digital Post från myndigheterna Oplæg på ESV-dagen v/ Lone Boe Rasmussen 11. oktober 2016 DIGITAL POST I DANMARK ANNO 2016 Tak for invitationen til ESV-dagen Fortælle om rejsen, som vi har været
Læs mereTil bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.
Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v. Kvalitets- og Tilsynsstyrelsen Frederiksholms Kanal 25 1220 København
Læs mereNæste generation NemID Foranalyse: Oplæg til beslutninger
Forsidetabel 1: Styrer layout på forsiden med plads til overskrifter, billede etc. Næste generation NemID Foranalyse: Oplæg til beslutninger Digitaliseringsstyrelsen Rambøll Management Consulting Hannemanns
Læs mereMedarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk
Medarbejdersignatur - sådan gør organisationerne i dag Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk Min baggrund Etablerede TDC s certificeringscenter 1998-2006 Modtog Dansk IT s
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Defco A/S vedr. behandling af persondata Version 1.0 Dato 24-05-2018 Godkendt af Jan B. Jensen Antal sider 13 Side 1 af 13 Privatlivspolitik Tak, for dit
Læs mereTeknologiforståelse. Måloversigt
Teknologiforståelse Måloversigt Fagformål Eleverne skal i faget teknologiforståelse udvikle faglige kompetencer og opnå færdigheder og viden, således at de konstruktivt og kritisk kan deltage i udvikling
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereNæste generation af NemID Fase 2 Teknisk analyse
Næste generation af NemID Fase 2 Teknisk analyse Digitaliseringsstyrelsen Rambøll Management Consulting Hannemanns Allé 53 DK-2300 Copenhagen S T: +45 5161 1000 www.ramboll.com Implement Consulting Group
Læs mereOS2kravmotor Håndtering af GDPR
OS2kravmotor Håndtering af GDPR 13.03.2018 Agenda Hovedpunkter i GDPR (jeg er ikke jurist) Nuværende GDPR kravdækning i OS2kravmotor Opsummering af 145 DIGIT krav vedrørende it-sikkerhed Mangler vi krav
Læs mereSUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for
SUP-specifikation, version 2.0 Bilag 9 Sikkerhed og samtykke Udkast af 12. juni 2003 Udarbejdet for SUP-Styregruppen Uddrag af indholdet kan gengives med tydelig kildeangivelse Indholdsfortegnelse 1 Introduktion...
Læs mere9.2.b. Videreudvikling af NemLog-in
Side 1 af 5 9.2.b. Videreudvikling af NemLog-in Målsætning I forlængelse af etableringen af den nye NemLog-in, ses en betydelig efterspørgsel på yderligere funktionalitet og services, der ikke er finansieret
Læs merePOLITIK FOR HÅNDTERING AF INTERESSEKONFLIKTER SAXO BANK
POLITIK FOR HÅNDTERING AF INTERESSEKONFLIKTER SAXO BANK THE SPECIALIST IN TRADING AND INVESTMENT Page 1 of 5 1. INTRODUKTION 1.1 Er udstedt i medfør af og i overensstemmelse med EU direktiv 2004/39/EF
Læs mereANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER
ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER Kommunernes it-arkitekturråd 8. maj 2014 AGENDA Væsentligste observationer og konklusioner Relevans for kommuner STRATEGI OG ARKITEKTUR Analysen giver et bud
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.
Læs mere