DemTech Group DemTech/DIGST/Report 1 (dansk) Review Fase 3 Scenarie analyse: oplæg til beslutninger. DemTech Group Denmark CVR:

Størrelse: px
Starte visningen fra side:

Download "DemTech Group DemTech/DIGST/Report 1 (dansk) Review Fase 3 Scenarie analyse: oplæg til beslutninger. DemTech Group Denmark CVR: 35527052"

Transkript

1 DemTech Group DemTech/DIGST/Report 1 (dansk) Review Fase 3 Scenarie analyse: oplæg til beslutninger Carsten Schürmann, David Basin Februar 2015 DemTech Group Denmark CVR:

2

3 DemTech/DIGST/Report 1 (dansk) Januar 2015 Review Fase 3 Scenarie analyse: oplæg til beslutninger Carsten Schürmann, David Basin DemTech Group Ribegade 19 st th DK Copenhagen Denmark

4

5 Inholdsfortegnelse 1 Ledelsesresumé Baggrund Og Formål Scenarie Overblik Udfordringer Scenarie Overblik Udfordringer Scenarie Overblik Udfordringer Nemid Til Børn Overblik Udfordringer Litteratur... 13

6

7 1 Ledelsesresumé Vi har i foreliggende rapport analyseret tre scenarier for den næste generation af NemID, som er udarbejdet af Rambøll Consulting Management og Implement Consulting Group for Digitaliseringsstyrelsen. De tre scenarier er blevet analyseret fra forskellige interessenters perspektiver; brugernes (fx borgerne og ansatte i virksomheder og offentlige institutioner), beslutningstagernes, de juridiske myndigheders, leverandørernes og administratorernes. Rapporten fokuserer på, i hvilken grad det i de tre scenarier er muligt at opfylde de vigtigste krav til den næste generation af NemID, herunder funktionelle krav, sikkerhed og brugervenlighed. De tre scenarier viser en progressiv forbedring af NemID, hvad angår brugervenlighed, fleksibilitet og sikkerhed. Det første scenarie er en udvidet udgave af det nuværende NemID og vurderes ikke at imødekomme fremtidige behov hos borgere, virksomheder og offentlige institutioner i tilstrækkelig grad. Derimod indeholder scenarie 2 og scenarie 3 en række væsentlige forbedringer. Ikke desto mindre indeholder denne analyse en række udfordringer, som vi har klassificeret som enten større eller mindre alt efter i, hvilken grad de påvirker projektet. Større udfordringer: Disse er enten alvorlige problemer eller mangler, som gør det vanskeligt at analysere og forudse konsekvenserne af systemdesignet. Det er altgørende, at der bliver taget stilling til disse udfordringer, før kravspecifikationerne til i den kommende generation af NemID bliver udarbejdede for at undgå efterfølgende korrektioner, som formodentlig vil medføre store udgifter. Mindre udfordringer: Disse er mindre alvorlige udfordringer, som omfatter punkter, der er blevet overset eller områder, hvor der er oplagte muligheder for forbedringer. Disse udfordringer bør tages i betragtning inden færdiggørelsen af kravspecifikationerne. Følgende er eksempler på de større udfordringer, som er identificeret i rapporten: Manglende information: De tre scenarier skelner mellem autentifikation og autorisation, dvs. NemID i forhold til andre infrastrukturer som fx NemLog-in. Denne skelnen giver logisk mening og beskrivelser af både NemID og NemLog-in bør indgå i de tre scenarier. Det er nødvendigt, fordi formuleringen af attributter i forbindelse med autentifikation (fx identitet, virksomhedernes rolle og andre legitimationsoplysninger) er altafgørende. 1

8 Det er ligeledes vigtigt at overveje, hvilke andre kontekstuelle oplysninger (om fx autentifikationsprocedurens kapacitet), som er til tilgængelige. Dette bør afklares i forbindelse med analyser af kravene til systemet. En forståelse af samspillet mellem autentifikation og autorisation er fx også nødvendig for bestemmelser i forhold til, hvordan nøgler og privilegier skal kunne tilbagekaldes eller hvordan NemLog-in-rettighederne administreres internt i virksomheder. Uden yderligere detaljer om autorisation og rettighedsinformationstjenesterne er det ikke muligt at vurdere, hvorvidt signaturene i fremtidens NemID kan accepteres som bindende. Det afhænger bl.a. de mekanismer, som skal sikre en hensigtsmæssig tilbagekaldelse af rettigheder og nøgler. Det er heller ikke muligt at vurdere, hvordan systemdesignet påvirker brugervenligheden, omkostningerne og interoperationaliteten etc. Produktion og håndtering af private nøgler: De nøgler, som bliver brugt til at signere digitalt, bliver genereret af en tredje part og er derfor ikke udelukkende kontrolleret af den enkelte bruger. Dette rejser en række spørgsmål om nøglernes egnethed i forhold til de juridisk bindende digitale signaturer. Utilstrækkelige eller manglende krav: Privacy er et bredt område, som der kun tages stilling til i begrænset omfang i scenarie 3, som beskriver en maskering af personlige attributter. Flere af de standardiserede krav på dette område indgår ikke i scenariet. Fx vil det være muligt for en leverandør eller tjenesteudbyder at overvåge brugernes transaktioner samt at identificere, hvilke personer og virksomheder en given bruger interagerer med. Potentielle sikkerhedsproblemer: Det nuværende NemID har flere svagheder i forhold til sikkerhed, fx i forhold til de såkaldte man-in-themiddle-attacks og angreb på kompromitterede klientsystemer, hvor kriminelle kan autentificere sig som brugere af forskellige services, ligesom de også vil kunne signere dokumenter som brugere. Uden konkrete tiltag i protokollerne på dette område, er det sandsynligt, at den fremtidige generation af NemID også vil blive sårbar overfor sådanne og lignende angreb. Hvis ikke man bruger Hardware Security Modules (HSM s), risikerer man endvidere også angreb på specifikke brugere samt kompromittering af brugernes privatnøgler. Vi vil gerne understrege vores bekymringer i forhold til sikkerheden i den næste generation af NemID. Generelt er følgende nødvendigt i forhold til at kunne argumentere for sikkerheden i et system: (1) En præcis beskrivelse af, hvilke sikkerhedsmæssige udfordringer, som systemet skal kunne modstå. 2

9 (2) En specificering af, hvilke former for modstandere (eller potentielle trusler), som systemet bør beskyttes imod. Det kan fx være om et givent system skal kunne modstå interne eller eksterne angreb, om det skal kunne modstå forsøg på at kompromittere et klientsystem (fx manin-the browser-attacks eller aflæsning af nøglerfiler på en harddisk) eller hvorvidt en potentiel modstander (the adversary) vil være i stand til at lave en kryptoanalyse af svage nøgler etc. Vi finder ikke ovenstående punkter tilstrækkeligt beskrevet i de modtagne dokumenter. Endvidere savner vi også: (3) En rationel og udførlig begrundelse for, hvorfor systemets sikkerhedsmæssige egenskaber er tilstrækkelige i forhold til den forventede trussel. I de gennemgåede dokumenter, bliver der i de tre scenarier sporadisk refereret til forskellige former for sikkerhedsløsninger. Med vekslende detaljeringsgrad bliver der eksemplificeret for at vise, at de komponenter, som skal udgøre infrastrukturen i fremtidens NemID, er modstandsdygtige, og at de vil fungere under angreb. I denne sammenhæng er beskrivelserne i de tre scenarier ikke fyldestgørende, og det anbefales, at der fremadrettet tages stilling til manglerne i de tre ovenstående punkter. I alle tre scenarier er det et eksplicit mål at involvere forskellige tjenesteudbydere, identitetsgaranter og brokers. Vi vil gerne understrege, at det i denne forbindelse er nødvendigt at udarbejde præcise kravspecifikationer. En underspecifikation vil fx øge risikoen for, at én tjenesteudbyder vil kunne inkorporere elementer, som tjenesteudbyderen selv har designet, i den nye version af NemID. Dette vil efterfølgende kunne gøre det vanskeligt for andre udbydere at konkurrere, bl.a. fordi de vil blive nødt til at implementere tjenesteudbyderens protokoller. Derfor bør alle versioner være interoperationelle, hvorved man også vil imødekomme fremtidige rettighedsspørgsmål (fx intellectual property). Disse udfordringer imødekommes bedst ved udarbejde de nødvendige specifikationer forud for udbudsprocessen. Vi anbefaler, at Digitaliseringsstyrelsen behandler de større udfordringer og overvejer de mindre i forbindelse med udarbejdelsen af kravspecifikationerne forud for et efterfølgende udbud. Vi har i det følgende udarbejdet nogle retningslinjer i vores anbefalinger, som, vi håber, kan være til nytte i denne proces. 3

10 2 Baggrund og formål Grundlaget for vores analyse af de tre scenarier for den næste generation af NemID er disse dokumenter, som blev modtaget d. 12. januar, 2015: Næste generation af NemID, Fase 3 Scenarie analyse: oplæg til beslutninger [1]. Bilag 1: Afdækning af relevant funktionalitet i den eksisterende NemID for næste generation NemID. Bilag 2: Til scenarie 2 Virksomhedsområdet. Dokumentet, som vedrører fase 3, samt Bilag 2 er blevet udarbejdet af Rambøll Consulting Management og Implement Consulting Group. Bilag 1 er udarbejdet af Digitaliseringsstyrelsen. Dokumentet, som vedrører Fase 3, har til hensigt at fungere som beslutningsgrundlag og må derfor betragtes som helt centralt i forhold til udarbejdelsen af de kravspecifikationer, som vil blive væsentlige i forhold til den fremtidige indkøbsproces. Dokumenterne beskriver de tre scenarier på basis af input fra interessenter og høringsvar, som styregruppen har indsamlet. Det er vigtigt at understrege, at vi i denne analyse ikke har til hensigt at udarbejde selve kravspecifikationerne, systemdesignet (design documents) eller en forundersøgelse (feasibility study). Vi har heller ikke undersøgt, hvordan den næste generation af NemID vil interagere med fremtidige generationer og andre services som fx NemLog-in, ligesom vi heller ikke har beskæftiget os med de økonomiske aspekter. 4

11 3 Scenarie Overblik Dette scenarie er en mindre revision og udvidelse i forhold til det nuværende NemID: De private nøgler opbevares centralt på leverandørernes servere. I scenariet bliver kun 2 factor-autentifikation understøttet via passwords og et standard challenge response scheme. Det understøtter fortsat NemID borger og NemID medarbejdersignatur (dvs. både borgere og virksomheder). Den mindre udvidelse består i at muliggøre brugen af Hardware Security Modules (HSM s) og forbedringer i forhold til systemets brugerinterface. 3.2 Udfordringer Det fremgår af dokumentet (1), at scenariet ikke imødekommer mange af interessenternes ønsker, og at dette scenarie derfor ikke bør tages op til yderligere overvejelse. Vi bakker dette synspunkt op Større udfordringer De samme nøgler bruges til signering og autentifikation: Hver bruger er i besiddelse af et nøglepar (bestående af én offentlig og én privat nøgle). Den private nøgle bliver brugt i forbindelse med både signering og autentifikation. Det er dårlig sikkerhedspraksis. De forskellige nøgler bør brugt til forskellige formål og specielt bør nøglen, som bliver brugt til autentifikation, holdes adskilt fra nøglen, som bliver brugt til at signere med. Hvis den samme nøgle kan bruges til signering og autentifikation, er det muligt for en modstander (adversary) at udnytte dette til at narre en bruger til uforvarende at signere data eller dokumenter. Yderligere oplysninger om disse risici og best practices for Key Management findes i kapitel 5 (litteraturhenvisningen), Recommendation for key management - part 1 (revision 3) [2]. Anbefalinger: I forbindelse med signering og autentifikation bør der bruges separate nøgler. Scenarie 1 understøtter ikke denne separation, hvilket i sig selv er et stærkt argument for, hvorfor der ikke bør arbejdes videre med dette forslag som en løsning til den kommende generation NemID. Avancerede elektroniske signaturer: Vi mener, at de foreliggende dokumenter bør indeholde overvejelser af alternativer til nuværende løsning med centralt opbevarede nøgler på tjenesteudbydernes(fx Nets) servere, fordi man i sådanne overvejelser vil skulle forholde sig til den tiltagne digitalisering af services i Europa samt det fremtidige online-trusler. 5

12 Et af alternativerne til den nuværende løsning er at sikre, at den enkelte borgers offentlige/private nøglepar bliver genereret på brugernes egne kryptografiske hardware og at private nøgler aldrig adskilles fra denne hardware. Kontrollen af nøglerne er et gennemgående problem i alle tre scenarier, hvor central opbevaring af nøgler og nøglefiler er muligt. Vi er bekymrede i forhold til, at der i beskrivelsen af de tre scenarier ikke bliver taget stilling til i hvilken udstrækning, det er sandsynligt, at det nye NemID vil være foreneligt med fremtidige EU-direktiver. Hvis det nye NemID ikke lever op til fremtidige EUdirektiver kan det blive nødvendigt at redesigne NemID, hvilket vil betyde øgede udgifter, og det kan have en negativ effekt for danske virksomheder, som handler på det europæiske marked. Anbefaling: Når kravene for den næste generation af NemID skal udarbejdes, bør det genovervejes, hvor de private nøgler, som skal bruges til signering, skal genereres og opbevares, og hvorvidt en central opbevaringsløsning er den bedste løsning. Bemærk venligst at vores bekymring kun vedrører nøgler, som bruges til signering. For nøgler til autentifikation er dette ikke nødvendigt i samme omfang og her er andre (og mindre sikre) løsninger mulige, deriblandt central opbevaring, opbevaring i nøglefiler og opbevaring på tjenesteudbydernes servere. 6

13 4 Scenarie Overblik I scenarie 1 og 2 bliver de private nøgler genereret af og opbevaret på identitetsgarantens server. Forskellen mellem de to scenarier er, at der i scenarie 2 er forskel mellem de nøgler, som skal bruges til autentifikation og signering. Hver borger får to private nøgler, som begge opbevares på identitetsgarantens server. Det er en forbedring i forhold til scenarie 1, fordi det forhindrer tilfælde, hvor der på ulovlig vis bliver signeret på en brugers vegne. I scenarie 2 præsenteres forskellige sikkerhedsniveauer, især 1-factor autentifikationen, som giver borgerne nemmere adgang og dermed en bedre brugeroplevelse. Det beskrevne design vil gøre det muligt for andre serviceudbydere (specielt bankerne) at genbruge specifikke NemIDfunktioner og at tilbyde tillægsservices så som konto-kig. Sidst introduceres der i scenarie 2 et nyt komponent til NemID s infrastruktur; rettighedsinformationstjenesterne. Her kan NemID borger blive konfigureret til at erstatte NemID medarbejdersignatur, hvilket vil forbedre brugeroplevelsen og nogle områder af administrationen i forhold til scenarie Udfordringer I forhold til scenarie 1, løser scenarie 2 problemet med at bruge de samme nøgler til autentifikation og signering. En af udfordringerne i forhold til scenarie 1, nemlig kravene til de digitale signaturer, gælder imidlertid også i forhold til scenarie 2. I nedenstående beskriver vi de yderligere udfordringer: Større udfordringer Administration af rettigheder: I Scenarie 2 (og scenarie 3) samt bilag 2 introduceres rettighedsinformationstjenesterne, som inkluderer delegation, i den næste generation af NemID. Dette er nødvendigt, for når forretningsmæssige og personlige nøgler blandes, og der kun udstedes et nøglepar per borger, skal systemet vide, i hvilken egenskab en borger/medarbejder bruger NemID for at kunne administrere rettighederne hensigtsmæssigt. Spørgsmålet er, hvilken effekt rettighedsinformationstjenesterne vil have ikke bare på NemID, men også på andre systemer, i særdeleshed NemLog-in. 7

14 Rettighedsinformationstjenesterne giver virksomheder og forvaltninger mulighed for at definere og kontrollere en given brugers privilegier, således at den enkelte bruger kan gennemføre tiltag på deres vegne. I den forbindelse skal man være opmærksom på, at validiteten af en signatur ikke blot afhænger af, hvorvidt en given bruger vil kunne signere et dokument, men også af i hvilken udstrækning det er juridisk dokumenterbart, at det er den givne bruger, som har signeret dokumentet og at vedkommende er autoriseret til at signere det. Blandt de fagfolk, som arbejder med access control, er sådanne management-løsninger blevet studeret intensivt, og der er blevet udviklet mange løsningsmodeller på området. Generelt er der en tendens til, at der i forhold til disse løsninger synes at være afvejning mellem fleksibiliteten og kapaciteten på den ene side og brugervenligheden på anden. Hvor svært er det fx at specificere og vedligeholde retningslinjerne for autorisationen? Hvis man skal bedømme tilstrækkeligheden af en given løsning, kræver det, at egenskaberne er præciserede. Dette er ikke tilfældet i scenarie 2, B. Vi vil gerne understrege, at rettighedsinformationstjenesterne er afgørende for sikkerheden i den næste generation af NemID. Det er også meget vigtigt, at designet er brugervenligt, især fordi de brugere, som er ansvarlige for at administrere rettighederne ikke kan forventes at have udpræget erfaring på dette område. Endvidere bemærker vi, at designet af den næste generation af NemID og NemLog-in må hænge sammen. Interaktionen mellem de to systemer er subtil og ændringer ét sted vil let medføre problemer i forhold til tidligere design. Anbefaling: Kravene til rettighedsinformationstjenesterne kan ikke udarbejdes isoleret, fordi de påvirker kravene til andre komponenter, designet og implementeringen af disse, administrationen og brugeroplevelsen. De skal derfor udvikles sammen med scenarierne. Trusselsanalyse (adversary model): Fraværet af en trusselsanalyse gør det vanskeligt at evaluere sikkerheden i scenarie 2. Vi kan kun gætte på, at en ny og mere strømlinet generation af NemID vil være attraktivt for tjenesteudbydere, hvilket kan skabe opmærksomhed blandt it-kriminelle. Det er også oplagt, at 1-faktor-autentificeringen kan føre til flere tilfælde af identitetstyveri. Anbefaling: En trusselsanalyse, som kan indgå i overvejelser vedr. sikkerhed, bør udarbejdes Mindre udfordringer Tilgængelighed: I dette scenarie beskrives en distribueret arkitektur for NemID, som består af brokere og identitetsgaranter (se detaljer i (1) kapitel 8

15 8). Afhængigt af hvordan systemet implementeres, kan brugernes tilgængelighed øges, fordi antallet af brokere betyder, at der er mange udbydere til de samme services. Tilgængeligheden kan også blive reduceret, hvis en tjenesteudbyder kun bruger en enkelt broker og hvis denne ene broker fejler, vil det have negative konsekvenser for tjenesteudbyderen. Derfor afhænger meget af, hvordan systemet bliver designet. Dokumentet indeholder ingen forslag til eller diskussioner om, hvordan man vil kunne sikre en hensigtsmæssig tilgængelighed. Anbefaling: Kravene til systemets design bør indeholde en beskrivelse af de foranstaltninger, som skal sikre tilgængelighed. Denne beskrivelse bør omfatte, hvilke rammer man vil opstille i forhold til identitetsgaranter, brokere (fx i forhold til mirroring, redundans, load balancing) og tjenesteudbydere (fx at der skal være en backup-broker, hvis den primære broker ikke leverer). Kryptografiske muligheder: Der er mange forskellige måder, hvorpå man vil kunne bruge kryptografi i forhold til autentifikation og signering. I forhold til autentifikationen er det muligt at bruge symmetrisk og asymmetrisk kryptografi. Mht. asymmetrisk kryptografi er der forskellige muligheder for implementering, fx RSA og elliptiske kurver. Hvis nøglerne bliver opbevaret centralt, vil antallet af tillidsskabende faktorer måske kunne reduceres ved brug af teknikker som fx keysharing. Der bliver ikke taget stilling til sådanne muligheder. Andre muligheder bliver kun overfladisk og inkonsekvent behandlet. Fx bliver Yubikey bliver nævnt i scenarie 3. Yubikey bruger symmetrisk kryptografi, som ellers ikke er yderligere beskrevet. Samlet set vurderer vi, at de tekniske deltaljer er utilstrækkelige i betragtning af formålet med dokumentet. Anbefaling: Der mangler et rationale i forhold til understøttelsen af kryptografiske muligheder og de tilhørende kryptografiske protokoller bør blive specificeret i efterfølgende dokumenter om systemdesignet (design documents). 9

16 5 Scenarie Overblik Scenarie 3 indeholder ud over tre elementer, som allerede er blevet præsenteret i scenarie 2 et element, som gør det muligt at begrænse tjenesteudbydernes adgang til personlige informationer, alt afhængig af, hvem tjenesteudbyderen er og til hvilket formål tjenesteudbyderen skal bruge informationerne. Dette element er udviklet for at beskytte borgernes privatliv i videst muligt omfang med det in mente, at ikke alle personlige oplysninger vil kunne være hemmelige. Det andet nye element muliggør tilføjelse af login-faktorer, fx HSM s deriblandt Yubico Security Key. I scenariet anslås det, at der er et stigende behov for sådanne muligheder, specielt hos større virksomheder, som er afhængige af en høj sikkerhed i infrastrukturen. Og ja; hvis den korrekte hardware er understøttet, kan det højne hele sikkerheden i NemID s infrastruktur. Hvis alle borgere havde en HSM konfigureret med deres egne respektive private nøgler til autentifikation og signering, vil det forbedre sikkerheden i NemID. Det tredje element, som er særegent for scenarie 3 omhandler ikke det tekniske design, men handler om måder, hvorpå servicen vil kunne optimeres i forhold til ressourcer, økonomiske rammer etc. 5.2 Udfordringer Større udfordringer Beskyttelse af personlige oplysninger: Privacy er et komplekst begreb, som der i Scenarie 3 kun bliver taget overfladisk stilling til. Vi forventer, at de involverede parter (borgere, politikere, virksomheder og andre interessenter) generelt er bekymrede i forhold til beskyttelse af personlige oplysninger om, hvem de interagerer med og hvordan de interagerer med andre. Fx skal borgerne gerne kunne bruge forskellige services uden at andre parter, herunder identitetsgaranterne, får viden derom, ligesom tjenesteudbyderne gerne vil have, at oplysninger om, hvem deres kunder er, ikke deles med andre parter. Der er en tendens til, at privacy betragtes som et snævert spørgsmål om at maskere specifikke brugerattributter. Her bør det holdes for øje, at identitetsgaranten (fx Nets) kan observere og relatere transaktioner og 10

17 derved indhente informationer, som fortæller meget om NemID-brugernes adfærd. Det samme er tilfældet for andre parter, fx ISP s (Internet Service Providers). Andre udfordringer i forhold til beskyttelse af personlige oplysninger bliver slet ikke beskrevet. Formodentlig logger identitetsgaranterne, brokerne og tjenesteudbyderne de transaktioner, som de behandler. Hvordan bliver disse oplysninger beskyttet, og hvornår bliver de slettet? Hvilke mekanismer vil man bruge for at beskytte personfølsomme oplysninger i forhold til logning og i forhold til at sikre, at loven bliver håndhævet? Mindre udfordringer Billigere og bedre support: I Element F anslås det, at man i den nye generation af NemID vil kunne yde billigere og bedre support. Vi ser dette som et prisværdigt ønske, men vil gerne se en bedre argumentation for, at det rent faktisk er muligt. Afhængigt af rettighedsinformationstjenesternes design kan den valgte løsning blive vanskelig at konfigurere og bruge. I mangel af flere detaljer, vil vi bemærke, at det modsatte vil kunne blive tilfældet, og at supporten vil kunne blive dyre, før den vil blive bedre. Anbefaling: En genovervejelse af dette punkt anbefales, når der foreligger flere detaljer om løsningen til rettighedsinformationstjenesterne. Rationale i forhold til design: I den samlede selvevaluering skrives der, at designet vil skabe større tillid til NemID. Vi er bekymrede for, at dette ikke bliver tilfældet. Den omstændighed, at brugeren skal bruge NemID, hvis vedkommende fx skal have adgang til et casino eller et andet sted, som vil tjekke, at alle gæster er over 18 år, vil formodentlig blive betragtet som en krænkelse af privatlivets fred, også selv om det bliver lovet, at det kun er oplysninger om alder, som afsløres. Som det bliver noteret i scenarie 3, vil det ydermere være muligt for en tjenesteudbyder (i dette tilfælde Casinoet) at kræve yderligere oplysninger. Med mindre der er mekanismer, som forhindre dette (fx at det bliver muligt for borgerne at specificere deres egne præferencer i forhold til beskyttelse af deres personlige oplysninger, og at de har sikkerhed for, at disse præferencer respekteres) vil dette potentielt kunne skabe mistillid hos borgerne. 11

18 6 NemID til børn 6.1 Overblik Dette scenarie er tænkt som en parallel i forhold til de andre tre scenarier. NemID til børn er i højere grad baseret på infrastrukturerne i scenarie 2 og 3 end scenarie 1. Børn under 15 år er ikke gamle nok til selv at kunne signere, og derfor kræver det, at autentifikationen separeres fra signeringen. 6.2 Udfordringer Udstedelse af NemID til børn: Dette scenarie er ikke overbevisende i forhold til, hvorfor NemID til børn overhovedet er nødvendigt i Danmark. Fordelene ved at børn under 15 år vil kunne autentificere sig, når de bruger offentlige services som fx biblioteker, står ikke mål med de ulemper, som er forbundet med, at de samtidig vil kunne få adgang til utallige private tjenesteudbydere (måske uden at det var intentionen). En anden bekymring handler om, at forældre, som jo er ansvarlige for deres børn handlinger, er afskåret fra disse handlinger. Anbefaling: En mere detaljeret analyse af forretningsmodellen for NemID til børn under 15 år bør udarbejdes. Customization og vedligeholdelse: NemID til børn under 15 år er forskelligt fra det NemID, som vil møde de øvrige borgere. Derfor er det nødvendigt at lave et modificeret system (som endnu ikke er specificeret). Denne tilføjede kompleksitet vil øge udgifterne til implementeringen, ligesom systemet også vil være dyrere og vanskeligere at vedligeholde. Systemet skal konstrueres så det automatisk træffer de nødvendige foranstaltninger, når børnene fylder 16 år, da det ellers vil blive nødvendigt med yderligere foranstaltninger til vedligeholdelse. Disse processer er ikke tilstrækkeligt beskrevet i de analyserede dokumenter. Anbefaling: En mere detaljeret analyse af forretningsmodellen for NemID til børn under 15 år bør udarbejdes. 12

19 Litteratur [1] Rambøll Management Consulting and Implement Consulting Group. Næste generation af nemid, fase 3 scenarie analyse: oplæg til beslutninger. Draft, January [2] Elaine Barker, William Barker, William Burr, William Polk, and Miles Smid. Recommendation for key management - part 1 (revision 3): General. In NIST Special Publication , National Institute of Standards and Technology,

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3 Notat 21. februar 2017 Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3 Dette notat giver en overordnet konceptuel fremstilling af, hvordan erhvervsområdet forventes håndteret samlet

Læs mere

Workshop om næste generation NemID

Workshop om næste generation NemID Workshop om næste generation NemID 1 DAGSORDEN Kort præsentationsrunde Introduktion til dagens workshop v/marianne Sørensen, kontorchef i Digitaliseringsstyrelsen Præsentation af elementer i næste generation

Læs mere

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0.

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af 12 19. september 2008. Version 1.0. Side 1 af 12 19. september 2008 Autencitetssikring Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning Version 1.0. Denne vejledning introducerer problemstillingen omkring

Læs mere

Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del Svar på Spørgsmål 33 Offentligt

Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del Svar på Spørgsmål 33 Offentligt Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del på Spørgsmål 33 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg 1240

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

Interessentforum for næste generation NemID

Interessentforum for næste generation NemID Klassifikation: C - Til offentlig brug Interessentforum for næste generation NemID 20. januar 2017 Partnerskabet mellem Digitaliseringsstyrelsen og Pengeinstitutterne om tilvejebringelse og drift af næste

Læs mere

Guide til NemLog-in Security Token Service

Guide til NemLog-in Security Token Service Guide til NemLog-in Security Token Service Side 1 af 10 18. juni 2014 TG Denne guide indeholder en kort beskrivelse af, hvordan en myndighed eller itleverandør kan benytte NemLog-in s Security Token Service

Læs mere

Europaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt

Europaudvalget (2. samling) EUU Alm.del Bilag 4 Offentligt Europaudvalget 2014-15 (2. samling) EUU Alm.del Bilag 4 Offentligt KOMITÉNOTAT TIL FOLKETINGETS EUROPAUDVALG 18. juni 2015 Europa-Kommissionens forslag af 11. juni 2015 om gennemførelsesretsakt vedrørende

Læs mere

28 August 2015. Data privacy i SAP Lyngby 27/8 2015

28 August 2015. Data privacy i SAP Lyngby 27/8 2015 28 August 2015 Data privacy i SAP Lyngby 27/8 2015 Agenda Om 2BM - Compliance Sikker håndtering af person data i SAP 1. Revisorerklæring for håndtering af personfølsomme data 2. Personfølsomme data definition

Læs mere

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste. Løsningsbeskrivelse for log-in og signering med NemID Valg af målgruppe og navigation omkring NemID på jeres tjeneste. Om dette dokument Indhold I dette dokument kan du finde en overordnet løsningsbeskrivelse

Læs mere

Guide til kravspecifikation

Guide til kravspecifikation Side 1 af 10 10. november 2008 Guide til kravspecifikation Version 1.0. Denne guide indeholder en række råd til brug i kravspecifikationer for IT systemer, der skal anvende NemLog-in løsningen. Hensigten

Læs mere

NemID DataHub adgang. morten@signaturgruppen.dk & jakob@signaturgruppen.dk. Doc. 25538-12, sag 10/3365

NemID DataHub adgang. morten@signaturgruppen.dk & jakob@signaturgruppen.dk. Doc. 25538-12, sag 10/3365 NemID DataHub adgang morten@signaturgruppen.dk & jakob@signaturgruppen.dk Agenda Funktionaliteten og brugeroplevelsen Arkitekturen og komponenterne bag NemID og digital signatur Datahub token Pause Udvikling

Læs mere

Kravspecification IdP løsning

Kravspecification IdP løsning Kravspecification IdP løsning Resume IT-Forsyningen, som varetager IT-drift for Ballerup, Egedal og Furesø Kommuner, ønsker at anskaffe en IdP/Føderationsserverløsning, der kan understøtte en række forretningsmæssige

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

NemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig

NemLog-in. Kenneth Kruuse, projektleder og serviceansvarlig NemLog-in Kenneth Kruuse, projektleder og serviceansvarlig Hvad er NemLog-in? SSO - med mere Formålet med NemLog-in Fællesoffentlig infrastruktur bygger ét sted og stiller komponenter gratis til rådighed

Læs mere

OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE

OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE SESSION OFFENTLIG INFRASTRUKTUR I VERDENSKLASSE TIL INFORMATIONSMØDER OM NYE STRATEGIER Peter Falkenberg, IT-arkitekt, KL (pfl@kl.dk) (NemID og NemLogin) Anders Lillienfryd, chefkonsulent, KL, (alh@kl.dk)

Læs mere

Sikker udstilling af data

Sikker udstilling af data Sikker udstilling af data Digitaliseringsstyrelsen 8. oktober 2012 Thomas Gundel Agenda Baggrund hvorfor udstille data? OWSA Model T Identitetsbaserede Web Services NemLog-in s fuldmagtsløsning OAuth 2.0

Læs mere

VISUELLE GUIDELINES FOR LOG-IN OG SIGNERING MED NEMID. Guide til udseende, sprog og struktur for tjenester, der bruger NemID.

VISUELLE GUIDELINES FOR LOG-IN OG SIGNERING MED NEMID. Guide til udseende, sprog og struktur for tjenester, der bruger NemID. VISUELLE GUIDELINES FOR LOG-IN OG SIGNERING MED NEMID Guide til udseende, sprog og struktur for tjenester, der bruger NemID. November 2015 Indhold Dokumentet indeholder anbefalinger og råd til integration

Læs mere

Introduktion til NemID og Tjenesteudbyderpakken

Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Introduktion til NemID og Tjenesteudbyderpakken Nets DanID A/S 11. april

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Privatlivsfremmende teknologier (PETs)

Privatlivsfremmende teknologier (PETs) Privatlivsfremmende teknologier (PETs) Appendiks 7 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Privatlivsfremmende teknologier... 3 Midler til imødegåelse af privatlivskrænkende

Læs mere

Januar 2012. Version 2.0. OTP-politik - 1 -

Januar 2012. Version 2.0. OTP-politik - 1 - OTP-politik Januar 2012 Version 2.0 OTP-politik - 1 - Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 1.1. Baggrund og formål... 3 1.2. Kildehenvisninger... 3 1.3. Forkortelser... 3 1.4.

Læs mere

Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27.

Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27. Høringsparter vedr. certifikatpolitikker Se vedlagte liste Høring i forbindelse med revision af certifikatpolitik for OCESpersoncertifikater (Offentlige Certifikater til Elektronisk Service) 27. februar

Læs mere

DataHub Forbrugeradgangsløsning Spørgsmål og svar

DataHub Forbrugeradgangsløsning Spørgsmål og svar 9. Januar 2013 MEH/MHC DataHub Forbrugeradgangsløsning Spørgsmål og svar Dok 75938-12_v2, Sag 10/3365 1/7 1. Generelt 1.1 I hvilket omfang yder Energinet.dk support til elleverandørerne? Forretningskonceptet

Læs mere

Pixiguide til udarbejdelse af konsekvensvurdering

Pixiguide til udarbejdelse af konsekvensvurdering 28. januar 2013 Pixiguide til udarbejdelse af konsekvensvurdering for privatlivsbeskyttelsen Konsekvensvurderingen er en proces, der består af 6 trin, som illustreres nedenfor: 2. Konsekvensvurdering for

Læs mere

Kommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23

Kommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23 Kommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23 Formål Formålet med dette notat er at beskrive forskellige løsninger for kommunikationssikkerhed til brugerne af bibliotek.dk, med henblik

Læs mere

11. januar 2013 EBA/REC/2013/01. EBA-henstillinger. om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet

11. januar 2013 EBA/REC/2013/01. EBA-henstillinger. om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet 11. januar 2013 EBA/REC/2013/01 EBA-henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet Henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet

Læs mere

Nets - Medarbejder Signatur

Nets - Medarbejder Signatur Nets - Medarbejder Signatur Nets Direkte Kommunikation Nøgle Bestilling Version: 2.1, Oktober 2013 Continia Software a/s Hjulmagervej 55 DK-9000 Aalborg Denmark Tel. +45 82 30 50 00 Support mail: cm@continia.dk

Læs mere

CAMSS analysen vurderer standarder inden for følgende 4 kategorier og et antal subkategorier.

CAMSS analysen vurderer standarder inden for følgende 4 kategorier og et antal subkategorier. Bilag 4a CAMSS 1 vurdering af GS1-standarder til implantatregisteret 1. Baggrund Det er aftalt i økonomiaftalen for 2016 mellem Regeringen og Danske Regioner, at der skal etableres et nationalt implantatregister.

Læs mere

EU Kommisionens RFID henstilling.

EU Kommisionens RFID henstilling. Vi har behov for en proaktiv europæisk tilgang, så vi kan drage nytte af RFID teknologiens fordele, samtidigt med at vi giver borgere, forbrugere og virksomheder valgmulighed, gennemsigtighed og kontrol.

Læs mere

PBS CA Certifikat Center. Generelle vilkår for certifikatindehavere (chipkort) Version 1.1

PBS CA Certifikat Center. Generelle vilkår for certifikatindehavere (chipkort) Version 1.1 Payment Business Services PBS A/S Lautrupbjerg 10 P.O. 500 DK 2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 pbsmailservice@pbs.dk www.pbs.dk PBS-nr. 00010014 CVR-nr. 20016175 PBS CA Certifikat Center

Læs mere

ATP s digitaliseringsstrategi 2014-2018

ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning

Læs mere

Til høringsparterne Se vedlagte liste

Til høringsparterne Se vedlagte liste Til høringsparterne Se vedlagte liste Side 2 af 7 17. maj 2016 CSS/MAPAN Høring i forbindelse med ny National Standard for Identiteters Sikringsniveau. Digitaliseringsstyrelsen har udarbejdet vedlagte

Læs mere

SOSI Gateway Komponenten (SOSI GW)

SOSI Gateway Komponenten (SOSI GW) SOSI Gateway Komponenten (SOSI GW) - en security domain gateway Version 1.2 1/8 Indledning Region Syddanmark er udvalgt som pilotregion for projektet Det Fælles Medicingrundlag, og i den forbindelse arbejdes

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

SUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for

SUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for SUP-specifikation, version 2.0 Bilag 9 Sikkerhed og samtykke Udkast af 12. juni 2003 Udarbejdet for SUP-Styregruppen Uddrag af indholdet kan gengives med tydelig kildeangivelse Indholdsfortegnelse 1 Introduktion...

Læs mere

Indhold. Digital Sundhed. Brugerstyringsattributter - Politikker ... 2. 1. Introduktion... 2 2. Identifikation...

Indhold. Digital Sundhed. Brugerstyringsattributter - Politikker ... 2. 1. Introduktion... 2 2. Identifikation... Digital Sundhed Brugerstyringsattributter - Politikker - Specificering af nye og ændrede attributter i id-kortet Indhold 1. Introduktion... 2 2. Identifikation...... 2 2.1. Politik... 2 3. Sundhedsfaglig

Læs mere

Termer og begreber i NemID

Termer og begreber i NemID Nets DanID A/S Lautrupbjerg 10 DK 2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 info@danid.dk www.nets-danid.dk CVR-nr. 30808460 Termer og begreber i NemID DanID A/S 26. maj 2014 Side 1-11 Indholdsfortegnelse

Læs mere

Timeout-politik for den fællesoffentlige føderation

Timeout-politik for den fællesoffentlige føderation Side 1 af 8 7. november 2012 Timeout-politik for den fællesoffentlige føderation Dette dokument beskriver en politik for timeout af brugersessioner i den fællesoffentlige føderation, der er obligatorisk

Læs mere

Medarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk

Medarbejdersignatur - sådan gør organisationerne i dag. Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk Medarbejdersignatur - sådan gør organisationerne i dag Morten Storm Petersen Signaturgruppen A/S morten@signaturgruppen.dk Min baggrund Etablerede TDC s certificeringscenter 1998-2006 Modtog Dansk IT s

Læs mere

Digital Kommuneplan. Kravsspecifikation gennem brugerinvolvering

Digital Kommuneplan. Kravsspecifikation gennem brugerinvolvering Digital Kommuneplan Kravsspecifikation gennem brugerinvolvering Indhold Introduktion Afklaring af behov: Hvad skal digitale kommuneplaner kunne? Udarbejdelse og test af løsning: Hvordan skal digitale kommuneplaner

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0

SmartFraming Et vindue til nationale sundhedssystemer. Version 3.0 SmartFraming Et vindue til nationale sundhedssystemer Version 3.0 Infrastruktur i dagens sundheds IT Det sundhedsfaglige personale benytter sig i dag af en række forskellige systemer i forbindelse med

Læs mere

Visuelle guidelines for log-in og signering med NemID. Guide til udseende, sprog og struktur for tjenester der bruger NemID.

Visuelle guidelines for log-in og signering med NemID. Guide til udseende, sprog og struktur for tjenester der bruger NemID. Visuelle guidelines for log-in og signering med NemID Guide til udseende, sprog og struktur for tjenester der bruger NemID. Om dette dokument Indhold I dette dokument kan du finde anbefalinger og råd til

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Digital Signatur Infrastrukturen til digital signatur

Digital Signatur Infrastrukturen til digital signatur Digital Signatur Infrastrukturen til digital signatur IT- og Telestyrelsen December 2002 Resumé: I fremtiden vil borgere og myndigheder ofte have brug for at kunne kommunikere nemt og sikkert med hinanden

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Velkomst og dagens formål Stine Hegelund, kontorchef, Digitaliseringsstyrelsen, præsenterede dagens program.

Velkomst og dagens formål Stine Hegelund, kontorchef, Digitaliseringsstyrelsen, præsenterede dagens program. Notat 5. oktober 2016 KDK/Peter Hjuler Christensen Leverandørmøde vedr. Næste generation Digital Post 26. september 2016, Hotel Scandic, København Velkomst og dagens formål Stine Hegelund, kontorchef,

Læs mere

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in (samt mulighed for FMK tilgang via SOSI STS) 15.marts 2017 /chg Baggrund Private aktører på sundhedsområdet som apoteker,

Læs mere

STRATEGI FOR MEDARBEJDERVALGTE BESTYRELSESMED- LEMMER.

STRATEGI FOR MEDARBEJDERVALGTE BESTYRELSESMED- LEMMER. STRATEGI FOR MEDARBEJDERVALGTE BESTYRELSESMED- LEMMER. OKTOBER 2011 INDLEDNING Bestyrelsernes rolle og ansvar bliver mere og mere tydelig i den finansielle sektor. Det seneste årti har medført en betydelig

Læs mere

STS Designdokument. STS Designdokument

STS Designdokument. STS Designdokument STS Designdokument i STS Designdokument STS Designdokument ii REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.3 2013-01 N STS Designdokument iii Indhold 1 Introduktion 1 2 Arkitekturoverblik 1 2.1 Eksterne

Læs mere

Produktbeskrivelse for

Produktbeskrivelse for Produktbeskrivelse for Service til opfølgning på behandlingsrelationer NSP Opsamling Tjenesteudbyder Opfølgning Notifikation Side 1 af 7 Version Dato Ansvarlig Kommentarer 1.0 22-12-2011 JRI Final review

Læs mere

Næste generation NemID Foranalyse: Oplæg til beslutninger

Næste generation NemID Foranalyse: Oplæg til beslutninger Forsidetabel 1: Styrer layout på forsiden med plads til overskrifter, billede etc. Næste generation NemID Foranalyse: Oplæg til beslutninger Digitaliseringsstyrelsen Rambøll Management Consulting Hannemanns

Læs mere

Citrix CSP og Certificate Store Provider

Citrix CSP og Certificate Store Provider Project Name Document Title TDC Citrix Citrix og Certificate Store Provider Version Number 1.0 Status Release Author jkj Date 5-10-2006 Trademarks All brand names and product names are trademarks or registered

Læs mere

Udvidet brug af personligt NemID i erhvervssammenhæng

Udvidet brug af personligt NemID i erhvervssammenhæng Udvidet brug af personligt NemID i erhvervssammenhæng Side 1 af 10 16. juni 2016 TG Baggrund Digitaliseringsstyrelsen planlægger i samarbejde med Erhvervsstyrelsen at gennemføre nogle ændringer i NemLog-in

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

Vejledning i brug af billeder. i Skanderborg Kommune

Vejledning i brug af billeder. i Skanderborg Kommune Vejledning i brug af billeder i Skanderborg Kommune Vejledning i brug af billeder i Skanderborg Kommune I Skanderborg Kommune er billeder i mange sammenhænge et centralt arbejds-, dokumentations- og kommunikationsredskab.

Læs mere

Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen

Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af: Erhvervsstyrelsen og Digitaliseringsstyrelsen Anbefalinger om brug af Digital Post for store virksomheder, administratorer/advokater (fx ejendomsadministratorer) og virksomheder med mange p- enheder Version: 1.0 Udarbejdet: Okt. 2013 Udarbejdet af:

Læs mere

Plus500CY Ltd. Inhabilitetspolitikerklæring

Plus500CY Ltd. Inhabilitetspolitikerklæring Plus500CY Ltd. Inhabilitetspolitikerklæring Resume af inhabilitetspolitikerklæringen 1. Introduktion 1.1. Denne inhabilitetspolitikerklæring konturer hvordan Plus500CY Ltd. ("Plus500" eller "Firmaet")

Læs mere

Matematikken bag kryptering og signering NemID RSA Foredrag i UNF

Matematikken bag kryptering og signering NemID RSA Foredrag i UNF Matematikken bag kryptering og signering NemID RSA Foredrag i UNF Disposition 1 PKI - Public Key Infrastructure Symmetrisk kryptografi Asymmetrisk kryptografi 2 Regning med rester Indbyrdes primiske tal

Læs mere

SAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA

SAPAs forretningsmæssige behov i relation til Dialogintegration. SAPAs behov for Dialogintegration. Fordele ved brug af dialogintegration i SAPA 26. marts 2014 NOTAT SAPAs forretningsmæssige behov i relation til Dialogintegration Dette notat beskriver SAPAs specifikke forretningsmæssige behov i forhold til integration med relevante ESDH-/fagsystemer,

Læs mere

SmartSignatur. Forenkler hverdagen. www.smartsignatur.dk

SmartSignatur. Forenkler hverdagen. www.smartsignatur.dk SmartSignatur Forenkler hverdagen SmartSignatur hjælper medarbejderne med at kunne legitimere sig selv digitalt. SmartSignatur gør det let for den person, der skal legitimere sig og sikkert for den organisation,

Læs mere

Høringsnotat om forslag til ændrede regler vedr. DNSSEC

Høringsnotat om forslag til ændrede regler vedr. DNSSEC Høringsnotat om forslag til ændrede regler vedr. DNSSEC Dansk Internet Forum (herefter DIFO) og DK Hostmaster sendte den 4. maj 2010 et forslag til ændring af Generelle vilkår for tildeling, registrering

Læs mere

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER

ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER ANALYSE AF SIKKERHEDSSTANDARDER OG -LØSNINGER Kommunernes it-arkitekturråd 8. maj 2014 AGENDA Væsentligste observationer og konklusioner Relevans for kommuner STRATEGI OG ARKITEKTUR Analysen giver et bud

Læs mere

Bilag 2B: Oplæg til beslutning om fælles udbud af bredbånd i Nordjylland

Bilag 2B: Oplæg til beslutning om fælles udbud af bredbånd i Nordjylland Bilag 2B: Oplæg til beslutning om fælles udbud af bredbånd i Nordjylland Formål, Baggrund og Indhold: Beslutningsoplægget skal give et godt, velunderbygget og solidt grundlag for en beslutning hos de nordjyske

Læs mere

Informationsforvaltning i det offentlige

Informationsforvaltning i det offentlige Informationsforvaltning i det offentlige 1 Baggrund Den omfattende digitalisering af den offentlige sektor i Danmark er årsag til, at det offentlige i dag skal håndtere større og større mængder digital

Læs mere

Systematisk Innovation med Enterprise Arkitektur

Systematisk Innovation med Enterprise Arkitektur Systematisk Innovation med Enterprise September 2010 version 1.2 Allan Bo Rasmussen Partner, EA Fellows allan@eafellows.com EA Fellows Enterprise Architecture Professionals En tur i helikopteren Privatliv

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

Næste generation af NemID Fase 2 Teknisk analyse

Næste generation af NemID Fase 2 Teknisk analyse Næste generation af NemID Fase 2 Teknisk analyse Digitaliseringsstyrelsen Rambøll Management Consulting Hannemanns Allé 53 DK-2300 Copenhagen S T: +45 5161 1000 www.ramboll.com Implement Consulting Group

Læs mere

Næste generation af NemID. Review af RMC og ICGs Fase 3 scenarieanalyse

Næste generation af NemID. Review af RMC og ICGs Fase 3 scenarieanalyse Næste generation af NemID Review af RMC og ICGs Fase 3 scenarieanalyse Gert Læssøe Mikkelsen Jonas Lindstrøm Alexandra Instituttet A/S 14. april 201510. april 2015 Side 2 20 Indholdsfortegnelse 1. Ledelsesresumé...

Læs mere

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v.

Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v. Til bestyrelsen for Institutioner for erhvervsrettede uddannelser og almengymnasiale uddannelser samt almene voksenuddannelser m.v. Kvalitets- og Tilsynsstyrelsen Frederiksholms Kanal 25 1220 København

Læs mere

Säker Digital Post från myndigheterna

Säker Digital Post från myndigheterna 1 Säker Digital Post från myndigheterna Oplæg på ESV-dagen v/ Lone Boe Rasmussen 11. oktober 2016 DIGITAL POST I DANMARK ANNO 2016 Tak for invitationen til ESV-dagen Fortælle om rejsen, som vi har været

Læs mere

Teknisk Dokumentation

Teknisk Dokumentation Sundhedsstyrelsens E2B Bivirkningswebservice Teknisk Dokumentation Side 1 af 8 Indhold Indledning... 3 Terminologi... 3 Arkitektur... 4 Web Service Snitflade... 4 Valideringsfejl... 5 Success... 5 E2B...

Læs mere

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT DUBEX SECURITY & RISK MANAGEMENT SUMMIT 2016 Søren Kromann, Forvaltningsdirektør, KOMBIT Om KOMBIT KOMBIT er et aktieselskab, som er 100% ejet af KL (kommunerne) Finansielt skal KOMBIT hvile i sig selv

Læs mere

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13

Syddansk Universitet. Dataklassificering på. Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Dataklassificering på Version 1.8 Sidst revideret d. 29. november 2007 Side 1 af 13 Indeks Indeks... 2 Introduktion... 3 Formål... 3 Interessenter... 3 Dokument struktur... 3 Revision af dokumentet...

Læs mere

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm Sundhedsdatanettets Anatomi UNI-C Router Organisation A Router Router Organisation B Firewall Firewall Linjesikkerhed

Læs mere

Er fremtiden nem for NemID?

Er fremtiden nem for NemID? Er fremtiden nem for NemID? John Christensen, 6. september 2013 Mail: jochr@nets.eu Tlf.: 2948 2062 1 l Agenda Kort om esecurity i Nets Status på NemID Sikkerheden i NemID NemID nyheder 2 Kort om esecurity

Læs mere

PROJEKTBESKRIVELSE DIGITALE TILBUDSLISTER

PROJEKTBESKRIVELSE DIGITALE TILBUDSLISTER PROJEKTBESKRIVELSE DIGITALE TILBUDSLISTER cuneco en del af bips Dato 20. marts 2012 Projektnr. 14 021 Sign. SSP 1 Indledning cuneco gennemfører et projekt, der skal udvikle en standardiseret struktur og

Læs mere

Underbilag 14 C: Afprøvningsforskrifter til prøver og tests

Underbilag 14 C: Afprøvningsforskrifter til prøver og tests Underbilag 14 C: Afprøvningsforskrifter til prøver tests Udbud om levering, installation, implementering, support, drift vedligehold af Borgeradministrativt System (BAS) Indhold underbilag 14 C Afprøvningsforskrifter

Læs mere

Guide til integration med NemLog-in / Signering

Guide til integration med NemLog-in / Signering Guide til integration med NemLog-in / Signering Side 1 af 6 14. november 2013 TG Denne guide indeholder en kort beskrivelse af, hvorledes man som itsystemudbyder (myndighed eller it-leverandør) kan integrere

Læs mere

SDSD: Projektrelevante emner og problemstillinger. Workshop om sikkerhed og privacy 5. december 2007

SDSD: Projektrelevante emner og problemstillinger. Workshop om sikkerhed og privacy 5. december 2007 SDSD: Projektrelevante emner og problemstillinger Workshop om sikkerhed og privacy 5. december 2007 Agenda SDSD s fokus projektmæssigt SDSD s fokus sikkerhed og privacy Lovgivningskrav Indsatsområder Udvalgte

Læs mere

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID. (NemID tjenesteudbyderaftale [NAVN på NemID tjenesteudbyder indsættes])

Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID. (NemID tjenesteudbyderaftale [NAVN på NemID tjenesteudbyder indsættes]) Lautrupbjerg 10 DK-2750 Ballerup T +45 87 42 45 00 F +45 70 20 66 29 www.nets.eu CVR-nr. 30808460 P. 1-11 Standardvilkår for modtagelse af OCES-certifikater fra Nets DanID (NemID tjenesteudbyderaftale

Læs mere

SINAS, spørgemøde 18. september 2013, spørgsma l-svar

SINAS, spørgemøde 18. september 2013, spørgsma l-svar 19. september 2013 SINAS, spørgemøde 18. september 2013, spørgsma l-svar Spørgsmål og svar 1. Spørgsmål: Tidsplanen er områdebaseret, hvor vi måske er mere produktbaserede - kan udviklingen foregå fra

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Certifikatpolitik for NemLog-in

Certifikatpolitik for NemLog-in Side 1 af 9 7. november 2012 Certifikatpolitik for NemLog-in Version 1.2 Dette dokument beskriver certifikatpolitikken for NemLog-in løsningen. Politikken definerer hvilke typer certifikater, der må anvendes

Læs mere

UC Effektiviseringsprogrammet. Projektgrundlag. Fælles UC Videoplatform 08-05-2014

UC Effektiviseringsprogrammet. Projektgrundlag. Fælles UC Videoplatform 08-05-2014 UC Effektiviseringsprogrammet Projektgrundlag Fælles UC Videoplatform 08-05-2014 Den fællesstatslige it-projektmodel, Digitaliseringsstyrelsen Produkt: Projektgrundlag, ver. 27/8-2013 1 Stamdata Stamdata

Læs mere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Vejledning om avanceret afhentning. i Digital Post på Virk.dk. Vejledning om avanceret afhentning og sortering i Digital Post på Virk.dk. Denne vejledning beskriver, hvordan virksomheder, foreninger m.v. med et CVR-nummer kan modtage Digital Post, herunder hvordan

Læs mere

STS Designdokument. STS Designdokument

STS Designdokument. STS Designdokument STS Designdokument i STS Designdokument REVISION HISTORY NUMBER DATE DESCRIPTION NAME 0.3 2013-01 N STS Designdokument iii Contents 1 Introduktion 1 2 Arkitekturoverblik 3 2.1 Eksterne snitflader..................................................

Læs mere

Kryptologi 101 (og lidt om PGP)

Kryptologi 101 (og lidt om PGP) Kryptologi 101 (og lidt om PGP) @jchillerup #cryptopartycph, 25. januar 2015 1 / 27 Hvad er kryptologi? define: kryptologi En gren af matematikken, der blandt andet handler om at kommunikere sikkert over

Læs mere

Spørgsmål og svar - Aalborg Kommunes EOJ udbud

Spørgsmål og svar - Aalborg Kommunes EOJ udbud Spørgsmål og svar - Aalborg Kommunes EOJ udbud spørgs mål ID Vedr. Spørgsmål Svar 1 Bilag 1 Der synes at være nogen inkonsistens i bilag 1 og tilhørende underbilag, hvorfor Udbyder bedes præcisere udbudsmaterialet

Læs mere

AuthorizationCodeService

AuthorizationCodeService AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark, version 1.1 W 1 AuthorizationCodeService Sammenhængende Digital Sundhed i Danmark version 1.1 Kåre Kjelstrøm Formål... 3 Introduktion...

Læs mere

De nye standarder for kundeengagement

De nye standarder for kundeengagement De nye standarder for kundeengagement : Sammenfattende rapport April 2015 www.decisioningvision.com Indledning Hvordan kan du vide, om din forretningsmodel er velegnet i dag, og om fem år? Den teknologiske

Læs mere

Guide til SoA-dokumentet - Statement of Applicability. August 2014

Guide til SoA-dokumentet - Statement of Applicability. August 2014 Guide til SoA-dokumentet - Statement of Applicability August 2014 Guide til SoA-dokumentet - Statement of Applicability Udgivet august 2014 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet

Læs mere