Beslut om avveckling av GEANT Code of Conduct version 1<https://wiki.sunet.se/spaces/SWAMID/blog/2026/01/09/293602096/Beslut+om+avv…>
eduGAINs styrande kommitté har beslutat att avveckla GÉANT Code of Conduct version 1 (CoCo v1). Denna kod baseras på den lagstiftning som ersattes av Dataskyddsförordningen 2018. Den bör därför inte längre användas som grund för integritetsefterlevnad och URI:n för denna entitetskategori stöds inte längre. Kommittén anser därför att det nu är en lämplig tidpunkt att avveckla CoCo v1 som en rekommenderad profil. Swamid följer eduGAINs beslut både för tjänster som exporteras och som inte exporteras till eduGAIN.
CoCo v1 ersätts av REFEDS Data Protection Code of Conduct v2 (CoCo v2) <https://refeds.org/category/code-of-conduct> och rekommenderad migrering är enligt följande:
* Identitetsutgivare (IdP): Ingen förändring just nu, både CoCo v1 och CoCo v2 ska stödjas tillsvidare. Swamids rekommenderade modell för attributrelease för IdPer har sedan länge stöd både för CoCo v1 och CoCo v2.
* Tjänster (SP): För tjänster sker förändringen i två steg och initieras av tjänsteägaren eller dess tekniska representant i Swamidregistrerad metadata:
* Om tjänsten har CoCo v1 men inte CoCo v2: Lägg till CoCo v2 som entitetskategori.
* Swamid Operations kommer i steg 2 att avregistrera CoCo v1 från alla entiteter i Swamid. Observera att när detta ska göras är ännu inte bestämt och tjänsterna avråds från att ta bort CoCo v1 för fortsatt fungerande attributrelease från de identitetsutgivare som ännu inte stödjer CoCo v2.
Primära skillnader mellan CoCo v1 och CoCo v2
CoCo v2 bygger på Dataskyddsförordningen (GDPR, EU 2016/679) medan CoCo v1 bygger på EU-direktivet bakom gamla Personuppgiftlagen (PUL, SFS 1998:204). Både CoCo v1 och CoCo v2 är s.k. best practice för hur man uppfyller intensionerna runt attributrelease från en identitetsutfärdare till en tjänst genom att tjänsten deklarerar hur lagstiftningen uppfylls genom en s.k. privacy policy som är publicerad i tjänstens metadata.
Förutom bytet av lagstiftning är det två större skillnader mellan de två olika versionerna:
* CoCo v1 kräver att det i privacy policyn finns ett avsnitt som hänvisar till CoCo v1 med länk till den gällande versionen av CoCo v1, detta krav är borttaget ur CoCo v2.
* CoCo v2 kräver att REFEDS Security Incident Response Trust Framework for Federated Identity (Sirtfi)<https://refeds.org/sirtfi> följs och registreras i metadata av tjänsten. Detta innebär indirekt att tjänsten även måste ange en säkerhetskontakt i metadata. Denna säkerhetskontakt ska kunna hantera IT-säkerhetsrelaterade frågor på säkert sätt enligt FIRST Traffic Light Protocol (TLP)<https://www.first.org/tlp/>. Enklast görs detta enligt SWAMID Incident Management Procedures<https://wiki.sunet.se/spaces/SWAMID/pages/102564350/SWAMID+Incident+Managem…>.
Pål Axelsson
