Agenda SWAMID Board of Trustees 2024-06-24Tid
2024-06-24 10.00--11.00
Plats
Videomöte i Zoom, https://sunet.zoom.us/j/67413792369
Kallade
Zacharias Törnblom (ZT)
Anders Sjöström
Ann Amling
Mauritz Danielsson
Magnus Höglund
Jan Nordin
Hans Wohlfart
Per-Olov Hammargren
Adjungerade
Pål Axelsson (PA)
Välkommen (ZT)Fastställande av dagordning (ZT)Beslut om extra rutiner
för verifiering av användare på AL2-nivå (PA) (PA)
Mobilt BankID har sedan sommaren 2023 haft möjligt att lagra en digital
representation av svensk resehandling (pass och nationellt
identitetskort). Inläsningen genomförs genom att användaren skannar sin
resehandling tillsammans med hjälp av BankID-appen. Vid skanningen måste
användaren logga in med sitt BankID för att säkerställa att det kopplas
till en unik persons BankID. Vidare krävs att personnumret på
resehandlingen stämmer överens med personnumret i BankID:t. Om allt går
bra lagras hämtade uppgifter från resehandlingen både lokalt i
BankID-appen och hos BankID för att sedan kunna användas för visuell
kontroll. Denna digitala representation av resehandlingen går inte att
överföra mellan olika mobila enheter (mobiltelefoner och plattor) utan
användaren måste genomföra denna inläsning på alla mobila enheter där
personen vill kunna använda den digitala representationen.
Det finns tre olika sätt att legitimera sig med hjälp av den digitala
representation av resehandlingen:
Visuell kontroll
Skanna med hjälp av BankID-appen
Styrkt kontroll med skanner
Vid diskussioner i SWAMID Operations har vi funnit att visuell kontroll
inte uppfyller kraven för en god legitimering för SWAMID AL2 utan endast
de andra två modellerna går att använda för detta. Vidare är styrkt
kontroll med skanner att jämställa med genomförd e-legitimering med
hjälp av BankID eftersom ett korrekt identitetsintyg ställs ut av BankID
och går därför även att använda för SWAMID AL3. För mer information om
Digitalt ID-kort i BankID se
https://www.bankid.com/foretag/digitalt-id-kort.
Freja eID:s motsvarande model för att visuell legitimering med hjälpa av
Freja-appen går inte att använda beroende på att bilden som visas är en
egentagen bild, inte bilden från resehandlingen. Vidare har Freja eID
endast kontroll via webbsida att det är ett giltigt Freja eID.
Digital representation av resehandling via e-legitimation (Styrkt
kontroll)
Personen besöker en fysisk disk för att aktivera, återställa eller
återaktivera sitt användarkonto genomgår följande process:
Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
För att göra det måste personen verifiera sig med sitt mobila BankID och
därefter visas den digitala representationen av resehandlingen
tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad
tidsperiod.
Den digitala representationen innehåller foto, ålder, namn och
personnummer hämtade från resehandlingen.
Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet i
personens BankID-app stämmer överens med personen som visar upp det. Om
fotot stämmer överens med personen skannar kontohandläggaren den rörliga
QR-koden på mobilskärmen med en hårdvaruscanner kopplad till
organisationens kontohanteringssystem.
Om skanningen går bra skickas QR-kodens värde via
kontohanteringssystemet till BankIDs tjänstegränssnitt (API) för
kontroll
(https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/in…)
Om BankIDs tjänstegränssnitt godkänner QR-koden skickas användarens
personnummer och namn tillsammans med ett identitetsintyg tillbaka till
kontohanteringssytemet och därefter är personen bekräftad med det
returnerade personnumret.
Om någon av ovanstående punkter inte kan genomföras korrekt avslutas
legitimeringen utan att bekräftande av personen har genomförts.
SWAMID Operations rekommenderar Board of Trustees att godkänna denna
metod som alternativ metod för att bekräfta en person för SWAMID AL2.
Digital representation av resehandling via e-legitimation (Mobilapp)
Personen besöker en fysisk disk för att aktivera, återställa eller
återaktivera sitt användarkonto genomgår följande process:
Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
För att göra det måste personen verifiera sig med sitt mobila BankID och
därefter visas den digitala representationen av resehandlingen
tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad
tidsperiod.
Den digitala representationen innehåller foto, ålder, namn och
personnummer hämtade från resehandlingen.
Kontohandläggaren skannar den rörliga QR-koden på personens BankID-app
med en annan BankID-app.
BankID-appen som skannar måste finnas på en mobil enhet som finns i den
fysiska disken och ägs av organisationen.
Om skanningen går bra skickas QR-kodens värde till BankIDs
tjänstegränssnitt (API) för kontroll av den fysiska diskens BankID-app.
Om BankIDs API godkänner QR-koden skickas användarens personnummer, namn
och foto till den fysiska diskens BankID-app.
Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet
stämmer överens med personen som visar upp det. Om fotot stämmer överens
med personen som ska legitimeras är identifieringen genomförd och
personnumret som visas i diskens BankID-app kan användas för att
fortsätta processen.
Om någon av ovanstående punkter inte kan genomföras avslutas korrekt
legitimeringen utan att bekräftande av personen har genomförts.
SWAMID Operations rekommenderar Board of Trustees att godkänna denna
metod som alternativ metod för att bekräfta en person för SWAMID AL2.
Beslut om ansökningar om godkännande av tillitsnivåer (PA)
Högskolan i Halmstad ansöker om förnyat godkännande för SWAMID AL2
Högskolan i Halmstad utökar metoderna för bekräftande av individer för
SWAMID AL2 till även BankID på tillitsnivå 3, eller högre, samt
engångskod skickad till digitala brevlådan Mina meddelanden.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Stockholms konstnärliga högskola ansöker om förnyat godkännande för
SWAMID AL2
Stockholms konstnärliga högskola utökar metoderna för bekräftande av
individer för SWAMID AL2 till även eduID på tillitsnivå 2 eller högre.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Södertörns högskola ansöker om förnyat godkännande för SWAMID AL2
Södertörns högskola utökar metoderna för bekräftande av individer med
hjälp av digital representation av resehandling via e-legitimation
(Styrkt kontroll), se ovan.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Linköpings universitet ansöker om förnyat godkännande för SWAMID AL3
(FD)
Linköpings universitet utökar metoderna för bekräftande av individer med
hjälp av digital representation av resehandling via e-legitimation
(Styrkt kontroll) för SWAMID AL2 och SWAMID AL3 samt digital
representation av resehandling via e-legitimation (Mobilapp) för SWAMID
AL2, se ovan.
SWAMID Operations rekommenderar Board of Trustees att godkänna deras
ansökan.
Övriga frågorNästa möte (ZT)Avslutande (ZT)