Hej,

Jag vill påminna om mötet kl 10. Eftersom jag har fått några återbud beroende på semester och mer prioriterade arbetshändelser så är det viktigt att så många av er som möjligt kommer.

Pål


------ Originalmeddelande ------
Från "Pål Axelsson" <pax@sunet.se>
Till swamid-bot@lists.sunet.se
Datum 2024-06-18 21:00:29
Ämne Agenda SWAMID Board of Trustees 2024-06-24

Agenda SWAMID Board of Trustees 2024-06-24

Tid

2024-06-24 10.00--11.00

Plats

Videomöte i Zoom, https://sunet.zoom.us/j/67413792369

Kallade

Adjungerade

Välkommen (ZT)

Fastställande av dagordning (ZT)

Beslut om extra rutiner för verifiering av användare på AL2-nivå (PA) (PA)

Mobilt BankID har sedan sommaren 2023 haft möjligt att lagra en digital representation av svensk resehandling (pass och nationellt identitetskort). Inläsningen genomförs genom att användaren skannar sin resehandling tillsammans med hjälp av BankID-appen. Vid skanningen måste användaren logga in med sitt BankID för att säkerställa att det kopplas till en unik persons BankID. Vidare krävs att personnumret på resehandlingen stämmer överens med personnumret i BankID:t. Om allt går bra lagras hämtade uppgifter från resehandlingen både lokalt i BankID-appen och hos BankID för att sedan kunna användas för visuell kontroll. Denna digitala representation av resehandlingen går inte att överföra mellan olika mobila enheter (mobiltelefoner och plattor) utan användaren måste genomföra denna inläsning på alla mobila enheter där personen vill kunna använda den digitala representationen.

Det finns tre olika sätt att legitimera sig med hjälp av den digitala representation av resehandlingen: 

  1. Visuell kontroll
  2. Skanna med hjälp av BankID-appen
  3. Styrkt kontroll med skanner

Vid diskussioner i SWAMID Operations har vi funnit att visuell kontroll inte uppfyller kraven för en god legitimering för SWAMID AL2 utan endast de andra två modellerna går att använda för detta. Vidare är styrkt kontroll med skanner att jämställa med genomförd e-legitimering med hjälp av BankID eftersom ett korrekt identitetsintyg ställs ut av BankID och går därför även att använda för SWAMID AL3. För mer information om Digitalt ID-kort i BankID se https://www.bankid.com/foretag/digitalt-id-kort.

Freja eID😖 motsvarande model för att visuell legitimering med hjälpa av Freja-appen går inte att använda beroende på att bilden som visas är en egentagen bild, inte bilden från resehandlingen. Vidare har Freja eID endast kontroll via webbsida att det är ett giltigt Freja eID.

Digital representation av resehandling via e-legitimation (Styrkt kontroll)

Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:

  1. Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
    • För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
    • Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
  2. Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet i personens BankID-app stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen skannar kontohandläggaren den rörliga QR-koden på mobilskärmen med en hårdvaruscanner kopplad till organisationens kontohanteringssystem.
  3. Om skanningen går bra skickas QR-kodens värde via kontohanteringssystemet till BankIDs tjänstegränssnitt (API) för kontroll (https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/introduktion).
  4. Om BankIDs tjänstegränssnitt godkänner QR-koden skickas användarens personnummer och namn tillsammans med ett identitetsintyg tillbaka till kontohanteringssytemet och därefter är personen bekräftad med det returnerade personnumret.

Om någon av ovanstående punkter inte kan genomföras korrekt avslutas legitimeringen utan att bekräftande av personen har genomförts.

SWAMID Operations rekommenderar Board of Trustees att godkänna denna metod som alternativ metod för att bekräfta en person för SWAMID AL2.

Digital representation av resehandling via e-legitimation (Mobilapp)

Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:

  1. Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
    • För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
    • Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
  2. Kontohandläggaren skannar den rörliga QR-koden på personens BankID-app med en annan BankID-app.
    • BankID-appen som skannar måste finnas på en mobil enhet som finns i den fysiska disken och ägs av organisationen.
  3. Om skanningen går bra skickas QR-kodens värde till BankIDs tjänstegränssnitt (API) för kontroll av den fysiska diskens BankID-app.
  4. Om BankIDs API godkänner QR-koden skickas användarens personnummer, namn och foto till den fysiska diskens BankID-app.
  5. Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen som ska legitimeras är identifieringen genomförd och personnumret som visas i diskens BankID-app kan användas för att fortsätta processen.

Om någon av ovanstående punkter inte kan genomföras avslutas korrekt legitimeringen utan att bekräftande av personen har genomförts.

SWAMID Operations rekommenderar Board of Trustees att godkänna denna metod som alternativ metod för att bekräfta en person för SWAMID AL2.

Beslut om ansökningar om godkännande av tillitsnivåer (PA)

Övriga frågor

Nästa möte (ZT)

Avslutande (ZT)