/
Distansutgivning av mobilt SITHS eID LoA3 utan stöd av befintlig e-legitimation

Distansutgivning av mobilt SITHS eID LoA3 utan stöd av befintlig e-legitimation

Owned by Hasanein Alyassiri
Last updated: Jun 04, 2024

Behov och nytta

Verksamheterna efterfrågar en mobil e-tjänstelegitimation på tillitsnivå 3 utan att behöva ha ett fysiskt SITHS-kort i botten. Dagens lösning bygger på att man måste först beställa och aktivera ett SITHS kort på tillitsnivå 3 innan man kan utfärda Mobilt SITHS eID.

Bakgrund

Identifieringstjänst SITHS omfattar idag ett distansutfärdande av Mobilt SITHS eID via SITHS Mina sidor (självservice), men detta kräver en ID-växling från ett tidigare utfärdat SITHS eID på kort.

Rutinbeskrivning

Behörig person lägger beställning

  • Behörig person i en organisation måste i SITHS eID Portal först lägga en beställning av ett Mobilt SITHS eID för en person.

    • Denna rutin ska följa befintliga flödet för Sök och val av personpost.

    • Det ska endast kunna finnas en aktiv beställning per användare och organisation samtidigt.

  • Organisationen ska ha godkänt beställning av Mobilt SITHS eID.

    • Styrning ska ske på användare -och organisationsnivå

      • Behövs även sättas en flagga på organisationen som betyder att beställning är möjlig?

    • Önskvärt: Ett externt API för nyttjande från organisationens system.

    • [REF A] “Då arbetsgivarens organisation används som en del i utgivningsprocessen, förutsätts initiativet till utgivningen tas av arbetsgivaren som en del i att tillhandahålla medarbetaren en e-legitimation denne ska använda i tjänsten.“

Användare - utfärdande i självservice

  • Starta SITHS eID-app för Android/iOS

    • Appen kontrollerar att nödvändig hårdvara är aktiv och tillgänglig

    • Användaren behöver godkänna att appen behöver komma åt Kamera och NFC-läsaren

      • Ev. info till användaren att aktivera NFC-läsaren om den är avstängd.

  • Starta flödet “Hämta Mobilt SITHS eID“

  • Ta del av och godkänna villkor

    • Synkronisera villkorstexten med dagens lösning för “US - Hämta Mobilt SITHS”.

    • Lägg till text om samtycke till behandling av persondata - bildupptagning och lagring (videoinspelning samt lagring av videoinspelningen).

  • Ta en bild av dig själv - (bildjämförelsen/hashvärde av pass/Idhandlingen sparas men inte bilden)

    • Information/instruktion om hur man kan ta en bild som kan användas i jämförelse med den elektroniska informationen.

  • Skanning av ID-handling inkl. ev. MRZ-kodning- visuell (Fota ID-handlingen)

    • MRZ-koden måste läsas av för att skapa nyckel för läsning av den elektroniska informationen.
      ([D]- måste man fota ID-handlingen? Räcker inte det med avläsning av biometrisk data)

    • Information/instruktion skanning av ID-handling

  • Skanning av ID-handling - elektroniskt

    • Information/instruktion skanning av ID-handling

    • Kryptografisk verifiering av uppgifterna från ID-handlingen.

  • Användaren kontrollerar och bekräftar att skannade uppgifter stämmer

    • Klick på knapp ”Uppgifterna är korrekta”.

  • Tjänsten kontrollerar att användaren inte har vid upprepade tillfällen misslyckats att utfärda Mobilt SITHS eID samt kontrollerar att användaren inte har använt samma ID-handling upprepade gånger.

    • Max möjliga försök per användare och ID-handling begränsas till XX.

    • Tillitsramverket: “Det antal försök som sökanden ges att genomgå identifieringsprocessen ska begränsas per fysisk ID-handling.

  • Tjänsten kontrollerar att det finns en beställning för användaren för Mobilt SITHS eID på distans, baserat på inskannade uppgifter. Om inte, ska användaren informeras, flödet avbryts.

  • Om det finns flera aktiva beställningar mot olika organisationer ska användaren välja 1 organisation.

    • Användaren väljer vilken beställning som baserat på organisation

  • Användaren skapar PIN-kod genom att ange 6-8 siffrig PIN två gånger och trycker på bekräfta

  • Tjänsten kontrollerar att det kameran registrerar är en avbildning av en verklig närvarande person

    • att personen är bakom spakarna (videoinspelning)

    • att det är samma person som är avbildad på fotot i ID-handlingen - ansiktsjämförelse.

    • Information till användaren om identitetsbedrägerier (se K6.6 Tillhandahållande på distans). Ska finnas här eller i tidigare steg?

  • Tjänsten skapar e-legitimationen men den aktiveras inte (aktiveras först efter godkänd slutkontroll).

  • Vidimering av ansökan centralt hos Inera AB

    • Notifiera administratör

    • Ärendehantering/arbetslista (flyttas till krav på funktionalitet för vidimeringsfunktionen)

    • Äkthetskontroll av ID-handlingen

    • Granskning av den elektroniska (inklusive videoinspelningen) och biometriska informationen

    • Spärrkontroll av ID-handling

    • Då analyser och integritetskontroller med sannolikhet pekar mot att manipulationsförsök förekommer ska utgivningsprocessen avbrytas omedelbart och manuell handläggning ta vid. Sökanden ska inte ges fler försök att genomgå identifieringsprocessen till dess att händelsen utretts

      • En spärrflagga sätts på Användaren som betyder att detta flöde inte kan användas

      • Larm och möjlighet till uppföljning

  • Aktivering

    • E-legitimationen Mobilt SITHS eID aktiveras om utfärdandet godkänts enligt ovan.

  • Notifiering att klart med information om ok eller ej godkänt.

    • Pushnotis till användarens SITHS eID-app.

      • Information i appen

    • Via epost, om e-post finns registrerad i HSA

      • Om det finns flera e-postadresser för användaren för organisationen, väljs den “första” från HSA.

    • Information i SITHS eID Mina sidor om det senaste utfärdandet av Mobilt SITHS eID på distans.

Övriga frågor

Vidimering

  • Krav på ungefärlig (max) tid för utfärdandet och godkännandet (aktiverad eID)

    • VGR: inom 30 minuter (varav vidimering max 15 minuter)
      Skåne: inom 30 minuter (varav vidimering max 15 minuter)
      Stockholm: inom 30 minuter (varav vidimering max 15 minuter)
      Västmanland: inom 30 minuter (varav vidimering max 15 minuter)

  • Öppettider för central vidimering hos Inera?

    • 06:00-22:30 (alla dagar) .Börja med dessa öppettider och omvärdera efter ett tag, om det ska bli 24/7/365.

  • Behöver man kunna utfärda till surfplatta?

    • Noteras att många surfplattor verkar saknas NFC-stödet som finns på mobilerna

      • Ja så länge surfplattan har stöd för NFC.

  • Vad händer om användaren spärras att utfärda Mobilt SITHS eID på distans? Två förslag:

    • Häva spärren själv genom att logga in och häva spärren på SITHS eID Mina sidor med ett giltigt SITHS eID

      • Funktion för användaren på SITHS Mina sidor.
        Detta blir moment 22 då användaren inte har ett giltigt SITHS eID.

    • Kan inte användaren logga in på Mina sidor då måste användaren uppsöka ett utgivningskontor för att få spärren hävd

      • Funktion för ID-administratör på Personvyn.

ID-handlingar

  • Finns foto elektroniskt i (svenska) ID-handlingar (pass eller nationellt ID-kort)?

    • Kontrollera när infördes foto elektroniskt, vilket år.

  • Ska vi stödja kontroll mot fingeravtryck?

    • Om förutsättningarna finns för att göra en lokal biometrisk jämförelse med personens fingeravtryck är det teoretiskt tänkbart, MEN saknas direkta krav i tillitsramverket från DIGG.
      Nej, om det ska jämföras mot en central databas med fingeravtryck.

Övrigt / integration

  • ”Två punkter att fundera över till nästa workshop den 19:e april:

     

    1. För- och nackdelar med central vidimeringsfunktion. Med central menas om vidimeringen ska tillhandahållas centralt av Inera eller om vidimeringen sker lokalt hos varje organisation. En vidimering måste ske oavsett enligt DIGGs krav.

    2. När organisationen beställer Mobilt SITHS eID åt en användare, sker beställningen mot personposten (och därmed kan användaren beställa Mobilt SITHS eID till flera enheter)? Eller måste en ny beställning göras inför varje nytt utfärdande av Mobilt SITHS eID.”

      Central. Konsensus.
      Viktigt med tydlig ansvarsfördelning. Förvaltning.

      Svar: Användaren kan utfärda/lägga till fler enheter om det finns en giltig beställning.
      Giltighetstiden är 2 år även för nya certifikat på andra enheter.
      Max 5 enheter.

Utestående frågor

  • Hur säkerställa att liveness-videon och fotot från ID-handlingen kommer från rätt källa?

    • Förhindra att skicka in “eget material”.

  • Kan vi spärrkontrollera svensk ID-handling automatiskt?

  • Behövs manuell kontroll i utfärdande av Mobilt SITHS på distans?

  • Samordningsnummer eller bara personnummer?

Lösningsarkitektur - skiss

May 13, 2024

 

image-20240513-100850.png