/
Rutiner för ID-administratörer - SITHS Admin

Rutiner för ID-administratörer - SITHS Admin

Innehållsförteckning

Klicka nedan för att visa innehållsförteckning

Revisionshistorik

Klicka nedan för att visa revisionshistoriken

Version

Datum

Författare

Kommentar

1.0

2019-03-15

SITHS Policy Authority

Fastställt

1.1

2019-04-11

SITHS Policy Authority

Tillägg av hjälpmedel för kontroll av ID-handlingar

1.2

2019-05-14

SITHS Policy Authority

Tillägg av fotoregler

1.3

2020-02-19

SITHS Policy Authority

Användare som saknar sitt pinkodsbrev.

Uppdaterat namnen för knappvalen i SITHS Admin

 

1.4

2020-11-19

SITHS Policy Authority

Förtydligat:

Rutin för identifiering av ID-handling.

Utgivning av Reservkort till utländska personer med utländsk ID-handling.

Utgivning av Reservkort till personer med samordningsnummer

Tillägg: Rutin för reservkort LoA3

1.5

2020-05-05

SITHS Policy Authority

Förtydligat:

Att ett och samma reservkort får endast ges till en och samma person

1.6

2022-04-19

SITHS Policy Authority

Lagt in länk till dokumentet Krav på fotografi för SITHS under punkt 3

1.7

2022-11-16

SITHS Policy Authority

Lagt till krav om hel och ren ID-handling

Lagt till rutin för intygsgivning

1.8

2023-06-15

SITHS Policy Authority

Förtydligat punk 2.2 Kontroll och verifiering av utländsk ID-handling

1. Dokumentets syfte

Detta dokument är för dig som har rollen ID-administratör inom Identifieringstjänst SITHS. Dokumentet innehåller de rutiner för livscykelhantering av kort och certifikat inom SITHS som ska följas för att regelverket ska uppfyllas.
Detta dokument beskriver de normala utgivningsflödena.

2. Identifiering och verifiering av ID-handling

Förutsättningar

  • Grunden för verifiering av en svensk ID-handling är "De sju stegen" godkänd av Svenska Bankföreningen.

  • ID-handlingen ska vara hel och ren

  • För utländsk ID-handling används metoder enligt ”Rutin för kontroll och verifiering av utländsk ID-handling”

  • För identifiering via intyg används “Kontroll och verifiering i samband med intygsgivning”

  • Rutinen dokumenteras i organisationens rutiner

Elektronisk identitetshandling med tillitsnivå 3

  • Kan utfärdas till personer som är 18 år eller äldre

  • Kräver en fullgod identitetshandling och folkbokföringsadress i Sverige

    • Som fullgod identitetshandling räknas svenskt körkort, svenskt pass i vinröd bok, SIS-märkt ID-kort (av DNV certifierat tjänste- och ID-kort), nationellt ID-kort samt Skatteverkets ID-kort

Elektroniska identitetshandling med tillitsnivå 2

  • Kan utfärdas till personer som är 15 år eller äldre

  • Kan utfärdas till personer med samordningsnummer

  • Kan utfärdas till personer som saknar folkbokföringsadress men som har ett svenskt personnummer

  • Kan utfärdas till personer som är registrerade med passnummer i HSA

2.1 Kontroll och verifiering av svensk ID-handling

Om du misstänker att ID-handlingen är ogiltig kontakta Ansvarig utgivare eller Säkerhetsansvarig.
Lämna inte ut kortet!

  1. Ta ut ID-handlingen ur ett eventuellt fodral

  2. Gör en helhetsbedömning av personen

    1. Jämför fotot med innehavaren

    2. Jämför andra detaljer som t ex ålder

  3. Gör en helhetsbedömning av ID-handlingen

    1. Titta och känn på ID-handlingen,

    2. Är den hel och ren? Är ID-handlignen trasig eller repad ska den inte godkännas

    3. Kontrollera sista giltighetsdatum så att ID-handlingen fortfarande är giltig

      1. Sista giltighetsdatum får inte ha passerats

  4. Kontrollera säkerhetsdetaljer

    1. Vattenmärken och genomsiktsbild: Håll upp ID-handlingen mot ljuset.

    2. Säkerhetstrådar

    3. ID-handlingens yta och fotots integritet

      1. Känn, se och vippa på ID-handlingen. En bild eller tecken kan bli synlig eller förändras när man vippar på det.

      2. Kontrollera mikro- och minitext gärna med förstoringsglas.

    4. Intagliotryck - guilloché - mönster med tunna linjer

      1. Särskilda trycktekniker får bläcket att kännas upphöjt eller tjockare. För att känna ett upphöjt intagliotryck låt fingret löpa över det eller skrapa försiktigt på det med nageln.

    5. Optiska säkerhetsdetaljer

      1. Kontrollera gärna med UV-lampa

  5. Giltigheten för svenska pass och nationella ID-kort bör verifieras hos Polisen

https://etjanster.polisen.se/egid/giltighetskontroll/giltighetskontroll

Kompletterande hjälpmedel

Exempel på produkter som kan användas för kontroll av säkerhetsdetaljer:

  • Authentiscan från företaget Keesing. Produkten kräver en licens.

  • 365id från företaget 365id AB. Produkten kräver en licens

Länkar

De sju stegen https://desjustegen.se/

2.2 Kontroll och verifiering av utländsk ID-handling

Om du misstänker att ID-handlingen är ogiltig kontakta Ansvarig utgivare eller Säkerhetsansvarig. Lämna inte ut kortet!

Godkända utländska id-handlingar är pass eller nationellt ID-kort utfärdat inom Schengen. Observera att det ska vara samma ID-handling som har registrerats i HSA. Det utfärdade certifikatet får inte ha längre giltighetstid än den ID-handling som använts för identifieringen.

  1. Ta ut ID-handlingen ur ett eventuellt fodral

  2. Gör en helhetsbedömning av personen
    a. Jämför fotot med innehavaren
    b. Jämför andra detaljer som t ex ålder

  3. Gör en helhetsbedömning av ID-handlingen
    a. Titta och känn på ID-handlingen
    b. Kontrollera sista giltighetsdatum så att ID-handlingen fortfarande är giltig
    i. Sista giltighetsdatum får inte ha passerats

  4. Använd sedan någon av följande metoder:
    a. ID-skanner
    b. ID-handlingsdatabas kombinerat med UV-lampa
    c. PRADO kombinerat med UV-lampa

2.2.1 ID-skanner

Produkter som är godkända för kontroll av säkerhetsdetaljer:
• Authentiscan från företaget Keesing. Produkten kräver en licens.
• PRADO kombinerat med UV- lampa
• 365id från företaget 365id AB. Produkten kräver en licens.

2.2.2 ID-handlingsdatabas kombinerat med UV-lampa

Godkänd produkt: Documentchecker standard, webbtjänst från företaget Keesing. Här finns bilder av specificerade exemplar av ID-handlingar, funktion för att kontrollera att en MRZ-kod överensstämmer med övriga uppgifter samt helpdesk. Produkten kräver en licens.
Använd UV-lampa för att kontrollera de säkerhetsdetaljer i ID-handlingen som framträder vid UV-belysning.

2.2.3 PRADO kombinerat med UV- lampa

För ID-handling utfärdad av ett EU eller ESS-land kan PRADO användas. PRADO - ”Public Register of Authentic identity and travel Document Online” är ett offentligt register över äkta identitets- och resehandlingar online, vilken tillhandahålls av EU. I PRADO finns information om säkerhetsdetaljer på identitets- och resehandlingar.
Använd UV-lampa för att kontrollera de säkerhetsdetaljer i ID-handlingen som framträder vid UV-belysning.
http://prado.consilium.europa.eu/SV/homeindex.html

2.3 Kontroll och verifiering i samband med intygsgivning

  1. Denna rutin får bara användas om användaren inte äger en giltig svensk eller utländsk ID-handling

  2. Denna rutin får bara användas för utfärdande av Reservkort på plats tillitsnivå 2

  3. Användaren och intygsgivaren ska infinna sig tillsammans hos ID-administratören

  4. Intygsgivaren ska ha en giltig svensk ID-handling

  5. Intygsgivaren ska finnas i SITHS Admin

  6. Intygsgivarens ID-handling verifieras enligt ”Rutin för kontroll och verifiering av svensk ID-handling”

3. Fotoregler

  • Fotot skall innehålla en välliknande bild på innehavarens ansikte.

  • Ansiktet skall vara avbildat rakt framifrån. Bakgrunden skall vara vit. Ansiktet skall vara jämnt belyst och det får inte finnas skuggor i bakgrunden.

  • Hela huvudet skall vara synligt och blicken skall vara riktad mot kamerans lins. Huvudbonad eller liknande skall inte bäras.

    • Undantag från sist nämnda krav får medges för den som i dagligt bruk av religiösa eller medicinska skäl använder huvudbonad. Hela ansiktet måste dock vara synligt.

  • Pupillerna skall synas tydligt. Reflexer får inte synas i glasögon. Mörka glasögon får inte bäras i annat fall än då detta påkallat av medicinska skäl.

  • Avståndet mellan ögon (pupill) och hakspets skall vara 14 – 17 mm

Se även Krav på fotografi för SITHS

4. Utgivning av Ordinarie kort Tillitsnivå 3 (LoA3)

Förutsättningar

Utgivning av ordinarie kort (Tillitsnivå 3) förutsätter att

  • Rutinen dokumenteras i organisationens rutiner

  • Personen kan identifiera sig med godkänd svensk ID-handling

  • Identifiering och verifiering sker enligt godkänd rutin

Vid fotoförsett kort gäller dessutom

  • Foto och signatur alltid lagras på en behörighetsskyddad lagringsplats och hämtas med hjälp av SIS Capture Station

För användare med skyddade personuppgifter

  • Kräver att ID-administratören har tilläggsroll för KUR

För SIS gäller:

  • Handläggare som hanterar SIS-kort, beställning och utlämning, ska vara godkänd av DNV

  • Fotoautomat får användas vid förnyelse enligt dispens men inte vid nybeställning

4.1 Beställning

4.1.1 Kortbeställning med fotografering hos ID-administratör

  1. Användaren kommer till kortkontoret

  2. Användaren identifierar sig

  3. ID-administratören verifierar mot beställningen att foto krävs för korttypen

  4. ID-administratören väljer NYTT SITHS E-ID KORT

    1. Kortprodukt

    2. Verifierar ID-handling

    3. Anger underskriftskod

  5. ID-administratören verifierar kundnummer, kortprodukt och kontor i SCS

  6. ID-administratören fotograferar användaren och fångar eventuell namnteckning i SCS

  7. ID-administratören anger sin underskriftkod och skickar beställningen till leverantör via SCS

4.1.2 Kortbeställning när foto finns på fil

  1. ID-administratören verifierar mot beställningen att foto krävs för korttypen

  2. ID-administratören väljer NYTT SITHS E-ID KORT

    1. Kortprodukt

    2. ID-administratören skriver under

  3. ID-administratören verifierar kundnummer, kortprodukt och kontor i SCS

  4. ID-administratören anger användarens personnummer i fältet för intyg

  5. ID-administratören hämtar foto via SCS

  6. ID-administratören skriver under och skickar beställningen till leverantör via SCS

4.1.3 Kortbeställning med fotografering i fotoautomat

  1. Användaren går till fotoautomaten

  2. Användaren tar del av regelverket som presenteras på skärmen

  3. Användaren anger sitt personnummer eller HSA-id genom att antingen

    1. ange manuellt

    2. läs av från SITHS eID

  4. Användaren tar, med hjälp av automaten, ett foto rakt framifrån som visar hela ansiktet

  5. Användaren skriver under beställningen och att hen tagit del av regelverket genom att antingen

    1. ange pinkod för legitimering eller underskrift (i detta fall ska en kryptografisk kontroll av pinkodens korrekthet göras)

    2. skriva under på inbyggd skrivplatta

  6. Fotot sparas ner till behörighetsskyddad lagringsplats tillsammans med underskriften och personnummer.

  7. ID-administratören verifierar mot beställningen att foto krävs för korttypen

  8. ID-administratören väljer NYTT SITHS E-ID KORT

    1. Kortprodukt

    2. ID-administratören skriver under

  9. ID-administratören verifierar kundnummer, kortprodukt och kontor i SCS

  10. ID-administratören anger användarens personnummer i fältet för intyg

  11. ID-administratören hämtar foto, eventuell signatur och personnummer från den behörighetsskyddade lagringsplatsen via SCS

  12. ID-administratören skriver under och skickar beställningen till leverantör via SCS

4.1.4 Kortbeställning utan foto

  1. ID-administratören verifierar mot beställningen att foto inte krävs för korttypen

  2. ID-administratören väljer NYTT SITHS E-ID KORT

    1. Kortprodukt

    2. ID-administratören skriver under

  3. ID-administratören verifierar kundnummer, kortprodukt och kontor i SCS

  4. ID-administratören anger användarens personnummer i fältet för intyg

  5. ID-administratören fullföljer beställningen via SCS genom att gå förbi foto och namnteckning.

  6. ID-administratören skriver under och skickar beställningen till leverantör via SCS

4.2 Utlämning

Förutsättningar

Utlämning av ordinarie kort (Tillitsnivå 3) förutsätter att

  • Rutinen dokumenteras i organisationens rutiner

  • Personen kan identifiera sig med godkänd svensk id-handling

  • Identifiering och verifiering sker enligt godkänd rutin

  • Utlämning och mottagande sker i samma flöde

För användare med skyddade personuppgifter

  • Kräver att ID-administratören har tilläggsroll för KUR

4.2.1 Lämna ut kort hos ID-administratör

  1. Användaren kommer till kortkontoret

  2. Användaren identifierar sig och bekräftar att hen har rätt pinkoder med sig

  3. ID-administratören verifierar det levererade kortet mot användaren och användarens id-handling

  4. ID-administratören kontrollerar kortnummer och lämnar ut kortet i SITHS Admin

  5. ID-administratören anger vilken id-handling som använts

  6. ID-administratören skriver under utlämnandet och överlämnar kortet

  7. Användaren sätter det nya kortet i kortläsaren

  8. Användaren läser och godkänner villkoren

  9. Användaren skriver under mottagandet elektroniskt

5. Beställning av pukkod

Förutsättningar

Beställning av pukkod

  • Rutinen dokumenteras i organisationens rutiner

  • Användaren har ett aktivt ordinarie kort

För användare med skyddade personuppgifter

  • Kräver att ID-administratören har tilläggsroll för KUR

Rutinbeskrivning

  1. Användaren beställer en pukkod enligt intern rutin

  2. ID-administratören verifierar att användaren har ett aktivt ordinarie kort

  3. ID-administratören väljer PUK till befintligt kort

    1. Väljer rätt kortserienummer

    2. ID-administratören skriver under beställningen

  4. Pukbrevet skickas med REK till användarens folkbokföringsadress

5.1 Om pukbrevet inte levereras

Om leverans uteblir görs anmälan till supporten (support@inera.se)
Anmälan ska innehålla:

  1. Kortinnehavarens HSA-id

  2. Kortinnehavarens namn

  3. Kortnummer

  4. Handläggarens HSA-id

ID-administratören får svar med ett rekbrevsnummer som kan användas för att spåra försändelsen på Post Nords webbplats.

5.2 Användare som saknar sitt pinkodsbrev

Vid beställning av ordinarie kort levereras användarens pinkodsbrev automatik till folkbokföringsadressen.
Om användaren av någon anledning saknar sitt pinkodsbrev måste en ID-administratör beställa ett pukbrev i SITHS Admin.

6. Tilläggscertifikat till ordinarie kort

Förutsättningar

  • Rutinen dokumenteras i organisationens rutiner

  • Användaren har ett ordinarie kort. Kortet kan vara utfärdat av annan organisation.

  • Det är tillåtet att lägga på tilläggscertifikat på kort utlämnat av annan organisation utan att hämta tillstånd från den utfärdande organisationen

    • Kortinnehavaren ska upplysas om vad man gör och att det eventuellt kan ge problem vid återkomst till ursprungsorganisationen

    • Kortinnehavaren avgör själv om befintligt kort ska användas

  • Det är tillåtet att ta bort tilläggscertifikat från kort utfärdade av annan organisation. Tillstånd behöver inte hämtas från den utfärdande organisationen

    • Certifikat från den kortutlämnande organisationen bör inte tas bort

För användare med skyddade personuppgifter

  • Kräver att ID-administratören har tilläggsroll för KUR

Rutinbeskrivning

  1. Användaren beställer ett tilläggscertifikat enligt intern rutin

  2. ID-administratören väljer TILLÄGGSCERTIFIKAT till SITHS E-ID KORT

    1. ID-administratören skriver under beställningen

  3. Användaren loggar in i Mina sidor

  4. Användaren laddar ner certifikatet till sitt ordinarie SITHS-kort

7. Utgivning av Reservkort tillitsnivå 3 (LoA3)

Förutsättningar

  • Två utbildade ID-administratörer med rollen KRA

  • Obrutet kuvert med reservkort

  • Ett och samma reservkort får endast ges till en och samma person

  • Rutinen dokumenteras i organisationens rutiner

  • Personen ska identifiera sig med en godkänd svensk ID-handling
    Att användaren inte är registrerade med passnummer eller samordningsnummer

  • Identifiering och verifiering sker enligt godkänd rutin

  • ID-administratören bör informera användaren om att det är möjligt att förlänga giltighetstiden på kortet en gång genom att hämta nya certifikat via Mina sidor (se Förlängning reservkort tillitsnivå 3)

Stegen i Mina sidor går att genomföra med 1 kortläsare men vi rekommenderar att man har 2 kortläsare för att minimera eventuella problem som kan uppstå med enbart 1 kortläsare.

För användare med skyddade personuppgifter

  • Kräver att ID-administratören har tilläggsroll för KUR

Rutinbeskrivning

Utgivning av reservkort LOA3 görs i 3 steg

Steg 1 - ID-administratör 1

  1. Användaren kommer till kortkontoret

  2. Användaren identifierar sig

  3. ID-administratör 1 verifierar att användaren har rätt att få ett reservkort LOA3

  4. ID-administratör 1 väljer SITHS E-ID LOA3 TILL RESERVKORT
    a. Anger kortnummer
    b. Anger giltighetstid
    c. Verifierar ID-handling
    d. ID-administratören skriver under

  5. Beställningen visas på personposten under ”Beställda reservkort LoA3”

  6. ID-administratören lämnar över det obrutna kuvertet innehållande reservkort med tillhörande pinkod till användaren

Steg 2 - ID-Administratör 2

  1. ID-administratör 2 loggar in på Mina sidor

  2. ID-administratör 2 väljer HANTERA BESTÄLLNINGAR

  3. Användaren identifierar sig

  4. ID administratör 2 söker upp användaren genom att ange personnummer eller HSA-id

  5. ID-administratör 2 granskar valt underlag
    a. Kontrollera kortnummer
    b. Kontrollera att det är rätt organisation som visas
    c. Kontrollera giltighetstid
    d. Verifierar ID-handling
    e. ID-administratören skriver under

  6. ID-administratör 2 lämnar över skärmen till användaren

Om det endast finns en kortläsare, kan ID-administratör 2 ta ur sitt kort ur kortläsaren och användaren sätter i sitt reservkort och gör enligt Steg 3.

Steg 3 - Användaren
Användaren behöver ha sina koder för legitimering och underskrift tillgängliga

  1. Sätter i reservkortet i kortläsaren

  2. Välj BEKRÄFTA ÖVERLÄMNING

  3. Läs villkoren

  4. Kryssa i JAG GODKÄNNER VILLKOREN

  5. Välj STARTA NEDLADDNING

  6. Ange legitimeringskod

  7. Ange underskriftskod

  8. Kryssa i JAG KVITTERAR

  9. Välj KVITTERA KORT
    a. Certifikaten kommer att spärras om kvittens inte fullföljs inom 15 minuter

  10. Kortet är klart att användas och användaren kan ta kortet ur kortläsaren

8. Förlängning av reservkort tillitsnivå 3 (LoA3)

Genomförs av användaren på Mina sidor

Förutsättningar

• Reservkortet som du vill förlänga
• Du måste ha tillgång till dina koder för legitimering och underskrift
• Förlängning måste göras innan det ursprungliga certifikatets giltighetstid har passerat
• Endast en (1) förlängning går att genomföra, därefter måste ett nytt reservkort LoA 3 beställas hos en ID-administratör

Det nya certifikatet blir giltigt i samma antal dagar som det ursprungliga certifikatet, och giltighetstiden räknas från den dag användaren gör förlängningen på Mina sidor.

Rutinbeskrivning

Användaren

  1. Logga in på Mina sidor med ditt reservkort som du vill förlänga

  2. Välj FÖRLÄNG RESERVKORT

  3. Kontrollera att uppgifterna stämmer

  4. Välj FÖRLÄNG

  5. Du kommer att bli uppmanad att ange din underskriftskod vid två tillfällen

    1. När certifikatsbegäran genereras

    2. När certifikatet hämtas och laddas ner

  6. Nya certifikat är nu nedladdade och kortet är klart att användas

9. Utgivning av Reservkort på plats tillitsnivå 2 (LoA2)

Förutsättningar