Riktlinjer och anvisningar avseende sÃƒÂ¤kerhet vid ... - Tullverket

More documents

Recommendations

Info

Riktlinjer och anvisningar avseende säkerhet vid informationsutbyte via EDISid 10 (38) Version 2.0, 2011-06-16FÖRETAG XFirmatecknare1Anmälan angående användning avsigneringscertifikat (se kapitel 3)TULLVERKETTullansvarigKontaktpersonsigneringscertifikatDelegering till kontaktperson attbeställa signeringscertifikat(se kapitel 3)2 3Beställning och leverans avsigneringscertifikat (se kapitel 4)Lagring av signeringsnyckel (privat nyckel)i företagets IT-system (se kapitel 4 och 5)Tullverketscertifikatutfärdare(se kapitel 2.5)Tullverketsdatasysteme4Legitimering /inloggning(se kapitel 5)a b cSigneringsnyckel(privat nyckel)AnvändareIdentifiering avanvändarenKontroll avanvändarensbehörighetMöjlighet till spårbarhet tillanvändaren i efterhandLoggningAnvändarensgodkännande avuppgiftslämnandetSignering avdokumentUtväxlingsloggKontroll av signaturHantering vid mottagningdSändning/mottagning av dokumentDokumentformatinklusive format försäkerhetsrelateradinformation(se kapitel 6)Några säkerhetsrelaterade delar i företagetssystem för uppgiftslämnande mot Tullverket (se kapitel 5)2.1.1 Administrativ hantering av signeringscertifikatFör att kunna starta det elektroniska uppgiftslämnandet krävs tillgång till ettsigneringscertifikat vilket möjliggörs via anmälan till Tullverket.1) I anmälan anges en eller flera kontaktpersoner ut för de fortsatta kontakterna medTullverket angående signeringscertifikat.2) Kontaktpersonen beställer signeringscertifikat från Tullverkets tjänst förcertifikatutfärdande (CA).3) Kontaktpersonen ser till att en privat (hemlig) nyckel genereras av företaget och kopplastill certifikatet (se kapitel 4).4) Den privata nyckeln lagras i företagets system på ett säkert sätt.För att skapa tilltro krävs att företagets tullsystem har en tillräcklig totalsäkerhet. Dettainnefattar bland annat en säker hantering och lagring av privat nyckel kopplad tillsigneringscertifikatet.
Riktlinjer och anvisningar avseende säkerhet vid informationsutbyte via EDIVersion 2.0, 2011-06-16 Sid 11 (38)Systemet måste även tillhandahålla spårbarhet via loggning (kategori 2) så att den användaresom signerat ett elektroniskt dokument i efterhand kan pekas ut med tillräcklig säkerhet (sekapitel 5).2.1.2 Användande av signeringscertifikat i uppgiftslämnandetHanteringen av uppgiftslämnandet skiljer sig mellan elektroniska dokument av kategori 1,utan krav på att identifiera fysisk person, och kategori 2 med sådant krav.För elektroniska dokument av kategori 2 gäller:a) att personen först identifierasb) att kontroll sedan görs att personen är behörig utifrån dess identitetc) att det elektroniska dokumentet måste godkännas av den behörige användaren föresigneringFör båda kategorierna av elektroniska dokument gäller:d) att det elektroniska dokumentet signeras med företagets signeringsnyckele) att kontroll sker av signaturen vid mottagning hos TullverketDå Tullverket skickar ett signerat elektroniskt dokument till företaget skall signaturenkontrolleras hos företaget.2.2 Elektronisk signaturEn signatur på papper kan ha olika innebörd utifrån vad som undertecknas. I sin enklaste forminnebär signaturen enbart en markering att en person tagit del av ett dokument. I andrasammanhang, t ex vid ett fastighetsköp, har signaturen/underskriften en betydligt tyngreinnebörd i form av oavvislighet. Oavvislighet innebär att personen i efterhand inte kan nekaatt den via sin underskrift godkänt en transaktion etc.Den elektroniska signaturen är den elektroniska världens motsvarighet till pappersbaseradsignatur eller underskrift. På samma sätt som den pappersbaserade signaturen ellerunderskriften kan den elektroniska motsvarigheten ha olika funktion beroende på de krav somfinns på det elektroniska dokumentet. En synonym till elektronisk signatur är digital signatur.Utmärkande för den signatur som används i Tullverkets PKI-baserade säkerhetskoncept är attden endast är kopplad till företaget, d v s den har ingen direkt koppling till den användare somgodkänt uppgifterna. Företaget ska dock för elektroniska dokument av kategori 2 alltid kunnaredogöra för vilken fysisk person som har godkänt detta samt, vid begäran från Tullverket,kunna lämna ut uppgift om denna person.
Page 1: Riktlinjer och anvisningar avseende
Page 4 and 5: Riktlinjer och anvisningar avseende
Page 38: Box 12854, 112 98 StockholmTelefon:

Riktlinjer och anvisningar avseende sÃƒÂ¤kerhet vid ... - Tullverket

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?