Riktlinjer och anvisningar avseende säkerhet vid ... - Tullverket

Riktlinjer och anvisningar avseende säkerhet vid informationsutbyte via EDIVersion 2.0, 2011-06-16 Sid 9 (38)2 Översiktlig beskrivning av säkerhetskonceptetDet PKI-baserade säkerhetskonceptet innebär att informationsutbytet mellan Tullverket ochföretagen alltid sker via signerade elektroniska dokument. Vid informationsflöde frånföretaget till Tullverket används signeringscertifikat utställt på företaget för signering. Vidflöde i motsatt riktning används signeringscertifikat utställt på Tullverket.Traditionellt ställer ett säkert informationsutbyte via EDI krav på att:1. det elektroniska dokumentet inte skall kunna förvanskas utan upptäckt2. ingen skall kunna sända det elektroniska dokumentet i annans namn, avsiktligt elleroavsiktligt utan upptäckt3. avsändaren inte skall kunna förneka sitt utfärdande och sin sändning av det elektroniskadokumentet4. mottagaren inte skall kunna förneka sin mottagning av det elektroniska dokumentet5. det elektroniska dokumentet inte skall kunna läsas av obehörigaPunkt 1 – 3 hanteras av det PKI-baserade säkerhetskonceptet, punkt 4 löses med krav påsignerade kvittenser och punkt 5 löses med krav på kryptering av kommunikationen.Utöver dessa traditionella EDI-krav ställer Tullverket, för elektroniska dokument avkategori 2, även krav på att identifiera fysisk person.2.1 Konceptuell beskrivningI nedanstående bild visas som exempel viktiga delar i säkerhetskonceptet för ettinformationsutbyte med elektroniska dokument av kategori 2. Kategori 1 innebär vissaförenklingar eftersom ingen fysisk person behöver identifieras.Företaget önskar i exemplet deklarera import- eller export elektroniskt till Tullverket och harsökt tillstånd för detta. För att kunna starta det elektroniska uppgiftslämnandet krävs docktillgång till ett signeringscertifikat.Hanteringen kan grupperas i en administrativ del för hantering av signeringscertifikat samt endel för användningen av signeringscertifikat i uppgiftslämnandet med Tullverket.