Ändringar i ärendehanteringstjänster som använder TUPAS-identifiering

Publicerad 10.04.2018 | Uppdaterad 12.04.2018

Begäran om utlåtanden

Allt strängare informationssäkerhetskrav vid elektronisk identifiering förutsätter ändringar i informationssystem för elektroniska ärendehanteringstjänster före slutet av september 2019. Säkerhetsändringarna gäller bankernas tjänster för stark autentisering som bygger på s.k. TUPAS-identifiering samt leverantörer av ärendehanteringstjänster som använder dessa tjänster. Ändringen gäller inte stark autentisering med mobilcertifikat eller med identitetskort med medborgarcertifikat utfärdat av polisen.

TUPAS-protokollet som bankerna i Finland använder uppfyller i sin nuvarande form inte kraven på stark autentisering som är enhetliga med EU-regleringen. TUPAS-protokollet utvecklas inte längre för att motsvara framtidens krav. Det finns protokoll som uppfyller kraven och som bankerna kan använda för att ersätta TUPAS-protokollet. Övergångsperioden för ett protokoll som uppfyller kraven fastställs genom Kommunikationsverkets föreskrift.

Gränssnitt för identifiering i elektroniska ärendehanteringstjänster ska ändras

Kommunikationsverkets föreskrift 72 om stark autentisering förutsätter att aktörer som använder TUPAS-protokollet ska förbättra informationssäkerheten i sin identifieringstjänst. Informationssäkerheten i gränssnitten för identifieringstjänster och elektroniska ärendehanteringstjänster ska förbättras genom kryptering av datakommunikation på meddelandenivå. Även de leverantörer av elektroniska ärendehanteringstjänster som använder TUPAS-protokollet ska göra ändringar i sina informationssystem. De flesta banker kommer antagligen att använda ett helt nytt protokoll som uppfyller föreskriftens krav på informationssäkerhet. Även i detta fall ska leverantörer av elektroniska ärendehanteringstjänster göra ändringar i sina system.

Övergångsperioden för ändringen är på remiss t.o.m. den 20 april. Enligt ändringsförslaget ska bankerna tillhandahålla ärendehanteringstjänster ett gränssnitt som uppfyller de nya kraven vid början av 2019. De nödvändiga ändringarna ska göras för alla ärendehanteringstjänster fram till september 2019. Från början av oktober 2019 får stark autentisering som bygger på TUPAS-protokollet inte längre tillhandahållas leverantörer av elektroniska ärendehaneringstjänster, om man inte gjort de ändringar som krävs.

Enligt gällande föreskrift skulle dessa ändringar vara genomförda redan den 18 september 2018. Kommunikationsverket föreslår nu att den tidigare tidtabellen förlängs och genomförs i faser eftersom det enligt bedömningar är utmanande att genomföra ändringarna i alla ärendehanteringstjänster inom utsatt tid. Kommunikationsverkets rekommendationer om de nya gränssnitten blev färdiga först i januari 2018.

Enklare att skaffa identifieringstjänster genom förtroendenätet

Ärendehanteringstjänsterna kan vid en ändring också undersöka möjligheten att skaffa sina identifieringstjänster från tjänsterna för identifieringsförmedling. Etableringen av förtroendenätet för elektroniska identifieringstjänster gör att ärendehanteringstjänsternas möjligheter att skaffa och konkurrensutsätta identifieringstjänster så småningom blir bättre. Dessutom är det inte längre nödvändigt att skaffa identifieringstjänster separat från banker och övriga leverantörer av identifieringsverktyg.

Syftet är att ärendehanteringstjänster i framtiden kan skaffa de identifieringstjänster de behöver för identifiering av sina kunder i bästa fall med ett avtal via tjänster för identifieringsförmedling. Protokollösningar av utgivare av identifieringsverktyg som står bakom tjänster för identifieringsförmedling påverkar då inte ärendehanteringstjänster.

Kraven på banktjänster och identifieringstjänster samordnas

För bankidentifiering i Finland gäller i praktiken krav från två lagstiftningar, eftersom bankkoder används förutom för identifiering i olika offentliga och privata elektroniska ärendehanteringstjänster även för genomförande av betaltjänster och övriga banktjänster. Kommunikationsverket och Finansinspektionen, som svarar för övervakningen av dessa lagstiftningar, överväger nu hur kraven kan samordnas.

När bankkoderna används för identifiering i andra tjänster än banktjänster är det kraven på stark autentisering som gäller. Om dessa krav föreskrivs i lagen om stark autentisering och betrodda elektroniska tjänster samt i Kommunikationsverkets föreskrift som meddelats med stöd av lagen. Kommunikationsverket övervakar att lagen och föreskriften följs. Kraven i lagen om stark autentisering och betrodda elektroniska tjänster och kraven i föreskriften är enhetliga med EU-regleringen av medel för stark autentisering (eIDAS-förordningen).

Ytterligare information:

Jurist Anne Lohtander, tfn 0295 390 618 (speciellt ändringen av föreskriften, inte onsdagen 11.4)

Jurist Marko Priiki, tfn 0295 390 596

Chef för Säkerhetsövervakning Jukka-Pekka Juutinen, tfn 0295 390 523 (speciellt förtroendenätet)E-postadresserna har formen fornamn.efternamn(at)ficora.fi.

Begäran om utlåtande om föreskriftsutkastet 72A/2018 M och om konsekvensbedömningen MPS72A

Remisstiden för de svenskspråkiga versionerna börjar lite senare.

Mer information om förtroendenätet: Bloggtext: Välityspalveluista vauhtia vahvan sähköisen tunnistamisen markkinoille (15.12.2017)

Ämnesord: Informationssäkerhet , Elektronisk identifiering , Nyheter

LinkedIn Print