SWAMID template Kontroll av legitimationshandling

Syfte och omfattning

Denna wikisida är en SWAMID-mall innehållandes "Rutin för identitetskontroll". Mallen ska ses som ett exempel på vad det som behöver finnas med i rutinen. För tillitsprofilen SWAMID Identity Assurance 3 profile finns skärpta krav på identitetskontroll och där måste en rutin finns beslutad och införd.

Rutin för identitetskontroll

Manuell kontroll av legitimationshandling innebär att användaren visar upp en giltig legitimationshandling för någon person (kontrollören) som av organisationen är betrodd att utföra en kontroll av legitimationshandlingens giltighet samt att legitimationshandlingen tillhör den person som kontrolleras. Vid kontrollen använd modellen KÄNN PÅ, SE PÅ, VIPPA PÅ för att kontrollera identitetshandlingens äkthet. För tillitsnivån SWAMID Identity Assurance Profile 3 används även de "De 7 stegen" från Svenska Bankföreningen för kontroll av handlingens äkthet. Om kontrollören misstänker att identitetshandlingen är förfalskad ska identitetshandlingens utfärdare kontaktas eller identifieringen nekas.

Kontrollören gör en notering om utförd kontroll av legitimationshandling på ett sådant sätt att det inte går att förfalska eller förvanska noteringen. Noteringen måste vidare vara associerad med användarens användar- och personuppgifter.

Kontrollen ska innefatta att:

  • legitimationshandlingen är äkta (ej förfalskad) och godkänd,
  • legitimationshandlingen är giltig (kontrollera utgångsdatum) och
  • legitimationshandlingen tillhör personen som visar upp den för kontroll (jämför foto med personen framför dig).

Med giltig legitimationshandling menas:

PRADO (Public Register of Authentic Identity and Travel Documents Online) finns en lista med giltiga legitimationshandlingar för de olika länderna i EU/EES men även för vissa andra länder. För svenska pass och identitetskort finns förtydligande kontrollinformation hos utfärdaren:

För personer som kommer från tredje land, d.v.s. länder utanför EU och Schengen, gäller pass som legitimationshandling. Vid tveksamhet kring giltigheten av utländskt pass äger kontrollören rätt att i stället kräva giltig svensk legitimationshandling.

Implementationsförslag som inte ingår i rutinen

Identitetskontrollen ska sparas i organisationens identitetshanteringssystem som en flagga eller annat attribut, kombinerat med när kontrollen genomfördes och av vem. Exempel på notering kan vara en kombination av ett attribut i ett identitetshanteringssystem (tex en LDAP-databas) tillsammans med en notering i en systemlogg som talar om vem som utförde förändringen och varför.

Best Practice är att den som kontrollerar identitetshandling vid utdelande av användarkonto, återställning av inloggningsuppgifter eller återaktivering efter avstängning registrerar vilket identitetskort inkl. utfärdarland/motsv. och giltighetsperiod. Det sparas skyddat tillsammans med när kontrollen genomfördes och av vem i organisationens identitethanteringssystem så länge kontot är tillgängligt.