...
Vissa tjänster som är kopplade till SWAMID, direkt eller genom eduGAIN, kräver att identitetsutgivare uppfyller REFEDS SIRTFI för att inloggning ska tillåtas från den aktuella organisationen. Ett tydligt exempel på detta är forskningsorganisationen CERN där användare som ska få tillgång till federerade tjänster vid CERN måste logga in via identitetsutgivare som uppfyller kraven för REFEDS SIRTFI. Ett annat exempel på en tjänst är CiLogon som kräver både REFEDS SIRTFI and REFEDS Research and Scholarship.
Hur gör en identitetsutgivare för att bli godkända för REFEDS SIRTFI?
...
Kraven i REFEDS SIRTFI är uppdelade i fyra avsnitt och varje krav har en benämning som står inom hakparanteser. I de fall som SWAMIDs tillitsprofiler SWAMID AL1 eller SWAMID AL2 tillgodoser ett krav står detta tydligt.
För de av SWAMID:s medlemsorganisationer som är statliga myndigheter har Myndigheten för samhällsskydd och beredskap enligt 19§ i Förordning (SFS 2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap rätt att skapa föreskrifter kring myndigheters informationssäkerhetsarbete. Genomförande av MSB:s föreskrifter , t.ex. MSBFS 2016:1, MSBFS 2016:2 och MSBFS 2016:7, inom medlemsorganisationen kan vara till hjälp i analysen om identitetsutfärdaren och underliggande system uppfyller kraven i REFEDS SIRTFI.
Operativa krav i REFEDS SIRTFI
...
- att organisationen måste vid kommunikationen med tredje part, t.ex. incidentanmälaren, ta hänsyn till användarens behov av integritet enligt Personuppgiftslagen (SFS 1998:204) och gällande personuppgiftslagstiftning i Sverige och i förekommande fall bestämmelserna i Offentlighets- och sekretesslagen (SFS 2009:400).
...
- att organisationen respekterar och använder begränsningarna i Traffic Light Protocol så länge som organisationen följer gällande svensk lagstiftning, t.ex. Personuppgiftslagen (SFS 1998:204)gällande personuppgiftslagstiftning, Offentlighets- och sekretesslagen (SFS 2009:400) och Tryckfrihetsförordningen (SFS 1949:105).
...
Trafikljusprotokollet har fyra färger för att ange hur avsändaren förväntar sig att mottagaren hanterar spridning av informationen, fritt översatt:
| TLP:RED | Mottagaren får inte sprida informationen till någon, inte ens inom sin egen organisation. |
| TLP:AMBER | Mottagaren får endast sprida information till andra personer inom organisationen, eller direkt berörda partner och kunder, som behöver ha den för att hantera problemet, TLP-märkningen ska bibehållas. |
| TLP:GREEN | Mottagaren får sprida informationen till kollegor och partner inom sektorn, TLP-märkningen ska bibehållas. |
| TLP:WHITE | Inga spridningsbegräsningar förutom normal upphovsrätt, TLP-märkningen ska bibehållas. |
...
För mer och djupare information om trafikljusprotokollet se https://www.us-certfirst.govorg/tlp/.
Spårbarhetskrav i REFEDS SIRTFI
...
Kravet uppfylls av motsvarande krav i SWAMID AL1 och SWAMID AL2.