Identitetskontroll via digital representation av resehandling i e-legitimation (SWAMID AL2)
Kom ihåg att innan ni börjar använda denna metod för identifiering av personer måste ni uppdatera er Identity Managment Practice Statement (IMPS) och få uppdateringen godkänd av SWAMID Board of Trustees.
Mobilt BankID har sedan sommaren 2023 haft möjligt att lagra en digital representation av svensk resehandling (pass och nationellt identitetskort). Inläsningen genomförs genom att användaren skannar sin resehandling tillsammans med hjälp av BankID-appen. Vid skanningen måste användaren logga in med sitt BankID för att säkerställa att det kopplas till en unik persons BankID. Vidare krävs att personnumret på resehandlingen stämmer överens med personnumret i BankID:t. Om allt går bra lagras hämtade uppgifter från resehandlingen både lokalt i BankID-appen och till viss del hos BankID för att kunna användas för identifiering. Denna digitala representation av resehandlingen går inte att överföra mellan olika mobila enheter (mobiltelefoner och plattor) utan användaren måste genomföra denna inläsning på alla mobila enheter där personen vill kunna använda den digitala representationen.
Det finns tre olika sätt att legitimera sig med hjälp av den digitala representation av resehandlingen:
- Visuell kontroll
- Skanna med hjälp av BankID-appen
- Styrkt kontroll med skanner
Efter beslut i SWAMID Board of Trustees 2024-06-24 uppfyller inte visuell kontroll kraven för tillräckligt god legitimering för SWAMID AL2 utan endast de andra två modellerna går att använda för detta. Vidare är styrkt kontroll med skanner att jämställa med genomförd e-legitimering med hjälp av BankID eftersom ett korrekt identitetsintyg ställs ut av BankID och går därför även att använda för SWAMID AL3. För mer information om Digitalt ID-kort i BankID se https://www.bankid.com/foretag/digitalt-id-kort.
Freja eID:s motsvarande funktionalitet uppfyller inte tillräckligt väl kraven beroende på att det är möjligt för att det är inte personens bild på resehandlingen som alltid visas i frejaappen. Personen kan själv ändra vilken bild som visas.
Digital representation av resehandling via e-legitimation modell styrkt kontroll
Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:
- Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
- För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
- Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
- Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet i personens BankID-app stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen skannar kontohandläggaren den rörliga QR-koden på mobilskärmen med en hårdvaruscanner kopplad till organisationens kontohanteringssystem.
- Om skanningen går bra skickas QR-kodens värde via kontohanteringssystemet till BankIDs tjänstegränssnitt (API) för kontroll (https://www.bankid.com/utvecklare/guider/verifiering-av-digitalt-id-kort/introduktion).
- Om BankIDs tjänstegränssnitt godkänner QR-koden skickas användarens personnummer och namn tillsammans med ett identitetsintyg tillbaka till kontohanteringssytemet och därefter är personen bekräftad med det returnerade personnumret.
Om någon av ovanstående punkter inte kan genomföras korrekt avslutas legitimeringen utan att bekräftande av personen har genomförts.
Digital representation av resehandling via e-legitimation modell BankID-app
Personen besöker en fysisk disk för att aktivera, återställa eller återaktivera sitt användarkonto genomgår följande process:
- Personen tar fram sitt "Digitala ID" i den mobila BankID-appen.
- För att göra det måste personen verifiera sig med sitt mobila BankID och därefter visas den digitala representationen av resehandlingen tillsammans med en tidsbegränsad unik rörlig QR-kod under en begränsad tidsperiod.
- Den digitala representationen innehåller foto, ålder, namn och personnummer hämtade från resehandlingen.
- Kontohandläggaren skannar den rörliga QR-koden på personens BankID-app med en annan BankID-app.
- BankID-appen som skannar måste finnas på en mobil enhet som finns i den fysiska disken och ägs av organisationen.
- Om skanningen går bra skickas QR-kodens värde till BankIDs tjänstegränssnitt (API) för kontroll av den fysiska diskens BankID-app.
- Om BankIDs API godkänner QR-koden skickas användarens personnummer, namn och foto till den fysiska diskens BankID-app.
- Kontohandläggaren kontrollerar att fotot på det Digitala ID-kortet stämmer överens med personen som visar upp det. Om fotot stämmer överens med personen som ska legitimeras är identifieringen genomförd och personnumret som visas i diskens BankID-app kan användas för att fortsätta processen.
Om någon av ovanstående punkter inte kan genomföras avslutas korrekt legitimeringen utan att bekräftande av personen har genomförts.