Trust Framework (Sambi)

Assurance Levels

Authentication Context

URIs for Authentication Context, denoting assurance levels defined in the Sambi Trust Framework. The following URIs are also registered with IANA, with the exception of 'nonresident' levels.   

Sambi Tillitsramverk

The following sections contains information about the Sambi Trust Framework and is aimed at Swedish readers.

Tillitsramverk, deklarationsmall och avtalsbilagor

Sambis tillitsramverk definieras i Avtalsbilaga 3 - Tillitsramverk som finns publicerad på Sambis webbplats. Där finns även mall för tillitsdeklaration och övriga avtalsbilagor.

Sambi Tillitsnivåer

Samtliga tillitsnivåer i Sambi utgår från godkänd granskning utifrån Sambis Tillitsramverk i kombination med tillitsnivå för den e-legitimation som använts för autentisering av användaren. E-legitimationsutfärdare ska

• vara godkänd av Myndigheten för digital förvaltning (DIGG) i enlighet med Tillitsramverket för Svensk e-legitimation, eller
• vara anmäld av annat land enligt EU-förordningen eIDAS.

Intygsutgivning genom en godkänd leverantör

Sambis tillitsramverk innehåller krav och granskningsprocesser för intygsutgivning. En medlemsorganisation kan i sin ansökan välja att bli granskad för en egen intygsfunktion eller låta intygsutgivningen ske via en godkänd leverantör.

Sambi granskar och godkänner leverantörer i enlighet med Sambis tillitsramverk:

1. I avsnitt B (E-legitimationsutfärdare) av Sambis tillitsramverk erkänns även Tillitsramverket för Svensk e-legitimation och den granskning som Myndigheten för digital förvaltning (Digg) utför. Detta innebär att e-legitimationsutfärdare som erhållit kvalitetsmärket Svensk e-legitimation inte behöver granskas separat av Sambi.
2. På samma sätt erkänns intygsutgivning från en godkänd leverantör baserad på Diggs granskning enligt Tillitsramverket för Svensk e-legitimation.

Det innebär att intygsutgivare vilka tillhandahåller sin funktion som en tjänst kan ansöka om att bli granskade av Digg mot en viss tillitsnivå enligt Tillitsramverket för Svensk e-legitimation. Granskningen baseras på samma kriterier som för e-legitimationsutfärdare, men omfattar endast de delar som är relevanta för intygsutgivningen. På så sätt möjliggörs intygsutgivning som bygger på en etablerad och förvaltad modell för tillit. I avsnitt D (Identitetsintygsutgivare) av Sambis tillitsramverk framgår vilka krav som gäller för intygsutgivning.

En godkänd leverantör av intygsutgivningstjänster kan ansöka om att ingå i Sambi enligt följande modeller:

1. Betrodd tjänst: En fristående intygsutgivningstjänst som kan användas av medlemsorganisationer. Detta innebär att intygsutgivningen inte behöver granskas i samma omfattning samband med att organisationen ansöker om medlemskap i Sambi.
2. Sambi-ombud begränsad: En fristående intygsutgivningstjänst med begränsat uppdrag att förmedla identitetsuppgifter om användare och deras organisation. Rollen ansvarar för att identifiera användare som saknar en egen användarorganisation. Identifiering sker via e-legitimering på angiven tillitsnivå, och intygen som utfärdas är begränsade till identiteter för fysiska och juridiska personer (exempelvis medarbetare och deras arbetsgivare).
3. Sambi-ombud: En ackrediterad part som kan ansvara för en eller flera medlemmars intygsutgivning samt erbjuda rådgivning, utbildning och stöd i att uppfylla Sambis tillitsramverk.

Information vid incident

Part med instans som är tekniskt ansluten till federationen ska, i enlighet med Sambis Tillitsramverk, informera federationsoperatören om sådan incident som kan påverka tilliten till den anslutna instansen för att federationsoperatören ska ha beredskap för eventuella åtgärder.

Vilken information som tillhandahålls federationsoperatören och vilka eventuella åtgärder som federationsoperatören ska vidta beslutas i samråd med den part som informerar om incidenten och förlitande parter i federationen.