Vad skiljer olika tjänster för e-underskrift?

Offentlig sektor har höga säkerhetskrav på sig, det är ingen nyhet. Våra senaste blogginlägg har berört varför Sveriges offentliga sektor ligger efter i digitalisering, och vad som kan inkluderas i kravställningen för att få tryggast möjliga lösning vid upphandling av e-underskriftstjänst. Vid det här laget kan det vara på sin plats att berätta lite om avsändaren av den här informationen, SignPort.

Den korta versionen: SignPort är en komplett lösning för e-underskrift och e-legitimation skapad för att möta de höga säkerhetskrav som offentlig sektor ställer.

Den (lite) längre versionen: Det finns bolag som värdesätter att få en snabb underskrift högre än att deras dokument ska vara skyddade och hållbara. Kanske vill de göra tröskeln så låg som möjligt för nya kunder att skriva på kontrakt, eller så har de inte tillräcklig kunskap om hur stor skillnaden faktiskt är mellan olika underskriftstjänster.

Du som läser den här texten tillhör förmodligen inte ovan kategori. Kanske arbetar du på en kommun, myndighet, region, eller för den delen ett privat bolag som har intresse av att höja IT-säkerheten i er digitala infrastruktur. Det är med just er i åtanke som SignPort skapades.

Myndigheten för digital förvaltning (DIGG) har i skrivande stund angett 203 krav som bör uppfyllas för att underskriftstjänsten ska anses fullständig. Hela listan finns att läsa här, men vi kommer inte göra anspråk på fullt så mycket av din tid utan har i stället valt att sammanfatta 4 av de viktigaste punkterna att känna till:

1. eIDAS personliga underskrifter - dvs en personlig underskrift som finns i dokumentet. Med ”enkla” signeringstjänster finns enbart namnet och ibland personnumret med i löptexten i dokumentet, men inget som tekniskt verifierar att det faktiskt är hen som skrivit under enligt eIDAS EU-förordning.
   
   Dessutom kan underskriften inte anses vara personlig om den inte är en så kallad Personlig Avancerad Elektronisk Underskrift. I praktiken innebär det att företaget går i god för att det är underskrivet, men det finns ingen teknisk underbyggnad för undertecknarens identitet.

2. Det bör gå att lägga till ytterligare underskrifter till samma dokument över tid. Det här är ett problem som inte är så välkänt, förens organisationer väl köpt in en tjänst och upptäcker det efter hand. Dessvärre är det inte helt ovanligt bland enkla signeringstjänster att det inte går att lägga till signaturer efter hand, i stället måste dokumentet göras om och signeringsrundan påbörjas på nytt.

3. Möjliggör underskrift med fler eID-utfärdare. I Sverige är den vanligaste eID-utfärdaren BankID, men det finns medborgare som inte har tillgång till den. För att inkludera alla samhällets medborgare bör tjänsten inte vara låst till endast ett sätt att legitimera sig.
   
   På samma tema vill vi även nämna möjligheten till tjänstelegitimering, dvs en metod att legitimera sig i egenskap av sin tjänsteidentitet i stället för personnummer. Det är naturligtvis fortfarande en personlig och säker underskrift, utfärdad med exempelvis SITHS (Säker IT Hälsa och Sjukvård), EFOS (E-identitet för offentlig sektor) eller Freja orgID.

4. Det ska gå ett använda båda standardformaten PDF och XML. För att möjliggöra automatiserat beslutsfattande är det bättre att använda XML, detta på grund av att det går att automatisera kontrollen av den personliga underskriften. PDF är dock ett mer läsbart format, vilket gör det lite vanligare.
   
   

Okej okej, det här inlägget skulle handla om vilka SignPort är och varför vi väljer att göra en serie om krav som offentlig sektor bör ställa vid upphandling av e-underskriftstjänst. I stället har vi skrivit ett blogginlägg om säkerhetskrav.

Sanningen är att vi inte är särskiljt mycket snabbare än andra leverantörer, deras tjänster är lika användarvänliga som vår, vi har inte heller någon nämnvärt mycket snyggare gränssnitt än dem. Det som urskiljer SignPort från de enkla ”stämpeltjänsterna” är att vi faktiskt levererar en produkt som lever upp till de höga säkerhetskrav som bör ställas på digitala tjänster idag.

SignPort utfärdar Personliga Avancerade Elektroniska Underskrifter, till skillnad från en enkel stämpeltjänst. Vi följer nationella och internationella standarder, vilket gör att även våra kunder gör det per automatik. Det kanske ligger oss lite i fatet att tala om, men med SignPort blir ni inte heller låst till en leverantör framöver. Vad vi menar med det är att ni framtiden kan byta leverantör utan att behöva bygga om hela infrastrukturen för underskrift och legitimering, något som ofta behövs vid byte mellan simpla signeringstjänster.

Hör av dig till oss om du vill vara säker på att följa bästa praxis vad gäller säkerhet, hållbar data och system som är framtidssäkrade.