Gå til hovedindhold

Servicebeskrivelse for id-tjenester

Når du som leverandør og samarbejdspartner får adgang til vores it-systemer er der en række sikkerhedskrav og adgangskontroller du skal være opmærksom på.

Indhold

    Stamdata for ID-tjenesten

    ID-tjenestens kaldenavn

    Din digitale identitet (ID-portalen) hos Mariagerfjord Kommune, Lokal IdP på sikringsniveau Betydelig.

    ID-tjenestens ansvarlige ejer

    Mariagerfjord Kommune, CVR 29 18 94 55

    Databeskyttelse i Mariagerfjord Kommune

    Databeskyttelse og databehandler

    ID-tjenestens kontaktinformation

    Kontakt: Mariagerfjord Kommunes it-afdeling
    Telefon: 97 11 30 35
    Kontakt e-mail: servicedesk@mariagerfjord.dk

    Betingelser

    Ansvar hos Relying Party (Tjenesteudbyder).

    En Tjenesteudbyder må kun forlade sig på autentifikation af ID-tjenestens brugere på NSIS Sikringsniveau Betydelig ,når følgende er opfyldt:

    • Tjenesteudbyder har gennemført en gensidig teknisk registrering imod ID-tjenesten i dialog med ID-tjenestens forretningsorganisation
    • Tjenesteudbyder har forsikret sig om, at det tilbudte sikringsniveau fra ID-tjenesten opfylder
    • Tjenesteudbyderens sikringsbehov
    • Tjenesteudbyder har aftalt eventuel anvendelse af eventuelle autorisationsdata indeholdt i ID-tjenestens tokens med henblik på autorisation af rettigheder i Tjenesteudbyderens tjeneste
    • Tjenesteudbyder validerer ID-tjenestens SAML token ved hver enkelt autentifikation inkl. verifikation af digital signatur, herunder gyldighed af ID-tjenestens certifikat som angivet fra certifikatudsteder.
    • Tjenesteudbyder validerer at det modtagne SAML token i ”Audience Restriction” omfatter tjenesteudbyderen.
    • Tjenesten uddrager det eksplicitte NSIS Sikringsniveau, der er indskrevet i den enkelte Token. Bemærk at dette NSIS Sikringsniveau godt kan være NSIS Lav eller udefineret, i de tilfælde hvor de aktuelle brugere IKKE er autentificeret på NSIS sikringsniveau Betydelig!

    ID-tjenesten understøtter lokal sessionsbevarelse i henhold til mulighederne herfor i NSIS-standarden.
    Tjenesteudbyder er selv ansvarlig for sikkerhedsforhold omkring eventuelle egne sessionsmekanismer samt vurdering af behovet for at gennemtvinge en ny Autentifikation med aktiv brugerinvolvering (dvs. fravælge SSO) jf. NSIS v. 2.0.1 kap. 6 krav 8).

    Eventuelle persondata eller personhenførbare data som modtages fra ID-tjenesten, skal af tjenesteudbyderen behandles efter gældende lovgivning og Mariagerfjord Kommunes privatlivspolitik jf. ovenstående.

    Ansvar hos brugere

    ID-tjenestens brugere bekræfter i forbindelse med deres registrering eksplicit ID-tjenestens brugervilkår som specificeret af NSIS standarden.

    Brugerne bekræfter, at de accepterer følgende for at være it-bruger i Mariagerfjord Kommune:

    • De kodeord du får til kommunens netværk og systemer er personlige, og du må ikke lade andre få kendskab til dem, eller lade andre arbejde i dit login. Når du verificerer dig på ID-portalen, skal du selv vælge dit kodeord og sørge for udstedelse af to-faktor-login – enten smartphone eller kodeviser. Du skal bruge kodeord, som er svære at gætte, dvs. de skal bestå af et miks af store og små bogstaver, tal og være på minimum 8 karakterer. Derudover må du ikke genbruge de 24 seneste koder. Du må ikke bruge kodeord, som du også bruger i privat sammenhæng. For kodeord til kommunens netværk og flere af fagsystemerne, skal du skifte kodeordet minimum hver tredje måned.
    • Du skal omgående anmode om at få spærret dit login, hvis du har mistanke om at andre har fået kendskab til dit brugernavn, kodeord, eller kodeviser/smartphone.
    • Din aktivitet på kommunens netværk, i it-systemer samt online tjenester bliver registreret i logs. Logning af brugeraktivitet er et almindeligt og nødvendigt sikkerhedsmæssigt tiltag, og det følger af tilsynspraksis fra Datatilsynet, at en myndighed, som en kommune, der behandler store mængder fortrolige og følsomme personoplysninger, skal foretage logning samt stikprøver heraf.
    • Udleveret it-udstyr tilhører kommunen. Du har ansvaret for at passe på udstyr og de informationer der ligger på det. Du skal:
      • Opbevare udstyret så uvedkommende ikke har adgang til det
      • Minimum en gang om ugen skal din pc genstartes
      • Smartphone og tablet skal opdateres til seneste version af styresystem
      • Udstyres skal være beskyttet af skærmlås, som kun du kender
    • Du har tavshedspligt om fortrolige oplysninger. Det betyder, at du ikke må videregive oplysninger, om fx borgere, medarbejdere eller administrative eller forretningsmæssige forhold, som ikke er beregnet på at måtte offentliggøres. Tavshedspligten gælder også efter du har afsluttet dit ansættelsesforhold.
    • Du skal løbende holde dig orienteret om kommunens sikkerhedspolitikker på intranettet.

    Begrænsninger

    Tokens fra ID-tjenesten kan alene anvendes til at autentificere brugere på det i det enkelte Token indskrevne NSIS Sikringsniveau, når Tjenesteudbyder opfylder sit ansvar, som beskrevet ovenfor.

    Tokens fra ID-tjenesten kan ikke uden tilladelse fra ID-tjenesten anvendes til at udstede andre tokens, men kan kun anvendes direkte af en Tjenesteudbyder i forbindelse med Tjenesteudbyderens forretningsfunktionalitet. En sådan tilladelse er dog givet til NemLog-in3, til anvendelse i forbindelse med NemLog-in3 erhvervsidentiteter imod tilsluttede Brokere og Tjenesteudbydere.

    ID-tjenesten og ID-tjenestens udbyder ifalder ikke yderligere ansvar, end hvad der måtte følge af NSIS standarden.

    Betaling

    Der opkræves ikke betaling for anvendelse af ID-tjenesten.

    Sidst opdateret: 20. april 2023