Gå direkt till innehållet
Förstasidan: Traficom
Förstasidan: Traficom
Logga in i e-tjänster
Gå till sökfunktionenSök
Svenska
Meny
Logga in i e-tjänster

Informationssäkerhet vid öppning av gränssnitt

En god informationssäkerhetspraxis ska följas för att sörja för informationssäkerheten i gränssnitt och tjänster.

Bästa praxis i fråga om bedömningskriterier för en avtalsparts tillförlitlighet kommer att utarbetas i samarbete med intressentgrupperna vid en tillställning som ordnas av Traficom under år 2020.

Aktörer bör sinsemellan avtala om tillgänglighetsfrågor med beaktande av de lagstadgade kraven på rättvisa, rimlighet och icke-diskriminering. 

Med underhåll av informationssäkerhet avses de tekniska och organisatoriska åtgärder som en aktör genomför för att sörja för integritet, tillgänglighet och sekretess i nät- och informationssystem. 

Med kontroll över informationssäkerhet avses en fortlöpande hantering av informationssäkerhetshelheten och att tillräckliga informationssäkerhetsåtgärder vidtas i syfte att sörja för den fysiska säkerheten och säkerhet i datakommunikation, informationssystem och användning. 


När åtgärder vidtas ska den tekniska utvecklingen och kostnaderna för åtgärderna beaktas, och åtgärderna ska anpassas till hot och risker. 

Åtgärder anpassade till risker 

Informationssäkerhetspraxis krävs av alla parter och den ska utgå från hotmodellering och riskfokusering. Utgångsdata i dessa kan till exempel vara mängden personuppgifter som ska skyddas, uppgifter om betalningsmedel och den ekonomiska riskens omfattning – och å andra sidan ekonomiska förluster eller anseenderisk om tjänsten inte är tillgänglig till exempel på grund av överbelastningsangrepp.

Krav på informationssäkerheten och dataskyddet vid tillträde till försäljningsgränssnitt 

Den tillträdesskyldige ska se till att tillträdet kan ske utan att vare sig informationssäkerheten eller integritetsskyddet i tjänsten äventyras. 

En avtalspart kan kräva att den andra avtalsparten följer god, riskanpassad informationssäkerhetspraxis i datakommunikationen via biljett- och betalningssystemets försäljningsgränssnitt och i de av sina system som kan påverka datakommunikationen via försäljningsgränssnittet eller informationssäkerheten i behandlingen av uppgifter som fås via försäljningsgränssnittet. 

Krav på informationssäkerheten och dataskyddet i tjänster på någon annans vägnar

Förteckningen nedan innehåller en allmän beskrivning av hur kraven på informationssäkerheten och skyddet av personuppgifter ska tillgodoses i tjänster på någon annans vägnar. 
En tjänst på någon annans vägnar kan använda tillträdet till ett användarkonto via det gränssnitt eller de identifieringsuppgifter för användaren eller tjänsten på någon annans vägnar som den tillträdesskyldige administratören av användarkontot ger och som ska avtalas när tillträdet ges. 

En kundhändelse på någon annans vägnar inleds på initiativ av en kund. 

En tjänst på någon annans vägnar och en tillträdesskyldig administratör av ett användarkonto ska båda   

  • vid behandling av uppgifter i sina egna informationssystem följa god informationssäkerhetspraxis som har anpassats till riskerna 
  • vid överföring av uppgifter i datakommunikationen följa god informationssäkerhetspraxis som har anpassats till riskerna 
  • se till att personuppgifter om en användare behandlas på ett säkert sätt  
  • se till att endast personuppgifter som är nödvändiga för en tjänst på någon annans vägnar behandlas i denna tjänst 
  • se till att avtalspartens affärshemligheter, kryptografiska hemligheter eller andra uppgifter som behövs för att ge tillträde till ett användarkonto i tjänsten på någon annans vägnar behandlas på ett säkert sätt och enbart för det överenskomna ändamålet 
  • lagra de uppgifter som behövs för att verifiera kundhändelsen på någon annans vägnar i en eventuell störningsutredning, eller uppgifter om den tid som behövs för ett motsvarande behov. 

En tjänst på någon annans vägnar ska 

  • identifiera sig för den tillträdesskyldiga administratören av ett användarkonto på det sätt som har överenskommits när tillträdet har getts 
  • se till att identifieringsuppgifter och andra uppgifter om en användare inte är tillgängliga för andra än för användaren och den tillträdesskyldiga.

Informationssäkerhetsfrågor som ska avtalas

Det är viktigt att parterna avtalar om åtminstone följande frågor:

  • Informationssäkerhet vid förvaring av information 
  • Informationssäkerhet vid överföring av information 
  • Förfarande för ändring av system, gränssnitt och krav 
  • Hantering av störningar eller hot i gränssnitt eller system 
  • Sekretess för uppgifter om störningar, ändringar och transaktioner 
  • Förfarande för att säkerställa informationssäkerheten/tillförlitligheten hos en avtalspart 

Säkerställande av tillförlitligheten hos en avtalsparts informationssäkerhet 

En avtalspart kan kräva en överenskommelse med den andra avtalsparten om vilket förfarande parterna ska tillämpa för att kunna försäkra sig om att den andra partens underhåll av informationssäkerheten är tillräckligt.  

Ett skäligt förfarande som rekommenderas är att noggrant fastställa kraven i ett avtal och att göra tekniska tester av gränssnitt som är tillgängliga på internet.  

Enbart på grund av tillträde till ett försäljningsgränssnitt anses det inte vara skäligt att kräva en oberoende kvalitetsrevision eller certifiering av hela systemet. När en avtalspart gör en kvalitetsrevision, bör hänsyn tas till skydd av affärshemligheter, yrkeshemligheter och personuppgifter. Tyngre förfaranden kan dock tillämpas om de också i övrigt av affärsekonomiska skäl kan användas av aktören. 

Uppdaterad