SuisseID Mein digitales Ich

Transkript

1 Mein digitales Ich Wenn Sie diesen Text lesen können, müssen Sie die Folie im Post-Menü mit der Funktion «Folie einfügen» erneut einfügen. Sonst kann kein Bild hinter die Fläche gelegt werden!

2 Agenda Konzept Preis Einsatz- und Integrationsmöglichkeiten Wie weiter? Seite 2

3 Vision Für mich als Person ist die mein digitales Ich, welches ich einfach und überall einsetzen kann. Für Unternehmen / Organisationen ist die ein sicheres Hilfsmittel im Bereich Identity- & Access Management (IAM). Die ist eine digitale Identität Ich erkenne jederzeit, wer auf die Daten zugreifen will ist ein sicheres Authentisierungsmittel Sie schützt meine Daten und die meiner Kunden vor fremdem Zugriff ist ein digitaler Kugelschreiber (elektronische Unterschrift) Mit ihr kann ich jederzeit und überall Dokumente elektronisch unterschreiben hilft Single-Login umzusetzen Sie ersetzt den grossen Schlüsselbund durch einen Passepartout übernimmt Identity Management (inkl. Organisationseintrag) Sie hilft, Prozesse strukturiert und transparent zu organisieren Seite 3

4 Agenda Konzept Preis Einsatz- und Integrationsmöglichkeiten Wie weiter? Seite 4

5 Konzept Wozu die? Bedürfnisse Anwender Einfach und sicher Benutzerfreundlich Passepartout Vertraulich mit meinen Daten Bedürfnisse Unternehmen Fokussierung auf Kernprozesse Gesetzeskonform Optimale Zugriffssicherheit Einfache Integration Auslagerung: - Identitätsmanagement - Authentifizierung Gesetzliche Anforderungen OR Art. 14 Abs 2bis Obligationenrecht ZertES Bundesgesetz über die elektronische Signatur ElDI-V Verordnung der EFD über elektronische Daten und Informationen Seite 5

6 Konzept Einordnung ins IAM (Identity & Access Management) In der IAM-Landschaft kann die in den folgenden Bereichen unterstützen: Mit der unterstützen wir Sie bei Ihren Herausforderungen rund ums IAM Identität Authentisierung Autorisierung Ressourcen Durch den -Einsatz wissen Sie in elektronischen Prozessen jederzeit, wer Ihr Gegenüber ist auf Stufe ZertES. Dank der können Sie die Attribute (Eigenschaften) einer Person eindeutig verifizieren. Mit der haben Sie eine 2- Faktor-Authentifikation. Seite 6

7 Konzept Was ist die? Die ist der standardisierte elektronische Identitätsnachweis der Schweiz, mit dem sowohl eine rechtsgültige elektronische Signatur als auch eine sichere Authentifizierung möglich ist. OR Das Obligationenrecht Alle Prozesse stützen sich auf die schweizerische Gesetzgebung für qualifizierte Signaturen (ZertES) und sind auditiert durch die Anerkennungsstelle KPMG. Diese Prozesse basieren auf den europäischen ETSI-Standards. Die elektronische Signatur ist in der Schweiz der handschriftlichen Unterschrift gleichgestellt (Art. 14 Abs 2bis OR). Investitionssicherheit Damit die eine nachhaltige Basisinfrastruktur ist und bleibt, nutzt sie internationale anerkannte Standards, wie SAML 2.0 (siehe STORK-Projekt). Die ist die elementare Grundlage für effiziente Anwendungen im E- Government und der E-Economy. Kontinuität ist gewährleistet. Die Entwicklung der wird durch die Trägerschaft und die Post laufend vorangetrieben. Seite 7

8 Konzept Die im EU-Raum Die ist EU-kompatibel: Technische Standards implementiert Organisatorisch EU-Kompatibel Quelle: Netzwoche Quote: Christian Weber (Seco) Seite 8

9 Konzept Was bringt mir die als Person? Die mein digitales Ich. Mit meiner kann ich zum Ausdruck bringen: Ich bin s! Elektronischer Identitätsnachweis Ich will! Qualifizierte elektronische Signatur Vorname Felix Name Müller Organisation IT Com AG Bereich Personal Zusätzlich (optional): Ich darf! Elektronischer Organisationseintrag (inkl. Details, z.b. Abteilung / Bereich) Seite 9

10 Konzept Bestellen verlängern widerrufen Alle Prozesse stützen sich auf die schweizerische Gesetzgebung für qualifizierte Signaturen (ZertES) und sind auditiert durch die Anerkennungsstelle KPMG. bestellen 1. Online-Antrag auffüllen 2. Identifikationskontrolle a. Identität bei der Post bestätigen lassen (sichere Face-to-Face Identifizierung) b. Identität bei firmeninternen Beauftragten bestätigen lassen 3. online aktivieren, nachdem sie per Post zugestellt worden ist. verlängern Nach Ablauf der gewählten Gültigkeitsdauer (1 oder 3 Jahre) kann der Inhaber seine selbstständig online verlängern. Nach 6 Jahren verlangt das Gesetzt eine erneute Face-to-Face Identifizierung. revozieren (= widerrufen) Der Inhaber kann seine selbstständig revozieren, online oder offline. Seite 10

11 Konzept Datenhaltung Die basiert auf einer zweigeteilten Datenhaltung. Damit sind optimaler Datenschutz und hohe Sicherheit gewährleistet. Zudem ermöglicht dieses Modell den Mobile Service ( Einsatz mit Tablet oder Smart Phone). Grundsatz: Einzig der -Inhaber entscheidet, wer welche Daten einsehen darf. Auf der sind gespeichert: - Vorname, Name - Nummer (zentrales Element der ) Auf der zentralen Datenbank sind die weiteren Daten abrufbar: - Geburtsdatum (Älter als 16 Jahre, Älter als 18 Jahre, ) - Geburtsort, Heimatort und Bürgerort - Geschlecht - Nationalität - Informationen zum Ausweisdokument - usw. Seite 11

12 Konzept Mobile Service -Login mit mobilen Geräten Der Mobile Service ermöglicht ein -Login ohne eingesteckte. Er ist speziell geeignet für das -Login mit mobilen Devices (Smart Phone, Tablet). Grundsätzliches Basis für den Mobile Service bildet die persönliche. Der Mobile Service wird einmalig (mit eingesteckter ) aktiv gesetzt. Laufzeit und Sperrung sind an die persönliche gebunden. Nutzung Die Nutzung des Mobile Service basiert auf dem mtan-verfahren (Versand eines SMS-Codes) Seite 12

13 Fachkonzept Eindeutige Nummer Die Nummer ist: Unique / eindeutig Die Identität des Inhabers ist über die eindeutige Nummer identifizierbar Lebenslänglich Die Nummer gehört zur Person (lebenslang) Beständig Die Nummer bleibt bei Zertifikats-/Smartcard-Austausch erhalten Ausstellerunabhängig Die Nummer kann bei Anbieterwechsel mitgenommen werden Verbindendes Element Die Nummer verbindet die Elemente der standardisiertem Authentisierungszertifikate (IAC), Qualifiziertem Zertifikat (QC) und der Daten im Identity Provider (IDP), zentraler Datenspeicher Seite 13

14 Konzept Login-Prozess So könnte ein Zugriff mit der stattfinden: (aufgeteilt in die einzelnen Vorgänge, die sich teilweise im Hintergrund abspielen) 1 User mit 7 4 Unternehmen Swiss Post als Identity Provider (IDP) User will auf Unternehmens-Applikation zugreifen Unternehmen prüft Identität durch Anfrage beim IdP IdP informiert -Inhaber über die angefragten Daten -Inhaber gibt Einverständnis zur Übermittlung der Daten IdP übermittelt die gewünschten Daten ans Unternehmen Unternehmen prüft die Zugriffsberechtigung Unternehmen gewährt Zugriff Seite 14

15 Agenda Konzept Preis Einsatz- und Integrationsmöglichkeiten Wie weiter? Seite 15

16 Preise *) Produkt 1 Jahr 3 Jahre Personal Card oder USB Reader oder CHF CHF Business mit Firmeneintrag Der Firmeneintrag bezeugt die Zugehörigkeit zu einer Firma / Organisation + CHF Online Verlängerung Personal CHF CHF Business (mit Firmeneintrag) CHF CHF Ersatzkarte Wenn Sie Ihre verlieren oder bei einer Totalsperrung können Sie auf einfache Weise eine Ersatzkarte bestellen. CHF Mobile Service Sie können ein Login mit der auch mit mobilen Geräten wie Tablet / ipad und Smart-Phone vornehmen. CHF 1.-- pro Monat *) Aktuelle Preise siehe Seite 16

17 Agenda Konzept Preis Einsatz- und Integrationsmöglichkeiten Wie weiter? Seite 17

18 Einsatzmöglichkeiten Digitale Identität - Die ist Basis für eine verlässliche Identität. - Sie macht qualifizierte Aussagen zur Person. Sicheres Login Digital unterschreiben - Die ist Basis für ein verlässliches Authentisierungsverfahren. - Sie ermöglicht ein sicheres Single Login. - Die ist das ideale Tool für elektronische Willensbekundung. - Mit ihr können Sie Dokumente jederzeit und überall elektronisch unterschreiben. Prozesse optimieren Kosten senken Aktuelle Anwendungsbeispiele: Seite 18

19 Sichere Identität IdP-Integration Kurzbeschreibung Die gewünschten Daten werden beim IdP (zentrale Datenbank) angefragt, wobei der - Inhaber seine Zustimmung explizit geben muss. Technisch kommt dabei das international anerkannte SAML 2.0 Protokoll zum Einsatz. Vorteile Zugriff auf zusätzliche, validierte Attribute (z.bsp.: Heimatort, Geburtsdatum) Funktioniert auch bei state of the art Sicherheitsarchitekturen Nachteile Applikation muss SAML 2.0 unterstützen Anwendungsbeispiele Strafregister Auszug Seite 19

20 Sicheres Login IdP-Integration Kurzbeschreibung Der IdP (zentrale Datenbank) übernimmt die Authentifikation und gibt die entsprechende Credentials an die Applikation weiter. (Ablauf siehe Folie Konzept IdP-Login) Technisch kommt dabei das international anerkannte SAML 2.0 Protokoll zum Einsatz. Vorteile Zugriff auf zusätzliche, validierte Attribute (z.bsp.: Heimatort, Geburtsdatum) Sie können von künftige Nutzungsmöglichkeiten des IdP profitieren (zum Beispiel Mobile Service ) Funktioniert auch bei state of the art Sicherheitsarchitekturen Nachteile Technische Offenlegung der Beziehung zwischen Anbieter und Anwender gegenüber dem IdP- Provider Applikation muss SAML 2.0 unterstützen Anwendungsbeispiele Seite 20

21 Sicheres Login Zertifikat-Login Kurzbeschreibung Die Authentisierung findet auf der Basis eines klassischen beidseitig zertifikatsbasierten Verfahrens statt. Vorteile Einfache Integration Keine techn. Offenlegung der Beziehung zwischen Anbieter und Anwender gegenüber dem IDP- Provider Nachteile Nur Zertifikatsdaten sind bekannt (Vorname, Name, -Nr., ) Von zukünftige Nutzungsmöglichkeiten des IdP (wie Mobile Service) kann nicht profitiert werden Zertifikatsgültigkeitsprüfung muss selber realisiert und betrieben werden Anwendungsbeispiele Seite 21

22 Digital unterschreiben Integration in Software-Lösung Kurzbeschreibung Die Webapplikation benötigt ein Stück Software, die lokal auf dem Rechner des -Inhabers läuft. Oft wird dazu eine JAVA-APP verwendet, welche mit der eigentlichen WEB -Applikation verwoben ist. Somit wird die eigentliche elektronische Signatur lokal durchführt und der WEB- Applikation sicher übergeben. Vorteile Usability für den Anwender sehr hoch, da der komplette Prozess innerhalb der Software abgewickelt werden. Der Prozess kann medienbruchfrei durchgeführt werden (Erstellung, Bearbeitung, Unterschrift, Versand, Ablage) Es können Standard-Schnittstellen (PKCS #11) verwendet werden. Nachteile Die technische Realisierung muss vom Software-Hersteller realisiert werden. Anwendungsbeispiele Seite 22

23 Digital unterschreiben mit Signatursoftware SwissSigner Kurzbeschreibung Mit der Signatursoftware SwissSigner signieren Sie einfach und intuitiv PDF Dokumente. Zusammen mit der ist die Signatur der handschriftlichen Unterschrift gleichgesetzt und rechtskonform. Mit dem SwissSigner wird die digitale Signatur so einfach wie diejenige von Hand mit dem Kugelschreiber. Vorteile Der SwissSigner 12 ist kostenlos verfügbar Keine eigene Entwicklung notwendig Nachteile Keine Integration innerhalb der Software-Lösung Seite 23

24 Agenda Konzept Preis Einsatz- und Integrationsmöglichkeiten Wie weiter? Seite 24

25 Wie weiter? Nach Ihrem Grundsatzentscheid pro empfehlen wir folgendes Vorgehen: Planning & Design Setup & Build Operation Ziel - Erstellen Fachkonzept - Proof of Concept Themen - Welche Qualität der Identität ist gefragt? - Beziehung zwischen Identität und Account? - Organisationseintrag Y/N? - Wie sieht der Prozess mit Neukunden aus? - Wie sieht die Migration bestehender Kunden aus? Entscheid - Go / No-Go für Folgephase Ziel - Praxistauglichkeit testen - Letzte Mängel vor dem Rollout beheben Vorgehen - Umsetzen der in der vorgängigen Phase beschlossenen Abläufe in einem beschränkten Umfang - Bereinigen von Ungereimtheiten - Klären letzter Fragen vor dem finalen Go Entscheid - Go / No-Go finale Umsetzung Ziel - Reibungsloser Rollout dank Mängelbehebung in den vorhergehenden Phasen Vorgehen - Umsetzung der in den Vorphasen festgelegten Vorgehensweisen - Bereinigung letzter Ungereimtheiten Seite 25

26 Wie weiter? Weitere Informationen Technische Dokumentation Technische Details Software Development Kit Test-Infrastruktur Seite 26

27 Ihre Ansprechpartner Hanspeter Roduner Key Account Manager Telefon (Zentrale) Mobile Reinhard Dietrich Leiter Consulting Telefon (Zentrale) Mobile Joseph Koenig Product Manager Telefon (Zentrale) Mobile Swiss Post Solutions AG Sägereistrasse 25 Postfach 8152 Glattbrugg Seite 27