950 Sikkerhedstiltag i DFDG på baggrund af NCC Groups sikkerhedsreview
Indholdsfortegnelse
Målgruppe for dokumentet
Navne på interessenter omfattet af projektet |
Alle interne og eksterne serviceaftagere |
Baggrund og forretningsmål
I forbindelse med STAR's løbende arbejde omkring sikkerhed, adgang til data m.v. har STAR fået foretaget eksternt sikkerhedsreview af bl.a. dele af DFDG. På baggrunde at de modtaget anbefalingerne vedr. DFDG følges der op i denne ISB og tilhørende epics i forhold til implementering af validering for, at:
- "Ensure that user metadata headers are matching with outer SOAP headers and/or the embedded user-certificate data."
Valideringen skal tage højde for, at
- der ved fx kald fra anden aktør via KSS vil være forskellige oplysninger i metadata.
- at der ved sagsbehandler login fra Jobnet (spejling) nok vil være uens oplysninger i metadata
En øget validering vil være medvirkende til at:
- forebygge utilsigtet adgang til data (GDPR).
- understøtte korrekt filtrering af data (GDPR).
- understøtte korrekt system- og revisionslogning.
Løsningens grænseflader
Da der indføres valideringer på at de korrekte metadata i headeres anvendes i kald både internt mellem STAR's egne systemer og de ekstrene kald fra serviceaftagere berøres alle serviceaftagere såfremt de i ikke har overhold den aftalte anvendelse af metadata i servicekald.
Løsningens omfang
Roadmap for sikkerhedstiltag
Nedenstående figur viser et foreløbigt Roadmap for, hvordan de ovenstående sikkerhedstiltag primært i form af yderligere valideringer på sikkerhedsheaders, kan implementeres. Dette Roadmap ligger også op til at analysere og implementere det sikkerhedstiltag, hvor funktionscertifikater, der kalder ind som organisationstypen STAR, tildeles et eller flere konkrete organisationskoder matchende de STAR systemer, som de skal agere som. Dette gør, at disse funktionscertifikater kun kan agere, som de STAR systemer (organisationskoder), de reelt har rettighed til.
Anbefalinger/kommentarer vedr. arkitektur.