Krav til fortrolighed, integritet og sikkerhed
Krav | Beskrivelse |
---|---|
EU's databeskyttelsesfordning og dansk lovgivning omkring behandling af personoplysninger skal overholdes, i applikationer der behandler personhenførbare data. | Der henvises til
|
Borgere og virksomheder skal have adgang via NemId | Brugeradgangen skal sikres via NemId, eksempelvis via NemLog-In. |
Brugere skal så vidt muligt tilbydes single sign-on (SSO), så der ikke skal logges på flere gange når der springes mellem applikationer, også selv om applikationerne er udbudt af andre end STAR. | SSO kan tilbydes ved enten NemLog-In adgang eller via kommunens Active Directory ved ADFS (Active Directory Federation Services), således at brugere der allerede er logget på kommunens AD kan tilgå Systemet direkte uden login, men via ”Claim” udstedt af kommunens ADFS. |
Virksomhedsbrugere gives typisk adgang via Virk.dk. | |
Al kommunikation til og fra Systemet der foregår via internettet skal være krypteret. | Alle websider vises over en sikker krypteret forbindelse HTTPS. SMS og Email der ikke kan krypteres må ikke indeholde personhenførbare data. |
Løsninger skal overholde EU's databeskyttelses direktiv omkring cookies. | Hvis der anvendes Cookies i Systemet vises EU advarsel mod cookies. Der må kun anvendes sikre cookies. |
Løsninger gemmer som udgangspunkt ikke data på klienten. | Der bliver ikke gemt data på klienten ud over sikre cookies, og de data som bruger selv måtte vælge at gemme fra applikationen. |
Løsninger skal sikres mod hackerangreb og andre sikkerhedstrusler. | Koden er sikret mod XSS, SQL injektion og andre kendte svagheder. |
Autencitet og integritet skal være sikret. | Afgørelser og andre data som har relevans for sagsbehandlingen, skal tidsfæstes og må ikke kunne ændres/slettes uden at der føres en log over dette. |