Krav til fortrolighed, integritet og sikkerhed
Krav | Beskrivelse |
|---|---|
EU's databeskyttelsesfordning og dansk lovgivning omkring behandling af personoplysninger skal overholdes, i applikationer der behandler personhenførbare data. | Der henvises til
|
Borgere og virksomheder skal have adgang via MitId | Brugeradgangen skal sikres via MitId, eksempelvis via NemLog-In. |
Brugere skal så vidt muligt tilbydes single sign-on (SSO), så der ikke skal logges på flere gange når der springes mellem applikationer, også selv om applikationerne er udbudt af andre end STAR. | SSO kan tilbydes ved enten NemLog-In adgang eller for kommunernes vedkommende via KOMBITs FKA (Fælleskommunal Adgangsstyring) således, at brugere der allerede er kendt i kommunernes adgangskontrol systemer kan logge på fx VITAS. |
Virksomhedsbrugere gives typisk adgang via Virk.dk. | |
Al kommunikation til og fra Systemet der foregår via internettet skal være krypteret. | Alle websider vises over en sikker krypteret forbindelse HTTPS. SMS og Email, der ikke kan krypteres, må ikke indeholde personhenførbare data. |
Løsninger skal overholde EU's databeskyttelses direktiv omkring cookies. | Hvis der anvendes Cookies i Systemet vises EU advarsel mod cookies. Der må kun anvendes sikre cookies. |
Løsninger gemmer som udgangspunkt ikke data på klienten. | Der bliver ikke gemt data på klienten ud over sikre cookies, og de data som bruger selv måtte vælge at gemme fra applikationen. |
Løsninger skal sikres mod hackerangreb og andre sikkerhedstrusler. | Koden er sikret mod XSS, SQL injektion og andre kendte svagheder. |
Autencitet og integritet skal være sikret. | Afgørelser og andre data som har relevans for sagsbehandlingen, skal tidsfæstes og må ikke kunne ændres/slettes uden at der føres en log over dette. |