FAQ

I denna FAQ hittar du de vanligaste frågorna om våra tjänster. Om du inte hittar ett matchande svar, vänligen kontakta oss direkt via kontaktformuläret. Skriv en term i sökrutan och rulla sedan långsamt nedåt. Alla frågor och svar som innehåller ditt sökord kommer att markeras med gult.

A | Felmönster

Vad gör felmeddelandet ”Serienummer fel. Vi rekommenderar starkt att du går igenom förunderskrivningsprocessen för att hämta det faktiska StepUp SerialNumber ” . Detta felmeddelande indikerar att lösenordet i en PWD / OTP-process återställdes och valdes på nytt utan att utföra en ny identifiering med motsvarande uppstegsprocess enligt referenshandboken.

Jag autentiserades korrekt med PWD / OTP, Mobile ID eller Mobile ID App – men signaturen fungerade inte … vad kan vara orsaken?

Orsaker är:

  • Du har ställt in ett nytt lösenord för PWD / OTP-proceduren. Detta får endast utföras i exceptionella situationer hos en intern registreringsmyndighet och måste annars alltid ske som en del av en ny identifiering.
  • Du hade tidigare autentiserat med PWD / OTP och du har nu aktiverat din MobileID med ett schweiziskt mobilnummer eller internationellt med hjälp av en Mobile ID-app. I detta fall måste en ny identifiering också äga rum eftersom autentiseringsmedlet som tillhör identiteten har förändrats.
  • Du har bytt SIM eller mobiltelefonleverantör. Som ett resultat har MobileID-autentiseringen ändrats när man använder ett MobileID. En ny identifiering är också nödvändig för detta.
  • Om ingen av dessa orsaker finns bör du öppna en biljett.

Ofta hänvisar meddelandena till den saknade integriteten, det vill säga dokumentet visar ändringar efter signering av dokumentet. Exempelvis hämtades element från nätverket och infogades senare. Detta kan undvikas genom att konsekvent använda den senaste versionen av PDF / A-standard PADES för signaturen. För att bygga upp korrekta PADES-dokument, vänligen följ denna länk här: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Det bör noteras att EU: s validerare är långt ifrån harmoniserade. Detta innebär att testportaler kan presentera en elektronisk kvalificerad signatur som "ogiltig", även om den uppfyller kraven för eIDAS-datering. Harmonisering pågår av EU.

”Signaturen är giltig men undertecknarens identitetsgiltighet kunde inte verifieras” är Adobes uttalande om inget LTV-format användes. Bakgrunden är att Adobe sedan försöker kontrollera giltigheten av ett 10-minuterscertifikat. Om inget långsiktigt valideringsformat användes, vilket lagrar giltighetsinformationen vid tidpunkten för signaturen, kan dessa inte längre nås efter en tid. Därför måste signaturer med kortvariga certifikat (men också signaturer med långvariga bevis) alltid sparas i LTV-format. Du kan hitta fler tips här: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

Detta meddelande utlöses i två fall:

a) Om du just har identifierats med Swisscom RA-appen och en ändring har ägt rum tidigare med din autentiseringsmetod (SIM-kort / kontraktsändring, Mobile ID-återställning, lösenord för signaturen har ändrats, byt från PWD / OTP till Mobile ID )

I det här fallet är allt OK, och du kan fortsätta att skriva som vanligt upp till nivå kvalificerad.

b) Om nya villkor finns tillgängliga som måste accepteras och en ändring har ägt rum med din autentiseringsmetod sedan den senaste lyckade signaturen (SIM-kort / kontraktsändring, Mobile ID-återställning, lösenord för signaturen har ändrats, byte från PWD / OTP till Mobile ID)

I det här fallet måste du identifieras igen för att kunna göra kvalificerade signaturer.

Verifieringssamtalet som kontrollerar om en person är välkänd för RA-tjänsten returnerar följande felkod:

{

“StatusCode”: 404,

"Meddelande": "Det går inte att kontrollera behörighet för okänd användare med msisdn XXXXXXXXX",

“ExceptionClass”: “EvidenceVerificationException”

}

Detta innebär att personen är okänd för RA-tjänsten. Det kan vara så att denna person förmodligen identifierats men inte accepterat SMS med användarvillkoren. Efter en kort stund (ca 2 veckor) kommer personens data att raderas.

På denna Signaturkontroll-sida kan du när som helst kontrollera om du kan signera elektroniskt eller om du behöver en ny registrering:

https://check-signature.scapp.swisscom.com/

Om resultatet är positivt visas du med vilken signaturtyp (QES, FES) och inom vilket rättsområde (EU, Schweiz) du kan signera elektroniskt.

Vid negativt resultat visas orsaken till ny registrering och identifiering av den elektroniska signaturen.

Översatt med www.DeepL.com/Translator (gratisversion)

B | Identifiering i allmänhet

I Schweiz utökar Swisscom kontinuerligt möjligheterna att möjliggöra identifiering i Swisscom-butikerna. Vi kommer att rapportera om detta på den här huvudsidan. Utomlands är identifiering endast möjlig via partners som erbjuder detta. På medellång sikt letar Swisscom efter en koppling till befintliga identiteter (t.ex. identitetsverifiering online av en bank eller en statlig eID, som tyska Personalausweis eller SwissID).

Under identifieringen ifrågasätts autentiseringsmedlen (t.ex. specifikt mobilnumret). Med detta körs redan en första signatur (stegvis autentisering), typiskt signaturen för användarvillkoren som har accepterats. Denna signatur överförs till All-in Signing Service. Detta innebär att All-in Signing System vet exakt vilka metoder för autentisering.

En RA-byrå är associerad med ett lagringsområde (en så kallad "hyresgäst") där endast de personer som identifierats av RA-mästaren eller andra RA-agenter från dess byrå hanteras. RA-Master Agent har tillgång till den här hyresgästen och kan utse någon identifierad person från denna hyresgäst till RA-agent.

Om en person identifierades med en annan metod från Smart Registration Service (t.ex. videoidentifiering i EU) kan RA-Master Agent inte utse den personen till RA-agent på grund av att han är associerad till en annan hyresgäst (SRS-hyresgästen). RA Master Agent måste omidentifiera honom med RA-appen.

Det enda undantaget är den allra första RA-Master-agenten: Han identifieras ändå av en person från Swisscom, Swisscom Partner eller t.ex. en videoidentifiering och hamnar därmed som standard i ”fel” hyresgäst. När byrån skapas söks den namngivna RA-mästaren och flyttas till rätt nya klient av RA-byrån. Ytterligare uppskjutningar är dock inte möjliga.

Detta är ett testsvar

C | RA-App

Detta händer indirekt. I praktiken är proceduren följande: RA-byrån utser först en RA-mästare. Denna agent identifieras av Swisscom eller en Swisscom-partner och genomgår utbildning. Han får sedan ett användargränssnitt med vilket han kan göra andra personer som identifierats av honom ensamma till RA-agenter eller RA-masteragenter. De måste dock också genomgå en automatiserad begärd e-Learning-utbildning.

I princip måste Swisscom behålla uppgifterna under mycket lång tid (11 år i Schweiz eller 35 år i EU). Men personer kan inaktiveras av RA-mästaren eller av Swisscom så att de inte längre kan underteckna.

I genomsnitt slutförs en identifiering inom två minuter.

Håll upp kameran så att hela ID-dokumentet fångas upp av utskärningen (fortfarande suddig vid behov). Flytta kameran långsamt närmare märket så börjar den fokusera igen.

RA-byråer agerar på uppdrag av Swisscom-registreringskontoret. Förutom skyldigheterna med noggrant genomförande av registerets verksamhet är dataskydd också en prioritet. Dataskyddsprinciperna från art. 28 DSGVO gäller, vilket återspeglas i exakt form i de tekniskt-organisatoriska åtgärderna (TOM) i RA Agency-avtalet. De är baserade på två delar av art. 28, som återspeglar användningen av appen på den mobila enheten:

  • Åtgärden måste ”säkerställa förmågan att säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos systemen och tjänsterna i samband med behandlingen på lång sikt” och
  • Inkludera ett förfarande för regelbunden granskning, utvärdering och utvärdering av effektiviteten hos tekniska och organisatoriska åtgärder för att säkerställa säkerheten vid behandlingen.
  • Den registeransvarige och databehandlaren ska vidta åtgärder för att säkerställa att fysiska personer under deras myndighet som har tillgång till personuppgifter endast behandlar dem på instruktioner från den registeransvarige, såvida de inte är skyldiga att göra det enligt unionslagstiftningen eller nationell lagstiftning.

Detta innebär att förutom användningen av noggrant utvalda och utbildade anställda, måste skyddet av appen på den mobila enheten och även skyddet för åtkomst garanteras. Är enheterna tillräckligt skyddade mot virus? Kommer det att vara förbjudet att ladda ner program från andra appbutiker som inte erbjuder tillräckligt skydd? Håller anställda sina pinkoder och lösenord hemliga? Är enheter inte rotade?

RA-agentens viktigaste uppgift är den strikta granskningen av de identifieringsdokument som överlämnats till honom och i synnerhet den strikta verifieringen av fältinformationen som OCR läst upp från ID-kortet / passet samt korrekt registrering av mobilnumret.

Baserat på dataskyddslagar erbjuder vi inga RA -byråavtal med RA -byråer utanför de nämnda jurisdiktionerna. RA -agenter som arbetar i andra jurisdiktioner än EES/EU/CH ska inte identifiera personer som är bosatta i EES/EU/CH.

Det behövs inga speciella instruktioner, eftersom processen är exakt densamma som för en "live" identifiering med RA App. Demoläget beskrivs i grundutbildningen för RA-agenter.

Du kan komma åt demoläget för RA App genom att logga in med följande information:

  • Mobilnummer: +41001234567
  • Företagsnamn: demo

Korrekt. Om en person inte har ett maskinläsbart ID eller pass kan de inte identifieras med RA-appen för elektronisk signatur och kan därför inte använda signing service.

Nej. Det är förbjudet att skanna kopior av ID-handlingar eller pass med RA App. Anledningen är att säkerhetsfunktionerna inte kan kontrolleras på en kopia.

Nej, detta är inte tillåtet. RA App har certifierats för identifiering ansikte mot ansikte och får därför endast användas vid personlig kontakt.

Eftersom Mobile ID är en personlig autentiseringsmetod måste användaren aktivera den själv. Användaren ska alltid aktivera Mobile ID innan identifiering med RA App eller Smart Registration Service så att användaren kan använda Mobile ID som en autentiseringsmetod för signatur. Användaren bör följa instruktionerna på www.mobileid.ch menyalternativet "MY MOBILE ID". Användare kan också hitta en detaljerad FAQ på webbplatsen Mobile ID

D | Godkännande av användningsvillkor och initiering av autentiseringsmetod

Meddela din RA-Master-agent och be honom att söka i portalen efter mobilnumret. Du kan skicka SMS igen med användarvillkoren genom att klicka på länken med PDF-symbolen:

Se till att du inte har registrerat personen i RA-App Demo Mode (mobilnummer +41001234567, företagets “demo”).

Kontrollera sidan med tjänstestatus ( https://trustservices.swisscom.com/service-status/ ) för att se om det finns några fel. Om inget SMS anländer efter ett nytt försök, vänligen meddela supporten.

Om du redan är registrerad (med RA-appen eller Smart Registration Service) måste du följa följande:

  • Om du har bekräftat användarvillkoren med PWD / OTP under identifieringen har du definierat den här metoden som en testdeklarationsmetod. Om du nu aktiverar appen Mobile ID som en metod kan du inte längre signera förrän du nyligen har identifierats.
  • Om du redan använder Mobile ID på SIM-kortet och vill använda Mobile ID-appen bör du använda återställningskoden när du aktiverar eller autentiserar med Mobile ID SIM vid aktivering och inte aktiveras som en ”ny Mobile ID”. Annars kommer den här appen också att betraktas som en ny metod för viljedeklaration och du måste identifieras om.
  • Detsamma händer tvärtom om du vill byta från en installerad Mobile ID-app till Mobile ID SIM-kortet.

Typiskt felmeddelande i ett sådant fall är ett felmeddelande med ”seriell felanpassning”.

Smart Registration Services försöker fem gånger alla tre dagarna att skicka ut SMS igen. Endast om alla försök misslyckas efter 15 dagar är en omidentifiering nödvändig.

Såvitt du inte redan accepterat användarvillkoren finns det alltid möjlighet att neka användarvillkoren. Om du accepterade användarvillkoren och även använde vår tjänst måste vi registrera din användningslogg och registreringsdata för en lagringsperiod på 35 år i EU och 11 år i Schweiz. Men du kan enkelt sluta utfärda elektroniska signaturer.

Med lösenords-/SMS-kodmetoden finns det tyvärr ingen möjlighet till återställning; en användare måste i alla fall omidentifieras efter att han har ändrat sitt lösenord.

E | Avsiktsförklaring, signatur och autentisering

I Schweiz byter vi Mobile ID till PWD / OTP reservläge som standard om SIM-kortet inte är aktiverat för Mobile ID. I eIDAS-rummet fungerar som standard med appen Mobile ID ( https://play.google.com/store/apps/details?id=com.swisscom.mobileid , https://apps.apple.com/de/app/ mobile-id / id1500393675 ), men vi kan också aktivera PWD / OTP.

Appen Mobile ID är baserad på gränssnittet Mobile ID, som också erbjuder autentisering med fingeravtryck eller ansiktsigenkänning. Den här appen kräver endast en internetanslutning under autentisering och kan därför användas internationellt. Emellertid krävs fortfarande ett internationellt SIM-kort (mobilnummer) för installationen av appen. Se https://mobileid.ch .

Generellt sett är andra autentiseringsmetoder också möjliga, men dessa måste godkännas av KPMG. Detta kräver undertecknande av ett ombordstödsavtal som reglerar implementeringskonceptet och genomförandet av revisionen. Nya metoder måste godkännas separat för ZertES och eIDAS.

Tyvärr inte. Du har ett nytt autentiseringsmedel som inte ursprungligen registrerades med identifieringen. Dvs. du måste vara nyligen identifierad med MobileID.

Ingen garanti men det borde fungera nästan överallt – man kan ha en närmare översikt:

https://www.swisscom.ch/en/residential/plans-rates/inone-mobile/roaming.html

(Gå till "Tarriffkontroll", välj en godtycklig abonnemangsmodell och land)

Med MobileID-appen som autentiseringsmedel är du oberoende av sms-utskicket.

Tjänsten tillhandahålls i princip för invånare i EU/EES och Schweiz med mobilnummer från dessa länder. Mottagning på mobilnummer från andra länder kanske inte fungerar eller kan förhindras av olika länder. Inom ramen för ett projekt kan Swisscom beordras att säkerställa mottagning i dessa länder via särskilda SMS-leverantörer.

 

En tvåfaktorsautentisering är nödvändig för den kvalificerade signaturen: ”innehav” och ”kunskap”, dvs bara innehavet (SMS) räcker inte.

Nej, OTP räcker för avancerade signaturer.

Förlusten av lösenordet leder till en ny digital identitet. Applikationsleverantörerna kan reagera på detta och vid behov kräva en ny identifiering av undertecknaren, t.ex. med RA-appen.

Eftersom båda metoderna kräver en hemlighet såväl som innehavet av telefonnumret kan ingen signatur för den tidigare existerande digitala identiteten utlösas när telefonnumret har överförts. Detta innebär att personen måste identifieras nyligen.

Eftersom ett fast linjenummer praktiskt taget inte kan tilldelas en person är det inte möjligt. SMS är avsett att säkerställa att något kontaktas som enbart och utan undantag tilldelas den som undertecknar dokumentet.

Moderna enheter är utrustade med WIFIcalling. Dessa kan också användas för att logga in i en WIFI-zon. Utan Internet är det dock inte möjligt med fjärrsignaturer.

I fallet med ett MobileID kan du använda en återställningskod för att överföra MobileID till det nya SIM-kortet ( https://www.mobileid.ch/en/login ). När det gäller PWD / OTP och samma telefonnummer kvarstår också ditt autentiseringsalternativ.

MobileID konfigureras alltid i kombination med en PWD / OTP reservlösning, dvs. ett lösenordsfönster skickas automatiskt. Du kan aktivera ditt MobileID på plattformen https://mobileid.ch . Om MobileID-appen används och aktiveras används MobileID-appen.

I standardfallet, efter identifiering, får kunden först användarvillkoren för Swisscoms signaturtjänst. Kunden bekräftar detta och utlöser därmed en första signatur av dessa villkor, i vars sammanhang han också kan definiera lösenordet för första gången. Så kallad ”step-up authentication”.

Som standard erbjuder Swisscom för närvarande endast dessa metoder. Utbyggnaden kommer dock att utarbetas i framtiden så att biometriska metoder också kan vara möjliga om godkännande har beviljats. Dessutom kommer Swisscom valfritt att följa med kunden om de vill använda en granskad lösning för att tillåta ytterligare signatur hos erkännandemyndigheten. Ytterligare kostnader kommer att uppkomma.

Grunden för 2-faktorautentisering är det faktum att båda faktorerna måste registreras i samband med autentisering, dvs inget lösenord kan väljas som bara känner till abonnentapplikationen, men abonnenten själv har identifierats med RA-App. Ett sådant undantag kunde bara föreställas om deltagaren själv utför en auktoriserad identifikation av RA-delegationen och dessutom utformar autentiseringsförfarandet på ett sådant sätt att båda faktorerna (inloggning, SMS-släpp) utförs under en kort session. Både det egna identifieringsförfarandet och detta sessionsprocedur måste beskrivas i detalj i ett implementeringskoncept och kräver att Swisscom och dess revisorer släpps. Ytterligare kostnader uppkommer här.

Om du har identifierats och tidigare har använt PWD / OTP:

  • Om du vill använda Mobile ID-appen måste du identifiera dig igen
  • Om du vill använda Mobile ID (Schweiziskt mobilnummer) måste du identifiera dig igen

Om du har identifierats och tidigare har använt Mobile ID:

  • Om du nu vill använda appen Mobile ID (detta är endast möjligt på ett SIM-kort som inte stöder Mobile ID) och använder återställningskoden för Mobile ID kan du fortsätta att skriva
  • Om du aktiverar appen UTAN återställningskod måste du identifieras om
  • Om du vill använda PWD / OTP måste du identifieras om

Om du har identifierats och använt appen Mobile ID hittills:

  • Om du nu vill använda Mobile ID på SIM-kortet (detta är endast möjligt på ett schweiziskt SIM-kort) och använda återställningskoden för Mobile ID-appen kan du fortsätta att skriva
  • Om du aktiverar Mobile ID på SIM-kortet UTAN återställningskod måste du identifieras igen
  • Om du vill använda PWD / OTP måste du identifiera dig igen

Detta innebär att Mobile ID och Mobile ID App är koordinerade autentiseringsmetoder, PWD / OTP är en helt annan autentiseringsmetod. Fjärrsignaturen kräver alltid att autentiseringsmedlet ska inkluderas under registrering (dvs. under identifiering). Därför kommer det i vissa fall att krävas ny identifiering.

Som RA -agent bör du informera Swisscom via supportsidan om mobiltelefonen inte var ordentligt skyddad mot skadlig attack (som lösenord med 8 tecken etc.) eller om du fortfarande var inloggad i RA App eftersom allvarliga dataskyddsproblem kan uppstå . Vid signaturer bör du avbryta ditt SIM -kort, så småningom ändra dina åtkomstdata och sluta placera signaturer tills du får ditt nya SIM -kort.

Swisscom kan inte garantera mottagandet av SMS: n tillräckligt. Den enda faktorn Swisscom ansvarar för är att skicka ut SMS så snabbt som möjligt. Varken mottagningsförhållandena för den mobila signalen eller prestanda för den interna eller externa roamingpartnern kan kontrolleras och är baserat på internationella telekomavtal och standarder

Användningen av avsändarens namn som “Swisscom” eller liknande skulle vara användbart för mottagaren. Men vi upplevde verkligen att sådana SMS mycket ofta behandlas som spam -SMS av våra roamingpartners.

F | Certifikatens giltighet

Ja, efter fem år måste personer som identifierats för avancerade signaturer också identifieras nyligen. För avancerade signaturer är det dock tillräckligt om identitetskortet var giltigt vid identifieringstillfället. Om detta löper ut inom 5 år är ingen ny identifiering nödvändig. För kvalificerade signaturer, å andra sidan, är en identifikation giltig så länge som ID-kortet var giltigt eller i högst 5 år efter denna identifiering. I speciella fall, t.ex. när bankidentifiering används, kan giltigheten på en identifiering också begränsas till en kortare period än 5 år om det krävs i lagstiftningen.

G | Möjliga applikationer

Ja, det här är abonnentapplikationens enda uppgift, som sedan upprepade gånger skickar hash med signaturförfrågan till All-in Signing Service. Valfritt antal signaturer kan genereras för samma digitala dokument.

Ja, men detta kräver två kommunikationskanaler och inställningar, dvs. signaturen måste först autentiseras av personen som signerar via en kanal (på begäran) och sedan organisatoriskt signerad (med tidigare skapat statiskt certifikat) av ett SSL-autentiseringscertifikat via en andra kanal.

Ja, flera dokument kan undertecknas med ett godkännande inom en session. Högst ca. 250 signaturer.

XML-signaturer enligt XADES-standarden kan göras baserat på tätningar men inte på personliga signaturer (för tillfället). I klienten måste du förbereda XADES-standarden: anropet från en "vanlig signatur" måste genomföras.

För underskrifter inom det schweiziska juridiska området: www.validator.ch (Observera att valideraren inte alltid är uppdaterad). För underskrifter inom EU: s rättsliga område: https://www.signatur.rtr.at/de/vd/Pruefung.html

Det bör noteras att EU: s validerare är långt ifrån harmoniserade. Detta innebär att testportaler kan presentera en elektronisk kvalificerad signatur som "ogiltig", även om den uppfyller kraven för eIDAS-datering. Harmonisering pågår av EU.

Endast QES-signaturer kan valideras. Det finns inga validerare för AES-signaturer.

Två användarkonton (ClaimedIdentity) måste öppnas, varje konto är relaterat till respektive signaturtyp, dvs. deltagarens ansökan måste bestämma över vilket konto det skickar en signaturförfrågan. Båda kontona kan adresseras via ett gränssnitt, dvs samma slutpunkt. Det finns en serviceavgift per konto. Två fakturor utfärdas i slutet av månaden. Därför måste två serviceavtal med två olika konfigurations- och godkännandedeklarationer lämnas in. Om du har 2 juridiska områden och 2 faktureringstyper har du fortfarande bara ett gränssnitt (tekniskt), men 4 servicepunkter för åtkomstgränssnitt och då fyra gånger en serviceavgift. Det fördubblas igen till åtta anspråk-ID, om båda signaturnivåer (QES / AES) planeras med både faktureringstyper och båda jurisdiktioner.

I princip lagrar en tidsstämpel också zonen (offset). I detta avseende visar alla lokala program aktuell lokal tid.

I princip tillhandahåller Swisscom en signerad hash och stöder därmed PADES (PDF) -format och, i fallet med organisationscertifikat, XADES (XML) -format. Word-filer är inte signerade och är inte avsedda för detta ändamål enligt lag.

Nej

Nej, det finns bara en vanlig tidsstämpel.

H | Gränssnittsintegration och installation

I princip ja. Vid användning av efternamnet och förnamnet måste det vara exakt detsamma som det finns i ID eller pass. Men om det är svårt att implementera kan mallfunktionen stödja ( https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Distinguished-Name:-Use-of-Evidence-Attributes ). Denna funktion gör det möjligt att ta över exakt för- och efternamn som användes under identifiering i kombination med RA-Service (SRS).

Swisscom kan också konfigurera tjänsten så att endast en pseudonym används istället för efternamnet och förnamnet. Dessutom kan "Common Name" (CN) användas med de namn som vanligtvis används för denna person (oberoende av ID-dokumentet). RA-Service-verifieringssamtalet verifierar i det här fallet mobilnumret som användes under identifieringen och landet. Användningen av pseudonymen i verifiera samtalet är oberoende av användningen av pseudonymen i samtalsbegäran.

Ja, det finns flera bibliotek tillgängliga på marknaden som möjliggör en snabb implementering av en signaturapplikation. Alla har även specialstöd för Swisscom Service:

Intarsys är en premiumpartner till Swisscom och kan AIS-tjänsten mycket väl ur teknisk synvinkel och kan ge konsultstöd.

Swisscom frånsäger sig allt ansvar för felfri drift av dessa bibliotek. Dessa kan innehålla fel och kräver speciell kunskap och expertis. Användning sker på abonnentens egen risk.

Se https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4

Det finns ett test- och demo-läge som låter dig testa appen, men ingen data överförs. För detta ändamål måste mobiltelefonnummer +41001234567 anges i registreringsformuläret och företagsnamnet ”demo”.

Nej. Swisscom kräver till och med att när PWD / OTP-skärmen är integrerad som en “iFrame”, kan en extern person kontrollera att den härrör från Swisscom. Till exempel kan standardwebbläsarfunktionerna användas som Swisscom publicerar under sin webbplatslänk i enlighet med kapitel 4 i användarvillkoren. För integrering av iFrame, se https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Det finns inget stöd för skärmskrotning som gränssnitt. Developers kan konfronteras med det faktum att skärmarna kommer att ändras. Det är också motstridigt med implementeringen av ”ensam kontroll” mellan undertecknaren och signeringsintyget.

Ja, men bara som iFrame hittar du instruktioner här: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide

Nej, se https://github.com/SCS-CBU-CED-IAM/AIS/wiki/SAS-iFrame-Embedding-Guide.

Ja, som beskrivs i referenshandboken ( www.swisscom.com/signing-service ) under "Step-Up-metod" i "Meddelande" -fältet, textblocket med rubriken till meddelandet för uttryck för avsikt och språk inställning med ”Språk” kan konfigureras inom ramen för protokollet. För SMS-inmatningsfönstret kan språket också ställas in med parametern “Språk”.

Förutsättningen för installation är en ”deklaration om konfiguration och acceptans” undertecknad av kunden och verifierad av den globala registreringsmyndigheten. Denna deklaration innehåller skyldigheterna för operatören av en signaturapplikation (t.ex. möjligheten att visa hela dokumentet som ska undertecknas, säkerställa åtkomst till tjänsten), men också tjänstens egenskaper.

En annan förutsättning är ett åtkomstcertifikat som säkrar kommunikationen av signaturapplikationen till signaturtjänsten.

Efter att ha kontrollerat dokumentet får vår inställningstjänst order att aktivera tjänsten med åtkomstcertifikatet skickat och den valda specifikationen i konfigurations- och godkännandedeklarationen. Vid kvalificerade signaturer aktiveras tjänsten initialt endast för “avancerade” signaturer. Därefter frågas den kontakt som nämns i konfigurations- och godkännandedeklarationen om en exempel signatur med den avancerade signaturen. Om detta är felfritt byts tjänsten till "kvalificerad" nivå om så krävs. Kunden kommer också att underrättas om detta. Han har nu tio dagar på sig att rapportera eventuella oegentligheter direkt till installationsteamet. Om de inte får några klagomål under denna tid accepteras anslutningen till tjänsten. Ytterligare incidenter kan sedan rapporteras till Swisscom via support på första nivån i händelse av en direkt kontakt med Swisscom eller till återförsäljarpartnern.

Åtkomstcertifikatet kan vara ett självsignerat certifikat. Till exempel med openssl-programvara.

Krav för det framstående namnet:

  • CN = <URL till abonnentsystemet som utför kommunikationen med AIS eller annan unik identifiering av abonnentsystemet>
  • O = <Organisationens namn>
  • E-post = <E-post för aviseringsändamål, t.ex. i händelse av att giltigheten upphör>
  • C = <Organisationsland>

Följande ytterligare krav ska beaktas vid utarbetandet av intyget:

  • Max löptid 3 år
  • Hash-algoritm minimum SHA-256
  • Nyckellängd minst 2048 bitar

Särskilda villkor gäller fortfarande för åtkomstcertifikat inom ramen för reglerad (ZertES) eller kvalificerad (eIDAS) skapande av åtkomst: Den privata nyckeln till åtkomstcertifikatet måste skapas på en kryptografisk modul vid en gemensam ceremoni av en Swisscom-registreringsmyndighet. Denna modul måste uppfylla kraven i FIPS 140-2 nivå 2 eller liknande, t.ex. Yubikey, Feitan-nyckel eller Microsoft Key Vault. Alternativt kan ett koncept lämnas in om hur tilldelningen av åtkomstcertifikatet till den person som ansvarar för organisationen kan uppnås på andra sätt.

I fallet med en försegling, förutom konfigurations- och godkännandedeklarationen från operatören av signaturplattformen, kräver det också en certifikatansökan för förseglingscertifikatet, ett organisationscertifikat. Till skillnad från intyget för den personliga signaturen utfärdas förseglingsintyget i tre år. Certifikatansökan måste undertecknas av behöriga personer i organisationen. Auktoriseringen kan härröra från registret (t.ex. upphandling) eller kan också vara en särskild fullmakt som har utfärdats till exempel för operatörerna i datacentret. Swisscom behöver bevis på denna fullmakt. Dessa personer identifieras också personligen i förväg av en representant för Swisscoms registreringskontor med RA-App. Detta kan till exempel vara en RA-agent för en återförsäljare som har utfört personlig identifiering. Detta gör det möjligt för personen att underteckna ansökan med en elektronisk signatur. Ansökan skickas till Swisscom osignerad och Swisscom inbjuder personerna att underteckna elektroniskt. Nästa steg skiljer sig nu beroende på typ av tätning:

Avancerad signatur: Sökanden skickar Swisscom ett SSL-certifikat som han vill använda som ett åtkomstcertifikat för gränssnittet till förseglingen.

Kvalificerad / reglerad signatur: Sökanden godkänner ett datum med Swisscom för gemensam skapande av en privat nyckel. Detta måste skapas på en kryptografisk enhet baserad på FIPS 140-2 nivå 2-kvalifikation eller liknande (t.ex. Yubikey, Feitan Key, Key Vault HSM Microsoft, etc.) Ett åtkomstcertifikat skapas sedan baserat på denna nyckel. Dvs för signaturprocessen måste åtkomsten frigöras med hjälp av detta certifikat. Alternativt kan ett koncept lämnas in om hur tilldelningen av åtkomstcertifikatet till den person som ansvarar för organisationen kan uppnås på andra sätt.

Inbäddning av signerade haschar bör vara uppgiften för PDF-specialister eller motsvarande bibliotek. Utrymmet för signaturen måste räknas om i förväg. Ta en titt på https://github.com/SCS-CBU-CED-IAM/AIS/wiki/Swisscom-CA-4 .

Följande lösning kan ge en lösning. Vi presenterar detta här utan garanti, eftersom Swisscom bara fokuserar på tjänsten och inte på signaturansökan:

  • Skapa en PDF med ett tomt och förfylld signaturfält
  • Byteområdet bör fyllas med nollor upp till den förväntade storleken
  • Beräkna dokumentets hash
  • Signera hashen med All-in Signing Service
  • Fyll den signerade hash i det tomma signaturfältet
  • Iterera till det tomma signaturfältet
  • Bestäm byteområdet för det tomma signaturfältet
  • Beräkna offset för byteområdet
  • Öppna dokumentet med det tomma signaturfältet i läs-skrivläge och hitta den förskjutning där hashen sattes in

Det är också mycket viktigt att följa riktlinjerna för PADES-standarden och Long Term Validation: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation

I de returnerade parametrarna för Verifiera samtalet returneras den så kallade "serien". Om detta börjar med “SAS” (dvs. SASxxxxxxx) kommer kunden att använda PWD / OTP-autentisering. Om detta börjar med “MID” (dvs. MIDxxxxxx) använder kunden proceduren Mobile ID. Det är dock inte möjligt att skilja mellan Mobile ID App och Mobile ID SIM-kort.

Resultaten kan ändå användas, t.ex. för att tillhandahålla specialhjälpstexter (t.ex. om lösenordet glömts etc.) till kunden, eller för att hänvisa till viljedeklarationen på mobiltelefonen.

VerifierCall låter dig kontrollera om en undertecknare redan är registrerad eller inte. Om du väljer pseudonym behöver du bara undertecknarens mobilnummer och land. https://documents.swisscom.com/product/filestore/lib/4cce2074-46e3-4e43-a1b4-ccf5d5cb7ca5/VerifyID4Signing-de.pdf

PKCS#1 stöds endast för CADES -format och tätningar men inte för personliga signaturer.

Nej, bara PADES/CADES för tätningar och PADES för personliga signaturer.

Det stöder Swisscom att hitta ett namn för ClaimedID (åtkomst till signing service).

Ja, kryssa i lämplig kryssruta.

I | Prestanda

Just nu håller vi på att utöka vår kapacitet med andra algoritmer (förgenerering av nycklar) och HW-expansion. Eftersom flera kunder använder tjänsten antar vi en maximal belastning på en begäran per sekund i genomsnitt per kund. Högre prestanda, dvs speciellt reserverad kapacitet är valfritt möjlig.

Det är begränsat till 250 på grund av säkerhetsskäl snarare än på tjänstens kapacitet.

Tänk på att vi installerade en WAF för att skydda vår tjänst igen denial-of-service attacker. Kontakta oss i förväg om du vill genomföra några massprov.

Signaturen måste undertecknas med en viljedeklaration (auktorisation) av Mobile ID (SIM / App) eller PWD / OTP. Efter att ha skickat begäran har användaren vanligtvis 80 sekunder på sig att ange auktoriseringen. Värdet är inte justerbart.

J | Fakturering

Varje signatur beräknas individuellt, dvs i detta exempel beräknas 5 signaturer.

Nej, de erbjuds via två olika anspråk-ID och faktureras oberoende.

Swisscom tar inte ut några kostnader för att skicka Mobile ID eller SMS. Beroende på roamingpartnerns tariff kan kostnader uppstå för roaming (vilket händer mycket sällan, t.ex. på kryssningar).

Här måste två användarkonton (ClaimedIdentity) öppnas, varje konto är kopplat till en faktureringsmetod. Detta innebär att abonnentansökan själv måste bestämma vilket konto den ska använda för att skicka en signaturbegäran. Det finns en serviceavgift per konto. Två fakturor utfärdas i slutet av månaden.

Det finns inga kostnader för dessa månader.

K | Dataskydd

Ja, det görs en åtskillnad mellan huruvida undertecknarna har godkänt användarvillkoren för Schweiz eller EU eller båda. All data behandlas också av Swisscom (Schweiz) AG för Swisscom IT Services Finance SE i Wien.

Distinguished Name innehåller antingen personens förnamn, efternamn och födelseland / registrering eller hemland eller en pseudonym med ett serienummer som unikt kan spåras till en person av registret. Organisationsnamn är endast tillåtna i speciella fall

Schweiz är inte i EU och har därför inte infört EU-lagstiftning, den så kallade General Data Protection Regulation (GDPR). I verkligheten är GDPR också tillämplig om företagen är baserade i Schweiz och erbjuder tjänster inom EU.

Swisscom är därför föremål för samma datahanteringsskyldigheter som alla andra organisationer som måste följa GDPR:

  • få samtycke från den person vars uppgifter behandlas
  • Garanti för "integritet efter design" och "integritet som standard"
  • utse en dataskyddsombud
  • skapa en lista över bearbetningsaktiviteter
  • rapportera brott mot dataskyddet till tillsynsmyndigheten
  • göra en konsekvensbedömning av sekretess

Alla applikationer som rör dataskydd och används för databehandling, t.ex. även RA-appen måste vara GDPR-kompatibel. Swisscom ger information om detta på sina sidor:

Schweiz: www.swisscom.com/signing-service

Österrike: www.swisscom.at

med motsvarande dataskyddsdeklarationer enligt GDPR.

Schweiz har alltid varit och betraktas som ett säkert tredjeland enligt art. 45 GDPR (dataöverföring baserad på ett adekvat beslut), dvs de vanliga auktorisationerna som med andra tredjeländer (t.ex. USA) är inte nödvändiga. Tack vare sin dataskyddslag och den pågående anpassningen till GDPR har Schweiz en "adekvat skyddsnivå för överföring av personuppgifter" i enlighet med EU-kriterier, dvs. det måste faktiskt behandlas som ett EU-land vid överföring av uppgifter:

https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en

Dataskyddskraven som ska demonstreras och granskas gäller också registreringsmyndighetens aktiviteter – en uppgift som en leverantör av betrodstjänster och leverantörer av certifieringstjänster. Således måste RA-appen som en del av registreringsprocessen säkerställa dataskydd och integritet. RA-appen i sig lagrar inga personuppgifter permanent. Ingen data kan exporteras heller. Så snart identifieringen har slutförts överförs uppgifterna signerade av RA-agenten som så kallat bevis. Dessa bevis lagras på Swisscoms RA-tjänst under strikta säkerhetsvillkor (t.ex. 4-ögons åtkomst). Endast ett fåtal personer har tillgång till dessa uppgifter och får endast vidarebefordra dem baserat på ett domstolsbeslut eller får kontrollera kvaliteten på identifieringen. Enligt lagen har Swisscom obegränsat ansvar för korrekt utförande av signaturen och därmed också identifieringen.

RA Master Agents har webbåtkomst till en portal där de kan se alla personer som identifierats av RA Agents med deras efternamn, förnamn, utgångsdatum för ID-dokument och mobilnummer. ID-dokument och foton (så kallade "bevis") är inte tillgängliga eller exporterbara.

Swisscom är juridiskt skyldigt att registrera personuppgifter för signaturen. Det ansvarar därför för dessa uppgifter. Detta innebär att Swisscom inte kan spela rollen som databehandlare, även om de t.ex. får information om anställda från ett kundföretag för signaturen. Swisscom har ett lagligt mandat som telekom- eller posttjänstleverantörer. Dessutom har Swisscom ett juridiskt avtalsförhållande med undertecknarna med användarvillkoren. I detta avtal accepterar undertecknaren också användningen av data.

Med RA-appen överför Swisscom inspelningen av identitetsuppgifter till en extern tjänsteleverantör, vilket i kontrakten kallas ”RA-byrån”. GDPR kräver i detta fall ett orderhanteringsavtal. RA-byrån måste därför uppfylla skyldigheterna för databehandling av order.

I rent schweiziska projekt krävs också överensstämmelse med databehandlingsförordningen för GDPR. Det finns två skäl till detta:

  • Å ena sidan kan det sällan garanteras att personer som identifierats i Schweiz inte är EU-medborgare som omfattas av GDPR: s marknadsprincip.
  • Å andra sidan kan RA-appen inte användas på ett sådant sätt att endast personer för Schweiz identifieras, dvs att databehandling av order alltid sker för Swisscom IT Services Finance SE också i Wien.

Det finns projekt där Swisscom förlitar sig på lagligt erkända och granskade identifieringsförfaranden med tredje part. Ett typiskt exempel är en bank som utför en närvaroidentifiering av en person som en del av sin KYC-process. I det här fallet får Swisscom en kopia av bankens data för sina egna affärsändamål (signatur). Beställningsuppgifter är inte nödvändiga här, eftersom det finns två parter som ansvarar för uppgifterna. Omvänt tillämpas inte heller den gemensamma kontrollprincipen för GDPR här, eftersom uppmärksamheten hos uppgifter inte tjänar samma affärsändamål och båda parter inte agerar ansvarsfullt i betydelsen av ett gemensamt affärssyfte. Banken agerar för sitt affärsändamål, t.ex. att öppna ett konto, och Swisscom eftersträvar sitt affärsmässiga syfte att utfärda underskrifter. I det här fallet innehåller dock våra avtal om ”delegering av registeraktivitet” också ett minimum av bestämmelser om hur man ska gå vidare när det gäller dataskydd och GDPR.

Vid fjärrsignatur behåller och hanterar Swisscom nycklarna till signaturcertifikaten i förtroende. Vid en personlig signatur genereras signaturcertifikaten endast för signaturen och förlorar sin giltighet efter ca. 10 minuter. Företagscertifikat för tätningar är giltiga i upp till 3 år. Enligt lagen måste den privata nyckeln lagras på en (kvalificerad) skapande enhet för signatur. Minnet för detta är en enhet som huvudsakligen är utformad för nyckellagring, HSM (Hardware Security Module). Det är föremål för strikta regler, granskning, när det gäller säkerhetsstandarder och tillgång till den här enheten. Underskrifter i EU och Schweiz är föremål för särskilt höga säkerhetsstandarder, som endast är tillgängliga från några få HSM-tillverkare världen över.

L | Juridiska och reglerande ämnen

Adobe är en amerikansk amerikansk leverantör av programvara som kan visa PDF-dokument. Den mest framträdande och utbredda produkten är den så kallade “Adobe Acrobat Reader”. Detta möjliggör verifiering av certifikatbaserade signaturer. Huruvida en signatur är giltig och därmed visas med en grön bock beror på många aspekter:

  • Adobe har sin egen uppsättning regler som klassificerar utfärdande certifikatutfärdare från leverantörer av certifiering eller certifieringstjänster som "pålitliga". Dessa listas i en så kallad Adobe Trust List (AATL). Även om det inte ingår i tjänstebeskrivningen strävar Swisscom alltid efter att listas här. Dessutom måste de börsnoterade företagen betala årliga avgifter för denna post och arkivera i sin egenbedömning. Enligt Adobe anses eIDAS-tjänsteleverantörer vara pålitliga om de också har ingått ett avtal med Adobe.
  • Adobe erbjuder en mängd olika inställningar som kan leda till en helt annan validering: Till exempel, istället för Adobes förtroendelista kan Microsoft Windows förtroendelista också användas, som vanligtvis bara upprätthåller betaltjänstleverantörer som också utfärdar SSL- eller e-postcertifikat . Kontrollen kan dock också baseras på en tid som ges av datorklockan och inte på tidsstämpeln i dokumentet.

Det betyder att du inte kan lita på giltigheten av en signatur i Adobe, men du får information om huruvida ändringar har gjorts i dokumentet sedan signaturen ställdes in och hur signaturcertifikatet ser ut.

Båda ska vara IT-personer som är bekanta med applikationen. Det behöver inte vara en person med den officiella rollen "Sekretesspolicy". Swisscom vill helt enkelt behålla 4-ögonprincipen här. Rollerna är: Att kunna ge information om administrationen av användarapplikationen (vem som har åtkomst, vad kan en administratör manipulera, var kan det finnas ett problem, SSL-anslutning till Swisscom) och om ämnen som virusskydd, åtkomstkontroll i allmänhet etc. hos den person som ansvarar för säkerheten.

Å ena sidan kan ett internt företag bli en Swisscom-återförsäljarpartner för andra företag om det finns en enorm volym planerad. I det här fallet går betalningsflödet direkt endast genom detta enskilda företag. Ett företag kan också ta ett fullständigt ansvar för driften av abonnentapplikationen. Även då kommer fakturor bara att gå igenom detta företag. Det kan sedan identifiera anställda i de andra företagen.

Om alla företag vill driva abonnentapplikationen självständigt (med eget ansvar och ansvar) och också vill tillhandahålla RA-agenter själva krävs ett separat avtal för varje företag.

Varje år investerar Swisscom stora summor i pågående revisioner. För att kunna placera erbjudandet från en betaltjänstleverantör på marknaden till ett rimligt pris erbjuds denna tjänst dock i standardiserad form. Det betyder särskilt:

  • Kunden måste följa standardbeställningsprocessen med de standardkontraktsdokument som släpps av revisorerna.
  • Ytterligare bedömningar från deltagare och granskning och godkännande av egna kontraktstexter ingår inte i erbjudandet.

Många aspekter av betaltjänstleverantören är inte bara föremål för villkoren för utförandet av tjänsten utan också i specificeringen av viktiga skyldigheter, ansvarsregler och samarbetstjänster i avtalshandlingarna. Därför är dessa kontraktshandlingar också föremål för granskning eller överlämnas också till de statliga organen för bedömning av överensstämmelse. Därför kan inga ändringar av det rättsliga systemet accepteras, inte heller kan avtalsenliga bifogningar av deltagaren accepteras, särskilt om de är föremål för utländsk, tillämplig lag.

Om det ändå är nödvändigt att anpassa avtalstexter, lägga till avtalsbestämmelser (t.ex. din egen uppförandekod, dataskyddsdeklaration, NDA, etc.), bearbeta särskilda bedömningsfrågeformulär eller om du till och med har upptäckt fel eller otydliga formuleringar, vänligen rapportera dessa till vår produkthantering.

Om några fel eller tvetydigheter är uppenbara initieras en motsvarande förändringsprocess av produkthantering och implementeras så snabbt som möjligt.

För utvärdering av andra frågor bildas ett bearbetningsteam som använder relevanta experter (t.ex. juridisk avdelning, säkerhetsansvarig, efterlevnadsansvarig etc.) och gör en utvärdering av begäran. En projektspecifik avgift på 6000 CHF betalas för detta. Om expertteamet inte kunde utarbeta en lösning direkt, kommer det att förbereda ett svar och ett erbjudande som presenterar och utvärderar ytterligare steg från Swisscom.

Nej, endast för driften av signaturansökan krävs ingen certifiering och ingen granskning. Inom ramen för en “konfigurations- och godkännandedeklaration” gör kunden en självdeklaration för att driva signaturapplikationen ordentligt, dvs att inte byta hash för ett dokument och faktiskt visa det dokument som ska signeras till kunden (WYSIWYS = ”Vad du ser är vad du signerar”). Datatrafik mellan signaturapplikationen och Swisscom bör krypteras och grundläggande skydd mot virus och attacker bör garanteras som med alla andra system. En officiell granskning med certifiering kan bara vara nödvändig om systemet har sin egen identifiering, särskilt i förhållande till sin egen autentiseringsmetod. I Schweiz kan identifiering med Swisscom-autentiseringsmetoder hanteras på ett förenklat sätt med hjälp av ett lämpligt ”implementeringskoncept” som kunden lämnat in och godkänts av Swisscom; inom EU är en allmän revision vanligtvis nödvändig. Som regel måste en autentiseringsmetod alltid certifieras, eftersom detta bör säkerställa "ensam kontroll" till signeringscertifikatet (kallat "ensam kontroll" i ETSI-sammanhanget).

I princip måste företaget utse representanter. Dessa företrädare bör antingen vara de registrerade företrädarna enligt handels- eller företagsregistret eller anställda med lämpliga fullmakter undertecknade av de registrerade företrädarna. I vilket fall som helst måste personerna identifieras personligen med vår RA-app. I Schweiz är det bara företag som är registrerade i UID-registret som kan beställa sälar. Med förseglingen fungerar SSL-åtkomstcertifikatet mellan kundens signaturapplikation och Swisscom som autentisering av företaget. Åtkomstintyget måste därför överlämnas av organisationens representant. Med den avancerade tätningen räcker enkel leverans; med det kvalificerade sigillet äger rum en gemensam överlämningsceremoni där åtkomstcertifikatet genereras gemensamt. Den privata nyckeln måste lagras på en kryptodel (FIPS 140-2 nivå 2 minimum).

I princip har Swisscom obegränsat ansvar enligt lagen för felaktig utfärdande av kvalificerade certifikat. När det gäller avancerade certifikat kan detta ansvar begränsas. Swisscom är också obligatoriskt försäkrat för detta ändamål. I händelse av fel i signaturapplikationen (t.ex. utbyte av en hash av ett dokument) eller fel i identifiering av tredjepartsregister kommer Swisscom i sin tur att hålla dessa tredje parter ansvariga. För att undvika riskerna med ansvar ställs höga krav på emitterings- och kontraktsprocessen och det krävs i allmänhet en möjlighet att granska de inblandade tredje parter.

Schweizisk lagstiftning, det vill säga den schweiziska federala lagen om elektroniska signaturer (ZertES/SCSE), ger de krav som organisationer måste uppfylla för att bli erkända som en certifieringstjänst. Det ackrediterade ackrediteringsorganet för ackreditering av Swisscom som en certifieringstjänst i Schweiz är KPMG (ackrediteringsnr SCESm 0071). Den utfärdar ett certifikat för bedömning av överensstämmelse (tillgängligt på www.swisscom.com/signing-service). Swiss Accreditation Service SAS har en lista över ackrediterade certifieringstjänster: Länk

Med ikraftträdandet av förordningen om elektronisk identifiering och Trust Services för elektroniska transaktioner inom Europeiska unionens inre marknad (eIDAS) har grunden skapats för lagligt giltig elektronisk kommunikation och säker elektronisk identifiering i hela Europa. Med hjälp av trust services såsom elektroniska signaturer, förseglingar, tidsstämplar, leveranstjänster och certifikat för autentisering kan företag, förvaltningar och privatpersoner utbyta digitala dokument som erbjudanden, order, kontrakt etc. inom EU på en enhetlig rättslig grund . Således ersätter den nya EU-förordningen den nationella lagstiftningen om underskrifter och underskrifter.

Enligt denna förordning (EG) nr 910/2014 / EU (eIDAS-förordningen) har nationella betrodda listor en konstituerande effekt. Med andra ord, en betaltjänstleverantör och trust services den tillhandahåller kommer endast att vara kvalificerade om de visas i de betrodda listorna. Följaktligen kommer användarna (medborgare, företag eller offentliga förvaltningar) att dra nytta av den rättsliga effekten som är associerad med en viss kvalificerad förtroendestjänst endast om den senare listas (som kvalificerad) i de betrodda listorna.

Swisscoms dotterbolag i Österrike ”Swisscom IT Services Finance SE”, Wien har inkluderats i listan över förtroende med kvalificerade certifikat och förseglingar:

https://webgate.ec.europa.eu/tl-browser/#/tl/AT

Swisscom IT Services Finance SE har gett Swisscom (Schweiz) Ltd i uppdrag att driva tillitstjänsten och har också delegerat registermyndighetsverksamheten till Swisscom (Schweiz) Ltd. Swisscom (Schweiz) Ltd. erbjuder därmed tjänsten till marknaden och accepterar även avtalshandlingar på uppdrag av Swisscom IT Services Finance SE.

Swisscom Trust Services är en renodlad plattformstjänst som tillhandahåller de lagstadgade signaturtjänsterna som en fjärrsignatur till ett stort antal kunder i Europa på ett mycket standardiserat och reglerat sätt med hjälp av standardarbetsflöden för bearbetning. Standardkontraktet för detta ändamål har lämnats till tillsynsmyndigheterna och/eller granskats i enlighet med detta. Swisscom Trust Services tillhandahåller därför inga projektspecifika tjänster inom ramen för signaturen eller registreringen eller utgifter för kontraktsförfaranden som avviker från det vanliga kontraktuella arbetsflödet, med undantag för separat beställda konsulttjänster i förväg.
Vi kan därför erbjuda alla kunder och samarbetspartners samma förmånliga priser enligt service och prislista. Vi uppskattar din förståelse.

Detta gäller även i detta avseende och i synnerhet (men inte uteslutande):

  • Ingående av alla ytterligare avtal och kontrakt, t.ex. uppförandekod, avtal för införande i leverantörskatalogen, upphandlingspolicyer, anti-korruptionsdirektiv, projekt- eller kundspecifika GTC, dataskyddsdeklarationer, dataskyddsbehandling etc., eftersom dessa skulle också kunna undergräva de standardiserade, reglerade avtalen.
  • Ändringar av avtalen, i synnerhet även gällande lag, avvikande försäkringsönskemål.
  • Avvikelser från avtalsprocesserna, t.ex. användning av ytterligare plattformar för leverantörsregistrering/kontraktssignering.
  • Särskilda avtal om inspektion av arkitektur eller avslöjande av implementeringsdetaljer (t.ex. säkerhetskopieringsprocedurer, programmering och säkerhetsdetaljer såsom åtkomstskydd, åtkomster, kryptografiska procedurer, katastrofåterställning, etc.). Swisscom publicerar all information om utförande av tjänster i sin CP/CPS (https://trustservices.swisscom.com/repository ) och grunddokumentet för CP/CPS. Av säkerhetsskäl lämnas inte ytterligare detaljer till någon kund, så att kunskap inte kan byggas upp för att utforma riktade attacker vid behov.
  • Förfrågningar om kopplingar till intern övervakning publicerar Swisscom fel i sin tjänst via hemsidan https://trustservices.swisscom.com/status-service , som även kan prenumereras på inom ramen för RSS-protokollet. Av säkerhetsskäl är inga ytterligare ingrepp i systemet i övervakningssyfte tillåtet.

Certifieringen och trust services måste beskriva deras praxis och procedurer för hur de utför en tjänst i ett så kallat "CP/CPS"-dokument (Certificate Policy/Certificate Practice Statement). Tjänsterna granskas inte bara i början av verksamheten, utan regelbundet av statligt erkända revisorer och statens erkännandeorgan (Schweiz) eller tillsynsorgan (EU) beslutar på grundval av revisionerna om godkännande, fortsatt drift resp. utbyggnad av certifieringstjänsterna och trust services och därmed säkerställa den höga kvalitetsstandarden på marknaden för alla undertecknare. Utöver de allmänna lagkraven måste många standarder från de europeiska standardiseringsorganen ETSI och CEN följas.
Staten publicerar efterlevnaden av normerna och revisionsstandarderna och därmed även godkännandet som en erkänd certifierings- eller förtroendetjänst på sina webbplatser:

I både EU: s och Schweiz rättssystem gäller omvänd bevisbördan (och i Tyskland även prima facie-bevis jämfört med visuella bevis) i princip för kvalificerade underskrifter. Detta innebär att en motpart måste bevisa att den kvalificerade signaturen inte utfördes ordentligt om den ifrågasätts. Och naturligtvis kan Swisscom tillhandahålla KPMG-certifierade verifieringar för att bevisa att den kvalificerade signaturen har utförts på rätt sätt.

Lagringsperioderna för identitetsverifiering och aktivitetsjournalen och därmed också bevisperioderna är 11 år i Schweiz och 35 år i EU. Swisscom använder i allmänhet ETSI (LTV) för långsiktig validering.

Långvarig validering innebär att en signatur valideras på ett sådant sätt att den förblir giltig under lång tid. LTV-valideringen tillåter endast validering så länge rootcertifikatet för tidsstämpeln inte har gått ut. Det är därför tillrådligt att tidsstämpla dokumenten igen före utgången om långvariga bevis ska bevaras, så att signaturbevisens integritet och meningsfullhet fortsätter att säkerställas.

I princip bör PDF-dokument också hanteras i säkra arkiv. En situation kan uppstå om 5, 10 eller 20 år då signaturalgoritmerna "knäcks", dvs. integriteten eller äktheten kunde inte längre garanteras. Bra arkiveringssystem ger därför regelbunden avgång, t.ex. med en tidsstämpel, som alltid använder den senaste algoritmen och därmed säkerställer dokumentets integritet.

Webben erbjuder olika länkar med optimerade procedurer för detta, t.ex. ”Archisig”. Tyska BSI har också publicerat en teknisk riktlinje ”Bevarande av bevisvärdet av kryptografiskt signerade dokument”. Det är specifikationen av tekniska säkerhetskrav för långvarig bevarande av bevisvärdet för kryptografiskt signerade elektroniska dokument och data tillsammans med tillhörande elektroniska administrativa data (metadata).

En mellanvara definierad för dessa ändamål (TR-ESOR mellanvara) i den mening som avses i denna riktlinje omfattar alla de moduler och gränssnitt som används för att säkra och upprätthålla äktheten och för att bevisa integriteten hos de lagrade dokumenten och data.

Erfarenheten har visat att övergångsperioder kan vara från 3 månader till 2 år.

Nej.

Efter uppsägning av avtalet kommer befintliga giltiga certifikat att återkallas.

Det sätt på vilket ett sådant ”avstängningsscenario” ska göras regleras i lag: CP / CPS för certifieringstjänsten eller betrodstjänsten beskriver exakta procedurer. Det måste finnas en avstängningsplan och den anmälda tillsynsmyndigheten eller OFCOM kommer vanligtvis att utse en efterträdare som kan erbjuda tjänsten till kunderna. Denna efterträdare får normalt också certifikatåterkallningslistan och därmed listan över certifikatens giltighet, förutsatt att Swisscom inte själv publicerar dem. Listan kommer att fortsätta att fungera i flera år, så att signaturernas giltighet kan fortsätta att verifieras. Beviset för registreringarna för tjänsten måste sparas enligt lagringsperioderna även efter upphörande över 11 eller till och med 35 år, Swisscom eller en utsedd efterträdare måste upprätta ett arkivsystem för detta, så att denna information också kan användas i juridiska förhandlingar. . Identifieringarna som tillhandahålls kan inte längre användas med en möjlig efterträdare, dvs nya registreringar är nödvändiga i detta fall.

Elektroniska signaturer kan presenteras som bevis i tvister. Som regel, med undantag av den kvalificerade signaturen, är de föremål för gratis bedömning av bevis. Eftersom ”enkla” och ”avancerade” elektroniska signaturer knappast eller bara grovt definieras i lag är det domstolens ansvar att acceptera en sådan signatur eller inte. Den part som vill presentera dessa underskrifter som giltiga måste tillhandahålla relevanta bevis. När det gäller Swisscom är det till hjälp att de avancerade signaturerna också är föremål för en mycket strikt revision enligt ETSI-standarden för "NCP +" -underskrifter och därmed kan sådana revisionsrapporter användas. I fallet med en kvalificerad underskrift ska omvända bevis gälla. Eftersom den kvalificerade signaturen exakt bestäms av lagen och till exempel både Schweiz och Österrike erbjuder validerare för giltigheten av sådana signaturer på nätet, anses dessa signaturer vara giltiga tills en part visar annat och därmed också bevisar att tillsynsmyndigheten eller OFCOM såväl som revisorerna inte har uppfyllt sina skyldigheter. Efter 11 år i Schweiz eller 35 år i Österrike kan bevis också orsaka svårigheter inom det kvalificerade området, eftersom dokumenten för registrering måste förstöras. Ändå är signaturen fortfarande synlig som "kvalificerad".

I samband med ett bevis efter många år bör det också noteras att elektroniskt arkiverade dokument bör tidsstämplas upprepade gånger från tid till annan. Det kan hända att algoritmer inte längre är lika robusta. En tidsstämpel förseglar dokumentet med de senaste algoritmerna och skyddar dokumentets integritet, inklusive signaturer.

Kvalificerade eIDAS-signaturer betraktas endast som "kvalificerade" i EU (och EES) -området och ZertES / SigE-signaturer anses också vara kvalificerade endast i schweizisk jurisdiktion. Detta innebär att när en tredje stat väljer lagen kan dessa signaturer inte längre uppnå sin "kvalificerade" effekt eller, om nödvändigt, bli. inte ens känd igen.

Schweiz (QES), ZertES:

CP / CPS föreskriver att identifieringen och den lagrade dokumentationen kan användas i högst 5 år, kortare om giltighetstiden för det presenterade ID-kortet / passet slutar före femårsperioden eller om identifieringsförfarandet från revisorn tillåter inte fem år.

Lagringsperioden i enlighet med artikel 11.1 i förordningen om SigE / ZertES (aktivitetsjournal) gäller: "De erkända leverantörerna ska behålla registreringarna som rör deras verksamhet och de underlag som rör dem i elva år." Swisscom förstår också denna period som en lagringsperiod för de handlingar som lämnas in i ID-processen, särskilt en kopia av ID.

1 års reserv tillsattes som en "säkerhetsbuffert" för att undvika att Swisscom RA-byråer kunde beräkna de 11 åren annorlunda, vilket skulle innebära att Swisscom inte längre skulle ha dokumentation i specifika fall, särskilt vid tillämpningen av artikel 17 i SigE / ZertES (obegränsat ansvar).

  • Som en sammanfattning är arkiveringstiden 17 år, vilket också anges i användarvillkoren.

Europa, (QES), eIDAS:

Detta är samma motivering och härledning som i fallet med QES i Schweiz endast med skillnaden att den lagliga lagringstiden i Österrike är 30 år. Artikel 10.1 i SVG (Signature and Trust Services Act) har följande lydelse:

Åtkomsträttigheter och lagringsperiod

10. (1) På begäran av domstolar eller andra myndigheter ska en kvalificerad TSP ge tillgång till dokumentationen i enlighet med artikel 24.2 lit. h eIDAS-VO och dess certifikatdatabas.

(2) […].

(3) Dokumentationen tillhandahålls av den kvalificerade TSP i 30 år, beräknat från det datum som kvalificerat certifikat infördes i slutet av giltigheten eller, i avsaknad av sådana, 30 år från det datum då relevant information om de utfärdade uppgifterna och mottagen av kvalificerad VDA under sin verksamhet uppstår.

  • Som en sammanfattning är arkiveringstiden 36 år, vilket också framgår av eIDAS användarvillkor.

Avancerade signaturer (eIDAS, ZertES)

CP / CPS föreskriver att identifieringen och den arkiverade dokumentationen kan användas i högst 5 år, kortare om giltighetstiden för det inlämnade kortet slutar före femårsperioden eller om identifieringsförfarandet inte tillåter 5 år.

Det finns inga lagliga lagringsperioder inom området AES, eftersom lagringsperioderna inte regleras av lag. ETSI-standarderna föreskriver dock en period på 7 år. Denna information härrör från ETSI-direktivet EN 319 411-01:

6.4.6 Registrerar arkiv

Följande särskilda krav gäller:

OBS: ETSI TS 101 533-1 [i.13] föreslår bestämmelser om hur man bevarar digitala dataobjekt.

a) TSP ska behålla följande i minst sju år efter att alla certifikat baserade på dessa register upphör att vara giltiga:
i) logg över alla händelser som rör livscykeln för nycklar som hanteras av CA, inklusive alla ämnesnyckelpar

genereras av CA (se avsnitt 6.4.5, punkt g));

ii) dokumentation som identifierats i avsnitt 6.3.4.

1 års reserv tillkom som en ”säkerhetsbuffert” för att undvika att Swisscom RA-byråer kunde beräkna de 11 åren på olika sätt.

  • Som en sammanfattning är arkiveringstiden 13 år, vilket också avslöjas i användarvillkoren för eIDAS.

När det gäller personliga certifikat utfärdar Swisscom endast kortvariga certifikat (så kallade "one-shot" -certifikat) som har en livslängd på 10 minuter och används endast för en signaturbegäran. Sannolikheten att certifikatet äventyrades under dessa tio minuter är praktiskt taget obefintlig. Därefter är certifikatet ogiltigt och kan inte äventyras. Tack vare den långsiktiga valideringen förblir signaturerna med detta certifikat giltiga och kan också valideras under perioder efter utgången.

Om hela CA (dvs. rotcertifikatet) för certifierings- och tillitstjänsten har äventyrats finns det en process som Swisscom beskriver i sin CP / CPS (se Nedladdningsområde – Repository).

Om en undertecknande tappar sitt autentiseringsmedium eller upptäcker att hans identitet har fastställts felaktigt måste vårt supportteam informeras omedelbart. I ett avtalsförhållande med en av våra partners, vänligen kontakta den partner som du har gett din signatur eller identifikation med. Han kommer sedan att vidta ytterligare steg för att blockera denna identifiering. Om ett tätningsintyg har äventyrats, använd kontaktuppgifterna på https://www.swisscom.ch/de/business/enterprise/angebot/security/digital_certificate_service.html#tab-revozierung .

  1. Kontrakt muntligt avslutat: Mycket svårt att bevisa (endast med vittnesmål från andra personer)
  2. Signerad med enkel signatur, t.ex. en skannad signaturbild: Samma problem. Processen för generering av denna signatur måste analyseras i domstol och på grund av svagheten i proceduren kommer vittnen från andra personer eller andra tips att spela en viktig regel för att bevisa fullmakten.
  3. AES: för att verifiera en giltig signatur måste parterna åter gå till domstol. Domstolen kommer att be en specialist undersöka Swisscoms avancerade elektroniska signatur. På grund av revisionerna som Swisscom utfört kan specialisten dra nytta av det. Ändå är AES mer svag som QES, t.ex. vad gäller sättet att identifiera/registrera personer, arkiveringstid (endast 7 år) och 1-faktor autentisering för signaturen i motsats till en 2-faktor autentisering (alltså en stulen mobil smartphone kan användas för en signatur)
  4. QES: verifieringen av en giltig signatur kan göras direkt via https://validator.ch eller https://www.signatur.rtr.at/de/vd/Pruefung.html Parterna behöver inte gå till domstol vid tvivel. Endast om någon tvivlar generellt på den granskade förtroendetjänsten och detta kommer att vara ett hårt bevis…. QES -signaturbevis och loggar kommer att lagras så länge som föreskrivs för alla kommersiella och skattedokument i företagsregistret: mer än 10 år i Schweiz och 35 år i EU.

På grund av GDPR -reglerna och det faktum att dotterbolag inte automatiskt ingår i något databehandlingsavtal måste vi teckna ett extra RA Agency -kontrakt med varje dotterbolag.

Vi rekommenderar användning av PAdES LTA -standarden (se ETSI TS 103 172) för långsiktig validering. Hitta fler tips här: https://github.com/SCS-CBU-CED-IAM/AIS/wiki/PAdES-Long-Term-Validation . PDF -filer ska överensstämma med PDF/A -standarden.

Vid fjärrsignatur hanterar Swisscom dina nycklar för signaturcertifikaten i förtroende. Med en personlig signatur genereras signaturcertifikaten endast för signaturen och förlorar sin giltighet efter ca. 10 minuter. Härmed undviker vi anmälan av en kompromiss med certifikatet av undertecknaren, dvs ett certifikat kan inte äventyras. Förfarandet har flera fördelar:

Slutanvändaren behöver inte kontakta Swisscom (t.ex. ett användarkonto för att återkalla certifikat).

Mottagarna av undertecknade dokument behöver inte hantera återkallelse listor och OCSP (online certifikat giltighetskontroll).

Säkerhetsproblem med applikationer som bara är beroende av regelbundna uppdateringar av listor för återkallelse undviks.

OCSP -frågor leder till tidsfördröjningar för mottagaren.

Dessutom ger ett korttidscertifikat alltid ett positivt svar-en OCSP-fråga kan bara någonsin ge ett negativt svar.

 

Viktigt! Signaturen som gjordes med QES är naturligtvis fortfarande giltig, oavsett certifikat.

 

Kortsiktiga certifikat utfärdas baserat på registreringar av registreringstjänsten, dvs de bygger på stark autentisering. Ett korttidscertifikat genereras endast om det finns autentisering (release) i 2FA-proceduren.

Exempel på analogi i pappersmiljön: Jag skriver kontrakt med en bläckpenna. Bläcket i pennan är tomt efter signaturen. Kontraktet är givetvis giltigt.

 

När du signerar med en QES gäller följande bevisarkivperioder:

Lagringstiderna för identifieringsbevis och aktivitetstidskrift för EU -signaturer i Österrike (där vi är ackrediterade) är 35 år och 10 år i Schweiz.

På grund av PAdES B LTA-standarden kan signaturer också valideras långt efter utgången på grundval av korttidscertifikat.

Algoritmerna för haschning (kontrollsumbildning) och kryptering av hash följer rekommendationerna från ETSI -standarden ETSI TS 119 312, som i sin tur också följer NIS -standarderna. Dessa algoritmer har vissa antaganden om perioder på 1-> 6 år där de är stabila. Men utvecklingen (t.ex. sprickbildning av algoritmer) kan också snabbt leda till förändringar här. Swisscom Trust Services, till exempel, byter nu sin rot -CA igen för att uppfylla kraven> 6 år. En ny upplaga av specifikationen väntas igen i höst.

För långsiktig validering är det därför nödvändigt att regelbundet säkerställa integritet utifrån de senaste algoritmerna, t.ex. årlig tidsstämpling av alla dokument eller användning av lämpliga arkiveringslösningar. Nyckelord ”bevarande av bevisvärde”-se DIN 31647: 2015-05.

M | appen Mobile ID och Mobile ID

Du hittar en detaljerad FAQ på webbplatsen Mobile ID för felsökning.

Ta en titt på Mobile ID FAQ , där du kan hitta svar på många frågor om Mobile ID.

N | Docusign connector

O | Smart Registration Service

Det är möjligt att välja följande språk i SRS-Video-identifieringen: tyska, engelska, kroatiska, franska och spanska. Språkparametern måste läggas till förfrågan. Se förklaringen i integrationsguiden: LÄNK

Observera även servicetiderna för franska (8:00-16:00 mån-fre) och (14:00-21:00 mån-fre) för spanska. Väntetiden kan vara upp till 6 minuter för dessa två språk.

P | RA-administratörsportal

Nej, efter att ha klickat på knappen startar processen omedelbart. Det handlar inte heller alls om huruvida RA-agenten ”vill” genomföra e-lärandet. Det är snarare en fråga om du som ansvarig Master RA Agent är av uppfattningen att vidareutbildning skulle göra RA Agenten bra då du har identifierat kunskapsluckor.

I administratörsportalen kan du bara se de användare som har identifierats av dina "egna" RA-agenter med RA App. Om du inte kan hitta en identifierad person i din RA-byrå, är denna person antingen ännu inte identifierad för den elektroniska signaturen eller har identifierats av en RA-agent från en annan RA-byrå, t.ex. i en Swisscom-butik eller via videoidentifiering.

Av dataskyddsskäl kan du endast söka användare i adminportalen med deras mobilnummer. När du söker måste du ange mobilnumret till den person som lagrades under hans*hennes identifieringsprocess.

Nej, det är inte möjligt att få en lista över alla användare av en RA-byrå från Adminportalen av dataskyddsskäl.

Som Master RA Agent kommer du bara att se de RA Agenter och Användare av den RA Agency som du för närvarande är inloggad på. Namnet på RA-byrån visas uppe till höger på adminportalen. Av juridiska skäl måste de två RA-byråerna hållas åtskilda.

Det finns ingen "Skicka om T&C"-knapp på menyfliken för "RA Agents". Knappen "Skicka om T&C"- finns endast i menyalternativet "Användare" för att påminna användaren om att acceptera användarvillkoren för signing service.
Obs: RA-tjänsten skickar automatiskt påminnelser till de identifierade personerna för godkännande av användarvillkoren, var 3:e dag, upp till max 5 SMS. En identifierad person har därför totalt 15 dagar på sig att acceptera användarvillkoren. Om de inte gör det raderas posten och personen måste identifieras igen.

I listan över "RA-agenter" finns de gröna små rutorna med en länk, t.ex.

Om du klickar på den här rutan kopieras länken till e-lärandet eller till arbetsuppgifterna till ditt urklipp och du kan skicka den till den presumtiva RA-agenten, t.ex. via e-post, chatt etc.
Däremot skickar RA-tjänsten automatiskt påminnelse-SMS för e-lärande till de potentiella RA-ombuden var tredje dag, upp till maximalt 5 SMS. Om den presumtiva RA-ombudet inte genomför e-lärandet och inte accepterat uppdraget inom 15 dagar, raderas rolltilldelningen av systemet och du som Master RA-ombud måste upprepa den.

Ja. Datumet för identifieringen (”skapat datum”) är relevant, oavsett om ett användarinlägg visas i adminportalen.

Du kan bara klicka på knappen "Registrera dig som agent" när användaren har identifierats, han*hon har accepterat användarvillkoren för signing service och det finns minst en grön stapel i hans*hennes användarpost. Användaren måste ha statusen "Confirmed & Signed".

Ja. Det är möjligt.

Nej, alla poster och även poster i Admin Portal är inte skiftlägeskänsliga.

Det är inte nödvändigt att återkalla en användares behörighet att signera elektroniskt (arkiv), eftersom registreringen är personlig och användaren kan även använda sin registrering med andra signaturportaler.
Om du fortfarande vill återkalla användarens behörighet, klicka på den lilla röda serversymbolen bredvid motsvarande användarpost; posten kommer då att arkiveras och användaren kommer inte längre att kunna signera.

Q | Administrering av RA-agens

Ja, du kan ta bort en RA-agent genom att klicka på knappen "Ta bort agent" i posten för RA-agenten i administratörsportalen.

Ja, personer utanför organisationen kan registrera sig för QES i de utvaldaSwisscom-butikerna . Som RA-ombud kan du givetvis även registrera personer utanför organisationen med RA App. Som Master RA Agent får du dock inte tilldela rollen RA Agent i din RA Agency till personer utanför organisationen.

Alternativ 1: Registrera personen igen med RA App. Sedan kommer denna person att dyka upp i administratörsportalen för din RA-byrå bland dina användare och du kan tilldela den önskade RA-agentrollen till dem.

Alternativ 2: Personen registrerar sig via videoidentifikation eller i Swisscom Shop och rapporterar det till dig. Sedan informerar du oss via kontaktformuläret [länk] att denna person ska bli RA-agent i din RA-byrå (välj alternativ: utse "osynlig" användare till RA-agent). Var noga med att ange namn och mobilnummer för denna person. Sedan tar vi över rolluppdraget och ger dig feedback.

Som Master RA-agent kan du inte själv tilldela personen till en annan RA-byrå, men vi kan tilldela användarna rollen som "Master RA Agent" i din RA-byrå. För att göra det, vänligen ge oss namn och mobilnummer för denna användare via vårt kontaktformulär [länk] (välj alternativ: utse "osynlig" användare som RA-agent). Vi tar sedan över rolluppdraget och ger dig feedback.

Standard RA-agenter: kan identifiera och registrera personer för den elektroniska signaturen med RA App.

Master RA-agenter: kan också logga in på administratörsportalen och hantera användarna, RA-agenterna och Master RA-agenterna för sin egen RA-byrå. Dessutom är Master RA-agenter den första kontaktpunkten för sina Standard RA-agenter om de har några frågor eller problem. Master RA-agenter kan kontakta oss med frågor och problem via kontaktformuläret [Länk].

Att ha två Master RA-agenter är mycket användbart. Du behöver inte nödvändigtvis utse fler Standard RA-agenter, eftersom Master RA-agenter också kan identifiera personer med RA App. Vi rekommenderar dock generellt en bra blandning av Standard och Master RA-agenter i din RA-byrå.

Ja, detta är möjligt utan problem. För att bli en Master RA Agent måste personen identifieras via RA App. Det spelar ingen roll vilken RA-byrå RA-ombudet som utför identifieringen tillhör.

Det är bara det att du inte kommer att se användarposten för denna person under dina egna användare i adminportalen efteråt. Därför kan du inte själv tilldela rollen som Master RA Agent till denna person; vi skulle behöva göra detta åt dig. En anmälan kan göras via kontaktformuläret [länk] (alternativ: utse "osynlig" användare som RA-agent).

Nej, en Master RA Agent får aldrig tilldela rollen som RA Agent i sin RA Agency till personer utanför organisationen. Om så önskas kan kunden ingå ett separat RA-agenturavtal med Swisscom.

Som Master RA Agent kan du utse externa (t.ex. tillfälligt) anställda som Standard RA Agenter om nämnda medarbetare arbetar på uppdrag av din organisation och även har ett giltigt kontrakt med ditt företag eller organisation.

Glöm inte att ta bort rollen "RA Agent" för denna externa medarbetare om han eller hon inte längre arbetar för din organisation.

Du kan agera för företaget som har ett giltigt RA-agenturkontrakt med Swisscom och vars Master RA-agent har utsett dig till RA-agent. Förutsättningen i varje enskilt fall är att de har ett löpande kontrakt med detta företag, t ex ett anställningsavtal, vikariat eller fast, ett projektuppdrag eller liknande. Om en person arbetar för två företag måste båda företagen ha ett RA-byråkontrakt och den personen måste ha en RA-agentroll i båda RA-byråerna så att de också kan identifiera personer för båda RA-byråerna.

Observera: Som RA-agent kan du identifiera personer som du vill, inklusive personer från externa företag eller individer. Det är helt enkelt inte tillåtet att ha RA-agenter utanför företaget som arbetar för en RA-byrå.

 

R | Felsökning av RA-organ och efterlevnad

Det händer ofta att en RA-agent rapporterar till Master RA-agenten på eget initiativ för att han är osäker i efterhand, t.ex. för att han har "lurat" RA App. Eller så ser du som Master RA Agent namn i dina användares data i Admin Portal som inte kan vara korrekta, t.ex. "Dtt" istället för "Ott", eller "Alexan" istället för "Alexandra". I sådana fall måste identifieringen upprepas och du bör påminna RA-agenten om hans uppgifter, eventuellt till och med utlösa en träning igen.

Tyvärr finns det ingen tillförlitlig metod för att upptäcka felaktiga registreringar, förutom den konkreta kontrollen av användarinmatningar utifrån de ID-handlingar som presenteras vid identifieringen. Vi på Swisscom eller våra revisorer utför dock endast sådana kontroller på slumpmässig basis.

Vi har några kollegor och även partners i Tyskland som utför identifiering med RA App. Naturligtvis skulle det vara lättare att använda videoidentifieringsproceduren, SRS Bank, SRS eID eller SRS Selfie Ident för att registrera personer i EU-området för QES. Tyvärr är dessa identifieringar inte tillåtna för QES i Schweiz, där det är obligatoriskt att registrera sig med RA-appen.

Du kan hitta mer information om SRS Direct

 

Prova följande:

  • Starta om din mobiltelefon: som vi alla vet är en omstart alltid bra för dig!
  • För mobilanvändare: Testa din Mobile ID på mobileid.ch/login.

I följande situationer måste du identifieras igen:
Du har:

  • Ett nytt mobilnummer
  • Ett nytt SIM-kort
  • En ny mobiltelefon
  • Bytte till eSIM
  • Aktiverade din Mobile ID (SIM) eller Mobile ID App utan att använda återställningskoden.
  • Ändrade din autentiseringsmetod, t.ex. från Mobile ID SIM till Mobile ID App eller vice versa; från lösenords-SMS-kodproceduren till Mobile ID och vice versa.
  • ändrade ditt säkra lösenord när du använde lösenords-/SMS-kodproceduren
  • Överfört ditt mobiltelefonavtal, t.ex. även bytt leverantör
  • Fick ett nytt pass eller ID-kort eftersom den gamla handlingen hade gått ut.

Efter omidentifiering måste du också omtilldelas rollen Master RA Agent, eftersom det finns en ny användarpost.

För användare i Schweiz har SIM-metoden Mobile ID prioritet framför appen Mobile ID. Vi rekommenderar att du väljer en Mobile ID-metod och inaktiverar den andra. Du kan avaktivera respektive Mobile ID metod i Mobile ID Dashboard: www.mobileid.ch/login

Du kommer inte att få något meddelande i administratörsportalen. Användare får ett meddelande via SMS 3 månader och igen 1 månad innan deras ID-kort eller pass löper ut. Och som Master RA Agent är du också en användare.

Alternativ 1: Du har inte svarat på alla kunskapsfrågor, därför är e-lärandet ännu inte avslutat. Svara gärna på alla kunskapsfrågor så att du når den gröna bägaren. Efteråt får du ytterligare ett SMS med länken till RA-agenternas arbetsuppgifter. Först efter att du har accepterat dessa uppgifter kan du logga in på RA App.

Alternativ 2: Du har

  • ändrat eller återställ ditt lösenord för proceduren för lösenord/SMS-kod
  • aktiverade MobileID (SIM eller App) efter att du identifierat dig
  • Återaktiverade MobileID eller ändrade mobil-PIN utan att använda Mobile ID återställningskoden.
  • Fick ett nytt SIM-kort, eSIM, mobilnummer eller mobiltelefon, bytte leverantör

För någon av dessa händelser kan Swisscom inte längre garantera att samma person är i besittning av telefonnumret som validerades under identifieringen av RA-agenten. Av säkerhetsskäl måste du identifiera dig på nytt och be din Master RA Agent att tilldela dig rollen som RA Agent.

Observera: RA Agent-rollen måste först tas bort och sedan omtilldelas helt i adminportalen.

En presumtiv RA-agent har 15 dagar på sig att slutföra RA-agentens grundläggande e-lärande. Om RA-agenten missar denna deadline för att slutföra den grundläggande e-lärandet, raderas rolltilldelningen från systemet och Master RA-agenten måste omtilldela rollen RA-agent.

Standard RA-agenter har ingen insikt i de användare de identifierar.

Det fungerar även utan. För användare och RA-agenter som inte vill eller inte kan använda Mobile ID, erbjuder vi lösenordet – SMS-kodmetoden som en autentiseringsmetod. Du ställer in denna procedur efter identifiering när du accepterar användarvillkoren för signing service.

Om en säkerhetsincident inträffar analyserar Swisscom exakt vad som hände. Sedan gör Swisscom en bedömning av påverkan samt risken för deras tjänster och eventuella berörda personer. Efter denna bedömning härleds åtgärder för att åtgärda säkerhetsincidenten och undvika liknande incidenter. De berörda kunderna meddelas och sensibiliseras när vissa åtgärder genomförs och gäller dem.

Exempel:

En kund har utsett personer utanför organisationen som RA-ombud i sin RA-byrå. Swisscom har fått kännedom om detta och har öppnat en säkerhetsincident, eftersom detta inte är tillåtet på grund av efterlevnadskrav. Swisscoms bedömning och utvärdering visade att detta var en säkerhetsincident (mindre incident) för tjänsten. Swisscom uppmärksammade sedan kunden på problemet och bad dem att ta bort rollen som RA-agent från all personal utanför organisationen. Dessutom har Swisscom skärpt ämnet i utbildningsdokumenten.

 

När RA-agenter väl har "insatts" i byrån kan namnet på RA-byrån inte längre justeras. Om företagsnamnet ändras måste vi skapa en ny RA-byrå och nätverket av RA-agenter måste byggas om.

S | Elektronisk signatur i allmänhet

Detta beror på vilka användarvillkor en person har accepterat efter registrering. I princip rekommenderar vi att kunder accepterar båda användarvillkoren för signing service för de juridiska områdena i Schweiz (i enlighet med ZertES Federal Act) och EU/EES (i enlighet med eIDAS-förordningen) så att de behåller alla sina alternativ öppen.

Och sedan beror det på vilken signaturapplikation av våra partners personen vill använda för sin elektroniska signatur

Vi rekommenderar att du först applicerar den handskrivna signaturen, sedan skannar dokumentet (som PDF) och slutligen applicerar den elektroniska signaturen.

Det bör dock klargöras i förväg om detta också accepteras av de inblandade parternas juridiska tjänster. Det är viktigt att behålla båda versionerna (den med den handskrivna signaturen och den elektroniska versionen) i efterhand.

"Avancerat" och "Kvalificerad" är uttryck från signaturlagarna och betecknar "kvaliteten" eller bevisvärdet för elektroniska signaturer och digitala certifikat.

Kvalificerade elektroniska signaturer är av högsta kvalitet och är likvärdiga med handskrivna signaturer enligt lagen. För identifieringen för denna nivå samt för skapandet av elektroniska signaturer och de bakomliggande digitala certifikaten finns strikta regler, detaljerade instruktioner för utformningen av signaturen och höga krav, som Swisscom uppfyller. Vi är också certifierade i detta avseende.

Avancerade elektroniska signaturer håller inte så hög kvalitet och är inte heller reglerade i lag. De är endast tillåtna som bevis i domstol, det ska sedan verifieras under exempelvis domstolsförhandlingar och rätten ska bedöma effekten av underskriften efter en noggrann analys. Det finns dock ETSI-bestämmelser (European Standards Institute) som stödjer avancerade signaturer i olika kvaliteter (LCP, NCP, NCP+) även för denna nivå. Swisscom uppfyller den högsta standarden ”NCP+” och är därför också granskad. Swisscom är också listad med detta med en grön bock i Adobe Trust List. En sådan revision kan då hjälpa som viktiga bevis vid en bevisbedömning.

Det betyder att du med den kvalificerade signaturen alltid är på den säkra sidan. Det beror därför på det specifika fallet och den tillhörande risken om man avstår från en QES. Även tidigare slöts kontrakt på handslag (eventuellt med vittnen) eller helt enkelt med e-postutbyte, där man var säker på att dessa kontrakt knappast skulle behandlas i domstol. På samma sätt måste en bedömning för eller emot en QES göras här.


Vi vill ge dig det senaste hjälpinnehållet på ditt eget språk så snart som möjligt. Denna sida har översatts automatiskt och kan innehålla grammatiska fel eller felaktigheter. Du kan besöka sidan där vi tar det ursprungliga innehållet från här för att undvika eventuella missförstånd.

Zoom