Nej men man kräver ju pass eller nationellt idkort i sina nya regler för att kunna utfärda bankid.BirgitS skrev:
Då sker en form av id-växling mot något som har högsta tillitsnivå.
Sen var det här med "personligt besök" och kravbilden som jag inte orkar leta upp.
Är det inte med i det som Anders länkade till?P paralun skrev:
Så du är nöjd med Swedbanks lösning på nivå 3?P paralun skrev:
Så du har ändrat dig och du kräver inte längre en lösning på nivå 4?
Fairlane
Medlem
· Stockholms Län
· 15 934 inlägg
Fairlane
Medlem
- Stockholms Län
- 15 934 inlägg
Är det inte lite märkligt att man kan hämta ut ett nationellt ID-kort med ett körkort som du dömt ut eftersom det är så mycket förfalskningar, och vips har man ID-kort med högsta tillitsnivå?P paralun skrev:
Du har själv tjatat om högsta tillitsnivå och länkat till ett dokument som beskriver nivåerna, inte en gång, utan flera. Har du alltså inte läst det och har ingen aning om vad du krävt hela tiden?P paralun skrev:
Du upprepar detta som en papegoja och vi svarar att det är samma för alla banker. Vad är det som är svårt att förstå med det?P paralun skrev:
Och vad hjälper det med högsta tillitsnivå om du kan hämta ut det med en handling som har lägre nivå, frågan har ställts åtskilliga gånger men jag har inte sett ditt svar.
Nej man ska till nivå 4 men läser du Diggs beskrivning så är det en mycket summarisk sammanfattande skrivning som inkluderar personligt besök. Någonstans finns en standard där man beskriver personligt besok och motiven till ett personligt besök och varför det är viktigt.
Så jag funderade om inte Swedbank uppfyller nivå 4 redan? både för pass och nationellt idkort så är ju personliga besöken avklarade men det kan finnas mer som skulle kunna göra att det även måste ske för bankid nivå 4. Eftersom ämnet är uttjatat så orkar jag inte fråga Google om djupare kunskap.
Nej på den punkten ändrade jag mig när jag funderat kring Swedbanks lösning, kan mycket väl räcka för nivå 4.AndersPS skrev:
Högsta tillitsnivå ska de banne mig vara men ska då kunna ske via id-växling.
Sen återstår då att reda ut mål, syfte samt varför för ett personligt besok?
Det är som arr prata med en förstagångskund, de ska såklart ha FIPS level 4 på allt.... tills de förstår vad det innebär och att det mesta är irrelevant, helt plötsligt blir det en av de lägre nivåerna, som dessutom är mer än tillräckligt och de som ändå gick för de högre har byggt in sig i något de knappt kan hantera själva.C cpalm skrev:
Håller med. Exempel på problem med nuvarande tillitsnivå efterlyses.D djac skrev:
Det kanske är svårt för gamla att förstå att (mobilt) bankid motsvarar ett id-kort? Man brukade t.ex. inte logga in nånstans med sitt id-kort, så vitt jag minns, men all användning jag har sett med bankid börjar med en inloggning.
Att en inloggning i princip är samma sak som att legitimera sig är kanske inte självklart för alla.
Det kommer dock inte att bli tydligare bara för att man byter bankid mot en annan e-legitimation, statlig eller ej.
Så här står det på bankid.com om hur bankid kom till:P paralun skrev:
Jag tror att det här har påpekats flera gånger tidigare i tråden och det är något som alla bör ha med sig i diskussionen på det att den inte spårar ur för mycket.Bankid skrev:
OK, då tar vi det en gång til:P paralun skrev:
För de vanligt förekommande bedrägerierna där bankid är inblandat spelar tillitsnivån för e-legitimationen ingen roll.
Jo tjurskallig som man är så finns det djupare info hos Digg inkl för företag.D djac skrev:
Det mesta verkar komma från eIDAS.
Kort är det först en konsekvensanalys för olika brukare.
Sedan finns det en vägledning angående det här med personligt besök.
"Vägledning till K5.6
Ansökningsförfarandet kan komma att se olika ut beroende på tillitsnivå och om ansökan sker på distans eller vid personligt besök. Det är vanligt att ansökan sker i form av en begäran från användarens sida att skaffa en e-legitimation, snarare än ett ansökningsformulär som fylls i med sökandes uppgifter och lämnas till utfärdaren.
Bestämmelsen syftar till att utfärdande av e-legitimation ska göras på användarens initiativ. För e-legitimationer som avses att brukas i tjänsten kan ansökan ske på arbets- eller uppdragsgivarens initiativ, men det ska likväl ske en accept från sökandens sida.
Den som ansöker ska göras uppmärksam på att en e-legitimation tillhandahålls denne, på vilka villkor detta sker och vilket ansvar som kommer komma att vila på sökanden.
Syftet är att motverka situationer där användare per automatik tilldelas en e-legitimation, kanske utan att situationen står helt klar för innehavaren att så skett. En sådan situation skulle kunna vara om innehavaren upplever att denne t.ex. har ett kundkort av tämligen begränsat värde i handen, men att detta också är en legitimationshandling. Samma situation skulle kunna gälla en mobiltelefon, en koddosa, eller något annat. Det är viktigt att det även i innehavarens ögon tydliggörs om en e-legitimation kopplas på detta sätt.
Att regeln anger att det ska ske i skriftlig form är för att underlätta uppföljning. Syftet med regeln är dock uppfyllt även vid ett förfarande där användaren på begäran presenteras villkoren i skrift, och där denne (vid ett minimum) godtar villkor och bekräftar dennes uppgifter via ett acceptförfarande.
I vissa situationer, t.ex. om e-legitimationer utfärdas till personer med nedsatt förmåga att genomgå en skriftlig ansökningsprocess, kan dock ansökan i verbal form vara acceptabel om hela konversationen spelas in och bevaras. Detta kan dock behöva förenas med ytterligare krav, varför det hanteras som undantag som ska bedömas från fall till fall.
Utgivning som syftar till att ersätta till exempel en spärrad e-legitimation, eller för att tillhandahålla en ny teknisk lösning, avses inte kräva ett sådant ansökningsförfarande, utan kan genomföras på utfärdarens initiativ."
https://www.digg.se/digitala-tjanst...vensk-e-legitimation/vagledning-for-utfardare
