OCES-standarden
Offentlige Certifikater til Elektronisk Service (OCES) er en fælles offentlig standard for de certifikater, der er en af hjørnestenene i infrastrukturen til digital signatur. OCES er udarbejdet for at sikre enkel og sikker kommunikation for brugerne og for de offentlige systemer.
Med OCES-certifikatet er der skabt den nødvendige garanti for, at alle almindelige transaktioner mellem myndighed og borger kan foregå tilstrækkelig sikkert. Det vil sige, at de kommunikerende parter både kan være sikre på hinandens identitet og at deres meddelelser ikke kan ændres, uden at det efterfølgende kan konstateres. Hvis meddelelserne derudover krypteres, kan parterne være sikre på, at meddelelserne ikke kan læses af uvedkommende undervejs.
Dermed lever certifikatet op til Persondatalovens krav om beskyttelse af personoplysninger, når disse blot overføres mellem to parter i krypteret form.
Læs mere om Persondataloven på datatilsynet.dk
Hovedprincip for OCES
Offentlige myndigheder skal som udgangspunkt basere deres digitale forvaltning på anvendelsen af OCES-standarden i forbindelse med implementering af selvbetjeningsløsninger, der kræver identifikation og autenticitet.
Senest er dette blevet understreget med eDag3-initiativet, hvor der er aftalt et mål om, at alle offentlige myndigheder pr. 1. november 2010 alene skal anvende NemLog-in med NemID til borgerrettede selvbetjeningsløsninger med national udbredelse, hvor der er behov for sikker identifikation.
OCES-standarden er fastlagt i fire OCES-certifikatpolitikker, som administreres og reguleres af Digitaliseringsstyrelsen. Certifikatpolitikkerne, der har været i offentlig høring, definerer således et standardiseret og offentligt kontrolleret sikkerhedsniveau for udstedelse og anvendelse af den digitale signatur.
Primært virkefelt for OCES
Det primære anvendelsesområde for signaturer under OCES-standarden er kommunikationen mellem borgere, virksomheder og den offentlige sektor, særligt i forbindelse med implementering af selvbetjeningsløsninger.
Certifikatpolitikken
Certifikatpolitikkerne udgør en fælles offentlig standard, der regulerer udstedelsen og anvendelsen af den digitale OCES signatur. De beskriver de retningslinjer, der gælder for udstedelsen af certifikater. Certifikatpolitikkerne bestemmer blandt andet sikkerhedsniveauet for en digital signatur ved at fastsætte krav til nøgleinfrastrukturen.
Certifikaternes indhold og kravene til, hvordan certificeringscentrene skal håndtere dem, er fastlagt i en certifikatpolitik. Den indeholder blandt andet:
- Krav til certifikaternes indhold - herunder, at certifikatet som standard indeholder indehaverens navn og adresse, samt den offentlige nøgle, der skal bruges ved kryptering og digital signatur.
- Krav til udstedelse af certifikater - herunder, at modtagerens identitet som minimum skal sikres via verificering af billedlegitimation og cpr-postadresse. Det er derimod ikke nødvendigt at møde personligt frem for at få udstedt et certifikat.
- Krav til certificeringscenterets sikkerhed - herunder krav til fremstilling, beskyttelse og opbevaring af nøgler.
Se oversigt over certifikatpolitikker
Sikkerhed omkring løsningen
Certificeringscentret skal formulere et CPS (Certificate Practice Statement), hvilket er en erklæring om, hvordan centeret vil leve op til kravene i certifikatpolitikken. CPS'et danner grundlag for en ekstern revision af certificeringscenterets praksis, når det gælder drift og sikkerhed omkring certifikatet.