eIDAS-järjestelmän varmuustasot (Levels of Assurance – LoA)

EU:n eIDAS-asetuksen 910/2014 mukaan sähköisen tunnistamisen järjestelmät luokitellaan kolmeen varmuustasoon.
Termi “varmuustaso” viittaa siihen, kuinka paljon henkilön väitettyyn henkilöllisyyteen voidaan luottaa – kuinka varma palveluntarjoaja voi olla siitä, että juuri sinä olet se, joka käyttää sähköistä tunnistusvälinettä tunnistautuakseen palveluun, eikä joku muu, joka teeskentelee olevansa sinä. Toisin sanoen sillä tarkoitetaan sitä, kuinka vaikeaa olisi yrittää käyttää jonkun toisen henkilön sähköistä tunnistetta verkkopalvelun käyttämiseen.

Sähköisen tunnistamisen (eID – electronic identification) järjestelmän varmuustaso määritetään ottamalla huomioon useita tekijöitä, kuten seuraavat:

eID-järjestelmän saamiseen liittyvä prosessi, joka tunnetaan nimellä “rekisteröinti”: onko henkilön esimerkiksi esitettävä biometrinen passi saadakseen eID-tunnisteen? Vai riittääkö pelkkä paperinen henkilöllisyystodistus?
Miten eID-keinoa hallinnoidaan, miten se on suunniteltu: esimerkiksi kuinka monta todentamistekijää tarvitaan tunnistautumiseen (riittääkö salasana, vai tarvitaanko myös jotain fyysistä, jonka henkilö omistaa?).
Miten todentaminen suoritetaan: esimerkiksi mitä turvavalvontatoimenpiteitä on käytössä sähköisen tunnistusvälineen todentamiseksi?

Kolme varmuustasoa ovat seuraavat:

Matala (Low):
Rekisteröinti tapahtuu esimerkiksi rekisteröitymällä itse verkkosivulla ilman henkilöllisyyden todentamista;

Korotettu (Substantial):
Rekisteröityminen tapahtuu esimerkiksi antamalla ja tarkistamalla henkilöllisyystiedot ja todennus käyttämällä käyttäjätunnusta ja salasanaa sekä matkapuhelimeen lähetettävää kertakäyttösalasanaa;

Korkea (High):
Ilmoittautuminen tapahtuu esimerkiksi rekisteröitymällä henkilökohtaisesti toimistossa ja todentaminen käyttämällä älykorttia, kuten kansallista henkilökorttia.

https://ec.europa.eu/digital-building-blocks/sites/display/DIGITAL/eIDAS+Levels+of+Assurance