Turvallisuus muodostuu kokonaisuudesta

Kansalaisvarmenne

Henkilökortti on poliisin myöntämä kuvallinen todistus haltijansa henkilöllisyydestä. Siihen on integroitu kansalaisvarmenne, joka sijaitsee ISO -spesifikaation mukaisessa sirussa. Vuonna 1999 lanseerattu kansalaisvarmenne on valtiollinen varmenne, ja sen ominaisuudetsähköiseen asiointiin ovat parhaat mahdolliset.

EU:n eIDAS-asetuksen 910/2014 mukaan sähköisen tunnistamisen järjestelmät sekä sähköiset allekirjoitukset luokitellaan kolmeen varmuus- ja /tai turvallisuustasoon. Kansalaisvarmenne on korkean varmuustason tunnistusväline (Level of Assurance – LoA High) ja sillä toteutetaan hyväksytty sähköinen allekirjoitus (A qualified electronic signature – QES), jonka oikeusvaikutus on kiistämätön EU alueella(EU 910/2014, artikla 25).

Tunnistusväline

Liikenne- ja viestintävirasto Traficomin Kyberturvallisuuskeskus ylläpitää tunnistuspalvelurekisteriä Suomeen sijoittuneista vahvaa sähköistä tunnistamista tarjoavista palveluntarjoajista sekä niiden tarjoamista palveluista. Megical Oy:n hightrust.id on liitetty mainittuun rekisteriin 16.11.2023.

KPMG IT Sertifointi Oy:n auditoima hightrust.id mobiilisovellus on Suomessa ainoa mobiilissa eIDAS -asetuksen korkean (high) varmuustason vaatimuksenmukaisuuden (LoA – Level of Assurance) täyttävä sähköinen tunnistuspalvelu. Liittämällä siihen kansalaisvarmenne, on käytössä korkean varmuustason tunnistusväline. Tunnistusvälineen varmuustaso on siten yhtenevä fyysisen henkilökortin varmuustason kanssa.

Hightrust.id mobiilisovellus on digilompakko, joka tallentaa ja hallinnoi käyttäjän henkilötietoja ja varmenteita. Tavoitteena on mahdollistaa turvallinen ja käyttäjän itsensä hallitsema pääsy näihin tietoihin.

Tunnistaminen ja allekirjoitus

Hightrust.id digilompakolla, johon liitetty kansalaisvarmenne, voi tehdä mobiilissa

  1. korkeimman varmuustason vahvan sähköisen tunnistautumisen
  2. luotettavimman mahdollisen, hyväksytyn sähköisen allekirjoituksen, joka on juridisesti sitova ja kiistämätön koko Euroopan Unionin alueella.


Turvallisuus:

  • Monivaiheinen tunnistautuminen (MFA): Digilompakon käyttämiseen vaaditaan laite, joka sisältää digilompakon sekä käyttäjän salaisuuden.
  • Käyttäjän hallinta: Käyttäjä hallitsee itse, mitä tietoja jaetaan ja mihin palveluihin. Tämä antaa enemmän kontrollia tietojen käytöstä.
  • Sertifiointi ja sääntely: Koska digilompakko on osa eIDAS-asetuksen mukaista Euroopan digitaalista identiteettiä, sen tietoturva- ja yksityisyysstandardit ovat erittäin korkeita. EU asettaa tiukat vaatimukset tietojen salaukselle ja palveluntarjoajien luotettavuudelle.
  • Tietojen paikallinen tallennus: Digilompakossa tiedot voivat olla tallennettuna paikallisesti käyttäjän laitteeseen, mikä vähentää riippuvuutta keskitetystä tietokannasta ja pienentää tietovuodon riskiä.