Sikre at dokumenter som utveksles ikke utsettes for brudd på informasjonssikkerhet og personvern

erikhag1 commented 10 months ago

Users view

Title: Sikre at dokumenter som utveksles ikke utsettes for brudd på informasjonssikkerhet og personvern User role(s): Kunde Users value statement(s): Ved å vite at dokumentene jeg utveksler håndteres med høyeste grad av informasjonssikkerhet og personvern, kan jeg dele og motta informasjon uten bekymringer. Dette gir tillit til at sensitive informasjon alltid er beskyttet mot uønsket tilgang eller lekkasje

Vendors view

Description

High level features (capabilities):

Tilstrekkelig informasjonssikkerhet og personvern i formidlingsløsningene
Additional information

TBD

### Features
- [ ] https://github.com/Altinn/altinn-broker/issues/163
- [ ] Avklare muligheter, flyt og forholdet mellom formidling, dialogport og eformidling mtp. "chain of custody", sporbarhet.
- [ ] https://github.com/Altinn/altinn-broker/issues/177
- [ ] https://github.com/Altinn/altinn-broker/issues/271
- [ ] https://github.com/Altinn/altinn-broker/issues/191
- [ ] https://github.com/Altinn/altinn-broker/issues/306
- [ ] https://github.com/Altinn/altinn-broker/issues/316
- [ ] https://github.com/Altinn/altinn-broker/issues/455

### Work items

- [ ] https://github.com/Altinn/altinn-broker/issues/42

Item attributes

Note: Automatically updated properties, not intended for change by you;)

Issue type: epic Concept no: 25 Stage: Onboarding ArchiConceptID: id-24fc84110aac4b589d7ab9a7066b7347 _GithubIssueID: IkwDOIwEQMM5vYMwW

erikhag1 commented 10 months ago

Husk: Juss, teknisk, merkantilt (salgbar sikkerhet - god og kostnads)

RagnarFatland-Avanade commented 10 months ago

"Sjekk av riktig filtype" Er tanken https://en.wikipedia.org/wiki/File_verification eller kontroll av at filtypen er av ett angitt format? Jeg vil tro at vi i det lengste kan strekke oss til checksum/hash verfikasjon av filene, men det må graves litt i da man ofte må lese hele filen for å lage hash. Dette er også nevnt i #69

erikhag1 commented 10 months ago

hei! Ang. sjekk av filtype, så tenkte jeg bare på å om vi kunne gjenbrule det de har gjort på Altinn Studio/Devops; ref. Ronny Birkeli (noe som han presenterte på en intern Devops demo 16. juni).

leogasnier commented 8 months ago

Obs! @erikhag1 - Mulig vi bør få inn noe på denne om forholdet mellom innholdsagnostisk, ende-til-ende kryptert og sikkerhetsfeatures. OG burde feature for å sikre mulighet til kobling til andre lagringsmedier her, ev. også egenskaper som muliggjør å kjøre hele applikasjonen på andre plattformer?

leogasnier commented 4 months ago

@erikhag1 - ønsker litt videre arbeid på denne frem mot produksjonsklar broker: 1. Avklare hvordan formidlingstjenester kan inngå i/konsumeres via dialogporten og ev. eFormidling slik at vi kan vurdere om det er noe vi prioriterer i år. 2. Ansiktsløfting på sikkerhetsdokumentasjon og juridiske avklaringer knyttet til mulighet for å skru av sikkerhetsfunksjoner ifbm. E2EE vs. vårt kontrollansvar som databehandler.

Altinn / altinn-broker