Avrop av teknik
Det här avsnittet omfattar stöd vid avrop av teknik för att införa och använda Säker digital kommunikation (SDK). Under varje rubrik finns några utgångspunkter för krav som gäller Accesspunkt och Meddelandesystem. Meddelandesystemet omfattar både Meddelandetjänst och Meddelandeklient.
De regelverk som Federationsägaren, Myndigheten för digital förvaltning (Digg) har utformat omfattar en stor del av de krav som behöver ställas på Accesspunkten och Meddelandesystemet, men det finns områden som den organisation som avropar tjänster för SDK själv behöver komplettera med. Era egna behov påverkar också kravställningen.
Vid ett avrop av teknik för SDK ställer ni förslagsvis funktionskrav som innebär att leverantören ska
- tillhandahålla teknik som förtecknats av Federationsägaren (godkända Accesspunkter och/eller programvaror för Meddelandesystem som kan användas inom SDK),
- genomföra de tester som behövs för att ni ska kunna ansluta er till och använda SDK samt
- under kontraktstiden leva upp till Federationsägarens regelverk för SDK.
Det kan vara affärsmässigt att beakta såväl era nuvarande behov av informationsutbyte via SDK som sådana som kan bli aktuella i framtiden. Stäm gärna av omfattningen av avropet med er inledande behovsanalys och fundera över om ni behöver addera flera uppsättningar/meddelandeklienter/stöd för olika meddelandetyper och/eller optioner på sådana. Ni kan framtidssäkra krav genom att ange att leverantören ska uppfylla det eller de regelverk ni kräver vid varje given tidpunkt. Fundera på vem som ska stå för risker och kostnader vid eventuella kommande förändringar av regelverken, eftersom en leverantör kan ha svårigheter att överblicka dem.
Observera att både deltagarorganisationer och leverantörer bör deltaga på de träffar som anordnas gällande SDK för att hålla sig uppdaterade på utveckling och nyheter.
Det sätt som tekniken ska tillhandahållas, som en tjänst eller som en lokalt installerad programvara, får stora konsekvenser för utformningen av de krav som behöver ställas vid ett avrop, se vidare det stöd som Federationsägaren ger.
Observera att eventuella länkningar till Federationsägarens sidor behöver kontrolleras innan avropet publiceras.
Följsamhet mot Federationsägaren för SDK:s regelverk
Accesspunkt
Ramavtalsleverantören ska senast vid anbudsinlämnandet samt vid varje given tidpunkt finnas på Federationsägarens förteckning över godkända Accesspunkter.
Ramavtalsleverantören ska vid varje given tidpunkt följa de regler och rutiner som Federationsägaren definierat för accesspunktsoperatörer och accesspunktsfunktionen som agerar i SDK-federationen.
Meddelandesystem
Meddelandesystemet ska senast vid anbudsinlämnandet samt vid varje given tidpunkt finnas på Federationsägarens förteckning över programvaror för Meddelandesystem som genomfört av Federationsägaren godkända tester.
Meddelandesystemet ska vid varje given tidpunkt följa regler och rutiner enligt Federationsägarens regelverk för SDK och leverantören ska bevaka Federationsägarens information om livscykelhantering.
En utveckling av kravet skulle kunna vara att leverantören ska följa Federationsägarens rekommendation för API mellan Meddelandeklient och Meddelandetjänst. En leverantör som stödjer API:er kommer göra det mycket lättare för deltagaren att ansluta nya meddelandeklienter. Se vidare rubriken Integrationer.
Funktionella krav för meddelandesystemets användning
Det är viktigt att ställa krav som gör det möjligt att använda meddelandesystemet på ett effektivt sätt i de verksamhetsprocesser ni har valt för SDK. Det kan vara bra att ta del av Federationsägarens information till leverantörer av meddelandesystem. Fundera exempelvis över referenser, loggningar, kvittenser, gallring och arbetsflöden, se Federationsägarens Bilaga för IT-säkerhet inom SDK. Specifika lagkrav med mera som rör verksamhetsprocesserna kan också ha konsekvenser för utformningen av meddelandesystemet.
Kvittenser
Federationsägaren ställer krav på att Meddelandetjänsten ska hantera kvittenser från avsändare och mottagare av meddelanden. Kvittenserna kan ha olika status. Däremot regleras inte själva hanteringen av kvittenserna. Utgå i kravställningen från de behov som finns i verksamheten, till exempel återkoppling om det inte kommer en mottagningskvittens för ett skickat meddelande och fördröjningar i mottagningsprocessen som beror på att kopplingen mellan Accesspunkt och Meddelandetjänst inte fungerar.
Såväl avsändare som mottagare behöver utforma rutiner för hur kvittenser ska tas om hand.
Krav som följd av det strategiska teknikvalet
Teknik och funktioner för SDK kan avropas som tjänst eller som en programvara som ska installeras i era egna miljöer. Vägvalet får stora konsekvenser för krav på integrationer, servicenivåer och migrering. Det påverkar även behovet av intern kompetens. Vid köp av programvara behövs till exempel en egen administration för certifikatshantering och bevakning av förändringar i regelverket.
Integration
Det behövs integrationer, dels sättet som Accesspunkten och Meddelandesystemet kommunicerar med varandra, dels hur meddelandeklient/verksamhetssystem ansluts till Meddelandetjänsten.
Det finns standardiserade applikationsgränssnitt (API) för integration mellan Meddelandetjänst och Meddelandeklient. Meddelandesystemet ska integreras med SDK:s adressbok. Kontakta Federationsägaren (Digg) för mer information.
På Federationsägarens webbplats finns länkar till information om SDK:s arkitektur samt stödjande information som underlättar vid anslutning till SDK:
- Deltagarorganisation – Instruktioner för anslutning till SDK
- Leverantör av meddelandesystem – Instruktioner för anslutning till OPEN-TEST
- Accesspunktsoperatör – Instruktion för anslutning till SDK
Om de olika delarna upphandlas från olika leverantörer är det extra viktigt att säkerställa att tekniken för integrationer stöds av alla berörda parter. Tänk också på att klargöra ansvaret för kvittenser som ni ska få vid eventuella avvikelser, till exempel om ett meddelande inte förs över från Accesspunkten till Meddelandetjänsten eller inte kommer fram till rätt mottagare i Meddelandeklienten.
Servicenivåer, felsökning och support
Gå igenom Federationsägarens regler för tillgänglighet och överväg om ni behöver komplettera dem i avropet. Dock behöver ni beakta de begränsningar som finns i reglerna, till exempel rörande meddelandestorlek.
Fundera kring krav kopplade till felsökning och support, exempelvis att ramavtalsleverantören ska etablera kontaktvägar för driftstörningar och incidenthantering, aktivt felsöka och utreda felsituationer som uppkommer och som inte hanteras automatiskt i SDK (exempelvis genom kvittenshantering) och vara behjälplig när avropsberättigad felsöker.
Kammarkollegiets ramavtal omfattar vissa regleringar avseende servicenivåer, felsökning och support, se aktuellt ramavtal.
Kontinuitetshantering
Ramavtalsleverantören ska under ramavtalsperioden arbeta med kontinuitetshantering gällande den egna verksamheten. Kammarkollegiets ramavtal omfattar vissa regleringar avseende kontinuitetshantering, se aktuellt ramavtal. Se även exempel på krav i Ramavtalet Operatörstjänst för elektroniska meddelanden, upphandlingsdokumentet avsnitt 6.10.6.
Migrering i samband med att kontrakt upphör
Federationsägarens regelverk omfattar inte rutiner för migrering i samband med att kontraktet upphör. Kammarkollegiets ramavtal omfattar vissa regleringar avseende kontinuitetshantering, se aktuellt ramavtal.
Följande delar kan vara värda att beakta i avropet:
- Möjligheten att ladda hem information/loggar (även vid andra tidpunkter än vid kontraktets upphörande)
- Att permanent borttagning av data när kontraktet upphör (eller vid begäran om gallring) är säkerställd
- Att ramaavtalsleverantören ska vara behjälplig med avregistrering/på registrering om avropsberättigad byter Accesspunkt eller Meddelandetjänst (planeras gemensamt för att minimera fönstret då avropsberättigad inte är synlig i SMP och adressbok).
Äganderätt till information
Vid ett avrop är det viktigt att tydliggöra äganderätten av den information som hanteras i Meddelandesystemet och Accesspunkten, till exempel meddelanden, loggar och statistik. Ramavtalsleverantören bör inte ges rätt att använda informationen för andra ändamål än för upprätthållandet av tjänsten.
Kammarkollegiets ramavtal omfattar regleringar som rör avropsberättigads äganderätt till informationen, se aktuellt ramavtal.
Revision
Kammarkollegiets ramavtal ger avropsberättigade rätt att göra revisioner. Inför avrop kan det vara bra att gå igenom aktuella avsnitt i ramavtalet rörande revision och fundera på om ni behöver anpassa dem. Se avsnittet Nya arbetssätt och uppföljning för aktuella ramavtal som kan användas som stöd i er uppföljning.
Ramavtal
Meddelandesystem samt accesspunkt till infrastrukturen för SDK kan avropas från ramavtalet för
Informationsförsörjning.
Accesspunkt till infrastrukturen för SDK kan avropas från ramavtalet
Operatörstjänst för elektroniska meddelanden. För närvarande rekommenderar vi en RFI (Request for information) innan ett eventuellt avrop.
Stöd för egen utveckling av tekniska lösningar för SDK kan avropas från ramavtalet för
Systemutveckling.