Kommunkoncernens integrationsregler (API/batch)
Nedan regler gäller generellt för integrationer för molntjänster och/eller applikationer på Internet, kommunens DMZ eller bolags nät och in mot eller ut från system eller applikationer på kommunens administrativa nät. De gäller oavsett om vi upphandlar lösningar eller bygger lösningarna själva.
Specifika integrationsregler för t ex federering och IoT beskrivs separat.
Krav
Ska-krav synkron integration in till kommunen
- All synkron integration från Internet/DMZ in till vårt nät ska gå via APIer
- All API-integration från Internet/DMZ bör gå via APIer som följer OpenApi-standard (https://www.openapis.org/ Länk till annan webbplats. ) och där APIerna exponeras via vår externa API Gateway - avsteg från detta kräver synnerligen starka skäl och ger noll reduktionsvärde i upphandling
- All access till APIer ska vara krypterad (https)
- Samtliga klienter till ett API ska autentisera sig, antingen via API Key eller Oauth2 - vilken metod bestäms av säkerhetsklass på datat som hanteras (se nedan).
- Ett API ska informationssäkerhetsklassas och dess skyddsnivå (0-4) skall dokumenteras (se Instruktioner för informationssäkerhetsklassning och riskanalys Länk till annan webbplats. för bakgrund) - följande säkerhetsregler gäller:
- Skyddsnivå 0 - ingen skyddsnivå.
Medför ingen negativ påverkan eller skada på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Klientautentisering vid system-system-integrationer ska ske via API Key eller Oauth2.
Öppna APIer tillåts exponeras utan autenticering. - Skyddsnivå 1 - grundläggande skyddsnivå.
Medför måttlig negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Klientautentisering ska ske via Oauth2. - Skyddsnivå 2 - utökad skyddsnivå.
Medför betydande negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Klientautentisering ska ske via Oauth2. - Skyddsnivå 3 - hög skyddsnivå.
Medför allvarlig negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Krav på klientautentisering utreds från fall till fall. - Skyddsnivå 4 - mycket hög skyddsnivå (enligt säkerhetsskyddslagstiftning). Kan medföra skada på Sveriges säkerhet.
Krav på klientautentisering utreds från fall till fall.
- Skyddsnivå 0 - ingen skyddsnivå.
- Begränsa antalet anrop/tidsenhet per API och klient till, efter överenskommelse, rimliga nivåer för att förhindra störningar på grund av DDOS-attacker och liknande
- Validera alltid alla in-parametrar i ett API-anrop (schema-validering), för att förhindra SQL-injektion och liknande
Ska-krav synkron integration ut från kommunen
- All synkron integration från vårt nät och ut mot APIer på internet ska gå via vår Trafik-proxy.
Ska-krav asynkron integration till och från kommunen
- All asynkron integration till/från Internet/DMZ ska gå via TEIS
- Filer som överförs ska informationssäkerhetsklassas och dess skyddsnivå (0-4) skall dokumenteras (se Instruktioner för informationssäkerhetsklassning och riskanalys Länk till annan webbplats. för bakgrund) - följande säkerhetsregler gäller:
- Skyddsnivå 0 - ingen skyddsnivå.
Medför ingen negativ påverkan eller skada på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Filöverföringarna ska gå över sftp. - Skyddsnivå 1 - grundläggande skyddsnivå.
- Medför måttlig negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Filöverföringarna ska gå över sftp. - Skyddsnivå 2 - utökad skyddsnivå.
Medför betydande negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Filöverföringarna ska gå över sftp.
Filerna ska krypteras (explicit teknik och krypteringsnivå från fall till fall) - Skyddsnivå 3 - hög skyddsnivå.
- Medför allvarlig negativ påverkan på egen eller annan organisation eller dess tillgångar, eller på enskild individ.
Filöverföringarna ska gå över sftp.
Filerna ska krypteras (explicit teknik och krypteringsnivå från fall till fall) - Skyddsnivå 4 - mycket hög skyddsnivå (enligt säkerhetsskyddslagstiftning). Kan medföra skada på Sveriges säkerhet.
Ej tillåtet rent generellt.
- Skyddsnivå 0 - ingen skyddsnivå.
Avvikelsehantering
Eventuella avvikelser från ovan ska-krav kan i undantagsfall, om behovet bedöms tillräckligt kritiskt, tillåtas.
Avvikande lösningar måste dock utredas och designas så att en adekvat säkerhetsnivå uppnås och godkännas av säkerhetsansvariga.