Det kommer allt fler och mer avancerade säkerhetshot på den digitala arenan. Säker start verifierar att det är samma person som använder e-tjänsten som identifierar sig med BankID. På så sätt försvåras till exempel telefonbedrägerier.
Höj säkerheten med säker start
Säker start blir tvingande
För att skydda både användare och e-tjänster blir säker start av BankID tvingande för samtliga myndigheter, företag och organisationer som använder BankID i sina e-tjänster. Uppdatera så snart som möjligt, senaste datum för att ha ändringarna i bruk är 1 maj 2024.
Tre viktiga förändringar
För att uppfylla säker start krävs en uppdatering till den senaste versionen av vårt RP-API. Det innebär att du behöver:
1. Använda autostart för BankID på samma enhet
2. Använda rörlig QR-kod för BankID på annan enhet
En rörlig QR kod ändrar utseende så att det blir svårare att använda den för bedrägerier, till skillnad från en statisk som kan fotas och skickas.
3. Ta bort personnummerstart
Det går inte längre att starta en identifiering eller underskrift genom att kunden skriver in sitt personnummer i till exempel en e-tjänst. Använd istället autostart och/eller rörlig QR-kod.
För företag som använder BankID för telefoni finns stöd i senaste versionen av vårt RP-API.
För underskrift av kortbetalningar kommer stöd senare, läs mer nedan.
Viktigt om kortbetalningar
Personnummerstart är inte möjlig från version 6 av vårt RP-API. Om ditt företag använder BankID för underskrift av kortbetalningar och har behov av att använda personnummer i det flödet, behöver du vänta med att uppdatera API:et. Stöd för detta är under utveckling.
Parametrar som ändrats i senaste versionen av API:et
- personalNumber - borttagen
- endUserUa - borttagen
- autostartTokenRequired - borttagen
- tokenStartRequired - borttagen
- issuerCn - borttagen
- cert - borttagen
- notBefore - borttagen
- notAfter - borttagen
- uhi - ny
- stepUp - ny
- mrtd - ny
- bankIdIssueDate - ny
- allowFingerprint omdöpt till pinCode med nya default-värden
- mrtdRequired omdöpt till mrtd
- personalNumber - ny
Håll dig uppdaterad
Den här sidan uppdateras löpande med information. Vi kommunicerar också via vårt Tekniska nyhetsbrev.
Frågor och svar
Här hittar du svar på de vanligaste frågorna om säker start.
Säker start innebär att du behöver uppdatera till senaste versionen av vårt RP-API. Det innebär att du behöver:
- Använda autostart för BankID på samma enhet.
- Använda rörlig QR-kod för BankID på annan enhet.
- Ta bort personnummerstart.
I senaste versionen av RP-API tas stödet för personnummerstart bort helt. Det är en viktig åtgärd som sänker risken för bedrägerier och höjer säkerheten ytterligare. Alla måste uppdatera till den nya versionen, men undantag finns för företag som behöver använda personnummer vid underskrift av kortbetalningar. De behöver avvakta eftersom stöd för detta är under utveckling. Sista datum för uppgradering (1 maj 2024) kommer inte gälla för dessa företag.
Ja. I den senaste versionen av API:et tas stödet för personnummerstart bort helt. Det är en viktig åtgärd som sänker risken för bedrägerier och höjer säkerheten ytterligare. Alla måste uppdatera till den nya versionen.
Företag som använder BankID för underskrift av kortbetalningar behöver avvakta med uppdateringen till stöd för detta finns.
Personnummer är offentliga och lätta att få tag på. Om en identifiering eller underskrift startas genom att användaren skriver in sitt personnummer i exempelvis en e-tjänst, kan flödet startas på distans vilket kan utnyttjas av bedragare. Med säker start behöver kundens BankID befinna sig på samma plats som den enhet e-tjänsten besöks på.
Det beror på om du kommer använda BankID vid telefoni och/eller kortbetalningar. Om du inte kommer använda detta handlar det bara om att ändra en URL och namn på några parametrar.
För telefoni och kortbetalningar tillkommer implementering av nya gränssnitt för dessa funktioner. Stöd för telefoni finns tillgängligt i senaste versionen av RP-API, och stöd för kortbetalningar är under utveckling.
Rörlig QR-kod används när kunden besöker dina tjänster på en dator, men identifierar sig med BankID på en annan enhet. En rörlig QR-kod förhindrar att bedragare kan lura till sig en stillbild av koden och använda för bedrägerier.
Så fungerar QR-kod:
- Kunden väljer BankID på annan enhet i e-tjänsten.
- Kunden läser av en QR-kod på skärmen med sin BankID-app.
- Kunden godkänner i BankID-appen.
Autostart används när kunden besöker dina tjänster på samma enhet som hen har Mobilt BankID på. Från din tjänst direktstartas BankID-appen utan mellansteg, vilket gör att identifieringen går snabbare och kundupplevelsen blir bättre. Det blir också säkrare eftersom det minskar risken att bedragare kan utnyttja mellansteget för att lura dina kunder.
Så fungerar autostart:
- Kunden väljer BankID på denna enhet i e-tjänsten.
- BankID-appen öppnas automatiskt.
- Kunden godkänner i BankID-appen.
I senaste versionen av RP-API tas stödet för personnummerstart bort helt. Det är en viktig åtgärd som sänker risken för bedrägerier och höjer säkerheten ytterligare. Alla måste uppdatera till den nya versionen. Undantag finns för företag som behöver använda personnummer för underskrift av kortbetalningar. De behöver avvakta eftersom stöd för detta är under utveckling. Sista datum för uppgradering (1 maj 2024) kommer inte gälla för dessa företag.