Driftstatus:

Höj säkerheten med säker start

Det kommer allt fler och mer avancerade säkerhetshot på den digitala arenan. Säker start verifierar att det är samma person som använder e-tjänsten som identifierar sig med BankID. På så sätt försvåras till exempel telefonbedrägerier.

Kvinna_utvecklare_1400x930

Hjälp oss öka säkerheten ytterligare

För att skydda både användare och e-tjänster behöver samtliga organisationer som använder BankID i sina e-tjänster uppdatera till den senaste versionen av vårt RP-API. Uppdatera gärna så snart som möjligt, men senaste datum för att ha ändringarna i bruk är 1 maj 2024.

Viktiga förändringar

Säker start innebär att du behöver uppdatera till senaste versionen av vårt RP-API. Det innebär att du behöver:

1. Använda autostart för BankID på samma enhet

Se teknisk guide

2. Använda rörlig QR-kod för BankID på annan enhet
En rörlig QR kod ändrar utseende så att det blir svårare att använda den för bedrägerier, till skillnad från en statisk som kan fotas och skickas.

Se teknisk guide

3. Ta bort personnummerstart
Det går inte längre att starta en identifiering eller underskrift genom att kunden skriver in sitt personnummer i till exempel en e-tjänst. Använd istället autostart och/eller rörlig QR-kod.

För företag som använder BankID för telefoni finns stöd i senaste versionen av vårt RP-API.

Se teknisk guide

Parametrar som ändrats i senaste versionen av API:et

  • personalNumber - borttagen

  • endUserUa - borttagen

  • autostartTokenRequired - borttagen

  • tokenStartRequired - borttagen

  • issuerCn - borttagen

  • cert - borttagen

  • notBefore - borttagen

  • notAfter - borttagen

  • uhi - ny

  • stepUp - ny

  • mrtd - ny

  • bankIdIssueDate - ny

  • allowFingerprint omdöpt till pinCode med nya default-värden

  • mrtdRequired omdöpt till mrtd

  • personalNumber - ny

Webbinarium säker start

Håll dig uppdaterad

Den här sidan uppdateras löpande med information. Vi kommunicerar också via vårt Tekniska nyhetsbrev.

Prenumerera på nyhetsbrevet

Frågor och svar

Här hittar du svar på de vanligaste frågorna om säker start.

Säker start innebär att du behöver uppdatera till senaste versionen av vårt RP-API. Det innebär att du behöver:

  1. Använda autostart för BankID på samma enhet.

  2. Använda rörlig QR-kod för BankID på annan enhet.

  3. Ta bort personnummerstart.

I senaste versionen av RP-API tas stödet för personnummerstart bort helt. Det är en viktig åtgärd som sänker risken för bedrägerier och höjer säkerheten ytterligare. Alla måste uppdatera till den nya versionen, men undantag finns för företag som behöver använda personnummer vid underskrift av kortbetalningar. De behöver avvakta eftersom stöd för detta är under utveckling. Sista datum för uppgradering (1 maj 2024) kommer inte gälla för dessa företag.

Teknisk guide

Följ anvisningarna i vår tekniska integrationsguide för att uppdatera till den senaste versionen, version 6, av vårt RP-API.

Ja. I den senaste versionen av API:et tas stödet för personnummerstart bort helt. Det är en viktig åtgärd som sänker risken för bedrägerier och höjer säkerheten ytterligare. Alla måste uppdatera till den nya versionen.

Företag som använder BankID för underskrift av kortbetalningar behöver avvakta med uppdateringen till stöd för detta finns.

Instruktioner och mer information om hur du uppdaterar till vårt senaste RP-API samt hur du implementerar rörlig QR-kod hittar du i vår tekniska guide.

Personnummer är offentliga och lätta att få tag på. Om en identifiering eller underskrift startas genom att användaren skriver in sitt personnummer i exempelvis en e-tjänst, kan flödet startas på distans vilket kan utnyttjas av bedragare. Med säker start behöver kundens BankID befinna sig på samma plats som den enhet e-tjänsten besöks på.

Det beror på om du kommer använda BankID vid telefoni och/eller kortbetalningar. Om du inte kommer använda detta handlar det bara om att ändra en URL och namn på några parametrar.

För telefoni och kortbetalningar tillkommer implementering av nya gränssnitt för dessa funktioner. Stöd för telefoni finns tillgängligt i senaste versionen av RP-API, och stöd för kortbetalningar är under utveckling.

Mer information och instruktioner hittar du i vår tekniska guide.

Rörlig QR-kod används när kunden besöker dina tjänster på en dator, men identifierar sig med BankID på en annan enhet. En rörlig QR-kod förhindrar att bedragare kan lura till sig en stillbild av koden och använda för bedrägerier.

Så fungerar QR-kod:

  1. Kunden väljer BankID på annan enhet i e-tjänsten.

  2. Kunden läser av en QR-kod på skärmen med sin BankID-app.

  3. Kunden godkänner i BankID-appen.

I vår tekniska guide kan du läsa mer om rörlig QR-kod och instruktioner om hur du implementerar den.

Autostart används när kunden besöker dina tjänster på samma enhet som hen har Mobilt BankID på. Från din tjänst direktstartas BankID-appen utan mellansteg, vilket gör att identifieringen går snabbare och kundupplevelsen blir bättre. Det blir också säkrare eftersom det minskar risken att bedragare kan utnyttja mellansteget för att lura dina kunder.

Så fungerar autostart:

  1. Kunden väljer BankID på denna enhet i e-tjänsten.

  2. BankID-appen öppnas automatiskt.

  3. Kunden godkänner i BankID-appen.

Mer information