1 §Dessa föreskrifter är tillämpliga för sådana institut och myndigheter som avses i 1 och 3 §§ lagen (2020:272) om konto- och värdefackssystem.

Föreskrifterna gäller hur instituten ska ge tillgång till uppgifter och hur myndigheterna kan få tillgång till uppgifter genom den tekniska plattform (konto- och värdefackssystemet) som Skatteverket tillhanda- håller enligt 1 § samma lag.

2 §Institut ska ge tillgång till uppgifter i konto- och värdefackssystemet enligt följande.

Kommunikation med Skatteverket sker enligt kommunikationsprotokollet Transport Layer Security (TLS) och med märkspråket Representational State Transfer Extensible Markup Language (REST/XML).

Från det att en förfrågan tagits emot ska svar lämnas inom tio sekunder.

Tjänsten och dess anslutningar ska normalt vara tillgängliga varje dag kl. 04–23. Längre planerade avbrott för service ska anmälas minst fem arbetsdagar i förväg till Skatteverket.

3 §Myndigheter får tillgång till uppgifter i konto- och värdefackssystemet enligt följande.

Kommunikation med Skatteverket sker genom kommunikationstjänsten Swedish Government Secure Intranet (SGSI) och protokollet TLS och med REST/XML.

4 §För såväl institut som myndigheter gäller följande.

Ett institut eller en myndighet kan anslutas till konto- och värdefackssystemet efter att de uppgifter som behövs om tekniska nycklar och certifikat har utbytts mellan Skatteverket och institutet eller myndigheten.

Autentisering och auktorisering av anslutningen sker med Mutual authentication TLS (m-TLS) och OAuth2 Client credentials grant.

Nycklar och certifikat ska förvaras oåtkomliga för obehöriga.

5 §För att säkerheten i konto- och värdefackssystemet ska kunna följas upp i efterhand ska myndigheterna logga både de frågor de ställt och de svar de mottagit, i originalformat och tillsammans med ett korrelations-ID, och lagra dem i fem år.

6 §För att säkerheten i konto- och värdefackssystemet ska kunna följas upp i efterhand ska instituten logga både de frågor de mottagit och de svar de lämnat, i originalformat och tillsammans med ett korrelations-ID, och lagra dem i fem år.

Ikraftträdande- och övergångsbestämmelser

2021:15

Dessa föreskrifter träder i kraft den 1 januari 2022.