BankID i svenska SaaS-tjänster — vad du bör kräva som kund

BankID-inloggning blir allt vanligare i svenska SaaS-tjänster. För dig som beställare är det inte bara en bekvämlighetsfråga — rätt implementation påverkar både säkerhet och regelefterlevnad.

Varför BankID är bra

• Stark autentisering på riktigt. BankID är inte en kod eller en push — det är en kryptografisk underskrift bunden till din enhet och PIN.
• Mycket svårt att phisha. Den som loggar in måste se transaktionstexten i sin egen app — inte i en webbläsare som kan spoofas.
• Hög acceptans hos slutanvändare i Sverige. Inget extra installerande för 95 % av befolkningen.

Vad du bör kräva

1. Bunden identitet. Användaren i SaaS-tjänsten ska vara fast knuten till en specifik BankID-personnummer-hash, inte bytbar.
2. Audit-logg. Alla inloggningar och känsliga åtgärder ska spåras med tidsstämpel.
3. Möjlighet att revoke. När en anställd slutar måste du kunna ta bort åtkomsten utan att be personen “logga ut”.
4. Backup-flöde. Vad händer om BankID-tjänsten är nere? Det bör finnas ett dokumenterat reservalternativ.
5. Avtalsklausul. Leverantören ska kunna visa hur de hanterar de personnummer-hash de lagrar.

Skillnad mot SSO via Microsoft eller Google

SSO ger central användarstyrning på företagsnivå. BankID identifierar personen. För en SMB är det ofta bra att kunna kombinera båda — SSO för åtkomst, BankID för känsliga åtgärder (avtal, ekonomi, underskrifter).

Frågor till leverantören innan ni signerar

• Är BankID kopplat till en specifik användarpost, eller skapas användaren automatiskt?
• Vilken hash-funktion används för personnummer?
• Loggas både lyckade och misslyckade inloggningsförsök?
• Hur snabbt kan en användare avregistreras?
• Finns det stöd för e-underskrift via BankID — och i så fall, behöver ni ett separat avtal?