Hoofdinhoud
1. Voorwaarden voor gebruik
Criterium | Toelichting | |
---|---|---|
D1 | Beveiligingsrichtlijnen |
|
D2 | Geen propagatie of afgeleide of verlengde toegang |
De persoonsgegevens, zoals vermeld in het Besluit digitale overheid, hoofdstuk 3, artikel 6 en 7, die na een succesvolle authenticatie met DigiD of Machtigen beschikbaar komen voor Afnemer en/of Gebruiker, mogen alleen worden gebruikt tijdens die sessie. Indien Gebruiker daarna (op een later tijdstip) deze gegevens of een afgeleide vorm daarvan hergebruikt in hetzelfde of een ander systeem, mag dit alleen:
|
2. Criteria voor communicatie
Criterium | Toelichting | |
---|---|---|
C1 | Geen testdata of "under Construction"-teksten | De pagina's of schermen voor en na de authenticatie bevatten geen teksten of plaatjes die aangeven dat de site "under construction" is. Deze bevatten ook geen testgegevens of links naar testpagina's of -schermen. Opmerking: geldt niet voor een preproductie-aansluiting. |
C2 | Naam van de BSN- gerechtigde organisatie | Bij de inlogmogelijkheid met (de link of knop naar) DigiD of Machtigen staat de naam van de BSN-gerechtigde Afnemer zoals deze is geregistreerd in de Autorisatielijst BSN-gerechtigden (ALB) van de RvIG. Dit mag niet de naam zijn van de verwerker of van de softwareleverancier. |
C3 | Geen deeplinks | Links naar DigiD of Machtigen voor 'meer informatie', verwijzen voor DigiD naar https://digid.nl en voor Machtigen naar https://machtigen.digid.nl (dus niet direct naar de betreffende pagina's). |
C4 | Schrijfwijze DigiD | DigiD wordt aan elkaar geschreven met twee hoofdletters 'D'. Schrijf 'DigiD' in plaats van bijvoorbeeld 'de DigiD'. |
C5 | Schrijfwijze DigiD Machtigen | Schrijf DigiD en Machtigen na elkaar met een spatie ertussen: 'DigiD Machtigen'. |
C6 | Logo DigiD |
Bij iedere doorverwijzing naar DigiD voor authenticatie toont u als dienstverlener het logo van DigiD en de tekst inloggen of inloggen als gemachtigde. Download dit logo in de Toolkit DigiD en DigiD Machtigen. Naast het logo geeft u een link die doorverwijst naar het inlogscherm van DigiD.
Op de pagina Stijlhandleiding aansluiten Toegang vindt u voorbeelden en vereisten voor het weergeven van inlogknoppen binnen het domein Toegang. Deze checklist helpt u met DigiD, Machtigen maar bijvoorbeeld ook met eIDAS, eHerkenning, ouderlijk gezag en bewindvoering. |
C7 | Logo DigiD Machtigen | Er bestaat geen logo voor Machtigen. Nergens gebruikt Afnemer een zelfgemaakt logo voor Machtigen. |
C8 | Geen uitleg en geen bereikbaarheidsgegevens | Afnemer geeft nergens uitleg (zoals veelgestelde vragen) over DigiD en/of Machtigen. En nergens worden bereikbaarheidsgegevens (zoals het telefoonnummer of e-mailadres) van de DigiD-servicedesk vermeld. Indien er iets over DigiD of Machtigen moet worden vermeld, wordt voor DigiD verwezen naar https://digid.nl en voor Machtigen naar https://machtigen.digid.nl. |
3. Criteria voor de browser
Criterium | Toelichting | |
---|---|---|
T1 | Betrouwbare verbinding | De inlogpagina van Afnemer met (de link naar) DigiD staat op een .nl domein met DNSSEC en is beveiligd met een geldig TLS-certificaat. Het gebruikte certificaat veroorzaakt geen (fout)meldingen in de browser over de status of geldigheid van het certificaat. De URL van het hoofd- en eventuele subdomein mogen geen verwijzingen naar digid bevatten, zoals: digi-d, digi.d, d.igi.d, diegiedee. |
T2 | Toegankelijkheid inlogpagina | De inlogpagina van Afnemer met (de link naar) DigiD heeft geen onderbrekingen zoals een pop-up, nieuw window of tabblad. |
T3 | Schermgedrag bij annuleren | Als de gebruiker het authenticatieproces annuleert (SAML-statuscode "AuthnFailed" of CGI-statuscode 0040), komt de gebruiker terug op de inlogpagina vanwaar getracht is de authenticatie te starten. Dit gebeurt in hetzelfde browserscherm. Er dient een melding getoond te worden met de mededeling dat het inloggen is geannuleerd. |
T4 | Juiste aanroep-URL | De webapplicatie roept de DigiD-authenticatiepagina aan via de URL die wordt genoemd in de metadata van DigiD (voor SAML) of de bevestigingsbrief van Logius (voor CGI). De aanroep moet rechtstreeks plaatsvinden, dus zonder tussenkomst van andere URL's of domeinen (dus zonder forwarding of redirects). |
T5 | Geen veldwaarden (alleen voor CGI) | De veldwaarden appID of het shared secret worden alleen server-side gebruikt. Deze veldwaarden staan niet in de HTML-code. |
T6 | Redirect binnen domein |
De gebruiker wordt bij het inloggen geredirect naar de inlogpagina van DigiD en na succesvolle authenticatie naar een pagina binnen hetzelfde domein. Dit geldt ook bij niet-succesvolle authenticatie of bij annuleren. De redirects moet plaatsvinden zonder tussenkomst van andere URL's of domeinen (dus zonder forwarding of redirects). Voorbeeld van stapsgewijze flow zoals toegestaan:
Voorbeeld van stapsgewijze flow zoals ook toegestaan:
Niet toegestaan is:
|
T7 | De authenticatie slaagt | Het authenticatieproces verloopt conform de koppelvlakspecificaties. De gebruiker kan inloggen en de dienstaanbieder ontvangt na een succesvolle authenticatie een reactie van DigiD en/of Machtigen. |
T8 | Betrouwbaarheidsniveaus correct afgehandeld |
De Afnemer bepaalt het minimale betrouwbaarheidsniveau. De burger mag altijd op een hoger niveau inloggen. Bijvoorbeeld:
|
T9 | Uitlogmogelijkheid | Er dient vanaf het moment van inloggen met DigiD en voor de duur van de sessie op het scherm van Afnemer een mogelijkheid getoond te worden om uit te loggen. Deze uitlogmogelijkheid beëindigt de lopende sessie. |
T10 | Sessieduur | Na het inloggen houdt de webapplicatie een sessie met de Gebruiker bij. Na maximaal vijftien minuten inactiviteit verloopt de sessie. Bij uitloggen of als alle actieve browserschermen afgesloten worden, vervalt de sessie ook. |
T11 | Automatisch uitloggen | Als na inloggen blijkt dat Afnemer de Gebruiker niet in behandeling neemt of als de behandeling beëindigt, moet dit direct aan de gebruiker worden gemeld en moet hij worden uitgelogd. |
T12 | Foutmelding |
Indien DigiD een resultcode teruggeeft aan de webapplicatie (met uitzondering van SAML-statuscodes “Authnfailed” en “Succes” en CGI-statuscodes 0000 en 0040) bevat de pagina die wordt getoond de letterlijke foutmelding “Inloggen bij deze organisatie is niet gelukt. Probeert u het later nog een keer. Lukt het nog steeds niet? Log in bij Mijn DigiD. Zo controleert u of uw DigiD goed werkt. Mogelijk is er een storing bij de organisatie waar u inlogt.” De lokale sessie is hierna beëindigd, een gebruiker dient opnieuw in te loggen. |
4. Criteria voor app
Criteria | Toelichting | |
---|---|---|
A1 | Gebruik app stores | De app met DigiD en/of Machtigen-toegang mag alleen via dezelfde appstores worden gedistribueerd als waarin de originele DigiD-app door Logius wordt gedistribueerd. |
A2 | Logo DigiD |
Op elke plaats waar wordt doorverwezen naar DigiD voor authenticatie, moet dit DigiD-logo worden gebruikt. Dit logo is te downloaden in de Toolkit DigiD en DigiD Machtigen. Minimale afmeting is 20x20 pixels, gangbaar is 100x100 pixels. |
A3 | Uitlogmogelijkheid | Er is vanaf het moment van inloggen met DigiD en voor de duur van de sessie een mogelijkheid om uit te loggen. De uitlogmogelijkheid beëindigt de lopende sessie. |
A4 | Sessieduur | Na het inloggen houdt Afnemer een sessie met de gebruiker bij. Na maximaal vijftien minuten inactiviteit verloopt de sessie. Bij uitloggen of als de app wordt afgesloten, vervalt de sessie ook. |
A5 | Automatisch uitloggen | Als na inloggen blijkt dat Afnemer de Gebruiker niet in behandeling neemt of als de behandeling beëindigt, moet dit direct aan de gebruiker worden gemeld en moet hij worden uitgelogd. |
5. Criteria voor app2app
Criteria | Toelichting | |
---|---|---|
P1 | Logo Afnemer | De DigiD-app toont tijdens het inloggen een app-icoon van de Afnemer: een app-icoon van de app of organisatie(naam). Afnemer moet dit app-icoon meesturen met het authenticatieverzoek. De afmetingen van het app-icoon mogen maximaal 512 x 512 pixels zijn en moet vierkant zijn. De DigiD-app schaalt het logo naar 80 x 80 en plaatst er een raster overheen, waardoor het icoon met afgeronde hoeken wordt getoond. |
P2 | Gebruik universal links (iOS) of Android app links | Het aanroepen van de DigiD-app door de afnemer-app en vice versa verloopt via iOS universal links of Android app links. Dit vereist dat de afnemer-app geregistreerd staat in de App Store en/of Google Play. |