Dette er informasjon som skal gjøres tilgjengelig for ansatte og annet personell tilknyttet virksomheten ved utstedelse av eID på enheter som smartkort og/eller mobiltelefon og nettbrett.

Informasjonen kan gis i skriftlig form som "Inforark", gjøres tilgjengelig på virksomhetens nettside eller lenke direkte hit.

Utgangspunktet her er tips og råd ifht informasjon som bør distribueres om Buypass kvalifiserte sertifikater. Et BAS Brukersted som i tillegg til kvalifiserte sertifikater utsteder lokale sertifikater kan velge å benytte samme regler/rutiner for lokale som de Buypass stiller for kvalifiserte. Virksomheten kan også ta utgangspunkt i innholdet på denne siden å redigere og tilpasse informasjonen i forhold til virksomhetens egne sertifikater og avtaler, regler og rutiner for disse. 

RA-ADMIN og OPERATØRER har et ansvar for å informere sluttbruker, dvs. ansatte og annet personell tilknyttet virksomheten, om eID, dvs. informasjonen tilgjengelig på denne siden.

Sluttbruker skal gjøres oppmerksom på og informeres i forkant av førstegangsutstedelse av eID, og informasjonen skal være tilgjengelig så lenge Buypass kvalifiserte sertifikater og/eller lokale sertifikater fra virksomheten utstedes og brukes i tilknytning til virksomheten.

eID

En elektronisk ID (eID) er et identitetsbevis som bekrefter at du er den du gir deg ut for å være. 

En eID består gjerne av noe du har, i form av ulike enheter som smartkort eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord. 

Virksomheten eller en samarbeidende virksomhet er sertifikatutsteder for lokale sertifikater. Slike sertifikater er underlagt virksomhetens interne regler, eventuelt følger de samme regler som Buypass kvalifiserte sertifikater.  

Buypass er sertifikatutsteder for Buypass kvalifiserte sertifikater for elektronisk signatur, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester. Heretter kalt Buypass kvalifiserte sertifikater.

Buypass kvalifiserte sertifikater tilfredsstiller kravene til ’Person Høyt’ ihht Kravspesifikasjonen for PKI i offentlig sektor, kan benyttes som eID på høyeste sikkerhetsnivå. Buypass kvalifiserte sertifikater kan også benyttes for avansert elektronisk signatur ihht Lov om elektroniske tillitstjenester.

De kvalifiserte sertifikatene er knyttet til en privat nøkkel som bare du har tilgang til, enten i smartkort eller lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig eID på tilstrekkelig sikkerhetsnivå.

Buypass kvalifiserte sertifikater utstedes alltid i par, dvs. et autentiseringssertifikat og et for signering.

Dokumentreferanser Buypass kvalifiserte sertifikater

En rekke dokumenter beskriver de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA og for deg som sluttbruker når du får utstedt en eID i rollen som tilknyttet virksomheten.

1. Gjeldende versjoner av Buypass offisielle dokumenter finner du under CA Dokumentasjon på Buypass nettsider. (Lenke:https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk). 
   Det viktigste for deg som sluttbruker er Buypass Kundeavtale. 
   
   
2. Gjeldende versjoner av retningslinjer ved utstedelse av Buypass kvalifiserte sertifikater finner du beskrevet under Buypass Access Solution på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview).
   De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.

Virksomhetens ansvar

Ansvarlig for virksomheten har blant annet det overordnede ansvar for:

• å bestemme hvilke personer som kan få Buypass kvalifiserte sertifikater med tilknytning til virksomheten, dvs hvem av ansatte og annet personell tilknyttet virksomheten (sluttbruker) 
• utstedelse og administrasjon av Buypass kvalifiserte sertifikater i virksomheten og at dette skjer ihht de krav og retningslinjer som gjelder. Dette inkluderer rett og plikt til å tilbakekalle sertifikat når en person ikke lenger er tilknyttet virksomheten eller når sertifikatet av andre grunner skal trekkes tilbake

• å informere sluttbruker om eID og virksomhetens rolle ved utstedelse og administrasjon av Buypass kvalifiserte sertifikater, om hvilke regler og rutiner som gjelder og eventuelle endringer i disse  - denne informasjonssiden eller tilsvarende

• å sikre at dokumenter med personopplysninger som lagres lokalt blir oppbevart og sikret på en tilfredsstillende måte og ihht Personvernlovgivningen - se eget avsnitt nedenfor

Det operative arbeidet delegeres til personer med rollene RA-AMIN og Operatører.

Sluttbrukers ansvar

Du som sluttbruker har ansvar for:

• å lese informasjon om Buypass kvalifiserte sertifikater i forkant av førstegangsutstedelse av sertifikat - denne informasjonssiden eller tilsvarende
• å holde deg oppdatert om eventuelle endringer som varsles fra Buypass og virksomheten - denne informasjonssiden eller tilsvarende

• å passe på at din personlige kode som benyttes sammen med eID (PIN-kode eller passord som du selv velger) aldri overlates til andre, at den oppbevares slik at den ikke faller andre i hende eller at koden benyttes på slik måte at uvedkommende ikke kan få kjennskap til den

• dersom du vet, eller har mistanke om, at enheten som brukes til en eID eller koden har kommet på avveie (mistet, stjålet eller kode er blitt kjent for andre), skal du omgående endre koden, eventuelt ta kontakt med virksomhetens ID-kontor eller Buypass sperretjeneste slik at eID din kan sperres

Enheter som bærer av eID

Smartkort - Ansattkort

Et ansattkort kan omfatte mange funksjoner:

• Visuell legitimasjon av person med navn, signatur og bilde, samt visuell synliggjøring av bedriftstilhørighet til virksomheten med navn og logo
• Adgangsnøkkel til berøringsfrie kortlesere i virksomhetens lokaler
• Elektronisk ID med lokale sertifikater for tilgang til virksomhetens datasystemer. 
• Elektronisk ID med Buypass kvalifiserte sertifikater for tilgang til eksterne datasystemer og offentlige tjenester. Eksempler på slik bruk er autentisering og/eller signering ifht eResept, Kjernejournal, AltInn, NAV og tilsvarende

  Husk at du er avhengig av ansattkortet på jobb. Glem derfor ikke å ta med deg kortet på jobb 
  Du må ikke lage hull i kortet da det vil ødelegge antennen for berøringsfri adgangskontroll

ID@Work

Dette er en mobilbasert eID som kun kan benyttes for autentisering og signering i hovedsak på eksterne datasystemer og offentlige tjenester, men som også kan autorisere tilgang på interne systemer dersom virksomheten ønsker det. 

ID@Work består av Buypass kvalifiserte sertifikater som sammen med dine private nøkler ligger lagret sentralt hos Buypass. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en mobilAPP (må aktiveres), samt en hemmelighet i form av PIN-kode som bare du kjenner til. Dette utgjør en tofaktor autentisering som sikrer at det bare er du, nøkkelens eier, som har tilgang til dine sentralt lagrede nøkler.

Utstedelse

av eID med Buypass kvalifiserte sertifikater

Førstegangsutstedelse av eID med Buypass kvalifiserte sertifikater

• Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Det Sentrale Folkeregister (DSF) og at registrert fødselsnummer (FNR) eller D-nummer (DNR) og navn stemmer med det som er registrert i DSF. Dette skjer i en preregistreringsprosess hvor du som sluttbruker ikke er involvert.
  
  
• Første gang Når du får et smartkort eller ID@Work med Buypass kvalifiserte sertifikater, eller senere ved administrasjon av sertifikatene må du fremvise gyldig legitimasjon - se retningslinjer knyttet til legitimering og legitimasjonskontroll
  
  

• Husk alltid å ta med gyldig legitimasjon - se oversikt Godkjente legitimasjonsdokumenter

  • Norsk pass (unntatt utlendingspass)
  • Bankkort med bilde utstedt av norsk bank
  • Førerkort utstedt etter 01.04.1989
  • Postens ID-kort utstedt etter 01.10.1994
    
    
• Du Ved førstegangsutstedelse må du akseptere avtalevilkårene. Ved større endringer av vilkårene vil du bli spurt om ny aksept. Buypass Kundeavtale gjelder for deg som får kvalifiserte sertifikater lastet i ansattkortet og/eller tilgjengelig via mobil/nettbrett - se Buypass Kundeavtale (NOR)
  Operatør vil foreta kontroll av fremvist legitimasjonsdokument og dokumentet blir skannet og lagret
  
• Informasjon som innhentes og oppbevares ifbm utstedelse og administrasjon av sertifikater tilknyttet eID:  
  • Ved førstegangsutsedelse blir legitimasjonsdokument skannet. Dette lagres sammen med informasjon om
  sluttbrukers
  • navn
  og
  • ditt, evt fødselsnummer/D-nummer dersom virksomhet benytter dette og har konsesjon eller lovhjemmel
  for dette
  • , aksept av Buypass Kundeavtale,
  sluttbrukers
  • din signatur, dato for utstedelse og Operatørens signatur 
  
  informasjonen
  • Ved senere utstedelse eller administrasjon vil du kunne bli spurt om å vise legitimasjonsdokument som bekreftelse av din identitet. I disse tilfellene vil kun en beskrivelse av dokumenttype lagres sammen med informasjon om navn ditt, evt fødselsnummer/D-nummer, dato for utstedelse og Operatørens signatur
     
    
• Informasjonen referert til i forrige punkt lagres i en PDF som kan lagres lokalt hos virksomheten på et dokumentområde med begrenset aksess, dvs kun autorisert personell har tilgang til dokumentene
  informasjonen - se GDPR og persondata i BAS-løsningen
  
  
• Informasjonen referert til i forrige punkt inkludert kopi av innskannet legitimasjonsdokument overføres til Buypass ihht krav og retningslinjer for utstedelse av kvalifiserte sertifikat. Informasjonen er lagret Informasjon om sertifikater lagres hos Buypass i 10 år etter utløp av gyldighetsdato for sertifikatet
  sertifikater - se Buypass Kundeavtale og GDPR og persondata i BAS-løsningen
  
  
• Sertifikater blir publisert, som betyr at Buypass oppdaterer CRL og LDAP og CRL  ved henholdsvis utstedelse og revokering/sperring av sertifikatet 

CRL(Certificate Revocation List): Liste med sertifikater som er revokert eller sperret hos utstedende sertifikatautoritet (CA). Ved validering av sertifikater vil listen sjekkes for å sikre at sertifikatet er gyldig ifbm identifiering eller signering.

LDAP ((Lightweight Directory Access Protocol): Publisering av sertifikater gjør det mulig å hente ut informasjon om den offentlige delen av et Buypass personlig- eller virksomhetssertifikater fra LDAP-tjenesten. 
Eks.: Den offentlige delen av et virksomhetssertifikat benyttes for å lese ut informasjon fra en melding som blir sendt mellom to parter - for eksempel mellom et legesenter og NAV.

Eksempel fra et Buypass kvalifisert sertifikat (autentiseringssertifikatet)

Image Added

Administrasjon av eID med Buypass kvalifiserte sertifikater

Du får hjelp på ID-kontoret til følgende - husk gyldig legitimasjon:

1. Fornyelse av sertifikater på smartkort vil skje etter 3 år - se ID-kort - nytt, erstatning, fornyelse
2. Erstatningskort dersom du har mistet, fått stjålet eller mistet kortet ditt - se ID-kort - nytt, erstatning, fornyelse
3. Glemt ansttkortet hjemme?  Ta kontakt med ID-kontoret for å få et lånekort med lokale sertifikater slik at du får logget på domenet. 
4. Legitimering og lagring/oppbevaring av informasjon - se avsnittet over om utstedelse av eID
5. Endre / glemt eller blokkert PIN - se rutiner for PIN-administrasjon
6. Om du har mistanke om misbruk av eID eller at uvedkommende kjenner din PIN-kode bør kort og koder sperres. Også når du avsluutter ditt arbeidsforhold hos virksomheten vil kort og sertifikater sperres - se Sperring/revokering av sertifikater

eID og ID-vett

En eID er personlig og gjør deg i stand til å benytte offentlige og private tjenester som tilbys på Internett og i andre kanaler i tillegg til bruk internt i bedriften. Elektronisk ID er en sikker løsning for elektronisk identifikasjon, bindende elektronisk signering av avtaler/dokumenter og evt. elektronisk betaling.  Se www.buypass.no for bruksområder og policy (Privacy Policy) for elektronisk ID.

Viktig:

• Les bruker- og avtalevilkårene du får sammen med kortet, gjeldende henholdsvis for lokale og kvalifiserte sertifikater
• Kortet og PIN-koden er personlig og må håndteres på en sikker måte slik at de ikke kommer uvedkommende i hende
• Oppgi aldri PIN-koden til noen, selv ikke bank, politi etc
• PIN-koden bør læres utenat og må aldri oppbevares sammen med kortet
• Har du mistet kortet ditt, eller har mistanke om at noen har fått tilgang til kort eller PIN-kode, meld umiddelbart ifra til ID-kontoret for å få sperret kortet ditt

Mer tips om sikkerhet på Internett finner du på www.nettvett.no

Har du spørsmål eller problemer

ID-kontoret kan hjelpe deg med:

• Mistet, stjålet eller ødelagt kort
• Glemt kort. Ta kontakt med ID-kontoret for å få et glemmekort. Husk gyldig legitimasjon.
• PIN-koder – har glemt eller mistet kodene eller du ønsker å endre dem. Husk gyldig legitimasjon.

PIN-koderTil ansattkortet har du to PIN-koder – en for adgangskontroll og en som du selv setter for de elektroniske sertifikatene.
NB! Unngå å bruke samme tallkombinasjon for fysisk adgangskontroll og for elektroniske sertifikater.

Mest stilte spørsmål (FAQ)

Hva lagres av data om meg?

Se oversikt under GDPR og persondata i BAS-løsningen. og Buypass Kundeavtale

Hvorfor registreres hele fødselsnummeret (11 siffer)?

Registrering av fullt fødselsnummer (11 siffer) er nødvendig blant annet på grunn av krav til kontroll av identitet mot folkeregisteret ved utstedelse av kvalifiserte sertifikater.
Innsamling av opplysningene er godkjent av Datatilsynet. Oppbevaring og administrasjon av opplysningene følger strenge sikkerhetsprosedyrer som skal hindre misbruk.

Hva er gyldig legitimasjon?

Som gyldige legitimasjonsdokumenter regnes - se oversikt Godkjente legitimasjonsdokumenter: 

• Norsk pass (unntatt utlendingspass)
• Bankkort med bilde utstedt av norsk bank
• Førerkort utstedt etter 01.04.1989
• Postens ID-kort utstedt etter 01.10.1994

For å være regnet som gyldige må dokumentene i tillegg ikke ha nådd utløpsdato.

Hvorfor må man vise gyldig legitimasjon? Og hva om man ikke har slik legitimasjon?

Legitimasjonen skal brukes for å bevise at du faktisk er den du utgir deg for å være.

Det er et absolutt krav ved førstegangs utstedelse av sertifikater til ansattkortet at du har gyldig legitimasjon. Har du ikke dette må det skaffes før utstedelse kan finne sted.

Har du har glemt/mistet kortet ditt og heller ikke kan fremvise gyldig legitimasjon, kan en 3. person gå god for deg. ID-kontoret har rutiner for dette.

PIN-koder 

Til ansattkortet har du to PIN-koder – en for adgangskontroll og en som du selv setter for de elektroniske sertifikatene.

NB! Unngå å bruke samme tallkombinasjon for fysisk adgangskontroll og for elektroniske sertifikater.

Hvor mange forsøk har jeg på å taste PIN-kode?

Du har 3 forsøk på å taste PIN-kode før den blir blokkert/sperret.

Hva gjør jeg når jeg har tastet feil PIN for mange ganger eller ikke husker PIN-koden?

Ta kontakt med ID-kontoret.  Ta med gyldig legitimasjon.

Hva er smartkort?

Et smartkort er et plastkort på størrelse med et bankkort og har en integrert databrikke (chip). I chipen kan det lagres ulike programmer, blant annet en elektronisk ID som setter deg i stand til å benytte elektroniske tjenester.

Hva er PKI?

Står for Public Key Infrastructure og er et system for identifisering, signering og sikkerhet innen elektronisk kommunikasjon.  PKI kan ha signaturer på flere sikkerhetsnivå.

Hva er kryptering?

Kryptering betyr å gjøre fortrolig informasjon uleselig for andre enn den spesifiserte mottakeren. Med krypteringsteknologi kan man sikre fortrolig informasjon,

Hva er digitale sertifikater?

• Digitale sertifikater er en del av din digitale identitet og lagres i smartkortet ditt. Et sertifikat er et elektronisk dokument som knytter din digitale identitet sammen med annen informasjon, for eksempel navn, e-postadresse og firmanavn.
• En PIN-kode er en personlig sikkerhetskode som beskytter deg mot misbruk.  PIN-koden hindrer at andre kan misbruke ditt smartkort dersom du mister kortet ditt eller det blir stjålet.
• Lokale sertifikater er utstedt fra en lokal CA (sertifikatfabrikk) hos bedriften og brukes på smartkortet for sikker pålogging og autentisering i Microsoft pålogging, Serverpålogging og ved bruk av VPN-klienter for sikring av fjernarbeidsplasser.
• Kvalifiserte sertifikater utstedes via Buypass fra LRA-PC (på ID-kontoret) som er underlagt lov om elektronisk signatur.  Denne type sertifikater kan benyttes av leger for å signere for eksemplen resepter som krever digitale signaturer i DIPS.

Hva er elektronisk signatur?

Elektronisk signatur er en generell betegnelse på teknikker som kan benyttes til å signere digital informasjon på tilsvarende måte som en håndskrevet signatur benyttes til å undertegne et papirdokument.

Hva er Buypass?

Buypass er en leverandør av kort- ID- og betalingstjenester. Buypass tilbyr deg som innehaver av kvalifiserte sertifikater flere brukeområder. Se www.buypass.no for bruksområder.

Hva er Buypasskonto?

Ved lasting av kvalifiserte sertifikater fra Buypass får alle tildelt en elektronisk konto hos Buypass (Buypasskonto). Betaling av varer og tjenester fra penger i Buypasskontoen kan gjøres på nettsteder som er knyttet opp i Buypass infrastruktur. Du velger selv om du vil bruke denne kontoen eller ikke.

Ved hjelp av tjenestene i Buypass minibank (NB! Ansattkortet må stå i kortleseren tilknyttet din pc) kan du få oversikt over og administrere pengene dine på Buypasskontoen.