Instruks ved utstedelse og administrasjon av elektroniske IDer (eID)

1      Innledning

Denne instruksen gjelder for rollene RA-ADMIN og

OPERATØR.

Rollene innehas av den eller de som har fått fullmakt til utstedelse og administrasjon av lokale [1] og, eller kun Buypass kvalifiserte sertifikater [2]

hos en virksomhet.

Virksomhet i denne sammenheng er en virksomhet som har inngått avtale med Buypass - ”Avtale om utstedelse og administrasjon av

Buypass kvalifiserte sertifikater

”.  Avtalen refereres til som RA-

avtalen.

Rollene er part i den organisasjonen som etableres i virksomheten for å ivareta tillitskjeden for utstedelse og administrasjon av sertifikater til ansatte og annet personell tilknyttet

virksomheten.

RA-ADMIN:

• Utstedelse og administrasjon av lokale [1] og Buypass kvalifiserte sertifikater [2]
• Registrere sluttbrukere som kan få Buypass kvalifiserte sertifikater tilknyttet virksomheten
• Tildele og trekke tilbake fullmakt for personer tilknyttet virksomheten i rollen som Operatør

OPERATØR:

• Utstedelse og administrasjon av lokale [1] og Buypass kvalifiserte sertifikater [2]

[1] Lokale sertifikater utstedes fra lokal CA, enten virksomhetens egen CA eller fra CA tilknyttet en virksomhet som gjeldende virksomhet samarbeider med.

For lokale sertifikater utpekes RA-ADMIN første gang som del av

etablering av virksomhetens CA.

[2] Buypass er sertifikatutsteder for kvalifiserte sertifikater for elektronisk signatur, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester. Heretter kalt Buypass kvalifiserte sertifikater. Buypass kvalifiserte sertifikater utstedes på smartkort eller er lagret sentralt hos Buypass. Sluttbruker kan aksessere sentralt lagret nøkkel og sertifikat via en tilknyttet mobilenhet.

For Buypass kvalifiserte sertifikater

utpekes RA-ADMIN første gang ved inngåelse av «Avtale om utstedelse og administrasjon av Buypass kvalifiserte sertifikater». Avtalen refereres til som RA-avtalen.

For tildeling av fullmakt for de første RA-ADMINene sendes signert fullmaktsskjema sammen med signert RA-avtale

. For senere tildelinger eller tilbaketrekkinger av fullmakter benyttes fullmaktsskjemaene alene. Ref RA-avtalens punkt 4.

2      Eierskap og vedlikehold av instruksen

Det er Buypass som er eier av denne instruksen og

derigjennom ansvarlig for å vedlikeholde

instruksen ifht de oppgaver som instruksen til enhver tid skal dekke.

Buypass

Eierskap og vedlikehold av instruksen

Det er Buypass som er eier av denne instruksen og som således er ansvarlig for å vedlikeholde denne ifht de oppgaver som instruksen til enhver tid skal dekke.
Likevel påhviler det Buypass å informere om nødvendige oppdateringer i instruksen.

skal informere ansvarlig i virksomheten ved endringer og oppdateringer av instruksen, ref RA-avtalen punkt 6 punkt 4. Ansvarlig for virksomheten har ansvar for å videreformidle slike endringer til virksomhetens RA-ADMIN og Operatører, ref RA-avtalens punkt 5.1 punkt 8.

3     Dokumentreferanser

Følgende dokumenter beskriver nærmere de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA.

1. Certification Practice Statement (CPS) for Buypass Class 3 Qualified Certificates¹)
2. PKI Disclosure Statement (PDS)¹)
3. Kundeavtale med Buypass¹)
4. Retningslinjer med brukerguide for Buypass Access Manager²)
5. Instruks for RA-ADMIN og Operatør²)

¹) Gjeldende versjoner av Buypass offisielle dokumenter finnes under CA Dokumentasjon på Buypass nettsider. 
(Lenke: https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk)

²) Gjeldende versjoner av retningslinjer og instrukser finnes under Buypass Access Solutionpå Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview)

4      Oppgaver, ansvar og myndighet

Rolleinnehaverne

RA-ADMIN og OPERATØR har det daglige ansvar for, og rett og plikt til:

• å følge instruks for personell som innehar rollene RA-ADMIN og OPERATØR, dvs. denne instruksen (ref punkt 3.5)
• å utstede og administrere sertifikater etter gjeldende krav og retningslinjer - gitt i Retningslinjer med brukerguide for BAM (ref punkt 3.4)
• å benytte BAM-klienten (Buypass Access Manager) ved utstedelse og administrasjon av elektroniske ID (eID), og sørge for at de innebygde rutinestegene i denne blir fulgt. RA-ADMIN / OPERATØR må for å kunne utstede Buypass kvalifiserte sertifikater logge på og identifisere seg med sitt eget kvalifisert sertifikat og sin personlige PIN-kode for å få tildelt korrekte rettigheter til systemet

• å sørge for at sluttbruker får informasjon om virksomhetens lokale sertifikater og Buypass kvalifiserte sertifikater, herunder
  • innhenting, behandling og oppbevaring av nødvendig informasjon og persondata
  • eventuelle vilkår for bruk av virksomhetens lokale sertifikater
  • Buypass Kundeavtale for Buypass kvalifiserte sertifikater (ref punkt 3.3)
• å bistå sluttbruker ifbm ulike administrasjonsoppgaver, herunder:
  • førstegangsutstedelse av sertifikater på smartkort og/eller lagret sentralt hos Buypass
  • utstede erstatningskort med sertifikater
  • fornyelse av smartkort og/eller sertifikater
  • utstedelse av midlertidige smartkort med sertifikater (Lånekort)
  • endring av PIN-koder

• å tilbakekalle (sperre) lokale og Buypass kvalifiserte sertifikater når det er nødvendig

Tillegg for RA-ADMIN:

• Registrere sluttbrukere som skal få utstedt Buypass kvalifiserte sertifikater med tilknytning til virksomheten gjennom en preregistrering i BAM hvor det sjekkes at vedkommende er registrert i DSF og at FNR/DNR og navn matcher
• Utnevne OPERATØRER gjennom registrering i BAM. RA-ADMIN må påse at det er innhentet fullmakt og om nødvendig signaturer fra aktuelle personer. RA-ADMIN må holde oversikt over registrerte og aktive OPERATØRER
• Ansvar for at OPERATØRER får opplæring i henhold til fastlagt opplæringsopplegg og

Krav og prosedyrer

Ved utstedelse av sertifikater skal Rolleinnehaver forholde seg til registrert informasjon i Microsoft Active Directory (AD). Hvis informasjon i AD er feil, skal dette meldes til nærmeste overordnede. 

• gjeldende retningslinjer
• Slette OPERATØRER gjennom registrering i BAM. RA-ADMIN må påse at det er utstedt tilbaketrekking av fullmakt og om nødvendig underskrifter fra aktuelle personer

Gjeldende krav og retningslinjer for utstedelse av Buypass kvalifiserte sertifikater er nedfelt på Buypass Eksterne Dokumentsenter - se Retningslinjer med brukerguide for BAM (ref punkt 3.4).

Brukerguiden gir informasjon om operatørrollene, bruk av BAM-klienten med pålogging, skjermbilder, søk, PIN-koder etc. Viktig for utstedelse og administrasjon av Buypass kvalifiserte sertifikater er:

• ID-kort - nytt, erstatning, fornyelse
• Legitimasjonskontroll
• Informasjon til ansatte ved utstedelse QC i virksomheter med RA-avtale - BAS
• PIN-administrasjon
• Sperring/revokering av sertifikater
• Preregistrering (RA-ADMIN)
• Opprette og avslutte Operatører (RA-ADMIN)
• Rapporter

5      Kompetanse

Rolleinnehaverne skal ha gjennomgått opplæring tilpasset rollen slik at alle krav, rutiner og forpliktelser etterleves i praktisering av rollen.

Behov for ytterligere opplæring vurderes og planlegges

i forbindelse med en eventuell oppdatering av instruksen, fortrinnsvis som del av en årlig medarbeidersamtale.