Versions Compared

Version Old Version 17 New Version Current
Changes made by

Stine Granviken

Stine Granviken

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.



Column
width62%

Dette er informasjon som skal gjøres tilgjengelig for ansatte og annet personell tilknyttet virksomheten ved utstedelse av eID på ulike enheter som smartkort og/eller mobiltelefon og nettbrett.

Informasjonen kan gis i skriftlig form som "InforarkInfoark" eller , gjøres tilgjengelig på virksomhetens nettside eller lenke direkte hit.


Dette er i utgangspunktet Utgangspunktet for denne siden er å gi Virksomheten tips og råd i forhold til informasjon som bør distribueres om Buypass kvalifiserte sertifikater fra oss i Buypass. En virksomhet kan lenke direkte hit eller ta utgangspunkt i innholdet å redigere og tilpasse informasjonen elektroniske IDer (eID). Et BAS Brukersted som i tillegg til å utstede Buypass kvalifiserte sertifikater også utsteder lokale sertifikater kan velge å benytte samme regler/rutiner for lokale sertifikater som de Buypass har for de kvalifiserte. Virksomheten kan ta utgangspunkt i innholdet på denne siden, redigere og tilpasse dette i forhold til virksomhetens egne lokale sertifikater og avtaler, rutiner og prosesser for disse.regler/rutiner, for så å publisere informasjonen for egne ansatte. 

 

RA-ADMIN og OPERATØRER har et ansvar for å informere sluttbruker, dvs. ansatte og annet personell tilknyttet virksomheten, om eID, dvs. informasjonen tilgjengelig på denne siden.

Sluttbruker skal gjøres oppmerksom på og informeres i forkant av førstegangsutstedelse av eID, og informasjonen skal være tilgjengelig så lenge Buypass kvalifiserte sertifikater og/eller lokale sertifikater fra virksomheten utstedes og brukes i tilknytning til virksomheten.


eID

En elektronisk ID (eID) er et identitetsbevis som bekrefter at du er den du gir utgir deg ut for å være. 

En eID består gjerne av noe du har, i form av ulike enheter som smartkort eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord. 


Virksomheten eller en samarbeidende virksomhet er sertifikatutsteder for lokale sertifikater. Slike sertifikater er underlagt virksomhetens interne regler, eventuelt følger de samme regler som Buypass kvalifiserte sertifikater.  


Buypass er sertifikatutsteder for Buypass kvalifiserte sertifikater for elektronisk signatur, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester. Heretter kalt Buypass kvalifiserte sertifikater.  

Buypass kvalifiserte sertifikater tilfredsstiller kravene til ’Person Høyt’ ihht Kravspesifikasjonen for PKI i offentlig sektor, kan benyttes som eID på høyeste sikkerhetsnivå. ihht eIDAS LoA High spesifisert i Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015. Det inkluderer også norske tilpasninger gitt i Selvdeklarasjonsforskriften, Del3 § 19.Tilpasninger for nivå høyt.


Buypass kvalifiserte sertifikater kan også benyttes for avansert elektronisk signatur ihht Lov om elektroniske tillitstjenester.

De kvalifiserte sertifikatene er knyttet til en privat nøkkel som bare du har tilgang til, enten i smartkort eller lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig eID på tilstrekkelig sikkerhetsnivå, f.eks. mobiltelefon

Buypass kvalifiserte sertifikater utstedes alltid i par, dvs. et autentiseringssertifikat og et for signering.


Dokumentreferanser Buypass kvalifiserte sertifikater

En rekke dokumenter beskriver de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA og for deg som sluttbruker når du får utstedt en eID i rollen som tilknyttet virksomheten.

  1. Gjeldende versjoner av Buypass offisielle dokumenter finnes finner du under CA Dokumentasjon på Buypass nettsider. (Lenke:https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk). 
    Det viktigste for deg som sluttbruker er Buypass Kundeavtale (NOR) - Customer-agreement (ENG)

  2. Gjeldende versjoner av retningslinjer ved utstedelse av Buypass kvalifiserte sertifikater finnes finner du beskrevet under Buypass Access Solution på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview).
    De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.


Virksomhetens ansvar

Ansvarlig for virksomheten har blant annet det overordnede ansvar for:

  • å bestemme hvilke personer som kan få Buypass kvalifiserte sertifikater med tilknytning til virksomheten, dvs hvem av ansatte og annet personell tilknyttet virksomheten (sluttbruker) 
  • utstedelse og administrasjon av Buypass kvalifiserte sertifikater i virksomheten og at dette skjer ihht de krav og retningslinjer som gjelder. Dette inkluderer rett og plikt til å tilbakekalle sertifikat når en person ikke lenger er tilknyttet virksomheten eller når sertifikatet av andre grunner skal trekkes tilbake

  • å informere sluttbruker om eID og virksomhetens rolle ved utstedelse og administrasjon av Buypass kvalifiserte sertifikater, om hvilke regler og rutiner som gjelder og eventuelle endringer i disse  - denne informasjonssiden , eller innholdet hertilsvarende

  • å sikre at dokumenter med personopplysninger som lagres lokalt blir oppbevart og sikret på en tilfredsstillende måte og ihht Personvernlovgivningen - se eget avsnitt nedenfor

Det operative arbeidet delegeres til personer med rollene RA-AMIN og Operatører.


Sluttbrukers ansvar

Du som sluttbruker har ansvar for:

  • å lese informasjon om Buypass kvalifiserte sertifikater i forkant av førstegangsutstedelse av sertifikat - denne sideninformasjonssiden eller tilsvarende
  • å holde seg deg oppdatert om eventuelle endringer som varsles fra Buypass og virksomheten - denne siden denne informasjonssiden eller tilsvarende

  • å passe på at din personlige kode som benyttes sammen med eID (PIN-kode eller passord som du selv velger) aldri overlates til andre, at den oppbevares slik at den ikke faller andre i hende eller at koden benyttes på slik måte at uvedkommende ikke kan få kjennskap til den

  • dersom du vet, eller har mistanke om, at enheten som brukes til en eID eller koden har kommet på avveie (mistet, stjålet eller kode er blitt kjent for andre), skal du omgående endre koden, kontakte Operatør på eventuelt ta kontakt med virksomhetens ID-kontor eller kontakte Buypass sperretjeneste slik at eID din kan sperres
Ulike enheter


Enheter som bærer av eID

Smartkort - Ansattkort

Et ansattkort kan omfatte mange funksjoner:

  • Visuell legitimasjon av person med navn, signatur og bilde, samt visuell synliggjøring av bedriftstilhørighet til virksomheten med navn og logo
  • Adgangsnøkkel til berøringsfrie kortlesere i virksomhetens lokaler
  • Elektronisk ID med lokale sertifikater for tilgang til virksomhetens datasystemer. 
  • Elektronisk ID med Buypass kvalifiserte sertifikater for tilgang til eksterne datasystemer og offentlige tjenester. Eksempler på slik bruk er autentisering og/eller signering ifht eResept, Kjernejournal, AltInn, NAV og tilsvarende

(warning)  Husk at du er avhengig av ansattkortet på jobb. Glem derfor ikke å ta med deg kortet . på jobb 
(warning)  Du må ikke lages lage hull i kortene kortet da det vil ødelegge antennen for berøringsfri adgangskontroll

ID@Work

Dette er en mobilbasert eID som kun kan benyttes for autentisering og signering i hovedsak på eksterne datasystemer og offentlige tjenester, men som også kan autorisere tilgang på interne systemer dersom virksomheten ønsker det. 

ID@Work består av Buypass kvalifiserte sertifikater som sammen med dine private nøkler ligger lagret sentralt hos Buypass. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en mobilAPP (må aktiveres), samt en hemmelighet i form av PIN-kode som bare du kjenner til. Dette utgjør en tofaktor autentisering som sikrer at det bare er du, nøkkelens eier, som har tilgang til dine sentralt lagrede nøkler.

Les mer om ID@Work her: ID@Work - ID i mobil.


Utstedelse

og administrasjon

av eID med Buypass kvalifiserte sertifikater

Førstegangsutstedelse av eID med Buypass kvalifiserte sertifikater

  • Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Det Sentrale Folkeregister (DSFFREG) og at registrert fødselsnummer (FNR) / eller D-nummer (DNR) og navn stemmer med det som er registrert i DSFFREG. Dette skjer i en preregistreringsprosess hvor du som sluttbruker ikke er involvert.
Første gang pass (unntatt utlendingspass)
  • Bankkort med bilde utstedt av norsk bank
  • Førerkort utstedt etter 01.04.1989
    • Postens ID-kort utstedt etter 01.10.1994
    Du må akseptere avtalevilkår
      • eller utenlandsk pass 
      • Europeisk identitetskort (National Identity Card)

    • Ved førstegangsutstedelse må du akseptere avtalevilkårene. Ved større endringer av vilkårene vil du bli spurt om ny akseptBuypass Kundeavtale gjelder for deg som
    har fått
    • får kvalifiserte sertifikater lastet i ansattkortet
    ditt
    Operatør vil foreta kontroll av fremvist legitimasjonsdokument og dokumentet blir skannet og lagret
    • (NOR) - Customer-agreement (ENG)

    • Informasjon som innhentes og oppbevares ifbm utstedelse og administrasjon av sertifikater tilknyttet eID:  
      • Ved førstegangsutsedelse blir legitimasjonsdokument skannet. Dette lagres sammen med informasjon om
    sluttbrukers navn og
      • navnet ditt, evt fødselsnummer/D-nummer dersom virksomhet har
    konsesjon
      • behandlingsgrunnlag eller lovhjemmel
    for dette
      • , aksept av Buypass Kundeavtale,
    sluttbrukers signatur
      • din signatur, dato for utstedelse og Operatørens signatur 
      • Ved senere utstedelse eller administrasjon vil du kunne bli spurt om å vise legitimasjonsdokument som bekreftelse av din identitet. I disse tilfellene vil kun en beskrivelse av dokumenttype lagres sammen med informasjon om navnet ditt, evt fødselsnummer/D-nummer, dato for utstedelse og Operatørens signatur
    informasjonen
      •  
    • Informasjonen referert til i forrige punkt lagres i en PDF som kan lagres lokalt hos virksomheten på et dokumentområde med begrenset aksess, dvs kun autorisert personell har tilgang til dokumentene

    informasjonen
    • - se GDPR og persondata i BAS-løsningen

    • Informasjonen referert til i forrige punkt inkludert kopi av innskannet legitimasjonsdokument overføres til Buypass ihht krav og retningslinjer for utstedelse av kvalifiserte sertifikat.
    Informasjonen er lagret
    • Informasjon om sertifikater lagres hos Buypass i 10 år etter utløp av gyldighetsdato for sertifikatet

    sertifikater og CRL 
    • ved henholdsvis utstedelse og revokering/sperring av sertifikatet 


    CRL (Certificate Revocation List): Liste med sertifikater som er revokert eller sperret hos utstedende sertifikatautoritet (CA). Ved validering av sertifikater vil listen sjekkes for å sikre at sertifikatet er gyldig ifbm identifiering eller signering.

    LDAP (Lightweight Directory Access Protocol): Publisering av sertifikater gjør det mulig å hente ut informasjon om den offentlige delen av et Buypass personlig- eller virksomhetssertifikater fra LDAP-tjenesten. 
    Eks.: Den offentlige delen av et virksomhetssertifikat benyttes for å lese ut informasjon fra en melding som blir sendt mellom to parter - for eksempel mellom et legesenter og NAV.


    Eksempel fra et Buypass kvalifisert sertifikat (autentiseringssertifikatet)

    Image Added


    Administrasjon av eID med Buypass kvalifiserte sertifikater

    Du får hjelp på ID-kontoret til følgende - husk gyldig legitimasjon:

    1. Fornyelse av sertifikater på smartkort vil skje etter 3 år - se ID-kort - nytt, erstatning, fornyelse
    2. Erstatningskort dersom du har mistet, fått stjålet eller mistet kortet ditt - se ID-kort - nytt, erstatning, fornyelse
    3. Glemt ansttkortet hjemme?  Ta kontakt med ID-kontoret for å få et lånekort med lokale sertifikater slik at du får logget på domenet. 
    4. Legitimering og lagring/oppbevaring av informasjon - se avsnittet over om utstedelse av eID
    5. Endre / glemt eller blokkert PIN - se rutiner for PIN-administrasjon
    6. Om du har mistanke om misbruk av eID eller at uvedkommende kjenner din PIN-kode bør kort og koder sperres. Også når du avsluutter ditt arbeidsforhold hos virksomheten vil kort og sertifikater sperres - se Sperring/revokering av sertifikater


    Image Added Har du blokkert/lås PIN for Buypass kvalifiserte sertifikater kan du hjelpe seg selv via https://secure.buypass.no/smartcard-client/main. Du må autentisere seg med annen BuypassID eller BankID. PUK finnes ikke for disse kortene, så om du ikke har BuypassID eller BankID tilgjengelig må du ta kontakt med en Operatør og få hjelp på BAM-klienten.


    eID og ID-vett

    En eID er personlig og gjør deg i stand til å benytte offentlige og private tjenester som tilbys på Internett og i andre kanaler i tillegg til bruk internt i bedriften. Elektronisk ID er en sikker løsning for elektronisk identifikasjon, bindende elektronisk signering av avtaler/dokumenter og evt. elektronisk betaling.  Se www.buypass.no for bruksområder og policy (Privacy Policy) for elektronisk ID.

    Viktig:

    • Les bruker- og avtalevilkårene du får sammen med kortet, gjeldende henholdsvis for lokale og kvalifiserte sertifikater
    • Kortet og PIN-koden er personlig og må håndteres på en sikker måte slik at de ikke kommer uvedkommende i hende
    • Oppgi aldri PIN-koden til noen, selv ikke bank, politi etc
    • PIN-koden bør læres utenat og må aldri oppbevares sammen med kortet
    • Har du mistet kortet ditt, eller har mistanke om at noen har fått tilgang til kort eller PIN-kode, meld umiddelbart ifra til ID-kontoret for å få sperret kortet ditt

    Mer tips om sikkerhet på Internett finner du på www.nettvett.no

    Har du spørsmål eller problemer

    Hvis du har mistet eller blitt frastjålet ansattkortet eller hvis er kortet ditt ødelagt, må du straks melde dette til ID-kontoret.
    ID-kontoret er betjent …. Dager… klokkeslett…..

    ID-kontoret kan hjelpe deg med:

  • Mistet, stjålet eller ødelagt kort
  • Glemt kort. Ta kontakt med ID-kontoret for å få et glemmekort. Husk gyldig legitimasjon.
    • PIN-koder – har glemt eller mistet kodene eller du ønsker å endre dem. Husk gyldig legitimasjon.

    PIN-koder
    Til ansattkortet har du to PIN-koder – en for adgangskontroll og en som du selv setter for de elektroniske sertifikatene.
    NB! Unngå å bruke samme tallkombinasjon for fysisk adgangskontroll og for elektroniske sertifikater.

    Mest stilte spørsmål (FAQ)

    Hva lagres av data om meg?

    Se oversikt under GDPR og persondata i BAS-løsningen.

    Hvorfor registreres hele fødselsnummeret (11 siffer)?

    Registrering av fullt fødselsnummer (11 siffer) er nødvendig blant annet på grunn av krav til kontroll av identitet mot folkeregisteret ved utstedelse av kvalifiserte sertifikater.
    Innsamling av opplysningene er godkjent av Datatilsynet. Oppbevaring og administrasjon av opplysningene følger strenge sikkerhetsprosedyrer som skal hindre misbruk.

     

    Hva er gyldig legitimasjon?

    Som gyldige legitimasjonsdokumenter regnes: 

    • Norsk pass (unntatt utlendingspass)
    • Bankkort med bilde utstedt av norsk bank
    • Førerkort utstedt etter 01.04.1989
    • Postens ID-kort utstedt etter 01.10.1994

    For å være regnet som gyldige må dokumentene i tillegg ikke ha nådd utløpsdato.

    Hvorfor må man vise gyldig legitimasjon? Og hva om man ikke har slik legitimasjon?

    Legitimasjonen skal brukes for å bevise at du faktisk er den du utgir deg for å være.

    Det er et absolutt krav ved førstegangs utstedelse av sertifikater til ansattkortet at du har gyldig legitimasjon. Har du ikke dette må det skaffes før utstedelse kan finne sted.

    Har du har glemt/mistet kortet ditt og heller ikke kan fremvise gyldig legitimasjon, kan en 3. person gå god for deg. ID-kontoret har rutiner for dette.

    Hvor mange forsøk har jeg på å taste PIN-kode?

    Du har 3 forsøk på å taste PIN-kode før den blir blokkert/sperret.

     

    Hva gjør jeg når jeg har tastet feil PIN for mange ganger eller ikke husker PIN-koden?

    Ta kontakt med ID-kontoret.  Ta med gyldig legitimasjon.

    Hva er smartkort?

    Et smartkort er et plastkort på størrelse med et bankkort og har en integrert databrikke (chip). I chipen kan det lagres ulike programmer, blant annet en elektronisk ID som setter deg i stand til å benytte elektroniske tjenester.

     

    Hva er PKI?

    Står for Public Key Infrastructure og er et system for identifisering, signering og sikkerhet innen elektronisk kommunikasjon.  PKI kan ha signaturer på flere sikkerhetsnivå.

    Hva er kryptering?

    Kryptering betyr å gjøre fortrolig informasjon uleselig for andre enn den spesifiserte mottakeren. Med krypteringsteknologi kan man sikre fortrolig informasjon,

    Hva er digitale sertifikater?

  • Digitale sertifikater er en del av din digitale identitet og lagres i smartkortet ditt. Et sertifikat er et elektronisk dokument som knytter din digitale identitet sammen med annen informasjon, for eksempel navn, e-postadresse og firmanavn.
  • En PIN-kode er en personlig sikkerhetskode som beskytter deg mot misbruk.  PIN-koden hindrer at andre kan misbruke ditt smartkort dersom du mister kortet ditt eller det blir stjålet.
    • Lokale sertifikater er utstedt fra en lokal CA (sertifikatfabrikk) hos bedriften og brukes på smartkortet for sikker pålogging og autentisering i Microsoft pålogging, Serverpålogging og ved bruk av VPN-klienter for sikring av fjernarbeidsplasser.
  • Kvalifiserte sertifikater utstedes via Buypass fra LRA-PC (på ID-kontoret) som er underlagt lov om elektronisk signatur.  Denne type sertifikater kan benyttes av leger for å signere for eksemplen resepter som krever digitale signaturer i DIPS.

    • Hva er elektronisk signatur?

    Elektronisk signatur er en generell betegnelse på teknikker som kan benyttes til å signere digital informasjon på tilsvarende måte som en håndskrevet signatur benyttes til å undertegne et papirdokument.

    Hva er Buypass?

    Buypass er en leverandør av kort- ID- og betalingstjenester. Buypass tilbyr deg som innehaver av kvalifiserte sertifikater flere brukeområder. Se www.buypass.no for bruksområder.

     

    Hva er Buypasskonto?

    Ved lasting av kvalifiserte sertifikater fra Buypass får alle tildelt en elektronisk konto hos Buypass (Buypasskonto). Betaling av varer og tjenester fra penger i Buypasskontoen kan gjøres på nettsteder som er knyttet opp i Buypass infrastruktur. Du velger selv om du vil bruke denne kontoen eller ikke.

    Ved hjelp av tjenestene i Buypass minibank (NB! Ansattkortet må stå i kortleseren tilknyttet din pc) kan du få oversikt over og administrere pengene dine på Buypasskontoen.



    Column
    width2%


    Column
    width26%


    Div
    classright-navigation

    Relaterte sider:

    Child pages (Children Display)


    Innhold denne siden:  

    Table of Contents

    Child pages (Children Display)
    Include Page
    INCLIB:_right_navigation_styleINCLIB:_right_navigation_style




    Column
    width10%


    Section


     

    Column
    width62%

    Include Page
    INCLIB:_bottom_barINCLIB:_bottom_bar


    Column
    width2%


    Column
    width26%
     


    Column
    width10%
    Include PageINCLIB:_navigation_buttons_styleINCLIB:_navigation_buttons_style Include PageINCLIB:doc_center_styleINCLIB:doc_center_style  Include PageINCLIB:_template_styleINCLIB:_template_style