Versjon 4.1 01 Dec 2023 

1          Innledning

Denne instruksen gjelder i hovedsak for rollene RA-ADMIN og Operatør, men den gir også retningslinjer knyttet til datalagring, oppbevaring og sletting.

Rollene RA-ADMIN og Operatør innehas av den eller de som har fått

fullmakt til utstedelse og administrasjon

av en eller flere av følgende eID-typer hos en virksomhet:

1. Lokale sertifikater - kun dersom BAM-klient * er satt opp og konfigurert for MixedMode

2. Buypass kvalifiserte sertifikater

3. Buypass ID-Nøkkel

*) Se pkt. 4 Støttesystemer

Virksomhet i denne sammenheng er en virksomhet som har inngått avtale med Buypass – «Avtale om utstedelse og administrasjon av Buypass eID».  Avtalen refereres til som RA-avtalen, og virksomheten som er avtalepart refereres til som Virksomhet.

Rollene RA-ADMIN og Operatør innehas av en eller flere personer som har tilknytning til Virksomhet for å ivareta tillitskjeden for utstedelse og administrasjon av

Buypass eID til personer tilknyttet Virksomhet, også kalt Sluttbrukere. 

1.1          eID underlagt instruksen

Denne RA-instruksen gjelder utstedelse og administrasjon av Buypass eID. Dersom det er særegne retningslinjer for enkelte typer eID fremkommer det tydelig av instruksen.

Avtalens omfang, ref. RA-avtalen pkt. 3 angir hvilke typer Buypass eID-er som skal utstedes og administreres i Virksomhet. RA-ADMIN/Operatør skal følge instruksene kun for eID angitt i RA-avtalen.

1. Buypass eID med kvalifiserte sertifikater
   Buypass er sertifikatutsteder for kvalifiserte sertifikater for elektronisk signatur (QTSP), regulert i Lov om elektroniske tillitstjenester, heretter referert til som Buypass kvalifiserte sertifikater.
   

   Buypass tar med dette også rollen som tilbyder av eID-ordninger (CSP) på eID nivå høyt. I tillegg er Buypass tilbyder av autentiseringstjenester (IDP) og signeringstjenester.
   

   Buypass tilbyr eID i ulike varianter basert på ulike teknologier. En av disse eID-variantene er PKI-basert med kvalifiserte sertifikater for fysiske personer. Dette er en teknologi som har spesielle egenskaper som gjør den attraktiv for mange bruksområder inkludert autentisering, signering og kryptering.
   

2. Buypass ID-Nøkkel
   Buypass er tilbyder av Buypass eID for sterk autentisering som er eID uten PKI (kvalifiserte sertifikater). Slik eID er regulert i Selvdeklarasjonsforskriften.

   Buypass eID for sterk autentisering kan benyttes for autentisering mot virksomhetsinterne, offentlige og private tjenester i Norge.

    

   Buypass ID-Nøkkel eller bare nøkkel består av et nøkkelpar som genereres i en enhet/bærer (nøkkelbrikke eller smartkort). Den private nøkkelen forblir i enheten, mens den offentlige nøkkelen knyttes til Sluttbrukers identitetskonto hos Buypass. Sluttbruker kontrollerer selv tilgang til nøklene i enheten med sin personlige PIN-kode. Buypass ID-Nøkkel leveres som eID på nivå høyt.

Både Buypass kvalifiserte sertifikater og Buypass ID-Nøkkel inngår i begrepet Buypass eID som benyttes videre i denne instruksen.

1.2         Eierskap og vedlikehold av instruksen

Buypass er eier av instruksen og derigjennom ansvarlig for å vedlikeholde instruksen ift. de oppgaver som instruksen til enhver tid skal dekke.

Buypass

skal informere Virksomheten ved endringer og oppdateringer av instruksen, ref. RA-avtalen pkt. 5.1.

Virksomheten ved Virksomhetsansvarlig[1]  har ansvar for å videreformidle slike endringer til Virksomhetens RA-ADMIN og Operatører, ref. RA-avtalen pkt. 5.2 underpunkt 10.

[1] Virksomhetsansvarlig er en person som er oppført med signaturrett eller i en annen rolle for Virksomheten slik det fremgår av Enhetsregisteret hos Brønnøysundregistrene, eller vedkommende er gitt fullmakt fra en slik person, ref. RA-avtalens pkt. 2.

2        Roller

2.1         Virksomhet

Virksomhet er den organisasjonen som har inngått RA-avtale med Buypass om utstedelse og administrasjon av Buypass eID.

2.2       RA-ADMIN

Rollen som RA-ADMIN utpekes av Virksomhetsansvarlig. En RA-ADMIN får delegert et overordnet operativt ansvar for utstedelse og administrasjon av Buypass eID på vegne av Virksomhet.   

Rollen delegeres til personell tilknyttet Virksomhetens Personalavdeling, HR-avdeling eller andre med tilsvarende oppgaveansvar.

2.3       Operatør

Rollen som Operatør utpekes av RA-ADMIN med delegert operativt ansvar for utstedelse og administrasjon av Buypass eID på vegne av Virksomhet. 

Rollen delegeres til personell på et ID-kontor, avdelingskontor, hos Kundeservice, eller andre med tilsvarende oppgaveansvar.

3        Oppgaver, ansvar og myndighet

3.1         Virksomhet

Virksomhet ved Virksomhetsansvarlig har det overordnede ansvaret for alle oppgaver tilknyttet utstedelse og administrasjon av Buypass eID, herunder informasjon som nevnt i punktet over. Virksomhetens ansvar er i sin helhet beskrevet i RA-avtalens pkt. 5.2.

All informasjon tilknyttet Buypass kvalifiserte sertifikater lagres og oppbevares hos Buypass. For Buypass eID for sterk autentisering vil informasjon i hovedsak lagres hos Buypass, men dersom Virksomhet i avtale med Buypass tar ansvar for at delprosesser gjennomføres med bruk av Virksomhetens egne systemer vil Virksomhet være ansvarlig for nødvendig informasjon og data.  Retningslinjer for innsamling, oppbevaring og sletting er beskrevet i pkt. 7.  

3.2       RA-ADMIN og Operatør

Rolleinnehaverne RA-ADMIN og Operatør har det daglige og operative ansvar for, samt rett og plikt til å:

1. følge instruks for personell som innehar rollene RA-ADMIN og Operatør, dvs. denne instruksen – dokumentreferanse se pkt. 5 underpunkt 2

2. utstede, administrere og tilbaketrekke Buypass eID for Sluttbrukere tilknyttet Virksomhet etter gjeldende krav og retningslinjer gitt i Brukerguide og retningslinjer – dokumentreferanse se pkt. 5 underpunkt 5 og/eller 6

3. benytte relevant applikasjon fra Buypass ved utstedelse og administrasjon av Buypass eID og sørge for at de innebygde rutinestegene blir fulgt. Se pkt. 4.

4. informere Sluttbruker om Buypass eID og materiell utarbeidet, herunder

   1. Buypass Kundeavtale – dokumentreferanse se pkt. 5 underpunkt 1

   2. krav til identitetskontroll ved utstedelse og administrasjon

   3. oppbevaring og sikring av informasjon ihht Personopplysningsloven

   4. bruk og eventuelle begrensninger i bruk av Buypass eID

   5. sluttbrukers ansvar for at eID og tilgang til private nøkler holdes under ene-kontroll og ikke misbrukes eller utleveres til andre

   6. sluttbrukers ansvar for å melde tap eller mistanke om misbruk

5. bistå Sluttbruker ifbm. ulike administrasjonsoppgaver, herunder:

   1. utstedelse av Buypass eID inkludert identitetskontroll gjennom å

      1. ansvarlig for identitetskontroll av Sluttbruker gjennom operatørassistert og manuell kontroll hvor Operatør har ansvar for at informasjon om fremvist identitetsdokument registreres i relevant applikasjon.

      2. bistå Sluttbruker ved identitetskontroll i form av assistanse dersom Sluttbruker gjennomføre selvbetjent digital verifisering av identitet basert på maskinell lesing av ID-dokument og biometrisk ansiktsgjenkjenning

   2. utstedelse av erstatnings eID dersom eID er glemt/tapt/stjålet

   3. fornyelse av smartkort og/eller sertifikater dersom Sluttbruker har eID med lokale og/eller kvalifiserte sertifikater

   4. utstedelse av midlertidige smartkort med lokalt sertifikat (Lånekort) dersom Virksomhet har slik løsning

   5. å bistå ved administrering av PIN-koder (glemt eller blokkert)

6. bistå Sluttbruker med å sperre/revokere Buypass eID når det er nødvendig
   

Tillegg for RA-ADMIN:

1. å registrere, melde inn og ut, hvilke personer som kan få Buypass eID med tilknytning til Virksomhet, også kalt provisjonering. Data overføres mellom Virksomhet og Buypass på en av følgende måter:

   1. I BAM-klienten, ref. pkt. 1, med egen funksjon for registrering og oppdatering av Sluttbrukere enten en og en eller som batch-kjøring med filer på XML eller JSON-format

   2. Automatisk fra Virksomhetens IAM/HR-system ol. ved bruk av API for administrasjon av identiteter, ref. pkt. 2
      
      Som en del av klargjøringen før eller ifbm selve overføringen blir Sluttbrukers identitet (FNR/DNR) sjekket opp mot Folkeregisteret (FREG).

2. å registrere, melde inn og ut, hvilke personer som skal tildeles rollen Operatør i Virksomhet. Data overføres mellom Virksomhet og Buypass på en av følgende måter:

   1. I BAM-klienten, ref. pkt. 1, med egne funksjoner for registrering eller tilbaketrekking av rollen Operatør

   2. Automatisk fra Virksomhetens IAM/HR-system ol. ved bruk av API for administrasjon av identiteter, ref. pkt. 2

3. å tilse at Operatører får opplæring i henhold til opplæringsopplegg og gjeldende retningslinjer, ref. pkt. 6

4. holde oppdatert oversikt over personell med fullmakt som Operatør og kunne forevise denne til Buypass på forespørsel. RA-ADMIN er ansvarlig for at det gjennomføres periodisk kontroll av rollen Operatør

4       Støttesystemer

Personell som utpekes i rollene RA-ADMIN og Operatør skal benytte støttesystem stilt til rådighet av Buypass ved utstedelse og administrasjon av Buypass eID.

4.1        Buypass kvalifiserte sertifikater

Buypass Access Solution (BAS) består av følgende komponenter:  

• BuypassAccess Manager (BAM) - Local Registration Authority (LRA). En administrasjonsklient for utstedelse og administrasjon av både/og eller enten/eller lokale sertifikater fra lokal Microsoft CA og kvalifiserte sertifikater fra Buypass CA

• Buypass Smartkort(SC) - smartkort med chip som kan inneholde begge typer sertifikater i tillegg til fysiske egenskaper som magnetstripe og RFID

• Buypass Access Enterprise(NetID) - klientprogramvare for installasjon på den enkeltes PC eller på terminalserver. Programvaren sørger for kommunikasjon med programmer som skal ha tilgang til å benytte sertifikatene på smartkortet

RA-ADMIN / Operatør må for å kunne utstede Buypass eID med kvalifiserte sertifikater logge på og identifisere seg med sin egen eID med kvalifisert sertifikat og personlige PIN-kode for å få tildelt korrekte rettigheter til BAM.

4.2       Buypass eID for sterk autentisering

Buypass Access Solution md ID-Nøkkel består av følgende komponenter:  

• Provisioning – api for administrasjon av Sluttbrukere og Operatører til UserStore hos Buypass

• User Portal – Selvbetjeningsklient for Sluttbrukere for registrering og administrasjon av Buypass ID-Nøkkel og persondata

• Operator Portal – Selvbetjeningsklient for Operatører for registrering og administrasjon av nøkler og sluttbrukere inkludert operatørassistert identitetskontroll

• OIDC authentication client – grensesnitt mot Buypass autentiseringstjeneste for bruk av Buypass ID-Nøkkel og/eller Buypass ID med kvalifiserte sertifikater

RA-ADMIN / Operatør må, for å kunne gjennomføre identitetskontroll og utstede Engangspassord (OTP), logge på og autentisere seg med sin egen nøkkel og personlige PIN-kode for å få tildelt korrekte rettigheter til Operatørklienten

5        Dokumentreferanser

Buypass har flere dokumenter som beskriver nærmere de krav, ansvar og forpliktelser som gjelder for Virksomhet i rollen som Buypass RA.

Felles for alle Buypass eID-er:

1. Kundeavtale med Buypass¹)

2. RA-instruks²)
   
   Spesielt for Buypass eID med kvalifiserte sertifikater gjelder: 

3. Certification Practice Statement (CPS) for Buypass Class 3 Qualified Certificates¹) 

4. PKI Disclosure Statement (PDS)¹) 

5. Brukerguide og retningslinjer for Buypass Access Manager²) – Buypass kvalifiserte sertifikater
   
   Spesielt for Buypass eID for sterk autentisering gjelder: 

6. Brukerguider og retningslinjer for Buypass Access Solution med ID-Nøkkel ²)

¹) Gjeldende versjon av Buypass Kundeavtale publiseres på Buypass nettsider.
²) Gjeldende versjoner av Instruks og Brukerguide publiseres på Buypass Eksterne Dokumentsenter.

Brukerguidene gir retningslinjer, informasjon og tips for gjennomføring av oppgavene for RA-ADMIN og Operatør. Brukerguidene inneholder beskrivelse av oppgavene steg for steg med bruk av relevante applikasjoner fra Buypass, skjermbilder, søk, PIN-koder etc. De viktigste prosessene er:

Buypass eID med kvalifiserte sertifikater

• Informasjon til ansatte ved utstedelse QC i virksomheter med RA-avtale - BAS  

• Identitetskontroll

• ID-kort - nytt, erstatning, fornyelse

• PIN-administrasjon

• Sperring/revokering av sertifikater

• Inn- og utmelding av Sluttbrukere / Preregistrering (RA-ADMIN)

• Inn- og utmelding av Operatører / Administrere Operatører (RA-ADMIN)

• Rapporter
  

Buypass eID for sterk autentisering

• Informasjon til ansatte ved utstedelse av eID

• Identitetskontroll

• Registrering av Buypass ID-Nøkkel – første gang og senere

• PIN-administrasjon

• Sperring/revokering

• Inn- og utmelding av Sluttbrukere (RA-ADMIN)

• Inn- og utmelding av Operatører (RA-ADMIN)

6       Kompetanse

Personell som innehar rollene RA-ADMIN og Operatør skal ha gjennomgått opplæring tilpasset rollen slik at alle krav, rutiner og forpliktelser gitt i denne instruksen etterleves i praktisering av rollen.

Buypass stiller ikke med eget opplæringsmateriell utover denne instruksen og tilhørende Brukerguide – dokumentreferanser pkt. 5 underpunkt 5 og/eller 6.

Virksomhet kan selv utarbeide materiell i form av guider og e-læringsprogrammer tilpasset sin Virksomhet.

Behov for ytterligere opplæring vurderes og planlegges

i forbindelse med en eventuell oppdatering av instruksen

eller retningslinjene, når rolleinnehaverne selv ber om det, eller når denne opplæringen inngår i et eget program for opplæring og kursing i Virksomhet.

7        Datainnsamling, oppbevaring og sletting

Dette punktet vil kun være gjeldende dersom Virksomheten i avtale tar ansvar for at delprosesser gjennomføres med bruk av Virksomhetens egne systemer.

7.1         Datainnsamling

Data knyttet til registrering av Sluttbruker, identitetsprosesser og utstedelse og bruk av eID skal samles inn og lagres i User Stores og operasjonene logges i audit- og eventlogger når regelverket krever det.

Dersom Virksomhet benytter applikasjoner og tjenester fra Buypass blir dataene samlet inn, lagret og oppbevart av og hos Buypass. Dersom Virksomheten i avtale med Buypass selv tar ansvar for en eller flere av delprosessene, vil Virksomheten være ansvarlig for datainnsamling, oppbevaring og senere sletting.

Data samles inn for følgende delprosesser:

1. Provisjonering - registrering av Sluttbrukere inkludert validering mot Folkeregisteret (FREG)

2. Identitetskontroll – informasjon om ID-dokument fremvist av Sluttbruker

3. Registrering og kobling av autentikator til Sluttbrukers identitetskonto - utstedelse eID

4. Bruk av eID - når Sluttbruker autentiserer, dvs. når ID-token utstedes

5. Administrasjon - endringer av Sluttbruker- eller eID-informasjon (livssyklusadministrasjon)

Standard oppsett og konfigurering av tjenesten er at Buypass er ansvarlig for innsamling, lagring og oppbevaring av data tilknyttet punktene i listen over.

7.1.1          Datainnsamling – Sluttbrukerinformasjon ifbm provisjonering

En Sluttbrukers norske identitetsnummer (FNR / DNR) og personstatus er det minste settet med Sluttbrukerattributter som samles inn, verifiseres og lagres i tillegg til mobilnummer som sluttbruker selv velger å registrere eller valgfrie virksomhetsspesifikke data som en unik virksomhetsID og organisasjonstilknytning.

Andre Sluttbrukerattributter kan innhentes fra FREG når det er nødvendig for å lette verifisering og kommunikasjon uten at data nødvendigvis lagres. Det kan være Sluttbrukerens navn (for-, mellom- og etternavn) og fødselsdato.

Overvåking av endringer av det norske identitetsnummeret og personstatus gjennomføres av Buypass på regulær basis, minimum daglig. Slike personoppdateringer kan føre til tilbakekalling av eID-er, for eksempel hvis status i FREG er satt til død, forsvunnet og utvandret. 

7.1.2         Datainnsamling – ID dokument informasjon ifbm identitetskontroll

For identitetskontroll-prosessen er det behov for å samle og registrere et sett med dataelementer koblet til fremvist ID-dokument. Enten vil dataene samles inn og registreres manuelt av RA-ADMIN/Operatør eller elektronisk hvis elektroniske metoder brukes som Nets Passport Reader og Buypass eID.

Følgende dataelementer samles inn, registreres og lagres:

1. Dokumenttype - type ID-dokument

2. Dokumentnummer - identitetsnummeret for selve ID-dokumentet, dvs. Passnr/Passport No i et pass, Kortnummer/Card No i et nasjonalt ID-kort, Førerkortnummer/Driving Licence No i et norsk førerkort eller Kontrollnr i et norsk Bank-kort

3. Dokumentets utløpsdato - utløpsdatoen/expiry date for selve ID-dokumentet

4. Utstedelsesland - landskode for hvilket land ID-dokumentet er utstedt (ISO 3166-1 landskode med tre bokstaver) 
   
   I tillegg lagres følgende når registrering og kontroll er fullført: 

5. Dato og tid for identitetskontroll 

6. Referanse til instans for gjennomført identitetskontroll – det vil være en av følgende:

   1. Operatøren som har utført manuell ansikt-til ansikt identitetskontroll

   2. ID-token fra NETS ved bruk av Nets Passport Reader og PDF med opplysninger fra chip i identitetsdokumentet

   3. ID-token fra Buypass og sertifikat serienummer ved bruk av Buypass eID med kvalifisert sertifikat på smartkort eller Buypass ID i mobil

7.2        Oppbevaring og sletting

Informasjon og data som samles inn og registreres som beskrevet i de foregående punktene skal lagres og oppbevares for å gi bevis på prosessene tilknyttet en eID’s livssyklus.

Ansvarlig, Buypass og/eller Virksomhet, må ha etablerte og dokumenterte rutiner som sikrer integriteten, tilgjengeligheten og konfidensialiteten til personopplysningene i henhold til Personopplysningsloven. 

Personopplysninger og data beskrevet i de foregående punktene skal ikke oppbevares lenger enn det som er nødvendig for å oppfylle formålet med behandlingen.  

For eID-er på nivå betydelig må dataene oppbevares i 7 år etter at Sluttbruker ikke lenger har aktive eID-er tilknyttet Virksomheten.