Gjennomføring av identitetskontroll i BAM-klienten

Identitetskontroll

Identitetskontroll er del av den innledende prosessen for å etablere en identitetskonto for en Sluttbruker.

En etablert identitetskonto er forutsetning for at Sluttbrukeren senere skal kunne registrere en eller flere autentikatorer / eID-er og få denne/disse knyttet til sin identitetskonto.

For å etablere identitetskontoen kreves at Sluttbruker fremviser et godkjent identitetsdokument (ID-dokument)

 

Når kreves identitetskontroll?

Funksjon, type sertifikat som utstedes og hvilken modus BAM-klienten er satt opp i avgjør hvordan identitetskontrollen gjennomføres. Hovedregel er:

  1. Nytt kort og sertifikat: Bruker må akseptere kortholder-/brukerstedsvilkår, signere og fremvise gyldig identitetsdokument som skannes - dette kaller vi FULL identitetskontroll
     

  2. Erstatningskort: Bruker må fremvise gyldig identitetsdokument. Det er ikke krav til aksept av vilkår, signering eller skanning, men BAM-klienten kan konfigureres til å kreve skanning også ved utstedelse av erstatningskort
     

  3. Fornyelse: Bruker benytter eget kort og PIN for identifisering.

    1. Dersom sertifikat(ene) på kortet fortsatt er gyldig er mulig å fornye kvalifiserte sertifikater en gang (Kortet har 6 års levetid og de kvalifiserte sertifikatene 3 år)

    2. Dersom kvalifisert sertifikat på kortet og dette er utløpt eller sperret/revokert, selv om selve kortet ennå ikke har nådd utløpsdato, kan sertifikat ikke fornyes. Det må utstedes erstatningskort

    3. Dersom kun lokalt sertifikat på kortet og om dette er gyldig eller utløpt vil det være mulig å fornye sertifikatet. Det ligger ingen restriksjoner på gjenbruk av kort i klienten

    4. Dersom kun lokalt sertifikat på kortet og dette er sperret/revokert må det utstedes erstatningskort

  4. Låse opp PIN eller få aktiveringskode til ID@Work i BAM: Bruker må fremvise gyldig identitetsdokument.

  5. Få aktiveringskode til ID@Work i Selvbetjeningsklient: Bruker må gjennomføre en autentisering/pålogging til selvbetjeningsklienten med bruk av eID - Buypass ID på smartkort.

 

For punktene 2-4 kan tredjepartslegitimering og Operatørlegitimering benyttes - se nedenfor.

 

Operatør-assistert identitetskontroll

Dette er et fysisk oppmøte hvor Sluttbruker møter Operatøren ansikt til ansikt og fremviser gyldig identitetsdokument.

Identitetskontrollen består av fem steg:

  1. Kontroll av identitetsdokumentet

  2. Brukers aksept av avtalevilkår

  3. Innhente brukers signatur 

  4. Skanne identitetsdokument

  5. Godkjenning og signering av Operatør

 

 

Kontroll av identitetsdokument

Se krav til identitetsdokument, hvilke som er gyldige og oversikt over referanseregister - Gyldige identitetsdokument.
Se prosedyre for gjennomføring av operatørassistert identitetskontroll - Identitetskontroll.

 

Brukeren kunne vise gyldig identitetsdokument ved førstegangsutstedelse av kort og sertifikat. Dersom bruker ikke har med identitetsdokument må Operatøren be vedkommende komme tilbake når han/hun har dokumentasjonen klar.

Dispensasjonsrutine - ta kontakt med Buypass.

 

Registrering av identitetsdokument - se Mapping identitetsdokumenter mot valg i BAM-klienten.

 

 

Aktiv aksept av brukererklæring avtalevilkår

Før oppmøte på ID-kontoret bør Sluttbruker ha mottatt og lest brukererklæring og avtalevilkår for henholdsvis lokale og kvalifiserte sertifikater. Bedriften må selv bestemme om egen brukererklæring for lokale sertifikater skal benyttes og eventuelt utarbeide denne.

Ved utstedelse av kvalifiserte sertifikater gjelder de til enhver tid gjeldende avtalevilkårene - se Reguleringer og kriterier for Buypass eID og kvalifiserte sertifikater.

 

Operatøren må levere ut/vise til avtalevilkår for kvalifiserte sertifikater hvis Sluttbruker ikke har mottatt og/eller lest dokumentasjonen på forhånd. Utstedelse av sertifikater skal først utføres når Sluttbruker kan akseptere innholdet i brukererklæring og/eller avtalevilkår for kvalifiserte sertifikater.

Hvis Sluttbruker ikke ønsker å akseptere innholdet i brukererklæring og/eller avtalevilkår for kvalifiserte sertifikater, skal ikke sertifikater utstedes.

Bedriften kan selv bestemme om Sluttbruker skal akseptere en brukererklæring ved utstedelse av kort med kun lokale sertifikater eller ikke. Dette kan konfigureres.

 

 

Signering

Som et ledd i identitetskontrollen skal Sluttbruker signere på signaturplaten. Signaturen hentes og vises i BAM-klienten for kontroll mot signatur i fremvist identitetsdokument. Signaturene må ha tydelig fellestrekk for at den skal godkjennes. I tvilstilfeller skal Operatøren be Sluttbruker signere på nytt. I de tilfeller hvor Operatøren mener at signaturene fravikes for mye, skal sertifikater ikke utstedes.

Signering er påkrevd ved utstedelse av kvalifiserte sertifikater. Bedriften kan selv bestemme om Sluttbruker skal signere ved kun utstedelse av lokale sertifikater eller ikke. Dette kan konfigureres.

 

 

Skanning

Som et ledd i identitetskontrollen skal identitetsdokumentet skannes inn. Formatet på skanneren som benyttes er A6. Nasjonalt ID-kort kan legges inn i skanneren liggende. Pass må legges inn på høy kant grunnet størrelsen. Innskannet bilde av pass blir derfor dreid 90 grader. Innskannet dokument må ha tydelig fellestrekk for at den skal godkjennes. I tvilstilfeller skal Operatøren skanne på nytt.

Skanning av identitetsdokumentet er påkrevd ved utstedelse av kvalifiserte sertifikater. Bedriften kan selv bestemme om identitetsdokument skal skannes ved kun utstedelse av lokale sertifikater eller ikke. Dette kan konfigureres.

Det må innarbeides rutine for å levere tilbake identitet etter at innskanning er ferdigbehandlet.

 

 

Godkjenning og signering av Operatør

Når identitetskontroll er gjennomført godkjenner Operatør denne ved med en signering. Det gjøres ved at Operatør taster PIN. Det genereres en signert PDF som lagres på lokalt dokumentregister, samt at alle PDF-er som gjelder kvalifiserte sertifikater overføres og lagres hos Buypass for sporbarhet og bevis.

 

 

 

Identitetskontroll med KORT og PIN

I de tilfeller hvor Sluttbruker kan identifisere seg i form av sitt eget gyldige ID-kort/ansattkort, skal Sluttbruker først levere ID-kortet til Operatøren. Operatøren verifiserer at fremmøtt person er den samme som innehaver av ID-kortet før Sluttbruker setter ID-kortet kortleseren og Sluttbruker kan taste PIN-koden.

 

 

Identitetskontroll med tredjepartslegitimering

I de tilfeller hvor Sluttbruker ikke kan fremvise gyldig og godkjent identitetsdokument, er det mulig at en tredjepart kan identifisere/gå god for Sluttbruker.

Forutsetning for å være tredjepart er:

  • Vedkommende er selv Sluttbruker med tilknytning til eller er ansatt i bedriften

  • Vedkommende har ID-kort med gyldig sertifikat (samme type som det Sluttbruker senere skal ha utstedt - lokalt/kvalifisert)

  • Vedkommende kan identifisere seg med PIN-kode for sertifikat

  • Vedkommende må kjenne Sluttbruker og kan oppgi personalia, for eksempel fullt navn og eventuelt at vedkommende er Sluttbrukerens overordnede i bedriftens organisasjonskart

Hvis funksjonen som skal gjennomføres involverer utstedelse av kvalifiserte sertifikater, skal Operatøren i tillegg kontrollere Sluttbruker mot tidligere innskannet identitetsdokument. BAM-klienten henter og viser en kopi av tidligere innskannet identitetsdokument.

 

Kan ikke brukes ved førstegangsutstedelse.

Dette er en muligheter som må skrus på/av i konfigureringen av BAM-klienten (Third party ID control - Enabled/Disabled). Se Configuration Application Tool - guide under fanen IssueProcess i MASTER filen.

 

 

Identitetskontroll med Operatøridentifisering

I de tilfeller hvor Sluttbruker ikke kan fremvise gyldig og godkjent identitet, eller organisasjonen er så liten at Operatøren "kjenner alle" er det mulig at Operatør kan identifisere/gå god for Sluttbruker/den ansatte.

Dette kan typisk benyttes i mindre organisasjoner hvor Operatøren kjenner alle de ansatte og vet at "Tom" er "Tom" uten at vedkommende må vise identitetsdokument. Om dette tillates må det avtales og avklares med organisasjonens Sikkerhetsavdeling.


Kan ikke brukes ved førstegangsutstedelse.

Dette er en muligheter som må skrus på/av i konfigureringen av BAM-klienten (Allow Operator identification - ON/OFF). Se Configuration Application Tool - guide under fanen IssueProcess i MASTER filen.

 

 

 

Bruk av elektronisk identitet (eID) – Buypass ID

Bruk av Elektronisk identitet (eID) som identitetskontroll betyr at Sluttbruker benytter en eksisterende gyldig eID og gjennom en autentisering for å bekrefte sin identitet.

Buypass ID på smartkort (også bedriftskort) eller Buypass ID i mobil (Privat eller ID@Work) kan benyttes.

 

Denne metoden kan kun benyttes for å få aktiveringskode til ID@Work: Bruker må gjennomføre en autentisering/pålogging til selvbetjeningsklienten med bruk av eID.

Lenke: Selvbetjeningsklient for aktiveringskode ID@Work