Hvorfor Brukerstedssertifikat?
- Stine Granviken
Bakgrunn
Buypass Access Manager - BAM er implementert med et webservice-grensesnitt mot Buypass. Dette er skreddersydd for kommunikasjon mellom en BAM-klient og Buypass backend for sikker utveksling av data over Internett. BAM bruker https, men i tillegg benyttes et Buypass Brukerstedssertifikatet for signering av all utveksling av data mellom BAM og Buypass.
Buypass har en egen CA for Brukerstedssertifikater. Buypass Class 2 Merchant Certificate er det offisielle navnet på sertifikatene. CA'en er sertifisert, og vi er pålagt flere formelle krav til utstedelse og administrering av sertifikatene. Brukerstedssertifikatet må bestilles særskilt fra Buypass via inngåelse av en Abonnentavtale for Buypass Brukerstedsserifikater. Brukerstedssertifikatet er tilknyttet virksomheten, og det betyr at det samme sertifikatet kan benyttes for hver av virksomhetens BAM-klienter, dvs. på hver BAM-PC.
Abonnentavtalen er knyttet til anskaffelse og bruk av Brukerstedssertifikater - avtalen er 3-delt;
- selve Abonnentavtalen er hoveddelen (del 1),
- Registreringsskjema for Brukerstedssertifikater er del 2,
- Certification Practice Statement for Buypass Class 2 Merchant certificates er del 3.
Del 1 og 3 av Abonnentavtalen er åpne og offisielle. Gjeldende versjoner av disse dokumentene finnes på Buypass Dokumentsenter under beskrivelsen av Buypass Brukerstedssertifikater.
Del 2 gjøres tilgjengelig for virksomheten ifbm salgsprosess.
Abonnentavtalen inngås enten direkte med brukerstedet, eller med brukerstedets Integrasjonspartner.
Sertifikatbestiller og Aktiveringskodemottaker
I Abonnentavtalen står blant annet følgende formulering:
”Abonnenten autoriserer selv de personer og/eller den Integrasjonspartner som på vegne av Abonnenten skal kunne bestille og administrere Brukerstedssertifikater. De roller Abonnenten kan tildele personer og/eller Integrasjonspartner, kalles i det videre for Sertifikatbestiller og Aktiveringskodemottaker. Buypass forholder seg til Abonnenten som kontraktspart, og Abonnenten er ansvarlig for handlinger som Abonnentens Sertifikatbestillere og Aktiveringskodemottakere foretar.”
I denne sammenhengen vil LRA-Brukerstedet være Abonnent. Ved signering av Registreringsskjema aksepteres Abonnentavtalen og myndighet delegeres til de personer og/eller den Integrasjonspartner som på vegne av Brukerstedet/Abonnenten skal kunne bestille og administrere Brukerstedssertifikater. De personer hos LRA-Brukerstedet som har ansvaret for og drifter BAS-løsningen bør opptrer i rollene som Sertifikatbestiller og Aktivieringskodemottaker.
Definering av Brukerstedsavtale
Det som i Abonnentavtalen defineres som Brukerstedsavtale dekkes av Avtale om utstedelse og administrasjon av Buypass kvalifiserte sertifikater (RA-avtalen) som er inngått mellom virksomheten og Buypass. Det betyr også at begrepet Buypass Nett dekker tjenester knyttet til utstedelse av kvalifiserte sertifikater.
I Abonnentavtalens pkt 3 står følgende formulering:
”En abonnentavtale inngås ved å fylle ut, signere og sende Buypass Registreringsskjema (Del 2). Registreringsskjema skal signeres av Kontraktsignerer. I de tilfeller hvor Kontraktsignerer på Registreringsskjemaet og Brukerstedsavtalen er den samme, er det ikke behov for å bekrefte Kontraktsignerers myndighet. I de tilfeller hvor Kontraktsignerer på Registreringsskjema og Brukerstedsavtalen ikke er den samme, vil Buypass ved mottak kontakte Virksomheten for å få bekreftet Kontaktsignerers myndighet."
Signering
Kontraktsignerer bør være samme person som signerte RA-avtalen. Dersom annen person velges er det helt ok, men da vil Buypass rutinemessig få bekreftet signerer.