Informasjon til ansatte om eID, ID-kort og kortvett
Dette er informasjon som skal gjøres tilgjengelig for ansatte og annet personell tilknyttet virksomheten ved utstedelse av eID på enheter som smartkort og/eller mobiltelefon og nettbrett.
Informasjonen kan gis i skriftlig form som "Infoark", gjøres tilgjengelig på virksomhetens nettside eller lenke direkte hit.
Utgangspunktet for denne siden er å gi Virksomheten tips og råd i forhold til informasjon som bør distribueres om Buypass elektroniske IDer (eID). Et BAS Brukersted som i tillegg til å utstede Buypass kvalifiserte sertifikater også utsteder lokale sertifikater kan velge å benytte samme regler/rutiner for lokale sertifikater som de Buypass har for de kvalifiserte. Virksomheten kan ta utgangspunkt i innholdet på denne siden, redigere og tilpasse dette i forhold til virksomhetens egne sertifikater og avtaler, regler/rutiner, for så å publisere informasjonen for egne ansatte.
RA-ADMIN og OPERATØRER har et ansvar for å informere sluttbruker, dvs. ansatte og annet personell tilknyttet virksomheten, om eID, dvs. informasjonen tilgjengelig på denne siden.
Sluttbruker skal gjøres oppmerksom på og informeres i forkant av førstegangsutstedelse av eID, og informasjonen skal være tilgjengelig så lenge Buypass kvalifiserte sertifikater og/eller lokale sertifikater fra virksomheten utstedes og brukes i tilknytning til virksomheten.
eID
En elektronisk ID (eID) er et identitetsbevis som bekrefter at du er den du utgir deg for å være.
En eID består gjerne av noe du har, i form av ulike enheter som smartkort eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord.
Virksomheten eller en samarbeidende virksomhet er sertifikatutsteder for lokale sertifikater. Slike sertifikater er underlagt virksomhetens interne regler, eventuelt følger de samme regler som Buypass kvalifiserte sertifikater.
Buypass er sertifikatutsteder for Buypass kvalifiserte sertifikater, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester.
Buypass kvalifiserte sertifikater tilfredsstiller kravene til ’Person Høyt’ ihht eIDAS LoA High spesifisert i Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015. Det inkluderer også norske tilpasninger gitt i Selvdeklarasjonsforskriften, Del3 § 19.Tilpasninger for nivå høyt.
Buypass kvalifiserte sertifikater kan også benyttes for avansert elektronisk signatur ihht Lov om elektroniske tillitstjenester.
De kvalifiserte sertifikatene er knyttet til en privat nøkkel som bare du har tilgang til, enten i smartkort eller lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig eID på tilstrekkelig sikkerhetsnivå, f.eks. mobiltelefon
Buypass kvalifiserte sertifikater utstedes alltid i par, dvs. et autentiseringssertifikat og et for signering.
Dokumentreferanser Buypass kvalifiserte sertifikater
En rekke dokumenter beskriver de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA og for deg som sluttbruker når du får utstedt en eID i rollen som tilknyttet virksomheten.
- Gjeldende versjoner av Buypass offisielle dokumenter finner du under CA Dokumentasjon på Buypass nettsider. (Lenke:https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk).
Det viktigste for deg som sluttbruker er Buypass Kundeavtale (NOR) - Customer-agreement (ENG). - Gjeldende versjoner av retningslinjer ved utstedelse av Buypass kvalifiserte sertifikater finner du beskrevet under Buypass Access Solution på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview).
De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.
Virksomhetens ansvar
Ansvarlig for virksomheten har blant annet det overordnede ansvar for:
- å bestemme hvilke personer som kan få Buypass kvalifiserte sertifikater med tilknytning til virksomheten, dvs hvem av ansatte og annet personell tilknyttet virksomheten (sluttbruker)
- utstedelse og administrasjon av Buypass kvalifiserte sertifikater i virksomheten og at dette skjer ihht de krav og retningslinjer som gjelder. Dette inkluderer rett og plikt til å tilbakekalle sertifikat når en person ikke lenger er tilknyttet virksomheten eller når sertifikatet av andre grunner skal trekkes tilbake
å informere sluttbruker om eID og virksomhetens rolle ved utstedelse og administrasjon av Buypass kvalifiserte sertifikater, om hvilke regler og rutiner som gjelder og eventuelle endringer i disse - denne informasjonssiden eller tilsvarende
- å sikre at dokumenter med personopplysninger som lagres lokalt blir oppbevart og sikret på en tilfredsstillende måte og ihht Personvernlovgivningen - se eget avsnitt nedenfor
Det operative arbeidet delegeres til personer med rollene RA-AMIN og Operatører.
Sluttbrukers ansvar
Du som sluttbruker har ansvar for:
- å lese informasjon om Buypass kvalifiserte sertifikater i forkant av førstegangsutstedelse av sertifikat - denne informasjonssiden eller tilsvarende
- å holde deg oppdatert om eventuelle endringer som varsles fra Buypass og virksomheten - denne informasjonssiden eller tilsvarende
å passe på at din personlige kode som benyttes sammen med eID (PIN-kode eller passord som du selv velger) aldri overlates til andre, at den oppbevares slik at den ikke faller andre i hende eller at koden benyttes på slik måte at uvedkommende ikke kan få kjennskap til den
- dersom du vet, eller har mistanke om, at enheten som brukes til en eID eller koden har kommet på avveie (mistet, stjålet eller kode er blitt kjent for andre), skal du omgående endre koden, eventuelt ta kontakt med virksomhetens ID-kontor eller Buypass sperretjeneste slik at eID din kan sperres
Enheter som bærer av eID
Smartkort - Ansattkort
Et ansattkort kan omfatte mange funksjoner:
- Visuell legitimasjon av person med navn, signatur og bilde, samt visuell synliggjøring av bedriftstilhørighet til virksomheten med navn og logo
- Adgangsnøkkel til berøringsfrie kortlesere i virksomhetens lokaler
- Elektronisk ID med lokale sertifikater for tilgang til virksomhetens datasystemer.
- Elektronisk ID med Buypass kvalifiserte sertifikater for tilgang til eksterne datasystemer og offentlige tjenester. Eksempler på slik bruk er autentisering og/eller signering ifht eResept, Kjernejournal, AltInn, NAV og tilsvarende
Husk at du er avhengig av ansattkortet på jobb. Glem derfor ikke å ta med deg kortet på jobb
Du må ikke lage hull i kortet da det vil ødelegge antennen for berøringsfri adgangskontroll
ID@Work
Dette er en mobilbasert eID som kun kan benyttes for autentisering og signering i hovedsak på eksterne datasystemer og offentlige tjenester, men som også kan autorisere tilgang på interne systemer dersom virksomheten ønsker det.
ID@Work består av Buypass kvalifiserte sertifikater som sammen med dine private nøkler ligger lagret sentralt hos Buypass. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en mobilAPP (må aktiveres), samt en hemmelighet i form av PIN-kode som bare du kjenner til. Dette utgjør en tofaktor autentisering som sikrer at det bare er du, nøkkelens eier, som har tilgang til dine sentralt lagrede nøkler.
Les mer om ID@Work her: ID@Work - ID i mobil.
Utstedelse av eID med Buypass kvalifiserte sertifikater
- Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Folkeregister (FREG) og at registrert fødselsnummer (FNR) eller D-nummer (DNR) og navn stemmer med det som er registrert i FREG. Dette skjer i en preregistreringsprosess hvor du som sluttbruker ikke er involvert.
- Når du får et smartkort eller ID@Work med Buypass kvalifiserte sertifikater, eller senere ved administrasjon av sertifikatene må du fremvise gyldig legitimasjon - se retningslinjer knyttet til legitimering og legitimasjonskontroll
Husk alltid å ta med gyldig legitimasjon - se oversikt Godkjente legitimasjonsdokumenter
- Norsk eller utenlandsk pass
- Europeisk identitetskort (National Identity Card)
- Ved førstegangsutstedelse må du akseptere avtalevilkårene. Ved større endringer av vilkårene vil du bli spurt om ny aksept. Buypass Kundeavtale gjelder for deg som får kvalifiserte sertifikater lastet i ansattkortet og/eller tilgjengelig via mobil/nettbrett - se Buypass Kundeavtale (NOR) - Customer-agreement (ENG)
- Informasjon som innhentes og oppbevares ifbm utstedelse og administrasjon av sertifikater tilknyttet eID:
- Ved førstegangsutsedelse blir legitimasjonsdokument skannet. Dette lagres sammen med informasjon om navnet ditt, evt fødselsnummer/D-nummer dersom virksomhet har behandlingsgrunnlag eller lovhjemmel, aksept av Buypass Kundeavtale, din signatur, dato for utstedelse og Operatørens signatur
- Ved senere utstedelse eller administrasjon vil du kunne bli spurt om å vise legitimasjonsdokument som bekreftelse av din identitet. I disse tilfellene vil kun en beskrivelse av dokumenttype lagres sammen med informasjon om navnet ditt, evt fødselsnummer/D-nummer, dato for utstedelse og Operatørens signatur
- Informasjonen referert til i forrige punkt lagres i en PDF som kan lagres lokalt hos virksomheten på et dokumentområde med begrenset aksess, dvs kun autorisert personell har tilgang til dokumentene - se GDPR og persondata i BAS-løsningen
- Informasjonen referert til i forrige punkt inkludert kopi av innskannet legitimasjonsdokument overføres til Buypass ihht krav og retningslinjer for utstedelse av kvalifiserte sertifikat. Informasjon om sertifikater lagres hos Buypass i 10 år etter utløp av gyldighetsdato for sertifikatet - se Buypass Kundeavtale og GDPR og persondata i BAS-løsningen
- Sertifikater blir publisert, som betyr at Buypass oppdaterer CRL og LDAP ved henholdsvis utstedelse og revokering/sperring av sertifikatet
CRL (Certificate Revocation List): Liste med sertifikater som er revokert eller sperret hos utstedende sertifikatautoritet (CA). Ved validering av sertifikater vil listen sjekkes for å sikre at sertifikatet er gyldig ifbm identifiering eller signering.
LDAP (Lightweight Directory Access Protocol): Publisering av sertifikater gjør det mulig å hente ut informasjon om den offentlige delen av et Buypass personlig- eller virksomhetssertifikater fra LDAP-tjenesten.
Eks.: Den offentlige delen av et virksomhetssertifikat benyttes for å lese ut informasjon fra en melding som blir sendt mellom to parter - for eksempel mellom et legesenter og NAV.
Eksempel fra et Buypass kvalifisert sertifikat (autentiseringssertifikatet)
Administrasjon av eID med Buypass kvalifiserte sertifikater
Du får hjelp på ID-kontoret til følgende - husk gyldig legitimasjon:
- Fornyelse av sertifikater på smartkort vil skje etter 3 år - se ID-kort - nytt, erstatning, fornyelse
- Erstatningskort dersom du har mistet, fått stjålet eller mistet kortet ditt - se ID-kort - nytt, erstatning, fornyelse
- Glemt ansttkortet hjemme? Ta kontakt med ID-kontoret for å få et lånekort med lokale sertifikater slik at du får logget på domenet.
- Legitimering og lagring/oppbevaring av informasjon - se avsnittet over om utstedelse av eID
- Endre / glemt eller blokkert PIN - se rutiner for PIN-administrasjon
- Om du har mistanke om misbruk av eID eller at uvedkommende kjenner din PIN-kode bør kort og koder sperres. Også når du avsluutter ditt arbeidsforhold hos virksomheten vil kort og sertifikater sperres - se Sperring/revokering av sertifikater
Har du blokkert/lås PIN for Buypass kvalifiserte sertifikater kan du hjelpe seg selv via https://secure.buypass.no/smartcard-client/main. Du må autentisere seg med annen BuypassID eller BankID. PUK finnes ikke for disse kortene, så om du ikke har BuypassID eller BankID tilgjengelig må du ta kontakt med en Operatør og få hjelp på BAM-klienten.
eID og ID-vett
En eID er personlig og gjør deg i stand til å benytte offentlige og private tjenester som tilbys på Internett og i andre kanaler i tillegg til bruk internt i bedriften. Elektronisk ID er en sikker løsning for elektronisk identifikasjon, bindende elektronisk signering av avtaler/dokumenter og evt. elektronisk betaling. Se www.buypass.no for bruksområder og policy (Privacy Policy) for elektronisk ID.
Viktig:
- Les bruker- og avtalevilkårene du får sammen med kortet, gjeldende henholdsvis for lokale og kvalifiserte sertifikater
- Kortet og PIN-koden er personlig og må håndteres på en sikker måte slik at de ikke kommer uvedkommende i hende
- Oppgi aldri PIN-koden til noen, selv ikke bank, politi etc
- PIN-koden bør læres utenat og må aldri oppbevares sammen med kortet
- Har du mistet kortet ditt, eller har mistanke om at noen har fått tilgang til kort eller PIN-kode, meld umiddelbart ifra til ID-kontoret for å få sperret kortet ditt
Mer tips om sikkerhet på Internett finner du på www.nettvett.no