/
Informasjon til ansatte om eID, ID-kort og kortvett

Informasjon til ansatte om eID, ID-kort og kortvett

Buypass eID utstedes som Buypass ID-nøkkel, Buypass ID på smartkort eller Buypass ID i mobil eller ID@Work som vi kaller den som utstedes via virksomheter.

Her er informasjon om Buypass eID, hvordan den utstedes og administreres, samt noen råd til deg som eier av en Buypass eID.

Innhold:

eID

En elektronisk ID (eID) er et identitetsbevis som bekrefter at du er den du utgir deg for å være. 

En eID består gjerne av noe du har, i form av ulike enheter som nøkkelenhet, smartkort eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord. 

Virksomheten eller en samarbeidende virksomhet er utsteder for lokale eIDer som EntraID-nøkler eller lokale sertifikater. Lokale eIDer er underlagt virksomhetens interne regler, eventuelt følger de samme regler som Buypass eIDer.  

Buypass er utsteder av Buypass ID-nøkkel og Buypass kvalifiserte sertifikater, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester.  Fellesbetegnelse Buypass eID.

Buypass eID tilfredsstiller kravene til ’Person Høyt’ ihht eIDAS LoA High spesifisert i Commission Implementing Regulation (EU) 2015/1502 of 8 September 2015. Det inkluderer også norske tilpasninger gitt i Selvdeklarasjonsforskriften, Del3 § 19.Tilpasninger for nivå høyt.

Buypass kvalifiserte signeringssertifikat kan i tillegg benyttes for avansert elektronisk signatur ihht Lov om elektroniske tillitstjenester.

eIDene er knyttet til en privat nøkkel som bare du har tilgang til, enten i en nøkkelenhet, i et smartkort eller lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i nøkkelenheten eller smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig eID på tilstrekkelig sikkerhetsnivå, f.eks. mobiltelefon

Buypass kvalifiserte sertifikater utstedes alltid i par, dvs. et autentiseringssertifikat og et for signering.

 

Dokumentreferanser Buypass eID

En rekke dokumenter beskriver de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA og for deg som sluttbruker når du får utstedt en eID i rollen som tilknyttet virksomheten.

  1. Gjeldende versjoner av Buypass offisielle dokumenter finner du under CA Dokumentasjon på Buypass nettsider. (Lenke:https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk). 
    Det viktigste for deg som sluttbruker er Buypass Kundeavtale (NOR) - Customer-agreement (ENG). 

  2. Gjeldende versjoner av retningslinjer ved utstedelse av Buypass ID-nøkkel finner du beskrevet under Buypass Access Solution with ID-Key with ID key på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BFIS/overview). 
    De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.

  3. Gjeldende versjoner av retningslinjer ved utstedelse av Buypass eID med sertifikater finner du beskrevet under Buypass Access Solution på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview).
    De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.

 

Virksomhetens ansvar

Ansvarlig for virksomheten har blant annet det overordnede ansvar for:

  • å bestemme hvilke personer som kan få Buypass eID med tilknytning til virksomheten, dvs hvem av ansatte og annet personell tilknyttet virksomheten (sluttbruker) 

  • utstedelse og administrasjon av Buypass eID i virksomheten og at dette skjer ihht de krav og retningslinjer som gjelder. Dette inkluderer rett og plikt til å tilbakekalle eID når en person ikke lenger er tilknyttet virksomheten eller når eID av andre grunner skal trekkes tilbake

  • å informere sluttbruker om eID og virksomhetens rolle ved utstedelse og administrasjon av Buypass eID, om hvilke regler og rutiner som gjelder og eventuelle endringer i disse  - denne informasjonssiden eller tilsvarende

  • å sikre at dokumenter med personopplysninger som lagres lokalt blir oppbevart og sikret på en tilfredsstillende måte og ihht Personvernlovgivningen - se eget avsnitt nedenfor

Det operative arbeidet delegeres til personer med rollene RA-AMIN og Operatører.

 

Sluttbrukers ansvar

Du som sluttbruker har ansvar for:

  • å lese informasjon om Buypass eID i forkant av førstegangsutstedelse av eID - denne informasjonssiden eller tilsvarende

  • å holde deg oppdatert om eventuelle endringer som varsles fra Buypass og virksomheten - denne informasjonssiden eller tilsvarende

  • å passe på at din personlige kode som benyttes sammen med eID (PIN-kode eller passord som du selv velger) aldri overlates til andre, at den oppbevares slik at den ikke faller andre i hende eller at koden benyttes på slik måte at uvedkommende ikke kan få kjennskap til den

  • dersom du vet, eller har mistanke om, at enheten som brukes til en eID eller koden har kommet på avveie (mistet, stjålet eller kode er blitt kjent for andre), skal du omgående endre koden, eventuelt ta kontakt med virksomhetens ID-kontor eller Buypass sperretjeneste slik at eID din kan sperres

 

Enheter som bærer av eID

Nøkkelenhet - Yubikey eller tilsvarende

Dette er en upersonalisert nøkkelenhet hvor den ansatte får generert 2 nøkler - en privat som aldri forlater enheten og en offentlig som lagres hos Buypass.

Nøkkelteknologien som benyttes benevnes som Fido2-nøkler eller Passkeys. 

Buypass ID-nøkkel brukes for autentisering inn mot tjenester som krever eID på sikkerhetsnivå Høyt. EntraID-nøkkel som eventuelt utstedes lokalt i Virksomheten er knyttet til Microsofts infrastruktur og er ikke sertifisert under et sikkerhetsregime. og brukes derfor kun  for lokale systemer.

Du setter selv PIN-kode som knyttes til nøkkelenheten. En nøkkelenhet kan inneholde både en Buypass ID-nøkkel og en Entra ID-nøkkel. Begge er beskyttet av samme PIN-kode, men autentiserer deg som bruker inn mot ulike systemer.

 

Smartkort - Ansattkort

Et ansattkort kan omfatte mange funksjoner:

  • Visuell legitimasjon av person med navn, signatur og bilde, samt visuell synliggjøring av bedriftstilhørighet til virksomheten med navn og logo

  • Adgangsnøkkel til berøringsfrie kortlesere i virksomhetens lokaler

  • Lokale eIDer for tilgang til virksomhetens datasystemer. 

  • Buypass eID for tilgang til eksterne datasystemer og offentlige tjenester. Eksempler på slik bruk er autentisering og/eller signering ifht eResept, Kjernejournal, AltInn, NAV og tilsvarende

  Husk at du er avhengig av ansattkortet på jobb. Glem derfor ikke å ta med deg kortet på jobb 
  Du må ikke lage hull i kortet da det vil ødelegge antennen for berøringsfri adgangskontroll

 

ID@Work

Dette er en mobilbasert Buypass eID som kun kan benyttes for autentisering og signering i hovedsak på eksterne datasystemer og offentlige tjenester, men som også kan autorisere tilgang på interne systemer dersom virksomheten ønsker det. 

ID@Work består av Buypass kvalifiserte sertifikater som sammen med dine private nøkler ligger lagret sentralt hos Buypass. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en mobilAPP (må aktiveres), samt en hemmelighet i form av PIN-kode som bare du kjenner til. Dette utgjør en tofaktor autentisering som sikrer at det bare er du, nøkkelens eier, som har tilgang til dine sentralt lagrede nøkler.

Les mer om ID@Work her: ID@Work - ID i mobil.

 

Utstedelse av Buypass eID

Buypass ID-nøkkel

  • Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Folkeregister (FREG) og at registrert fødselsnummer (FNR) eller D-nummer (DNR) og navn stemmer med det som er registrert i FREG. Dette skjer i en preregistreringsprosess hvor du som sluttbruker ikke er involvert.

  • Når du får en ID-nøkkel, eller senere ved administrasjon av nøkkelen må du fremvise gyldig legitimasjon - se retningslinjer knyttet til legitimering og legitimasjonskontroll

  • Husk alltid å ta med gyldig legitimasjon - se oversikt Godkjente legitimasjonsdokumenter

    • Norsk eller utenlandsk pass 

    • Europeisk identitetskort (National Identity Card)

  • Etter førstegangsutstedelse må du akseptere avtalevilkårene. Det skjer første gang du bruker ID-nøkkelen for autentisering/innlogging. Ved større endringer av vilkårene vil du bli spurt om ny aksept. Buypass Kundeavtale gjelder for deg som får Buypass ID-nøkkel generert i en nøkkelenhet eller i et smartkort - se Buypass Kundeavtale (NOR) - Customer-agreement (ENG)

  • Informasjon som innhentes og oppbevares ifbm utstedelse og administrasjon av ID-nøkkel:  

    • Ved førstegangsutsedelse blir informasjon fra legitimasjonsdokument registrert. Informasjonen sjekkes mot Politiets taps- og statusregister. Om ok lagres dette sammen med informasjon om deg; fødselsnummer/D-nummer, virksomhetens unike id og evt avdelingstilhørighet, dato for aksept av Buypass Kundeavtale, dato for utstedelse og om Operatørassistert utstedelse hvem som var Operatør 

    • Ved senere utstedelse eller administrasjon vil du kunne bli spurt om å vise legitimasjonsdokument som bekreftelse av din identitet. I disse tilfellene vil kun en beskrivelse av dokumenttype lagres sammen med informasjon om deg med, som over, og hvem som var Operatør om du ikke har gjort det selv i selvbetjeningsportalen  

  • Informasjonen referert til i forrige punkt lagres hos Buypass i en database og i en revisjonslogg hos Buypass med begrenset aksess, dvs kun autorisert personell har tilgang til Informasjonen. Informasjon lagres hos Buypass i 7 år etter at ID-nøkkel ikke lenger er gyldig - se Buypass Kundeavtale og GDPR og persondata i BAS-løsningen

Buypass kvalifiserte sertifikater 

  • Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Folkeregister (FREG) og at registrert fødselsnummer (FNR) eller D-nummer (DNR) og navn stemmer med det som er registrert i FREG. Dette skjer i en preregistreringsprosess hvor du som sluttbruker ikke er involvert.

  • Når du får et smartkort eller ID@Work med Buypass kvalifiserte sertifikater, eller senere ved administrasjon av sertifikatene må du fremvise gyldig legitimasjon - se retningslinjer knyttet til legitimering og legitimasjonskontroll

  • Husk alltid å ta med gyldig legitimasjon - se oversikt Godkjente legitimasjonsdokumenter

    • Norsk eller utenlandsk pass 

    • Europeisk identitetskort (National Identity Card)

  • Ved førstegangsutstedelse må du akseptere avtalevilkårene. Ved større endringer av vilkårene vil du bli spurt om ny aksept. Buypass Kundeavtale gjelder for deg som får kvalifiserte sertifikater lastet i ansattkortet og/eller tilgjengelig via mobil/nettbrett - se Buypass Kundeavtale (NOR) - Customer-agreement (ENG)

  • Informasjon som innhentes og oppbevares ifbm utstedelse og administrasjon av sertifikater tilknyttet eID:  

    • Ved førstegangsutsedelse blir legitimasjonsdokument skannet. Dette lagres sammen med informasjon om navnet ditt, evt fødselsnummer/D-nummer dersom virksomhet har behandlingsgrunnlag eller lovhjemmel, aksept av Buypass Kundeavtale, din signatur, dato for utstedelse og Operatørens signatur 

    • Ved senere utstedelse eller administrasjon vil du kunne bli spurt om å vise legitimasjonsdokument som bekreftelse av din identitet. I disse tilfellene vil kun en beskrivelse av dokumenttype lagres sammen med informasjon om navnet ditt, evt fødselsnummer/D-nummer, dato for utstedelse og Operatørens signatur 

  • Informasjonen referert til i forrige punkt lagres i en PDF som kan lagres lokalt hos virksomheten på et dokumentområde med begrenset aksess, dvs kun autorisert personell har tilgang til dokumentene - se GDPR og persondata i BAS-løsningen

  • Informasjonen referert til i forrige punkt inkludert kopi av innskannet legitimasjonsdokument overføres til Buypass ihht krav og retningslinjer for utstedelse av kvalifiserte sertifikat. Informasjon om sertifikater lagres hos Buypass i 10 år etter utløp av gyldighetsdato for sertifikatet - se Buypass Kundeavtale og GDPR og persondata i BAS-løsningen

  • Sertifikater blir publisert, som betyr at Buypass oppdaterer CRL og LDAP ved henholdsvis utstedelse og revokering/sperring av sertifikatet 

 

CRL (Certificate Revocation List): Liste med sertifikater som er revokert eller sperret hos utstedende sertifikatautoritet (CA). Ved validering av sertifikater vil listen sjekkes for å sikre at sertifikatet er gyldig ifbm identifiering eller signering.

LDAP (Lightweight Directory Access Protocol): Publisering av sertifikater gjør det mulig å hente ut informasjon om den offentlige delen av et Buypass personlig- eller virksomhetssertifikater fra LDAP-tjenesten. 
Eks.: Den offentlige delen av et virksomhetssertifikat benyttes for å lese ut informasjon fra en melding som blir sendt mellom to parter - for eksempel mellom et legesenter og NAV.


Eksempel fra et Buypass kvalifisert sertifikat (autentiseringssertifikatet)

 

Administrasjon av Buypass eID

Buypass ID-nøkkel

Du kan selvbetjene deg i Selvbetjeningsportalen - husk at du må kunne logge på med gyldig eID:

  1. Sjekke din ID-nøkkel

  2. Utstede erstatningsnøkkel eller en ekstra om virksomheten tillater det

  3. Sperre/slette egen ID-nøkkel

  4. Sette ny PIN - avblokkere glemt PIN - se Administrasjon av ID-nøkler - Buypass Access Solution with ID Key - Confluence

  5. Nullstille nøkkelenhet se - Administrasjon av ID-nøkler - Buypass Access Solution with ID Key - Confluence

Du får hjelp på ID-kontoret til de samme operasjonene - husk gyldig legitimasjon.

Buypass kvalifiserte sertifikater

Du får hjelp på ID-kontoret til følgende - husk gyldig legitimasjon:

  1. Fornyelse av sertifikater på smartkort vil skje etter 3 år - se ID-kort - nytt, erstatning, fornyelse

  2. Erstatningskort dersom du har mistet, fått stjålet eller mistet kortet ditt - se ID-kort - nytt, erstatning, fornyelse

  3. Glemt ansttkortet hjemme?  Ta kontakt med ID-kontoret for å få et lånekort med lokale sertifikater slik at du får logget på domenet. 

  4. Legitimering og lagring/oppbevaring av informasjon - se avsnittet over om utstedelse av eID

  5. Endre / glemt eller blokkert PIN - se rutiner for PIN-administrasjon

  6. Om du har mistanke om misbruk av eID eller at uvedkommende kjenner din PIN-kode bør kort og koder sperres. Også når du avsluutter ditt arbeidsforhold hos virksomheten vil kort og sertifikater sperres - se Sperring/revokering av sertifikater

 Har du blokkert/lås PIN for Buypass kvalifiserte sertifikater kan du hjelpe seg selv via https://secure.buypass.no/smartcard-client/main. Du må autentisere seg med annen BuypassID eller BankID. PUK finnes ikke for disse kortene, så om du ikke har BuypassID eller BankID tilgjengelig må du ta kontakt med en Operatør og få hjelp på BAM-klienten.

eID og ID-vett

En eID er personlig og gjør deg i stand til å benytte offentlige og private tjenester som tilbys på Internett og i andre kanaler i tillegg til bruk internt i bedriften. Elektronisk ID er en sikker løsning for elektronisk identifikasjon, bindende elektronisk signering av avtaler/dokumenter og evt. elektronisk betaling.  Se www.buypass.no for bruksområder og policy (Privacy Policy) for elektronisk ID.

Viktig:

  • Les bruker- og avtalevilkårene du må akseptere før du kan ta eID i bruk - se Buypass Kundeavtale (NOR) - Customer-agreement (ENG)

  • Nøkkeleneht og/eller smartkortet og PIN-koden er personlig og må håndteres på en sikker måte slik at de ikke kommer uvedkommende i hende

  • Oppgi aldri PIN-koden til noen, selv ikke bank, politi etc

  • PIN-koden bør læres utenat og må aldri oppbevares sammen med nøkkelenhet eller smarkort

  • Har du mistet nøkkelenheten eller smartkortet ditt, eller har mistanke om at noen har fått tilgang til PIN-kode, meld umiddelbart ifra til ID-kontoret for å få sperret eIDen din 

Mer tips om sikkerhet på Buypass nettsider - Ditt personvern | Buypass AS