Dette er informasjon som skal gjøres tilgjengelig for ansatte og annet personell tilknyttet virksomheten ved utstedelse av eID på ulike enheter som smartkort og/eller mobiltelefon og nettbrett.

Informasjonen kan gis i skriftlig form som "Inforark" eller gjøres tilgjengelig på virksomhetens nettside.

Dette er i utgangspunktet tips og råd til informasjon som bør distribueres om Buypass kvalifiserte sertifikater fra oss i Buypass. En virksomhet kan lenke direkte hit eller ta utgangspunkt i innholdet å redigere og tilpasse informasjonen i forhold til virksomhetens egne lokale sertifikater og avtaler, rutiner og prosesser for disse.

RA-ADMIN og OPERATØRER har et ansvar for å informere sluttbruker, dvs. ansatte og annet personell tilknyttet virksomheten, om eID, dvs. informasjonen tilgjengelig på denne siden.

Sluttbruker skal gjøres oppmerksom på og informeres i forkant av førstegangsutstedelse av eID, og informasjonen skal være tilgjengelig så lenge Buypass kvalifiserte sertifikater og/eller lokale sertifikater fra virksomheten utstedes og brukes i tilknytning til virksomheten.

eID

En elektronisk ID (eID) er et identitetsbevis som bekrefter at du er den du gir deg ut for å være. 

En eID består gjerne av noe du har, i form av ulike enheter som smartkort eller mobiltelefon og noe du vet, som en personlig PIN-kode eller et personlig passord. 

Virksomheten eller en samarbeidende virksomhet er sertifikatutsteder for lokale sertifikater. Slike sertifikater er underlagt virksomhetens interne regler, eventuelt følger de samme regler som Buypass kvalifiserte sertifikater.  

Buypass er sertifikatutsteder for Buypass kvalifiserte sertifikater for elektronisk signatur, regulert i LOV 2018-06-15-44: Lov om elektroniske tillitstjenester. Heretter kalt Buypass kvalifiserte sertifikater.

Buypass kvalifiserte sertifikater tilfredsstiller kravene til ’Person Høyt’ ihht Kravspesifikasjonen for PKI i offentlig sektor, kan benyttes som eID på høyeste sikkerhetsnivå. Buypass kvalifiserte sertifikater kan også benyttes for avansert elektronisk signatur ihht Lov om elektroniske tillitstjenester.

De kvalifiserte sertifikatene er knyttet til en privat nøkkel som bare du har tilgang til, enten i smartkort eller lagret sentralt hos Buypass. Du kontrollerer selv tilgang til den private nøkkelen i smartkortet med din personlige PIN-kode. Tilsvarende kontrollerer du tilgangen til sentralt lagrede private nøkler ved bruk av en annen personlig eID på tilstrekkelig sikkerhetsnivå.

Buypass kvalifiserte sertifikater utstedes alltid i par, dvs. et autentiseringssertifikat og et for signering.

Dokumentreferanser Buypass kvalifiserte sertifikater

En rekke dokumenter beskriver de krav, ansvar og forpliktelser som gjelder for virksomheten i rollen som Buypass RA og for deg som sluttbruker når du får utstedt en eID i rollen som tilknyttet virksomheten.

1. Gjeldende versjoner av Buypass offisielle dokumenter finnes under CA Dokumentasjon på Buypass nettsider. (Lenke:https://www.buypass.no/sikkerhet/ca-dokumentasjon-juridisk). 
   Det viktigste for deg som sluttbruker er Buypass Kundeavtale. 
   
   
2. Gjeldende versjoner av retningslinjer ved utstedelse av Buypass kvalifiserte sertifikater finnes beskrevet under Buypass Access Solution på Buypass Eksterne Dokumentsenter. (Lenke: https://buypassdev.atlassian.net/wiki/spaces/BAS/overview).
   De viktigste punktene for deg som sluttbruker er lenket til nedenfor under beskrivelse av de enkelte rutinene.

Virksomhetens ansvar

Ansvarlig for virksomheten har blant annet det overordnede ansvar for:

• å bestemme hvilke personer som kan få Buypass kvalifiserte sertifikater med tilknytning til virksomheten, dvs hvem av ansatte og annet personell tilknyttet virksomheten (sluttbruker) 
• utstedelse og administrasjon av Buypass kvalifiserte sertifikater i virksomheten og at dette skjer ihht de krav og retningslinjer som gjelder. Dette inkluderer rett og plikt til å tilbakekalle sertifikat når en person ikke lenger er tilknyttet virksomheten eller når sertifikatet av andre grunner skal trekkes tilbake

• å informere sluttbruker om eID og virksomhetens rolle ved utstedelse og administrasjon av Buypass kvalifiserte sertifikater - denne informasjonssiden, eller innholdet her

• å sikre at dokumenter med personopplysninger som lagres lokalt blir oppbevart og sikret på en tilfredsstillende måte og ihht Personvernlovgivningen

Det operative arbeidet delegeres til personer med rollene RA-AMIN og Operatører.

Sluttbrukers ansvar

Du som sluttbruker har ansvar for:

• å lese informasjon om Buypass kvalifiserte sertifikater i forkant av førstegangsutstedelse av sertifikat - denne siden
• å holde seg oppdatert om eventuelle endringer som varsles fra Buypass og virksomheten - denne siden
• dersom du vet, eller har mistanke om, at enheten som brukes til en eID eller koden har kommet på avveie (mistet, stjålet eller kode er kjent for andre), skal du omgående endre koden, kontakte Operatør på virksomhetens ID-kontor eller kontakte Buypass sperretjeneste slik at eID din kan sperres

Ulike enheter som bærer av eID

Smartkort - Ansattkort

Et ansattkort kan omfatte mange funksjoner:

• Visuell legitimasjon av person med navn, signatur og bilde, samt visuell synliggjøring av bedriftstilhørighet til virksomheten med navn og logo
• Adgangsnøkkel til berøringsfrie kortlesere i virksomhetens lokaler
• Elektronisk ID med lokale sertifikater for tilgang til virksomhetens datasystemer. 
• Elektronisk ID med Buypass kvalifiserte sertifikater for tilgang til eksterne datasystemer og offentlige tjenester. Eksempler på slik bruk er autentisering og/eller signering ifht eResept, Kjernejournal, AltInn, NAV og tilsvarende

  Husk at du er avhengig av ansattkortet på jobb. Glem derfor ikke å ta med deg kortet.
  Du må ikke lages hull i kortene da det vil ødelegge antennen for berøringsfri adgangskontroll

ID@Work

Dette er en mobilbasert eID som kun kan benyttes for autentisering og signering i hovedsak på eksterne datasystemer og offentlige tjenester, men som også kan autorisere tilgang på interne systemer dersom virksomheten ønsker det. 

ID@Work består av Buypass kvalifiserte sertifikater som sammen med dine private nøkler ligger lagret sentralt hos Buypass. For å få tilgang til dine private nøkler må du autorisere tilgangen ved å bruke en mobilAPP (må aktiveres), samt en hemmelighet i form av PIN-kode som bare du kjenner til. Dette utgjør en tofaktor autentisering som sikrer at det bare er du, nøkkelens eier, som har tilgang til dine sentralt lagrede nøkler.

Utstedelse og administrasjon av eID med Buypass kvalifiserte sertifikater

Førstegangsutstedelse av eID med Buypass kvalifiserte sertifikater

• Virksomheten er ansvarlig for din tilknytning til virksomheten og Buypass er ansvarlig for å sjekke at du er registrert i Det Sentrale Folkeregister (DSF) og at registrert fødselsnummer (FNR) / D-nummer (DNR) og navn stemmer med det som er registrert i DSF. Dette skjer i en preregistreringsprosess.
  
  

• Første gang du får et smartkort eller ID@Work med Buypass kvalifiserte sertifikater må du fremvise gyldig legitimasjon - se retningslinjer knyttet til legitimering og legitimasjonskontroll
  
  

• Husk å ta med gyldig legitimasjon - se oversikt Godkjente legitimasjonsdokumenter

  • Norsk pass (unntatt utlendingspass)
  • Bankkort med bilde utstedt av norsk bank
  • Førerkort utstedt etter 01.04.1989
  • Postens ID-kort utstedt etter 01.10.1994
    
    
• Du må akseptere avtalevilkår. Buypass Kundeavtale gjelder for deg som har fått kvalifiserte sertifikater lastet i ansattkortet ditt eller tilgjengelig via mobil/nettbrett - se Buypass Kundeavtale
  
  
• Operatør vil foreta kontroll av fremvist legitimasjonsdokument og dokumentet blir skannet og lagret sammen med informasjon om sluttbrukers navn og evt fødselsnummer/D-nummer dersom virksomhet har konsesjon eller lovhjemmel for dette, aksept av Buypass Kundeavtale, sluttbrukers signatur, dato for utstedelse og Operatørens signatur
  
  
• informasjonen referert til i forrige punkt lagres i en PDF som kan lagres lokalt hos virksomheten på et dokumentområde med begrenset aksess, dvs kun autorisert personell har tilgang til dokumentene
  
  
• informasjonen referert til i forrige punkt inkludert kopi av innskannet legitimasjonsdokument overføres til Buypass ihht krav og retningslinjer for utstedelse av kvalifiserte sertifikat. Informasjonen er lagret hos Buypass i 10 år etter utløp av gyldighetsdato for sertifikatet
  
  
• sertifikater blir publisert, som betyr at Buypass oppdaterer LDAP og CRL  ved henholdsvis utstedelse og revokering/sperring av sertifikatet 

eID og ID-vett

En eID er personlig og gjør deg i stand til å benytte offentlige og private tjenester som tilbys på Internett og i andre kanaler i tillegg til bruk internt i bedriften. Elektronisk ID er en sikker løsning for elektronisk identifikasjon, bindende elektronisk signering av avtaler/dokumenter og evt. elektronisk betaling.  Se www.buypass.no for bruksområder og policy for elektronisk ID.

Viktig:

• Les bruker- og avtalevilkårene du får sammen med kortet, gjeldende henholdsvis for lokale og kvalifiserte sertifikater
• Kortet og PIN-koden er personlig og må håndteres på en sikker måte slik at de ikke kommer uvedkommende i hende
• Oppgi aldri PIN-koden til noen, selv ikke bank, politi etc
• PIN-koden bør læres utenat og må aldri oppbevares sammen med kortet
• Har du mistet kortet ditt, eller har mistanke om at noen har fått tilgang til kort eller PIN-kode, meld umiddelbart ifra til ID-kontoret for å få sperret kortet ditt

Mer om sikkerhet på Internett finner du på www.nettvett.no

Har du spørsmål eller problemer

Hvis du har mistet eller blitt frastjålet ansattkortet eller hvis er kortet ditt ødelagt, må du straks melde dette til ID-kontoret.

ID-kontoret er betjent …. Dager… klokkeslett…..

ID-kontoret kan hjelpe deg med:

• Mistet, stjålet eller ødelagt kort
• Glemt kort. Ta kontakt med ID-kontoret for å få et glemmekort. Husk gyldig legitimasjon.
• PIN-koder – har glemt eller mistet kodene eller du ønsker å endre dem. Husk gyldig legitimasjon.

PIN-koder
Til ansattkortet har du to PIN-koder – en for adgangskontroll og en som du selv setter for de elektroniske sertifikatene.

NB! Unngå å bruke samme tallkombinasjon for fysisk adgangskontroll og for elektroniske sertifikater.

Mest stilte spørsmål (FAQ)

Hva lagres av data om meg?

Se oversikt under GDPR og persondata i BAS-løsningen.

Hvorfor registreres hele fødselsnummeret (11 siffer)?

Registrering av fullt fødselsnummer (11 siffer) er nødvendig blant annet på grunn av krav til kontroll av identitet mot folkeregisteret ved utstedelse av kvalifiserte sertifikater.
Innsamling av opplysningene er godkjent av Datatilsynet. Oppbevaring og administrasjon av opplysningene følger strenge sikkerhetsprosedyrer som skal hindre misbruk.

Hva er gyldig legitimasjon?

Som gyldige legitimasjonsdokumenter regnes: 

• Norsk pass (unntatt utlendingspass)
• Bankkort med bilde utstedt av norsk bank
• Førerkort utstedt etter 01.04.1989
• Postens ID-kort utstedt etter 01.10.1994

For å være regnet som gyldige må dokumentene i tillegg ikke ha nådd utløpsdato.

Hvorfor må man vise gyldig legitimasjon? Og hva om man ikke har slik legitimasjon?

Legitimasjonen skal brukes for å bevise at du faktisk er den du utgir deg for å være.

Det er et absolutt krav ved førstegangs utstedelse av sertifikater til ansattkortet at du har gyldig legitimasjon. Har du ikke dette må det skaffes før utstedelse kan finne sted.

Har du har glemt/mistet kortet ditt og heller ikke kan fremvise gyldig legitimasjon, kan en 3. person gå god for deg. ID-kontoret har rutiner for dette.

Hvor mange forsøk har jeg på å taste PIN-kode?

Du har 3 forsøk på å taste PIN-kode før den blir blokkert/sperret.

Hva gjør jeg når jeg har tastet feil PIN for mange ganger eller ikke husker PIN-koden?

Ta kontakt med ID-kontoret.  Ta med gyldig legitimasjon.

Hva er smartkort?

Et smartkort er et plastkort på størrelse med et bankkort og har en integrert databrikke (chip). I chipen kan det lagres ulike programmer, blant annet en elektronisk ID som setter deg i stand til å benytte elektroniske tjenester.

Hva er PKI?

Står for Public Key Infrastructure og er et system for identifisering, signering og sikkerhet innen elektronisk kommunikasjon.  PKI kan ha signaturer på flere sikkerhetsnivå.

Hva er kryptering?

Kryptering betyr å gjøre fortrolig informasjon uleselig for andre enn den spesifiserte mottakeren. Med krypteringsteknologi kan man sikre fortrolig informasjon,

Hva er digitale sertifikater?

• Digitale sertifikater er en del av din digitale identitet og lagres i smartkortet ditt. Et sertifikat er et elektronisk dokument som knytter din digitale identitet sammen med annen informasjon, for eksempel navn, e-postadresse og firmanavn.
• En PIN-kode er en personlig sikkerhetskode som beskytter deg mot misbruk.  PIN-koden hindrer at andre kan misbruke ditt smartkort dersom du mister kortet ditt eller det blir stjålet.
• Lokale sertifikater er utstedt fra en lokal CA (sertifikatfabrikk) hos bedriften og brukes på smartkortet for sikker pålogging og autentisering i Microsoft pålogging, Server pålogging og ved bruk av VPN-klienter for sikring av fjernarbeidsplasser.
• Kvalifiserte sertifikater utstedes via Buypass fra LRA-PC (på ID-kontoret) som er underlagt lov om elektronisk signatur.  Denne type sertifikater kan benyttes av leger for å signere for eksemplen resepter som krever digitale signaturer i DIPS.

Hva er elektronisk signatur?

Elektronisk signatur er en generell betegnelse på teknikker som kan benyttes til å signere digital informasjon på tilsvarende måte som en håndskrevet signatur benyttes til å undertegne et papirdokument.

Hva er Buypass?

Buypass er en leverandør av kort- ID- og betalingstjenester. Buypass tilbyr deg som innehaver av kvalifiserte sertifikater flere brukeområder. Se www.buypass.no for bruksområder.

Hva er Buypasskonto?

Ved lasting av kvalifiserte sertifikater fra Buypass får alle tildelt en elektronisk konto hos Buypass (Buypasskonto). Betaling av varer og tjenester fra penger i Buypasskontoen kan gjøres på nettsteder som er knyttet opp i Buypass infrastruktur. Du velger selv om du vil bruke denne kontoen eller ikke.

Ved hjelp av tjenestene i Buypass minibank (NB! Ansattkortet må stå i kortleseren tilknyttet din pc) kan du få oversikt over og administrere pengene dine på Buypasskontoen.