Avtale om BrukerstedsBankID mellom

Transkript

1 Avtale om BrukerstedsBankID mellom Bedriftens navn: Bankens navn: Organisasjonsnummer: Organisasjonsnummer: Gateadresse: Gateadresse: Postnummer og sted: Postnummer og sted: Land: Telefon: Kryss av under for å angi om bedriften ønsker at kundene skal kunne benytte BankID på mobil på bedriftens nettside. Dette er en tilleggsfunksjon som går inn under denne avtalen. (Bedriften må i tillegg inngå avtale med teleoperatør. Banken kan formidle kontakt). Ja Nei Avtaledokumenter Dette dokumentet består av avtalevilkår for tilgang til og bruk av BrukerstedsBankID, samt opplysninger, erklæringer og fullmakter som må avgis fra bedriften. Følgende dokumenter inngår i denne Avtalen: Avtalens forside (dette dokument) Vedlegg 1 Kontaktperson og fullmakter i bedriften for BrukerstedsBankID Vedlegg 2 Informasjon om bedriften og teknisk løsning for BrukerstedsBankID Vedlegg 3 Erklæring fra brukersteder som har behov for å innhente fødselsnummer Vedlegg 4 Avtalevilkår for BrukerstedsBankID Vedlegg 5 Lisensbetingelser BankID server programvare og dokumentasjon Vedlegg 6 Sikkerhetsråd for aktivering og bruk av BrukerstedsBankID Bedriften gis tilgang til programvare og dokumentasjon for teknisk implementering etter signering av avtalen. Undertegnede innestår for at informasjonen som er oppgitt i vedleggene er korrekt, og at vilkår og betingelser i vedleggene aksepteres og følges. Dersom bedriften ønsker å innhente fødselsnummer, må særskilt erklæring i Vedlegg 3 Avtalevilkår for BrukerstedsBankID signeres i tillegg til denne forsiden. 1 (10)

2 Kontaktperson og fullmakter i bedriften for BrukerstedsBankID Når det gjelder fullmakter, vises til avtalevilkårenes pkt. 4 og 5. Navn: 1. Bankens kontaktperson i bedriften Mobilnummer: E-postadresse: Navn 1: 2. Fullmakt til å bestille og administrere BrukerstedsBankID Mobilnummer: E-postadresse: Navn 2: Mobilnummer: E-postadresse: Navn 1: 3. Fullmakt til å motta (aktiverings-url og installasjonskode) og fornye BrukerstedsBankID Mobilnummer (for mottak av installasjonskode): E-postadresse (for mottak av aktiverings-url): Navn 2: Mobilnummer (for mottak av installasjonskode): E-postadresse (for mottak av aktiverings-url): Dersom ovennevnte person/er opptrer på vegne av en annen bedrift, oppgis informasjon om bedriften under: Navn: 4. Fullmakt til å godkjenne test (Egenerklæring som skal sendes bank) Navn: Mobilnummer: E-postadresse: Dersom fullmakt gis person i en annen bedrift, oppgis informasjon om bedriften under: Navn: 2 (10)

3 Informasjon om bedriften og teknisk løsning for BrukerstedsBankID Teknisk informasjon Navn som skal fremkomme i BankID klient når virksomhetens kunder bruker BankID (visningsnavn): Nettadresse/produksjons-URL (offentliggjøres på bankid.no): Skal kunder kunne benytte BankID på mobil? (Ref. avtalens forside). Ja Nei Ønsker bedriften å innhente fødselsnummer og/eller organisasjonsnummer?. Hvis ja for fødselsnummer, må erklæring i Vedlegg 3 Avtalevilkår for BrukerstedsBankID avgis. Organisasjonsnummer krever ingen erklæring. Fødselsnummer: Ja Nei Fødselsnummer: Ja Nei Skal sertifikatet benyttes i en HSM (Hardware Security Module)? * Ja Nei * Dette må avklares før BrukerstedsBankID bestilles. Banken kan gi informasjon om produkter som er testet ut. Person/personer i bedriften som skal informeres ved nye programvareversjoner eller driftsrelatert informasjon Navn: Mobilnummer: E-postadresse: Navn: Mobilnummer: E-postadresse: Konto som skal belastes for avtale om BrukerstedsBankID 3 (10)

4 Vedlegg 3 Erklæring fra brukersteder som har behov for å innhente fødselsnummer Tillegg til punkt 12 for autoriserte brukersteder I forbindelse med vurdering av gyldigheten av et sertifikat vil banken på kundens forespørsel også utlevere meldingsavsenders (innehaver av PersonBankID) fødselsnummer. Kunden kan bare be om fødselsnummer dersom meldingsavsender har oppgitt dette i dialog med kunden, eller kunden har lovhjemmel for å registrere fødselsnummer i sine registre. Kunden kan bare benytte utlevert fødselsnummer for å sikre entydig identifisering av innehaver av BankID og må påse at behandlingen for øvrig er i samsvar med kravene til behandling av personopplysninger i personopplysningsloven 8,11 og 12. I dialog med innehaver av BankID har kunden plikt til å opplyse om hjemmel for å innhente og benytte fødselsnummer. Dersom samtykke til utlevering av fødselsnummer mangler og dette medfører at BankID ikke kan benyttes mot enkelte av tjenestene bedriften tilbyr, skal kunden opplyse om dette og hvilke konsekvenser dette har for meldingsavsender. Kunden skal gi banken en begrunnet erklæring om at vilkårene for å be om utlevering av fødselsnummer foreligger for kundens vedkommende og at utlevering av fødselsnummer etter avtalen her og eventuell senere behandling av mottatt fødselsnummer ikke blir brukt i strid med avtalen eller personopplysningslovens regler. Banken kan når som helst kreve at kunden dokumenterer at forutsetningene for å be om utlevering av fødselsnummer er oppfylt. Erklæring fra brukersteder som har lovhjemmel til å registrere fødselsnummer for bedriftens kunder 1) : Undertegnede kunde (brukersted) har hjemmel i (lov og paragraf) til å behandle våre kunders fødselsnummer. Vi erklærer at vi bare vil be banken utlevere fødselsnummer så langt den angitte lovhjemmelen rekker. Vi erklærer dessuten at eventuell senere behandling av mottatt fødselsnummer ikke vil skje i strid med hjemmelsgrunnlaget, avtalen her eller personopplysningslovens regler. Sted og dato Kundens (bedriftens) underskrift Erklæring fra brukersteder som trenger samtykke fra bedriftens kunder til å registrere fødselsnummer: Undertegnede kunde (brukersted) har behov for å registrere våre kunders fødselsnummer i forbindelse med 1) Dette vil typisk gjelde offentlig forvaltningsorganer, banker, forsikringsselskaper osv. (formålet med behandlingen). Vi erklærer at vi bare vil be banken utlevere fødselsnummer dersom det foreligger samtykke fra vår kunde som gir banken tillatelse til å utlevere vedkommendes fødselsnummer til oss. Vi erklærer dessuten at eventuell senere behandling av mottatt fødselsnummer ikke vil skje i strid med det avgitte samtykket, avtalen her eller personopplysningslovens regler. Sted og dato Kundens (bedriftens) underskrift 4 (10)

5 Mønster til: Vedlegg 4 Avtalevilkår for BrukerstedsBankID 1. Kort beskrivelse av tjenesten BrukerstedsBankID er ett eller flere elektronisk(e) sertifikat(er) med tilhørende programvare som en sertifikatholder (heretter benevnt kunden) kan benytte for å lage elektroniske signaturer som skal sikre elektronisk meldingsutveksling, herunder elektronisk avtaleinngåelse. Sikring skjer ved at den elektroniske signaturen bekrefter avsenders identitet, knytter meldingen til avsender og gjør det mulig å oppdage endringer i meldingen. Tillegg ved fellesutsteder: Det er NN som utsteder de BrukerstedsBankID som banken inngår avtale med sine kunder om. Det er imidlertid Banken som inngår avtale med kunden og som overfor kunden og andre brukere av BankID har ansvar for at de oppgaver som utsteder normalt har utføres på en tilfredsstillende måte. Bankens erstatningsansvar er regulert i avtalens pkt 13. Spørsmål og andre henvendelser vedrørende BankID rettes til banken. 2. Hvem kan få BrukerstedsBankID BrukerstedsBankID kan utstedes til enkeltpersonsforetak og juridiske personer (privat eller offentlig virksomhet og forvaltning) som er registrert i Enhetsregisteret eller et tilsvarende offentlig register innenfor EØSområdet, og som har konto i banken. Banken kan avslå å utstede BrukerstedsBankID når saklig grunn foreligger. 5. Utlevering og installering av BrukerstedsBankID. Brukerdokumentasjon og sikkerhetsprosedyrer 5.1 Utlevering av BrukerstedsBankID, programvare og brukerdokumentasjon Utlevering av BrukerstedsBankID samt nødvendig programvare, brukerdokumentasjon med videre kan bare skje til den som i følge punkt 4 har rett til å inngå denne avtale eller en som denne har gitt fullmakt til å motta dette. Vedkommende person som får utlevert BrukerstedsBankID, skal oppgi fullt navn, adresse, fødselsnummer eller D-nummer samt legitimere seg og bekrefte riktigheten av opplysningene på den måte som er beskrevet i punkt 4 foran. Før kunden tar i bruk programvaren skal kunden sette seg inn i og rette seg etter lisensbetingelsene som en del av denne avtale. Lisensbetingelsene finnes også tilgjengelig i brukerdokumentasjonen. Med mindre annet fremgår anses lisensbetingelsene for akseptert når programvaren tas i bruk. Kunden må ikke gjøre endringer i BrukerstedsBankID, programvare eller dokumentasjon ut over det som er avtalt med banken. Lisensbetingelsene inneholder nærmere regler om opphavs- og bruksrett, plikt til levering av nye versjoner av programvaren, samt regler om bankens ansvar og kundens bytterett ved feil og mangler. Ved brudd på lisensbetingelsene kan banken eller den banken utpeker kreve erstattet tap som med rimelighet kan tilbakeføres til kundens brudd på lisensbetingelsene, med mindre kunden kan godtgjøre at dette ikke kan tilskrives ham. 3. Priser og prisinformasjon Kostnader ved å få utstedt, ha og bruke BrukerstedsBankID fremgår av bankens gjeldende prisliste og/eller opplyses på annen egnet måte. Ved dialog mellom BrukerstedsBankID og en BankID på mobiltelefon/ SIM-kort, vil de vilkår som den aktuelle teleoperatør har fastsatt gjelde i tillegg til denne avtale. Teleoperatørens priser fremgår av den til enhver tid gjeldende prisliste på teleoperatørens hjemmeside på internett og/ eller opplyses på annen egnet måte. Kunden og teleoperatøren inngår eventuelt en egen avtale som grunnlag for blant annet fakturering. 5.2 Tekniske krav og sikkerhetsprosedyrer Nødvendig informasjon og veiledning om prosedyrene for bruk, fornyelse og sletting av BrukerstedsBankID, programvare og dokumentasjon vil fremgå av dokumentasjonen som følger programvaren og policydokumenter for BrukerstedsBankID. Kunden må gjøre seg kjent med dokumentasjonen og policydokumenter før tjenesten tas i bruk og rette seg etter anvisningene, herunder gjennomføre de tester som er fastsatt. Kunden skal installere BrukerstedsBankID på en betryggende måte og ivareta sikkerheten i egne systemer. 4. Legitimasjonskontroll og avtaleinngåelse Ved inngåelse av denne avtale om BrukerstedsBankID, skal juridiske personer være representert ved signaturberettiget eller en som har fått uttrykkelig fullmakt fra signaturberettiget til å inngå avtale om Brukersteds- BankID på vegne av vedkommende juridiske person. Et enkeltpersonsforetak skal være representert ved innehaveren av enkeltpersonsforetaket eller en med fullmakt fra innehaver til å inngå avtale om Brukersteds- BankID på vegne av enkeltpersonsforetaket. Vedkommende som representerer kunden, skal oppgi fullt navn, adresse, fødselsnummer eller D-nummer (alternativt fødselsdato, fødested, kjønn og statsborgerskap) samt legitimere seg og bekrefte riktigheten av opplysningene. Vedkommendes rett til å inngå avtalen skal dokumenteres ved fremleggelse av Firma attest fra Foretaksregisteret. For enheter som ikke er registreringspliktige i Foretaksregisteret, skal det legges fram utskrift fra Enhetsregisteret eller tilsvarende offentlig registre innenfor EØSområdet eller vedtekter og valgprotokoller eller annen tilsvarende dokumentasjon som klart viser hvem som kan forplikte enheten. Banken kan også be om ytterligere opplysinger eller dokumentasjon, samt foreta nærmere undersøkelser om riktigheten av de avgitte opplysninger, fullmakter med videre. Kunden skal snarest mulig varsle banken ved navn- og adresseendringer og endringer i andre opplysninger som kunden har gitt banken under dette avtaleforholdet. Kunden må sammen med BrukerstedsBankID benytte slik programvare, maskinutrustning eller det sikkerhetsutstyr som banken spesifiserer. Banken kan stille nye krav til programvare/maskinutrustning/sikkerhetsutstyr dersom dette er nødvendig av sikkerhetsmessige grunner eller ved nødvendige oppgraderinger av BrukerstedsBankID. Banken kan kontrollere at BrukerstedsBankID er installert og oppgradert på en betryggende måte. 6. Anvendelsesområdet for BrukerstedsBankID BrukerstedsBankID kan benyttes for sikring av elektroniske meldinger som sendes til kunden ved bruk av kundens internettsider eller på annen måte som er angitt i brukerdokumentasjonen. Innsending av slike meldinger forutsetter at avsender benytter et PersonBankID eller AnsattBankID (se punkt 8) som forutsetter avtale med en bank om bruk av BankID. BrukerstedsBankID kan videre benyttes i forbindelse med elektronisk avtaleinngåelse der kunden tilbyr varer og tjenester over egne sider på internett eller i annen elektronisk salgskanal som er nærmere angitt i brukerdokumentasjonen. Slik avtaleslutning forutsetter at kjøper benytter et PersonBankID eller AnsattBankID. BrukerstedsBankID kan også benyttes for sikring av tjenester som banken tilbyr i henhold til egen avtale om dette. Sikring av meldinger/avtaler skjer ved at en elektronisk signatur som er laget ved bruk av BrukerstedsBankID, bekrefter avsenders identitet, knytter meldingen/avtalen til avsender og gjør det mulig å oppdage endringer i meldingen/avtalen. 5 (10)

6 En BankID skal ikke benyttes som grunnlag for å få utstedt en fysisk eller en ny elektronisk legitimasjon. Dersom banken utvider eller begrenser anvendelsesområdet for BrukerstedsBankID, herunder beløpsmessige begrensninger, vil kunden motta varsel om dette. Kunden må selv lagre/arkivere elektroniske meldinger/inngåtte avtaler sikret med BrukerstedsBankID, da banken for tiden ikke tilbyr noen lagrings-/arkiveringstjenester med sikte på å dokumentere slike meldinger/ avtaler i ettertid. 7. Opplysninger i BrukerstedsBankID. Utlevering av opplysninger til andre BrukerstedsBankID inneholder følgende opplysninger: Angivelse av sertifikatutsteder Opplysninger om kundens firmanavn og norsk organisasjonsnummer eller annen unik identifikator Gyldighetsperiode for BrukerstedsBankID Data som er nødvendig for å verifisere Kundens digitale signatur Sertifikatutsteders digitale signatur Data som entydig identifiserer det enkelte BrukerstedsBankID (serienummer) Angivelse av den bank som inngår avtale med kunden Ved bruk av BrukerstedsBankID vil disse opplysningene inngå i meldingsutvekslingen og kan gjøres tilgjengelig for meldingsmottaker. Andre opplysninger om kunden i forbindelse med bruk av Brukersteds- BankID vil kun bli utlevert til meldingsmottaker så fremt banken har lovbestemt opplysningsplikt eller det foreligger et uttrykkelig samtykke fra kunden. 8. Dialog sikret med AnsattBankID AnsattBankID er et personsertifikat som bekrefter en knytning mellom en identifisert virksomhet (juridisk person) og en fysisk person som er ansatt hos eller utfører oppgaver for vedkommende virksomhet. Ansatt- BankID kan benyttes av den fysiske personen til tjenestelige oppgaver eller oppdrag på vegne av virksomheten. For å akseptere AnsattBankID må kunden særlig åpne for mottak av disse. Nærmere veileding om aksept av AnsattBankID fremgår av brukerdokumentasjonen. 9. Vern om passord og andre sikkerhetsprosedyrer. Kundens ansvar for bruk av BrukerstedsBankID BrukerstedsBankID skal ikke overdras eller på annen måte overlates til eller brukes av andre enn kunden. Passord, personlig kode og andre sikkerhetsprosedyrer må ikke røpes for noen. Kunden skal for øvrig følge bankens sikkerhetsveiledning. Fra det tidspunkt BrukerstedsBankID er utlevert til kunden, har kunden ansvar for at BrukerstedsBankID kun disponeres av den eller de personer som har bemyndigelse til å utføre de oppgaver som tilhører den funksjon, enhet eller avdeling hos kunden som er angitt i sertifikatet. 10. Melding om tap Kunden må underrette banken eller bankens utpekte medhjelper snarest mulig etter at kunden har fått kjennskap til eller mistanke om at BrukerstedsBankID og/eller tilhørende passord og/eller kode er kommet bort eller at uvedkommende har fått kjennskap til passord/kode. Kunden skal benytte de meldingsmuligheter banken har stilt til disposisjon, og forøvrig bistå på en slik måte at BrukerstedsBankID så raskt som mulig blir sperret. Banken kan kreve at vedkommende som melder til banken på vegne av kunden, dokumenterer sin rett til å gi slik melding. Kunden skal ikke anvende BrukerstedsBankID etter at slike tapssituasjoner har oppstått. Ved slik melding skal banken eller bankens medhjelper bekrefte overfor kunden at meldingen er mottatt. 11. Sperring av BrukerstedsBankID BrukerstedsBankID som er eller som kan forventes å bli misbrukt eller som ikke lenger inneholder riktige opplysninger, skal banken påse blir sperret (suspendert eller tilbakekalt. Sperring vil også kunne skje ved annen saklig grunn, blant annet ved opphør av kundens kontoforhold i banken. 12. Kontroll av gyldig BankID (validering) Banken vil påse at det blir etablert et system for gyldighetskontroll av alle BankID som er benyttet overfor kunden. Kunden skal alltid foreta gyldighetskontroll av et BankID som er benyttet overfor kunden. Det vil av hensyn til slik gyldighetskontroll bli ført et register over gyldige BankID samt BankID som er suspendert eller tilbakekalt (ugyldige). De registrerte opplysninger vil bli oppbevart i minst 10 år etter at gyldighetsperioden for et BankID er utløpt eller etter at det er tilbakekalt. Utstedere av BankID vil utveksle opplysninger om gyldige og suspenderte/ tilbakekalte BankID. Opplysningene vil bare benyttes for å kontrollere om BankID er gyldig og til formål som er forenlig med bruken av BankID. 13. Bankens ansvar for uberettiget bruk av BankID Banken er erstatningsansvarlig for direkte tap kunden har lidt som følge av at kunden på feilaktig grunnlag har stolt på en annens BankID dersom banken, noen banken hefter for (for eksempel en underleverandør eller medhjelper) eller en annen bank har opptrådt uaktsomt i forbindelse med utstedelse, bruk eller validering av BankID. Ved følgende skadeårsaker må banken godtgjøre at den eller andre som nevnt i første avsnitt, ikke har handlet uaktsomt ( omvendt bevisbyrde ): a) BankID ble utlevert til uvedkommende, b) de opplysninger som ble lagt inn i BankID ikke var korrekte på utstedelsestidspunktet, c) BankID ikke inneholdt alle opplysninger som kreves i henhold til denne avtalen, d) det ikke er benyttet forsvarlige produkter og systemer for utstedelse av BankID og fremstilling av digital signatur, eller e) en tapsmelding eller tilbakekall av BankID ikke ble registrert på korrekt måte og det av denne grunn ble gitt uriktig svar på en gyldighetskontroll. For indirekte tap som kunden har lidt, er banken ansvarlig dersom tapet skyldes grov uaktsomhet eller forsett fra bankens side. Banken er likevel ikke erstatningsansvarlig for tap som skyldes at BankID har blitt brukt i strid med begrensninger i anvendelsesområde eller utover beløpsbegrensningen på NOK ,- som fremgår av sertifikatet. Bankens ansvar kan begrenses eller falle helt bort dersom kunden benytter BrukerstedsBankID, programvare eller dokumentasjon i strid med denne avtale, herunder foretar uberettiget endring eller manipulering av BrukerstedsBankID eller programvare. 6 (10)

7 Bankens ansvar etter denne bestemmelse faller bort så langt kunden har fått sitt tap dekket av andre, for eksempel av utsteder av det misbrukte sertifikat. 14. Bankens ansvar for mangler ved BankID-tjenesten Ved feil eller mangler ved BankID tjenesten er banken ansvarlig dersom årsaken til tapet er at banken eller bankens underleverandør har utvist uaktsomhet, Banken er ikke ansvarlig for indirekte tap så som tapt fortjeneste eller annet følgetap som følge av driftsstans på grunn av feil eller mangler ved BankID-tjenesten. Skulle det inntre en ekstraordinær situasjon som ligger utenfor partenes kontroll, og som umuliggjør oppfyllelse av plikter etter denne avtale og som etter vanlige kjøpsrettslige regler må regnes som force majeure, suspenderes den rammede parts forpliktelser så lenge den ekstraordinære situasjonen vedvarer. Partene er i en slik situasjon ikke ansvarlig for mulige tap som rammer en av partene. Partene skal arbeide for å avdempe virkningene av den ekstraordinære situasjonen. Avtalen kan i force majeure-situasjoner bare sies opp dersom den rammede part samtykker eller situasjonen varer lenger enn 30 dager, regnet fra det tidspunkt situasjonen inntrer. 15. Kundens ansvar Kunden vil etter alminnelige rettsregler kunne bli gjort ansvarlig for disposisjoner som er foretatt av noen som har fått mulighet til å disponere Kundens BrukerstedsBankID på grunn av forsettlig eller uaktsom handling eller unnlatelse fra kundens side. Bruker kunden BrukerstedsBankID, programvare eller dokumentasjon i strid med denne avtale, herunder uberettiget endrer eller manipulerer BrukerstedsBankID eller programvare, kan banken holde kunden erstatningsansvarlig for bankens tap som følge av dette. Kunden er i forhold til banken ansvarlig for egne underleverandører. Kunden skal i avtale med eventuelle underleverandører pålegge disse ansvar for at leveransene tilfredsstiller kravene i denne avtalen og utfyllende bestemmelser gitt av banken. 16. Endring av avtalen Banken kan ensidig endre avtalen, så fremt dette ikke er til skade for kunden. Vilkår som beskriver de enkelte tjenesters utførelse eller bruksområde, herunder beløpsgrenser for bruk av tjenesten, kan banken likevel ensidig endre med to ukers skriftlig varsel til kunden. Dersom forhold hos kunden eller sikkerhetsmessige forhold gjør det nødvendig, kan banken uten forhåndsvarsel begrense bruksområdet for PersonBankID, senke beløpsmessige bruksbegrensninger og foreta andre endringer i sikkerhetsprosedyrer eller lignende. Banken skal snarest mulig etter endringen varsle kunden om forholdet. Banken kan ensidig endre priser for tjenesten. Banken skal sende kunden skriftlig varsel om endringen. Varselet skal så vidt mulig sendes før endringen iverksettes. 17. Opphør av avtalen Kunden kan uten forhåndsvarsel si opp avtalen om BrukerstedsBankID. Banken kan si opp avtalen med minst fire ukers varsel dersom det foreligger saklig grunn. Grunnen til oppsigelsen skal opplyses. Banken kan med øyeblikkelig virkning heve avtalen ved vesentlig mislighold fra kundens side. Grunnen til hevingen skal opplyses. Ved opphør av avtalen, Kundens kundeforhold i Banken opphører eller banken på annet saklig grunnlag forlanger det, skal kunden straks makulere all programvare og dokumentasjon som kunden har mottatt for bruk av BrukerstedsBankID. BrukerstedsBankID vil samtidig bli tilbakekalt og gjort ugyldig for videre bruk. 18. Tvister Dersom det oppstår tvist om tolkning eller rettsvirkning av denne avtalen, skal tvisten først søkes løst gjennom forhandlinger. Fører ikke slike forhandlinger frem innen 3 måneder fra kravet om forhandlinger er reist, kan hver av Partene forlange tvisten avgjort ved voldgift i henhold til lov om voldgift. Partene er enige om at voldgiftsbehandlingen og voldgiftsavgjørelser i enhver voldgiftssak skal være underlagt taushetsplikt, og Partene forplikter seg til å inngå en separat avtale om dette hvis og når en tvist oppstår. Vedlegg 5 Lisensbetingelser BankID server programvare og dokumentasjon 1 Definisjoner Banken Den bank lisenstaker har inngått avtale om utstedelse og bruk av Bank- ID med (se Avtalevilkår for BrukerstedsBankID). Brukersted Enkeltmannsforetak og annen juridisk person (privat eller offentlig virksomhet og forvaltning) som har eller vil få utstedt BankID for bruk ved kommunikasjon mellom Bedriftens nettsted og andre sertifikatholdere. Dataprogrammet Programvaren i maskinlesbar objektkode. Lisens Bruksrett til programvare. Lisensgiver Bankenes BetalingsSentral AS (BBS). Lisenstaker Den som mottar og benytter programvaren, det vil si BankID Brukersted. Programvaren BankID Server programvare og dokumentasjon. Registrert Lisenstaker Lisenstaker som er registrert av Banken eller den Banken utpeker. 2 Immaterielle rettigheter Bankenes BetalingsSentral AS (BBS) er lisensgiver og forvalter alle immaterielle rettigheter til programvaren og har i det følgende fastsatt betingelser for lisenstakeres bruksrett til programvaren. Lisensgiver beholder opphavsrett uavkortet til programvaren som benyttes i et endelig produkt, dersom programvaren integreres i lisenstakers programvare eller distribueres sammen med lisenstakers programvare og dokumentasjon til en annen lisenstaker. Finansnæringens Servicekontor og Sparebankforeningens Servicekontor har i fellesskap rettighetene til felles BankID merke/logo på vegne av sine respektive medlemsbanker. Det er gitt egne retningslinjer for BankID merke/logo, som ikke omfattes av lisensbetingelsene nedenfor. Nærmere informasjon finnes på bankid.no Ved tilbakekall eller ugyldiggjøring av BrukerstedsBankID eller vesentlig mislighold av lisensbetingelsene, opphører avtalen med umiddelbar virkning. 7 (10)

8 3 Aksept og endringer av lisensbetingelser Lisensbetingelsene er en del av «Avtalevilkår for BrukerstedsBankID» som inngås med Banken. Ved signering av avtalevilkårene aksepterer lisenstaker lisensbetingelser som fremgår av dette dokument. Dersom programvaren utleveres før slik avtale er inngått mellom Bank- IDBrukersted og dennes bankforbindelse, aksepteres. Lisensbetingelsene ved fysisk eller elektronisk signatur av dette dokumentet. Lisensgiver kan gjøre endringer i lisensbetingelsene ved endringer i programvaren og vil varsle om endringene før ny programvare utleveres. Det vil fremgå av varslet om tidligere gitt lisens bortfaller eller ikke lengre supporteres. Når lisenstaker tar ny programvare i bruk, anses dette som aksept av de nye betingelsene. 4 Lisensbetingelser 4.1 Generelle vilkår Formålet med programvaren er å gjøre det teknisk mulig å akseptere BankID som elektronisk legitimasjon og signatur i åpne nettverk. Programvaren kan bare benyttes i forbindelse med klargjøring, implementering og bruk av BankID på eller for BankID Brukersted. Dataprogrammet stilles til rådighet for lisenstaker i maskinlesbar objektkode. Dataprogrammet kan bare benyttes på de plattformer og systemer som fremgår av dokumentasjonen som følger utgivelse av dataprogrammet. Lisensbetingelsene gir lisenstaker en begrenset, ikke-eksklusiv, ikkeoverførbar, gjenkallelig lisens til å bruke dataprogrammet utelukkende som ferdigkompilert, kjørbar kode. Lisenstaker gis tillatelse til å kopiere programvaren i den utstrekning det er nødvendig for å bruke. Programvaren i samsvar med dets formål, herunder ta nødvendige sikkerhetskopier. Lisenstaker kan ikke på noen annen måte enn det som måtte fremgå av disse lisensbetingelsene, verken bruke, videreutvikle, endre eller overføre rettigheter til andre (tredjepart) med mindre lisensgiver har gitt sin uttrykkelige skriftlige tillatelse til dette. 4.2 Installasjon og implementering Brukersted kan installere og/eller integrere dataprogrammet i eget brukergrensesnitt. Implementering skal skje i henhold til krav som fremgår av dokumentasjon som følger dataprogrammet. Ved endringer i dataprogrammet skal lisenstaker ta i bruk den nye versjonen fra den dato som fremgår av varsel fra lisensgiver. 4.3 Vedlikehold og support Registrert lisenstaker vil motta varsel om ny versjon av programvaren. Varsel om ny versjon skal vanligvis gis senest tre (3) måneder før den skal tas i bruk. Varslet skal inneholde informasjon om når og hvor programvaren gjøres tilgjengelig, når bedriften får tilgang til testmiljø, og hvilke versjoner som supporteres etter endringen. Support utover oppdateringer av programvaren kan ytes i henhold til særskilt avtale om dette med bedriftens bankforbindelse. Feil og mangler eller behov for forbedringer skal rettes til lisensgiver uten ugrunnet opphold. Lisensgiver vil vurdere nærmere om og i hvilke tilfeller endringer som skal gjennomføres ved oppgradering av programvare og dokumentasjon. Utover dette, leverer lisensgiver programvaren som den er og gir ingen garanti for at programvaren er uten feil. Det gis heller ingen garanti for at dataprogrammet fungerer sammen med tredjeparts produkter, med mindre annet klart går frem av brukerdokumentasjonen. Lisensgiver har ikke ansvar for feil og mangler utover den bytterett som fremgår av første avsnitt. Bankens ansvar overfor lisenstaker fremgår av «Avtalevilkår for BrukerstedsBankID». 5 Taushetsplikt Lisensgiver, lisenstaker og banken skal behandle opplysninger som partene blir kjent med i forbindelse med tilgang til og bruk av BankID Server programvare og dokumentasjon konfidensielt. Taushetsplikten gjelder også etter at lisensperioden er avsluttet. Partene skal pålegge ansatte og medhjelpere taushetsplikt som dekker kravene i denne avtalen. 6 Bortfall av plikt til å levere Dersom lisenstaker vesentlig misligholder lisensbetingelsene, kan lisensen trekkes tilbake med øyeblikkelig virkning. Det samme gjelder, dersom banken sier opp brukerstedsavtale, jf «Avtalevilkår for BrukerstedsBankID». Skulle det oppstå en ekstraordinær situasjon utenfor lisens givers kontroll og som etter alminnelige kontraktsrettslige prinsipper kan karakteriseres som force majeure, skal lisenstaker varsles uten ugrunnet opphold. Lisensgivers forpliktelser suspenderes så lenge force majeure vedvarer. Ved bortfall av lisens må lisenstaker avslutte all bruk av programvaren og tilintetgjøre alle kopier av programvare og dokumentasjon, samt dokumentere at kopiene er tilintetgjort på en slik måte at disse ikke kan benyttes av lisenstaker eller leses av utenforstående. 7 Erstatning ved brudd på lisensbetingelsene Banken og/eller lisensgiver kan kreve erstattet tap som kan tilbakeføres til lisenstakers brudd på lisensbetingelsene. 8 Henvendelser om lisensbetingelsene Alle forespørsler og varsler som gis i henhold til lisensbetingelsene, skal være skriftlige. Varsel om ny programvare og/eller dokumentasjon sendes på mail til den kontaktperson lisenstaker oppgir. 9 Lisensgivers representant Banken eller den banken utpeker, vil på vegne av lisensgiver ivareta de operative oppgaver som påhviler lisensgiver i henhold til lisensbetingelsene, herunder registrere nødvendige opplysninger om gyldige lisenser og gjøre nye versjoner av programvaren tilgjengelig for bedriften. Banken har rett til å kontrollere at lisensbetingelsene blir overholdt av Lisenstaker. 10 Lovvalg og verneting Partenes rettigheter og plikter etter lisensbetingelsene bestemmes i sin helhet av norsk rett, med Oslo som verneting. 4.4 Garanti og ansvar Lisensgiver vil i en periode på inntil 90 dager fra utsendelse bytte ut programvaren kostnadsfritt, dersom programvaren er skadet og skaden ikke skyldes at dataprogrammet er brukt i strid med lisensbetingelser og brukerdokumentasjon. 8 (10)

9 Vedlegg 6 Sikkerhetsråd for aktivering og bruk av BrukerstedsBankID Den enkelte bank kan benytte denne veiledningen som grunnlag for veiledning til egne kunder. Banken må i tillegg sørge for å gi brukerstedet informasjon om rutiner for sperring, gjenåpning og fornyelse av BankID. Formål Veiledningen tar for seg sikkerhetsråd knyttet til aktivering og drift av BrukerstedsBankID. Målgruppe Veiledningen er skrevet for personer som er ansvarlige for BankID-brukersteder, deres systempersonell og for eventuelle tjenesteleverandører til BankID-brukersteder. Definisjoner I teksten nedenfor benyttes disse begrepene: BrukerstedsBankID: En BankID utstedt til en virksomhet og som identifiserer virksomheten og eventuelle enheter eller funksjoner i virksomheten..bid-filfilen(e) der BankID nøkkellager befinner seg, beskyttet av passord. Ved bruk av HSM inneholder ikke.bid-filen den private nøkkelen. HAT programvare: Programvare som installeres og benyttes i forbindelse med aktivering av BrukerstedsBankID. HSM Hardware Security Module (eller Hardware Cryptographic Module) er en sikret hardwareenhet for sikker lagring og bruk av kryptografiske nøkler. Installasjonskode: Sikkerhetskode som mottas fra banken når BrukerstedsBankID bestilles. Denne engangskoden anvendes i forbindelse med aktivering av BrukerstedsBankID. Installatør: Person som aktiverer BrukerstedsBankID. Programvaren: BankID Server programvare. Forutsetninger Trygg bruk av BankID forutsetter blant annet sikker oppbevaring av BrukerstedsBankID. BrukerstedsBankID inneholder private kryptografiske nøkler, som må beskyttes under både installasjon og drift. Nøklene kan oppbevares i en HSM eller i en fil beskyttet av sikkerhetsmekanismer og et passord. Bruk av programvaren forutsetter sikker tilgang til internett. Brukerstedet må selv anskaffe og vedlikeholde maskinvare, programvare, kommunikasjonsutstyr og telelinjer som er nødvendig for sikker tilgang til internett. Brukerstedet må selv vedlikeholde brukerstedsapplikasjonen og ivareta applikasjons- og driftssikkerhet og kvalitet i denne. Se avsnittet Fysisk og logisk sikring for mer informasjon om dette. Utsetting av tjenester Det vil ofte være flere parter involvert i etablering og drift av et brukersted, og tjenester kan settes ut til ulike parter (driftssted, vedlikeholdsansvarlig, programvareleverandør etc.). Det presiseres at brukerstedet alltid har ansvaret for at tjenesten har et forsvarlig sikkerhetsnivå og for å følge opp sine underleverandører på dette området. Hvis et brukersted setter ut driften av programvaren og BrukerstedsBank- ID til en underleverandør, har brukerstedet ansvar for å forsikre seg om: at underleverandøren følger anbefalingene som er gitt i dette dokumentet og for øvrig opererer i henhold til betingelser i brukerstedsavtalen og lisensavtalen for programvaren at underleverandøren har gjennomført de tester som banken krever på forskriftsmessig måte og kan dokumentere dette at underleverandøren kan dokumentere at man på betryggende måte sikrer mot uautorisert bruk av brukerstedets BrukerstedsBankID at underleverandøren håndterer personopplysninger, herunder personkunders sertifikatinnhold og eventuelle tilleggsopplysninger, i henhold til krav fastsatt i Personopplysningsloven. Dette gjelder også ved overføring av slik informasjon mellom underleverandør og brukersted. Ved bruk av sikkerhetsportal anbefales det sterkt at alle BankID relaterte data som kommuniseres mellom brukersted og underleverandør er behørig sikret mot uønsket innsyn og endring. Aktivering av BrukerstedsBankID Brukersteder som bruker BrukerstedsBankID til tjenester av stor økonomisk verdi, eller som har stor trafikk, anbefales å plassere de kryptografiske nøklene i en HSM i stedet for i en.bid-fil. For å få fullt utbytte av en HSM, må man følge leverandørens anbefaling for sikker bruk, inkl. begrensning av fysisk og logisk (nettverksmessig) tilgang. Ta kontakt med banken for informasjon om produkter som er testet ut. Aktivering av BrukerstedsBankID foregår i en dialog mellom installatør og bankens systemer. Installatøren bruker programvaren HAT som beskrevet i BankID HSM Activation Tool User Guide. Denne programvaren benyttes både ved bruk av.bid-fil og HSM. Aktivering må gjøres på en datamaskin som kan kjøre Java, som har tilgang til internett og som er åpen for utgående https mot BankID verktøy på activation*.bankid.no, enten direkte eller via en http proxytjener. HAT programvaren må være installert på datamaskinen før aktivering startes. I aktiveringsprosessen velges et passord (se råd nedenfor). Resultatet av aktiveringen er en.bid-fil, som inneholder blant annet de private nøklene. For brukersteder som benytter HSM vil.bid-filen ikke inneholde de private nøklene..bid-filen inneholder da den label som nøklene er lagret under i HSM en, samt sertifikatene som tilhører nøklene. Aktivering bør foretas så snart som mulig etter å ha mottatt nettadresse og installasjonskode fra banken. Installasjonskoden er gyldig i 14 dager fra bestillingstidspunktet. Flytting av.bid-fil etter aktivering (Avsnittet gjelder kun de brukersteder som ikke benytter HSM.) Hvis aktiveringen ble gjort fra en annen datamaskin enn serveren hvor brukersteds-applikasjonen skal kjøre, må.bid-filen flyttes. Mediet hvor.bid-filen ble opprettet bør så destrueres eller overskrives. Eventuelle sikkerhetskopier av.bid-filen skal lagres og behandles som hemmeligheter. Ved flytting av hemmeligheter bør dette organiseres slik at passord og.bid-fil håndteres separat. Valg og beskyttelse av passord Hvis passordet lagres i en konfigurasjonsfil og ikke tastes inn manuelt, er det ingen grunn til å velge korte passord, og passordet bør være minst 20 tegn. Det bør velges passord som er så sterkt at en person ikke kan klare å huske det etter å ha sett det en eller noen få ganger. Passordet må inneholde minst ett tall eller spesialtegn. Det anbefales å bruke maskingenererte passord hvis mulig. For eksempel vil kommandoen openssl rand 16 base64 gi et sterkt passord. Hvis man ikke kan eller ønsker å bruke maskingenererte passord, bør man velge et langt passord og ellers følge de retningslinjene for passord man har internt. 9 (10)

10 Drift av programvaren Setting av parametre i BankID server Ved oppsett av brukersted kan det settes verdier på en del parametre. Programvaren leveres med valgte utgangsverdier (default), som ivaretar sikkerheten på best mulig måte og vil passe de fleste brukersteders behov. Disse parameterne skal normalt ikke endres, og i så fall bare etter en prosess der brukerstedet, evt. i samråd med underleverandør, har gjort seg kjent med risiko ved dette. Fysisk og logisk sikring Brukerstedet har ansvar for tilstrekkelig fysisk og logisk sikring av servere og programvare. Brukerstedet bør ha kontroll over hvem som har tilgang til den fysiske serveren hvor programvaren er installert. Dette gjelder både fysisk adgang og autorisasjon til å utføre operasjoner. Andre brukere enn de som har spesifikke oppgaver på akkurat denne serveren for å drifte og/eller vedlikeholde den, bør ikke slippe til. Tilgang til serveren bør beskyttes av en brannmur som stenger for andre porter og/eller tjenester. Sørg for at brannmuren er riktig konfigurert. Programvaren krever tilgang til følgende eksterne tjenester: Tag Server over http via port 443 ut fra brukerstedet Valideringstjenesten over https via port 443 ut fra brukerstedet Mobil GateWay via port 443 Hvis noen har fått tilgang til hemmeligheter Ved mistanke om at noen har fått uautorisert tilgang til.bid-filen eller passordet, eller på annen måte har skaffet seg tilgang til Brukersteds- BankID, må brukerstedet straks ta kontakt med banken som har levert BrukerstedsBankID. Eventuelle skadevirkninger kan begrenses ved at den kompromitterte BrukerstedsBankID sperres for videre bruk. Ved mistet eller glemt passord må banken kontaktes. Fjerning av BrukerstedsBankID hos brukersted Hvis BrukerstedsBankID ikke lenger skal benyttes, skal brukerstedet kontakte banken for sperring..bid-filen samt eventuelle lagrede passord overskrives eller slettes. Nøkler som er lagret i en HSM bør slettes i henhold til leverandørens anvisninger. Ved fornyelse av BrukerstedsBankID hos brukersted En BrukerstedsBankID må fornyes rutinemessig hver 4. år. Ved fornyelsen lages det en ny.bid-fil. Når denne er installert i driftsmiljøet, bør den gamle.bid-filen overskrives eller slettes. Forøvrig åpnes kun de porter som brukerstedsapplikasjonen bruker. Brukerstedets kommunikasjon mot BankID klient skal gå over https. EV-sertifikater for https kan benyttes av de brukersteder som ønsker det. Hele infrastrukturen, inkl. nettverk, servere, operativsystem og programvare bør sikkerhetsovervåkes. Hvis man ikke har egne retningslinjer for dette, kan NIST SP Guide to Computer Security Log Management (se ) være et utgangspunkt for dette. Serveren og programvare på den bør herdes. Hvis man ikke har egne retningslinjer for dette, kan CIS Benchmarks (se benyttes. Herding innbefatter bl.a. at det ikke bør kjøres andre programmer (applikasjoner eller annet) enn det som er nødvendig på serveren, og at webserver eller andre applikasjoner, som benytter programvaren, ikke har andre rettigheter enn det som er nødvendig. Vær nøye med løpende vedlikehold av operativsystemer, applikasjoner og programvaren (patcher, service-pakker, releaser o.l.). Dette kan forbedre kjente svakheter eller tette igjen sikkerhetshull. Derfor er det viktig å følge med på informasjon fra leverandørene av programvare. I tillegg er det viktig at selve applikasjonen som bruker BankID er godt skrevet og sikret. Driftsprosedyrer.bid-filen med BankID private nøkler må anses som en hemmelighet. Det må ikke tas kopier av denne, utenom eventuelle sikkerhetskopier. Lagring av passord Passordet som beskytter.bid-filen må oppbevares sikkert. Dersom passordet finnes i klartekst på serveren, er det behov for ekstra god fysisk og logisk sikring. Det frarådes å lagre passord i klartekst. Dersom passordet leses inn fra en konfigurasjonsfil, er også denne å anse som en hemmelighet. Det må ikke tas kopier av konfigurasjonsfilen, utenom eventuelle sikkerhetskopier. Sikkerhetskopier bør lagres kontrollert på egnet sted, for eksempel i en safe. 10 (10)