Funksjonell kravspesifikasjon for betalingsformidlings- og kontoholdstjenester for staten

Funksjonell kravspesifikasjon for betalingsformidlings- og kontoholdstjenester for staten Senter for statlig økonomistyring, 01.02.2006

2 INNHOLDSFORTEGNELSE 1. GENERELLE RAMMER 8 1.1 Forholdet til økonomiregelverket for staten 8 1.2 Forholdet til Finansavtaleloven 8 1.3 Forholdet til Valutaregisterloven 9 1.4 Hovedmål for likvidforvaltningen 9 2. KONTERINGSREGLER 10 2.1 Kontering ved innbetalinger 10 2.2 Kontering ved utbetalinger 11 2.3 Oppgjør i Norges Bank 12 3. INNBETALINGER 13 3.1 Innbetalingsformer 13 3.2 Informasjon til Virksomheten 13 3.2.1 Hovedprinsipper 13 3.2.2 Betalinger med KID 14 3.2.3 Betalinger uten KID/med ugyldig KID 14 3.2.4 Betaling fra utlandet som godskrives konto i norske kroner 15 3.2.5 Bankens plikt til å assistere ved mangelfull informasjon 15 3.3 Kontroll av KID-informasjon 15 4. UTBETALINGER 16 4.1 Utbetalingsformer 16 4.2 Overføring av Betalingsoppdrag 16 4.3 Kontroll av Betalingsoppdrag hos Banken 17 4.4 Mottaksretur til Virksomheten 18 4.5 Kontroll og Autorisasjon av Betalingsoppdrag 18 4.6 Venteregister 19 4.7 Stopp av betalingstransaksjoner 20 4.7.1 Stopping ved overføring av stoppeoppdrag 20 4.7.2 On-line stopping 20 4.8 Avregningsretur til Virksomheten 21

3 4.9 Behandling av overføringer til gyldig, men opphørt konto 21 4.10 Nærmere om kontantutbetalinger 22 5. KONTOHOLD 23 5.1 Virksomhetens Arbeidskontoer hos Banken 23 5.2 Tilgang til kontoopplysninger 23 5.3 Omnummerering 24 5.4 Dokumentasjon av betalingstransaksjoner 24 6. SIKKERHET 25 6.1 Krav til sikring av datafiler ved overføring til/fra Banken 25 6.1.1 Generelt om sikring av datafiler 25 6.1.2 Forsegling av datafiler 25 6.1.3 Krav til beskyttelsesmekanismer, krypteringsnøkler og forseglingsalgoritmer 26 6.1.4 Nøkkeladministrasjon 26 6.1.5 Krav til nøkkelhåndtering ved bruk av SIGILL, el.l. 27 6.2 Krav til sikkerhet i Bankens bedriftsterminalsystem 28 6.2.1 Generelt 28 6.2.2 Pålogging til bedriftsterminal 29 6.2.3 Elektronisk Autorisasjon 29 6.2.4 Automatisk avlogging 29 6.2.5 Varsling fra Virksomheten 30 6.3 Krav til logging 30 7. SÆRLIGE KRAV - TILLEGGSAVTALE FOR VALUTAKONTI 31 7.1 Generelle rammer 31 7.2 Oppgjør i Norges Bank 31 7.3 Kontohold 31 7.4 Tilgang til kontoopplysninger 32 7.5 Innbetalinger 32 7.6 Kontering ved innbetalinger 32 7.7 Utbetalinger 32 7.8 Kontering ved utbetalinger 33 7.9 Overføring av Betalingsoppdrag 33 7.10 Kontroll av Betalingsoppdrag hos Banken 33

4 7.11 Mottaksretur til Virksomheten 33 7.12 Autorisasjon av Betalingsoppdrag 33 7.13 Venteregister 34 7.14 Avregningsretur til Virksomheten 34 7.15 Sikkerhet 34 8. SÆRLIGE KRAV - TILLEGGSAVTALE FOR UTBETALINGER KNYTTET TIL STATSLÅN 35 8.1 Generelle rammer 35 8.2 Oppgjør i Norges Bank 35 8.3 Kontohold 35 8.4 Tilgang til kontoopplysninger 35 8.5 Utbetalinger 36 8.6 Overføring av Betalingsoppdrag 36 8.7 Kontroll av Betalingsoppdrag hos Banken 36 8.8 Mottaksretur til Virksomheten 36 8.9 Autorisasjon av Betalingsoppdrag 37 8.10 Venteregister 37 8.11 Avregningsretur til Virksomheten 37 8.12 Stopp av Betalingsoppdrag 37 8.13 Sikkerhet 37

5 Definisjoner I oversikten nedenfor defineres en del sentrale begreper som benyttes i kravspesifikasjonen, og som dermed legges til grunn i den statlige betalingsformidlingen. Disse definisjonene vil også bli brukt i en Rammeavtale om tjenesteleveranse. Enkelte av definisjonene har mer generell anvendelse, mens andre er definert spesielt for denne kravspesifikasjonen, og benyttes ikke nødvendigvis på samme måte i andre sammenhenger. "Arbeidskonto" "Autorisasjon" "Avregningsretur" Avrop "Banken" "Batch" Virksomhetens konto hos Banken; godkjennelse av at et betalingsoppdrag kan utbetales av Banken. Autorisasjonen utføres via bedriftsterminal av en person, evt. to personer etter avtale, med slik fullmakt i Virksomheten. Overordnet departement kan for små virksomheter godkjenne at en annen statlig Virksomhet eller en statlig tjenesteyter gis fullmakt til å autorisere på vegne av Virksomheten, jf. Bestemmelser om økonomistyring i staten, pkt. 3.4.3.3; elektronisk informasjon fra Banken om gjennomførte betalingstransaksjoner for oppdatering av leverandør-/eller annen utbetalingsreskontro og for regnskapsføring i kontanthovedboken (bevilgningsregnskapet); den skriftlige meddelelse som en Virksomhet gir til Banken(e) om tjenesteyting til Virksomheten innenfor rammen av Avtaleverket. Virksomheten kontakter alle Rammeavtalebanker, og gjennomfører en minikonkurranse før endelig valg av Bank foretas; betalingsformidler som Finansdepartementet har inngått Rammeavtale med. Statlige virksomheter kan velge Bank etter minikonkurranse ved kjøp av betalingsformidlings- og kontoholdstjenester. Banken forestår føring av Virksomhetens Arbeidskontoer; de Transaksjoner som på en datafil befinner seg mellom en startrekord og en sluttrekord, evt. en skillerekord (skiller batcher i samme fil);

6 "Behandlingsdag" "Betalingsdag" "Betalingsoppdrag" BIC CDV-kontroll CREMUL Cut-off EU-betalinger "Fil" IBAN Innbetalingsdag den dato et beløp formelt godskrives eller belastes en Arbeidskonto i henhold til utskrift/utdrag av konto; den dato et beløp skal stilles til disposisjon på mottakers konto eller skal kunne heves kontant hos betalingsformidlere; utbetalingsordre til en eller flere mottakere; Bank Identifier Code; Control Digit Verification. Test av gyldighet av et norsk kontonummer gjennom modulus 11 beregning; Multiple Credit Advice - en EDIFACT melding som inneholder bekreftelse fra en betalingsinstitusjon til en betalingsmottager om at en konto har blitt kreditert med spesifiserte beløp, med referanser til dato og transaksjonsopplysninger; Cut-off er det seneste tidspunkt for når et Betalingsoppdrag skal være bestilt for å kunne bli utført av Banken på den valgte betalingsdato; EU-betalinger er grensekryssende betalinger som omfattes av direktiv (97/5/EC) fra EU. Overnevnte forordning gjaldt i første omgang beløp på inntil 12 500 EURO. Grensen blir hevet til 50 000 EURO 1. januar 2006. Disse betalingene skal ikke være dyrere enn innenlandske betalinger i EURO, og påkrevd informasjonsinnhold er SWIFT /BIC adresse, IBAN, bankkoder for de land dette er påkrevd. Betalinger som ikke har ovennevnte informasjonsinnhold blir gjenstand for andre prisbetingelser; en datafil som består av én eller flere batcher; International Bank Account Number; den dato betalerens oppdrag er mottatt av en bank;

7 "KID" "Konteringsdata" "Mottaksretur" "Oppgjørsdag" "Oppgjørskonto" Rammeavtalebank "Statens Konsernkontoordning" "Statskassen" "Transaksjon" "Valutering" "Valuteringsdag" Venteregister "Virksomhet" det kundeidentifikasjonsnummer som er påtrykt i kodelinjen på en OCR-blankett. KID er den nøkkelen som identifiserer kunde og/eller krav; elektronisk informasjon om innbetalinger for oppdatering av kundereskontro (kravreskontro); returinformasjon til Virksomheten som Banken genererer når Betalingsoppdrag er mottakskontrollert; den dato et beløp stilles til disposisjon for mottakende betalingsformidler/gjøres opp mellom betalingsformidlere og Norges Bank; statlig virksomhets konto i Norges Bank dit saldo på Arbeidskonto daglig overføres til; den/de bank(er) som Finansdepartementet har inngått rammeavtale med vedr. Statens Konsernkontoordning. Se for øvrig definisjon av Banken ovenfor; statens betalingsformidling, kontohold, likviditetsforvaltning og tilhørende rutiner; samlingen av statlige kontoer i Norges Bank; en enkelt betaling i et Betalingsoppdrag eller stoppeoppdrag; etter sammenhengen enten stopp av renteberegning av beløp som belastes konto, eller start av renteberegning av beløp som godskrives konto; dato for valutering; register for autoriserte, ikke-utbetalte betalingstransaksjoner; hver enkelt av de enhetene som staten til enhver tid har meddelt Banken skal være tilskriver for kontoinformasjon;

8 1. GENERELLE RAMMER 1.1 Forholdet til økonomiregelverket for staten Økonomiregelverket for staten består av Reglement for økonomistyring i staten og Bestemmelser om økonomistyring i staten (datert 12.12.2003). I tillegg finnes en rekke rundskriv hjemlet i regelverket. Det vises til omtale i pkt. 1 og 3 i konkurransegrunnlagets dokument; Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester for staten. Siktemålet med økonomiregelverket for staten er en mer effektiv styring og utnyttelse av statlige midler, og en bedre mål- og resultatoppnåelse. Regelverket gjelder for departementene/statsministerens kontor og for underliggende statlige virksomheter som får sine bevilgninger fastsatt på statsbudsjettet medregnet folketrygden. Den foreliggende kravspesifikasjonen retter seg mot leverandører av betalingsformidlings- og kontoholdstjenester ved levering av slike tjenester til statlige virksomheter. For å få fram helheten i de løsningene det legges opp til, dekker dokumentet på noen punkter også deler av rutinene i Virksomheten. Innholdet i denne funksjonelle kravspesifikasjonen behandler primært de rutinene som er omtalt i kapittel 3, Felles standarder og systemer, i Bestemmelser om økonomistyring i staten. 1.2 Forholdet til Finansavtaleloven Finansavtaleloven av 25.06.1999 regulerer sentrale former for avtaler og oppdrag om finansielle tjenester som tilbys av finansinstitusjoner. Finansavtalelovens bestemmelser kommer ikke til anvendelse ved den foreliggende tilbudsinnbydelsen, med mindre annet utrykkelig er nevnt. Forskrift av 02.07.1999 nr. 719 om betalingsoppdrag til og fra utlandet kommer bare til anvendelse for så vidt gjelder bestemmelser som er ufravikelige mellom partene. Finansavtaleloven 9, tredje ledd, gir hjemmel til å regulere pengeoverføringer over landegrensene. Med hjemmel i denne bestemmelsen er det gitt forskrift 2. juni 1999 nr. 719 om betalingsoppdrag til og fra utlandet (betalingsoppdragforskriften), som gjennomfører EØS-reglene som svarer til direktiv 97/5/EF om pengeoverføringer på tvers av landegrensene. Forskriften gjelder imidlertid bare for selve pengeoverføringstjenestene, og regulerer ikke kostnadene ved slike overføringer.

1.3 Forholdet til Valutaregisterloven Det forutsettes at Lov om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (Valutaregisterloven), av 28.05.2004, med ikrafttredelse 01.01.2005, følges. Finansdepartementet har, den 6. desember 2004 med hjemmel i ovennevnte lov, gitt ut Forskrift nr.1573 Forskrift om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge. Forskriftens krav kommer til anvendelse ved den foreliggende tilbudsinnbydelsen. 9 1.4 Hovedmål for likvidforvaltningen Statens Konsernkontoordning er basert på følgende hovedprinsipper: (a) (b) (c) (d) (e) All likviditet som tilhører staten skal overføres til/fra statens foliokonto i Norges Bank på daglig basis. Midler skal ikke være innestående på Arbeidskontoer i andre banker natten over. Finansdepartementet har inngått avtale med enkelte banker om betalingsformidling og kontohold. Virksomhetene skal benytte disse avtalene og velge bank for betalingsformidling og kontohold. Jf. Bestemmelser om økonomistyring i staten, pkt. 3.4.1, Myndighet og ansvar. Overføringen av midler til/fra statens kontoer i Norges Bank skal skje med korteste og enkleste betalingsvei. Overføringer skjer elektronisk ved bruk av formater, forseglingskontroller og posteringskontroller avtalt mellom rammeavtalebanker og Norges Bank. Banken skal ikke ha floatinntekter i forbindelse med inn- og utbetalinger til/fra statlige kontoer. Forvaltningen av statens likviditet skal ivaretas av Norges Bank som en del av den ordinære forvaltningen av statens kapital. Det øverste kontonivået for Statens Konsernkontoordning er statens foliokonto i Norges Bank. På nivåer under dette vil det hovedsakelig være Oppgjørskontoer. Godtgjørelse til Rammeavtalebank skal gis i form av direkte betaling for de enkelte tjenestene som utføres, jf. Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester for staten, pkt. 4.7, Pristilbud. Utbetalinger skal normalt skje ved elektronisk overføring mellom bankkontoer uten bruk av særskilt melding fra Banken til mottager, jf. Bestemmelser om økonomistyring i staten, pkt. 3.4.3.1, Elektronisk overføring.

10 2. KONTERINGSREGLER 2.1 Kontering ved innbetalinger Ved innbetalinger skal betalingene følge raskeste vei (null-float) fra betalingsprosessen iverksettes og fram til registrering og avregning/oppgjør: (a) (b) (c) (d) Ved girering (elektronisk eller blankettbasert) skal innbetalingen godskrives Virksomhetens Arbeidskonto samme dag som betalers konto belastes, eller dersom betalers konto er i en annen bank enn hos Banken, samme dag som Banken har fått stilt beløpet til disposisjon. Betalingsdag skal være lik Oppgjørsdag. Ved kontant innbetalt giro skal innbetalingen godskrives Virksomhetens Arbeidskonto samme dag som Banken har fått stilt beløpet til disposisjon. Ved innbetaling til egen Arbeidskonto av beløp som er innbetalt kontant til Virksomheten (inkl. sjekker), skal innbetalingen godskrives Virksomhetens Arbeidskonto samme dag som innbetalingen finner sted ved filial hos Banken, eller dersom innbetalingen skjer i annen bank, samme dag som Banken har fått stilt beløpet til disposisjon. Ved innbetaling fra utlandet til konto i norske kroner skal innbetalingen godskrives Virksomhetens Arbeidskonto samme dag som Banken har fått stilt beløpet til disposisjon. Når Banken har mottatt innbetalingstransaksjoner, inkl. innbetalinger fra Virksomheten til egen Arbeidskonto, innen nærmere avtalefestede tidspunkter på dagen ( cut-off tidspunkter), skal behandling og oppgjør skje samme dag med samme dags Valutering. Det vises til pkt. 6.15, a i dokumentet Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester for staten. Gireringer til en statlig konto skal avregnes direkte mellom betalers konto og Virksomhetens Arbeidskonto.

11 2.2 Kontering ved utbetalinger (a) (b) (c) (d) (e) (f) Banken skal bruke den datoen for hver Transaksjon som Virksomheten har lagt inn i et Betalingsoppdrag, som sin Behandlingsdag for vedkommende Transaksjon (med unntak av for lønn og lønnsliknende ytelser, jf. pkt. (b) nedenfor). Betalingsdag ved konto til konto overføringer blir samme virkedag som Behandlingsdag. Dersom angitt dato i et Betalingsoppdrag med leverandørutbetalinger med videre faller på en lørdag, helligdag eller offentlig høytidsdag, skal Banken sette nærmest påfølgende virkedag som sin Behandlingsdag. Dersom angitt dato for en Transaksjon er passert når Betalingsoppdraget som inneholder Transaksjonen mottas av Banken, eller Betalingsoppdraget mottas for sent til Transaksjonen kan behandles på angitt dato, skal Banken sette nærmest påfølgende virkedag som sin Behandlingsdag. For lønn og lønnsliknende ytelser (inkl. trygdeytelser fra Rikstrygdeverket (NAV)) vil Virksomheten eller dennes underleverandør legge inn lønningsdag i Betalingsoppdraget (utbetalingsdag for Rikstrygdeverket (NAV)). Banken skal sikre at Betalingsdag blir lønningsdag, eller siste virkedag før lønningsdag, dersom lønningsdag faller på en lørdag, helligdag eller offentlig høytidsdag. Dette gjelder både i forhold til konto til konto utbetalinger og - forutsatt normal postgang - i forhold til betalinger i form av giro utbetaling til mottakere uten oppgitt konto. Ved konto til konto utbetalinger skal mottakers konto være godskrevet og Valutert på samme dag som Arbeidskontoen belastes, og oppgjør hentes i Norges Bank. Dersom mottakers konto er i en annen bank, skal Banken gjøre kredittransaksjonen tilgjengelig for den aktuelle banken slik at valuteringsprinsippene i dette pkt. 2.2 kan holdes. Ved utbetaling i form av giro utbetaling skal Virksomhetens Arbeidskonto tidligst kunne belastes for utbetalte beløp på samme dag som mottager faktisk hever beløpet, dog tidligst på Betalingsdag. Ved behov for hurtig kontantutbetaling skal Virksomheten kunne utstede sjekk eller tilsvarende som kan heves uten forutgående behandling/ postering av Banken. Virksomhetens Arbeidskonto skal tidligst kunne belastes for utbetalte beløp på samme dag som mottaker faktisk hever beløpet. Ved utbetaling til utlandet, fra konto i norske kroner i form av overføringer til konto, skal Banken belaste Virksomhetens Arbeidskonto samme dag som beløpet stilles til disposisjon for utenlandsk bank. Transaksjoner i valuta skal belastes for motverdien i norske kroner i henhold til avtalt kurs.

12 2.3 Oppgjør i Norges Bank (a) (b) (c) (d) (e) (f) (g) (h) Ved utbetalinger har Banken fullmakt til daglig å belaste tilvist Oppgjørskonto for summen av de beløpene som vedkommende dag er blitt belastet Virksomhetens Arbeidskonto. Tilsvarende skal summen av de innbetalingene som er blitt godskrevet Virksomhetens Arbeidskonto, overføres tilvist Oppgjørskonto, slik at Norges Bank kan gi Valutering samme dag som Virksomhetens Arbeidskonto er blitt godskrevet. Det daglige oppgjøret mellom Banken og Norges Bank i Statens Konsernkontoordning skal gjennomføres på de samme tidspunktene som til enhver tid er fastsatt mellom Banken og Norges Bank for masseavregninger og oppgjør av enkelttransaksjoner over et visst beløp. Oppgjør skal skje på Oppgjørsdagen. Ved konto til konto utbetaling skal Banken hente dekning for de samlede utbetalingene fra tilvist Oppgjørskonto tidligst på det tidspunktet beløpet valuteres mottakers konto, eventuelt stilles til disposisjon for mottakende bank. Ved giro utbetaling skal Banken hente dekning for de samlede utbetalingene fra tilvist Oppgjørskonto tidligst på det tidspunktet utbetaling faktisk har funnet sted, og Virksomhetens Arbeidskonto hos Banken er belastet. Ved bruk av sjekk eller tilsvarende skal Banken hente dekning for de samlede utbetalingene fra tilvist Oppgjørskonto tidligst på det tidspunktet utbetaling faktisk har funnet sted, og Virksomhetens Arbeidskonto hos Banken er belastet. For betalinger til utlandet, fra konto i norske kroner, skal Banken hente dekning fra tilvist Oppgjørskonto tidligst samme dag som beløp stilles til disposisjon for utenlandsk bank. For betalinger fra utlandet, til konto i norske kroner, skal Banken overføre innbetalingene til tilvist Oppgjørskonto samme dag som utenlandsk bank stiller beløp til disposisjon for Banken. Overføringen av avregningsoppdrag fra Banken til Norges Bank skal skje elektronisk pr. linje på eget format, etter nærmere avtale mellom Banken og Norges Bank. Banken skal forsegle datafilene før overføring til Norges Bank, jf. krav til krypteringsmetode, nøkler og sertifisering/godkjenning i pkt. 6.1.

13 3. INNBETALINGER 3.1 Innbetalingsformer Følgende innbetalingsformer skal behandles av Banken: (a) (b) (c) (d) (e) (f) (g) Elektronisk girering der betaler selv enten fra eget reskontrosystem eller via bedriftsterminaltilknytning eller tilsvarende iverksetter betaling elektronisk. Blankettbasert girering der betaler enten benytter egenutfylt eller tilsendt giroblankett som sendes en finansinstitusjon for effektuering. Kontant betaling av blankettbasert giro (egenutfylt eller tilsendt) som skjer til en finansinstitusjon. Direkte debitering eller tilsvarende tjenester der Virksomheten har sendt fakturainformasjon til en finansinstitusjon, og det foreligger avtale med betaler om gjennomføring av betaling. Kontant innbetaling fra Virksomheten (inklusive sjekker) for godskrift av Virksomhetens Arbeidskonto. Betaling utført på betalingsterminal for belastning av betalers konto og godskrift av Virksomhetens Arbeidskonto. Innbetaling fra utlandet, som godskrives konto i norske kroner, herunder girering og godskrift av utenlandske sjekker samt EUbetalinger. 3.2 Informasjon til Virksomheten 3.2.1 Hovedprinsipper Banken skal levere informasjon om enkeltinnbetalinger (konteringsdata) til Virksomheten i henhold til følgende hovedprinsipper: (a) (b) Banken skal for hver Arbeidskonto på daglig basis overføre konteringsdata elektronisk over linje eller på avtalt medium til Virksomheten. Banken skal sørge for at konteringsdataene inneholder all tilgjengelig informasjon som kan være til hjelp for Virksomheten ved identifisering av innbetalingene.

14 (c) (d) (e) Konteringsdataene skal være sortert slik at det er enkelt for Virksomheten å identifisere hvilke innbetalinger som inngår i de enkelte postene i kontoutskriften. Konteringsdata skal sendes Virksomheten i to grupper: i) de med gyldig KID (kundeidentifikasjon) ii) de uten KID eller med ugyldig KID. Av konteringsdataene/kontoutskriften skal det være mulig å utlede hva som er Oppgjørsdag i Norges Bank. Banken har ansvar for at korrekt innbetalingsdag følger med innbetalingen. 3.2.2 Betalinger med KID Konteringsdata skal overføres på et standardisert format som muliggjør elektronisk oppdatering av reskontro, f.eks. BBS/OCR-retur format eller EDIFACT-formatet CREMUL, el.l. Returinformasjonen skal inneholde minimum følgende opplysninger: (a) Kundeidentifikasjonen; for de transaksjonene som har fullstendig/gyldig KID skal denne returneres og brukes som primær identifikasjon av krav/betaler. (b) Kreditkontonummer. (c) Beløp. (d) Behandlingsdag. (e) Entydige, gjennomgående referanser; eksempelvis arkivreferanse for sporing av poster Banken skal kontrollere innholdet i eventuell KID og supplere/korrigere innlest KID dersom denne er mangelfull og Banken har tilgang til korrekt KID. 3.2.3 Betalinger uten KID/med ugyldig KID Banken skal gi følgende tilleggsinformasjon (i forhold til pkt. 3.2.2 b-e) elektronisk eller på papir etter Virksomhetens valg når KID mangler eller er ugyldig: (a) (b) (c) (d) Eventuell ugyldig/mangelfull KID. For innbetalingstransaksjoner med melding skal meldingen legges ut som en del av returinformasjonen. Dersom betaler har brukt giroblanketter uten KID, eller blanketter hvor KID ikke kan leses, skal kopi ( image ) av blanketten sendes Virksomheten. I den grad gyldig KID mangler, vil annen identifikasjon av betaler være nødvendig i sporingen av riktig kravpost. Banken skal oversende informasjon om for eksempel betalers navn og adresse, betalers kontonummer (debetkonto) og/eller enhetsnummer/organisasjonsnummer

15 (juridiske personer) dersom denne er tilgjengelig. Det skal finnes en referanse mellom kopi av blanketten og eventuell liste/ returinformasjon, slik at Virksomheten ved hjelp av referansen kan søke seg fram til korrekt kopi. Hvis kopiene leveres på et elektronisk medium, skal dette være av et format som gjør slikt søk mulig. Aktuelle søkekriterier kan være arkivreferanse, beløp, Innbetalingsdag, Behandlingsdag, periode (fra- til dato), kreditkontonummer, debetkontonummer mv. 3.2.4 Betaling fra utlandet som godskrives konto i norske kroner For transaksjoner fra utlandet, som godskrives konto i norske kroner, skal Banken bidra til at nødvendig informasjon for identifikasjon av betaler/krav følger Transaksjonen. Konteringsdata til Virksomheten skal kunne overføres elektronisk på standard format til bruk for Virksomhetens oppdatering av reskontro/regnskap. 3.2.5 Bankens plikt til å assistere ved mangelfull informasjon Dersom den informasjonen som Virksomheten har mottatt om en innbetaling, er utilstrekkelig for å identifisere hva betalingen gjelder, er Banken forpliktet til å assistere Virksomheten på dennes forespørsel pr. telefaks, brev eller e- post. I en slik forespørsel skal Bankens referanse-/arkivnummer oppgis dersom det er kjent av Virksomheten. Banken skal prioritere slike behov for assistanse og normalt svare i løpet av maksimalt 3 virkedager. Banken skal informere om status for dette arbeidet i sin informasjon til Senter for statlig økonomistyring, jf. Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester for staten, pkt. 6.3 og 6.15, a. 3.3 Kontroll av KID-informasjon Dersom betaler remitterer elektronisk, skal Banken i forhold til egne systemer og kunder kunne avvise Transaksjoner uten KID/med ugyldig KID. SWIFT overføringer reguleres ikke av avvisningskravet. Avvisningen bør bare berøre den enkelte Transaksjon uten KID/med ugyldig KID. Bruk av denne funksjonaliteten skal den enkelte Virksomheten kunne avtale med Banken. Kontroll og avvisning skal skje så nær den enkelte betaleren som mulig, enten ved kontroll i kundens eget system ved registrering av faktura og/eller ved kontroll hos Banken når kunden søker å overføre Transaksjonen elektronisk for betaling. Betaler skal få beskjed umiddelbart om eventuell avvisning.

16 4. UTBETALINGER 4.1 Utbetalingsformer Følgende utbetalingsformer skal behandles av Banken: (a) (b) (c) (d) (e) (f) (g) (h) elektronisk girering uten melding elektronisk girering med melding giro utbetaling sjekk, bankremisse, advisert giro elektronisk girering til utlandet belastet konto i norske kroner elektronisk utbetaling til mottaker uten konto i utlandet (f.eks. utenlands sjekk) belastet konto i norske kroner manuell girering til utlandet belastet konto i norske kroner manuell utbetaling, belastet konto i norske kroner, til mottaker uten konto i utlandet (f.eks. utenlands sjekk), herunder EU-betalinger Elektroniske remitteringer til mottakers konto uten melding på papir skal være hovedutbetalingsform for Virksomheten. For beløp som Virksomheten skal betale til mottaker i utlandet i NOK eller utenlandsk valuta, er det et mål i størst mulig utstrekning å benytte overføring til konto. Kravene til rutiner som er omtalt i dette kapitlet, gjelder tilsvarende ved oppdrag med utenlandstransaksjoner. 4.2 Overføring av Betalingsoppdrag Overføring av betalingsoppdrag fra Virksomheten til Banken skal være filbasert og skje pr. linje. Én fil bør i denne sammenheng bestå av ett Betalingsoppdrag (Batch). Filen skal inneholde den informasjon som Banken trenger for å kunne utføre de avtalte kontroller, jf. pkt. 4.3. Innholdet i datafilene med betalingsoppdrag skal beskyttes ved hjelp av forsegling (elektronisk signatur), slik at eventuelle endringer av innholdet i filene etter at seglet er laget, kan oppdages, jf. pkt. 6.1. Bare unntaksvis, ved svært store volumer eller dersom andre særskilte forhold tilsier det, skal datautvekslingen kunne skje ved bruk av magnetbånd, diskett, kassett, CD eller tilsvarende. Herunder skal bruk av magnetbånd tilbys for overføring av betalingsoppdrag fra Rikstrygdeverket (NAV) (og mottaksretur og avregningsretur tilbake, eventuelt også stoppeoppdrag og stopperetur).

Virksomheten skal kunne avtale direkte med Banken bruk av medium for datautveksling. Oversendelse av utenlandstransaksjoner skjer normalt i egen Batch. 17 Banken skal holde tilnærmet kontinuerlig tilgjengelighet for overføring/mottak av Betalingsoppdrag. 4.3 Kontroll av Betalingsoppdrag hos Banken Banken skal kontrollere mottatt Betalingsoppdrag ved kontroll av forseglingen, og ved de kontrollene som er omtalt i tabellen nedenfor, herunder kontroll av at Betalingsoppdrag ikke utilsiktet blir mottatt og viderebehandlet mer enn én gang (sekvensnummer-kontroll eller kontroll av oppdragsidentifikasjon). Tabellen viser også om feilsituasjonen skal medføre avvisning av hele oppdraget eller bare enkelttransaksjoner, og om dette gjelder for innenlandske og/eller utenlandske Betalingsoppdrag. Feilsituasjon Avvisning gjelder Innenlands/utenlands ugyldig segl hele oppdraget innenlands og utenlands manglende/ugyldig informasjon for hele oppdraget innenlands og utenlands å kunne generere ny nøkkel feil sekvensnummer eller hele oppdraget innenlands og utenlands tidligere brukt oppdragsidentifikasjon formelle feil (format) hele oppdraget innenlands og utenlands ugyldig dato (dag og måned enkelttransaksjoner innenlands og utenlands eksisterer ikke) feil debet kontonummer enkelttransaksjoner innenlands og utenlands (mot avtale) ugyldig IBAN nummer er oppgitt enkelttransaksjoner utenlands ugyldig transaksjonstype enkelttransaksjoner innenlands registrering av innbetaling på enkelttransaksjoner innenlands og utenlands utbetalingskonto eller utbetaling på innbetalingskonto feil kredit kontonummer i egen enkelttransaksjoner innenlands bank når mottaker har konto hos Banken (konto ikke gyldig og åpen) ugyldig kreditkontonummer i annen enkelttransaksjoner innenlands bank ved CDV-kontroll ugyldig bankplassnummer (4 første enkelttransaksjoner innenlands siffer i kreditkontonummer) ugyldig postnummer (ved giro enkelttransaksjoner innenlands utbetaling)

18 I tillegg til kontrollene som er angitt i tabellen, kan mottaker ha stilt krav om kontroll og avvisning av oppdrag ved feil i KID. Banken bør ikke avvise alle Transaksjoner til en mottaker i slike tilfeller, selv om det er feil i KID i en av Transaksjonene. Dersom det oppdages feil i forseglingen ved kontrollen hos Banken, skal Betalingsoppdraget (Batchen) avvises som ugyldig, og Virksomheten skal umiddelbart informeres om avvisningen elektronisk. Banken skal ikke endre innholdet i Transaksjoner som er overført fra Virksomheten. For Transaksjoner til utlandet kan Banken supplere Transaksjoner med SWIFT-adresse. Banken kan ekspedere oppdrag uten IBAN- kontonummer, men med ordinært kontonummer. Disse oppdrag blir gjenstand for egne betingelser om pris og behandlingstid. Banken skal logge innholdet i de Betalingsoppdragene som er mottatt, jf. pkt. 6.3. 4.4 Mottaksretur til Virksomheten Virksomheten skal motta returinformasjon (Mottaksretur) for hvert oversendt Betalingsoppdrag. Mottaksreturen skal gis i elektronisk form og skal foreligge så raskt som mulig etter innsending av et oppdrag. Mottaksreturen kan bestå av mer enn en fil. Mottaksreturen skal innholde minimum en av følgende opplysninger: - melding om at alle Transaksjoner er godkjent - melding om eventuell avvisning av hele oppdraget med angivelse av årsak til avvisningen (feilkode) - eventuelle avviste Transaksjoner med angivelse av årsak til avvisningen (feilkode). Mottaksretur gis ikke på Transaksjoner via telefaks. 4.5 Kontroll og Autorisasjon av Betalingsoppdrag Før Transaksjoner i et Betalingsoppdrag kan formidles av Banken, skal Betalingsoppdraget være autorisert av en person med slik fullmakt i Virksomheten. Virksomheten skal også kunne avtale med Banken at Betalingsoppdrag skal autoriseres av to personer med slik fullmakt i Virksomheten, eller av en eller to personer med slik fullmakt i en annen statlig virksomhet. Betalingsoppdrag som ikke er autorisert i henhold til reglene omtalt nedenfor, skal ikke utføres av Banken.

Overordnet departement kan for små Virksomheter godkjenne at en annen statlig virksomhet eller en statlig tjenesteyter gis fullmakt til å autorisere på vegne av Virksomheten, jf. Bestemmelser om økonomistyring i staten, pkt. 3.4.3.3. 19 Kravet om at alle betalingsoppdrag skal autoriseres, kan fravikes etter avtale mellom banken og Finansdepartementet. Det kan bli aktuelt dersom oppdrag forsegles med en elektronisk signatur etter gjeldende standard for offentlig sektor. Autorisasjon av Betalingsoppdrag skal skje on-line ved bruk av bedriftsterminal. Ved Autorisasjon skal fullmaktshaveren logge seg på bankens bedriftsterminalsystem, jf. pkt. 6.2. Bedriftsterminalsystemet skal gi nødvendig informasjon for å kunne kontrollere at det oppdraget som ble sendt, er det samme som ligger hos Banken. Ved Autorisasjonen skal fullmaktshaveren via bedriftsterminalen få informasjon om minimum - oppdragsidentifikasjon - sum for antall Transaksjoner og beløp i Betalingsoppdraget - sum for antall Transaksjoner og beløp for avviste Transaksjoner, og/eller sum for antall Transaksjoner og beløp for godkjente Transaksjoner. Bedriftsterminalsystemet skal ha funksjonalitet slik at fullmaktshaveren kan kontrollere enkelttransaksjonene i Betalingsoppdraget ved behov. Transaksjonene bør kunne vises i samme rekkefølge som de ble sendt i Betalingsoppdraget. Når Betalingsoppdraget er autorisert, jf. pkt. 6.2.3, skal både oppdraget og hver enkelt Transaksjon i oppdraget (som ikke er avvist eller stoppet) omfattes av Autorisasjonen. Autorisasjonen skal gjelde på transaksjonsnivå, jf. at ett og samme Betalingsoppdrag kan inneholde Transaksjoner med ulike datoer. Virksomheten skal kunne stoppe enkelttransaksjoner i et oppdrag, uten at det endrer statusen autorisert for de øvrige Transaksjonene i oppdraget, jf. pkt. 4.7. 4.6 Venteregister Banken skal tilby venteregisterfunksjonalitet for godkjente Transaksjoner. Virksomheten skal utnytte venteregisterfunksjonaliteten for å sikre rettidige utbetalinger. Venteregisteret skal omfatte alle Transaksjoner som er godkjent av Banken (jf. pkt. 4.3), autorisert av Virksomheten (jf. pkt. 4.5), ikke stoppet (jf. pkt. 4.7), og ikke forfalt til utbetaling. Innholdet i Venteregisteret skal kunne kontrolleres av Virksomheten.

20 4.7 Stopp av betalingstransaksjoner Virksomheten skal kunne hindre at Betalingsoppdrag eller Transaksjoner blir utført av Banken ved å sende stoppeoppdrag eller utføre on-line stopping via bedriftsterminal. Stoppingen bør kunne gjennomføres av Banken selv om Betalingsoppdraget ikke er autorisert. Betalingsoppdrag som ikke er autorisert og hvor alle betalingsdatoer er passert, skal kunne slettes av Banken etter ordre fra Virksomheten. 4.7.1 Stopping ved overføring av stoppeoppdrag Stoppeoppdrag skal kunne sendes fram til et nærmere avtalefestet tidspunkt før Bankens Behandlingsdag. Et stoppeoppdrag kan inneholde én eller flere stoppetransaksjoner (også hele oppdraget). Hensikten med en stoppetransaksjon er å oppheve en ikke forfalt betalingstransaksjon. Stoppeoppdraget skal forsegles og overføres elektronisk til Banken, i tråd med rutinene omtalt i pkt. 4.2. Et stoppeoppdrag skal inneholde en kode for stopping og kunne identifisere det Betalingsoppdraget/Transaksjonen som skal stoppes. Banken skal sende returdata til Virksomheten for hvert oversendt stoppeoppdrag etter at dette er kontrollert. Kravene til stoppereturen er de samme som til Mottaksreturen, jf. pkt. 4.4. Stoppingen iverksettes straks oversendt stoppeoppdrag er godkjent av Banken. Banken skal da sende returdata (avregnet stopperetur) som bekrefter at stopping av de aktuelle Transaksjonene faktisk har funnet sted (parallelt til avregningsreturen for ordinære Betalingsoppdrag). Returdataene skal vise hvilke Transaksjoner som er stoppet. Virksomheten skal ikke ha anledning til å gjøre endringer i data som ligger i Venteregisteret på annen måte enn ved stopping av Transaksjoner og deretter oversendelse i nytt Betalingsoppdrag. I enkelte sammenhenger vil flere enkeltbetalinger (debet) sendt i samme Betalingsoppdrag, med samme dato og til samme mottaker, bli trukket sammen slik at mottaker tilføres ett pengebeløp (kredit). Slik sammentrekking anses som en rent teknisk og formatbestemt funksjonalitet. Som andre fakturaer/ utbetalinger skal det være mulig å stoppe disse Transaksjonene enkeltvis selv om de inngår i en teknisk sammentrekking. 4.7.2 On-line stopping Virksomheten skal kunne be om stopping av Betalingsoppdag eller Transaksjoner ved bruk av bedriftsterminal fram til et nærmere avtalefestet tidspunkt før Bankens Behandlingsdag. Stoppingen iverksettes av Banken snarest mulig etter at Virksomheten har bedt om stopping via

21 bedriftsterminalen. Banken skal sende avregnet stopperetur når stoppingen er effektuert. 4.8 Avregningsretur til Virksomheten Banken skal for konto til konto overføringer og giro utbetalinger stille returdata om gjennomførte utbetalinger til Virksomhetens disposisjon på avtalt måte og i et format som gjør at Virksomheten kan benytte dataene til maskinell oppdatering av økonomisystemet og avstemming av kontoer. Av Avregningsreturen skal det være mulig å utlede hva som er Oppgjørsdag i Norges Bank. Banken skal stille elektronisk Avregningsretur for utbetalinger til virksomhetens rådighet på følgende tidspunkter: (a) (b) Umiddelbart etter at beløp er overført til mottakeres kontoer, eller giro utbetalinger er hevet, og Virksomhetens Arbeidskonto for slike utbetalinger er belastet. Daglig ved heving av sjekk eller tilsvarende. Avregningsreturen gis her enten sammen med øvrige utbetalinger under pkt. a eller i form av enkeltposteringer i kontoutskrift som skal inneholde opplysninger som identifiserer hver enkelt Transaksjon. Om kontoutskrift se pkt. 5.2. 4.9 Behandling av overføringer til gyldig, men opphørt konto Dersom det ved konto til konto-overføringer søkes overført midler til en konto med gyldig men opphørt kontonummer, vil beløpet normalt bli postert på en interimskonto (feilkonto) hos mottakerbanken. Dette gjelder med mindre det er inngått avtale med mottaker om omnummerering. Utbetalinger til gyldig, men opphørt konto hos Banken skal ikke søkes overført oppgitt mottaker ved at f.eks. beløpet overføres mottakers eventuelle nye konto (uten etter avtale om omnummerering) eller ved bruk av giro utbetalinger. I slike tilfeller skal beløpet i stedet tilbakeføres Virksomhetens Arbeidskonto uavkortet og normalt innen tre dager. Virksomheten bør kunne avtale at slik tilbakeføring kan skje ved at Transaksjonen avvises før avregning, og at det i Avregningsreturen gis informasjon om at Transaksjonen er avvist av Banken. Det bør da kunne fremgå en egen kode for avvisning, jf. tilsvarende krav til kontroll ved mottak av Betalingsoppdrag i pkt. 4.3. Dersom Banken tilbakefører beløp til Virksomhetens Arbeidskonto, skal navnet på opprinnelig mottaker oppgis i meldingen om tilbakeføring. Det bør merkes om tilbakeføringen gjelder overføring til en opphørt konto. I tillegg bør Banken kunne oppgi det opprinnelige kreditkontonummer pengene ble forsøkt

sendt til, og eventuelle andre referanser som kan bidra til å spore Transaksjonen i Virksomhetens systemer. 22 Banken skal be om at tilsvarende behandlingsmåte for utbetalinger til gyldig, men opphørt konto også følges i de tilfellene hvor mottakers konto er hos annen betalingsformidler enn Banken. Det vises for øvrig til pkt. 4.8.4 i Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester til staten. Banken skal informere om status for dette i sin informasjon til Senter for statlig økonomistyring, jf. Tilbudsinnbydelse på betalingsformidlings- og kontoholdstjenester for staten, pkt. 6.3 og 6.15, a. 4.10 Nærmere om kontantutbetalinger Banken skal ha rutiner som sikrer mot dobbel utbetaling av en giro utbetaling. Virksomheten skal på forespørsel kunne få oversendt fra Banken oversikt over uhevede giro utbetalinger. Slik informasjon skal gis elektronisk, for eksempel som vedlegg i e-post, når Virksomheten ønsker det, alternativt ved oversendelse av papirlister. En giro utbetaling skal være gyldig i utstedelsesmåneden og påfølgende måned. Deretter anses den for foreldet (ugyldig), og skal ikke lenger kunne heves. Foreldede giro utbetalingsblanketter som blir honorert, vil ikke bli dekket av Virksomheten. Ny giro utbetalingsblankett må utstedes dersom utbetaling skal kunne foretas etter at gyldighetsfristen for opprinnelig giro utbetaling er utløpt. Virksomheten må i så fall sende Transaksjonen på nytt. Banken skal gi Virksomheten melding om giro utbetalinger som slettes fra Bankens oversikt over uhevede giroer pga. foreldelse. Slik melding skal gis umiddelbart etter sletting og skal gis på avtalt standardformat når Virksomheten ønsker det, alternativt ved oversendelse av lister, enten på papir eller som vedlegg til e- post. Duplikat av utsendt giro utbetalingsblankett som ikke er hevet, men fortsatt gyldig, skal av Banken bare kunne utstedes i tilfeller hvor mottaker kan dokumentere at den originale giroblanketten er tapt/ødelagt slik at det med sikkerhet ikke vil kunne bli forsøkt hevet. Dersom det skjer dobbel utbetaling av en giro utbetaling, skal eventuelt økonomisk tap dekkes av Banken. Virksomhetens Arbeidskonto skal bare kunne belastes én gang for hver utstedt giro utbetaling. Virksomheten skal kunne stoppe Transaksjoner med giroutbetaling ved en stoppetransaksjon eller ved on-line stopping innen et nærmere avtalefestet tidspunkt før Behandlingsdag, i tråd med rutinene omtalt i pkt. 4.7.

23 5. KONTOHOLD 5.1 Virksomhetens Arbeidskontoer hos Banken Det skal opprettes separate Arbeidskontoer hos Banken for hhv. innbetalinger og utbetalinger til/fra den enkelte Virksomhet. Det kan bli opprettet flere kontoer for henholdsvis inn- og utbetalinger. For hver Oppgjørskonto skal det opprettes minst én Arbeidskonto hos Banken. Det skal kunne foretas kreditrenteberegning på Arbeidskonto hos Banken på daglig basis på grunnlag av avtalt rentesats. For hver Arbeidskonto skal Banken føre et fullmaktsregister som til enhver tid viser hvilke personer Virksomheten har gitt fullmakt til å disponere kontoen gjennom Autorisasjon av Betalingsoppdrag (jf. pkt. 4.5) og signering av sjekk eller tilsvarende. Hver Arbeidskonto åpnes med et fullmaktskort hvor det fremgår krav om at alle utbetalinger skal være autorisert av en fullmaktshaver ved elektroniske Betalingsoppdrag, evt. to fullmaktshavere etter avtale mellom Virksomheten og banken, og to fullmaktshavere ved bruk av sjekk eller tilsvarende. Arbeidskonti bør ha mulighet for automatiske sperrer for å hindre registrering av innbetalinger til utbetalingskonto og utbetalinger til innbetalingskonto. Det er kun brutto-budsjetterte Virksomheter som har adskilte kontoer for h.h.v. innog utbetalinger. Ved kontoer i valuta er det valgfritt å benytte felles eller adskilte kontoer for inn- og utbetalinger, jf. punk 7.3. 5.2 Tilgang til kontoopplysninger Virksomheten skal på daglig basis ha tilgang til kontoopplysninger for hver Arbeidskonto. Slik tilgang skal gis via bedriftsterminal, og være tilgjengelig morgenen etter postering. Dataene skal overføres på et standardisert format som muliggjør automatisk avstemming av Arbeidskontoene. Dersom papirløsning ønskes av Virksomheten, skal dette tilbys av Banken og sendes pr. A-post til Virksomheten. Banken bør i så tilfelle tilby en løsning der kontoutskriften på papir kan sendes sjeldnere enn daglig dersom Virksomheten ønsker dette. Kontoutskriften på papir skal likevel sendes Virksomheten minimum en gang pr. måned. Papirløsningen kan gjøres til gjenstand for egne prisbetingelser. For hver Arbeidskonto skal kontoopplysningene inneholde alle Transaksjoner eller bevegelser foretatt vedkommende dag (fortrinnsvis som summer av Transaksjonene i returinformasjonen), Betalingsdag og Behandlingsdag (jf. omtale i pkt. 3.2.1 og 4.8). Det skal også fremgå referanser som gjør det mulig

24 å sammenholde posteringene mot tilhørende returinformasjon fra Banken. Videre bør kontoopplysningene inneholde inngående og utgående saldo, og kontonummer på Oppgjørskontoen ved oppgjørstransaksjoner til Norges Bank. Evt. kontoutskrift pr. papir skal være fortløpende nummerert. 5.3 Omnummerering Banken skal tilby funksjonalitet for omnummerering av innbetalinger til nytt kontonummer. Dette gjelder også når det nye kontonummeret er i en annen bank. Omnummerering skal ikke føre til at annen informasjon i Transaksjonen blir endret/går tapt, så som beløp, betalers kontonummer, evt. referansenummer, evt. KID, evt. melding m.m. 5.4 Dokumentasjon av betalingstransaksjoner Dokumentasjon av alle betalingstransaksjoner til eller fra en Virksomhets Arbeidskonto, skal oppbevares av Banken i 10 år (jf. Regnskapslovens bestemmelser). Tilsvarende krav til oppbevaring gjelder i forhold til logging av opplysninger vedr. Autorisasjon av Betalingsoppdrag (jf. pkt. 6.2.3 og 6.3). Virksomheten skal ved behov kunne rekvirere slik dokumentasjon for sine betalingstransaksjoner. For blankettbaserte Transaksjoner skal dokumentasjonen minimum dekke: - Originalblankett eller kopi av blankett fra godkjent lagringsmedium. - Opplysninger om avregning og bokføring som viser når og i hvilken post på kontoutskriften Transaksjonen er avregnet og bokført både mot belastnings- og godskriftskonto.

25 6. SIKKERHET I det følgende vil kravene til sikkerhet bli stilt til følgende områder: - sikring av datafiler ved overføring til/fra Banken - sikkerheten i Bankens bedriftsterminalsystem - logging 6.1 Krav til sikring av datafiler ved overføring til/fra Banken 6.1.1 Generelt om sikring av datafiler Sikkerhetskravene bygger på at det til enhver tid skal være et 1:1-forhold mellom det som er registrert i Virksomhetens økonomisystem og i Bankens systemer. Dette skal for utbetalinger oppnås ved de rutinene som er omtalt ovenfor i pkt. 4.1 4.8, for innbetalinger jf. pkt. 3.2. For å sikre integriteten og autentisiteten til noen av datafilene som utveksles mellom Banken og Virksomheten, skal de beskyttes ved hjelp av forsegling (elektronisk signatur). Dette gjelder uavhengig av på hvilken måte datafilen utveksles (linje, diskett, magnetbånd, kassett, CD eller tilsvarende). Kravet om forsegling gjelder for datafiler som inneholder Betalingsoppdrag og stoppeoppdrag til Banken. Kravet kan også gjelde for datafiler som inneholder informasjon fra Banken til Virksomheten om innbetalinger (konteringsdata) og for datafiler med avregningsoppdrag fra Banken til Norges Bank. Det kan i fremtiden bli aktuelt å stille krav om forsegling også av Avregningsreturen. 6.1.2 Forsegling av datafiler Forsegling av datafiler sikrer autentisitet og integritet i meldingen. Forseglingen skal skje ved å legge ved en digital signatur basert på innholdet som skal beskyttes mot ikke-autorisert endring. Den digitale signaturen genereres ved å beregne en kontrollsum (hash-verdi) basert på innholdet i filen, som så krypteres med en krypteringsnøkkel og legges ved på avsatt felt på slutten av datafilen. Et betalings-/stoppeoppdrag (batch) skal enten forsegles fortløpende etter hvert som rekordene i oppdraget genereres, eller ved at genereringen av oppdraget avsluttes ved at systemet automatisk og umiddelbart starter forseglingsprosessen. I all hovedsak vil én fil være lik et betalings- /stoppeoppdrag. I de tilfellene en fil inneholder flere oppdrag, skal hvert oppdrag forsegles fortløpende eller umiddelbart etter at det er generert.

26 Seglet skal omfatte alle rekorder i filen fra startrekord til og med rekorden før den rekorden som skal inneholde seglet (dersom seglet ligger i samme fil). Unntak for seglberegning kan gjøres for norsk tegnsett (æ, ø, å) og eventuelle spesialtegn. De tegnene som tas med i beregningen av seglet, skal representere faste verdier og være uavhengig av det tegnsettet som nyttes på den maskinen som genererer seglet. Seglet lages på grunnlag av innholdet i filen og en hemmelig/privat nøkkel (en tallkombinasjon bestående av et antall siffer). I all hovedsak vil én datafil være lik ett Betalingsoppdrag (batch). I de tilfellene en datafil inneholder flere Betalingsoppdrag, skal hvert oppdrag forsegles fortløpende eller umiddelbart etter at det er generert. 6.1.3 Krav til beskyttelsesmekanismer, krypteringsnøkler og forseglingsalgoritmer Beskyttelsesmekanismene bør være basert på åpne standarder. Det er krypteringsnøklene og algoritmene som skal gi den nødvendige beskyttelse, ikke hemmelighold av sikkerhetsmekanismen i seg selv. Den tilbudte løsning må sikre interoperabilitet og kommersiell tilgjengelighet av nødvendige sikkerhetskomponenter, enten de er realisert i maskinvare eller programvare. Nøkler brukt til kryptering kan være symmetriske eller asymmetriske eller kombinasjoner av disse. Normalt vil løsninger der asymmetriske nøkler og/eller digitale sertifikater inngår som en del av løsningen, ansees som det mest hensiktsmessige. Det stilles krav om at sikkerheten i hash og krypteringsalgoritmer som benyttes dokumenteres. Algoritmene må støtte nøkkellengder og hash-verdi lengder som er tilstrekkelige til å oppnå ønsket sikkerhetsnivå. Symmetrisk kryptering, eksempelvis SIGILL, el.l., brukt til forsegling av datafiler anses å være en de facto standard blant norske banker. Tilbud basert på bruk av metoden/algoritmen SIGILL el.l. ved sikring av filer vil derfor bli akseptert. 6.1.4 Nøkkeladministrasjon Nøkkeladministrasjon kan være basert på følgende alternativer: - en-til-en forhold der partene selv håndterer sine nøkler - en Public Key Infrastructure (PKI) basert på bruk av digitale sertifikater

27 For at en PKI løsning skal komme i betraktning må tilbyder dokumentere at foreslått PKI-løsning gir tilstrekkelig: teknisk sikkerhet klarhet i ansvar, roller, rutiner og prosedyrer. Dette skal ikke bare gjelde de tekniske løsninger, men også ansvaret for selve betalingstransaksjonen oppfyllelse av relevante standarder god nok interoperabilitet og kommersiell tilgjengelighet av maskin- og programvare 6.1.5 Krav til nøkkelhåndtering ved bruk av SIGILL, el.l. Forsegling med bruk av SIGILL-metoden, el.l. innebærer en symmetrisk kryptering. Den hemmelige nøkkelen lages derfor i par hvor Virksomheten skal ha den ene nøkkelen og Banken den andre. Det skal til enhver tid minimum benyttes 2 hemmelige nøkkelpar; ett par som nyttes når det er Virksomheten som forsegler og Banken som kontrollerer, og ett par når Banken forsegler og Virksomheten kontrollerer. Virksomhet og Banken vil normalt ha ansvaret for minimum ett hemmelig nøkkelpar hver. Banken kan etter avtale med Virksomheten ha ansvar for begge nøkkelparene. Dette ansvaret omfatter produksjon og forsendelse av initiell nøkkel og reservenøkler og styring av skifte av reservenøkkel. Initiell nøkkel: Ved første gangs bruk må den hemmelige nøkkelen utveksles manuelt mellom partene og legges manuelt inn i systemene både hos Virksomheten og hos Banken. Den initielle nøkkelen samt en reservenøkkel skal utveksles mellom partene i lukket konvolutt, adressert til den som skal legge nøkkelen(e) inn i systemet. Dersom konvolutten som inneholder nøklene skal sendes fram pr. post, skal den sendes rekommandert. Når den hemmelige nøkkelen er lagt inn i systemet hos Banken, skal den ikke kunne hentes fram igjen/vises i klartekst i noe skjermbilde. Lagring av hemmelig nøkkel: Banken skal oppbevare sin hemmelige nøkkel i kryptert form. Eventuelt kan annen oppbevaringsmåte nyttes forutsatt at Banken i sitt tilbud kan godtgjøre tilsvarende sikkerhetsnivå som ved kryptering. Bytte av hemmelig nøkkel: En hemmelig nøkkel skal bare kunne nyttes til å forsegle én gang, og bytte av den hemmelige nøkkelen skal skje automatisk. Den parten som nytter en hemmelig nøkkel til å forsegle et oppdrag, skal automatisk lage et tilfeldig tall (slumptall) som skal sendes med som en del av oppdraget. Dette slumptallet