Avtale mellom Finansnæringens Servicekontor og Sparebankforeningens Servicekontor om etablering av BankID Norge Inngått 10.12.08 etter vedtak i Bransjestyre bank og betalingsformidling i Finansnæringens Servicekontor 03.12.08 og styret i Sparebankforeningens Servicekontor 01.12.08. 1. Bakgrunn Gjennom beslutninger i Finansnæringens Servicekontor og Sparebankforeningens Servicekontor høsten 2000 etablerte bankene i Norge BankID Samarbeidet. Samarbeidet representerte et felles løft i banknæringen for å etablere en samordnet avtalebasert PKI som basis for den enkelte banks utvikling av elektroniske tjenester gjennom åpne nett med et tilstrekkelig sikkerhetsnivå. De formelle vilkår for samarbeidet er nærmere forankret i Regler om BankID fastsatt av servicekontorenes styrende organer første gang i juni 2000. I februar 2004 ble det inngått avtale mellom de to servicekontorer og BBS om drift, forvaltning og utvikling av en felles operasjonell infrastruktur for BankID (BankID FOI). Gjennom BankID Samarbeidet har banknæringens arbeid med BankID utviklet seg fra å være et etableringsprosjekt for en avtalebasert PKI-løsning til forvaltning av en forretningskritisk tjeneste for bankenes virksomhet. Pr utgangen av oktober 2008 hadde bankene utstedt vel 1,6 millioner BankID sertifikater og BankID var tatt i bruk som påloggingsmekanisme i ca.120 av de om lag 145 bankene med virksomhet i Norge. Den fasen BankID Samarbeidet er kommet inn i tilsier en organisering av banknæringens virksomhet med BankID som klarere markerer operasjonelt ansvar for implementering av næringspolitiske beslutninger relatert til BankID, forvaltning av produktansvar, ivaretakelse av sikkerhet samt oppfølging av leveranser fra den felles operasjonelle infrastruktur. Ved etablering av BankID Operasjonell Forvalter (BOF) 1, tar banknæringen, gjennom de to servicekontorene, sikte på en videreutvikling av BankID Samarbeidet som bedre ivaretar de ovennevnte behov for klargjøring av ansvar og oppgaver. 2. Den overordnede styringsstrukturen for BankID og BOFs plassering i denne Styringsinstruksen i bankenes infrastruktur inndeles i 3 nivåer: Felles policy (herunder fastsettelse av interbankregler, organisering, ansvarsfordeling og interbankprising) Forvaltning (med bl.a. felles standarder for meldings-/transaksjonsutveksling og sikkerhetskrav) Operasjonelle/driftsmessige forhold 1 Endret navn til BankID Norge (19.06.09) 1
Beslutninger av felles overordnet og policymessig karakter fattes av de to servicekontorer. Avtale og regler kan utformes som materielle og prosessuelle styringsregler, konfliktløsningsregler, rammeverk og premisser for samordning av tjenestene, og forutsetter således oppfølgning av forvaltningsmessig og operasjonell karakter. BankID Rot CA utgjør det høyeste nivå i sertifikathierarkiet for BankID. BankID Rot CA skal fortsatt eies av de to servicekontorer. Servicekontorene skal derfor fortsatt være part i avtalen med BBS (BBS Infrastruktur) om drift av BankID Rot CA. Forvaltningsmessige oppgaver som fastsettelse av standarder og sikkerhetskrav innenfor den felles infrastruktur, er tillagt Bankenes Standardiseringskontor (BSK). Kompetansen til BSK er gitt i medhold av avtaler eller generelle regelverk fastsatt av de to servicekontorer. Operasjonelle oppgaver er tillagt den enkelte bank og/eller andre aktører, avhengig av hvilke felles tjenester det er snakk om. Innenfor BankID Samarbeidet skal BOF, på vegne av banknæringen, ivareta felles forvaltningsmessige og operasjonelle oppgaver innen BankID Samarbeidet, jf bakgrunnen omtalt i punkt 1. Kompetansen til BOF gis av de to servicekontorer i medhold av avtaler eller generelle regelverk fastsatt av de to servicekontorer. Virksomheten i BOF skal skje innenfor de næringspolitiske rammer som fastslegges gjennom organisasjonsmessig behandling og vedtak i de to servicekontorer. De løsninger, spesifikasjoner og rutiner BOF har ansvaret for skal ligge innenfor de standarder og møte de sikkerhetskrav som er satt av BSK. BOF skal være oppdragsgiver for felles virksomhet av operasjonell karakter, herunder drift, forvaltning og videreutvikling av BankID FOI. BOF erstatter de to servicekontorer som part i avtalen med BBS (BBS Infrastruktur) om drift, forvaltning og videreutvikling av BankID FOI. BOFs plassering, som en operasjonell enhet i krysningspunktet mellom næringspolitikk, forvaltning og drift, forutsetter at det utvikles god dialog og løpende kontakt mellom BOF og hhv servicekontorene, BSK og BBS Infrastruktur. 3. Nærmere om formålet med BOF BankID sertifikater utstedes av den enkelte bank i et konkurransemarked. Formålet med BOF er å ivareta felles forvaltningsmessige og operasjonelle oppgaver innen BankID Samarbeidet. Innenfor næringspolitiske rammer og konkurranselovgivningen, skal virksomheten i BOF sikre det beste felles operasjonelle grunnlag for den enkelte banks egne målsettinger og prioriteringer i relasjon til sin forretningsmessige virksomhet med BankID. Særlig viktig er sikkerheten i samordnet teknisk infrastruktur, samt BankID som felles merkevare. Kredittilsynet, som er tillagt IT-tilsynet for finansnæringen, har ansvar for å følge opp 2
at IT-sikkerheten er godt ivaretatt i bankenes løsninger. Kredittilsynet vil derfor også føre tilsyn med bankenes virksomhet med BankID. BOF vil ikke utgjøre en tilsynsenhet etter Kredittilsynsloven. På grunn av at den enkelte banks virksomhet med BankID er basert på felles regelverk og felles operasjonell virksomhet vil det likevel være hensiktsmessig, for bankene så vel som for Kredittilsynet, at BOF utgjør et sentralt kontaktpunkt mellom næringen og Kredittilsynet. Bankenes virksomhet knyttet til BankID er videre underlagt tilsyn av Post- og teletilsynet. I relasjon til Post- og teletilsynet er det den enkelte utsteder av BankID som er tilsynsenheten. Likevel er det, tilsvarende som for forholdet til Kredittilsynet, hensiktsmessig både for BankID utstedere og Post- og teletilsynet at BOF utgjør et sentralt kontaktpunkt mellom næringen (Bank ID Samarbeidet) og Post- og teletilsynet. BOF skal i denne sammenheng representere BankID Samarbeidet i fellesmeldinger til Post- og teletilsynet samt i andre spørsmål som er av felles karater. 4. Nærmere om arbeidsoppgavene BOF har følgende oppgaver: 4.1 Forvalte og videreutvikle spesifikasjon av BankID-produktet Forvalte og videreutvikle spesifikasjoner for utstedelse, validering og administrasjon av BankID sertifikater Forvalte og videreutvikle merkevarepolicy for BankID Forvalte og videreutvikle spesifikasjoner av brukergrensesnitt i samordnet teknisk infrastruktur Forberede tiltak som skal implementeres raskt ved ulike hendelser av sikkerhetsmessig karakter samt koordinere/implementere slike tiltak om nødvendig For å ivareta disse oppgaver skal BOF holde seg løpende orientert om trusselbildet for BankID-løsningen og påse at beslutninger som BOF treffer for å møte truslene følges opp av banker og leverandører I arbeidet med sikkerhetsmessige spørsmål skal BOF etablere og støtte seg på et eget BankID Sikkerhetsutvalg med sentrale representanter fra IT-sikkerhetsmiljøer i banker. BOF skal i sitt arbeid med utvikling og forvaltning av BankID følge opp de standarder og sikkerhetskrav som BSK har satt. 4.2 Være oppdragsgiver for drift, forvaltning og videreutvikling av FOI Inngå og forvalte avtaler med leverandører av felles drift, forvaltning og videreutvikling, basert på vedtak i servicekontorene om funksjoner som skal gjøres til gjenstand for felles driftleveranser for alle banker i BankID Samarbeidet Fastsette, følge opp og kontrollere overordnede krav til systemarkitektur for felles driftsleveranser, herunder, så langt som mulig og ut fra et langsiktig økonomisk perspektiv, overordnede krav til modularisering 3
Forestå styring og oppfølging av leverandører og disses leveranser, herunder evaluere og godkjenne spesifikasjoner, regissere, koordinere og godkjenne akseptansetesting og se til at leverandørene oppfyller krav til sikkerhet, stabilitet, kapasitet, beredskap og kontinuitet Fremlegge forslag til prinsipper for dekning av kostnader ved felles drift for beslutning i servicekontorene På vegne av BankID Samarbeidet drøfte spørsmål av felles karakter med Post- og teletilsynet og representere BankID Samarbeidet i fellesmeldinger til Post- og teletilsynet. Relasjonsbygging, kommunikasjon og mediehåndtering Sørge for at bankene blir informert om alle hendelser og endringer som har betydning for bankenes egne BankID applikasjoner og/eller påvirker brukergrensesnitt i forhold til bankenes kunder Sette premisser for og overvåke BankID Partnerprogram Ha redaktøransvaret for bankid.no Ivareta BankID Samarbeidets relasjon til utførende ledd i myndighetenes satsing på bruk av eid i offentlig sektor. Dette omfatter også generelle spørsmål i forhold til kommunesektoren. Bistå servicekontorene i næringspolitiske spørsmål som måtte oppstå i relasjon til bruk av eid i offentlig sektor. Forestå mediehåndtering vedr. BankID som samordnet produkt, samt ved spørsmål eller hendelser av operasjonell karakter. Samarbeide med servicekontorene i spørsmål av næringspolitisk karakter Utvikle og opprettholde en god dialog med Kredittilsynet i spørsmål relatert til sikkerhets og kontinuitet 5. Forpliktelser Innenfor kompetanseområdet er de vedtak som BOF fatter vedr. BankID produktet forpliktende for bankene. Tilsvarende gjelder for bankers underleverandører. 6. Forholdet til andre aktører De oppgaver som BOF skal ivareta utgjør sentrale elementer i den totale produksjon og utvikling av de enkelte bankers BankID-relaterte virksomhet. BOFs plassering i den samlede verdikjeden for BankID tilsier at BOF skal ha nær kontakt med andre aktører innen BankID Samarbeidet. 6.1 Forholdet til bankene BOFs kontakt med banker skjer hovedsakelig gjennom styret og den utvalgsstruktur som etableres i tilknytning til BOFs arbeidsoppgaver. BOF skal etablere et sikkerhetsråd bestående av IT-sikkerhetsmedarbeidere i banker. Dette rådet skal danne grunnlaget for BOFs forebyggende sikkerhetsarbeide og sikre rask og forankret håndtering av sikkerhetshendelser. 6.2 Forholdet til leverandører Leverandøren av BankID FOI (pt BBS Infrastruktur) besitter betydelige ressurser og kunnskap innen PKI og spesielt BankID. Ved etableringen av BOF er det lagt til grunn 4
at banknæringen vil være tjent med å kunne utnytte denne leverandørens ressurser og kunnskap gjennom å tildele leverandøren kompetanse i prosessene på innovasjon, utvikling, markedsprosesser, mediehåndtering og leveranser innen BankID Samarbeidet. Mange av de oppgaver som er tillagt BOF skal utføres i nær kontakt med leverandøren. Det er derfor avgjørende at det utvikles gode relasjoner og et godt tillitsforhold mellom disse. I vedlegg til denne avtale er det angitt oppgaver som det er ønskelig at leverandøren ivaretar og områder der det legges til grunn at leverandøren aktivt bidrar med innspill til BOF. 6.3 Forholdet til BSK BSK skal formelt ha en uavhengig rolle i forhold til den operasjonelle virksomheten i BOF. BOFs forvaltning og videreutvikling av BankID produktet skal skje innenfor rammen av de krav som vedtas av BSK. BSK skal også overvåke at de løsninger som defineres og leveres av BOF ivaretar de overordnede sikkerhetskrav som BSK har fastsatt. BSK er videre tillagt oppgaven med å definere PKI- og sertifikatpolicy for BankID og BOF må forholde seg til denne policy i sitt arbeide. Det er mange avhengigheter mellom de oppgaver av operasjonell karakter som BOF skal ivareta og oppgaver av forvaltningsmessig karakter som er tillagt BSK. Dette fordrer at det utvikles et tett og godt samarbeid mellom BOF og BSK. Det er likevel sentralt at det etableres klar ansvarsdeling mellom BSK og BOF, herunder Sikkerhetsrådet, i det sikkerhetsrelaterte arbeid. BSK og BOF skal derfor om nødvendig initierer prosesser for å avklare oppgavenes grenseflater seg i mellom. 6.4 Forholdet til servicekontorene Servicekontorene eier i fellesskap BankID Rot CA, merkevaren BankID og fastsetter overordnet regelverk for BankID virksomheten og bankenes rettigheter og forpliktelser i forhold til hverandre (Regler om BankID) og i forhold til andre felles aktører innen BankID Samarbeidet. Organisasjonsmessig vil servicekontorene utøve denne virksomheten gjennom Fellesutvalget for Betalingsformidling (FU). Innenfor disse rammer og etter innstilling fra BOF skal servicekontorene, gjennom organisasjonsmessig behandling, fastsette det overordnede planverk for BankID Samarbeidet, herunder ambisjon, mål, strategier og plan for utvikling. Servicekontorene skal, i samråd med FU, godkjenne budsjett og regnskap for BOF. BOF skal orientere servicekontorene om årlig budsjett for drift, forvaltning og videreutvikling av BankID FOI. Servicekontorene skal organisasjonsmessig behandle problemstillinger som oppstår i forhold til de politiske myndigheter, forbrukerorganisasjoner og ombud. Oppstår det tvil i BOF eller i bankene om BOFs kompetanse, avgjøres saken i de to 5
servicekontorer. 6.5 Innhenting av opplysninger BOF kan innhente opplysninger fra bankene i BankID Samarbeidet samt fra fellesinstitusjoner som ivaretar oppaver på vegne av bankene innen BankID Samarbeidet. Opplysninger som innhentes må være nødvendige for BOFs virksomhet. 7. Organisering av BOF BOF skal være en selvstendig juridisk enhet. Nærmere bestemmelser om organisasjonen fastsettes i BOFs vedtekter. 8. Styring og finansiering Mål og strategier for BOFs virksomhet fastsettes av styret for BOF. Styret skal føre tilsyn med at den daglige ledelsen av BOF er i tråd med de fastsatte mål og strategier og innenfor godkjente økonomiske rammer. Styremedlemmene oppnevnes av de to servicekontorer. Nærmere bestemmelser om styrets sammensetning og vedtak fastsettes i BOFs vedtekter. Styret skal i sitt arbeid legge vekt på å oppnå samstemmighet i styret. Saker av næringspolitisk karakter og saker som gjelder forståelsen av overordnede regelverk skal forelegges de to servicekontorer. BOFs utgifter dekkes ved utligning på den enkelte bank i BankID Samarbeidet etter fordelingsnøkkel fastsatt av de to servicekontorer i felleskap. Avtalen undertegnes i to eksemplarer, ett til hver av partene. Oslo, 10.12.2008 Finansnæringens Servicekontor Sparebankforeningens Servicekontor 6