Avtale mellom Finansnæringens Servicekontor og Sparebankforeningens Servicekontor om etablering av BankID Norge

Like dokumenter
Vedtekter for Bankenes Standardiseringskontor

Vedtekter for BankID Norge

Samarbeid om den felles infrastruktur

Bankenes fakturaformidling i lys av nye krav

Disse regler gjelder mellom banker og kan ikke påberopes av bankenes kunder.

Regler om straksoverføringer Fastsatt av Bransjestyre betalingsformidling og infrastruktur i FNO Servicekontor

Osloregionen. Styret i Osloregionen, Sak nr. 57/17

Fastsatt av FNO Servicekontor etter behandling i Bransjestyre betalingsformidling og infrastruktur

Rune Hagen, BSK. CORAS risikoanalyse Utført for BankID Samarbeidet

Forretningsorientering av BankID. Finans Norges Betalingsformidlingskonferanse 2013 Odd Erling Håberget, BankID Norge

Overordnet samarbeidsavtale om institusjonelt samarbeid

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF

Reglene gjelder mellom ovennevnte banker og kan ikke påberopes av bankenes kunder eller andre.

Vedtekter for Stiftelsen Nordøsterdalsmuseet

Innledning A. Fastsettelse av virkeområde. B. Styrets ansvar

Regler om bankenes felles konto- og adresseringsregister

Vedtekter for FNO Servicekontor

Instruks om koordinering av tilsynet med helse, miljø og sikkerhet i petroleumsvirksomheten på norsk kontinentalsokkel, og på enkelte anlegg på land

Derfor trenger du BankID på nettstedet ditt

Vedtekter for Finans Norge Servicekontor

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I HELSE NORD RHF

Noen høyaktuelle temaer knyttet til betalingsformidling. Jan Digranes, direktør prosessområde bank, Finans Norge

HOVEDINSTRUKS TIL FINANSTILSYNET OM ØKONOMISTYRING I FINANSTILSYNET Fastsatt av Finansdepartementet 19. november 2014

Felles sikkerhetsinfrastruktur for elektronisk kommunikasjon med offentlig sektor.

NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT. IKT seminar August Nilssen Prosjektleder IKT Standard Norge

Regler om beregning av pris for tilgang til bankenes fellessystemer innen betalingsformidlingen

Verdipapirfondenes forening - vedtekter

Reglement om statlige universiteter og høyskolers forpliktende samarbeid og erverv av aksjer

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Policy for Eierstyring og Selskapsledelse

Dato: 30. september Høringsuttalelse til forslag til styring, forvaltning og finansiering av nasjonale felleskomponenter i offentlig sektor

Reglene gjelder mellom ovennevnte banker og kan ikke påberopes av bankenes kunder eller andre.

BankID-seminar 24. april innledning. Odd Erling Håberget, BankID Norge

Vedtekter for Sykehuset Innlandet HF

Regler om innenlandske kreditoverføringer mellom banker

Retningslinjer for observasjon og utelukkelse fra Statens pensjonsfond utland

INSTRUKS. for daglig leder i Eidsiva Energi AS / konsernsjef i Eidsivakonsernet

Policy for informasjonssikkerhet og personvern i Sbanken ASA

RETNINGSLINJER FOR UTDANNINGS- OG FORSKNINGSDEPARTEMENTETS FORVALTNING AV STATENS EIERINTERESSER I AKSJESELSKAPER

Regler for avregning og oppgjør av transaksjoner som inngår i Norwegian Interbank Clearing System (NICS)

Ny styringsmodell for informasjonssikkerhet og personvern

UNIK - Academic Forum on Security. Invitert presentasjon: BankID - noen myter og sannheer August 2008

Instruks for administrerende direktør HELSE SØR-ØST RHF

Veileder for omstilling ved Handelshøyskolen BI Vedtatt av rektor Gjelder fra Revidert juli 2015

Til behandling i: Saksnr Utvalg Møtedato Formannskapet Kommunestyret

Prosjektstillinger ved Sjetne Frivilligsentral

Kontingentregler for Finans Norge og Finans Norge Servicekontor

Finansdepartementet 18. mai Høringsnotat om enkelte endringer i styreordningen. for Folketrygdfondet

KAPITTEL 5. Bilde fra bystyresamling i mai 2015, hvor temaet var kommunesammenslåing og parlamentarisme. Foto: BJARTE FRøNSDAL BYSTYRETS ORGANER

Regler for beregning og publisering av norske pengemarkedsrenter Nibor

Instruks for administrerende direktør HELSE SØR-ØST RHF

Regler om straksbetalinger

Vedtekter for Helse Øst RHF Fastsatt ved kgl. res. 31. august 2001

Regler om bankenes felles konto- og adresseringsregister

Avtale om kontroll av krediteringstransaksjoner og distribusjon av informasjon som grunnlag for slik kontroll

Vedtekter for Longyearbyen lokalstyre Bydrift KF

VEDTEKTER FOR TROMSØ KOMMUNALE PENSJONSKASSE

Alminnelig regelverk om interbanktransaksjoner ved innenlands betalingsformidling

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Policy for tiltak mot hvitvasking og terrorfinansiering i Sbanken ASA

Ansvarlig ledelse må alltid ta stilling til foreliggende opplysninger og iverksette nødvendige tiltak ut fra den aktuelle situasjonen.

Etiske retningslinjer pr

Om UNINETT FAS F e l l e s A d m i n i s t r a t i v e S y s t e m e r f o r u n i v e r s i t e t e r o g h ø g s k o l e r 1

Godkjent av: Styret. direktør. Dokumentnavn: Instruks for administrerende. 16. juni direktør. 1. Formål

INSTRUKS FOR ADMINISTRERENDE DIREKTØR HELSE SØR-ØST RHF. Versjon

Instruks (utkast) for Internrevisjonen Helse Sør-Øst

Vedtekter for Akershus universitetssykehus HF

AVTALE KNYTTET TIL SAMARBEID VEDRØRENDE DIGITALISERING

BSKs fokus. Modernisering, internasjonalisering og videreutvikling. Lars Erik Fjørtoft daglig leder Oslo

Vedtekter for Gjensidige Forsikring ASA

Vedtekter for Helse Vest RHF Fastsatt ved kgl. res. 31. august 2001

VEDTEKTER FOR RUSBEHANDLING MIDT-NORGE HF

STYREINSTRUKS FOR HELSE NORD IKT HF

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Vedtekter for Helse Nord-Trøndelag HF

Selskapsavtale Vekst i Grenland IKS

OPPDRAGSDOKUMENT 2014

1 Formål Standard Norge er en nøytral og uavhengig medlemsorganisasjon for standardisering.

HANDELSBANKEN CAPITAL MARKETS. Informasjon om rådgivning

INFORMASJONSSKRIV 01/2012 ENGASJEMENTSBREV

INSTRUKS FOR ADMINISTRERENDE DIREKTØR I SYKEHUSET i VESTFOLD HF

Instruks for daglig leder. Sykehuset Østfold HF. Behandles i styremøte 24. september 2012

INSTRUKS FOR STYRETS REVISJONSUTVALG

PLAN FOR SELSKAPSKONTROLL 2011 OG

Hvordan samarbeider bankene om efaktura B2B- løsningen

Vedtekter for Helse Nord-Trøndelag HF

Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF

OVERORDNET BILDE AV NORSK FINANSNÆRING OG UTFORDRINGER I ET IT-PERSPEKTIV

Utkast til vedtekter for Orkdalsregionen

Felles sikkerhetsportal for elektronisk kommunikasjon med offentlig sektor.

Direktiv Krav til sikkerhetsstyring i Forsvaret

SAKSFRAMLEGG. Saksgang. Utvalg Møtedato Utvalgssak Formannskapet Kommunestyre

Instruks for administrerende direktør. Akershus universitetssykehus HF. Vedtatt i styremøte

Hvordan sikre landingsplass for prosjektene

Instruks for. administrerende direktør. Sørlandet sykehus HF

NKF-dagene; Rådmann i Drammen kommune; Nils Fredrik Wisløff

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

Prinsipper for virksomhetsstyring i Oslo kommune

PLAN FOR FORVALTNINGSREVISJONN Selbu kommune. Vedtatt i kommunestyrets møte , sak 68/14.

Transkript:

Avtale mellom Finansnæringens Servicekontor og Sparebankforeningens Servicekontor om etablering av BankID Norge Inngått 10.12.08 etter vedtak i Bransjestyre bank og betalingsformidling i Finansnæringens Servicekontor 03.12.08 og styret i Sparebankforeningens Servicekontor 01.12.08. 1. Bakgrunn Gjennom beslutninger i Finansnæringens Servicekontor og Sparebankforeningens Servicekontor høsten 2000 etablerte bankene i Norge BankID Samarbeidet. Samarbeidet representerte et felles løft i banknæringen for å etablere en samordnet avtalebasert PKI som basis for den enkelte banks utvikling av elektroniske tjenester gjennom åpne nett med et tilstrekkelig sikkerhetsnivå. De formelle vilkår for samarbeidet er nærmere forankret i Regler om BankID fastsatt av servicekontorenes styrende organer første gang i juni 2000. I februar 2004 ble det inngått avtale mellom de to servicekontorer og BBS om drift, forvaltning og utvikling av en felles operasjonell infrastruktur for BankID (BankID FOI). Gjennom BankID Samarbeidet har banknæringens arbeid med BankID utviklet seg fra å være et etableringsprosjekt for en avtalebasert PKI-løsning til forvaltning av en forretningskritisk tjeneste for bankenes virksomhet. Pr utgangen av oktober 2008 hadde bankene utstedt vel 1,6 millioner BankID sertifikater og BankID var tatt i bruk som påloggingsmekanisme i ca.120 av de om lag 145 bankene med virksomhet i Norge. Den fasen BankID Samarbeidet er kommet inn i tilsier en organisering av banknæringens virksomhet med BankID som klarere markerer operasjonelt ansvar for implementering av næringspolitiske beslutninger relatert til BankID, forvaltning av produktansvar, ivaretakelse av sikkerhet samt oppfølging av leveranser fra den felles operasjonelle infrastruktur. Ved etablering av BankID Operasjonell Forvalter (BOF) 1, tar banknæringen, gjennom de to servicekontorene, sikte på en videreutvikling av BankID Samarbeidet som bedre ivaretar de ovennevnte behov for klargjøring av ansvar og oppgaver. 2. Den overordnede styringsstrukturen for BankID og BOFs plassering i denne Styringsinstruksen i bankenes infrastruktur inndeles i 3 nivåer: Felles policy (herunder fastsettelse av interbankregler, organisering, ansvarsfordeling og interbankprising) Forvaltning (med bl.a. felles standarder for meldings-/transaksjonsutveksling og sikkerhetskrav) Operasjonelle/driftsmessige forhold 1 Endret navn til BankID Norge (19.06.09) 1

Beslutninger av felles overordnet og policymessig karakter fattes av de to servicekontorer. Avtale og regler kan utformes som materielle og prosessuelle styringsregler, konfliktløsningsregler, rammeverk og premisser for samordning av tjenestene, og forutsetter således oppfølgning av forvaltningsmessig og operasjonell karakter. BankID Rot CA utgjør det høyeste nivå i sertifikathierarkiet for BankID. BankID Rot CA skal fortsatt eies av de to servicekontorer. Servicekontorene skal derfor fortsatt være part i avtalen med BBS (BBS Infrastruktur) om drift av BankID Rot CA. Forvaltningsmessige oppgaver som fastsettelse av standarder og sikkerhetskrav innenfor den felles infrastruktur, er tillagt Bankenes Standardiseringskontor (BSK). Kompetansen til BSK er gitt i medhold av avtaler eller generelle regelverk fastsatt av de to servicekontorer. Operasjonelle oppgaver er tillagt den enkelte bank og/eller andre aktører, avhengig av hvilke felles tjenester det er snakk om. Innenfor BankID Samarbeidet skal BOF, på vegne av banknæringen, ivareta felles forvaltningsmessige og operasjonelle oppgaver innen BankID Samarbeidet, jf bakgrunnen omtalt i punkt 1. Kompetansen til BOF gis av de to servicekontorer i medhold av avtaler eller generelle regelverk fastsatt av de to servicekontorer. Virksomheten i BOF skal skje innenfor de næringspolitiske rammer som fastslegges gjennom organisasjonsmessig behandling og vedtak i de to servicekontorer. De løsninger, spesifikasjoner og rutiner BOF har ansvaret for skal ligge innenfor de standarder og møte de sikkerhetskrav som er satt av BSK. BOF skal være oppdragsgiver for felles virksomhet av operasjonell karakter, herunder drift, forvaltning og videreutvikling av BankID FOI. BOF erstatter de to servicekontorer som part i avtalen med BBS (BBS Infrastruktur) om drift, forvaltning og videreutvikling av BankID FOI. BOFs plassering, som en operasjonell enhet i krysningspunktet mellom næringspolitikk, forvaltning og drift, forutsetter at det utvikles god dialog og løpende kontakt mellom BOF og hhv servicekontorene, BSK og BBS Infrastruktur. 3. Nærmere om formålet med BOF BankID sertifikater utstedes av den enkelte bank i et konkurransemarked. Formålet med BOF er å ivareta felles forvaltningsmessige og operasjonelle oppgaver innen BankID Samarbeidet. Innenfor næringspolitiske rammer og konkurranselovgivningen, skal virksomheten i BOF sikre det beste felles operasjonelle grunnlag for den enkelte banks egne målsettinger og prioriteringer i relasjon til sin forretningsmessige virksomhet med BankID. Særlig viktig er sikkerheten i samordnet teknisk infrastruktur, samt BankID som felles merkevare. Kredittilsynet, som er tillagt IT-tilsynet for finansnæringen, har ansvar for å følge opp 2

at IT-sikkerheten er godt ivaretatt i bankenes løsninger. Kredittilsynet vil derfor også føre tilsyn med bankenes virksomhet med BankID. BOF vil ikke utgjøre en tilsynsenhet etter Kredittilsynsloven. På grunn av at den enkelte banks virksomhet med BankID er basert på felles regelverk og felles operasjonell virksomhet vil det likevel være hensiktsmessig, for bankene så vel som for Kredittilsynet, at BOF utgjør et sentralt kontaktpunkt mellom næringen og Kredittilsynet. Bankenes virksomhet knyttet til BankID er videre underlagt tilsyn av Post- og teletilsynet. I relasjon til Post- og teletilsynet er det den enkelte utsteder av BankID som er tilsynsenheten. Likevel er det, tilsvarende som for forholdet til Kredittilsynet, hensiktsmessig både for BankID utstedere og Post- og teletilsynet at BOF utgjør et sentralt kontaktpunkt mellom næringen (Bank ID Samarbeidet) og Post- og teletilsynet. BOF skal i denne sammenheng representere BankID Samarbeidet i fellesmeldinger til Post- og teletilsynet samt i andre spørsmål som er av felles karater. 4. Nærmere om arbeidsoppgavene BOF har følgende oppgaver: 4.1 Forvalte og videreutvikle spesifikasjon av BankID-produktet Forvalte og videreutvikle spesifikasjoner for utstedelse, validering og administrasjon av BankID sertifikater Forvalte og videreutvikle merkevarepolicy for BankID Forvalte og videreutvikle spesifikasjoner av brukergrensesnitt i samordnet teknisk infrastruktur Forberede tiltak som skal implementeres raskt ved ulike hendelser av sikkerhetsmessig karakter samt koordinere/implementere slike tiltak om nødvendig For å ivareta disse oppgaver skal BOF holde seg løpende orientert om trusselbildet for BankID-løsningen og påse at beslutninger som BOF treffer for å møte truslene følges opp av banker og leverandører I arbeidet med sikkerhetsmessige spørsmål skal BOF etablere og støtte seg på et eget BankID Sikkerhetsutvalg med sentrale representanter fra IT-sikkerhetsmiljøer i banker. BOF skal i sitt arbeid med utvikling og forvaltning av BankID følge opp de standarder og sikkerhetskrav som BSK har satt. 4.2 Være oppdragsgiver for drift, forvaltning og videreutvikling av FOI Inngå og forvalte avtaler med leverandører av felles drift, forvaltning og videreutvikling, basert på vedtak i servicekontorene om funksjoner som skal gjøres til gjenstand for felles driftleveranser for alle banker i BankID Samarbeidet Fastsette, følge opp og kontrollere overordnede krav til systemarkitektur for felles driftsleveranser, herunder, så langt som mulig og ut fra et langsiktig økonomisk perspektiv, overordnede krav til modularisering 3

Forestå styring og oppfølging av leverandører og disses leveranser, herunder evaluere og godkjenne spesifikasjoner, regissere, koordinere og godkjenne akseptansetesting og se til at leverandørene oppfyller krav til sikkerhet, stabilitet, kapasitet, beredskap og kontinuitet Fremlegge forslag til prinsipper for dekning av kostnader ved felles drift for beslutning i servicekontorene På vegne av BankID Samarbeidet drøfte spørsmål av felles karakter med Post- og teletilsynet og representere BankID Samarbeidet i fellesmeldinger til Post- og teletilsynet. Relasjonsbygging, kommunikasjon og mediehåndtering Sørge for at bankene blir informert om alle hendelser og endringer som har betydning for bankenes egne BankID applikasjoner og/eller påvirker brukergrensesnitt i forhold til bankenes kunder Sette premisser for og overvåke BankID Partnerprogram Ha redaktøransvaret for bankid.no Ivareta BankID Samarbeidets relasjon til utførende ledd i myndighetenes satsing på bruk av eid i offentlig sektor. Dette omfatter også generelle spørsmål i forhold til kommunesektoren. Bistå servicekontorene i næringspolitiske spørsmål som måtte oppstå i relasjon til bruk av eid i offentlig sektor. Forestå mediehåndtering vedr. BankID som samordnet produkt, samt ved spørsmål eller hendelser av operasjonell karakter. Samarbeide med servicekontorene i spørsmål av næringspolitisk karakter Utvikle og opprettholde en god dialog med Kredittilsynet i spørsmål relatert til sikkerhets og kontinuitet 5. Forpliktelser Innenfor kompetanseområdet er de vedtak som BOF fatter vedr. BankID produktet forpliktende for bankene. Tilsvarende gjelder for bankers underleverandører. 6. Forholdet til andre aktører De oppgaver som BOF skal ivareta utgjør sentrale elementer i den totale produksjon og utvikling av de enkelte bankers BankID-relaterte virksomhet. BOFs plassering i den samlede verdikjeden for BankID tilsier at BOF skal ha nær kontakt med andre aktører innen BankID Samarbeidet. 6.1 Forholdet til bankene BOFs kontakt med banker skjer hovedsakelig gjennom styret og den utvalgsstruktur som etableres i tilknytning til BOFs arbeidsoppgaver. BOF skal etablere et sikkerhetsråd bestående av IT-sikkerhetsmedarbeidere i banker. Dette rådet skal danne grunnlaget for BOFs forebyggende sikkerhetsarbeide og sikre rask og forankret håndtering av sikkerhetshendelser. 6.2 Forholdet til leverandører Leverandøren av BankID FOI (pt BBS Infrastruktur) besitter betydelige ressurser og kunnskap innen PKI og spesielt BankID. Ved etableringen av BOF er det lagt til grunn 4

at banknæringen vil være tjent med å kunne utnytte denne leverandørens ressurser og kunnskap gjennom å tildele leverandøren kompetanse i prosessene på innovasjon, utvikling, markedsprosesser, mediehåndtering og leveranser innen BankID Samarbeidet. Mange av de oppgaver som er tillagt BOF skal utføres i nær kontakt med leverandøren. Det er derfor avgjørende at det utvikles gode relasjoner og et godt tillitsforhold mellom disse. I vedlegg til denne avtale er det angitt oppgaver som det er ønskelig at leverandøren ivaretar og områder der det legges til grunn at leverandøren aktivt bidrar med innspill til BOF. 6.3 Forholdet til BSK BSK skal formelt ha en uavhengig rolle i forhold til den operasjonelle virksomheten i BOF. BOFs forvaltning og videreutvikling av BankID produktet skal skje innenfor rammen av de krav som vedtas av BSK. BSK skal også overvåke at de løsninger som defineres og leveres av BOF ivaretar de overordnede sikkerhetskrav som BSK har fastsatt. BSK er videre tillagt oppgaven med å definere PKI- og sertifikatpolicy for BankID og BOF må forholde seg til denne policy i sitt arbeide. Det er mange avhengigheter mellom de oppgaver av operasjonell karakter som BOF skal ivareta og oppgaver av forvaltningsmessig karakter som er tillagt BSK. Dette fordrer at det utvikles et tett og godt samarbeid mellom BOF og BSK. Det er likevel sentralt at det etableres klar ansvarsdeling mellom BSK og BOF, herunder Sikkerhetsrådet, i det sikkerhetsrelaterte arbeid. BSK og BOF skal derfor om nødvendig initierer prosesser for å avklare oppgavenes grenseflater seg i mellom. 6.4 Forholdet til servicekontorene Servicekontorene eier i fellesskap BankID Rot CA, merkevaren BankID og fastsetter overordnet regelverk for BankID virksomheten og bankenes rettigheter og forpliktelser i forhold til hverandre (Regler om BankID) og i forhold til andre felles aktører innen BankID Samarbeidet. Organisasjonsmessig vil servicekontorene utøve denne virksomheten gjennom Fellesutvalget for Betalingsformidling (FU). Innenfor disse rammer og etter innstilling fra BOF skal servicekontorene, gjennom organisasjonsmessig behandling, fastsette det overordnede planverk for BankID Samarbeidet, herunder ambisjon, mål, strategier og plan for utvikling. Servicekontorene skal, i samråd med FU, godkjenne budsjett og regnskap for BOF. BOF skal orientere servicekontorene om årlig budsjett for drift, forvaltning og videreutvikling av BankID FOI. Servicekontorene skal organisasjonsmessig behandle problemstillinger som oppstår i forhold til de politiske myndigheter, forbrukerorganisasjoner og ombud. Oppstår det tvil i BOF eller i bankene om BOFs kompetanse, avgjøres saken i de to 5

servicekontorer. 6.5 Innhenting av opplysninger BOF kan innhente opplysninger fra bankene i BankID Samarbeidet samt fra fellesinstitusjoner som ivaretar oppaver på vegne av bankene innen BankID Samarbeidet. Opplysninger som innhentes må være nødvendige for BOFs virksomhet. 7. Organisering av BOF BOF skal være en selvstendig juridisk enhet. Nærmere bestemmelser om organisasjonen fastsettes i BOFs vedtekter. 8. Styring og finansiering Mål og strategier for BOFs virksomhet fastsettes av styret for BOF. Styret skal føre tilsyn med at den daglige ledelsen av BOF er i tråd med de fastsatte mål og strategier og innenfor godkjente økonomiske rammer. Styremedlemmene oppnevnes av de to servicekontorer. Nærmere bestemmelser om styrets sammensetning og vedtak fastsettes i BOFs vedtekter. Styret skal i sitt arbeid legge vekt på å oppnå samstemmighet i styret. Saker av næringspolitisk karakter og saker som gjelder forståelsen av overordnede regelverk skal forelegges de to servicekontorer. BOFs utgifter dekkes ved utligning på den enkelte bank i BankID Samarbeidet etter fordelingsnøkkel fastsatt av de to servicekontorer i felleskap. Avtalen undertegnes i to eksemplarer, ett til hver av partene. Oslo, 10.12.2008 Finansnæringens Servicekontor Sparebankforeningens Servicekontor 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding