Hensikt

Dette dokumentet er skrevet for å gi et enkelt og raskt overblikk over alle funksjoner og komponenter i Felles operasjonell infrastruktur (FOI) for BankID. BankID FOI White Paper er ikke et teknisk dokument. For detaljerte beskrivelser av de ulike komponentene henvises leseren til teknisk referansedokumentasjon (installasjonsdokumentasjon) som følger med BankID Brukerstedspakke. Dokumentasjon og programvare er underlagt lisens og kan bestilles fra alle banker som leverer BankID.

Målgruppe

Målgruppen er alle som ønsker å forstå hvordan BankID FOI virker og hvilke komponenter som infrastrukturen er bygget opp av og hvilke funksjoner som er tilgjengelig. Etter som BankID er basert på en implementasjon av PKI-teknologi er det utfordrende å komme utenom ulike teknologirelaterte ord og uttrykk. En beskrivelse av de mest alminnelige begreper og forkortelser er derfor tatt med i begynnelsen av dokumentet.

BankID Samarbeidet

BankID Samarbeidet omfatter utvikling og forvaltning av en samordnet infrastruktur i banknæringen. 
Deltagerne i BankID Samarbeidet er: 

• Bankene: Utsteder BankID til sine kunder og deltar som rådgivere overfor BankID Norge og bankforeningenes arbeid med forvaltning av BankID Tjenesten.
• Bits AS (tidligere BSK): Bits AS har ansvaret for utforming av policy, standarder og sikkerhetskrav. Bits AS har også et kontrollansvar med tanke på at disse kvalitetskrav overholdes. Bits AS har tilsatt en teknisk koordinator for BankID.
• BankID Norge: Den forvaltningsmessige og operasjonelle ledelsen av BankID. Har også ansvaret for å videreutvikle tjenesten.
• Finansnæringens Fellesorganisasjon (FNO): Leder og organiserer arbeidet med BankID infrastruktur, via den felles organisering som er etablert for infrastrukturen innen betalingsformidling.

BankID Norge har gitt Nets Norge Infrastruktur AS (Nets) et oppdrag om utvikling, drift og forvaltning av BankID FOI. BankID Norge benytter også andre underleverandører til utviklingsoppdrag for enkelte deler av infrastrukturen.

Nettbetaling med BankID (BankAxess)

BankAxess er en samordnet betalingstjeneste for bruk ved handel på Internett og i andre kanaler der BankID kan benyttes. 

Når du betaler med BankAxess, legitimerer du deg og godkjenner betalingen med BankID. 

Tjenesten tilbys av banker i Norge og betalingen skjer direkte fra betalers bankkonto. Med BankAxess kan kunden handle i norske nettbutikker uten å gi fra seg kortopplysninger. 

For mer informasjon om BankAxess - se www.bankaxess.no 

Om BankID infrastruktur og teknologi

BankID har en samordnet infrastruktur som grunnlag for utstedelse og bruk av BankID. Infrastrukturen består av felles: Interbank-regelverk, varemerke, policy og prosedyrer, sikkerhetskrav, standarder og utfyllende profiler, samt tekniske komponenter. Alt dette er nødvendig for å sikre: interoperabilitet mellom tekniske komponenter i BankID infrastruktur, brukervennlighet/sikkerhet, samt enkel integrasjon og bruk av BankID i elektroniske tjenester. Det er Nets Norge Infrastruktur AS som har utviklet og drifter og forvalter BankID Felles Operasjonell Infrastruktur (FOI). 
BankID er basert på en metode og teknologi som kalles Public Key Infrastructure (PKI). Teknologien er basert på bruk av et nøkkelpar, en privat (hemmelig) og en offentlig nøkkel, som benyttes for å sikre transaksjonene. I tillegg brukes et sertifikat; "elektronisk legitimasjon", til å knytte innehaverens identitet til den offentlige nøkkelen. Metoden beskriver hvordan nøklene og tilhørende sertifikater utstedes og brukes. 
Det er fem sentrale roller i en PKI og er definert som følger:

1. Sluttbruker: En person (fysisk eller juridisk) som er innehaver av BankID og som bruker BankID til legitimasjon og/eller signering.
2. Brukersted: En nettbasert tjeneste, for eksempel en nettbank eller nettbutikk, som aksepterer BankID legitimasjon og/eller signatur.
3. Sertifikatutsteder: (utstederbanken): En bank eller organisering/sammenslutning av banker (fellesutsteder) som utsteder BankID. Administrasjon av BankID gjennom hele livssyklusen (utstedelse, tilbaketrekking, fornyelse). Utstederbanken har rollen som Sertifikat Autoritet (CA)
4. Banken: Banken inngår avtale med sine kunder om utstedelse av BankID. Denne rollen benevnes Registreringsautoritet (RA). En bank kan selv være Sertifikat-utsteder eller benytte en fellesutsteder.
5. Sertifikatvalidering (VA): Gyldighetskontroll hos den som har utstedt en aktuell BankID.

Ved bruk av elektronisk legitimasjon skal brukerstedet sende en forespørsel til sin bank om sluttbrukers BankID er gyldig eller ikke. Dersom en annen bank har utstedt sluttbrukers BankID skal brukerstedets bank spørre denne om sertifikatet er gyldig. Brukerstedets bank opptrer da som Valideringsautoritet (VA eller OCSP¹ -tjeneste). 

Figur 1 – oversikt over Felles Operasjonell Infrastruktur

BankID Sertifikatpolicy

Sikkerhetskrav knyttet til BankID er fastsatt av Bits AS (tidligere BSK) og dokumentert i policy-dokumenter for de ulike typene av BankID (Banklagret PersonBankID, Banklagret AnsattBankID, PersonBankID på mobil og BrukerstedsBankID). Dokumentene inneholder krav til blant annet:

• Ansvar- og konfidensialitet
• Krav til registrering av kunde
• Bestilling, utstedelse og bruk av BankID
• Krav til prosedyrer rundt tilbaketrekking og suspendering
• Fysisk og logisk sikkerhet i BankID infrastrukturen
• Teknisk sikkerhet
• Sertifikatprofiler

Felles operasjonell infrastruktur er basert på de krav som er utformet av Bits AS (tidligere BSK). Norsk versjon av BankID Sertifikatpolicy kan fås ved henvendelse til: