Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat
Avtalevilkår for bestilling og bruk av Commfides Virksomhetssertifikat
1. Kort beskrivelse av sertifikatstjenesten
Commfides Virksomhetssertifikat er en elektronisk offentlig godkjent legitimasjon av en juridisk enhet. Det kan sammenlignes med bruken av et førerkort eller pass for personer, men et virksomhetssertifikat har som oppgave å identifisere en juridisk person og sikre kommunikasjon til og fra virksomheter og organisasjonsenheter. Virksomheten må være registrert i det norske enhetsregisteret eller tilsvarende for utenlandske foretak. Bruker av den private nøkkel assosiert med sertifikatet kan være en fysisk person autorisert av foretaket eller en automatisert prosess under foretakets kontroll, for eksempel en server.
Et sertifikat utstedes av en betrodd tredjepart som bekrefter sertifikatholderens identitet. Commfides er en betrodd tredjepart som tilfredsstiller både europeisk og norsk standard og lovgivning.
Et Virksomhetssertifikat kan bl. a. brukes til:
• Signering av e-post, dokumenter, elektronisk innsendte tilbud eller søknadsskjema og meldinger – sertifikatet erstatter den fysiske signaturen på et dokument eller avtale.
• Autentisering – brukes til å identifisere en bruker til ett eller flere systemer eller flere personer, verifisere riktig sender av data etc.
• Kryptering av e-post, dokumenter, elektronisk innsendte tilbud eller søknadsskjema og meldinger, samt til å beskytte data ved lagring og/eller bruk utenfor sikret sone. Hvis sertifikatet skulle gå tapt, kan Commfides gjenskape krypteringsnøkkelen og dermed sikre tilgang til lagrede krypterte data.
Definisjon av begreper
I denne avtalen benyttes følgende begreper med tilhørende definisjon for fullmakt til å bestille og motta VIRKSOMHETSSERTIFIKATER:
Sertifikatinnehaver: Den juridiske person sertifikatet utstedes til (eng. subject).
Sertifikatmottager: Den fysiske person som mottar et sertifikat enten til seg selv eller på vegne av en annen sertifikatinnehaver. Fullmakten til å motta sertifikatet på vegne av en annen sertifikatinnehaver skal være delegert fra enten prokurist eller sertifikatadministrator.
Sertifikatbestiller: En fysisk person som har fullmakt til å bestille et sertifikat under denne avtalen inkludert ansattsertifikater i henhold til standard avtalevilkår for ansattsertifikater. Fullmakten til å bestille et sertifikat på vegne av en annen sertifikatinnehaver skal være delegert fra enten prokurist eller administrator.
Sertifikatadministrator eller administrator som har samme betydning:
En person som kan opptre både som sertifikatbestiller og sertifikat mottager. Myndigheten til å opptre som administrator skal være delegert fra enten prokurist eller en annen administrator. En administrator kan delegere egen fullmakt som administrator til en annen administrator og har fullmakt til å opprette sertifikatmottagere og sertifikatbestillere.
Kunde Den juridiske avtaleparten for et eller flere sertifikat. (eng. subscriber)
For Ansattsertifikater skal Sertifikatmottager alltid være en fysisk person som også er Sertifikatinnehaveren. Se standard avtalevilkår for Ansattsertifikater.
2. Søknadsprosedyre
Søknad, legitimasjon og validering av riktige opplysninger
Kunden må fylle ut og sende inn eget søknadsskjema tilgjengelig som del av denne avtale eller på xxx.xxxxxxxxx.xxx. Søknadsskjema må være komplett med riktige opplysninger også i henhold til
Brønnøysundregistrene/Enhetsregisteret eller European Business Register (EBR) for utenlandske foretak. Til søknaden må følgende gyldig legitimasjon vedlegges:
• Skannet kopi av selskapets firmaattest ikke eldre enn 3 måneder.
• Skannet kopi av gyldig legitimasjon iht. signaturrett for firmaet
• Skannet kopi av gyldig legitimasjon for mottaker av sertifikat
Commfides kontrollerer riktigheten og gyldigheten av opplysningene. Ved evt. ufullstendig eller uriktig oppgitte opplysninger kontakter Commfides kunden for innhenting av nye opplysninger.
Søknad om mer enn ett sertifikat
Det kan utstedes flere sertifikater til samme virksomhet. Ta kontakt med xxxxxxxxxxx@xxxxxxxxx.xxx for tilgang til eget skjema eller fyll ut en søknad pr. sertifikat. I tillegg til firmaattest og legitimasjon iht. signaturrett for virksomheten må det sendes legitimasjon for hver mottaker av et sertifikat.
Søknad om ansatt sertifikat
Ved søknad om ansatt sertifikat benyttes eget søknadsskjema tilgjengelig på xxx.xxxxxxxxx.xxx.
Søknad om virksomhetssertifikat eller ansattsertifikat gjennom egen administratorportal
For å effektivisere bestilling og distribusjon av sertifikater til virksomheter med behov for et stort antall sertifikater, enten til eget bruk, for å betjene andre eller til integrerte tjenester kan Commfides autorisere en virksomhet og dennes Sertifikatadministrator til å bestille og motta sertifikater gjennom en egen administratorportal.
Administratorportalen kan betjenes av Sertifikatadministratoren eller den denne gir fullmakt til å opptre som sertifikatbestiller. I administratorportalen vil bestillingsdata og dermed personopplysninger være tilgjengelige i elektronisk form. Det er ikke anledning til å benytte bestillingsdata til noe annet formål enn å bestille, re-bestille og distribuere sertifikater. Brudd på dette anses som grovt mislighold. Det er Sertifikatadministrators ansvar å påse at de som autoriseres til å betjene administratorportalen informeres om sitt ansvar som til enhver tid er distribuert på xxxxx://xxxxxxx.xxxxxxxxx.xxx/xxxxx.xxx?_xxxxxxxxxxx&_xxxxxxxxxxxxxx&xxxxxxxxxxxxxxx00
3. Utstedelse av sertifikat og personlig kode
Sertifikat til virksomheten ved prokurist
Commfides utsteder virksomhetssertifikat i henhold til søknad og kontrollerte opplysninger for virksomheten. Sertifikatene kan leveres som “Hard” sertifikat på et smartkort eller som “Soft” sertifikat på en CD-rom for installasjon på PC eller server. Hvis ikke annet er oppgitt utstedes og sendes sertifikatet til selskapets prokurist.
Den personlige koden sendes i egen forsendelse og i henhold til de til enhver tid gjeldende sikkerhetskrav i forhold til sertifikatets klassifisering, ref Commfides Certificate Policy (CP) tilgjengelig på xxx.xxxxxxxxx.xxx.
Virksomhetens prokurist kan delegere myndighet til å bestille virksomhetssertifikater til andre i virksomheten (sertifikat administrator). Denne må identifisere seg tilsvarende som prokurist, og opptrer ovenfor Leverandøren på vegne av Kunden i henhold til fullmakten fra virksomheten.
Sertifikat til andre enn prokurist
Ved utstedelse av sertifikat til andre enn prokurist sendes den personlige koden til sertifikat mottaker.
4. Sertifikatets gyldighetsperiode og fornyelse
Virksomhetssertifikater utstedes med en bestemt gyldighetsperiode fra utstedelsestidspunktet og til i en angitt dato som normalt vil være fra ett (1) til maksimum fem (5) år frem i tid. Gyldighetstiden bestilles av kunden som en del av søknaden.
Denne avtalen fornyes automatisk for en ny tilsvarende gyldighetsperiode dersom ikke kunden sier opp avtalen minimum 1 måned før sertifikatets gyldighetsperiode utløper. Oppsigelsen kan sendes elektronisk med gyldig elektronisk signatur eller skriftlig. Commfides plikter å varsle om endring av priser utover det som fremgår av opprinnelig pristilbud minimum 1 måned før fristen for oppsigelse utløper.
Kunden forplikter seg til å opplyse om evt. endringer i firma og/eller mottaker opplysninger senest 1 måned før sertifikatets gyldighetsperiode utløper.
5. Priser og prisinformasjon
Informasjon om pris og betalingsbetingelser for sertifikatet og evt. andre tjenester kunden ønsker å benytte fremgår av pristilbud.
6. Kundens forpliktelser
Bestilling og mottak av virksomhetssertifikat
Det er kundens ansvar å oppgi riktige opplysninger som også må være i overensstemmelse med det offentlige register der opplysningene kontrolleres. Det er kundens ansvar å rette eventuelle uriktige opplysninger. Ved gjentatte innsendelser av uriktige opplysninger blir søknaden forkastet. Kunden kan be om å få opprette en supportsak for å få støtte til riktig innhenting og utfylling av søknadsskjema.
Det er Kundens ansvar å avhenta og motta det bestilte sertifikat innen den tidsfrist som gjelder for den aktuelle forsendelsesmetode (normalt Posten PUM tjeneste). Dersom sertifikatet ikke hentes i tide returneres dette til Commfides.
Det er Xxxxxxx ansvar å informere sertifikatmottaker om betingelsen for avhenting og mottak av sertifikat og viktigheten av å behandle dette i henhold til de til enhver tid gjeldende krav til sikker hat for mottak og behandling av virksomhetssertifikater og personlig kode.
Installasjon av virksomhetssertifikat
Det er Kundens ansvar å installere virksomhetssertifikatet. Rettledning om installasjon følger sertifikatet for de sertifikatene dette er aktuelt for.
Ansvar for riktig bruk av sertifikatet
Brukeren av et virksomhetssertifikat opptrer på vegne av virksomheten. Det er kundens ansvar å informere mottakere av sertifikatene om riktig bruk av sertifikatet. All bruk av sertifikatet uten at det er tilbakekalt eller utløpt er Kundens ansvar.
Beskyttelse av sertifikat og kode
Sertifikat og personlig kode skal ikke overdras eller på annen måte overlates til eller benyttes av andre enn den det er utstedt til. Sertifikatmottaker må påse at ikke andre får tilgang til sertifikat og personlig kode. Den personlige koden må ikke røpes for noen. Det er Xxxxxxx ansvar å informere sertifikatmottaker om dennes ansvar for å beskytte sertifikat og kode.
Kunden må varsle Commfides uten ugrunnet opphold etter at Kunden har fått kjennskap til eller mistanke om at sertifikatet misbrukes eller at uvedkommende har fått kjennskap til den personlige koden.
Etter at melding er gitt, vil Commfides sperre sertifikatet.
Aksept av generelle regler for behandling av personopplysninger (kundeopplysninger)
Personopplysningsloven av 14 april 2000 nr 31 inneholder regler om registrering, oppbevaring, utlevering og annen behandling av personopplysninger. Commfides har etablert generelle regler for behandling av personopplysninger og meldt denne behandlingen til Datatilsynet med følgende referanse:
Meldingsnummer | Ansvarlig virksomhet | Registrert dato |
50636 | Commfides Norge AS | 2013-03-26 10:25:30 |
Kunden aksepterer Commfides generelle regler for behandling av personopplysninger.
Varsling om endring i virksomheten relevant for sertifikatets gyldighet eller bruk
Bruk av elektroniske sertifikater inkludert virksomhetssertifikater er en tjeneste basert på tillitt til riktigheten og kontroll av de opplysningene tjenestene baserer seg på kombinert med avansert teknologi. Det er viktig for en fortsatt effektiv tjeneste å opprettholde tillitten og derfor også riktigheten av informasjonen tjenesten baserer seg på. Enhver endring av relevante opplysninger må varsles Commfides uten ugrunnet opphold.
Det er Kundens ansvar å varsle Commfides om endringer i virksomheten relevant for sertifikatets gyldighet eller bruk. Slike endringer kan være opphør av virksomheten, sertifikatbrukere som slutter i virksomheten. Mistanke om at kode har kommet uvedkommende i hende, misbruk at sertifikatet (kan være både sertifikatinnehaver eller utenforstående). Oppramsingen er kun eksemplifiserende og ikke uttømmende.
Sperring av virksomhetssertifikat
Commfides vil etter mottatt varsel sperre virksomhetssertifikatet. Dette fritar Kunden for videre ansvar for misbruk av sertifikatet. Commfides forholder seg i forhold til responstid for sperring av sertifikater til Kravspesifikasjonen for PKI i offentlig sektor.
7. Leverandørens forpliktelser
Behandling av personopplysninger
Commfides forplikter seg til å følge de generelle regler for behandling av personopplysninger slik disse fremkommer av melding til datatilsynet (ref pt. 6 over).
Garanti
Commfides garanterer å utføre tjenesten regulert i denne avtale på en profesjonell måte og i henhold til de standarder og regler denne avtalen viser til. Commfides garanterer å inneha alle nødvendige rettigheter og registreringer denne avtalen viser til.
Sperretjeneste
Commfides har ansvar for å registrere riktig meldte endringer og å sperre sertifikater i henhold til behandlingsreglene ref vår Certificate Policy (CP) tilgjengelig på xxx.xxxxxxxxx.xxx.
Sperretjenesten består en ”Online Certificate Status Protocol” (OCSP) tjeneste, og Certificate Revocation List (CRL) som en liste over sperrede sertifikater beregnet for ”Off line” bruk.
Sperring ved utløp av gyldighetsperiode
Sperring av sertifikatet ved utløp av gyldighetsperioden er automatisk og styres av opplysninger i sertifikatet.
Sperring etter varsel fra kunden
Sperring etter varsel fra kunden oppdateres i OCSP og CRL av Commfides innenfor frister angitt i kravspesifikasjonen for PKI i offentlig sektor.
Sperring ved opphør av virksomheten
Commfides plikter å sperre sertifikater tilhørende en virksomhet som opphører. Virksomheten selv plikter å melde om opphør. Commfides vil også sperre sertifikater basert på fremtidig tjenester fra Brønnøysundregistrene. Dette fritar ikke Xxxxxx for ansvaret om å melde om opphør.
Lagring av data for å gjenskape krypteringsnøkler
Commfides virksomhetssertifikat består av 3 nøkkel par som gjør det mulig å skille krypteringsnøkkelen fra autentiserings- og signeringsnøklene.
Commfides lagre nødvendige data for å kunne gjenskape krypteringsnøklene.
Commfides har i henhold til ETSI standarden ikke lov til å lagre de personlige autentiserings- eller signeringsnøklene.
Reutstedelse av et krypteringssertifikat er en egen tjeneste tilgjengelig under denne avtale.
Utlevering av sertifikat- eller transaksjonsdata til andre enn kunden
Personopplysninger vil kun bli utlevert til tjenesteytere som anvender e-ID for autentisering og som har dokumentert tillatelse fra Datatilsynet til å innhente personnummeret. Av personopplysninger er det kun personnummer som kan utleveres fra Commfides.
Utlevering av loggdata
Utlevering av loggdata er definert som sensitivt og underlagt regulering i henhold til vår sertifikatpolicy (CP). Commfides har definert ”Rettslig grunnlag (Politibegjæring eller dom)” som grunnlag for utlevering av loggdata som kan knyttes til en bestemt persons bruk av et sertifikat.
Begrensninger i leverandørens ansvar eller forpliktelser
Commfides ansvar under denne kontrakt begrenses til det beløp Xxxxxx har betalt for den aktuelle tjeneste de siste 12 måneden før et evt. ansvarsforhold inntrer.
8. Tvister
Partenes rettigheter og plikter etter denne avtale bestemmes i sin helhet av norsk rett. Oppstår tvist om tolking eller andre forhold knyttet til denne avtale, skal slik tvist søkes løst i minnelighet gjennom forhandlinger mellom partene. For alle søksmål som springer ut av denne avtale, vedtas Xxxxxxxxx’ hjemting som verneting, jf. tvistemålsloven § 36, jf. § 21.