Til Buypass Access hovedside

Buypass Access Solution - løsningsbeskrivelse

Buypass Access Solution er en løsning for effektiv og sikker tilgang til virksomhetens interne og eksterne tjenester som krever elektronisk ID for identifisering, signering og kryptering. Ansatte kan bruke smartkort eller mobil for sikker tilgang både via stasjonære og mobile enheter.

Lokal utstedelse, tilgang til både offentlige tjenester og lokale ressurser

Løsningen inkluderer eget administrasjonsgrensesnitt for lokal utstedelse av elektronisk ID (eID) på ulike sikkerhetsnivå og på ulike enheter - både smartkort og mobile enheter.  Et smartkort kan inkludere fysisk adgangskontroll i samme kort.

Løsningen støtter bruk av smartkort med bedriftens egne sertifikater for tilgang til nettverk og andre lokale tjenester, samt Buypass kvalifiserte sertifikater (eIDAS nivå Høyt) for meldingsutveksling og tilgang til en rekke offentlige tjenester. I tillegg kan man utstede eID som aksesseres fra mobil eller nettbrett. ID@Work, som er navnet på denne eIDen, er sentrallagret PKI med sertifikater også de på eIDAS nivå Høyt.

Buypass ID@Work - på mobil

Buypass id@work app
Enkel mobiltilgang med Buypass ID@Work

Buypass Access Solution støtter utstedelse av Buypass kvalifiserte sertifikater for mobile enheter – mobiltelefoner eller nettbrett. ID@Work er en sentrallagret PKI hvor sertifikater og de private nøklene oppbevares hos Buypass på en slik måte at det bare er «nøkkelens rettmessige eier» som har tilgang til nøklene (HSM), dvs. den enkelte ansatte. Den ansatte må autorisere tilgang til sin private nøkkel ved å autentisere seg med en autentiserings-mekanisme fra Buypass som gir en sterk autentisering, dvs. to-faktor autentisering. Det er her de mobile enhetene kommer inn – en ansatts sentrallagrede PKI er knyttet opp til hans eID i en Buypass ID app lastet ned og aktivert på mobile enheter som mobiltelefon eller nettbrett.

Hvem passer løsningen for?

Buypass Access Solution passer best for bedrifter som har ønske om å utstede sertifikater selv eller via tredjepart.

  • Sertifikater i smartkort gjerne i kombinasjon med visualisering (bilde og signatur) og fysisk adgangskontroll (magnetstripe / RFID / strekkode).
  • Sentrallagrede sertifikater i kombinasjon med mobile enheter som gir ansatte utvidet bruksområde hvor smartkort ikke er like tilgjengelig.

Løsningen har støtte for Windows og Mac OS. Klienten er også innebygd i tynne klienter fra Dell (ThinOS) og Igel (IGELOS).

Buypass ID mobilAPP er tilgjengelig på iOS og Android via Apple Store og Google Play.

Komponenter

  • Buypass Access Manager - Local Registration Authority (LRA). System for utstedelse og administrasjon av både lokale sertifikater fra lokal Microsoft CA og kvalifiserte sertifikater (PKI på eIDAS Høyt) fra Buypass CA
  • Buypass Smartkort - kort med chip som kan inneholde begge typer sertifikater i tillegg til fysiske egenskaper som magnetstripe og RFID
  • Buypass ID mobilapp brukes for identifisering med Buypass ID@Work. Den sentrallagrede eID utstedes i BAM
  • Buypass Selvbetjeningsløsning for utstedelse av aktiveringskode for ID@Work og administrasjon av PIN for mobilAPP
  • Buypass Access Enterprise - klientprogramvare for installasjon på den enkeltes PC eller på terminalserver. Programvaren sørger for kommunikasjon med programmer som skal ha tilgang til å benytte sertifikatene på smartkortet
Buypass-smartkort-i-kontekst

 

Bruksområder

  • Sikker pålogging til bedriftens IT-systemer og ressurser fra intern arbeidsplass (MS Smartcard logon / Terminalserver)
  • Sikker pålogging til bedriftens IT-systemer og interne ressurser fra fjernarbeidsplass (VPN)
  • Single Sign On (SSO)
  • Signering og kryptering i fagsystemer med kvalifiserte sertifikater (Buypass kvalifiserte sertifikater)
  • Signering og kryptering av dokumenter og e-post (Microsoft Outlook) med kvalifiserte sertifikater
  • Identifisering, signering og kryptering med kvalifiserte sertifikater i bedriftens 3. parts programvare
  • Tilgang til offentlige tjenester med kvalifisert sertifikater som AltInn, NAV m.m.

Kvalifiserte sertifikater - PKI (eIDAS nivå Høyt)

EU-forordningen om eiD og tilltjenester (EU Regulation No 910/2014 - eIDAS) er gjennom EØS implementert i norsk rett. Lov om elektroniske tillitstjenester trådte i kraft 15. juni 2018 og Selvdeklareringsforskriften 21.11.2019 med virkning fra 21.05.2020.

Buypass er registrert hos Nasjonal kommunikasjonsmyndighet (Nkom) som utsteder av kvalifiserte sertifikater, regulert i Lov om elektroniske tillitstjenester. Sertifikatene fra Buypass kan benyttes mot offentlige og private tjenester i Norge for autentisering, da som eID på eIDAS nivå Høyt ihht Selvdeklarasjonsforskriften.

Buypass er sertifisert ihht ETSI-standarden som er sentral i eIDAS.

Buypass arbeider etter nasjonale og internasjonale standarder for å tilfredsstille beste praksis på området. Buypass kvalifiserte sertifikater er i henhold til ”SEID – Anbefalte sertifikatprofiler for personsertifikater og Virksomhetssertifikater, versjon 1.02”. Buypass kvalifiserte sertifikater utstedes av Buypass Class 3 CA  3.

I den nye EU-forordningen, nevnt ovenfor, er serverbasert signering spesielt nevnt som noe som kan bidra til større utbredelse og bruk av eSignatur i Europa, ikke minst sett i sammenhengen med en stadig økning i bruken av mobile enheter som smarttelefoner, nettbrett etc.

I denne sammenheng finnes det allerede en ny CEN-standard som definerer sikkerhetskrav til systemer som støtter server signering [TS419241]. Denne standarden har fokus på signeringsfunksjonen og i Buypass sammenheng bruk av sentrallagret PKI som en metode for å generere såkalte avanserte elektroniske signaturer (AdES) basert på kvalifiserte sertifikater (QC).

Buypass RA - delegering av ansvar

Bedrifter som skal benytte Buypass kvalifiserte sertifikater må inngå en avtale med Buypass hvor Buypass delegerer myndighet til å utstede og administrere kvalifiserte sertifikater på vegne av Buypass. Bedriften blir registrert som en Buypass RA (Registration Authority). Bedriften godtar ved inngåelse av avtalen Buypass’ krav og retningslinjer for utstedelse av kvalifiserte sertifikater. I den forbindelse utnevner bedriften et antall personer (minimum 2 personer) som RA-ADMIN (Registration Authority Administrator). RA-ADMIN får rettigheter til å delegere ansvaret videre internt i bedriften til Operatører.

Ansvar og plikter for involverte parter/personell er beskrevet i Certificate Policy (CP) for Buypass Class 3 CA 3 Certificates og Certification Practice Statement (CPS). Disse finner du i vår CA dokumentasjon for Personlige kvalifiserte sertifikat.

Brukere av løsningen

Det vil kun være autoriserte Operatører som kan logge på og betjene Buypass Access Manager - BAM-klienten. Operatører er fellesbenevnelse for rollene RA-ADMIN og Operatører. Begge roller har ansvaret for utstedelse og administrasjon av sertifikater til brukere tilknyttet virksomheten.