PSD2-sertifikater til norske virksomheter

PSD2-sertifikater er kvalifiserte sertifikater utstedt til juridiske personer (virksomheter) og disse tilfredsstiller Lov om elektroniske tillitstjenester (eIDAS-forordningen).

PSD2-sertifkater fra Buypass kan være kvalifiserte sertifikater for elektronisk segl (QC eSeal - Qualified Certificate for electronic Seal) eller kvalifiserte sertifikater for nettstedsautentisering (QWAC – Qualified Website Authentication Certificate).

Kvalifiserte sertifikater skal sikre høy tillit til elektroniske transaksjoner i EU/EØS og har en juridisk forankring gjennom eIDAS-forordningen som er felles for hele EU/EØS.

PSD2-sertifikatene inneholder også PSD2-attributter som identifiserer virksomheten som tilbyder av betalingstjenester (PSP Authorisation Number), hvilke typer betalingstjenester virksomheten har anledning til yte (PSP roles) samt hvilken nasjonal myndighet (National Competent Authority – NCA) som har gitt dem tillatelse til å yte en slik tjeneste. I Norge er det Finanstilsynet som er NCA.

Det er strenge krav til utstedelse av slike sertifikater og Buypass må gjennomføre en del pålagte kontroller (valideringer) før sertifikatene kan utstedes. Utstedelse av kvalifiserte sertifikater krever for eksempel at en autorisert representant for virksomheten bekrefter virksomhetens identitet ved personlig fremmøte eller tilsvarende. 
 

Les mer om å Bekrefte virksomhetens identitet ved personlig fremmøte her. 

Registering og bestilling
Øverst på siden finner du Registrerings- og bestillingsskjemaer (Registration and Application Forms) for å bestille PSD2-sertifikater for hhv QC eSeal og QWAC. Klikk på "Bestill..." for å laste ned skjema. Her finner du også abonnentavtaler med vilkårene som gjelder for hhv QC eSeal og QWAC.

Fyll ut ett Registering- og bestillingskjema for hvert sertifikat dere ønsker. Hvert skjema må signeres av person som er autorisert til å representere virksomheten (Contract Signer).

Se også Tips for en mest mulig effektiv prosess for å gjøre bestillingen så smidig og enkel som mulig for alle parter.

Alternativer for signering og innsending:

• Send signert skjema til Buypass via e-post .
• Send skjema via e-post uten signatur, så sender vi skjema til den som skal signere via signeringstjeneste for elektronisk signering

E-post for innsending: kundeservice@buypass.no 

Validering
Buypass må gjennomføre flere kontroller som inkluderer validering av virksomhetens identitet mot Brønnøysundregistrene og verifisering av Kontraktsignerers (Contract Signer) autorisasjon mot samme register. Se https://www.brreg.no/ for å se hvilken informasjon som finnes om din virksomhet.

Vi må ivareta krav til bekreftelse av identitet gjennom personlig fremmøte eller tilsvarende. Vi aksepterer BankID eller Buypass ID for dette formålet.

Anbefalt løsning: Kontraktsignerer signerer Registrerings- og bestillingsskjemaet elektronisk med bruk av BankID eller Buypass ID.

Alternativt kan virksomhetens autoriserte representant (Organisation’s Authorised Representative) bekrefte virksomhetens identitet ved å signere elektronisk med BankID eller Buypass ID på et
identitetsbekreftelsesbrev

Vi kontrollere at Finanstilsynet har gitt tillatelse til at virksomheten kan opptre som tilbyder av betalingstjenester og kan ta de rollene som oppgis i Registrerings- og bestillingskjemaet. Vi benytter Finanstilsynets konsesjonsregister for dette formålet, se https://www.finanstilsynet.no/konsesjonsregisteret/. Vi kontakter også Finanstilsynet for å bekrefte dette forholdet.

For QWAC må vi også verifisere at virksomheten faktisk har anledning til å bruke de domenenavn som skal legges inn i sertifikatet. Dette gjør vi ved å kontakte domenekontakter som representerer domeneeier og som kan godkjenne bruken av domenenavnet i sertifikatet.

Utstedelse og distribusjon av sertifikat
Sertifikatet utstedes år alle nødvendige kontroller og valideringer er gjennomført.

Sertifikatet sendes via e-post til den som er oppgitt som Sertifikatbestiller (Certificate Applicant) i Registrerings- og bestillingsskjemaet.

Dersom Buypass genererer den private nøkkelen, distribueres nøkkelen og sertifikatet i form av en PKCS#12 fil. Dette er en fil som er kryptert med en nøkkel avledet av en aktiveringskode.

Aktiveringskoden som brukes for å dekryptere filen ved installasjon av sertifikatet sendes via SMS til Sertifikatbestiller.

Validering av informasjon mot Brønnøysundregistrene
Sørg for at informasjon om virksomheten er korrekt registrert og slik at vi enkelt kan verifisere denne mot Brønnøysundregistrene.

Sørg for at registrert Kontraktsignerer (Contract Signer) er autorisert til å representere virksomheten og slik at vi kan verifisere denne autorisasjonen i Brønnsyndregistrene, for eksempel ved at Kontraktsignerer er registrert med en rolle for virksomheten.

Elektronisk signering av Registrerings- og bestillingskjema
Kontraktsignerer bør signere Registrerings- og bestillingsskjemaet elektronisk med bruk av BankID eller Buypass ID.

Dersom dere har tilgang til en signeringstjeneste som kan benyttes for å signere pdf-dokumenter i form av en avansert elektronisk signatur med bruk av kvalifisert sertifikat (som BankID eller Buypass ID), så vil vi akseptere denne.

Dersom dere ikke har tilgang til en slik tjeneste, kan dere sende skjemaet usignert til oss og vi til sørge for at Kontraktsignerer får tilgang til å signere skjemaet elektronisk via en signeringstjeneste vi benytter.

Dersom dere velger denne løsningen, kan dere la være å fylle ut informasjon om Organisation’s Authorised Representative.

Konsesjon hos Finanstilsynet
Sørg for at nødvendig tillatelse hos Finanstilsynet er gitt og at de kan bekrefte dette når vi tar kontakt med dem.

Domenevalidering
For QWAC er det viktig at domeneeier eller de som kontrollerer domenet (domenekontakter) som skal benyttes i sertifikater kan kontaktes og godkjenne bruken av domenenavnet i sertifikatet.

En domenekontakt finnes ved oppslag mot WHOIS (se for eksempel www.norid.no og kontaktinformasjon for abonnenter).

Alternativt benytter vi predefinerte kontakter som admin@<domene>, administrator@<domene>, webmaster@<domene>, hostmaster@<domene> eller postmaster@<domene>.

Dersom dere har spesielle preferanser for hvem vi skal kontakte, er det fint om dere oppgir dette når dere sender inn Registrerings- og bestillingskjemaet.

Buypass QC eSeal for PSD2 har 2 års levetid. Pris kr 16 500,- eks. MVA.

Buypass SSL QWAC for PSD2 har 2 års levetid. Pris kr 20 500,- eks. MVA.

Buypass QC eSeal kan betraktes som en kvalifisert virksomhetssertifikat som benyttes for digital signering av meldinger eller transaksjoner.

Buypass SSL QWAC er et kvalifisert TLS/SSL-sertifikat som brukes for autentisering i TLS-protokollen. Disse sertifikatene blir anerkjent som TLS/SSL-sertifikater i nettlesere.