PSD2-sertifikater til norske virksomheter

Her finner du nyttig informasjon knyttet til bestillinge av Buypass sertifikater tilpasset PSD2. Vi anbefaler at du leser gjennom informasjonen for å gjøre prosessen så enkel og smidig som mulig både for deg som kunde og oss.

  • 1 Bakgrunn

    PSD2-sertifikater er kvalifiserte sertifikater utstedt til juridiske personer (virksomheter) og disse tilfredsstiller Lov om elektroniske tillitstjenester (eIDAS-forordningen).

    PSD2-sertifkater fra Buypass kan være kvalifiserte sertifikater for elektronisk segl (QC eSeal - Qualified Certificate for electronic Seal) eller kvalifiserte sertifikater for nettstedsautentisering (QWAC – Qualified Website Authentication Certificate).

    Kvalifiserte sertifikater skal sikre høy tillit til elektroniske transaksjoner i EU/EØS og har en juridisk forankring gjennom eIDAS-forordningen som er felles for hele EU/EØS.

    PSD2-sertifikatene inneholder også PSD2-attributter som identifiserer virksomheten som tilbyder av betalingstjenester (PSP Authorisation Number), hvilke typer betalingstjenester virksomheten har anledning til yte (PSP roles) samt hvilken nasjonal myndighet (National Competent Authority – NCA) som har gitt dem tillatelse til å yte en slik tjeneste. I Norge er det Finanstilsynet som er NCA.

    Det er strenge krav til utstedelse av slike sertifikater og Buypass må gjennomføre en del pålagte kontroller (valideringer) før sertifikatene kan utstedes. Utstedelse av kvalifiserte sertifikater stiller for eksempel krav til kontroll av virksomhetens identitet gjennom personlig fremmøte av en autorisert representant for virksomheten (se eIDAS-forordningens artikkel 24).

  • 2 Prosessen

    Vi jobber med å etablere systemløsninger for registrering og bestilling av PSD2-sertifikater, men disse er dessverre ikke på plass før vi ønsker å tilby PSD2-sertfikater.

    Vi benytter derfor inntil videre manuelle Registrerings- og bestillingskjemaer som må fylles ut for å bestille sertifikater.

    Registering og bestilling
    Nederst på siden finner du Registrerings- og bestillingskjemaer (Registration and Application Forms) som kan brukes for å bestille PSD2-sertifikater for hhv QC eSeal og QWAC. Der finner du også gjeldende abonnentavtaler som inneholder de vilkårene som gjelder for hhv QC eSeal og QWAC.

    Fyll ut ett Registering- og bestillingskjema for hvert sertifikat dere ønsker og sørg for at disse skjemaene blir signert av en person som er autorisert til å representere virksomheten (Contract Signer).

    Se imidlertid Tips for en mest mulig effektiv prosess for å gjøre prosessen så smidig og enkel som mulig for alle parter.

    Send de signerte skjemaene til Buypass via e-post til kundeservice@buypass.noeller support@buypass.com.

    Validering
    Buypass må gjennomføre en del kontroller som inkluderer validering av virksomhetens identitet mot Brønnøysundregistrene og verifisering av Kontraktsignerers (Contract Signer) autorisasjon mot samme register. Se https://www.brreg.no/ for å se hvilken informasjon som finnes om din virksomhet.

    Vi må også ivareta kravene til bekreftelse av identitet gjennom personlig fremmøte og vi aksepterer bruk av BankID eller Buypass ID for dette formålet. Den enkleste løsningen vil være om Kontraktsignerer signerer Registrerings- og bestillingsskjemaet elektronisk med bruk av BankID eller Buypass ID.

    Alternativt kan virksomhetens autoriserte representant (Organisation’s Authorised Representative) få tilsendt et autorisasjonskodebrev via Posten REK som må bekreftes via kontakt med Buypass før sertifikatet kan utstedes.

    Vi må kontrollere at Finanstilsynet har gitt tillatelse til at virksomheten kan opptre som tilbyder av betalingstjenester og kan ta de rollene som oppgis i Registrerings- og bestillingskjemaet. Vi benytter Finanstilsynets konsesjonsregister for dette formålet, se https://www.finanstilsynet.no/konsesjonsregisteret/. Vi vil også ta kontakt med Finanstilsynet for å bekrefte dette forholdet.

    For QWAC må vi også verifisere at virksomheten faktisk har anledning til å bruke de domenenavn som skal legges inn i sertifikatet. Dette gjøres ved at vi tar kontakt med domenekontakter som representerer domeneeier og som kan godkjenne bruken av domenenavnet i sertifikatet.

    Utstedelse og distribusjon av sertifikat
    Når alle nødvendige kontroller og valideringer er gjennomført, kan vi utstede sertifikatet.

    Sertifikatet sendes via e-post til den som er oppgitt som Sertifikatbestiller (Certificate Applicant) i Registrerings- og bestillingsskjemaet.

    Dersom Buypass genererer den private nøkkelen, distribueres nøkkelen og sertifikatet i form av en PKCS#12 fil. Dette er en fil som er kryptert med en nøkkel avledet av en aktiveringskode.

    Aktiveringskoden som trengs for å dekryptere filen ved installasjon av sertifikatet sendes via SMS til Sertifikatbestiller.

  • 3 Tips til rask/effektiv behandling av bestillinger

    Validering av informasjon mot Brønnøysundregistrene
    Sørg for at informasjon om virksomheten er korrekt registrert og slik at vi enkelt kan verifisere denne mot Brønnøysundregistrene.

    Sørg for at registrert Kontraktsignerer (Contract Signer) er autorisert til å representere virksomheten og slik at vi kan verifisere denne autorisasjonen i Brønnsyndregistrene, for eksempel ved at Kontraktsignerer er registrert med en rolle for virksomheten.

    Elektronisk signering av Registrerings- og bestillingskjema
    Kontraktsignerer bør signere Registrerings- og bestillingsskjemaet elektronisk med bruk av BankID eller Buypass ID.

    Dersom dere har tilgang til en signeringstjeneste som kan benyttes for å signere pdf-dokumenter i form av en avansert elektronisk signatur med bruk av kvalifisert sertifikat (som BankID eller Buypass ID), så vil vi akseptere denne.

    Dersom dere ikke har tilgang til en slik tjeneste, kan dere sende skjemaet usignert til oss og vi til sørge for at Kontraktsignerer får tilgang til å signere skjemaet elektronisk via en signeringstjeneste vi benytter.

    Dersom dere velger denne løsningen, kan dere la være å fylle ut informasjon om Organisation’s Authorised Representative.

    Konsesjon hos Finanstilsynet
    Sørg for at nødvendig tillatelse hos Finanstilsynet er gitt og at de kan bekrefte dette når vi tar kontakt med dem.

    Domenevalidering
    For QWAC er det viktig at domeneeier eller de som kontrollerer domenet (domenekontakter) som skal benyttes i sertifikater kan kontaktes og godkjenne bruken av domenenavnet i sertifikatet.

    En domenekontakt finnes ved oppslag mot WHOIS (se for eksempel www.norid.no og kontaktinformasjon for abonnenter).

    Alternativt benytter vi predefinerte kontakter som admin@<domene>, administrator@<domene>, webmaster@<domene>, hostmaster@<domene> eller postmaster@<domene>.

    Dersom dere har spesielle preferanser for hvem vi skal kontakte, er det fint om dere oppgir dette når dere sender inn Registrerings- og bestillingskjemaet.

  • 4 Produktinformasjon og priser

    Buypass QC eSeal har 2 års levetid. Pris kr 21 357,-.

    Buypass SSL QWAC har 1 års levetid og koster kr 13 846,-. Priser er uten MVA.

    Buypass QC eSeal kan betraktes som en kvalifisert virksomhetssertifikat som benyttes for digital signering av meldinger eller transaksjoner.

    Buypass SSL QWAC er et kvalifisert TLS/SSL-sertifikat som brukes for autentisering i TLS-protokollen. Disse sertifikatene vil bli anerkjent som TLS/SSL-sertifikater i nettlesere, men sertifikater utstedt før 21.juni 2019 vil kun bli anerkjent som OV-sertifikater og ikke som EV-sertifikater. Sertifikater utstedt etter 21.juni 2019 vil bli anerkjent som EV-sertifikater.