December 2012
Overzicht verantwoordelijkheden, rechten en plichten van de Authenticatiedienst behorende bij het Afsprakenstelsel eHerkenning, versie 1.5 Inleiding Het Afsprakenstelsel eHerkenning bestaat uit verschillende documenten. Deze documenten zijn gepubliceerd op de website www.eHerkenning.nl. Verspreid over deze documenten zijn de verantwoordelijkheden, de rechten en de plichten van de Authenticatiedienst opgenomen. Een Authenticatiedienst is verplicht zich aan het Afsprakenstelsel eHerkenning te houden om van eHerkenning gebruik te mogen maken. In onderstaand overzicht zijn de verantwoordelijkheden, rechten en plichten van de Authenticatiedienst zoals deze in het Afsprakenstelsel versie 1.5 zijn opgenomen, op hoofdlijnen onder elkaar gezet. Hulpmiddel Het overzicht is niet bedoeld als een uitputtende opsomming. Het is een hulpmiddel waarmee een beter overzicht wordt verkregen van waar de Authenticatiedienst zich op grond van het Afsprakenstelsel eHerkenning aan moet houden. Opzet van het overzicht Het overzicht geeft in de linker kolom een beschrijving op hoofdlijnen van de verantwoordelijkheden, de rechten en verplichtingen. Deze beschrijving is een samenvatting van de beschrijving in het Afsprakenstelsel van het betreffende onderwerp. Om exact te weten wat de specifieke verantwoordelijkheid, het recht of de plicht inhoudt, dient u te allen tijde het Afsprakenstelsel eHerkenning te raadplegen. In de rechterkolom van het overzicht is per item de vindplaats opgenomen. Wijzigingen en volledigheid Dit overzicht zal zo vaak worden gewijzigd als nodig is, bijvoorbeeld omdat het Afsprakenstelsel wordt gewijzigd. Hoewel er gestreefd is naar volledigheid en juistheid van het overzicht, aanvaardt de beheerorganisatie noch enige andere organisatie of instelling enige aansprakelijkheid. Alleen de volledige tekst van het Afsprakenstelsel eHerkenning is bindend.
Onderwerp
Vindplaats in het Afsprakenstelsel
Definitie
Authenticatiedienst: een vereiste rol binnen het Netwerk voor eHerkenning die door een Deelnemer aan het Afsprakenstelsel wordt ingevuld en die de verantwoordelijkheid heeft voor het authenticeren van natuurlijke personen op basis van het door de handelende natuurlijk persoon gebruikte authenticatiemiddel.
Artikel 1 Gebruiksvoorwaarden
Voorwaarden verrichten eHerkenningsdiensten Een Authenticatiedienst mag alleen eHerkenningsdiensten verrichten indien zij de deelnemersovereenkomst hebben gesloten met de beheerorganisatie.
1
Paragraaf 3.1 Juridisch Kader
December 2012 De Gebruiksvoorwaarden eHerkenning zijn van toepassing op alle overeenkomsten die een authenticatiedienst sluit met een dienstafnemer. De authenticatiedienst is op de hoogte van en erkent de taak van de beheerorganisatie, zoals vastgelegd in het Instellingsbesluit.
Paragraaf 3.1 Juridisch Kader Artikel 2.3 Deelnemersovereenkomst
Verantwoordelijkheid
Een authenticatiedienst heeft de verantwoordelijkheid voor het authenticeren van natuurlijke personen op basis van het door de handelende natuurlijk persoon gebruikte authenticatiemiddel. Binnen het afsprakenstelsel is de authenticatiedienst aansprakelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. Toetredingsvereisten
Artikel 1.1 en 23.1 Gebruiksvoorwaarden
1. De authenticatiedienst dient als deelnemer aan het Afsprakenstelsel te voldoen aan de algemene toetredingseisen: 2. De authenticatiedienst is identificeerbaar is en kan voldoen aan zijn verplichtingen. Daarvoor is het volgende nodig: 3. De authenticatiedienst drijft een onderneming en is ingeschreven in het Nederlandse handelsregister. 4. De authenticatiedienst hanteert binnen eHerkenning uitsluitend een geregistreerde handelsnaam. 5. De authenticatiedienst verkeert niet in staat van faillissement, aan hem is geen surséance van betaling 6. verleend en voor hem geldt geen schuldsaneringsregeling. 7. Er is geenfaillissement aangevraagd en de authenticatiedienst is niet opgehouden zijn schulden te betalen. 8. Bij het leveren van eHerkenningsdiensten betrokken personeel dient voldoende bekwaam te zijn. De authenticatiedienst accepteert de toetredingsprocedure als beschreven in het afsprakenstelsel en doorloopt deze met goed gevolg. Het voorafgaand aan de toetreding succesvol doorlopen van de testen van de conformiteit van technische voorzieningen is hier onderdeel van. De authenticatiedienst heeft alle processen en procedures die noodzakelijk zijn voor het leveren van eHerkenningsdiensten op het gespecificeerde betrouwbaarheidsniveau volledig gedocumenteerd en vult de dienaangaande de door de beheerorganisatie opgestelde zelfverklaring in en levert deze op aan de beheerorganisatie. Wanneer de authenticatiedienst relevante wijzigingen aanbrengt kan het zijn dat onderdelen van
2
Paragraaf 3.4, Juridisch Kader, artikel 6.1 Deelnemersovereenkomst en 4.1 Gebruiksvoorwaarden
Hoofdstuk 6, Juridisch Kader
Hoofdstuk 6, Juridisch Kader, Proces Toetreden, Operationeel Handboek
December 2012 de toetredingsprocedure herhaald moeten worden. De authenticatiedienst beschikt over de certificaties die expliciet voor het afsprakenstelsel noodzakelijk zijn of die uit toepasselijke wet-‐ en regelgeving volgen. De authenticatiedienst ondertekent de deelnemersovereenkomst en accepteert deze volledig. Een authenticatiedienst die voor het eerst wil toetreden en ISO Paragraaf 2.1 Informatiebeveiliging beveiligingscertificaten of TPM's nog niet kan overleggen moet om te worden toegelaten: a) zelf verklaren dat zij aan de materiële eisen van ISO 27001 (inclusief het Gemeenschappelijk Normenkader Informatiebeveiliging eHerkenning) voldoen, alsmede aan de gestelde eisen voor de dienstverlening van de betrouwbaarheidsniveaus die geleverd gaan worden. b) voorbereidingen in gang hebben gezet voor de ISO 27001 certificatie en/of een TPM van het managementsysteem voor informatiebeveiliging, zoals bedoeld in ISO 27001, alsook de specifieke eisen die zijn gesteld aan de betrouwbaarheidsniveaus van de te leveren diensten. c) een risicoanalyse overleggen die op de eHerkenningsdiensten betrekking heeft (en de Stelselrisicoanalyse als input heeft) met daarin aangegeven de reeds genomen, nog te nemen maatregelen en de restrisico's. d) een GAP-‐analyse overleggen waarin ten opzichte van het Gemeenschappelijke Normenkader Informatiebeveiliging is aangegeven welke maatregelen reeds zijn geïmplementeerd en welke maatregelen nog moeten worden geïmplementeerd. Toetreding met onder aanneming Hoofdstuk 6 juridisch kader Wanneer een authenticatiedienst bij het vervullen van zijn rol (mede) gebruik maakt van andere marktpartijen, hoofd-‐ of onderaannemers of partijen waarmee een ander verband bestaat, dan hoeven deze andere partijen niet toe te treden tot het afsprakenstelsel. De authenticatiedienst moet dat natuurlijk wel. In dat geval geldt de eis dat de authenticatiedienst aansprakelijk is voor de nakoming van alle verplichtingen van deze combinatie wat betreft eHerkenningsdiensten en dat alleen de authenticatiedienst eHerkenningsdiensten verricht. De authenticatiedienst dient de eHerkenningsdiensten op eigen naam uit te voeren. Toetreding door combinatie onder gemeenschappelijke Hoofdstuk 6 juridisch kader naam Indien de combinatie onder een gemeenschappelijke naam eHerkenningsdiensten wil verrichten, dienen de
3
December 2012 leden van de combinatie vanaf de start van deelname zodanig samen te werken dat ieder van de combinanten hoofdelijk aansprakelijk is voor de volledige en correcte nakoming van alle verbintenissen jegens de beheerorganisatie. Alle combinanten dienen te voldoen aan de toetredingseisen. Bij wijziging in de samenstelling van de combinatie moet de toetredingsprocedure voor nieuwe combinanten opnieuw worden doorlopen. Om te zorgen dat nieuwe releases en nieuwe toetredingen van de authenticatiedienst zo goed mogelijk verlopen, is het vereist dat de functionaliteit hiervan wordt getest. Het betreft een simulatortest, en een ketentest. Voor de genoemde testen zijn testcases opgesteld en is een checklist beschikbaar waarop de authenticatiedienst het resultaat van de testen kan noteren. Koppelvlak
Hoofdstuk 2, paragraaf 4.3 en hoofdstuk 5.4, Testen voor deelnemers
De authenticatiedienst moet het koppelvlak HM -‐ AD voor de implementatie van de use case “gebruiken authenticatiemiddel” hebben geïmplementeerd.
Koppelvlak HM-AD
Specifieke verplichtingen authenticatiedienst Authenticatiediensten moeten ieder een relatie hebben met alle Herkenningsmakelaars. Een authenticatiedienst moet een online interface bieden aan handelende natuurlijk personen zodat die zich als onderdeel van eHerkenning met hun authenticatiemiddel kunnen laten authenticeren. Een authenticatiedienst moet een relatie hebben met tenminste één middelenuitgever. De authenticatiedienst verwerkt een authenticatievraag conform de Overeenkomst en overeengekomen service levels. De authenticatiedienst ziet erop toe dat Authenticatievragen alleen worden verwerkt indien zij kunnen worden verwerkt aan de hand van toegelaten authenticatiemiddelen van toegelaten middelenuitgevers. De authenticatiedienst draagt zorg voor correcte uitvoering van alle aan haar in het Afsprakenstelsel voorgeschreven verplichtingen, waaronder auditverplichtingen. De authenticatiedienst authenticeert de handelende natuurlijk persoon op basis van zijn authenticatiemiddel. De authenticatiedienst bewaakt hierbij dat zowel de identificatie
4
Paragraaf 3.4, Algemene Introductie Algemene Introductie, paragraaf 3.3.2 en 23.5 Gebruiksvoorwaarden
Paragraaf 3.4, Algemene Introductie Artikel 23 Gebruiksvoorwaarden
Paragraaf 3.1, Use Case Authenticatie handelende dienstafnemer
December 2012 (i.c. het gebruikte authenticatiemiddel) als het proces van de authenticatie van minimaal het door de dienstverlener gewenste betrouwbaarheidsniveau zijn. Alle dialoogvensters die door een authenticatiedienst in het herkenningsproces worden ingezet om met de handelende natuurlijk persoon te communiceren zouden moeten voldoen aan de volgende eisen: 1. de naam van de partij die het dialoogvenster presenteert (en op dat moment een rol in het herkenningsproces vervult) wordt duidelijk getoond. 2. de naam van de dienstverlener waar het herkenningsproces door is geïnitieerd of betrekking op heeft wordt duidelijk aan de handelende natuurlijk persoon getoond. 3. het dialoogvenster MAG NIET informatie bevatten die niet rechtstreeks van toepassing is op, of bijdraagt aan het herkenningsproces. Reclame-‐uitingen of links naar andere webpagina’s die buiten het herkenningsproces vallen mogen niet worden opgenomen. 4. het beeldmerk van het product eHerkenning wordt getoond en wel volgens de daarvoor geldende richtlijnen. Zie document [eHerkenning -‐ Handboek huisstijl]. Wanneer aanvullende attributen van de authenticatiedienst worden gevraagd en de authenticatiedienst dit ondersteunt, toont de authenticatiedienst de beschikbare attributen en de waarden van de attributen en vraagt de handelende natuurlijk persoon goedkeuring om deze attributen te verstrekken (user consent). De authenticatiedienst beantwoordt de vraag van de herkenningsmakelaar. Dit antwoord bevat een verklaring over de authenticatie met daarin het betrouwbaarheidsniveau van de verklaring, het interne pseudoniem van de handelende natuurlijk persoon en het identificerend kenmerk van het machtigingenregister dat moet worden bevraagd in GUC3. Wanneer aanvullende attributen worden gevraagd en de authenticatiedienst dit ondersteunt bevat het antwoord ook de beschikbare en door de handelende natuurlijk persoon goedgekeurde attributen. Het betrouwbaarheidsniveau wordt bepaald volgens de eisen in [eHerkenning -‐ Betrouwbaarheidsniveaus]. Het antwoord is als Response in detail beschreven in document [eHerkenning -‐ Koppelvlakspecificatie HM-‐AD]. Wanneer het annuleren van de authenticatie door de handelend natuurlijk persoon plaatsvindt bij de authenticatiedienst moet deze het proces afbreken en naar de herkenningsmakelaar
5
Paragraaf 5.1, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.1, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.1, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.2.3, Use Case Authenticatie handelende dienstafnemer
December 2012 antwoorden met een foutmelding die is beschreven in document [eHerkenning -‐ Koppelvlakspecificatie HM-‐AD]. De herkenningsmakelaar de handelende natuurlijk persoon aanbieden een andere authenticatiedienst te kiezen. Indien de authenticatie mislukt, stelt de authenticatiedienst de handelende natuurlijk persoon op het scherm op de hoogte van de reden van het mislukken van de authenticatie. De authenticatiedienst geeft aan de handelende natuurlijk persoon op het scherm een suggestie voor de vervolghandeling die de persoon naar aanleiding van de fout zou kunnen uitvoeren. De authenticatiedienst mag de handelende natuurlijk persoon aanbieden het opnieuw te proberen. De authenticatiedienst moet de handelend natuurlijk persoon de mogelijkheid bieden te annuleren Indien bij de authenticatiedienst het betrouwbaarheidsniveau van de authenticatie lager is dan dat waarop een attribuut geregistreerd is dan mag dit attribuut niet worden verstrekt, ook niet wanneer het gevraagde betrouwbaarheidsniveau ook lager is. De authenticatiedienst controleert of het attributen betreft die voorkomen in de attribuutcatalogus. Indien dit niet het geval is dienen zij een fout met die strekking te tonen en wordt de use case niet vervolgd. De authenticatiedienst mag geen betrouwbaarheidsniveau voeren of gebruiken waarvoor hij geen expliciete toestemming heeft van de beheerorganisatie. De authenticatiedienst moet alle processen inrichten volgens de eisen voor het betreffende betrouwbaarheidsniveau zoals beschreven in document [eHerkenning-‐ Betrouwbaarheidsniveaus ]. De authenticatiedienst moet toegang hebben tot de relevante door de middelenuitgever vastgelegde informatie om tot een authenticatie van het betreffende betrouwbaarheidsniveau te komen. Alle dialoogvensters die door de authenticatiedienst in het herkenningsproces worden ingezet moeten voldoen aan de eisen die worden gesteld aan niveau 1 (“ Toegankelijkheid prioriteit 1”) van het Waarmerk drempelvrij.nl4. De authenticatiedienst moet dit aantonen door middel van een zelfverklaring en mogen dit verder aantonen door middel van certificering. Alle webpagina's in het herkenningsproces moeten ten minste in
6
Paragraaf 3.2.4, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.2.7, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.2.8, Use Case Authenticatie handelende dienstafnemer
Paragraaf 3.3 Use Case Authenticatie handelende dienstafnemer
Paragraaf 5.2, , Use Case Authenticatie handelende dienstafnemer
December 2012 het Nederlands als in het Engels beschikbaar zijn. De registratieprocessen mogen ook alleen in het Nederlands worden aangeboden. Alle webpagina's die door de authenticatiedienst in het herkenningsproces worden ingezet moeten functioneren zonder het gebruik van client-‐side scripting. Algemene verplichtingen Met ingang van 1 december 2011 geldt dat de authenticatiedienst binnen één jaar na hun initiële toetreding de certificaten en/of TPM's (tevens o.b.v. Het Gemeenschappelijk Normenkader Informatiebeveiliging eHerkenning) moeten overleggen of hebben overlegd. De authenticatiedienst is gehouden alle verplichtingen onverkort na te komen die op grond van de Deelnemersovereenkomst, het afsprakenstelsel, de Gebruiksvoorwaarden en alle overige bindende regelingen in het kader van eHerkenning op enig moment voor zijn rol zijn vastgesteld en in werking zijn getreden. Authenticatiediensten moeten minimaal het beschreven Service Level aan andere deelnemers en hun gebruikers leveren. De authenticatiedienst moet geabonneerd zijn op de mailinglist die de beheerorganisatie onderhoud ten behoeve van communicatie over onderhoud. De authenticatiedienst voert het implementatieplan uit op basis waarvan een nieuwe release van het afsprakenstelsel wordt geïmplementeerd. De authenticatiedienst vrijwaart de beheerorganisatie voor vorderingen van derden, uit welke hoofde dan ook, ten gevolge van het gebruik van de herkenningsdiensten. Het is de authenticatiedienst niet toegestaan ook andere rollen en/of andere betrouwbaarheidsniveaus te vervullen zonder opnieuw de toetredingsprocedure te doorlopen. De authenticatiedienst is niet bevoegd derden toestemming te geven het Merk eHerkenning te gebruiken. De authenticatiedienst zal niets doen dan wel nalaten waardoor de rechten van de beheerorganisatie en/of het ministerie van Economische Zaken ten aanzien van het Merk eHerkenning kunnen worden aangetast en/of de door de beheerorganisatie ter zake van het Merk en/of opgebouwde goodwill negatief zou kunnen beïnvloeden.
7
Paragraaf 2.1, Informatiebeveiliging
Artikel 2.2 Deelnemersovereenkomst
Hoofdstuk 3, Service Level
Paragraaf 3.1, Service Level
Operationeel Handboek, Proces Change- en releasemanagement Artikel 6.3 Deelnemersovereenkomst
Artikel 2.5 Deelnemersovereenkomst
Artikel 3 Deelnemersovereenkomst
December 2012 In geval van tussentijdse beëindiging van de Deelnemersovereenkomst, is de authenticatiedienst verplicht alle medewerking te verlenen om de continuïteit van de verlening van eHerkenningsdiensten door andere Deelnemers zeker te stellen. Het verstrekken van attributen over de geauthenticeerde handelende natuurlijk persoon vindt plaats indien dit door de dienstverlener gevraagd wordt en indien het op grond van bij middelenuitgever geregistreerde user consent op het betreffende betrouwbaarheidsniveau is toegestaan.
Artikel 3 Gebruiksvoorwaarden
Paragraaf 3.5.1.2, Algemene Introductie
Indien attribuutverstrekking wordt aangeboden moet aan houders van authenticatiemiddelen steeds inzage geboden kunnen worden van de over hen geregistreerde gegevens en of er toestemming is verleend voor het zonder steeds opnieuw vragen verstrekken van deze gegevens. De authenticatiedienst dient de Gebruiksvoorwaarden eHerkenning van toepassing te verklaren op de Overeenkomst met de Dienstafnemer.
Artikel 2 Gebruiksvoorwaarden
De authenticatiedienst dient strikte geheimhouding in acht nemen ten aanzien van vertrouwelijke informatie en informatie waarvan het vertrouwelijk karakter redelijkerwijs kan worden vermoed en die in het kader van de uitvoering van de Deelnemersovereenkomst is uitgewisseld, tenzij een wettelijke plicht of een rechterlijke uitspraak openbaarmaking van deze gegevens gebiedt.
Paragraaf 3.2, Juridisch Kader Artikel 5 Gebruiksvoorwaarden
De authenticatiedienst versterkt alle noodzakelijke informatie aan de beheerorganisatie met betrekking tot deelname aan het netwerk voor eHerkenning.
Paragraaf 3.2, Juridisch Kader, Paragraaf 3.2 Proces Managementinformatie, en Paragraaf 3.2 Proces Metadata Operationeel Handboek .
Op grond van het afsprakenstelsel is de authenticatiedienst gehouden om aan de beheerorganisatie alle informatie te verstrekken om (voortzetting van) deelname aan het Netwerk voor eHerkenning te kunnen beoordelen, de naleving van het afsprakenstelsel te kunnen controleren en/of te monitoren dan wel indien dit noodzakelijk is vanwege een geschillen-‐ of klachtenprocedure. De authenticatiedienst maakt de volgende contactgegevens van de volgende contactpersonen binnen de organisatie kenbaar aan de beheerorganisatie: 1. Contactgegevens directieniveau. 2. Contactgegevens service management / projectleider. 3. Contactgegevens service desk.
Paragraaf 5.5, Juridisch Kader, 20 Gebruiksvoorwaarden
8
Paragraaf 3.1, Service Level
December 2012 De authenticatiedienst moet binnen de gegarandeerde openstellingsduur voor 99,2% (gemeten per kalendermaand) gegarandeerd en volledig beschikbaar zijn. Buiten de openstellingsduur (tussen 0.00 en 7.00) zou de authenticatiedienst in beginsel wel volledig beschikbaar moeten zijn, maar hiervoor worden geen garanties afgegeven. Eisen rondom performance richten zich op de gebruikersbeleving. Performance wordt beschreven in termen van de tijd die een gebruiker moet wachten voordat het volgende scherm geladen is. • 95% van de schermen moet binnen 2 seconden worden getoond. • 99% van de schermen moet binnen 5 seconden worden getoond. • De authenticatiedienst moet ten minste 100 gelijktijdige berichten kunnen verwerken terwijl nog wordt voldaan aan de performance eisen. De authenticatiedienst moet voor het uitvoeren van onderhoud toestemming krijgen van de beheerorganisatie. In overleg met de beheerorganisatie wordt dan het tijdstip waarop het onderhoud wordt uitgevoerd vastgesteld. De authenticatiedienst moet beschikbaar zijn voor ondersteuning aan hun gebruikers en de beheerorganisatie op werkdagen tussen 9.00 en 16.30. De authenticatiedienst moet eerstelijns vragen o.b.v. logging (zie Afsprakenstelsel – Hoofdstuk Informatiebeveiliging) binnen 3 werkdagen beantwoorden. De authenticatiedienst moet tweedelijns vragen o.b.v. Logging (zie Afsprakenstelsel – Hoofdstuk Informatiebeveiliging) binnen 10 werkdagen beantwoorden. De authenticatiedienst moet verstoringen z.s.m. zowel per email als telefonisch melden bij de beheerorganisatie. De beheerorganisatie mag een gemelde verstoring aanmerken als calamiteit. De authenticatiedienst moet elke storing binnen 4 uur verhelpen. De authenticatiedienst moet calamiteiten z.s.m. zowel per email als telefonisch melden bij de beheerorganisatie. De beheerorganisatie mag een gemelde calamiteit aanmerken als verstoring. Voor het geval van calamiteiten moet de authenticatiedienst
9
Paragraaf 3.2, Service Level
Paragraaf 3.3, Service Level
Paragraaf 3.4, Service Level
Paragraaf 3.5, Service Level
Paragraaf 3.6, Service Level
Paragraaf 3.7, Service Level
Paragraaf 3.8, Service Level
December 2012 24x7 een contactpersoon beschikbaar hebben. De authenticatiedienst moet de contactgegevens van deze persoon aan de beheerorganisatie bekend maken. De authenticatiedienst moet uiterlijk de 15e van elke kalendermaand de rapportage over de voorafgaande rapportageperiode aan de beheerorganisatie opleveren. Hiertoe moet het door de beheerorganisatie beschikbaar gestelde template worden gebruikt. De volgende gegevens worden in het template ingevuld: 1. Het aantal berichten per type bericht (bij voorkeur gedifferentieerd naar deelnemer). Hierbij moeten de monitoring berichten worden uitgefilterd. 2. Het aantal en inhoud van klachten. 3. Het aantal en inhoud van geconstateerde beveiligingsincidenten. De authenticatiedienst is niet bevoegd zijn rechten en verplichtingen uit het Afsprakenstelsel over te dragen aan een derde, behalve na schriftelijke toestemming van diens wederpartij en voor zover de afspraken neergelegd in het afsprakenstelsel zich niet tegen deze overdracht verzetten. In het geval de authenticatiedienst zijn rechten en plichten wil overdragen, dient de overnemende partij eveneens toegelaten te zijn als authenticatiedienst voor eHerkenning. De verwerking van persoonsgegevens in het kader van uitvoering van de Overeenkomst, geschiedt overeenkomstig de bepalingen van de Wet bescherming persoonsgegevens. Alle Intellectuele Eigendom voor alle soorten zaken die worden ontwikkeld door, voor of namens de beheerorganisatie, komen toe aan de beheerorganisatie. De authenticatiedienst onthoudt zich van inbreuken op de Intellectuele Eigendomsrechten van zaken die door, voor of namens de beheerorganisatie zijn ontwikkeld. Na beëindiging van de Deelnemersovereenkomst zal de authenticatiedienst direct alle activiteiten en uitingen in het kader van het vervullen van de betreffende rol(len) staken, dan wel zo snel mogelijk staken als toelaatbaar is. De authenticatiedienst zal alle medewerking verlenen om de continuïteit van de herkenningsdienstverlening zeker te stellen, onder meer door mee te werken aan overdracht van de herkenningsdienstverlening aan een andere deelnemer. De authenticatiedienst verleent zijn medewerking aan een onderzoek of hij de afspraken van het afsprakenstelsel naleeft en/of voldoet aan de eisen en voorwaarden die aan zijn rol worden gesteld in het afsprakenstelsel dat door of namens de
10
Paragraaf 3.9, Service Level
Paragraaf 3.2, Juridisch Kader, artikel 7 Gebruiksvoorwaarden
Artikel 21 Gebruiksvoorwaarden
Paragraaf 3.2, Juridisch Kader
Artikel 5.3 Deelnemersovereenkomst
Artikel 7.1 Deelnemersovereenkomst
December 2012 beheerorganisatie wordt uitgevoerd. De authenticatiedienst dient alle door haar ondertekende en alle door haar ontvangen ondertekende berichten minimaal 7 jaar archiveren. Authenticatiediensten moeten tevens een referentie naar het gebruikte middel opslaan, zodat de audit trail naar de handelende natuurlijk persoon sluitend wordt. De authenticatiedienst moet gearchiveerde gegevens beveiligd opslaan zodat zij niet toegankelijk zijn voor onbevoegden. De authenticatiedienst moet een verzoek waarbij gearchiveerde gegevens worden opgevraagd honoreren in de volgende gevallen: 1. Wanneer er beroep is ingesteld tegen een bestuursrechtelijk besluit dat de dienstverlener heeft genomen op basis van gegevens die zijn verkregen middels een eHerkenningsdienst en de dienstverlener deze bewijsstukken nodig heeft in het kader van de beroepsprocedure moeten de gegevens worden verstrekt aan zowel betreffende dienstverlener als bedrijf of de handelende natuurlijk persoon die het beroep heeft ingesteld. 2. Op vordering van een bevoegde opsporingsinstantie, een inlichtingen-‐ of veiligheidsdienst of een bevoegde toezichthouder moeten de gegevens aan betreffende instantie worden verstrekt. 3. Op verzoek van de beheerorganisatie. Bijvoorbeeld omdat elders in de keten informatie verloren is gegaan en met als doel dat het informatiegat wordt hersteld. De authenticatiedienst houdt zich voor hun marketing – communicatie aan de Richtlijnen Publiciteit, de promokit en de Regels en richtlijnen van de visuele identiteit eHerkenning Beveiliging De authenticatiedienst moet zijn verbindingen beveiligen en berichten ondertekenen conform de specificaties in de koppelvlakbeschrijvingen. De authenticatiedienst moet de verantwoordelijkheid nemen voor de beveiliging en controle van de eigen systemen die gebruikt worden in eHerkenning en voldoet aan de auditverplichtingen, conform wet-‐ en regelgeving en zoals vastgelegd in het afsprakenstelsel.
11
Paragraaf 3.2, Informatiebeveiliging
Paragraaf 3.2, Informatiebeveiliging
Paragraaf 3.2, Informatiebeveiliging Paragraaf 3.2, Informatiebeveiliging
Handboek Huisstijl
Paragraaf 2.2, Informatiebeveiliging
Paragraaf 2.1 Informatiebeveiliging Paragraaf 3.2, Juridisch Kader, artikel 18 Gebruiksvoorwaarden
December 2012 De authenticatiedienst moet een systeem voor het management van informatiebeveiliging inrichten waarin minimaal zijn dienstverlening voor eHerkenning moet zijn ondergebracht. Het managementsysteem moet zijn ingericht conform de ISO/IEC 27001 standaard en zou formeel moeten zijn gecertificeerd. Als alternatief mag de authenticatiedienst beschikken over een TPM (inclusief conformiteitsverklaring) die middels een TPM door een onafhankelijke Register IT auditor is bevestigd. Op de vastgestelde jaarlijkse momenten moeten aan de Beheerorganisatie de volgende bewijsstukken worden overlegd: 1. Het ISO 27001 certificaat of TPM. 2. Een door de auditor bevestigde verklaring dat de scope van het certificaat de dienstverlening t.b.v. eHerkenning omvat. 3. De Verklaring van Toepasselijkheid (VvT) behorende bij het ISO 27001 certificaat of TPM. De Stelselauditor moet op verzoek van de Beheerorganisatie inzage worden gegeven in de voor het netwerk relevante auditdossiers. De authenticatiedienst moet daarover afspraken maken met hun eigen onafhankelijke auditors. Voor de beveiliging en controle van de eigen systemen die de authenticatiedienst gebruikt voor eHerkenning moeten de daarvoor de toepasselijke controls uit de norm ISO/IEC 27002 en maatregelen conform het Gemeenschappelijke Normenkader Informatiebeveiliging eHerkenning worden geïmplementeerd. De authenticatiedienst moet aan de opstelling en de implementatie van het netwerkbreed beveiligingsplan actief meewerken, ongeacht of het maatregelen betreft in het gezamenlijke verantwoordelijkheidsdomein van het netwerk of maatregelen in het verantwoordelijkheidsdomein van de authenticatiedienst. De authenticatiedienst conformeert zich aan het gestelde in het beveiligingsplan. De te nemen beveiligingsmaatregelen moeten worden bepaald aan de hand van een risicoanalyse. De Stelselrisicoanalyse moet als input meegenomen worden in de risicoanalyse van de authenticatiedienst in het kader van de verplichte ISO 27001 certificering. De authenticatiedienst ondersteunt de Betrouwbaarheidsniveaus zoals vastgelegd in de overeenkomst met de Dienstafnemer, op grond waarvan de authenticatiedienst Herkenningsdiensten verleent en waarop de Gebruiksvoorwaarden eHerkenning van toepassing zijn.
12
Paragraaf 2.1 Informatiebeveiliging
Paragraaf 2.1, Informatiebeveiliging
Paragraaf 2.1, Informatiebeveiliging
Paragraaf 2.2, Informatiebeveiliging en [eHerkenning – Gemeenschappelijk Normenkader Informatiebeveiliging] Paragraaf 2.2, Informatiebeveiliging
Paragraaf 2.2, Informatiebeveiliging en [eHerkenning – Stelsel risicoanalyse]
Artikel 19 Gebruiksvoorwaarden
December 2012 De authenticatiedienst is verplicht alle verstoringen, calamiteiten en beveiligingsincidenten in het netwerk z.s.m. te melden bij de beheerorganisatie. De authenticatiedienst blijft zelf verantwoordelijk voor de oplossing van het incident/de calamiteit. Om te toetsen of het stelsel van maatregelen dat genomen is daadwerkelijk effectief en adequaat is, wordt in samenspraak met de beheerorganisatie periodiek, in beginsel twee maal per jaar, een penetratietest uitgevoerd. Deze test wordt uitgevoerd door een externe specialist. De scope van deze testen zal per keer worden bepaald. De authenticatiedienst gaat akkoord met de uitvoering van de penetratietest en verleent daar haar volledige medewerking aan. Indien gewenst verschaffen ze daartoe een zogenaamde vrijwaringsverklaring aan de externe specialist/uitvoerder. De authenticatiedienst moet aan de dienstafnemer de eis stellen dat de dienstafnemer verantwoordelijkheid neemt voor de informatiebeveiliging van de eigen systemen. De authenticatiedienst moet om voor certificatie of TPM in aanmerking te komen individueel een risicoanalyse uitvoeren en moet daarbij onder meer de Stelselrisicoanalyse als input gebruiken. Op basis van de individuele risicoanalyse selecteert de authenticatiedienst beheersmaatregelen uit de Appendix van de norm IEC/ISO 27001:2005 of formuleert deze maatregelen eventueel zelf. De geselecteerde maatregelen neemt zij op in de Verklaring van Toepasselijkheid (VvT). De authenticatiedienst beargumenteert zijn keuze voor maatregelen of uitsluiting van maatregelen. De beheersmaatregelen uit dit "Gemeenschappelijk Normenkader Informatiebeveiliging eHerkenning" moeten door de authenticatiedienst in hun individuele VvT worden opgenomen. De authenticatiedienst moet het volledige HTTP bericht van binnenkomende communicatie als gevolg van eHerkenning loggen. De authenticatiedienst moet alle uitgaande SAML en XACML berichten loggen. De authenticatiedienst moet logging beveiligd opslaan en moet deze alleen toegankelijk maken voor bevoegde personen. De authenticatiedienst mag logging niet verwijderen. De authenticatiedienst moet logging kunnen inzetten ten behoeve van foutopsporing.
13
Proces Incidentmanagement, Operationeel Handboek
Paragraaf 3.5, Informatiebeveiliging Hoofdstuk 2, Testen voor Deelnemers
Paragraaf 2.7, Proces netwerk onderhouden, Operationeel Handboek
Paragraaf 2.2, Informatiebeveiliging
Paragraaf 3.1, Informatiebeveiliging
Paragraaf 3.1, Informatiebeveiliging
Paragraaf 3.2.1, Informatiebeveiliging
December 2012 Op basis van logging moet de authenticatiedienst in staat zijn om vragen te beantwoorden. De authenticatiedienst draagt zorg voor classificatie van informatie. De authenticatiedienst draagt zorg voor screening van haar medewerkers. Rechten De authenticatiedienst verkrijgt het recht binnen het netwerk voor eHerkenning voor eigen rekening en risico herkenningsdiensten aan te bieden en de rol(len) te vervullen waarvoor hij de toetredingsprocedure met goed gevolg heeft doorlopen. De authenticatiedienst is, binnen de kaders van het afsprakenstelsel, vrij om zelf met de dienstafnemers in een overeenkomst nadere afspraken te maken over de inhoud en de omvang van hun dienstverlening. De authenticatiedienst dient echter wel altijd de Gebruiksvoorwaarden eHerkenning van toepassing te verklaren tussen hem en de dienstafnemer, maar in de verdere inrichting van haar overeenkomst is zij vrij. De authenticatiedienst kan een wijzigingsverzoek per e-‐mail indienen bij
[email protected]. De melding bestaat minimaal uit de volgende onderdelen: 1. de voorgestelde wijziging 2. reden voor wijziging 3. urgentie van de wijziging De authenticatiedienst kan haar aansprakelijkheid beperken in de overeenkomst die hij sluit met een dienstafnemer. Ten behoeve van de uitwisseling van ervaringen rondom het Service Level van het netwerk mag de beheerder van de authenticatiedienst deelnemen aan een maandelijks overleg dat de beheerorganisatie hiervoor maandelijks organiseert. Indien goed onderling overleg tussen partijen niet tot oplossing van het geschil leidt, kan de authenticatiedienst een klacht voorleggen aan de klachten-‐ en geschillencommissie die is belegd bij de beheerorganisatie zoals geregeld in het afsprakenstelsel. Het is mogelijk om een klacht in te dienen bij de klachten-‐ en geschillencommissie tegen het optreden en de beslissingen van
14
Paragraaf 3.3, Informatiebeveiliging Paragraaf 3.4, Informatiebeveiliging Artikel 2.1 Deelnemersovereenkomst
Paragraaf 3.1, Juridisch Kader
Paragraaf 6.2.2 Operationeel Handboek
Paragraaf 3.4, Juridisch Kader
Paragraaf 3.1, Service Level
Paragraaf 3.2, en Paragraaf 5.13 Juridisch Kader
December 2012 de beheerorganisatie in het kader van de controle en monitoring op de naleving van het afsprakenstelsel. Het recht op een deel van de opbrengst in het geval de compensatieregeling van toepassing is en voor zover de authenticatiedienst haar deel van het betreffende implementatieplan wel goed naleeft. De authenticatiedienst is te allen tijde gerechtigd de Deelnemersovereenkomst tussentijds schriftelijk te beëindigen met inachtneming van een opzegtermijn van twee kalendermaanden. Tegen de beslissing van de beheerorganisatie of de minister van EZ tot het opleggen van een of meer sancties staat beroep open bij de bevoegde civiele rechter.
15
Paragraaf 5.8.1 Juridisch Kader
Artikel 5.1 Deelnemersovereenkomst en Proces Uittreding, Operationeel handboek Paragraaf 5.12, en 5.13 Juridisch Kader