IKT Norge

IKT Norge

IKT Norge har utformet CTRL normen som er ment å bistå alle som går til anskaffelse av kasse- og betalingsløsninger. Den leverandør man velger bør forplikte seg til denne normen.

Om CTRL – kasse- og betalingsløsninger

CTRL – kasse- og betalingsløsninger er en leverandør, teknologi- og tjenestenøytral bransjenorm, etablert av en rekke bransjeaktører i regi av IKT-Norge. Normen stiller krav til leverandører og utviklere av og selve betalingsløsningene. Leverandørene (herunder KDR Stavanger) forplikter seg til følgende:

Om normen

CTRL – kasse- og betalingsløsninger er ment å være en lavterskel tilnærming for å ved hjelp av lett verifiserbare parametere identifisere leverandører og tjenester som har tilstrekkelig kompetanse om, og tilfredsstiller et viktig sett av minimumskrav i forbindelse med utvikling, produksjon og bruk av betalingsløsninger i tråd med norsk regulering på området. Den skal være:

  • for sluttbrukere
  • for ikke-teknikere
  • for it-sjef / it-ansvarlig
  • for beslutningstakere
  • teknologinøytral
  • leverandørnøytral
  • en sikkerhet for at leverandøren holder et nødvendig minimumsnivå

Kunder som ønsker å anskaffe eller få utviklet, drifte, etc. og sluttbrukere som ønsker å ta i bruk betalingsløsninger skal kunne fokusere på egne behov i forhold til funksjonalitet, egenskaper og kvaliteter ved løsningene uten å trenge egen kompetanse til å analysere om og hvordan løsningene fungerer i tråd med relevant norsk regulering.

CTRL – kasse- og betalingsløsninger stiller kun krav til tjenesten og evt. involverte aktører, evt. krav til kunden stilles i avtalen som regulerer bruk av de forskjellige tjenestene.

Informasjon om CTRL – kasse- og betalingsløsninger, logo, aktører og tjenester som støtter normen og prosedyrer for godkjenning etc. er tilgjengelig på http://ikt-norge.no/ctrl/

Bakgrunn

Markedet er preget av stor bredde av tjenester og brukersteder, bransjen ønsker å gjøre det lettere å orientere seg i markedet, endringer i lovverket under arbeid og denne normen vil være i tråd med det nåværende forslaget og det endelige lovverket når dette foreligger.

 Generelle krav til løsningen/leverandøren:

  1. Leverandøren har tydelige informasjon om hvordan man korrigerer data i tråd med lovverket.
  2. Brukerfunksjonalitet som ikke muliggjør sletting av data
  3. Arkivering av data som ivaretar lovens krav til sikring:
  • Lagring av data / datasenter
  • Sikring av data
  • Tilgang til data
  • Rutiner for identifisering og styring av tilgang både fra leverandør og myndighetspersoner med rettmessig krav til tilgang.
  1. Levert løsning ivaretar norske lovkrav til sporbarhet/logging
  2. Leverandøren har:
  • Relevant brukerfunksjonalitet er tilgjengelig for kunden
  • Komplett funksjonsliste
  • Relevant systemdokumentasjon
  1. Leverandøren tilgjengeliggjør brukerfunksjonalitet som  ivaretar påbudte og forbudte funksjoner.
  2. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar for oppgraderinger som følge av lov- og forskriftsendringer.
  3. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar sikring av data
  4. Leverandøren har rutiner for at kunden vil bli orientert innen rimelig tid om endringer i systemer som følge av endringer  i relevant lovverk.  (knyttet til løsningen og endringer som kreves som følge av lovkrav.)
  5. Leverandøren tilbyr  service- og vedlikeholdsavtale
  6. Leverandøren tilbyr oppgradering som følge av endrede lovkrav innenfor avtaleperioden.
  7. Leverandøren følger relevante standarder som f.eks  SAF-T – og eventuelt gjeldende krypteringsstandardarder.
  8. Leverandøren tilbyr opplæring/kurs i sine systemer og løsninger
  9. Leverandøren forplikter seg til å holde systemer som tilbys i markedet oppdatert ift gjeldende lovverk som f.eks
  1. Leverandøren forplikter seg til at ansatte som kommer i kontakt med kundens data har signert dekkende taushetserklæring .
  2. Leverandøren har gjennomført validering av  Signering/kryptering/ i IKT-Norges validator
  3. Leverandøren har rutiner for å verifisere at systemet følger lover og regler etter oppdateringer.