IKT Norge har utformet CTRL normen som er ment å bistå alle som går til anskaffelse av kasse- og betalingsløsninger. Den leverandør man velger bør forplikte seg til denne normen.
Om CTRL – kasse- og betalingsløsninger
CTRL – kasse- og betalingsløsninger er en leverandør, teknologi- og tjenestenøytral bransjenorm, etablert av en rekke bransjeaktører i regi av IKT-Norge. Normen stiller krav til leverandører og utviklere av og selve betalingsløsningene. Leverandørene (herunder KDR Stavanger) forplikter seg til følgende:
Om normen
CTRL – kasse- og betalingsløsninger er ment å være en lavterskel tilnærming for å ved hjelp av lett verifiserbare parametere identifisere leverandører og tjenester som har tilstrekkelig kompetanse om, og tilfredsstiller et viktig sett av minimumskrav i forbindelse med utvikling, produksjon og bruk av betalingsløsninger i tråd med norsk regulering på området. Den skal være:
- for sluttbrukere
- for ikke-teknikere
- for it-sjef / it-ansvarlig
- for beslutningstakere
- teknologinøytral
- leverandørnøytral
- en sikkerhet for at leverandøren holder et nødvendig minimumsnivå
Kunder som ønsker å anskaffe eller få utviklet, drifte, etc. og sluttbrukere som ønsker å ta i bruk betalingsløsninger skal kunne fokusere på egne behov i forhold til funksjonalitet, egenskaper og kvaliteter ved løsningene uten å trenge egen kompetanse til å analysere om og hvordan løsningene fungerer i tråd med relevant norsk regulering.
CTRL – kasse- og betalingsløsninger stiller kun krav til tjenesten og evt. involverte aktører, evt. krav til kunden stilles i avtalen som regulerer bruk av de forskjellige tjenestene.
Informasjon om CTRL – kasse- og betalingsløsninger, logo, aktører og tjenester som støtter normen og prosedyrer for godkjenning etc. er tilgjengelig på https://ikt-norge.no/ctrl/
Bakgrunn
Markedet er preget av stor bredde av tjenester og brukersteder, bransjen ønsker å gjøre det lettere å orientere seg i markedet, endringer i lovverket under arbeid og denne normen vil være i tråd med det nåværende forslaget og det endelige lovverket når dette foreligger.
Generelle krav til løsningen/leverandøren:
- Leverandøren har tydelige informasjon om hvordan man korrigerer data i tråd med lovverket.
- Brukerfunksjonalitet som ikke muliggjør sletting av data
- Arkivering av data som ivaretar lovens krav til sikring:
- Lagring av data / datasenter
- Sikring av data
- Tilgang til data
- Rutiner for identifisering og styring av tilgang både fra leverandør og myndighetspersoner med rettmessig krav til tilgang.
- Levert løsning ivaretar norske lovkrav til sporbarhet/logging
- Leverandøren har:
- Relevant brukerfunksjonalitet er tilgjengelig for kunden
- Komplett funksjonsliste
- Relevant systemdokumentasjon
- Leverandøren tilgjengeliggjør brukerfunksjonalitet som ivaretar påbudte og forbudte funksjoner.
- Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar for oppgraderinger som følge av lov- og forskriftsendringer.
- Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar sikring av data
- Leverandøren har rutiner for at kunden vil bli orientert innen rimelig tid om endringer i systemer som følge av endringer i relevant lovverk. (knyttet til løsningen og endringer som kreves som følge av lovkrav.)
- Leverandøren tilbyr service- og vedlikeholdsavtale
- Leverandøren tilbyr oppgradering som følge av endrede lovkrav innenfor avtaleperioden.
- Leverandøren følger relevante standarder som f.eks SAF-T – og eventuelt gjeldende krypteringsstandardarder.
- Leverandøren tilbyr opplæring/kurs i sine systemer og løsninger
- Leverandøren forplikter seg til å holde systemer som tilbys i markedet oppdatert ift gjeldende lovverk som f.eks
- Gjeldende personvernlover- og regler.
- Gjeldende lovverk om universell utforming
- Leverandøren forplikter seg til at ansatte som kommer i kontakt med kundens data har signert dekkende taushetserklæring .
- Leverandøren har gjennomført validering av Signering/kryptering/ i IKT-Norges validator
- Leverandøren har rutiner for å verifisere at systemet følger lover og regler etter oppdateringer.