ID-porten leverandøravtale - Samarbeidsportalen

Download Report

Transcript ID-porten leverandøravtale - Samarbeidsportalen

ID-porten leverandøravtale
- Vilkår for integrasjon
mellom
------------(heretter kalt Leverandør)
og
Direktoratet for forvaltning og IKT (Difi)
(heretter kalt Difi)
Vilkår for integrasjon mot ID-porten
5.januar 2012
1
Innholdsfortegnelse
1
Innledende bestemmelser ........................................................................................................ 3
1.1
Bakgrunn og formål........................................................................................................... 3
1.2
Virksomheter som kan knytte seg til ID-porten .................................................................. 3
1.3
Bilag til avtalen.................................................................................................................. 3
2
Samarbeid ............................................................................................................................... 4
2.1
Kontaktpunkt og kontaktpersoner...................................................................................... 4
2.2
Samarbeidsportal .............................................................................................................. 4
2.3
Samarbeidsforum ............................................................................................................. 4
2.3.1
Leverandørforum ....................................................................................................... 4
2.3.2
Øvrige samarbeidsforum for tjenesteeiere ................................................................. 5
2.4
3
Designguide og informasjonsmateriell............................................................................... 5
Vilkår for leverandørens integrasjon mot ID-porten .................................................................. 6
3.1
Vedrørende integrasjon .................................................................................................... 6
3.2
Aktiviteter for integrasjon mot ID-porten ............................................................................ 6
3.2.1
Planlegging ................................................................................................................ 6
3.2.2
Gjennomføring, testing og produksjonssetting ........................................................... 6
3.3
Beskrivelse av testmiljø .................................................................................................... 6
3.4
Endringer .......................................................................................................................... 7
4
Taushetsplikt............................................................................................................................ 7
5
Vederlag .................................................................................................................................. 7
6
Avvikssituasjoner ..................................................................................................................... 8
7
Mislighold................................................................................................................................. 8
8
Varighet og oppsigelse av avtalen ........................................................................................... 8
9
Rettsvalg og tvisteløsning ........................................................................................................ 8
10
Kontaktpunkt ........................................................................................................................ 9
11
Ikrafttredelse – Partenes underskrifter ................................................................................ 10
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 2
1 Innledende bestemmelser
1.1 Bakgrunn og formål
ID-porten er ei felles påloggingsløysing for det offentlige. ID-porten er et samlebegrep for offentlig
sektors felleskomponenter for identitetsforvaltning og bruk av elektronisk ID.
Denne avtalen regulerer vilkår for leverandører og underleverandører som på vegne av sine
kunder integrerer seg mot ID-porten/MinID.
Integrasjon mot ID-porten skal bare gjøres på vegne av kunder som Difi har avtale med. Kundene
blir videre omtalt som Tjenesteeiere. Leverandør kan klargjøre integrasjon mot sine produkter og
tjenester i forkant av kundeforholdet med Tjenesteeiere, men ikke produksjonssette løsningen før
Kunden har underteinet en Samarbeidsavtale om bruk av ID-porten med Difi.
Leverandører som inngår denne avtalen er underleverandør til en eller flere Tjenesteeiere og har
ikke et kundeforhold til Difi. Krav og vilkår for integrasjon er nærmere beskrevet i Tilslutningsguide
mot ID-porten, bilag 1
1.2 Virksomheter som kan knytte seg til ID-porten
Følgende virksomheter kan knytte seg til ID-porten:
Offentlig virksomhet og virksomheter som utfører oppgaver på vegne av, og som helt eller delvis er
finansiert av, det offentlige. Dette omfatter blant annet alle sentrale og lokale statlige organer,
herunder tilsyn, ombud og direktorater, alle fylkeskommuner, kommuner og kommunale etater,
samt offentlig eide selskaper som bare leverer tjenester til det offentlige (egenregi). I tillegg
omfattes private virksomheter som treffer vedtak etter forvaltningsloven og private virksomheter
som yter tjenester etter avtale med og på vegne av det offentlige, men da begrenset til den delen
av virksomheten som omfattes av forvaltningsloven eller utføres på vegne av det offentlige.
Statsaksjeselskaper og offentlig eide virksomheter som helt eller delvis driver i konkurranse med
private virksomheter kan ikke benytte ID-portens tjenester, med mindre de treffer vedtak etter
forvaltningsloven eller utfører oppgaver på vegne av, og helt eller delvis finansiert av det offentlige,
men da begrenset til den delen av virksomheten som omfattes av forvaltningsloven eller utføres på
vegne av det offentlige.
Det skal også være mulig å knytte til andre virksomheter eller utøvere av aktiviteter, som ikke faller
direkte inn under avgrensningene ovenfor, men som likevel må anses som offentlig virksomhet.
Offentlig virksomhet må i denne sammenheng avgrenses mot virksomhet som anses som
ervervsvirksomhet i henhold til konkurranse- og statsstøtteregelverket. Relevante momenter i
denne vurderingen vil blant annet være om virksomheten faller inn under forvaltningslovens
og/eller offentlighetslovens virkeområde, om de aktuelle tjenester utøves i allmennhetens
interesse, om tjenestene tilbys i konkurranse med private aktører, om det offentlige helt eller delvis
finansierer tjenestene, og om det tas betalt for tjenestene fra Sluttbrukerne utover det som er
nødvendig for dekning av utøverens kostnader.
Det er Difi som avgjør om en virksomhet kan knytte seg til ID-porten.
1.3 Bilag til avtalen
Bilag 1
Tilslutningsguide mot ID-porten
Bilag 2
Designguide for ID-porten
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 3
2 Samarbeid
2.1 Kontaktpunkt og kontaktpersoner
Leverandør skal ved inngåelse av denne avtalen fremlegge kontaktinformasjon om følgende
personer og funksjoner:
Integrasjons- og sikkerhetsansvarlig
Kontaktinformasjon for en eller flere ansvarlige personer som Difi kan kontakte for håndtering av
tekniske forhold, sikkerhetsmessige forhold og ved feilsituasjoner knyttet til leverandørens
integrasjoner mot ID-porten. Kontaktinformasjon til stedfortredere skal også oppgis.
Kontaktperson for avtalen
Vedkommende som signerer denne avtalen er angitt som mottaker for henvendelser vedrørende
avtalen. Endring av kontaktperson skal varsles skriftlig til Difi sin kontaktperson.
Difi vil ha tilsvarende kontaktpersoner og kontaktpunkt.
2.2 Samarbeidsportal
Ved inngåelse av denne avtalen får Leverandør tilgang til Samarbeidsportalen - en portalløsning
for å kommunisere og dele informasjon knyttet til samarbeidet rundt ID-porten.
Difi forvalter og drifter Samarbeidsportalen, og Samarbeidsportalen er den primære
informasjonskilden fra Difi. Difi tildeler Leverandør nødvendig tilgangsnivå på Samarbeidsportalen.
Samarbeidsportalen inneholder blant annet oppdatert teknisk dokumentasjon, generelt avtaleverk,
bakgrunnsinformasjon, kontaktinformasjon, driftsinformasjon, møteinnkallinger og -referater og
relevante rapporter.
Leverandør er ansvarlig for å holde egen kontaktinformasjon på Samarbeidsportalen oppdatert til
enhver tid.
2.3 Samarbeidsforum
Difi har i forbindelse med ID-porten etablert flere samarbeidsorgan. Tjenesteeiere som benytter IDporten har muligheten til å påvirke utviklingen av ID-porten gjennom å delta i de ulike
samarbeidsorganene som er opprettet i forbindelse med ID-porten.
2.3.1 Leverandørforum
Leverandørforum er en samarbeids- og informasjonsarena mellom Leverandører og forvaltning av
ID-porten. Difi vil benytte forumet til generell informasjonsutveksling, informere om retningslinjer,
strategier, tekniske løsninger, diskuterer felles utfordringer, bruksområder og behov.
Difi ønsker å utvikle et godt og konstruktivt samarbeid med alle våre leverandører og
samarbeidsparter. Vi ønsker gjennom dette forumet å fremme eforvalting og bruk av ID-porten i
offentlig sektor.
Fra Difi deltar forvalting, teknisk utvikling og support, samt sikkerhetspersonell. Normalt arrangeres
møte i Leverandørforum én gang per år. Difi leder møtene møte og fører referater. Innkalling til
møter skal gjøres i god tid. Leverandører kan melde inn saker de ønsker vi skal drøfte.
Kostnader knyttet til deltagelse i møter må dekkes av den enkelte Leverandør.
Møteinnkallinger, referat og presentasjoner tilgjengeliggjøres på Samarbeidsportalen.
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 4
2.3.2 Øvrige samarbeidsforum for tjenesteeiere
Styringsrådet er et rådgivende organ for Difi og skal behandle saker av viktighet vedrørende IDporten, herunder tilknytning av nye eID-er, utvikling av ny funksjonalitet og avtaleendringer.
Styringsrådet velges for 2 år av gangen og møtes minimum to ganger i året. Styringsrådet skal
bestå av 8-10 deltakere utpekt av Difi. Deltakerne skal utgjøre et representativt utvalg av ulike
typer Tjenesteeiere.
Brukerrådet er et saksforberedende organ til Styringsrådet og et rådgivende organ for Difi.
Brukerrådet skal diskutere status, endringsønsker og videreutviklingsprosjekter for ID-porten samt
annet av relevans for forholdet mellom Tjenesteeierne og ID-porten.
Deltakelse i Brukerrådet er i utgangspunktet åpen for alle Tjenesteeiere, men Difi har mulighet til å
begrense antall deltakere. Difi kan også bestemme at deltakelse skal skje ved et
representasjonsregime dersom antall deltakere blir for stort.
Difi har ansvar for at Brukerrådet fungerer som et saksforberedende organ og skal sørge for god
saksforberedelse i forkant av møtene. Alle Tjenesteeiere kan foreslå saker til behandling i
Brukerrådet.
Integrasjons- og sikkerhetsforum skal bidra til å holde integrasjonsansvarlig hos Tjenesteeierne
oppdatert på de tekniske løsningene i ID-porten, gi tilbakemeldinger på integrasjonsveiledninger og
retningslinjer fra Difi, adressere og diskuterer felles sikkerhetsutfordringer med mer.
Deltakelse i Integrasjons og sikkerhetsforum er åpen for alle Tjenesteeiere, men Difi har mulighet
til å begrense antall deltakere. Tjenesteeiere som ønsker det kan og invitere med sine Leverandør.
Ved behov kan eID-leverandører som har avtale med Difi om tilknytning til ID-porten inviteres til å
delta på møter i Integrasjons- og sikkerhetsforum.
Fra Difi deltar teknisk utvikling, teknisk support og sikkerhetspersonell. Normalt arrangeres møte i
Integrasjons- og sikkerhetsforum én gang per år. Ved implementering av større endringer kan det
være aktuelt å avholde hyppigere møter.
2.4 Designguide og informasjonsmateriell
Målet med ID-porten er å forenkle innlogging og gjøre denne helhetlig og universell.
For å ivareta brukervennlighet, universell utforming og sikkerheten til brukerne av ID-porten/MinID,
er det viktig at den visuelle presentasjonen og grensesnittet skaper tillit. Med en felles designguide
for ID-porten/MinID ønsker Difi å skape en fellesforståelse for hvordan dette kan oppnås.
Designguiden er laget som en veiledning. Den griper ikke inn i den enkelte Tjenesteeier sitt valg av
farger, fonter og annen layout. Designguiden er laget som en retningsgiver for Tjenesteeier og
Leverandører under implementasjon av ID-porten/MinID på den enkelte Tjenesteeier nettside.

Designguide og grafiske element for ID-porten/MinID:
http://www.difi.no/artikkel/2011/05/informasjonsmateriell

Informasjonssider for ID-porten/MinID:
www.difi.no/elektronisk-id

Hjelp og brukerstøtte:
http://www.eid.difi.no/
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 5
3 Vilkår for leverandørens integrasjon mot ID-porten
3.1 Vedrørende integrasjon
Kunder av Leverandør som ønsker å integreres mot ID-porten må inngå Samarbeidsavtale om
bruk av ID-porten med Difi. Kunden blir etter slik avtaleinngåelse regnet som Tjenesteeier i IDporten. Leverandør skal minimum opprette en integrasjon per Tjenesteeier.
Leverandør skal følge integrasjonskrav og etablerte standarder som er fastsatt av Difi og beskrevet
i bilag 1. Leverandør må stille med nødvendig kompetanse for å gjennomføre eget arbeid i
forbindelse med integrasjonen mot ID-porten og må dekke egne kostnader. Difi har ingen
økonomiske forpliktelser overfor Leverandør.
3.2 Aktiviteter for integrasjon mot ID-porten
3.2.1 Planlegging
I forbindelse med integrasjon av nye Tjenesteeiere, skal Difi og Leverandør planlegge
gjennomføringen av integrasjon(er) mot ID-porten.
Leverandør må gjøre Tjenesteeiere oppmerksomme på at Tjenesteeiere skal signere
Samarbeidsavtale med Difi før integrasjonsarbeidet starter.
3.2.2 Gjennomføring, testing og produksjonssetting
Leverandør skal følge krav som er fastsatt av Difi for integrasjon mot ID-porten, se bilag 1.
Leverandør må ha et testmiljø som kan knyttes opp mot ID-portens verifikasjonsmiljø.
Tjenester som skal beskyttes av ID-porten må gå gjennom et verifikasjonsløp før tjenesten kan
settes i produksjon. Leverandør skal føderere en testbasert versjon av sin tjeneste med et av Difi
sine testmiljø.
Leverandør må skaffe til veie testbrukere som kan brukes til gjennomgående testing mellom eIDleverandørene tilknyttet ID-porten, ID-porten og Tjenesteeiers tjenester. Det er et krav at det
benyttes fiktive testbrukere. Det skal fremlegges dokumentasjon på gjennomførte tester. Difi skal gi
tilbakemelding på om dokumentasjonen er tilstrekkelig for å godtgjøre at integrasjonen kan
gjennomføres.
Difi skal godkjenne gjennomført test før tjenesten kan settes i produksjon. Difis testmiljø er
beskrevet i punkt 3.3
Når Difi har godkjent at Leverandør har utført testing i henhold til retningslinjene, skal Difi og
Leverandør fastsette en dato for når Tjenesteeier skal integreres mot produksjonsmiljøet til IDporten. Leverandør må verifisere at tjenesten fungerer tilfredsstillende i produksjon.
3.3 Beskrivelse av testmiljø
Difi har tre testmiljøer tilgjengelig for Tjenesteeiere/Leverandører, ”Verifikasjon 1”, ”Verifikasjon 2”
og ”Ytelsestest”. Miljøene er beregnet til funksjonell testing av integrasjonen. Dersom
Leverandør/Tjenesteeier trenger å gjennomføre sikkerhets-/penetrasjonstest eller driftstester
(ytelse, stabilitet, stresstest) som inkluderer ID-porten, må det avtales nærmere med Difi hvilke(t)
miljø som kan benyttes, og tidspunkt for testperiode.
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 6
Verifikasjon 1: Verifikasjon 1 skal benyttes av Tjenesteeiere/Leverandører som skal integrere seg
mot ID-porten og kan også benyttes til feilsøking i etablerte integrasjoner.
Dette miljøet har samme versjon av ID-porten som produksjonsløsningen. Når en ny versjon av IDporten er satt i produksjon vil dette miljøet bli oppgradert tilsvarende.
Verifikasjon 2: Dette miljøet blir brukt til testing av nye releaser av ID-porten. Dette miljøet kan
benyttes til å teste tjenester som er planlagt frem i tid. Ved oppgradering av miljøet til nye releaser
kan Difi stenge tilgangen i en kortere periode (1-2 dager). Dette blir varslet i forkant på
Samarbeidsportalen.
Når ID-porten oppgraderes skal Tjenesteeier/Leverandør teste sine eksisterende integrasjoner mot
ny versjon i dette testmiljøet før den settes i produksjon.
Ytelsestest: Dette miljøet skal benyttes for å utføre test av ytelse, stresstest og stabilitetstest, og
vil være tilgjengelig for Tjenesteeier/Leverandør etter avtale. Miljøet er installert på dedikert
hardware og er et nedskalert miljø i forhold til produksjon.
3.4 Endringer
Dersom Difi gjennomfører endringer som vil påvirke Leverandørs integrasjoner mot ID-porten skal
Difi varsle Leverandør i god tid. Partene skal i fellesskap planlegge hvordan endringene skal
implementeres.
Dersom Leverandør etter avtalens inngåelse planlegger endringer i egne systemer som vil påvirke
integrasjonen mot ID-porten, skal Difi varsles i god tid. Partene skal i fellesskap planlegge hvordan
endringene skal implementeres med sikte på minst mulig belastning og forstyrrelse for ID-porten.
Leverandør må stille med nødvendig kompetanse for å gjennomføre eget arbeid i forbindelse med
tilpasningene i integrasjonen mot ID-porten. Difi er ikke økonomisk ansvarlig for kostnader som
påløper ved endringer i Leverandørs eller Tjenesteeiers egne systemer.
4 Taushetsplikt
Forvaltningslovens (10. februar 1967) taushetspliktbestemmelser kommer til anvendelse for Difi,
Tjenesteeier og eventuelle underleverandører partene benytter.
Partene, og eventuelle underleverandører, skal ta nødvendige forhåndsregler for å sikre at
uvedkommende ikke får innsyn i eller kan bli kjent med taushetsbelagt materiale eller informasjon.
Om nødvendig skal det undertegnes taushetserklæring. Det skal i tilfelle angis hvilke opplysninger
som omfattes av taushetsplikten og hvordan den skal ivaretas.
Taushetsplikten gjelder også etter avtalens opphør. Ansatte eller andre som fratrer sin tjeneste hos
en av partene eller underleverandør, skal pålegges å bevare taushet om forhold som er nevnt
ovenfor også etter fratredelsen.
5 Vederlag
Løsningen innebærer ingen tilkoblingskostander eller transaksjonskostnader for bruk mellom
Leverandør og Difi. Tjenesteeiers økonomiske forpliktelser til Leverandør må reguleres i avtaler
mellom partene, og er ikke en del av denne avtalen
Leverandør må selv dekke egne kostnader forbundet med integrasjoner mot ID-porten.
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 7
6 Avvikssituasjoner
Avvikssituasjoner er tilfeller der det som følge av feil eller andre ikke-planlagte hendelser oppstår
et avvik i forhold til avtalte krav i denne avtalen.
Difi skal uten ugrunnet opphold gi Leverandør opplysninger om hendelser knyttet til ID-porten, som
kan være av betydning for å unngå feilsituasjoner, driftsstans og tap hos Leverandør. Tilsvarende
gjelder når det er fare for at hendelser kan inntreffe, herunder forhold som truer
informasjonssikkerheten med hensyn til konfidensialitet, integritet og sikkerhet.
Leverandør skal uten ugrunnet opphold informere Difi om avviks- og feilsituasjoner og andre
hendelser i tilknytning til integrasjoner mot ID-porten.
Dersom det oppstår en alvorlig feil i en tjeneste som er integrert eller i selve integrasjonen mot IDporten, kan Difi deaktivere tjenesten fra ID-porten inntil Leverandør/Tjenesteeier har dokumentert
overfor Difi at feilen er utbedret.
Ved avvikssituasjoner eller kritiske hendelser knyttet til ID-porten skal Difi håndtere informasjon
mot sluttbrukere og presse med mindre partene avtaler noe annet for det enkelte tilfellet.
7 Mislighold
Mislighold av denne avtalen gir ikke grunnlag for erstatnings- eller refusjonskrav mellom partene.
Ved vesentlig mislighold som innebærer en sikkerhetsrisiko for ID-porten, kan Difi deaktivere de
berørte tjenestene som er integrerte mot ID-porten inntil forholdet er rettet.
8 Varighet og oppsigelse av avtalen
Avtalen varer til den blir sagt opp eller det inntrer forhold som nødvendiggjør en revidering av
avtalen om ny avtaleinngåelse. Difi kan varsle om ny avtaleinngåelse med 3 måneders varsel.
Leverandør kan si opp denne avtalen med 3 måneders skriftlig varsel.
9 Rettsvalg og tvisteløsning
Eventuelle konflikter eller uenigheter mellom partene knyttet til samarbeidet skal søkes løst
gjennom dialog mellom partene.
Dersom situasjonen ikke blir avklart ved dialog mellom partene innen rimelig tid, kan søksmål
reises for de alminnelige domstoler. Difis verneting vedtas som rett verneting.
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 8
10 Kontaktpunkt
ID-porten/MinID forvaltning
E-post:
[email protected]
Telefon:
957 36 103
Åpningstid:
08.00 – 15.45
08.00 – 15.00 (sommertid)
Vakttelefon 24/7:
957 36 102
NB! Kun ved kritiske hendelser
ID-porten/MinID brukerstøtte
E-post:
[email protected]
Telefon:
800 30 300
Åpningstid:
08.00 – 17:00
08.00 – 15.00 (sommertid)
Hos Leverandøren:
Rolle
Navn
E-post
Telefon
*Avtaleansvarlig
*Integrasjon
BRUK BLOKKBOKSTAVER
* Må fylles ut
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 9
11 Ikrafttredelse – Partenes underskrifter
Denne avtalen trer i kraft fra det tidspunkt den er signert av begge parter.
Avtalen er utstedt i 2 eksemplarer, hvorav hver part beholder ett eksemplar.
Direktoratet for forvaltning og IKT (Difi)
______________________
Navn
Navn (BLOKKBOKSTAVER)
Tittel
Tittel
Sted/Dato
Sted/Dato
Vilkår for integrasjon mot ID-porten
5.januar 2012
Side 10