Om «CTRL – kasse- og betalingsløsninger»
«CTRL – kasse- og betalingsløsninger» er en leverandør-, teknologi- og tjenestenøytral bransjenorm, etablert av en rekke bransjeaktører i regi av IKT-Norge. Normen stiller krav til leverandører og utviklere av betalingsløsninger. Leverandørene (se nederst) forplikter seg til følgende:
Om normen
«CTRL – kasse- og betalingsløsninger» er ment å være en lavterskel-tilnærming for å ved hjelp av lett verifiserbare parametere identifisere leverandører og tjenester som har tilstrekkelig kompetanse om, og tilfredsstiller et viktig sett av minimumskrav i forbindelse med utvikling, produksjon og bruk av betalingsløsninger i tråd med norsk regulering på området. Den skal være:
- For sluttbrukere
- For ikke-teknikere
- For IT-sjef/IT-ansvarlig
- For beslutningstakere
- Teknologinøytral
- Leverandørnøytral
- En sikkerhet for at leverandøren holder et nødvendig minimumsnivå
Kunder som ønsker å anskaffe eller få utviklet og drifte kasseløsninger skal kunne fokusere på egne behov i henhold til funksjonalitet, egenskaper og kvaliteter ved løsningene uten å trenge egen kompetanse til å analysere om og hvordan løsningene fungerer i tråd med relevant norsk regulering. Tilsvarende gjelder for sluttbrukere som ønsker å ta i bruk betalingsløsninger.
Bakgrunn
Markedet er preget av stor bredde av tjenester og brukersteder. Bransjen ønsker å gjøre det lettere å orientere seg i markedet. Endringer i lovverket skjer ofte, denne normen vil alltid være i tråd med det gjeldende lovverket på området.
Generelle krav til løsningen/leverandøren
1. Leverandøren har tydelig informasjon om hvordan man korrigerer data i tråd med lovverket.
2. Brukerfunksjonalitet som ikke muliggjør sletting av data.
3. Arkivering av data som ivaretar lovens krav til sikring:
- Lagring av data/datasenter
- Sikring av data
- Tilgang til data
- Rutiner for identifisering og styring av tilgang både fra leverandør og myndighetspersoner med rettmessig krav til tilgang.
4. Levert løsning ivaretar norske lovkrav til sporbarhet/logging.
5. Leverandøren har:
- Relevant brukerfunksjonalitet er tilgjengelig for kunden
- Komplett funksjonsliste
- Relevant systemdokumentasjon
6. Leverandøren tilgjengeliggjør brukerfunksjonalitet som ivaretar påbudte og forbudte funksjoner.
7. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar for oppgraderinger som følge av lov- og forskriftsendringer.
8. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar sikring av data.
9. Leverandøren har rutiner for at kunden vil bli orientert innen rimelig tid om endringer i systemer som følge av endringer i relevant lovverk (knyttet til løsningen og endringer som kreves som følge av lovkrav).
10. Leverandøren tilbyr service- og vedlikeholdsavtale.
11. Leverandøren tilbyr oppgradering som følge av endrede lovkrav innenfor avtaleperioden.
12. Leverandøren følger relevante standarder som f.eks SAF-T – og eventuelt gjeldende krypteringsstandardarder.
13. Leverandøren tilbyr opplæring/kurs i sine systemer og løsninger.
14. Leverandøren forplikter seg til å holde systemer som tilbys i markedet oppdatert ift. gjeldende lovverk som f.eks:
- Gjeldende personvernlover- og regler
- Gjeldende lovverk om universell utforming
15. Leverandøren forplikter seg til at ansatte som kommer i kontakt med kundens data har signert dekkende taushetserklæring.
16. Leverandøren har rutiner for å verifisere at systemet følger lover og regler etter oppdateringer.