Om «CTRL – kasse- og betalingsløsninger»

 

«CTRL – kasse- og betalingsløsninger» er en leverandør-, teknologi- og tjenestenøytral bransjenorm, etablert av en rekke bransjeaktører i regi av IKT-Norge. Normen stiller krav til leverandører og utviklere av betalingsløsninger. Leverandørene (se nederst) forplikter seg til følgende:

Om normen

 

«CTRL – kasse- og betalingsløsninger» er ment å være en lavterskel-tilnærming for å ved hjelp av lett verifiserbare parametere identifisere leverandører og tjenester som har tilstrekkelig kompetanse om, og tilfredsstiller et viktig sett av minimumskrav i forbindelse med utvikling, produksjon og bruk av betalingsløsninger i tråd med norsk regulering på området. Den skal være:

  • For sluttbrukere
  • For ikke-teknikere
  • For IT-sjef/IT-ansvarlig
  • For beslutningstakere
  • Teknologinøytral
  • Leverandørnøytral
  • En sikkerhet for at leverandøren holder et nødvendig minimumsnivå

Kunder som ønsker å anskaffe eller få utviklet og drifte kasseløsninger skal kunne fokusere på egne behov i henhold til funksjonalitet, egenskaper og kvaliteter ved løsningene uten å trenge egen kompetanse til å analysere om og hvordan løsningene fungerer  i tråd med relevant norsk regulering. Tilsvarende gjelder for sluttbrukere som ønsker å ta i bruk betalingsløsninger.

Bakgrunn

 

Markedet er preget av stor bredde av tjenester og brukersteder. Bransjen ønsker å gjøre det lettere å orientere seg i markedet. Endringer i lovverket er under arbeid, og denne normen vil være i tråd med det nåværende forslaget og det endelige lovverket når dette foreligger.

 

Generelle krav til løsningen/leverandøren

 

1. Leverandøren har tydelig informasjon om hvordan man korrigerer data i tråd med lovverket.

2. Brukerfunksjonalitet som ikke muliggjør sletting av data.

3. Arkivering av data som ivaretar lovens krav til sikring:

  • Lagring av data/datasenter
  • Sikring av data
  • Tilgang til data
  • Rutiner for identifisering og styring av tilgang både fra leverandør og myndighetspersoner med rettmessig krav til tilgang.

4. Levert løsning ivaretar norske lovkrav til sporbarhet/logging.

5. Leverandøren har:

  • Relevant brukerfunksjonalitet er tilgjengelig for kunden
  • Komplett funksjonsliste
  • Relevant systemdokumentasjon

6. Leverandøren tilgjengeliggjør brukerfunksjonalitet som  ivaretar påbudte og forbudte funksjoner.

7. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar for oppgraderinger som følge av lov- og forskriftsendringer.

8. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar sikring av data.

9. Leverandøren har rutiner for at kunden vil bli orientert innen rimelig tid om endringer i systemer som følge av endringer  i relevant lovverk (knyttet til løsningen og endringer som kreves som følge av lovkrav).

10. Leverandøren tilbyr  service- og vedlikeholdsavtale.

11. Leverandøren tilbyr oppgradering som følge av endrede lovkrav innenfor avtaleperioden.

12. Leverandøren følger relevante standarder som f.eks  SAF-T – og eventuelt gjeldende krypteringsstandardarder.

13. Leverandøren tilbyr opplæring/kurs i sine systemer og løsninger.

14. Leverandøren forplikter seg til å holde systemer som tilbys i markedet oppdatert ift. gjeldende lovverk som f.eks:

15. Leverandøren forplikter seg til at ansatte som kommer i kontakt med kundens data har signert dekkende taushetserklæring.

16. Leverandøren har rutiner for å verifisere at systemet følger lover og regler etter oppdateringer.

 

Følgende aktører og tjenester støtter bransjenormen «CTRL – kasse- og betalingsløsninger»: