Om CTRL – kasse- og betalingsløsninger

 

CTRL – kasse- og betalingsløsninger er en leverandør, teknologi- og tjenestenøytral bransjenorm, etablert av en rekke bransjeaktører i regi av IKT-Norge. Normen stiller krav til leverandører og utviklere av og selve betalingsløsningene. Leverandørene (se nederst) forplikter seg til følgende:

Om normen

 

CTRL – kasse- og betalingsløsninger er ment å være en lavterskel tilnærming for å ved hjelp av lett verifiserbare parametere identifisere leverandører og tjenester som har tilstrekkelig kompetanse om, og tilfredsstiller et viktig sett av minimumskrav i forbindelse med utvikling, produksjon og bruk av betalingsløsninger i tråd med norsk regulering på området. Den skal være:

 

  • for sluttbrukere
  • for ikke-teknikere
  • for it-sjef / it-ansvarlig
  • for beslutningstakere
  • teknologinøytral
  • leverandørnøytral
  • en sikkerhet for at leverandøren holder et nødvendig minimumsnivå

 

Kunder som ønsker å anskaffe eller få utviklet, drifte, etc. og sluttbrukere som ønsker å ta i bruk betalingsløsninger skal kunne fokusere på egne behov i forhold til funksjonalitet, egenskaper og kvaliteter ved løsningene uten å trenge egen kompetanse til å analysere om og hvordan løsningene fungerer  i tråd med relevant norsk regulering.

 

CTRL – kasse- og betalingsløsninger stiller kun krav til tjenesten og evt. involverte aktører, evt. krav til kunden stilles i avtalen som regulerer bruk av de forskjellige tjenestene.

 

Informasjon om CTRL – kasse- og betalingsløsninger, logo, aktører og tjenester som støtter normen og prosedyrer for godkjenning etc. er tilgjengelig på http://ikt-norge.no/ctrl/

 

 

Bakgrunn

 

Markedet er preget av stor bredde av tjenester og brukersteder, bransjen ønsker å gjøre det lettere å orientere seg i markedet, endringer i lovverket under arbeid og denne normen vil være i tråd med det nåværende forslaget og det endelige lovverket når dette foreligger.

 

 

Generelle krav til løsningen/leverandøren:

 

1. Leverandøren har tydelige informasjon om hvordan man korrigerer data i tråd med lovverket.

2. Brukerfunksjonalitet som ikke muliggjør sletting av data

3. Arkivering av data som ivaretar lovens krav til sikring:

  • Lagring av data / datasenter
  • Sikring av data
  • Tilgang til data
  • Rutiner for identifisering og styring av tilgang både fra leverandør og myndighetspersoner med rettmessig krav til tilgang.

4. Levert løsning ivaretar norske lovkrav til sporbarhet/logging

5. Leverandøren har:

  • Relevant brukerfunksjonalitet er tilgjengelig for kunden
  • Komplett funksjonsliste
  • Relevant systemdokumentasjon

6. Leverandøren tilgjengeliggjør brukerfunksjonalitet som  ivaretar påbudte og forbudte funksjoner.

7. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar for oppgraderinger som følge av lov- og forskriftsendringer.

8. Det reguleres i avtalen mellom kunde og leverandør hvem som har ansvar sikring av data

9. Leverandøren har rutiner for at kunden vil bli orientert innen rimelig tid om endringer i systemer som følge av endringer  i relevant lovverk.  (knyttet til løsningen og endringer som kreves som følge av lovkrav.)

10. Leverandøren tilbyr  service- og vedlikeholdsavtale

11. Leverandøren tilbyr oppgradering som følge av endrede lovkrav innenfor avtaleperioden.

12. Leverandøren følger relevante standarder som f.eks  SAF-T – og eventuelt gjeldende krypteringsstandardarder.

13. Leverandøren tilbyr opplæring/kurs i sine systemer og løsninger

14. Leverandøren forplikter seg til å holde systemer som tilbys i markedet oppdatert ift gjeldende lovverk som f.eks

15. Leverandøren forplikter seg til at ansatte som kommer i kontakt med kundens data har signert dekkende taushetserklæring .

16. Leverandøren har gjennomført validering av  Signering/kryptering/ i IKT-Norges validator

17. Leverandøren har rutiner for å verifisere at systemet følger lover og regler etter oppdateringer.