Utfärdardeklaration BankID

Innehavaren av BankID ska kunna känna sig trygg när BankID används och kunna lita på de olika e-tjänster där BankID används. På samma sätt ska e-tjänsten kunna lita på att en elektronisk identifiering eller elektronisk underskrift baserad på ett BankID är utförd av en korrekt identifierad person. För att detta ska vara möjligt måste utfärdande bank identifiera den blivande BankID-innehavaren och leverera BankID enligt högt ställda BankID-gemensamma regler.

BankID-innehavaren måste också ingå ett användaravtal med den utfärdande banken som reglerar ansvar, hantering och användning. En organisation som har en eller flera e-tjänster där BankID kan användas har också tecknat avtal som reglerar hur BankID får användas i deras e-tjänster. Denna information vänder sig främst till innehavare av BankID och organisationer med e-tjänster där BankID kan användas.

Om BankID

Ett antal banker samarbetar kring BankID och utfärdar BankID till sina bankkunder. Ett bankgemensamt regelverk tillser att BankID är en säker produkt för identifiering och underskrift med en garanterad kvalitet oavsett vilken bank som utfärdat BankID. Teknik- och säkerhetslösningen är densamma oavsett utfärdande bank. Det bankägda bolaget Finansiell ID-Teknik BID AB ansvarar för förvaltningen av det bankgemensamma regelverket samt den utveckling, drift och förvaltning av den teknik och infrastruktur som bankerna använder för att leverera BankID-tjänsten. Det finns idag tre olika typer av BankID, som tekniskt fungerar lite olika:

• BankID på fil som används på datorer där BankID lagras i datorn.

• BankID på kort som används på datorer tillsammans med en ansluten kortläsare i vilken ett smartkort med ett BankID sätts in.

• Mobilt BankID som används i mobiltelefoner och surfplattor och där BankID lagras i mobiltelefonen eller surfplattan.

Alla typer av BankID utgör personliga elektroniska ID-handlingar som kan användas för elektronisk identifiering och underskrift. Bankerna och Finansiell ID-Teknik BID AB arbetar kontinuerligt på att vidareutveckla säkerheten kring BankID och genomför de nödvändiga förändringar som krävs för att BankID alltid ska vara en säker produkt som uppfyller de krav som bankerna själva och övriga samhället ställer för säkra e-tjänster.

Ändringar av utfärdardeklarationen

Ändringar av denna Utfärdardeklaration beslutas av produktledningen på Finansiell ID-Teknik AB. Ny version av Utfärdardeklarationen börja gälla 30-dagar efter publicering och gäller fram till 30-dagar efter det nästa Utfärdardeklaration publiceras.

Lagar och regelverk

BankID agerar under flera olika lagar och regelverk, exempelvis:

• BankID regelverket – det bankgemensamma interna regelverket för BankID.

• Tillitsramverk Svensk e-legitimation – BankID uppfyller Tillitsramverket för Svensk e-legitimation som förvaltas av Myndigheten för digital förvaltning (DIGG), enligt tillitsnivå 3.

• BankID uppfyller kraven på Stark kundautentisering och dynamisk koppling i enlighet med de tekniska krav som finns på EU-nivå enligt andra betaltjänstedirektivet (PSD2).

• BankID utgör en så kallad betrodd tjänst enligt eIDAS förordningen från EU. En elektronisk underskrift utförd med BankID utgör en avancerad underskrift enligt förordningen.

• BankID utgör en samhällskritisk infrastruktur i Sverige och faller därmed under nationell lagstiftning för säkerhetsskydd.

Åtagande och ansvar

Utfärdande bank
Utfärdande bank är ansvarig för de BankID banken har utfärdat till sina bankkunder. I det ansvaret ingår bland annat att:

• Utföra en fullgod identitetskontroll av innehavaren enligt reglerna för finansiella institutioner och den bankgemensamma BankID-regelverket.

• Informera innehavaren om användarvillkor kring BankID.

• Teckna avtal med innehavaren om tjänsten BankID.

• Arkivera avtal och bevis på hur identitetskontroll är utförs.

• Verifiera aktuella namnuppgifter mot officiellt register.

• Leverera BankID till innehavaren på ett säkert sätt.

• Ge support till användaren.

• Tillhandahålla möjlighet för BankID-innehavarna att spärra sina BankID.

Innehavare av BankID
Innehavaren av ett BankID måste hantera sin digitala ID-handling på ett säkert sätt och i enlighet med användarvillkoren från banken. I användarvillkoren står bland annat:

• Att ett BankID enbart får förvaras på en dator eller annan enhet som innehavaren har kontroll över och som inte kan användas av andra personer utanför innehavarens kontroll.

• Att hålla lösenord för sitt BankID hemligt och inte anteckna lösenordet på ett sådant sätt eller plats som gör det uppenbart att lösenordet hör samman med användarens BankID.

• Att inte delge sitt BankID eller lösenord till någon annan person.

• Att vid förlust av en dator, en mobil enhet eller ett kort som innehåller ett BankID, snarast kontakta sin bank för att spärra det BankID som berörs.

• Att vid misstanke om att ett lösenord blivit känt av obehörig, spärra det BankID som berörs.

• Att man godkänner att personuppgifter i form av namn och personnummer lämnas över till en e-tjänsten, varje gång man använder sitt BankID hos e-tjänsten.

• Att skaffa ett nytt BankID om man byter för- eller efternamn.

• Att inte använda sitt BankID som led i brottslig verksamhet.

Innehavaren ska också vara observant på motpartens namn som står i BankID-appen/-programmet vid identifiering eller underskrift. Namnet som visas upp ska överensstämma med den e-tjänst eller organisation som man använder sitt BankID hos. Om namnet inte överensstämmer med den organisation man har för avsikt att identifiera sig skriva under hos, är det viktigt att man inte anger sitt lösenord. Avbryt transaktionen och rapportera händelsen till abuse@bankid.com.

Vid underskrift visas den text man skriver under i BankID-programmet. Det är viktigt att användare läser igenom hela texten innan man anger sitt lösenord. Om man inte håller med om texten och inte vill skriva under den ska man avbryta underskriften.

Man ska aldrig använda sitt BankID, bankdosa eller annan identifieringsmetod på uppmaning av någon annan. Om man blir kontaktad av någon som uppger sig vara från banken, polisen eller någon myndighet och ombedd att identifiera sig och använda sitt BankID, så är det ett bedrägeriförsök.

Om man tror att man är utsatt för bedrägeriförsök på något sätt bör man kontakta sin bank eller abuse@bankid.com.

E-tjänst/organisation (förlitande part)
Organisationer som vill använda BankID för identifiering eller underskrift i en e-tjänst måste bli godkänd att få använda BankID i aktuell e-tjänst och skaffa ett avtal med säljande bank, https://www.bankid.com/kontakt/foeretag, alternativt för offentlig sektor att använda valfrihetssystem https://www.bankid.com/offentlig-sektor/kom-igang.

Säljande bank/Finansiell ID-Teknik BID AB bedömer organisationen och den tänkta e-tjänsten innan BankID får börja användas. Säljande bank/Finansiell ID-Teknik BID AB har rätt att neka organisationer rätt att använda BankID och kan även spärra e-tjänster som missköter sig eller inte följer lagar, avtal eller regler.

Organisation blir spärrade att använda BankID om e-tjänsten bedöms:

• strida mot svensk lag, annan författning eller myndighetsföreskrift eller mot eventuella anvisningar.

• utgöra ett bedrägligt beteende mot innehavare av BankID.

• utfärda någon form av ny identifieringsmetod eller identifieringsteknik (så kallad ID-växling).

• missbrukar BankIDs varumärke.

Livscykel för ett BankID

Ansökan och kontroll av identitet
När en bankkund ansöker om ett BankID från sin bank måste banken utföra, eller tidigare ha utfört en fullgod identitetskontroll, enligt reglerna för finansiella institutioner och BankID-regelverket. Om banken redan innan ansökan om BankID har utfört en fullgod identitetskontroll och då givit kunden ett annat identifieringsverktyg exempelvis koddosa, så kan detta identifieringsverktyg användas för att identifiera bankkunden via ett distansförfarande i internetbanken förutsatt att utgivande bank i övrigt har god kundkännedom om användaren.

En förutsättning för att kunna få ett BankID är att den som ansöker har ett svenskt personnummer och är kund i en svensk bank som kan ge ut BankID. Banken ger ansökande information om BankID och användarvillkor för BankID.

Användarvillkoren för BankID måste godkännas av den sökande och banken är skyldig att arkivera den informationen.

Utgivning av BankID
Banken ger användaren anvisningar om hur han/hon ska installera BankID-programmet i datorn, mobiltelefonen eller surfplattan. Banken ansvarar sedan för att uppgifterna i utfärdat BankID överensstämmer med personuppgifterna för den som har ansökt om det, samt att BankID utlämnas till rätt person. Vid utgivningen kan användaren i de flesta fall själv välja lösenord för sitt. För BankID på fil och Mobilt BankID måste lösenordet vara mist sex tecken/siffror, medan det för BankID på kort måste vara minst fyra siffror. Ett lösenord/säkerhetskod får inte vara allt för enkel eller lättgissad. En kontroll mot alltför enkla koder görs och du kan nekas använda den koden.

Kontroll av BankID
En innehavare av BankID kan via sin bank få uppgifter om alla sina BankID. Detta görs enklast via internetbanken. I de flesta internetbanker kan innehavaren se samtliga BankID, alltså även BankID utställda från en annan bank. Det är en viktigt krav på de utfärdande bankerna att innehavarna på ett enkelt sätt ska kunna kontrollera vilka BankID som är utställda till dem. En innehavare kan således ha flera olika BankID och även BankID från olika banker.

Kontroll av utförda transaktioner
En innehavare kan själv se vilka BankID transaktioner som har utförts på sitt personnummer. Detta gör man i BankID programmet under Inställningar > Sitt BankID > Min BankID historik. Efter en identifiering så kan man då se samtliga identifieringar eller underskrifter som man har utfört från samtliga sina BankID och inte bara från den aktuella enheten. För varje transaktion så kan man även se mer detaljerad teknisk information som exempelvis IP-adresser, platsinfo och vilket BankID som används. Det är möjligt att söka bland transaktioner som är upp till fyra år gamla.

Spärr av BankID
Banken erbjuder BankID-innehavarna möjlighet att spärra sina BankID. Enklast görs detta via internetbanken, men om det inte är möjligt kan innehavaren kontakta sin bank på andra sätt. Misstänker en BankID-innehavare att någon annan kommit över ens BankID eller fått kännedom om dess lösenord, är det viktigt att spärra aktuellt BankID. BankID som inte längre används eller som man inte känner igen att man har, bör också spärras. Om man anger felaktigt lösenord mer än fem gånger i rad kommer aktuellt BankID automatiskt att bli spärrat. Vissa BankID-kort kan ha färre försök. Vissa BankID-kort kan också ha en upplåsningskod. Respektive utfärdande bank kan upplysa om detta. Man kan inte ta bort en spärr på ett BankID. Om ett BankID har spärrats så behöver man skaffa ett nytt BankID för att kunna fortsätta använda e-tjänster som nyttjar BankID.

Utgånget BankID
På samma sätt som fysiska ID-handlingar har ett BankID en viss livslängd. När ett BankID har gått ut så går det inte längre att använda och innehavaren måste skaffa ett nytt BankID. Utgivande bank bestämmer hur lång livslängd ett BankID ska ha inom vissa BankID-gemensamma gränser. Ett BankID får maximalt vara giltigt i 5 år, men det är utgivande bank som bestämmer giltighetstiden vid varje utgivning. I BankID-appen/-programmet kan man se hur länge ett BankID är giltigt.

Teknisk lösning

BankID-appen/-programmet
För att kunna använda BankID behöver man först installera en BankID-app eller -program på sin mobiltelefon, surfplatta eller dator. BankID-programmet för datorer installeras från https://install.bankid.com där även instruktioner och anvisningar finns. BankID-appen laddar man ner från App Store, Google Play eller Huawei Mobile Services.

Hämta ett BankID
Efter att BankID-programmet är installerat på din dator, mobiltelefon eller surfplatta, så kan du via din internetbank eller bankkontor skaffa ett BankID på fil till din dator eller Mobilt BankID till din mobiltelefon eller surfplatta.

Har du BankID på kort behöver du ansluta en kortläsare till din dator och sätta in kortet i kortläsaren, efter att du har installerat BankID-programmet.

Behandling av personuppgifter
Utfärdande bank är personuppgiftsansvarig och Finansiell ID-Teknik BID AB personuppgiftsbiträde till respektive bank.

Innehavaren av ett BankID väljer själv vilka e-tjänster eller organisationer han/hon vill använda sitt BankID hos och presenterar sitt namn och personnummer för e-tjänsten vid identifiering och underskrift. E-tjänsten är ansvarig för de personuppgifter som den hanterar.

Mer information om hur personuppgifterna hanteras kan du läsa om i BankIDs integritetspolicy.

Arkivering av information
Utfärdande bank arkiverar ansökan och avtal om BankID enligt tillämpliga lagar, som minst under 10 års tid efter det att ett BankID har gått ut. Finansiell ID-teknik BID AB arkiverar händelser kring användning av BankID under maximalt fem års tid, den information som lagras kring användningen är tillgänglig för användaren enligt 3.3 och 3.4.

Observera att den text som skrivs under med BankID inte sparas någonstans i BankID-infrastrukturen. Den elektroniska underskriften har överlämnats till e-tjänsten och det är e-tjänstens ansvar att lagra underskriften enligt sina lagar och regler.