Udkast til WAYFs vilkår for NemLog-in

En Aktør er ved sin brug af NemLog-in gennem WAYF ved sin Tjeneste indforstået med følgende vilkår: [kommentarer i kursiv mellem skarpe parenteser]

  • Definitioner. WAYFs enlige modpart benævnes her “Aktøren”, med brug af Digitaliseringsstyrelsens nomenklatur. Aktøren er en organisation som modtager autentifikationer fra NemLog-in gennem WAYF enten til eget brug i rollen som Tjenesteudbyder eller på vegne af en eller flere Tjenesteudbydere i rollen som Leverandør. En Tjenesteudbyder er en organisation som er ansvarlig for en selvbetjeningsløsning (“Tjenesten”) som stilles til rådighed for slutbrugere. En Leverandør er en organisation som leverer Tjenesten til en eller flere Tjenesteudbydere og er databehandler for hver af dem hvad angår de data som behandles i Tjenesten, herunder de data som modtages i autentifikationer fra NemLog-in gennem WAYF. Hvis Aktøren er Tjenesteudbyder, indtræder Aktøren også i de forpligtelser som vilkårene her pålægger “Tjenesteudbyderen”. Er Aktøren derimod Leverandør, skal Aktøren i sine aftaler med Tjenesteudbyderen pålægge Tjenesteudbyderen de forpligtelser som nærværende vilkår pålægger Tjenesteudbyderen, og skal aftale med Tjenesteudbyderen at de forpligtelser kan ændres hvis WAYF ændrer nærværende vilkår over for Leverandøren. For mange af forpligtelserne vil det være oplagt at Leverandøren aftaler med Tjenesteudbyderen at Leverandøren opfylder forpligtelsen på Tjenesteudbyderens vegne. Mange af kravene i nærværende vilkår og deres fordeling på Leverandør og Tjenesteudbyder er dikteret af Digitaliseringsstyrelsen og formuleres næppe enklere. Benævnelsen “Formidler” refererer til Aktøren hvis Aktøren er Leverandør, ellers til WAYF.
  • Tilslutning. For at få sin tjeneste tilsluttet NemLog-in gennem WAYF skal Aktøren først tilslutte tjenesten til WAYF og være indforstået med vilkårene for deltagelse i WAYF. Aktøren får så adgang til identity provider'en NemLog-in ved derudover at tiltræde nærværende særlige vilkår, som i tilfælde af indbyrdes modsigelser har forrang for de netop omtalte generelle vilkår for deltagelse i WAYF.
  • Kun for offentlige myndigheder. Tjenesteudbyderen indestår for at være omfattet af Bekendtgørelse om tilrådighedsstillelse og anvendelse af MitID-løsningen og NemLog-in for offentlige myndigheder og offentligretlige organer. Autentifikationer fra NemLog-in må alene modtages af offentlige dataansvarlige og må alene benyttes som led i løsning af myndighedsopgaver hos Tjenesteudbyderen. De beføjelser Digitaliseringsstyrelsen har i medfør af Bekendtgørelsen, gælder uanset at autentifikationerne modtages via Formidleren. Beføjelserne kan udmøntes af Digitaliseringsstyrelsen gennem Formidleren.
  • Vederlagsfrihed. Aktørens brug af NemLog-in gennem WAYF sker vederlagsfrit. Autentifikationer til offentlige myndigheder og offentligretlige organer som udfører en myndighedsopgave fra Tjenesten, er nemlig omfattet af fællesoffentlig finansiering.
  • Opkrævningsforbud. Ingen må opkræve gebyr fra slutbrugere for autentifikationer som Aktøren modtager fra NemLog-in.
  • Sikringsniveauer. Tjenesteudbyderen er ansvarlig for at sikre at NSIS-sikringsniveauet i autentifikationssvaret fra NemLog-in er tilstrækkeligt til at dække det konkrete behov i Tjenesten. WAYF leverer dog kun NSIS-sikringsniveauet Betydeligt og garanterer at alle leverede autentifikationssvars NSIS-sikringsniveau er Betydeligt (aldrig Højt eller Lavt). Vejledning og værktøj til fastlæggelse af det for Tjenesten nødvendige NSIS-sikringsniveau findes på Digitaliseringsstyrelsens hjemmeside. [Det er blevet ønsket på erfamøde at WAYF spærrer for Lav, og dét er en oplagt mulighed for at skabe værdi med hubben: lave noget centralt som hver SP så slipper for at implementere. Vi har bevidst heller ikke kommunikeret noget til SP'erne om LoA-tjek fordi vi fra starten af regnede med kun at ville levere Betydeligt. Senere kan og bør vi vænne SP'er til mere generelt at tjekke LoA, men den opgave behøver vi faktisk ikke blande sammen med overgangen til NL3. I alle tilfælde kan vi ikke nu på falderebet komme og bede dem implementere LoA-tjek. Så længe vi har selve hubben til at spørge om Betydeligt, er det også kun logisk det er den der tjekker LoA og blokerer transaktionen hvis LoA er dårligere end hvad den bad NL3 om. Uanset hvad skal brokeren faktisk tjekke LoA ifølge de tekniske vilkår. Keep it simple – to the SPs. That's why we're here.]
  • Afledte identiteter. Hvis Tjenesteudbyderen benytter en autentifikation fra NemLog-in til at etablere en afledt identitet med egen autentifikationsmekanisme, må autentifikationer med en sådan mekanisme ikke fremstilles, omtales eller på anden måde gengives som en autentifikation fra NemLog-in eller en autentifikation fra en af de identifikationsordninger som NemLog-in formidler, herunder MitID. Hverken Digitaliseringsstyrelsen eller WAYF kan på nogen måde gøres ansvarlig for sikkerhed eller andre forhold relateret til en sådan lokal autentifikation. Dét indebærer bl.a. at oplysninger om evt. spærring, suspendering af en slutbrugers identifikationsmiddel eller yderligere forhold om identiteten knyttet til hertil ikke længere har effekt over for Tjenesteudbyderen. Tjenesteudbyderen skal være opmærksom på sikkerhedsaspekterne vedrørende sådanne autentifikationer, herunder at Tjenesteudbyderen er selv ansvarlig og bærer risikoen for sådanne lokale autentifikationers validitet og sikkerhedsmæssige kvalitet. Tjenesteudbyderen skal informere slutbrugere om de nærmere risici knyttet til den pågældende autentifikation, og at autentifikationen ikke har karakter af en autentifikation fra NemLog-in eller et af de identifikationsmidler der er tilgængelige her. Derudover skal fortsat brug af en autentifikation fra NemLog-in efter 8 timer uden re-autentifikation regnes for brug af en afledt identitet.
  • Sessionsvarighed. Tjenesteudbyderen skal lade Tjenesten konfigurere sådan at evt. brugersessioner udløber efter at slutbrugeren har været inaktiv i en periode. Den samlede sessionslængde for en NemLog-in-autentifikation hos Tjenesteudbyderen må maksimalt have en udstrækning på 8 timer, hvorefter slutbrugeren skal re-autentificeres via NemLog-in. Tjenesteudbyderen kan dog forlænge sessionen ud over de 8 timer hvis følgende krav er opfyldt:
    • Slutbrugeren er aktiv under hele sessionen, jf. krav om sessionsafslutning ved inaktivitet.
    • Der foreligger et konkret sagligt forretningsbehov for at den pågældende session skal have en sessionslængde på mere end 8 timer, herunder at formålet med slutbrugerens autentifikation og anvendelse af Tjenesten fortabes hvis sessionen ikke kan opretholdes.
    • Det er ikke muligt med rimelige midler at indrette Tjenesten sådan at forretningsbehovet fortsat kan opfyldes inden for en maksimale sessionslængde på 8 timer.
    WAYF videreformidler enhver login­forespørgsel fra Tjenesten til NemLog-in og har ingen sessionsdata ud over hvad der er nødvendigt for at kunne udføre single logout.
  • Kendetegn. Den visuelle identitet og de designkomponenter der stilles til rådighed for NemLog-in-infrastrukturen, må alene anvendes i forbindelse med Autentifikation via NemLog-in. Det er ikke tilladt for Tjenesteudbyderen at anvende disse til understøttelse af egne eller tredjeparts services. Tjenesteudbyderen er forpligtet til at overholde de gældende regler for brug af NemLog-ins og MitIDs kendetegn (herefter blot kendetegn), herunder navne, logoer og domænenavne samt øvrigt materiale med tilknytning til Digitaliseringsstyrelsens og Finans Danmarks samarbejde om MitID. Retningslinjer for UX/UI og kommunikation relateret til NemLog-in og MitID fremgår af Digitaliseringsstyrelsens Tjenesteudbydersite. Tjenesteudbyderen har en brugsret til kendetegn og er forpligtet til at anvende disse kendetegn i forbindelse med at der tilbydes Autentifikation via NemLog-in-løsningen, og markedsføring heraf. Retningslinjerne kan ændres, og kendetegn kan ændres helt eller delvist. Tjenesteudbyderen er forpligtet til løbende at holde sig opdateret herom og opfylde de til enhver tid gældende retningslinjer. Tjenesteudbyderen er ved ophør af brug af NemLog-in forpligtet til at fjerne enhver henvisning til kendetegn og ophøre med brugen heraf medmindre anden aftale indgås med en rettighedshaver.
  • Spærring. hver Tjenesteudbyders adgang til NemLog-in kan spærres af Formidleren hvis Tjenesteudbyderen i væsentligt omfang ikke opfylder nærværende krav til Tjenesteudbyderen, eller hvis hver Tjenesteudbyders adfærd i øvrigt udgør en sikkerhedsrisiko eller Tjenesteudbyderen udviser en adfærd der i væsentligt omfang påvirker eller er egnet til at påvirke slutbrugernes opfattelse af NemLog-in og tilknyttede løsninger, herunder MitID-løsningen, negativt. Formidleren er i øvrigt berettiget til at videreføre en spærring fra Digitaliseringsstyrelsen, herunder spærringer der er begrundet i væsentlige sikkerhedsmæssige grunde. WAYF kan derudover spærre Aktørens adgang til NemLog-in hvis Aktøren handler i strid med nærværende vilkår eller WAYFs generelle vilkår for tjenestetilslutning.
  • Dataansvar og hjemmel. Tjenesteudbyderen er dataansvarlig for de personhenførbare oplysninger som Tjenesteudbyderen indhenter i autentifikationsbilletterne fra NemLog-in gennem WAYF, som selv er dataansvarlig efter sin modtagelse af hver tilsvarende autentifikationsbillet fra Digitaliseringsstyrelsen. Formålet med WAYFs videregivelse af autentifikationsbilletterne til Tjenesteudbyderen er at sikre at slutbrugerne kan identificere sig sikkert over for Tjenesten. Tjenesteudbyderen må ikke bruge autentifikationer fra NemLog-in på anden måde eller til andre formål end hvad der følger af lov om MitID og NemLog-in, medmindre Tjenesteudbyderen har et selvstændigt hjemmelsgrundlag for behandlingen.
  • Databehandleraftale. Hvis Aktøren er Leverandør, skal Aktøren med Tjenesteudbyderen indgå en databehandleraftale som opregner hvilke af følgende oplysninger Aktøren modtager fra NemLog-in gennem WAYF og dermed behandler på vegne af Tjenesteudbyderen:
    • Navn og CPR-nummer (hvis CPR-nummer er registreret)
    • E-mailadresse (erhvervsbrugere)
    • Pseudonym (erhvervsbrugere)
    • PID og RID
    • CVR-nummer (erhvervsbrugere)
    • Sikringsniveau
    • NemLog-in-identifikationsnummer på den elektroniske identitet (UUUID)
  • Formidlingsforbud. Der må ikke på grundlag af autentifikationer som Aktøren modtager fra NemLog-in, ske udstedelse, omveksling eller signering af security tokens eller lignende. Aktøren må således ikke over for andre organisationer eller personer agere som “trusted third party” eller på anden måde indestå for den autentificerede identitet. [I det mindste i første omgang tilslutter vi ikke selv brokere – det forenkler vilkårene meget.]
  • Single sign-on. Tjenesten kun kan opnå single sign-on med andre tjenester i NemLog-in-føderationen hvis Aktøren hos WAYF har registreret en single logout-URL; WAYFs kald heraf med en logout-forespørgsel skal medføre at brugeren mister sin session ved Tjenesten, hvorpå Tjenesten skal svare WAYF med et logout-svar. Se WAYFs generelle vilkår vedr. endepunkters duelighed. [Keep it simple: Måden Aktøren viser på han kan SLO, er ved at registrere et SLO-endepunkt. Ingen eksplicit test el.lign – Aktøren hæfter ifølge en anden bestemmelse i vilkårene for enhver forkert brug.]
  • Krypteringskrav. Tjenesten kan kun modtage autentifikationer fra NemLog-in hvis Aktøren har oplyst en offentlig krypteringsnøgle til WAYF, og Tjenesten er i stand til at afkryptere autentifikationen med den tilsvarende privatnøgle. Her menes ikke TLS, men særskilt kryptering af autentifikationer før afsendelse til Tjenesten.
  • Sikkerheds- og tekniske krav. Tjenesteudbyderen skal opfylde de sikkerhedskrav der er anført på NemLog-in's Tjenesteudbydersite. Tjenesteudbyderen må desuden ikke i anden sammenhæng udsætte NemLog-in og tilknyttede løsninger, herunder MitID-løsningen for sikkerhedsrisiko med hensyn til ægthed, integritet og fortrolighed. Tjenesteudbyderen er forpligtet til at underrette slutbrugere og Formidler om eventuelle sikkerhedsbrud relateret til anvendelsen af NemLog-in. Både Tjenesteudbyderen og en evt. Leverandør skal overholde de på Tjenesteudbydersitet anførte tekniske krav til tilsluttede tjenester.
  • Interface. WAYF tilbyder, meget fleksibelt, Aktøren at modtage NemLog-in ad de samme protokoller og i de samme formater som WAYF bruger over for enhver anden tjeneste i føderationen. Teknisk er NemLog-in en identity provider i WAYF på helt samme måde som de identity providers som svarer til WAYFs brugerorganisationer. Det bemærkes også at WAYF ikke har noget om krav OCES-certifikater i Aktørens opsætning, sådan som Digitaliseringsstyrelsen har ved direkte forbindelser til NemLog-in.
  • Support. WAYF yder så vidt muligt Aktøren support, ved tilslutning og løbende, som sigter på at få forbindelsen til NemLog-in til at fungere. Slutbrugerne skal Aktøren selv supportere. Ved oplevede driftsforstyrrelser skal Aktøren i udgangspunktet orientere sig på Digitaliseringsstyrelsens hjemmeside, kun sekundært på WAYFs.
  • De identificeredes alder. Autentifikationer modtaget fra NemLog-in gennem WAYF kan svare til fysiske personer i alderen 13 år og opefter. Tjenesteudbyderen har ansvaret for at kontrollere slutbrugernes alder og håndhæve eventuelle begrænsninger i forhold til visse aldersgrupper ved Tjenesten.
  • Omfang af rådighed. WAYF kan kun kan stille NemLog-in til rådighed for Aktøren i det omfang Digitaliseringsstyrelsen stiller NemLog-in til rådighed for WAYF. Eksempelvis må Aktøren acceptere at NemLog-in gennem WAYF er ude af drift hvis Digitaliseringsstyrelsen har sat NemLog-in ud af drift over for WAYF. Derudover stiller WAYF i udgangspunktet alene autentifikationsløsningen og ikke andre elementer af NemLog-in (såsom digital signering) til rådighed for Aktøren.
  • Ansvarsfraskrivelse. Aktørens brug af NemLog-in gennem WAYF sker (som enhver brug af WAYF) på eget ansvar og uden muligt erstatningsansvar for WAYF. Aktøren kan i relation til NemLog-in ikke rejse krav mod WAYF eller Digitaliseringsstyrelsen eller nogen samarbejdspartner eller leverandør til nogen af de to medmindre den mulighed skulle følge af lovgivningen. Aktøren hæfter for ethvert krav som måtte blive rettet mod WAYF som følge af brug i strid med nærværende vilkår af autentifikationer som Aktøren har modtaget fra NemLog-in gennem WAYF. Hvis Aktøren er Leverandør, kan Tjenesteudbyderen i relation til NemLog-in alene rette krav mod Aktøren.
  • Vilkårsændringer. Vilkårene her kan ændres uden varsel; WAYF tilstræber dog at varsle væsentlige ændringer over for Aktøren. Aktøren må ikke forvente nogen sådan varsling medmindre Aktøren vedligeholder sine kontaktoplysninger hos WAYF. Aktøren er forpligtet til løbende at holde sig orienteret om de til enhver tid gældende vilkår som publiceret på www.wayf.dk.
  • Replay-beskyttelse ved Tjenesten er Aktørens eget ansvar; Aktøren kan ikke forudsætte at WAYF beskytter Tjenesten mod genspilning af autentifikationsbilletter.
  • Registrering. Hvis Aktøren er Leverandør, er Aktøren forpligtet til at registrere om Tjenesteudbyderen er en offentlig myndighed eller et offentligtretligt organ. Aktøren er da også forpligtet til på forlangende at oplyse WAYF om hver Tjenesteudbyders identitet.