Eisen voor geldigheid van verklaringen voor Dienstverleners
EH1 vervalt per 1-7-2021
Met ingang van 1 juli 2021 komt het gebruik van het betrouwbaarheidsniveau eH1 te vervallen en moeten de middelen en machtigingen minimaal voldoen aan de normen van het betrouwbaarheidsniveau eH2.
Norm | LoA | Vereisten | Best practices |
---|---|---|---|
4 | LOA 1 2 3 4 | De ontvangende partij MOET een verklaring alleen gebruiken als deze voldoet aan de eisen van die bij het betrouwbaarheidsniveau horen (van deze verklaring). De ontvangende partij ZOU waar mogelijk striktere normen MOETEN hanteren dan de ruimte die geboden wordt in de vereisten van de in 4.1 en 4.2 gedefinieerde betrouwbaarheidsniveaus van de verklaringen. | Richtlijn is dat de ruimte niet groter zou moeten zijn dan noodzakelijk. Dat betekent dat de Dienstaanbieder striktere normen zou moeten hanteren als de situatie dat toestaat. |
4.1 | Vereisten authenticatie- en machtigingsverklaring | ||
4.1.1 | LOA 3 4 | Geldigheidseisen aan een authenticatie- en machtigingsverklaring (of een daar van afgeleide credential of token) MOETEN afgedwongen worden door elke partij die de verklaringen ontvangt en/of door levert. Dit geldt voor alle Deelnemers maar heel specifiek ook voor Dienstverlener & Dienstbemiddelaar. | Dit geldt voor alle verklaringen die een partij zelf gebruikt maar ook de verklaringen die zo'n partij doorgeeft aan een volgende partij. Zo zijn een Makelaar en Dienstbemiddelaar verantwoordelijk voor het doorleveren van slechts authenticatie- en machtigingsverklaring waarvan ze zelf hebben vastgesteld dat deze voldoen aan de geldigheidseisen, voor zover dat mogelijk is. |
4.1.1.1 | LOA 3 4 |
| In een aantal gevallen zal 4 uur zelfs heel ruim zijn. De DV moet zelf een afweging maken of 4 uur voor zijn proces niet veel te ruim is. Een DV die slechts kleine online formulieren beschikbaar stelt zou een veel scherpere geldigheidstermijn moeten kiezen. |
4.2 | Vereisten associatieverklaring | ||
4.2.1 | LOA 1 2 3 4 | De Dienstbemiddelaar MOET met een associatieverklaring de Authenticatie(en optioneel) Machtigingsverklaring onlosmakelijk verbinden aan de een transactie of een document overeenkomstig het geldende betrouwbaarheidsniveau. | Ook hier moet de ruimte niet groter zijn dan noodzakelijk. Dat betekent dat de Dienstaanbieder strenger zou moeten zijn als zijn situatie dat toestaat. |
4.2.1.1 | LOA 1 2 3 | Een associatieverklaring (met bericht) die ontstaat binnen een gebruikerssessie MAG NIET ingezonden worden naar de Dienstaanbieder buiten de sessie waarin hij ontstaat TENZIJ
| De beoordeling van een 'redelijke termijn' (voor het informeren van de Gebruiker over inzendproblemen bij een bericht) is een eigen afweging van de Dienstaanbieder. Centraal bij het vaststellen van deze redelijke termijn staat het nadelige gevolg voor de Gebruiker als hij er te laat achter komt dat een bericht/transactie niet ontvangen is door de Dienstaanbieder. |
4.2.1.1.1 | LOA 1 2 | Een associatieverklaring MAG NIET ouder zijn dan 5 dagen | Dit zijn maximale termijnen een Dienstaanbieder zou zelf strengere eisen moeten stellen aan de maximale leeftijd van de associatieverklaring als de situatie dat toestaat. |
4.2.1.1.2 | LOA 3 | Een associatieverklaring MAG NIET ouder zijn dan 1 dag | |
4.2.1.1.3 | LOA 1 2 3 | Een Dienstaanbieder MAG onder 'speciale omstandigheden' een associatieverklaring accepteren tot maximaal 10 dagen oud. | De beoordeling van een 'speciale omstandigheid' is een eigen afweging van de Dienstaanbieder. De speciale omstandigheid moet niet de standaard afhandeling zijn, maar slechts gebruikt in uitzonderingsgevallen zoals bijvoorbeeld een incident met tijdelijke onbeschikbaarheid van de Dienstaanbieder zelf. In dat geval kan de DA besluiten om associatieverklaringen te accepteren die tijdens de onbeschikbaarheidsperiode nog wel geaccepteerd zouden zijn. Anders moeten de Dienstbemiddelaars hun berichten opnieuw laten accorderen door de Gebruiker. |
4.2.1.2 | LOA 4 | Een associatieverklaring op LoA4 die ontstaat binnen een gebruikerssessie MAG NIET ingezonden worden naar de Dienstaanbieder buiten de sessie waarin hij ontstaat. | |
4.3 | Vereisten geldigheid van verklaringen van Dienstverleners | ||
4.3.1 | LOA 1 | Transportberichten: De geldigheid van transportberichten moet niet langer zijn dan strikt noodzakelijk: ruim genoeg om een efficiƫnte gebruikerservaring te garanderen en kort genoeg om een aanvaller minimale gelegenheid te bieden. Authenticatie Tokens: Authenticatie Tokens die zijn afgeleid van middelen MOETEN op de zelfde termijn als het middel ingetrokken of geschorst kunnen worden. Een 'sessie' MAG daarom een hele dag duren. Extented Sessie: Een 'extented sessie' op een specifiek apparaat MAG (zonder expliciete herauthenticatie van de gebruiker) onbeperkt duren, maar dan MOET deze extended sessie minimaal elke maand 'in gebruik' zijn geweest. | OAuth2 tokens tbv native DV-app:
|
4.3.2 | LOA 2 | Hetzelfde als LoA1, uitgezonderd de eisen over de 'extended sessie' Extented Sessie:
| OAuth2 tokens tbv native DV-app:
|
4.3.3 | LOA 3 | Hetzelfde als LoA1, uitgezonderd de eisen over de 'extended sessie' Extented Sessie:
| OAuth2 tokens tbv native DV-app:
|
4.3.4 | LOA 4 | Hetzelfde als LoA1, uitgezonderd de eisen over de 'Authenticatie Tokens' en 'Extended Sessie' Authenticatie Tokens: Een 'sessie' MAG uiterlijk 1 uur duren, maar dan MOET deze sessie constant in gebruik1 zijn geweest (voor zover detectie mogelijk is). Extented Sessie: Een 'extented sessie' op een specifiek apparaat MAG NIET bestaan. | OAuth2 tokens tbv native DV-app is momenteel nog niet ondersteund voor native apps, anders:
|
Voetnoot:
- Een App is inactief als deze op de achtergrond is geweest of als het scherm uit is geweest.