4. Eisen voor geldigheid van verklaringen voor Dienstverleners

EH1 vervallen per 1-7-2021

Het betrouwbaarheidsniveau eH1 (LoA1) wordt niet meer ondersteund. De middelen en machtigingen moeten minimaal voldoen aan de normen van het betrouwbaarheidsniveau eH2 (LoA2).

Inhoudsopgave

LoA

Vereiste elementen

Toelichting en good practice

4

LOA 1 2 3 4

De ontvangende partij MOET een verklaring alleen gebruiken als deze voldoet aan de eisen van die bij het betrouwbaarheidsniveau horen (van deze verklaring).

De ontvangende partij ZOU waar mogelijk striktere normen MOETEN hanteren dan de ruimte die geboden wordt in de vereisten van de in 4.1 en 4.2 gedefinieerde betrouwbaarheidsniveaus van de verklaringen.

Richtlijn is dat de ruimte niet groter is dan noodzakelijk. Dat betekent dat de Dienstaanbieder striktere normen hanteert als de situatie dat toestaat.

4.1 Vereisten authenticatie- en machtigingsverklaring

	LoA	Vereiste elementen	Toelichting en good practice
4.1.1	LOA 3 4	Geldigheidseisen aan een authenticatie- en machtigingsverklaring (of een daar van afgeleide credential of token) MOETEN afgedwongen worden door elke partij die de verklaringen ontvangt en/of door levert. Dit geldt voor alle Deelnemers maar heel specifiek ook voor Dienstverlener & Dienstbemiddelaar.	Dit geldt voor alle verklaringen die een partij zelf gebruikt maar ook de verklaringen die zo'n partij doorgeeft aan een volgende partij. Zo zijn een Makelaar en Dienstbemiddelaar verantwoordelijk voor het doorleveren van slechts authenticatie- en machtigingsverklaring waarvan ze zelf hebben vastgesteld dat deze voldoen aan de geldigheidseisen, voor zover dat mogelijk is.
4.1.1.1	LOA 3 4	Een Verklaring MAG NIET gebruikt worden buiten de gebruikerssessie waarin de Dienstverlener of Dienstaanbieder hem ontvangt. Een Verklaring in een Gebruikerssessie MOET binnen 4 uur ververst worden.	In een aantal gevallen zal 4 uur zelfs heel ruim zijn. De DV maakt zelf een afweging of 4 uur voor zijn proces niet veel te ruim is. Een DV die slechts kleine online formulieren beschikbaar stelt zou een veel scherpere geldigheidstermijn moeten kiezen.

4.2 Vereisten associatieverklaring

	LoA	Vereiste elementen	Toelichting en good practice
4.2.1	LOA 1 2 3 4	De Dienstbemiddelaar MOET met een associatieverklaring de Authenticatie(en optioneel) Machtigingsverklaring onlosmakelijk verbinden aan de een transactie of een document overeenkomstig het geldende betrouwbaarheidsniveau.	Richtlijn is dat de ruimte niet groter is dan noodzakelijk. Dat betekent dat de Dienstaanbieder strenger is als zijn situatie dat toestaat.
4.2.1.1	LOA 1 2 3	Een associatieverklaring (met bericht) die ontstaat binnen een gebruikerssessie MAG NIET ingezonden worden naar de Dienstaanbieder buiten de sessie waarin hij ontstaat TENZIJ de indienende partij (Dienstbemiddelaar) de Gebruiker gegarandeerd kan informeren over eventuele inzendproblemen, binnen een redelijke termijn voor het betreffende bericht., OF de Dienstverlener samen met en de indienende partij de ontvangst het betreffende bericht door de DV garanderen.	De beoordeling van een 'redelijke termijn' (voor het informeren van de Gebruiker over inzendproblemen bij een bericht) is een eigen afweging van de Dienstaanbieder. Centraal bij het vaststellen van deze redelijke termijn staat het nadelige gevolg voor de Gebruiker als hij er te laat achter komt dat een bericht/transactie niet ontvangen is door de Dienstaanbieder.
4.2.1.1.1	LOA 1 2	Een associatieverklaring MAG NIET ouder zijn dan 5 dagen	Dit zijn maximale termijnen. Een Dienstaanbieder stelt zelf strengere eisen aan de maximale leeftijd van de associatieverklaring als de situatie dat toestaat.
4.2.1.1.2	LOA 3	Een associatieverklaring MAG NIET ouder zijn dan 1 dag
4.2.1.1.3	LOA 1 2 3	Een Dienstaanbieder MAG onder 'speciale omstandigheden' een associatieverklaring accepteren tot maximaal 10 dagen oud.	De beoordeling van een 'speciale omstandigheid' is een eigen afweging van de Dienstaanbieder. De speciale omstandigheid is niet de standaard afhandeling, maar slechts gebruikt in uitzonderingsgevallen zoals bijvoorbeeld een incident met tijdelijke onbeschikbaarheid van de Dienstaanbieder zelf. In dat geval kan de DA besluiten om associatieverklaringen te accepteren die tijdens de onbeschikbaarheidsperiode nog wel geaccepteerd zouden zijn. Anders moeten de Dienstbemiddelaars hun berichten opnieuw laten accorderen door de Gebruiker.
4.2.1.2	LOA 4	Een associatieverklaring op LoA4 die ontstaat binnen een gebruikerssessie MAG NIET ingezonden worden naar de Dienstaanbieder buiten de sessie waarin hij ontstaat.

4.3 Vereisten geldigheid van verklaringen van Dienstverleners

	LoA	Vereiste elementen	Toelichting en good practice
4.3.1	LOA 1	Transportberichten: De geldigheid van transportberichten moet niet langer zijn dan strikt noodzakelijk: ruim genoeg om een efficiënte gebruikerservaring te garanderen en kort genoeg om een aanvaller minimale gelegenheid te bieden. Authenticatie Tokens: Authenticatie Tokens die zijn afgeleid van middelen MOETEN op de zelfde termijn als het middel ingetrokken of geschorst kunnen worden. Een 'sessie' MAG daarom een hele dag duren. Extented Sessie: Een 'extented sessie' op een specifiek apparaat MAG (zonder expliciete herauthenticatie van de gebruiker) onbeperkt duren, maar dan MOET deze extended sessie minimaal elke maand 'in gebruik' zijn geweest.	Bij gebruik van OAuth2 tokens tbv een native DV-app: Een Authorization Grant vervalt na 5 minuten. Een Access Token vervalt na 24 uur. Refresh Token vervalt na een maand. Een geldig Refresh Token verversen kan met een maximum verlenging van 1 jaar zonder expliciete herauthenticatie van de Gebruiker.
4.3.2	LOA 2	Hetzelfde als LoA1, uitgezonderd de eisen over de 'extended sessie' Extented Sessie: Een 'extented sessie' op een specifiek apparaat ZOU (zonder expliciete herauthenticatie van de gebruiker) uiterlijk een 7 dagen MOGEN duren. Een 'extented sessie' op een specifiek apparaat MAG (zonder expliciete herauthenticatie van de gebruiker) uiterlijk een jaar duren, maar dan MOET deze extended sessie minimaal elke maand 'in gebruik' zijn geweest.	Bij gebruik van OAuth2 tokens tbv een native DV-app: Een Authorization Grant vervalt na 5 minuten. Een Access Token vervalt na 24 uur. Een Refresh Token vervalt na 7 dagen. Een Refresh Token vervalt binnen een maand. Een geldig Refresh Token verversen kan met een maximum verlenging van 1 jaar zonder expliciete herauthenticatie van de Gebruiker.
4.3.3	LOA 3	Hetzelfde als LoA1, uitgezonderd de eisen over de 'extended sessie' Extented Sessie: Een 'extented sessie' op een specifiek apparaat ZOU (zonder expliciete herauthenticatie van de gebruiker) uiterlijk 8 uur MOGEN duren, tenminste zolang het apparaat niet uit is geweest. Een 'extented sessie' op een specifiek apparaat MAG (zonder expliciete herauthenticatie van de gebruiker) uiterlijk 7 dagen duren, maar dan MOET deze extended sessie minimaal elke 24 uur 'in gebruik' zijn geweest.	Bij gebruik van OAuth2 tokens tbv een native DV-app: Een Authorization Grant vervalt na 5 minuten. Een Access Token vervalt na 4 uur. Een Refresh Token vervalt na 8 uur en als het apparaat uit is geweest. Een Refresh Token vervalt binnen 24 uur. Een geldig Refresh Token verversen kan met een maximum verlenging van 1 jaar zonder expliciete herauthenticatie van de Gebruiker.
4.3.4	LOA 4	Hetzelfde als LoA1, uitgezonderd de eisen over de 'Authenticatie Tokens' en 'Extended Sessie' Authenticatie Tokens: Een 'sessie' MAG uiterlijk 1 uur duren, maar dan MOET deze sessie constant in gebruik¹zijn geweest (voor zover detectie mogelijk is). Extented Sessie: Een 'extented sessie' op een specifiek apparaat MAG NIET bestaan.	OAuth2 tokens tbv native DV-app is momenteel nog niet ondersteund voor native apps, anders: Een Authorization Grant vervalt na 5 minuten. Een Access Token vervalt na 15 minuten en als de App inactief1 is geweest. Een Access Token vervalt binnen 1 uur. Een Refresh Token kan gebruikt worden

Voetnoot:

¹ Een App is inactief als deze op de achtergrond is geweest of als het scherm uit is geweest.