Aktian vahvan sähköisen tunnistuspalvelun tunnistusperiaatteet

Yleistä

Näitä tunnistusperiaatteita sovelletaan Aktia Pankki Oyj:n (jäljempänä "Aktia") tarjoamiin vahvoihin sähköisiin tunnistusvälineisiin ja vahvan sähköisen tunnistamisen palveluihin.

Tietoja tunnistuspalvelun tarjoajasta

Tunnistuspalvelun tarjoaa Aktia Pankki Oyj, jonka y-tunnus on 2181702-8.

Aktian yhteystiedot ovat:
Aktia Pankki Oyj
PL 207
00101 HELSINKI
Puh. 010 247 010

Aktia tarjoaa asiakkailleen yksilöllisiä ratkaisuja laajasta pankki- ja varainhoitopalvelujen valikoimastaan. Aktia on perustettu jo vuonna 1825, kun vanhin Suomessa nykyisin toimivista talletuspankeista perustettiin. Aktialla on noin 380 000 asiakasta ja noin 45 omaa konttoria sekä sähköiset asiointikanavat.

Aktia on Suomen Finanssivalvonnan valvoma luottolaitos. Aktian taloudellista asemaa koskevat tiedot löytyvät Aktian verkkosivustolta.

Aktian omistavat suomalaiset Aktia- ja säästöpankkisäätiöt, yhteisöt, yritykset ja yksityishenkilöt. Aktian osake noteerataan Helsingin pörssissä.

Tarkempaa tietoa Aktiasta löydät Aktian sivustoilta www.aktia.fi ja www.aktia.com.

Tunnistusvälineet ja tunnistuspalvelu

Aktia tarjoaa henkilöasiakkailleen lain vahvasta sähköisestä tunnistamisesta ja luottamuspalveluista ("tunnistuslaki") mukaisia vahvoja sähköisiä tunnistusvälineitä, jotka perustuvat kansallisessa luottamusverkostossa käytettävään standardiin. Tunnistusvälineet ovat tietoturvaltaan ja tasoltaan eIDAS asetuksen (EU 910/2014) tason "korotettu" mukaisia.

Aktian tunnistusvälineellä henkilöasiakas voi tunnistautua ulkopuolisten palveluntarjoajien (eri yritykset, yhteisöt ja viranomaiset) asiointipalveluissa luotettavasti Aktian tunnistuspalvelun avulla siten, kuin tunnistuslaissa on määritelty. Tunnistamispalvelussa Aktia tunnistaa asiakkaan palveluntarjoajan puolesta verkkopankkitunnuksia käyttäen.

Aktian tunnistuspalvelussa tunnistusvälineenä käytettävät verkkopankkitunnukset käsittävät asiakkaan henkilökohtaiset asiakastunnukset, salasanan sekä vaihtuvan avainluvun. Verkkopankkitunnukset edellyttävät sopimusta Aktian ja henkilöasiakkaan välillä. Sopimuksen tekeminen edellyttää, että Aktia ensitunnistaa henkilöasiakkaan alla mainituilla tavoilla. Tunnistusväline luovutetaan asiakkaalle ensitunnistuksen jälkeen Aktian ja asiakkaan välisen sopimuksen perusteella. Tunnistusvälinettä ei voida luovuttaa esim. valtakirjalla toiselle henkilölle.

Aktian tunnistusvälineitä ja tunnistuspalvelua voidaan käyttää Aktian omissa palveluissa sekä sellaisten palveluntarjoajien sähköisissä palveluissa, joiden osalta palveluntarjoaja on tehnyt sopimuksen Aktian tai kansalliseen luottamusverkostoon kuuluvan tunnistusvälityspalvelun kanssa.

Aktia välittää tunnistustapahtumat tunnistukseen luottaville tahoille tunnistuspalvelua koskevan sopimuksen perusteella. Tunnistuspalvelussa välitettäviä tunnistamistietoja voidaan käyttää myös sähköisen allekirjoituksen osana henkilöasiakkaan ja Aktian tai muun ulkopuolista asiointipalvelua tarjoavan palveluntarjoajan niin sopiessa.

Yritys- ja yhteisöasiakkailleen Aktia tarjoaa verkkopankkitunnuksilla Aktian tarjoamia sähköisiä palveluja ja Aktian hyväksymiä kolmannen osapuolen palveluja, mutta Aktia ei tarjoa oikeushenkilöille tunnistuslaissa tarkoitettua oikeushenkilön vahvaa sähköistä tunnistamista. Yritys- ja yhteisöasiakkaalle myönnetyt verkkopankkitunnukset eivät ole tunnistuslaissa tarkoitettuja vahvoja sähköisiä tunnistusvälineitä.

Ensitunnistamisen toteuttaminen

Aktian vahvojen sähköisten tunnistusvälineiden hakijan ensitunnistaminen tapahtuu aina henkilökohtaisesti tai toista aikaisemmin myönnettyä vahvaa sähköistä tunnistusvälinettä hyödyntäen (ketjutettu ensitunnistaminen).

Asiakas sopii tunnistusvälineistä Aktian kanssa ja ensimmäiset tunnistusvälineet luovutetaan asiakkaalle henkilökohtaisesti. Seuraavat kertakäyttöiset tunnistusvälineet voidaan lähettää asiakkaalle postitse.

Aktia hyväksyy tunnistusvälineen hakijan henkilöllisyyden todentamisessa ainoastaan sellaisia asiakirjoja, joiden luotettavuuden Aktia voi arvioida. Aktia voi käyttää henkilöllisyyden todentamiseen myös Aktian yhteistyökumppaneita.

Aktia hyväksyy henkilöllisyyden todentamisessa seuraavat suomalaisen viranomaisen myöntämät voimassa olevat asiakirjat:

  • passi (myös diplomaattipassi ja muukalaispassi). Jos muukalaispassissa on maininta, että passin haltijan henkilöllisyyttä ei ole pystytty luotettavasti varmentamaan, asiakirjaa ei hyväksytä
  • henkilökortti.

Ulkomaalaisista asiakirjoista voidaan hyväksyä voimassa oleva ulkomaalaisen viranomaisen myöntämä

  • passi tai
  • matkustusasiakirjana hyväksyttävä henkilökortti, jonka on myöntänyt Euroopan talousalueen (ETA) jäsenvaltion, Sveitsin tai San Marinon viranomainen, mikäli asiakirjan aitoudesta voidaan henkilöllisyyden todentamistilanteessa kohtuullisin keinoin varmistua.

Jos hakijalla ei ole henkilöllisyyden todentamiseen hyväksyttävää asiakirjaa, tai jos hakijan henkilöllisyyttä tai asiakirjan aitoutta ei voida luotettavasti todentaa, hakijan henkilöllisyyden todentamisen tekee poliisi.

Ensitunnistamisen ketjuttaminen

Asiakas voi käyttää Aktian vahvoja tunnistusvälineitä tunnistuslaissa tarkoitetulla tavalla uusien tunnistusvälineiden luomiseksi (ketjutettu ensitunnistaminen) luottamusverkostoon tunnistuslain mukaisesti rekisteröityneen tunnistuspalvelun tarjoajan tunnistuspalveluun. Aktia voi rekisteröidä erikseen asiakastietoihin merkinnän toteutetusta ketjutetusta ensitunnistamisesta voidakseen täyttää tunnistuslain mukaiset velvollisuutensa.

Tunnistuspalvelun hinnat ja sopimusehdot

Aktialla on oikeus periä tunnistusvälineestä ja tunnistuspalveluista palveluhinnastonsa mukaiset tai muutoin asiakkaan kanssa sovitut maksut. Aktian tunnistuspalvelun hinnat on ilmoitettu Aktian verkkosivuilla (www.aktia.fi) olevassa palveluhinnastossa.

Tunnistusvälineeseen sovelletaan Aktian ja asiakkaan välistä verkkopankkisopimusta. Kulloinkin voimassa olevat tunnistusvälineen käyttöön liittyvät ehdot ovat myös saatavilla Aktian verkkosivuilla www.aktia.fi.

Tunnistusvälineen sulkeminen

Asiakkaan on ilmoitettava Aktialle tunnistusvälineensä katoamisesta tai niiden joutumisesta ulkopuolisen tietoon tai haltuun (tai mikäli asiakas epäilee niiden joutuneen oikeudettoman tietoon tai haltuun) välittömästi ilman aiheetonta viivästystä. Ilmoituksen voi tehdä soittamalla sulkupalveluun numeroon 020 333, joka on käytettävissä 24h/vrk, tai soittamalla Aktian asiakaspalveluun 010 247 010 (klo 8-20) tai henkilökohtaisesti Aktian konttoriin niiden aukioloaikoina.

Tietosuojaperiaatteet

Aktialla on tunnistuspalvelun toteuttamiseksi tunnistuslakiin perustuva oikeus käsitellä asiakkaan henkilötietoja.

Kun asiakas käyttää tunnistuspalvelua muun palveluntarjoajan kuin Aktian tarjoamissa sähköisissä palveluissa, Aktialla on oikeus luovuttaa asiakkaan henkilötietoja tunnistukseen luottavalle osapuolelle, jolla on lain perusteella oikeus käsitellä henkilötietoja. Samalla asiakkaan henkilötietoja voi tulla luottamusverkostoon kuuluvien tunnistusvälityspalveluita tarjoavien toimijoiden tietoon. Pankilla ei lain vaatimuksista johtuen ole luottamusverkoston jäsenenä mahdollisuutta kontrolloida asiakkaan henkilötietojen käyttöä muiden luottamusverkostoon kuuluvien toimijoiden tarjoamissa tai välittämissä palveluissa. Asiakas voi saada tietoa luottamusverkostoon kuuluvista toimijoista Liikenne- ja viestintävirastosta, joka valvoo luottamusverkostoon kuuluvia yrityksiä, www.traficom.fi.

Aktia noudattaa tunnistuspalvelua tarjotessaan henkilötietojen käsittelyä koskevia lakeja ja määräyksiä sekä tietosuojaperiaatteita, jotka ovat saatavilla osoitteessa https://www.aktia.fi/fi/yksityisyyden-suoja

Tunnistuspalvelun organisointi, menetelmät ja tietoturva

Aktia tekee tunnistamispalveluun liittyvät sopimukset Aktian oman henkilöstön toimesta, mutta voi käyttää palvelua tuottaessaan teknisiä ja muita alihankkijoita ja yhteistyökumppaneita. Aktia järjestää henkilöstölleen tunnistuspalveluun liittyvää ohjeistusta ja koulutusta. Asiakkaan ensitunnistamisessa ja tuntemisessa Aktia noudattaa soveltuvia lakeja ja määräyksiä sekä kansallisessa luottamusverkostossa ja finanssitoimialalla sovittuja käytäntöjä.

Aktialla on konsernin hallituksen vahvistama konsernitason riskienhallinnan ja sisäisen valvonnan politiikka ja viitekehikko. Politiikassa määritellään riskienhallinnan ja sisäisen valvonnan keskeiset periaatteet ja vastuut.

Aktian tietoturvallisuustyön tavoitteena on varmistaa, että kaikki Aktian käsittelemät tiedot on asianmukaisesti suojattu ja tarjotut palvelut ovat käyttäjäystävällisiä ja tietoturvallisia. Lisäksi tavoitteena on varmistaa, että tietoturvallisuus täyttää lainsäädännön ja viranomaisten asettamat vaatimukset ja velvoitteet sekä vastaa ulkoisten sidosryhmien finanssialan toimijalta odottamaa tasoa. Aktian tietoturvallisuustyötä ohjaa konserninjohtajan vahvistama tietoturvallisuusmääräys, joka määrittelee tietoturvallisuuden tavoitteet, keskeiset roolit ja vastuut sekä tietoturvaan liittyvät riskienhallintamenetelmät.

Aktiassa on nimetyt tietoturvallisuudesta, operatiivisten riskien hallinnasta ja sisäisestä tarkastuksesta vastaavat johtajat.

Aktian hankkiessa kehitystyötä tai palveluja yhteistyökumppaneilta, vastaava riskienhallinnan ja tietoturvallisuuden taso, kuin on Aktian omassa kehitystyössä, varmistetaan yhteistyökumppanin kanssa tehtävillä sopimuksilla ja tarvittaessa toteutettavilla erillisillä ulkopuolisen arviointilaitoksen tekemillä arvioinneilla.

Asiakkaan tunnistamisessa ja tuntemisessa sovelletaan lainsäädäntöä, konsernin sisäisiä määräyksiä ja alan käytäntöjä. Asiakkaan tunnistus- ja tuntemistiedot mukaan lukien asiakkaan nimi, henkilötunnus sekä tiedot tunnistukseen käytetystä tunnistusvälineestä tallennetaan pankin järjestelmiin. Tunnistevälinettä koskevat tarkemmat tiedot tallennetaan pankin tai palvelutarjoajan järjestelmiin.

Ulkopuoliset arvioinnit

Aktian valvoo tunnistuspalvelunsa vaatimuksenmukaisuutta teettämällä säännöllisesti lain ja viranomaisten edellyttämiä ulkopuolisten arviointielinten suorittamia auditointeja.

Aktiassa tehdään järjestelmien ja palveluiden tietoturvakatselmointeja osana normaalia järjestelmäkehitystä. Lisäksi Aktia teettää Traficomin ohjeistuksen mukaiset säännölliset auditoinnit ulkopuolisella toimittajalla.

Valvontaviranomaiset

Aktian toimintaa valvoo Finanssivalvonta (www.finanssivalvonta.fi), jonka yhteystiedot ovat Snellmaninkatu 6, 00101 Helsinki, puh 09 183 51.

Liikenne- ja viestintäviestintävirasto Traficom valvoo Aktian toimintaa kansallisen luottamusverkoston jäsenyyden osalta. Traficomin yhteystiedot ovat Kumpulantie 9, 00520 Helsinki, puh. 029 534 5000.