Þjónustuskilmálar Straumsins (X-Road)
Almennt
Stafrænt Ísland f.h. fjármála og efnahagsráðuneytisins er rekstraraðili Straumsins. Straumurinn, sem byggir á X-Road, er flutningslag fyrir gögn á milli upplýsingakerfa. Hann tryggir örugg samskipti með gögn og lýtur miðlægri stjórnun rekstraraðila. Stjórnunin felst í því að rekstraraðili metur og samþykkir umsókn þjónustuþega um aðild að Straumnum og setur reglur og viðmið um notkun Straumsins. Rekstraraðili heldur jafnframt úti miðlægum öryggisþjóni og gefur út auðkenningarskilríki fyrir öryggisþjóna þjónustuþega.
Þjónustuþegi rekur eigin öryggisþjón vegna auðkenndra og dulkóðaðra samskipta innan Straumsins. Miðlægur öryggisþjónn rekstraraðila staðfestir tengingar og kemur á dulkóðuðum samskiptum milli aðila, skráir tímasetningar og svör við samskiptabeiðnum.
Skilmálar þessir mynda samkomulag þjónustuþega og rekstraraðila um gæðakröfur, aðgengi og viðhald vegna notkunar á Straumnum.
1. Skilgreiningar
Í skilmálum þessum, þar sem samhengi texta leyfir, skulu eftirfarandi hugtök skilgreind með þeim hætti sem hér segir:
Aðgerðaskrá: Skrá í tímaröð um það sem gert er í gagnavinnslu.
Rekstraraðili: Stafrænt Ísland í umboði fjármála- og efnahagsráðuneytis.
Skilríki: Rafræn auðkenningarskilríki sem rekstraraðili gefur út til þjónustuþega sem setur þau upp og endurnýjar áður en gildistími þeirra rennur úr.
Skrá: Skrá yfir alla aðila Straumsins og öryggisþjóna á þeirra vegum.
Straumurinn: Gagnaflutningslag fyrir örugg rafræn samskipti á milli þjónustuþega. Straumurinn byggir á X-Road.
Tæknilýsing: Tæknilýsing vegna Straumsins, aðgengileg á docs.devland.is
Miðlun: Miðlun gagna frá upplýsingaveitanda til upplýsingaþega (gagnasamskipti).
Miðlægur öryggisþjónn: inniheldur skrá yfir alla aðila Straumsins og öryggisþjóna þeirra, tekur á móti tengingarbeiðnum, samræmir, tímastimplar og skráir tengingar öryggisþjóna. (e. central server).
Þjónustuþegi: Aðili sem hefur tengst Straumnum; upplýsingaveitandi og/eða upplýsingaþegi.
Vefþjónusta: Þjónusta þjónustuþega sem tengir öryggisþjón og upplýsingakerfi viðkomandi.
Þjónusta: Miðlun upplýsinga
Upplýsingaveitandi: þjónustuþegi sem miðlar upplýsingum til meðlima Straumsins (e. service provider)
Upplýsingaþegi: þjónustuþegi sem sækir upplýsingar yfir Strauminn til upplýsingaveitanda (e. service consumer)
Öryggisþjónn: einn eða fleiri X-Road þjónar þjónustuþega sem tengjast öðrum öryggisþjónum innan Straumsins með tilstuðlan miðlægs öryggisþjóns Straumsins. (e. security server).
X-Road: Opinn hugbúnaður sem þróaður er af NIIS-stofnuninni (Nordic Institute for Interoperability Solutions).X-Road er miðstýrt gagnaflutningslag fyrir upplýsingakerfi og er í senn tæknilegt umhverfi og skipulag sem tryggir örugg gagnasamskipti á milli upplýsingakerfa.
2. Aðgangur
Þjónustuþegi skal sækja um aðild að Straumnum hjá rekstraraðila. Með umsókn sinni undirgengst þjónustuþegi skilmála þessa.
Rekstraraðila er heimilt að synja umsókn um aðgang að Straumnum ef rekstraraðili telur m.a. að starfsemi umsækjanda sé þess eðlis að hún samræmist ekki umfangi eða hlutverki Straumsins eða umsækjandi hefur ekki fullnægjandi tæknilega innviði til að notast við Strauminn. Þjónustuþega er heimilt að afturkalla umsóknina án skýringar.
Á grundvelli samkomulags aðila um aðgang þjónustuþega að Straumnum setur þjónustuþegi upp öryggisþjón og tilkynnir til rekstraraðila sem skráir öryggisþjóninn í miðlægan öryggisþjón Straumsins.
Þegar þjónustuþegi hefur sett upp öryggisþjón skal hann óska eftir útgáfu nauðsynlegra skilríkja frá rekstraraðila þannig að unnt sé að staðfesta samskiptabeiðnir til og frá öryggisþjóni. Óheimilt er að nota Strauminn með öðrum skilríkjum en þeim sem rekstraraðili hefur gefið út. Öll auðkenni og upplýsingar um þá aðila sem auðkennin varða eru skráð í miðlægan gagnagrunn rekstraraðila.
3. Skyldur aðila
3.1 Rekstraraðili
Rekstraraðili tryggir virkni miðlægs öryggisþjóns Straumsins og annast rekstur hans, ásamt skilríkjaþjónustu, eftirliti með lífsmörkum allra skráðra öryggisþjóna innan Straumsins og þeim vefþjónustum sem skráðar eru í vistkerfinu. Rekstraraðili heldur skrá um þjónustuþega og skráir öll samskipti um miðlægan öryggisþjón með tímastimpil í aðgerðaskrá. Rekstraraðili tilkynnir um allar fyrirhugaðar breytingar eða takmarkanir á notkun Straumsins eins skjótt og auðið er.
Rekstraraðili skilgreinir og tilkynnir um viðhaldsglugga miðlægs öryggisþjóns Straumsins vegna minniháttar viðhalds en tilkynnir þjónustuþegum sérstaklega um stærri uppfærslur sem valdið geta þjónusturofi með tilhlýðilegum fyrirvara.
3.2 Þjónustuþegi
Þjónustuþegi skal setja upp öryggisþjón og skrá skilríki hjá rekstraraðila.
Þjónustuþegi skal fylgjast með og tryggja að upplýsingar um sig hjá rekstraraðila séu ávallt réttar. Þjónustuþegi skal fylgja öllum fyrirmælum rekstraraðila um; uppsetningu, notkun og öryggisráðstafanir á Straumnum eins og þær eru tilgreindar í tæknilýsingu.
Þjónustuþegi er ábyrgur fyrir uppfærslum öryggisþjóns. X-Road útgáfa öryggisþjóns skal aldrei vera meira en tveimur útgáfum á eftir útgáfu miðlægs öryggisþjóns.
Þjónustuþegi er ábyrgur fyrir endurnýjun skilríkja og skal endurnýja þau eigi sjaldnar en á tveggja ára fresti.
Þjónustuþegi ber ábyrgð á notkun öryggisþjóns.
Þjónustuþegi skal halda aðgerðaskrá. Þjónustuþegi skal skipa þjónustufulltrúa sem hefur aðgang að aðgerðaskránni og eftirlit með notkun og samskiptum um Strauminn.
Þjónustuþegi skal innleiða nauðsynlegar öryggisráðstafanir, raunlægar og kerfislægar, til að tryggja öryggi upplýsingakerfis. Öryggisráðstafanir skulu taka mið af alþjóðlegum viðmiðum um bestu framkvæmd.
Þjónustuþegi ber, við notkun á Straumnum sem upplýsingaveitandi, ábyrgð á:
(i) að upplýsingum sé einungis miðlað samkvæmt beiðni eða samkomulagi þar um;
(ii) að umfang þeirra upplýsinga sem miðlað er sé í samræmi við fyrirliggjandi gagnalýsingu;
(iii) að þjónustuþega sé heimilt að miðla viðkomandi upplýsingum.
3.2.1 Þriðji aðili - undirverktaki
Ef þjónustuþegi semur við þriðja aðila um rekstur á öryggisþjón eða aðgengi að X-Road sem þjónustu, skal hann tryggja að þriðji aðili þekki og starfi í samræmi við skilmála þessa. Þjónustuþegi skal upplýsa rekstraraðila um breytingar á högun vegna samnings við þriðja aðila með að minnsta kosti 30 daga fyrirvara.
Þjónustusamningur við þriðja aðila skal vera skriflegur og afmarka á skýran hátt hlutverk og skyldur aðila vegna Straumsins. Þar skal tilgreina með skýrum hætti þá þjónustu sem þjónustuþega er veitt, svo og þau kerfi og búnað sem notaður er vegna Straumsins.
Þrátt fyrir útvistun samkvæmt ákvæði þessu, liggur ábyrgð á uppfyllingu lágmarkskrafna vegna Straumsins hjá þjónustuþega.
4. Ábyrgð
Rekstraraðili ber ekki ábyrgð á tjóni sem hlýst af vanþekkingu, misskilningi eða misnotkun þjónustuþega. Þá ber rekstraraðili ekki ábyrgð á tjóni sem stafar af því að búnaður þjónustuþega virkar ekki sem skyldi.
Rekstraraðili ber ekki ábyrgð á tjóni vegna óleyfilegrar notkunar, t.d. ef óviðkomandi aðili hefur komist yfir aðgang þjónustuþega, eða ef ekki hefur tekist að tilkynna rekstraraðila um misnotkun á vefþjónustunni, eða grun um slíkt.
Rekstraraðili ber hvorki beint né óbeint ábyrgð á tjóni sem orsakast af fyrirvaralausri lokun Straumsins, t.d. vegna bilana sem rekja má til sambandsleysi, rofs á fjarskiptum eða annarra truflana sem kunna að verða á rekstri vefþjónustunnar og eru ófyrirsjáanlegar eða óhjákvæmilegar vegna óviðráðanlegra aðstæðna (force majure). Verði einhver mistök, truflanir eða tafir á Straumnum, sem rekja má til framangreindra aðstæðna, skal ábyrgð rekstraraðila takmarkast við að lagfæra slík mistök, truflanir eða tafir, svo fljótt sem auðið er.
Rekstraraðili ber eingöngu ábyrgð á tjóni birtingaraðila ef það má rekja til stórkostlegs gáleysis eða ásetnings starfsmanna rekstraraðila. Ábyrgð rekstraraðila nær í slíku tilviki eingöngu til beins tjóns en aldrei til afleidds tjóns sem verða kann af þessum sökum, s.s. rekstrarstöðvunar, tapaðra viðskipta eða álitshnekkis.
Notandi skal halda rekstraraðila skaðlausum af hvers konar tjóni, kröfum, frá viðtakanda, aðgerðum, skaða, ábyrgðum, sektum, refsingum og kostnaði (þ.m.t. lögfræðikostnaði) sem rekstraraðili kann að verða fyrir vegna eða í tengslum við aðgerðir eða aðgerðarleysi birtingaraðila, hvort sem það stafar af vanrækslu, ásetningi eða gáleysi birtingaraðila í tengslum við notkun á Straumnum eða sem leiðir af broti gegn samkomulagi aðila. Skaðleysisábyrgð þessi takmarkar ekki með neinum hætti önnur samningsbundin eða lögbundin réttindi sem rekstraraðili kann að njóta gagnvart birtingaraðila og hugsanlegar bætur eða skaðleysisgreiðslur réttlæta ekki brot á skyldum og skuldbindingum birtingaraðila.
Um tjón vegna brota gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga fer samkvæmt 51. gr. laganna og 82. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2016/679
5. Greiðslur
Þjónusta Stafræns Íslands vegna rekstrar miðlægs öryggisþjóns, útgáfa skilríkja og hugbúnaður (X-Road) er aðgengileg þjónustuþega án endurgjalds.
6. Rekstraröryggi
Aðilar skuldbinda sig til að stuðla að öruggum rekstri Straumsins og vinna jafnframt sameiginlega að viðgerðum ef rekstrartruflanir verða.
Þjónustuþega og rekstraraðila ber að tilkynna gagnaðila án tafar ef grunur leikur á óviljandi, óheimilli eða ólöglegri vinnslu upplýsinga eða ef grunur er uppi um hvers konar öryggisbrest við meðferð á upplýsingum sem miðlað er með Straumnum. Tilkynninguna skal senda á almennt netfang viðkomandi aðila (í tilviki birtingaraðila, island@island.is). Í slíkri tilkynningu skal viðkomandi aðili lýsa eðli brestsins, þ. á m. áætluðum fjölda skráðra einstaklinga sem það varðar og notkun upplýsinganna. Þá skal viðkomandi aðili lýsa líklegum afleiðingum brestsins og þeim ráðstöfunum sem hann hefur gert eða fyrirhugað að gera vegna öryggisbrestsins.
Rekstraraðili mun tilkynna þjónustuþega ef bilanir eða nauðsynlegar uppfærslur sem varða Strauminn koma upp. Komi til þess að Straumurinn liggi niðri af óviðráðanlegum ástæðum mun rekstraraðili jafnframt tilkynna birtingaraðila um slíkt. Þjónusta rekstraraðila fer almennt fram á skrifstofutíma en verði rof á tengingu við Strauminn skal rekstraraðili bregðast við tilkynningu þess efnis eins fljótt og auðið er.
Rekstraraðili getur rofið aðgang þjónustuþega að þjónustunni tímabundið án viðvörunar ef rökstuddur grunur vaknar um óheimila vinnslu upplýsinga, öryggisbrest eða ef rekstraraðili telur ljóst að búnaður þjónustuþega standist ekki kröfur rekstraraðila um notkun Straumsins.
Ef rekstraraðili eða þjónustuþegi verður fyrir einhverjum hindrunum við að uppfylla samkomulagið gagnvart gagnaðila af ástæðum sem honum eru óviðráðanlegar, þá frestast viðkomandi skyldur til þess tíma er slíkar hindranir eru afstaðnar og aðilar samkomulagsins geta uppfyllt umsamdar skyldur sínar.
7. Breytingar á skilmálunm
Rekstraraðili áskilur sér einhliða rétt til að gera breytingar á skilmálum þessum og skulu þær tilkynntar birtingaraðila í rafrænni tilkynningu með að minnsta kosti 30 daga fyrirvara sem send skal til birtingaraðila með sannanlegum hætti áður en ný eða breytt ákvæði taka gildi. Auk þess eru nýir eða uppfærðir skilmálar birtir á heimasíðu rekstraraðila.
Rekstraraðila er þó heimilt að gera breytingar á skilmálum með skemmri fyrirvara ef slíkar breytingar á skilmálum eru nauðsynlegar samkvæmt lögum eða vegna hættu á öryggisbrest. Í slíkum tilvikum þar sem fyrirvarinn kann að vera skemmri skal rekstraraðili leitast við að tilkynna slíkar breytingar eins fljótt og mögulegt er.
Skilmálar þessir voru síðast uppfærðir: 25.01.2023
Þjónustuaðili
Stafrænt Ísland