Tunnistusperiaatteet Säästöpankkiryhmässä
Päivitetty: 4.1.2023
Tunnistusvälineen tarjoaja
Säästöpankkien yhteenliittymään kuuluva Säästöpankki (myöhemmin Pankki).
Pankkien tarkemmat tiedot ovat alla kohdassa ”Palveluntarjoajat Säästöpankkiryhmässä”.
Tarjottava palvelu
Pankki tarjoaa asiakkailleen tunnistuspalvelua, jonka avulla sähköisiä asiointipalveluja tarjoava yritys tai yhteisö voi tunnistaa asiakkaansa. Tunnistautuminen tapahtuu pankin pankkitunnuksia käyttäen. Pankkitunnusten haltija voi tunnistautua sähköisesti asiointipalveluihin, jotka hyväksyvät tunnistautumisen Pankin pankkitunnuksilla.
Luottamusverkostossa toimii useita tunnistusvälityspalveluita, jotka välittävät asiakkaan antaman tunnistamista koskevan toimeksiannon Säästöpankin tunnistuspalveluun, joka tunnistaa asiakkaan. Tunnistuspalvelu palauttaa nimi- ja henkilötiedot pankkitunnusten haltijalle, jotka tämä tarkastaa ja todettuaan ne oikeiksi hyväksyy tunnistustapahtuman toimittamisen asiointipalvelulle. Tämän jälkeen pankkitunnusten haltija palaa takaisin asiointipalveluun hoitamaan aloittamaansa toimintoa. Pankkitunnusten haltija voi halutessaan peruuttaa tai hylätä tunnistustapahtuman, jolloin tunnistustapahtuma ei välity asiointipalvelulle.
Pankkitunnukset
Henkilöasiakkaiden pankkitunnukset ovat vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuja tunnistusvälineitä. Pankki on luottamusverkoston jäsen ja toimii lain mukaisen vahvan sähköisen tunnistamisen palveluntarjoajana. Asiakas voi saada tietoa luottamusverkostoon kuuluvista toimijoista Liikenne- ja viestintävirasto Traficom:lta, joka valvoo luottamusverkostoon kuuluvia yrityksiä.
Tunnistuspalvelussa pankkitunnukset ovat tietoturvaltaan ja tasoltaan eIDAS asetuksen (EU 910/2014) tason korotettu mukaiset.
Yritys- ja yhteisöasiakkaalle myönnetyt pankkitunnukset eivät ole vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa tarkoitettuja tunnistusvälineitä.
Toiminnassa noudatetaan Säästöpankin tietosuojaperiaatteita, jotka löytyvät osoitteesta www.saastopankki.fi/henkilotietojen-kaytto-ja-rekisteriselosteet. Luottamusverkostossa henkilötietojen käsittelyssä noudatetaan lisäksi tunnistuslain vaatimuksia.
Oikeustoimet ja niihin kohdistuvat rajoitukset
Pankkitunnuksia voidaan käyttää asiakkaan vahvaan sähköiseen tunnistamiseen pankin sähköisissä palveluissa. Pankin tarjoamassa palvelussa pankkitunnusten käyttäminen vastaa asiakkaan allekirjoitusta.
Muut palveluntarjoajat voivat käyttää tunnistuspalvelun välittämiä tunnistustietoja osana sähköisen allekirjoituksen muodostamista osapuolten niin sopiessa. Ulkopuolinen asiointipalvelu ja asiakas voivat keskenään sopia pankkitunnuksilla tehtävien toimien ja sähköisen allekirjoituksen oikeusvaikutuksista ulkopuolisen asiointipalvelun palvelussa, kuten maksupalveludirektiivin (PSD2) perusteella annettujen teknisten standardien (RTS, Reculatory Technical Standard) asettamien vaatimusten vahvalle sähköiselle tunnistamiselle (SCA, Strong Customer Authentication) täyttymisestä asiointipalvelussa. Käyttäessään tunnistamista edellä mainittuna RTS:n mukaisena tunnistamisena, tapahtuu tunnistaminen kokonaisuudessaan käyttäjän/hyödyntäjän vastuulla ja käyttäjä/hyödyntäjä vastaa kaikista vahingoista sekä muista seuraamuksista itse.
Pankkitunnuksilla ei saa tunnistautua eikä tunnistautumistapahtumaa saa välittää asiointipalveluun, jota tarjoaa tai jossa määräysvaltaa käyttää kansainvälisten pakotteiden kohteena oleva taho taikka taho, johon kohdistuu Suomen Keskusrikospoliisin määräämä hallinnollinen varojen jäädyttäminen.
Pankkitunnuksia ei saa myöskään käyttää lain tai hyvän tavan vastaisiin tarkoituksiin taikka muuten Säästöpankin julkaisemien yhteiskuntavastuuvaatimusten vastaisella tavalla.
Asiakasta ei saa siirtää vahvasti tunnistettuna välityspalvelun tai asiointipalvelun kautta uudelle asiointipalvelulle tai toiseen palveluun. Asiakkaan saa siirtää tunnistuslain näkökulmasta heikosti tunnistettuna toiselle palveluntarjoajalle vain, jos kyseessä on palvelun tarjoaminen osana alkuperäisen asiointipalvelun portaalia.
Pankkitunnusten haltijalle ei saa luoda uutta Tunnistuslain mukaista vahvaa sähköistä tunnistusvälinettä, ellei ketjutetun tunnisteen luomisesta ole sovittu pankin kanssa ja pankille välitetä tietoa ketjutuksesta. Ketjutettua tunnistetta, joka ei ole Tunnistuslain mukainen vahva sähköinen tunnistusväline, saa käyttää tai hyödyntää vain tunnisteen luoneen asiointipalvelun palveluntarjoajan omissa palveluissa.
Sovellettavat ehdot
Tunnistusväline luovutetaan asiakkaalle ensitunnistuksen jälkeen Pankin ja asiakkaan välisen sopimuksen perusteella. Tunnistusvälineen käyttöön sovelletaan kulloinkin voimassa olevia Säästöpankin pankkitunnuksilla käytettävien palvelujen yleisiä ehtoja ja Säästöpankin hinnaston mukaisia tai muutoin pankin ja asiakkaan välillä sovittuja hintoja. Tunnistusvälineet ovat henkilökohtaiset, eikä niitä saa luovuttaa toisen henkilön käyttöön.
Verkkopalvelun hinnat on ilmoitettu Pankin verkkosivuilla.
Ensitunnistamisen toteuttaminen ja tunnusten luovuttaminen
Pankkitunnusten hakijan ensitunnistaminen tapahtuu yleisimmin henkilökohtaisesti Pankissa. Hakija sopii pankkitunnuksista Pankin kanssa Verkkopankkisopimuksella. Ensimmäiset pankkitunnukset luovutetaan asiakkaalle henkilökohtaisesti. Seuraavat kertakäyttöiset turvaluvut tai muu tunnistusväline voidaan lähettää asiakkaalle postitse tai sähköisesti.
Kun asiakkuus avataan sähköisesti, asiakas tunnistetaan vähintään korotetun tason vahvaa sähköistä tunnistetta käyttämällä. Kun asiakas on tunnistettu, ensimmäiset pankkitunnukset luovutetaan asiakkaalle verkkopalvelun ja kirjepostin yhdistelmänä. Kirjeposti toimitetaan asiakkaan Väestötietojärjestelmässä olevaan kotiosoitteeseen. Pankki voi käyttää asiamiestä pankkitunnusten luovuttamisessa. Pankkitunnukset eivät kuitenkaan ole käyttökelpoiset Säästöpankin tunnistuspalvelussa tunnistautumiseen Luottamusverkostossa ennen kuin asiakas käy todentamassa henkilöllisyytensä myös Pankin toimipisteessä.
Pankki hyväksyy pankkitunnusten hakijan henkilöllisyyden todentamisessa ainoastaan sellaisia asiakirjoja, joiden luotettavuuden pankki voi arvioida. Asiakirjan tulee olla voimassa ja ehjä ja asiakirjan haltija tulee voida luotettavasti tunnistaa asiakirjan kuvasta. Vahvan sähköisen tunnistusvälineen myöntäminen edellyttää, että henkilöllä on Suomen väestörekisteriin merkitty henkilötunnus.
Pankki hyväksyy henkilöllisyyden todentamisessa seuraavat suomalaisen viranomaisen myöntämät voimassa olevat asiakirjat:
- passi (ei muukalaispassi)
- henkilökortti.
Ulkomaalaisista asiakirjoista hyväksytään voimassa olevat:
- EU- tai ETA-jäsenvaltion, Sveitsin tai San Marinon viranomaisen myöntämä
o passi
o matkustusasiakirjaksi hyväksyttävä henkilökortti
Jos hakijalla ei ole henkilöllisyyden todentamiseen hyväksyttävää asiakirjaa tai, jos hakijan henkilöllisyyttä tai asiakirjan aitoutta ei voida luotettavasti todentaa, hakijan henkilöllisyyden todentamisen tekee poliisi.
Pankkitunnuksilla ei voi tehdä EU:n eIDAS asetuksessa tarkoitettuja vahvoja sähköisiä allekirjoituksia.
Tärkeimmät yhteistyökumppanit ja ulkopuoliset arvioinnit
Oy Samlink Ab hallinnoi teknisesti Pankin tunnistuspalvelua. Tunnistuspalvelun vaatimuksenmukaisuutta ja tietoturvallisuutta valvotaan teettämällä säännöllisesti lain ja viranomaisen edellyttämiä ulkopuolisten arviointielinten suorittamia auditointeja.
Sulkulistapalvelun yhteystiedot
Asiakkaan on ilmoitettava mahdollisimman pikaisesti ilman aiheetonta viivästystä pankkitunnusten tai niiden osan katoamisesta tai niiden joutumisesta oikeudettoman tietoon. Ilmoituksen voi tehdä soittamalla sulkupalveluun numeroon 020 333 (ulkomailta +358 20 333), joka on käytettävissä 24h/vrk tai pankin aukioloaikoina Pankin konttoriin.
Valvovat viranomaiset
- Finanssivalvonta (www.finanssivalvonta.fi) on Pankin valvova viranomainen. Finanssivalvonnan yhteystiedot ovat: Snellmaninkatu 6, PL 103, 00101 Helsinki.
- Liikenne- ja viestintävirasto Traficom (www.Traficom.fi) valvoo vahvan sähköisen tunnistamisen ja sähköisen allekirjoituksen palveluita. Traficomin yhteystiedot ovat: PL 320, 00059 TRAFICOM