Toelichting op Proces aansluiten op BSNk PP als AD-EB-MR-MU

De AD, EB, MR of MU meldt zich bij het Ministerie van BZK met het verzoek aan te willen sluiten op BSNk. Het Ministerie van BZK start de erkenningsprocedure en informeert de AD, EB, MR of MU over de te nemen stappen. Als onderdeel van deze procedure ondertekent een tekenbevoegd persoon namens de AD, EB, MR of MU de aansluit- en bewerkersovereenkomst*.

De secretaris van het Ministerie van BZK zorgt dat de minister deze documenten ook ondertekend, en stuurt daarna een kopie naar het Logius Servicecentrum.

Na ontvangst autoriseert de technisch aansluitcoördinator van BSNk de algemeen- en technisch contactpersoon van de AD, EB, MR of MU voor toegang tot de Confluence omgeving van BSNk. Hier worden de huidige en toekomstige specificaties van BSNk gepubliceerd. Ook deelt de technisch aansluitcoördinator van BSNk de SNO en DAP met de algemeen contactpersoon van de AD, EB, MR of MU.

*) Bewerkersovereenkomst komt te vervallen na intreding Wet Digitale Overheid

• Aansluitdocumenten ingevuld en ondertekend
• Autorisaties voor Confluence omgeving BSNk geregeld
• SNO en DAP gedeeld

• AD, EB, MR of MU
• BSNk Stelselbeheer
• Ministerie van BZK

• Ontvangst kopie ondertekende aansluitdocumenten bij BSNk Stelselbeheer
• Autorisaties voor Confluence omgeving BSNk geregeld
• (Optioneel) Test-HSM in juiste rack geplaatst en benaderbaar vanaf netwerk AD of EB

De AD, EB of MU realiseert de aansluiting van de/het eigen syste(e)m(en) met BSNk conform de koppelvlakspecificaties.

Voor zover niet reeds beschikbaar vraagt de AD, EB, MR of MU (een) PKIo certifica(a)t(en) aan voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten.

Als de AD of EB gebruik mag maken van een eigen transformatie HSM plaatst deze de test-HSM in het juiste rack en maakt deze benaderbaar vanaf het eigen netwerk. Vervolgens wordt deze ingericht door BSNk Sleutelbeheer. Dit gebeurt conform de procesbeschrijvingen SBP-001, 002 en 003.

• Technische aansluiting met BSNk gerealiseerd
• PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
• (Optioneel) Transformatie test-HSM van AD of EB ingericht

• AD, EB, MR of MU
• BSNk Sleutelbeheer

• Ontvangst kopie ondertekende aansluitdocumenten bij BSNk Stelselbeheer
• Technische aansluiting met BSNk gerealiseerd
• PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
• (Optioneel) Transformatie test-HSM van AD of EB ingericht

De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de ketentestomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU). BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de preproductieomgeving van BSNk.

De technisch contactpersoon van de AD, EB, MR of MU stuurt de IP-adressen vanaf waar getest gaat worden op naar de technisch aansluitcoördinator van BSNk. BSNk Stelselbeheer voegt deze IP-adressen toe aan de whitelist voor de relevante omgevingen:

• EB/MR/MU: Koppeldienst, Inzageregister en Stelselbeheer;
• AD: Koppeldienst en Stelselbeheer..

BSNk Sleutelbeheer genereert voor de preproductieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B).

Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de preproductieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR.

• Netwerkmetadata in preproductieomgeving BSNk geïmporteerd
• IP-adressen toegevoegd aan whitelist voor relevante omgevingen
• Sleutelmateriaal geïmporteerd in transformatie test-HSM van BSNk of AD of EB
• Verstrekt sleutelmateriaal geregistreerd
• (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst

• AD, EB, MR of MU
• BSNk Koppeldienst
• BSNk Sleutelbeheer
• BSNk Stelselbeheer
• Ministerie van BZK

• Netwerkmetadata in preproductieomgeving BSNk geïmporteerd
• IP-adressen toegevoegd aan whitelist voor relevante omgevingen
• Sleutelmateriaal geïmporteerd in transformatie test-HSM van BSNk of AD of EB
• (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst

De technisch contactpersoon van de AD, EB, MR of MU stemt minimaal 5 werkdagen voorafgaand aan de start de planning van de testen op de preproductieomgeving af met de technisch aansluitcoördinator van BSNk. De technisch aansluitcoördinator van BSNk zorgt dat er gedurende de testperiode op werkdagen tussen 8.00 en 17.00 uur capaciteit beschikbaar is voor eventuele vragen en/of het analyseren van problemen.

De AD, EB, MR of MU voert de testen uit conform de Checklist Testen. BSNk Stelselbeheer beoordeelt de resultaten verkregen van de technisch contactpersoon van de AD, EB, MR of MU.

Als de testen niet succesvol zijn uitgevoerd worden deze opnieuw ingepland.

De algemeen contactpersoon van de AD, EB, MR of MU geeft de technisch aansluitcoördinator van BSNk akkoord op de SNO en stuurt de ingevulde DAP retour.

• Testrapportage met bewijslast succesvol uitgevoerde testen
• Akkoord op SNO en ingevulde DAP retour

• AD, EB, MR of MU
• BSNk Stelselbeheer

• Testrapportage met bewijslast succesvol uitgevoerde testen
• Transformatie HSM van AD of EB ingericht

Als de AD of EB gebruik mag maken van een eigen transformatie HSM laat deze een onafhankelijk onderzoek uitvoeren. Hierbij moet worden vastgesteld dat de HSM voldoet aan de vereisten zoals voorgeschreven door het Ministerie van BZK. De technisch contactpersoon van de AD of EB levert de conformiteitsverklaring op aan de technisch aansluitcoördinator van BSNk.

De AD, EB, MR of MU rond de erkenningsprocedure van het Ministerie van BZK af. De secretaris van het Ministerie van BZK informeert de technisch aansluitcoördinator van BSNk als de AD, EB, MR of MU formeel is erkend.

• Onafhankelijke conformiteitsverklaring
• Notificatie erkenning AD, EB, MR of MU

• AD, EB, MR of MU
• BSNk Sleutelbeheer
• Ministerie van BZK

• Notificatie erkenning AD of EB
• (Optioneel) HSM in juiste rack geplaatst en benaderbaar vanaf netwerk AD of EB

• AD of EB
• BSNk Sleutelbeheer

• Akkoord op SNO en ingevulde DAP retour
• Notificatie erkenning AD, EB, MR of MU
• PKIo certifica(a)t(en) beschikbaar voor opzetten beveiligde verbinding en ondertekenen berichten
• (Optioneel) Transformatie HSM van AD of EB ingericht
• (Optioneel) Onafhankelijke conformiteitsverklaring

De technisch contactpersoon van de AD, EB, MR of MU stuurt de URL waarop de eigen metadata voor de productieomgeving wordt gepubliceerd op naar de technisch aansluitcoördinator van BSNk. Deze metadata is opgezet conform de specificaties van BSNk en bevat de publieke sleutel(s) van de PKIo certifica(a)t(en) welke gebruikt gaan worden voor het opzetten van een beveiligde verbinding en het ondertekenen van de berichten, en eventuele affiliations (d.w.z. relaties tussen AD en MU).

BSNk Stelselbeheer voegt de URL toe aan de aggregator voor import in de productieomgeving van BSNk.

BSNk Sleutelbeheer genereert voor de productieomgeving van BSNk sleutelmateriaal voor de EB, MR of MU in de sleutelbeheer HSM en importeert deze samen met BSNk Koppeldienst in de transformatie HSM. Als de AD of EB gebruik mag maken van een eigen transformatie HSM wordt het sleutelmateriaal hierop geïmporteerd. De AD,EB, MR of MU voegt de definitieve versie van het sleutelmateriaal toe aan de eigen metadata. BSNk Sleutelbeheer zorgt voor registratie van de verstrekte sleutels. Dit alles gebeurt conform de procesbeschrijving SBP-006 of 008 (deel A en B).

Het Ministerie van BZK bepaalt of persoonsgegevens die ingestuurd worden door de EB of MU bij een activatie geverifieerd moeten worden bij de GBA-V. Als dit niet noodzakelijk is voegt BSNk Koppeldienst het OIN van de EB of MU toe aan de zgn. GBA-V bypass lijst voor de productieomgeving van BSNk. Deze activiteit is niet relevant voor een AD of MR.

• Netwerkmetadata in productieomgeving BSNk geïmporteerd
• Sleutelmateriaal geïmporteerd in transformatie HSM van BSNk of AD of EB
• Verstrekt sleutelmateriaal geregistreerd
• (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst

• AD, EB, MR of MU
• BSNk Koppeldienst
• BSNk Sleutelbeheer
• BSNk Stelselbeheer
• Ministerie van BZK

• Netwerkmetadata in productieomgeving BSNk geïmporteerd
• Sleutelmateriaal geïmporteerd in transformatie HSM van BSNk of AD of EB
• (Optioneel) OIN EB of MU toegevoegd aan GBA-V bypass lijst

De AD, EB, MR of MU voert een smoketest uit om vast te stellen dat succesvol gekoppeld is met de productieomgeving van BSNk. De algemeen contactpersoon van de AD, EB, MR of MU bevestigt de aansluiting bij het Ministerie van BZK en de technisch aansluitcoördinator van BSNk.

De algemeen contactpersoon van de AD, EB, MR of MU informeert de technisch aansluitcoördinator van BSNk wie geïnformeerd moet worden bij onderhoud of storing van BSNk. BSNk Stelselbeheer zorgt dat deze personen toegevoegd worden aan de contactlijsten voor deze berichten.

• Notificatie bevestiging aansluiting
• Betrokkenen toegevoegd aan contactlijsten onderhouds- en storingsberichten

• AD, EB, MR of MU
• BSNk Stelselbeheer