[5/6] Certyfikaty eIDAS i role TPP w PSD2

Wprowadzenie

Niniejszy artykuł jest piątym z cyklu artykułów traktujących o wykorzystaniu rozporządzenia eIDAS i certyfikatów kwalifikowanych w kontekście dyrektywy PSD2. Opiszemy w nim relację między certyfikatami PSD2 oraz licencją/wpisem do rejestru instytucji płatniczych.

Certyfikaty eIDAS i role TPP w PSD2

Jednym z często dyskutowanych problemów w kontekście PSD2 jest synchronizacja informacji między rejestrem instytucji płatniczych, a informacjami zawartymi w certyfikacie. W skrócie problem przedstawia się następująco:

Firma występuje do organu nadzorującego (KNF) o wpis do rejestru instytucji płatniczych.
Po otrzymaniu wpisu do rejestru firma udaje się do QTSP po certyfikaty.
QTSP na podstawie wpisu w rejestrze i zgodnie ze standardem ETSI TS 119 495 wydaje certyfikaty QSealC oraz QWAC.
Instytucja płatnicza wraz z otrzymanymi certyfikatami przedstawia się ASPSP i podpisuje wysyłane widomości w czasie korzystania z „interfejsu specjalnego” oraz „interfejsu awaryjnego”.

Teraz powstają pytania:

Co się stanie w sytuacji, gdy organ nadzorujący odbierze PSP licencję i usunie PSP z rejestru instytucji płatniczych? Czy certyfikat jest dalej ważny? Czy organ nadzorujący poinformuje QTSP, aby unieważnił certyfikat?
Czy ASPSP oprócz walidacji certyfikatu eIDAS musi sprawdzić jeszcze status PSP w rejestrze instytucji płatniczych? Gdzie ten rejestr się znajduje?
Czy w rejestrze instytucji płatniczej można automatycznie odpytywać o status konkretnej instytucji płatniczej? Czy rejestr instytucji płatniczych zawiera wszystkie podmioty, które mogą korzystać
z „interfejsu specjalnego” / ”interfejsu awaryjnego”?

Odpowiedzi na wyższej postawione pytania przedstawiają się następująco:

Jeżeli chodzi o punkt pierwszy, to EBA zauważyła ten problem i wydała opinię, w której opisała proces (oparty na mailach) unieważnienia certyfikatu. Jak wiemy, opinie EBA nie są wiążące, więc przyszłość pokaże czy ten proces będzie działał.

Jeżeli chodzi o punkt drugi, to dla bezpieczeństwa finansowego ASPSP, oprócz walidacji certyfikatu, powinno się sprawdzić status PSP w rejestrze. W certyfikacie mamy informacje na temat roli, w której może występować PSP. Nie mamy jednak informacji na temat paszportyzacji. Takie informacje możemy znaleźć tylko w rejestrze instytucji płatniczych. Rejestr instytucji płatniczych prowadzi właściwy organ krajowy (np.: KNF w Polsce). Na szczęście EBA wyciągnęła pomocną dłoń do ASPSP i udostępniła centralny rejestr, w którym możemy odnaleźć informacje na temat PSP z całej Europy.

W odpowiedzi na ostatnie pytanie należy zauważyć, że rejestr EBA można automatycznie odpytać w celu pobraniu informacji o statusie PSP. Problem jest jednak taki, że rejestr ten nie zawiera informacji na temat instytucji kredytowych, które są również PSP i mogą korzystać z „interfejsu specjalnego” / ”interfejsu awaryjnego” ASPSP. W skrócie Bank może korzystać z interfejsów drugiego Banku. EBA oczywiście prowadzi rejestr instytucji kredytowych, ale problem polega na tym, że ten rejestr ten trudno automatycznie odpytać (chyba, że mamy dobre narzędzia do „sreen scrapingu”).

Finalnie, mamy zatem dwa rejestry, z którymi „interfejs specjalny / awaryjny” musi współpracować w czasie weryfikacji tożsamości PSP/TPP.

Na koniec jeszcze kilka słów na temat samego certyfikatu eIDAS pod PSD2, a dokładnie o rozszerzeniu, które jest opisane w standardzie ETSI TS 119 495. Nie będę tutaj przytaczał zawartości tego standardu, ponieważ czyta się go bardzo dobrze. O ile się nie mylę autorem tego standardu jest Pan Michał Tabor. Nadmienię tylko, że oprócz standardowych pól certyfikatu eIDAS, standard dodaje pola, które umożliwiają nam sprawdzenie:

Numeru autoryzacji;
Ról, w których może wystąpić instytucja płatnicza (PSP_AS, PSP_PI, PSP_AI, PSP_IC)

Zakończenie naszego cyklu artykułów wymaga jeszcze przedstawienia rozwiązania IT, które zaadresuje
dotychczasowe wymagania/ograniczenia i pozwoli:

automatycznie walidować certyfikaty TPP (QSealC, QWAC) dla PSD2
potwierdzić tożsamość PSP
wyciągać z certyfikatów odpowiednie informacje niezbędne do uwierzytelniania i autoryzacji (np.: role czy informacje o paszportyzacji PSP).
sprawdzić status licencji w rejestrze EBA.

O tym będzie traktował ostatni wpis. Przedstawimy w nim nasze rozwiązanie TPP Validator.

Marcin Parczewski

Założyciel i CEO Inteca oraz autor rozwiązania APILOGIC. Doświadczony architekt systemów, projektant zaawansowanych usprawnień biznesowych i praktyk cyfrowych transformacji w dużych korporacjach.