[2/6] Typy certyfikatów eIDAS w PSD2

Wprowadzenie

Niniejszy artykuł jest drugim z cyklu artykułów traktujących o wykorzystaniu rozporządzenia eIDAS i certyfikatów kwalifikowanych w kontekście dyrektywy PSD2. W pierwszym opisaliśmy wymogi PSD2 wobec identyfikacji TPP w czasie korzystania z „interfejsu specjalnego” / ”interfejsu awaryjnego” ASPSP. W tym skupimy się na opisaniu samych certyfikatów i wskażemy moment ich użycia w trakcie realizacji usług AIS, PIS, Cof oraz „Interfejsu awaryjnego”.

Typy certyfikatów eIDAS w PSD2

Aby spełnić wymogi bezpieczeństwa, banki i dostawcy usług TPP będą używać certyfikatów kwalifikowanych dla stron internetowych i certyfikatów kwalifikowanych dla pieczęci elektronicznych. Certyfikaty te będą wydawane przez kwalifikowanych dostawców usług zaufania (QTSP) w oparciu o nowy standard techniczny ETSI TS 119 495, który został opublikowany w maju 2018 r. Kwalifikowane certyfikaty umożliwiają identyfikację i weryfikację instytucji płatniczej przez stronę trzecią. Identyfikacja będzie opierać się na nazwie prawnej organizacji, numerze rejestracyjnym i głównej roli (rolach) w obszarze płatności.

Certyfikaty

Istnieją dwa rodzaje certyfikatów bezpośrednio wspierających PSD2.

Kwalifikowany certyfikat uwierzytelniania witryny internetowej (QWAC), który pozwala obu stronom (bankom i usługodawcom) na wzajemną identyfikację i budowę bezpiecznego kanału do przeprowadzania transakcji. W momencie nawiązywania połączenia obie strony używają certyfikatów
i odpowiednich kluczy prywatnych do potwierdzenia tożsamości i nawiązania bezpiecznej komunikacji mTSL. W tym procesie potwierdzona jest poprawność, ważność certyfikatu kwalifikowanego, w tym status kwalifikowanego dostawcy usług zaufania, który wystawił certyfikat. Bezpieczny kanał chroni poufność i autentyczność.
Kwalifikowany certyfikat pieczęci (QSealC), który umożliwia stemplowanie wszystkich dowodów, w tym wszystkie żądania danych i transakcji oraz potwierdzenia. Umożliwia to opieczętowanie wszystkich istotnych informacji w komunikacji, co z kolei chroni autentyczność i integralność danych. Dzięki tej metodzie, jeśli wymiana informacji będzie potrzebna jako dowód w sporze, strona ufająca może potwierdzić, kto był jej twórcą i że informacje nie zostały zmienione od czasu jej utworzenia.

Teraz potrafimy już zidentyfikować typy certyfikatów występujących w procesie zestawiania połączenia między TPP i ASPSP oraz wymiany informacji między tymi podmiotami. Kwalifikowany certyfikat uwierzytelniania witryny internetowej wykorzystujemy w czasie zestawiania bezpiecznego kanału TSL. Kwalifikowany certyfikat pieczęci wykorzystujemy w czasie wymiany komunikatów w zestawionym wcześniej bezpiecznym kanale.

Certyfikaty wykorzystujemy w ten sam sposób w kontekście „interfejsu specjalnego” oraz „interfejsu awaryjnego”. Najbardziej dojrzałym standardem API „interfejsu specjalnego” jest OpenBanking GB. Od wersji 3.1 wydanej w listopadzie 2018 możemy się posługiwać certyfikatami QWAC oraz QSealC. Tym samym OpenBanking GB spełnił wymogi RTS. Nasz rodzimy standard nie wspomina o certyfikatach eIDAS. Nie oznacza to, że PolishAPI nie wspiera wykorzystania tych certyfikatów. Prawdopodobnie autorzy standardu zakładają, że ponieważ RTS’y jawnie wymagają certyfikatów eIDAS, to PolishAPI nie musi już tego powtarzać. W kolejnym artykule opiszemy, jak zastosować certyfikaty eIDAS w połączeniu ze standardem PolishAPI.

Marcin Parczewski

Założyciel i CEO Inteca oraz autor rozwiązania APILOGIC. Doświadczony architekt systemów, projektant zaawansowanych usprawnień biznesowych i praktyk cyfrowych transformacji w dużych korporacjach.