Co to jest TPP Validator?
Ogłoszona w 2016 roku dyrektywa unijna PSD2 (Payment Service Directive 2) wdraża na rynku europejskim otwarte API bankowe, umożliwiając podmiotom trzecim inicjowanie przelewów i dostęp do bankowych rachunków klientów. Dyrektywa i standardy regulacyjne wymagają, aby wszystkie transakcje były obsługiwane za pośrednictwem bezpiecznych kanałów, a wszystkie dane były chronione pod względem autentyczności i integralności.
Kwalifikowane certyfikaty wspierające PSD2
Aby spełnić wymogi bezpieczeństwa, banki (czy też ogólnie dostawcy usług płatniczych prowadzącego rachunek, account servicing payment service provider, ASPSP) i zewnętrzni dostawcy usług PSD2 (Third Party Provider, TPP) będą używać certyfikatów kwalifikowanych dla stron internetowych(QWAC) i certyfikatów kwalifikowanych dla pieczęci elektronicznych(QSealC). Certyfikaty te będą wydawane przez kwalifikowanych dostawców usług zaufania (QTSP) w oparciu o nowy standard techniczny ETSI TS 119 495, który został opublikowany w maju 2018r.
Walidacja kwalifikowanego certyfikatu EIDAS
Opisane powyżej certyfikaty QWAC oraz QSealC muszą być kwalifikowanymi certyfikatami zgodnymi z rozporządzeniem EIDAS. W celu walidacji kwalifikowanego certyfikatu EIDAS walidujący musi znacznie rozszerzyć narzędzia walidujące. Musi między innymi zaadresować następujące wyzwania:
- Lista certyfikatów PSP do walidacji nie jest znana i jest zmienna w czasie.
- Certyfikaty PSP mogą być wydawane przez QTSP w całej Unii Europejskiej.
- Liczba certyfikatów CA Root używana przez QSTP nie jest znana i jest zmienna w czasie. (aktualnie jest ich ponad 200).
- Atrybuty niezbędne do walidacji (np.: link do listy CRL) mogą znajdować się poza certyfikatem (np.: na listach TSL).
Wobec powyższego nie jest możliwe wykorzystanie standardowych narzędzi, do walidacji certyfikatu, opartych o sprzętowe rozwiązania takie jak: NetScaler czy F5.
Rejestr instytucji płatniczych i kredytowych
ASPSP poza walidacją certyfikatów przed wykonaniem transakcji muszą potwierdzić, że TPP:
- jest autoryzowany przez właściwy organ krajowy
- jest zatwierdzony do wykonywania roli PSP, która jest zgodna z jego prośbą API
- posiada „paszportyzację” na wykonywanie usług w danym kraju.
Weryfikacja powyższych wymagań możliwa jest poprzez potwierdzenie stanu faktycznego w rejestrach prowadzonych przez właściwy organ krajowy. Drugą możliwością jest odpytanie rejestru EBA, który na mocy dyrektywy PSD2 musi być na bieżąco aktualizowany przez właściwy organ krajowy.
Wymagania
Wymagania, które powinny zostać zrealizowane przez ASPSP, aby spełnić wymagania RTS w kontekście Artykułu 33 oraz 34:
- Walidację w czasie rzeczywistym kwalifikowanego certyfikatu EIDAS uwierzytelniania witryny internetowej (QWAC).
- Walidację w czasie rzeczywistym kwalifikowanego certyfikatu EIDAS pieczęci (QSealC).
- Walidację w czasie rzeczywistym stanu faktycznego licencji/wpisu do rejestru.
Rozwiązanie APILogic TPP Validator poprzez dostarczaną funkcjonalność wspiera realizację wymagań opisanych w Artykule 33 oraz 34 rozporządzenia delegowanego Komisji 2018/389 (RTS).
Interesują Cię rozwiązania z zakresu APILogic TPP Validator ?
Przetestuj TPP Validator
Zakres usługi – APILogic TPP Validator
APILogic TPP Validator to oprogramowanie do sprawdzania certyfikatów oraz stanu licencji/wpisu do rejestru instytucji płatniczych. APILogic Validator wykonuje swoje funkcjonalności zgodnie z prawodawstwem europejskim. W szczególności wspiera rozporządzenie eIDAS, dyrektywę PSD2 i powiązane standardy
Zakres usługi APILogic TPP Validator:
- wsparcie weryfikacji tożsamości TPP poprzez walidację kwalifikowanego certyfikatu uwierzytelniania witryny internetowej QWAC
- wsparcie potwierdzenia integralności oraz autentyczności dokumentów wysyłanych przez TPP poprzez walidację kwalifikowanego certyfikatu pieczęci (QSealC).
- potwierdzenie aktualnego statusu licencji oraz wpisu do rejestru PSP poprzez odpytanie rejestru EBA o stan faktyczny.
APILogic TPP Validator może zostać wdrożony w dwóch modelach:
- jako komponent PROXY z funkcją walidacji
- jako usługi walidacyjne REST
Komponent PROXY z funkcją walidacji
APILogic TPP Validator posiada moduł PROXY, który przed przekazaniem żądania do interfejsu awaryjnego wykonuje walidację certyfikatu. Zapewnia tym samym wymagania art. 33/34 standardu RTS.
Usługi walidacyjne REST
W tym modelu APILogic TPP Validator dostarcza usługi REST, które walidują żądania PSP przekazane do API Gateway. API Gateway przed przekazanie żądania do faktycznych usług PSD2 wywołuje APILogic TPP Validator w celu walidacji certyfikatu oraz licencji PSP.
Rozwiązanie dostarcza następujące usługi typu REST:
- validatePSD2certificate
- validatePSD2license
validatePSD2license
Druga usługa na wejściu przyjmuje numer licencji TPP i zwraca informacje o:
- statusie licencji
- rolach PSD2 przypisanych do TPP
- statusie paszportyzacji
validatePSD2certificate
Pierwsza z usług na wejściu przyjmuje certyfikat TPP i waliduje go zgodnie z wymogami rozporządzenia EIDAS oraz wymogami EBA. Usługa w odpowiedzi zwraca informacje o:
- statusie certyfikatu
- rolach PSD2 w których TPP może występować (AISP, PISP)
- numerze licencji TPP
- typ certyfikatu: QWAC, QSealC