Certificate pentru PSD2

Informații generale

Care sunt cerințele de reglementare pentru furnizorii terți care doresc să acceseze conturile bancare sau datele conturilor bancare?

Pentru a opera în UE, furnizorii terți au nevoie de o licență de la autoritatea națională competentă (NCA). Tipul de licență determină drepturile de acces ale furnizorului terț de a accesa datele contului prin interfața bancară în cadrul modelului său de afaceri.

Care sunt cerințele tehnice pentru furnizorii terți și băncile?

Pentru a obține acces la conturile bancare ca furnizor terț, o companie trebuie să se identifice cu unul sau mai multe certificate în timpul accesului automat. De asemenea, băncile folosesc un certificat pentru a se identifica față de furnizorii de servicii de plată care accesează. Certificatul servește drept „ID companie” în tranzacțiile de afaceri electronice. Articolul 34 din RTS (UE 2018/389) impune utilizarea certificatelor de autentificare a site-urilor web calificate (QWAC) sau a certificatelor de sigiliu electronic calificat (QSEAL).

Unde furnizorii terți și băncile pot obține certificate electronice în conformitate cu cerințele PSD2?

Certificatele electronice necesare sunt emise de un furnizor calificat de servicii de încredere (QTSP) înregistrat în UE. Licența NCA trebuie să fi fost eliberată furnizorului de servicii de plată înainte de aceasta. Dacă o bancă dorește să acționeze ca un furnizor terț pentru a accesa conturile altor bănci, are nevoie și de un QWAC și, eventual, de un QSEAL. Dacă banca deține deja o licență bancară completă, nu necesită licențiere separată de autoritatea sa națională competentă.

Care sunt cerințele pentru furnizorii de certificate de site-uri web calificate (QWAC) și certificate de sigilii electronice calificate (QSEAL)?

Furnizorii de certificate calificați sunt incluși în Lista de încredere a UE și trebuie să înregistreze compania la autoritatea națională competentă, precum și să facă o evaluare a conformității de către o terță parte la fiecare 24 de luni. Lista de încredere a UE creează relații de comunicare fiabile, autentificate și criptate (de exemplu, între cetățenii UE și site-uri web sau între sistemele IT).

Care sunt diferențele dintre diferitele tipuri de certificate și de care am nevoie?

Există certificate de site web calificat (QWAC), certificate de sigiliu electronic calificat (QSEAL) și certificate de validare extinsă (EV). QWAC înregistrează identitatea companiei care accesează și asigură canalul de comunicație (nivel de transport). Sigiliul protejează datele semnate de modificări. Face vizibile modificările ulterioare și documentează identitatea companiei care accesează (stratul de aplicație). Articolul 34 din RTS (UE 2018/389) impune furnizorilor terți să utilizeze QWAC sau QSEAL. Autoritatea bancară europeană (ABE) recomandă utilizarea atât a unui QWAC, cât și a unui QSEAL. Specificația NextGenPSD2 a Grupului Berlin necesită un QWAC. Băncile se pot identifica folosind un certificat QWAC sau EV. În acest din urmă caz, EBA recomandă un QWAC.

Solicitarea certificatelor live

Cererea pentru un certificat de site web calificat în conformitate cu PSD2 urmează un proces definit și obligatoriu?

Da, cererea pentru certificate de site web calificat urmează un proces definit. Pentru certificate reale, o terță parte trebuie să solicite mai întâi autorizarea ca furnizor de servicii de plată la autoritatea sa națională competentă (NCA). După acordarea licenței NCA, certificatul poate fi emis de un furnizor de servicii de încredere calificat. Este posibil să se aplice chiar înainte de autorizare. Instituțiile de credit CRR (bănci) care doresc, de asemenea, să acționeze ca furnizori de servicii de plată nu necesită autorizație suplimentară și pot aplica pentru toate rolurile din certificate.

Unde pot obține certificatele rădăcină sau CA de la QTSP pentru mediul productiv?

Puteți găsi certificatele CA ale tuturor QTSP-urilor în Lista de încredere a UE. Nu este nevoie să verificați certificatele rădăcină.

Care este semnificația abrevierilor PSP_AI, PSP_PI, PSP_AS și PSP_IC de pe certificat?

Regulamentul PSD2 (UE 2015/2366) recunoaște diferite roluri (drepturi) pentru furnizorii de servicii de plată. Abrevierile menționate mai sus sunt definite în standardul ETSI 119 495. Rolurile comune sunt serviciul de informații despre cont (PSP_AI) și serviciul de inițiere a plăților (PSP_PI). Alte roluri includ serviciile de cont (PSP_AS) și emiterea instrumentelor de plată pe bază de card (PSP_IC). Furnizorii de servicii de plată pot solicita unul sau mai multe dintre aceste roluri la Autoritatea Națională Competentă (ANC), după care vor fi înregistrați și li se pot elibera certificate cu aceste roluri.

Cum se poate verifica starea testului și a certificatelor live pentru revocare?

Atributul Puncte de distribuție a listei de revocări conține adrese URL pentru acces OCSP și CRL-uri.

Cum pot genera un CSR pentru a solicita un PSD2 QWAC?

Vă rugăm să rețineți că următoarea descriere se aplică numai certificatelor PSD2. Specificații diferite se aplică altor tipuri de certificate. Vă creați și gestionați propriile chei pentru QWAC, atât pentru certificatele de testare, cât și pentru certificatele live. Vă rugăm să utilizați o lungime minimă a cheii de 2048 pentru QWAC și 3072 pentru QSeal ID. Utilizați acest lucru pentru a genera o cerere de semnare a certificatului (CSR) care, pe lângă cheia publică, conține exact atributele O (organizație), OU (unitate organizatorică, opțional), CN (nume comun), C (codul țării) S (StateOrProvince), L (City). Toate celelalte atribute sunt preluate din pagina comenzii. Cu OpenSSL, generați CSR după cum urmează:

Vi se solicită să introduceți toate atributele și apoi introduceți valori pentru atributele menționate mai sus și „.” (Atribut gol) pentru celelalte. Vă rugăm să nu introduceți alte atribute, de ex. e-mail.

Dacă utilizați un alt program, vă rugăm să vă asigurați că CSR începe / se termină cu ÎNCEPE / ÎNCHEI CERTIFICAT CERERE. ÎNCEPE / ÎNCHEI CEREREA CERTIFICATULUI NOU este respinsă, editați CSR-ul dacă este necesar.

Încă generăm chei pentru cardul sigiliu, nu este necesar un CSR.

Cum se efectuează validarea domeniului?

Înainte de emiterea certificatului, verificăm dacă domeniul (CN) și domeniul alternativ (SAN) enumerate în certificat sunt sub controlul dumneavoastră. Ca o procedură standard, e-mailurile cu token de securitate sunt generate pentru fiecare domeniu solicitat și trimise la următoarele adrese:

admin @, administrator @, hostmaster @, webmaster @ și postmaster @

Ne așteptăm să fie trimis cel puțin un răspuns la adresa furnizată în e-mailul care conține acest simbol - adresa expeditorului nu este verificată. Puteți, de exemplu, să ne redirecționați e-mailul la adresa specificată.

Ce valori trebuie specificate în cererea pentru un ID NCA și un identificator PSP?

ID-ul NCA este un ID al autorității naționale de supraveghere financiară specificat de ETSI TS 119.495, de ex. DE-BAFIN, AT-FMA sau GB-FCA. Identificatorul PSP este un ID național unic atribuit de NCA în timpul licențierii. În majoritatea țărilor, este format din 4 până la 9 cifre. Majoritatea ANC-urilor au registre separate pentru TPP-uri și ASPSP-uri. Există, de asemenea, registre EBA centrale pentru TPPs și ASPSP . Aceste registre sunt încă în curs de configurare și nu au încă datele corecte în toate locurile. În caz de abateri, registrul național este relevant. Certificatul conține valoarea compusă, de ex. PSDGB-FCA-123456, ca atribut al solicitantului. Puteți găsi numele complet al ANC împreună cu rolurile solicitate în declarația QC (Declarație certificat calificat).

Cum este identificată o persoană fizică?

Pentru a elibera certificate calificate, trebuie să identificăm o persoană fizică, adică autentificarea semnăturii trebuie efectuată pentru verificarea identității. Pentru cardul sigiliu calificat PSD2, trebuie semnat un semnatar autorizat. Pentru QWAC și ID-ul PSD2 Qualified Seal, un semnatar autorizat poate delega acest lucru unei alte persoane, reprezentantul abonatului. Această autorizare se face de către semnatarul autorizat pe formularul de solicitare. În Germania, PostIdent este procedura standard de identificare. În alte țări, oferim identificarea de către reprezentanți ai ambasadelor și consulatelor germane sau de către notarii autorizați enumerați în Directorul european al notarilor .

În cazul în care solicitați mai multe certificate, trebuie să faceți procesul de identificare pentru fiecare dintre ele.

Solicitarea certificatelor de testare

Trebuie să depun o cerere la ANC-ul meu pentru a primi certificate de testare?

Certificatele de testare nu necesită o licență NCA.