Viestintäviraston määräyksen 72/2016 muuttaminen

Transkriptio

1 Valmistelumuistio M72A määräysmuutos, tupas 1 (25) n määräyksen 72/2016 muuttaminen Sähköisen tunnistamisen tupasmuutosten siirtymäajan jatkaminen Muutosehdotus ja vaikutusarviointi tunnistuspalveluiden ja niitä käyttävien asiointipalveluiden ja käyttäjien kannalta Kommenttipyyntö ja kutsu valmistelutilaisuuksiin Tämän valmistelumuistion kysymyksistä pyydetään toimittamaan kommentteja on osoitteeseen eidas{at}ficora.fi kutsuu kaikki asiasta kiinnostuneet sidosryhmät kuulemistilaisuuksiin ja työpajoihin klo ja klo Ilmoittautumisohjeet ja tilaisuuksien asialistat tiedotetaan eidastyöryhmän ja luottamusverkoston yhteistyöryhmän sähköpostijakeluilla. Niitä, jotka eivät ole mukana näissä jakeluissa, pyydetään olemaan yhteydessä osoitteella eidas{at}ficora.fi

2 M72A 2 (25) VIESTINTÄVIRASTON MÄÄRÄYKSEN 72/2016 MUUTTAMINEN 72A/ MUUTOSHANKKEEN SISÄLTÖ, TAVOITTEET JA AIKATAULU MUUTETTAVA MÄÄRÄYS LÄHTÖTILANNE TUPAS-VAATIMUSTEN SIIRTYMÄAJAN JATKAMISEN SYYT MUUTOSTYÖN TAVOITTEET AIKATAULU JA SIDOSRYHMÄT KUVA, LUOTTAMUSVERKOSTON OSAPUOLET JA ASIAKKAAT SEKÄ RAJAPINNAT PYKÄLÄLUONNOKSET JA PERUSTELUT ASIAAN LIITTYVÄT MÄÄRÄYKSEN SÄÄNNÖKSET TUNNISTUSJÄRJESTELMÄN JA RAJAPINTOJEN SALAUSVAATIMUKSET TIETOTURVAVAATIMUKSET TUNNISTUSVÄLINEEN TARJOAJAN JA TUNNISTUSVÄLITYS-PALVELUN TARJOAJAN VÄLISESSÄ RAJAPINNASSA TIETOTURVAVAATIMUKSET ASIOINTIPALVELURAJAPINNASSA LUOTTAMUSVERKOSTOSSA VÄLITETTÄVÄT VÄHIMMÄISTIEDOT PYKÄLÄLUONNOS... 9 MUUTETTAVA SÄÄNNÖS 25 VOIMAANTULO JA SIIRTYMÄSÄÄNNÖKSET MÄÄRÄYKSEN PERUSTELUT Tupas-toteutuksiin vaaditut muutokset Perustelut siirtymäajan jatkamiselle (25 ) VAIKUTUSARVIOINTI TUNNISTUSMENETELMÄN ELI PANKKITUNNUSTEN KÄYTTÄJÄT ASIOINTIPALVELUT (LUOTTAVAT OSAPUOLET) TUNNISTUSVÄLINEEN TARJOAJAT (ERITYISESTI PANKIT) MUUT TUNNISTUSPALVELUT PSD2-SÄÄNTELY VUODEN 2016 MÄÄRÄYSVALMISTELUN VAIKUTUSARVIOINNIT TUPAS-VAATIMUKSISTA [MPS72 kohta 3.4.2] Rajapinnat: protokollien sääntely [MPS72 kohta 3.4.4] Rajapinnat: TUPAS-kysymykset SÄÄDÖSPOHJA TUNNISTUS- JA LUOTTAMUSPALVELULAKI VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUNTARJOAJIEN LUOTTAMUSVERKOSTOSTA 169/ KOMISSION VARMUUSTASOASETUS MUU SÄÄNTELY: MAKSUPALVELULAKI JA PSD2 KOMISSION TEKNINEN SÄÄNTELYSTANDARDI (RTS)... 24

3 M72A 3 (25) 1 Muutoshankkeen sisältö, tavoitteet ja aikataulu 1.1 Muutettava määräys n määräys 72/2016 M sähköisistä tunnistus- ja luottamuspalveluista päivitetään versioksi M 72 A/2018. Määräyksen siirtymäaikasäännöstä 25 muutetaan. Määräyksen soveltamis- ja perustelumuistio päivitetään versioksi MPS72A. Voimassa oleva määräys ja MPS löytyvät viraston verkkosivuilta Lähtötilanne Vahvan sähköisen tunnistusmenetelmän vaatimukset säädetään vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista annetussa laissa (617/2009, tunnistus- ja luottamuspalvelulaki). Laissa viitataan EU:n komission nk. varmuustasoasetuksen (EU) 2015/1502 vaatimuksiin. on tarkentanut vaatimuksia lain määräysvaltuutuksen perusteella määräyksellä 72/2016 M. Laki- ja EU-asetus löytyvät viraston verkkosivuilta. 2 arvioi vuonna 2016, että pankkitunnistuksessa käytössä oleva tupas-protokollaan perustuva toteutus ei täytä kaikilta osin lain ja EU:n varmuustasoasetuksen mukaisia turvallisuusvaatimuksia (ks. tarkemmin kohdassa 4.6). määräsi siksi annetussa määräyksessä 72/2016 muutosvaatimuksia tupas-protokollan käytölle vahvassa sähköisessä tunnistamisessa ja muutoksille määrättiin siirtymäaikaa asti. Vaatimukset liittyvät erityisesti puuttuvaan sanomatason salaukseen tunnistustapahtumissa. Tupas-protokolla on Finanssiala ry:n hallinnoima. FA:n kuvaus Tupastunnistuspalvelun käytöstä (Pankkien Tupas-tunnistuspalvelun tunnistusperiaatteet V2.0c ) löytyy FA:n verkkosivuilta. 3 FA on ilmoittanut vuonna 2016, että se ei kehitä tupas-protokollaa keskitetysti. Siten muutosten suunnittelu on jäänyt kunkin tupas-protokolla hyödyntävän pankin tai muun toimijat itse tehtäväksi ja viestittäväksi omille asiakkaille. Pankit eivät n tiedon mukaan ole toteuttamassa muutoksia määräajassa. Pankkitunnistus on toistaiseksi laajimmin käytössä oleva vahva sähköinen tunnistusmenetelmä Suomessa eli merkittävä osa asiointipalveluista käyttää asiakkaidensa tunnistamiseen pankkitunnistusta. Lisäksi käytössä ovat mobiilivarmenteet ja henkilökortilla oleva VRK:n tarjoama kansalaisvarmenne sahkoisistatunnistus-jaluottamuspalveluista.html

4 M72A 4 (25) 1.3 Tupas-vaatimusten siirtymäajan jatkamisen syyt on päättänyt arvioida uudelleen tupas-protokollaan perustuvien toteutusten vaatimusten siirtymäaikaa seuraavista syistä: Muutostarpeet vaikuttavat asiointipalveluihin, joilla on käytössä asiakkaiden pankkitunnistus. Koska pankkien ja muiden toimijoiden muutostoimenpiteet järjestelmien muuttamiseksi ja muutosten ottamiseksi käyttöön suhteissaan asiointipalveluihin ovat viivästyneet, asiointipalveluille ei olisi enää riittävästi aikaa muutoksille määräyksen alkuperäisessä aikataulussa. n määrittelyt SAML ja OIDC-rajapinnoista, joiden käyttöönotto tupas-protokollan sijaan on yksi vaihtoehto muutoksen toteuttamiselle, on julkaistu tavoiteaikataulusta myöhässä vasta tammikuussa Maksupalveludirektiivin (PSD2) nojalla annettavat tekniset vaatimukset (EU:n komission tekninen sääntelystandardi RTS, ks. tarkemmin kohta ) vahvalle tunnistukselle maksupalveluissa ovat tulossa voimaan asteittain syksyyn 2019 mennessä. Muutoksia on hyvä tarkastella yhdessä, jotta ne olisivat selkeitä asiointipalveluiden kannalta. 1.4 Muutostyön tavoitteet Muutostyön tavoitteet ovat seuraavat Kaikki nykyiset tunnistuspalvelun tarjoajat ryhtyvät selkeällä aikataululla toteuttamaan muutoksia tupas-protokollaan perustuvien nykytoteutusten tietoturvallisuuden ja yhteentoimivuuden parantamiseksi. Asiointipalveluilla ja näille palveluita tarjoavilla ICT-toimijoilla on selkeät tiedot asiointipalveluihin tarvittavista muutoksista sekä tietoa tunnistuspalveluiden luottamusverkostosta saatavilla olevista tunnistuspalveluista. Käyttäjillä on tietoa siitä, miksi vahvaa tunnistamista ei voi käyttää tietoturvaltaan pahasti vanhentuneilla laitteilla ja selaimilla. Pankit ja muut toimijat voivat yhdistää muutossuunnittelun ja viestinnän mahdollisuuksien mukaan maksupalveludirektiivin (PSD2) RTS -muutosten kanssa. 1.5 Aikataulu ja sidosryhmät arvioi, että muutos vaikuttaa erityisesti asiointipalveluihin ja toivoo muutostyöhön mukaan erityisesti asiointipalveluiden edustajia. Työtä varten ei nimetä työryhmää, koska n sidosryhmäyhteistyö on viime vuosina ollut erittäin laajaa ja aktiivista ja sidosryhmät ovat hyvin tavoitettavissa. Seuraavassa taulukossa on n alustava suunnitelma muutostyön aikatauluksi. Aikataulu on laadittu tiukaksi, koska vaatimukset ovat sinänsä olleet tiedossa määräyksessä jo loppuvuodesta 2016 ja kysymys on 4

5 M72A 5 (25) ainoastaan aikataulun jatkamisesta. arvioi tärkeäksi vahvistaa siirtymäajan ripeästi, jotta vahvaa sähköistä tunnistusta tarjoavat toimijat ottavat sen ajoissa huomioon suunnittelussaan. PVM Toimenpiteet huomioita vko vko vko klo vko vko klo vkot vkot Määräysmuutos- ja vaikutusarviointiluonnoksen julkaiseminen sisältää lausuntopyynnön ja kutsun kuulemistilaisuuksin 1. kirjalliset kommentit lle kuulemistilaisuus 1 ssa 2. kirjalliset kommentit lle kuulemistilaisuus 2 ssa Määräysmuutoksen lausuntoaika Kirjalliset lausunnot lle viimeistään Määräyksen antaminen ja julkaisu mukaan työhön pyritään saamaan erityisesti asiointipalveluiden edustajia mahdollisuus kaikille sidosryhmille, tähän mennessä toimitettu palaute voidaan huomioida 5.3. tilaisuudessa tarvittaessa osa ajasta workshop-tyyppisesti mahdollisuus kaikille sidosryhmille, tähän mennessä toimitettu palaute voidaan huomioida tilaisuudessa osa ajasta workshoptyyppisesti toisessa kuulemistilaisuudessa on tarkoitus paneutua m. erityisesti viestinnän toteuttamiseen yhteistyössä sidosryhmien kanssa (workshop) virallinen lausuntokierros määräysmuutoksesta ja perusteluista

6 M72A 6 (25) Kuva, luottamusverkoston osapuolet ja asiakkaat sekä rajapinnat Yllä oleva kuva on mukana voimassa olevan määräyksen perustelumuistiossa MPS72. Nyt valmisteltava muutos kohdistuu erityisesti tunnistusvälityspalvelun ja asiointipalvelun väliseen rajapintaan. Vahvan sähköisen tunnistuspalvelun tarjoajat, jotka ovat tehneet on tunnistus- ja luottamuspalvelulain (617/2009) mukaisen ilmoituksen ja jotka täyttävät lain vaatimukset, muodostavat alkaen tunnistuspalvelun tarjoajien luottamusverkoston. Luottamusverkostossa on lain mukaan kaksi erilaista tunnistuspalveluiden tarjoamisen roolia. Tunnistuspalvelun tarjoaja voi tarjota sähköisiä tunnistusvälineitä loppukäyttäjille (tunnistusvälineen tarjoaja) tai se voi välittää (tunnistusvälityspalvelun tarjoaja) tunnistustapahtumia sähköisten asiointipalveluiden tarjoajille (asiointipalvelu, luottava osapuoli). Myös käyttäjille tunnistusvälinettä tarjoava yhteisö voi toimia ja toimii tunnistusvälityspalvelun roolissa, kun se tarjoaa sähköistä tunnistusta itse suoraan asiointipalvelulle.

7 M72A 7 (25) Luottamusverkoston toimintamallin tavoitteena on, että sähköiset asiointipalvelut voivat hankkia sähköistä tunnistamista asiointipalveluunsa keskitetysti tunnistusvälityspalvelulta tarvitsematta tehdä sopimuksia kaikkien tunnistusvälineen tarjoajien kanssa. Tunnistusvälineen tarjoajia n rekisterissä ovat (tilanne 2/2018) pankit, teleyritykset ja VRK. Tunnistusvälityspalveluita ovat Fujitsu, Idemia, Nets ja Signicat. Myös tunnistusvälineen tarjoajat tarjoavat tunnistusvälitystä asiointipalveluille vähintään omalla välineellään, osa myös muiden välineillä. Signom Oy ja Checkout Oy ovat tehneet ilmoituksen tunnistusvälityksen tarjoamisesta, mutta ilmoitusten käsittely on kesken ssa ja niitä ei ole vielä rekisteröity. Rekisteri löytyy viraston verkkosivuilta. 5 Tunnistusvälityspalveluiden tarjonnan laajuus riippuu siitä, kuinka paljon ne ovat saaneet solmittua sopimuksia tunnistusvälineiden tarjoajien kanssa. 3 Pykäläluonnokset ja perustelut 3.1 Asiaan liittyvät määräyksen säännökset Tähän kohtaan on koottu voimassaolevan määräyksen 72/2016 pykälät, jotka liittyvät muutokseen. Varsinainen muutos tarvitaan vain 25 :ään, muut pykälät ovat tässä mukana kokonaisuuden hahmottamiseksi. Muutoksen tai viestinnän kannalta keskeiset kohdat on merkitty alleviivauksella. 7 Tunnistusjärjestelmän ja rajapintojen salausvaatimukset Tunnistuspalveluntarjoajien välisten ja tunnistuspalveluntarjoajan ja asiointipalvelun välisten rajapintojen liikenne on salattava. Salauksessa, avaintenvaihdossa sekä salaukseen liittyvässä allekirjoituksessa on noudatettava seuraavia menetelmiä: 1) Avaintenvaihto: Avaintenvaihdossa on käytettävä DHE-menetelmiä tai elliptisiä käyriä käyttäviä ECDHE-menetelmiä. Laskutoimituksissa käytetyn äärellisen kunnan (finite field) koon tulee olla DHE-menetelmässä vähintään 2048 bittiä ja ECDHE-menetelmässä vähintään 224 bittiä. 2) Allekirjoitus: Käytettäessä RSA:ta sähköiseen allekirjoitukseen, avaimen pituuden tulee olla vähintään 2048 bittiä. Käytettäessä elliptisen käyrän menetelmää ECDSA:ta alla olevan kunnan koon tulee olla vähintään 224 bittiä. 3) Symmetrinen salaus: Salausalgoritmin on oltava AES tai Serpent. Avaimen pituuden tulee olla vähintään 128 bittiä. Salausmoodin on oltava CBC, GCM, XTS tai CTR. 5 tunnistamispalveluntarjoajista.html

8 M72A 8 (25) 4) Tiivistefunktiot: Tiivistefunktion on oltava SHA-2, SHA-3 tai Whirlpool. SHA-2:lla tarkoitetaan funktioita SHA224, SHA256, SHA384 ja SHA512. Salausasetukset tulee teknisesti pakottaa edellä lueteltuihin vähimmäistasoihin, jotta yhteyskättelyissä ei päädyttäisi vähimmäistasoja heikompiin asetuksiin. Mikäli yhteyskäytännössä käytetään TLS-protokollaa, tulee käyttää vähintään TLS versiota 1.2 tai uudempaa versiota. TLS versiota 1.1 voi käyttää ainoastaan, jos käyttäjän päätelaite ei tue uudempia versioita. Henkilötietoja sisältävien sanomien eheys ja luottamuksellisuus on suojattava edellä 1 momentissa tarkoitetun liikenteen salauksen lisäksi sanomatasolla 1 momentin mukaisesti. Tunnistusjärjestelmässä säilytettävien tietojen eheydestä ja luottamuksellisuudesta on huolehdittava. Jos tiedon suojaaminen perustuu ainoastaan niiden salaukseen, sovelletaan edellä 1 momentissa allekirjoittamisen, symmetrisen salaamisen ja tiivistefunktioiden vaatimuksia. 8 Tietoturvavaatimukset tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa Salausmenetelmien tulee täyttää edellä 7 :n 1-4 momentissa määrätyt vaatimukset. Osapuolten tunnistamisessa ja tunnistamisessa tarvittavan tiedon välityksessä tulee käyttää metadataa tai vastaavia menettelyitä, jotka takaavat vastaavan tietoturvatason. Kaikki henkilötiedot tulee salata ja allekirjoittaa sanomatasolla. 9 Tietoturvavaatimukset asiointipalvelurajapinnassa Tunnistusvälityspalvelun tarjoajan ja asiointipalvelun välisen rajapinnan tulee täyttää edellä 7 :n 1-4 momentissa määrätyt vaatimukset. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tulee huolehtia henkilötietojen luottamuksellisuudesta ja eheydestä asiointipalvelu- ja käyttäjärajapinnassa. 12 Luottamusverkostossa välitettävät vähimmäistiedot Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on välitettävä: 1) luonnollista henkilöä koskevassa tunnistustapahtumassa ainakin henkilön yksilöivä tunniste, henkilön etunimi, henkilön sukunimi ja henkilön syntymäaika; 2) oikeushenkilöä koskevassa tunnistustapahtumassa ainakin oikeus-henkilöä edustavan luonnollisen henkilön yksilöivä tunniste, henkilön sukunimi, henkilön etunimi ja organisaation yksilöivä tunniste; sekä 3) tieto tunnistusvälineen korotetusta tai korkeasta varmuustasosta. Tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välisessä rajapinnassa on oltava valmius välittää:

9 M72A 9 (25) 1) tieto siitä, koskeeko tunnistustapahtuma julkisen hallinnon asiointipalvelua vai yksityistä asiointipalvelua; 2) luonnollista henkilöä koskevassa tunnistustapahtumassa etunimi (-nimet) ja sukunimi (-nimet) syntymähetkellä, syntymäpaikka, nykyinen osoite ja sukupuoli; 3) oikeushenkilöä koskevassa tunnistustapahtumassa a) nykyinen osoite; b) arvonlisäverotunniste; c) verorekisterinumero; d) Euroopan parlamentin ja neuvoston direktiivin 2009/101/EY 6 3 artiklan 1 kohdassa tarkoitettu tunniste; e) komission täytäntöönpanoasetuksessa (EU) N:o 1247/ tarkoitettu oikeushenkilötunnus (LEI); f) komission täytäntöönpanoasetuksessa (EU) N:o 1352/ tarkoitettu taloudellisen toimijan rekisteröinti- ja tunnistenumero (EORI-numero); sekä g) neuvoston asetuksen N:o 389/ artiklan 12 kohdassa tarkoitettu valmisteveronumero. Huomioita 12 2 momentista - SAML ja OIDC-määrittelyissä optionaaliset attribuutit on huomioitu - On hyvä huomata, että valmius ei tarkoita, että kyseisiä tietoja olisi käytettävä - Optionaaliset attribuutit ovat yhdenmukaiset rajat ylittävän tunnistamisen ei- DAS-vaatimusten kanssa - Oikeushenkilön attribuutit tulevat ajankohtaisiksi vasta, jos ryhdytään tarjoamaan oikeushenkilön vahvaa sähköistä tunnistusta - Onko tarpeen määritellä tupas-protokollaa käytettäessä optionaalisille attribuuteille sama siirtymäaika kuin tietoturvamuutoksille? 3.2 Pykäläluonnos Muutoksen tai viestinnän kannalta keskeiset kohdat on merkitty alleviivauksella. 6 Euroopan parlamentin ja neuvoston direktiivi 2009/101/EY, annettu 16 päivänä syyskuuta 2009, niiden takeiden yhteensovittamisesta samanveroisiksi, joita jäsenvaltioissa vaaditaan perustamissopimuksen 48 artiklan toisessa kohdassa tarkoitetuilta yhtiöiltä niiden jäsenten sekä ulkopuolisten etujen suojaamiseksi (EUVL L 258, , s. 11). 7 Komission täytäntöönpanoasetus (EU) N:o 1247/2012, annettu 19 päivänä joulukuuta 2012, kauppatietorekistereihin OTC- johdannaisista, keskusvastapuolista ja kauppatietorekistereistä annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 648/2012 mukaisesti annettavien kauppailmoitusten muotoa ja antamistiheyttä koskevista teknisistä täytäntöönpanostandardeista (EUVL L 352, , s. 20). 8 Komission täytäntöönpanoasetus (EU) N:o 1352/2013, annettu 4 päivänä joulukuuta 2013, teollis- ja tekijänoikeuksien tullivalvonnasta annetussa Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 608/2013 säädettyjen lomakkeiden vahvistamisesta (EUVL L 341, , s. 10). 9 Neuvoston asetus (EU) N:o 389/2012, annettu 2 päivänä toukokuuta 2012, hallinnollisesta yhteistyöstä valmisteverotuksen alalla ja asetuksen (EY) N:o 2073/2004 kumoamisesta (EUVL L 121, , s. 1).

10 M72A 10 (25) Muutosehdotukset on merkitty tekstilaatikolla. Muutettava säännös 25 Voimaantulo ja siirtymäsäännökset Tämä määräys tulee voimaan ja on voimassa toistaiseksi. LUONNOS 1 momentin muuttamiseksi Tämä määräys tulee voimaan x ja on voimassa toistaiseksi. Tällä määräyksellä kumotaan n määräys 7 B/2009 M tunnistuspalvelun tarjoajien ja yleisölle laatuvarmenteita tarjoavien varmentajien ilmoitusvelvollisuudesta lle, annettu , ja määräys 8 C/2010 M tunnistuspalvelun tarjoajien ja laatuvarmenteita tarjoavien varmentajien toiminnan luotettavuus- ja tietoturvallisuusvaatimuksista, annettu Jos tunnistuspalvelun rajapinnoissa käytetään TUPAS-protokollaa, 2 luvun 7 :n 4 momentin ja 8 :n 3 momentin vaatimukset henkilötietojen sanomatasoisesta salauksesta sekä 9 :n 2 momentin vaatimus henkilötietojen suojaamisesta asiointipalvelu- ja päätelaiterajapinnassa tulee toteuttaa viimeistään LUONNOS 3 momentin muuttamiseksi Jos tunnistuspalvelun rajapinnoissa käytetään TUPAS-protokollaa, 2 luvun 7 :n 4 momentin ja 8 :n 3 momentin vaatimukset henkilötietojen sanomatasoisesta salauksesta sekä 9 :n 2 momentin vaatimus henkilötietojen suojaamisesta asiointipalvelu- ja päätelaiterajapinnassa on toteutettava kaikilta osin viimeistään Q3/2019. Tunnistuspalvelun tarjoajan on määriteltävä toteutus teknisesti ja tunnistusperiaatteiden kannalta viimeistään Q3/2018 ja saatettava muutetut rajapinnat ja ehdot tarjolle luottaville osapuolille viimeistään Q1/2019. Määräyksen 3 lukua sovelletaan alkaen lukuun ottamatta 12 :n 2 momenttia, jonka mukaiset vaatimukset tulee täyttää viimeistään Määräyksen perustelut Tässä kohdassa käsitellään määräysmuutoksen perusteluja eli MPS72A valmistelua Tupas-toteutuksiin vaaditut muutokset Kootaan MPS72A:han tiivistelmä muutosten perusteluista eli MPS72:sta. Tässä valmistelumuistossa asiasta löytyy lisätietoa jäljempänä kohdasta 4.6, mihin on poimittu vaikutusarviointitekstiä edellisen määräyksen perusteluista Perustelut siirtymäajan jatkamiselle (25 ) Siirtymäaikaa ehdotetaan alustavasti jatkettavaksi kokonaisuudessaan noin vuodella käytännön näkökohtien ja jatkuvuuden turvaamiseksi ennen kaik-

11 M72A 11 (25) kea asiointipalveluihin kohdistuvien muutostarpeiden takia sekä tehokkaan kilpailun mahdollistamiseksi. Siirtymäaikana vaadittuja toimenpiteitä suunnitellaan kuitenkin porrastettavaksi siten, että teknisten ja palvelumäärittelyjen on valmistuttava Q3/2018, rajapinnan ja ehtojen on oltava tarjolla asiointipalveluille Q1/2019 ja kaikki tuotannossa olevat toteutukset on saatettava uusien vaatimusten mukaiseksi viimeistään Q3/2019. Päivämäärät tarkennetaan valmistelussa. Siirtymäaikataulun porrastamisen tarkoitus on edistää toteutusta, mahdollistaa synkronointi PSD2-muutosten kanssa ja mahdollistaa etenemisen seuraaminen. tulee valvomaan määrittelyjen valmistumista määräajassa. Kysymyksiä erityisesti tunnistuspalvelun tarjoajille - Onko tarpeen tarkastella myös 12 2 vaatimusten siirtymäaikaa? - Millainen merkitys ja mistä syistä on siirtymäaikataulun synkronoinnilla PSD2-muutosten kanssa? 4 Vaikutusarviointi 4.1 Tunnistusmenetelmän eli pankkitunnusten käyttäjät Arvioitava kysymys: Kuinka suuri osa käyttäjien laitekannasta (selaimet, matkapuhelimet) on niin vanhaa, että niillä ei pysty käyttämään vahvaa sähköistä tunnistusta, kun määräyksen vastaisesta TLS protokollan tukemisesta luovutaan. Näkökohtia vaikutusarviointiin Tässä kohdassa ei ole kysymys määräyksen muuttamisesta tai muutosharkinnasta vaan voimassa olevan määräyksen vaatimusten valvonnasta ja käyttäjäviestinnästä. Määräyksen 7 :ssä edellytetään, että tunnistuksessa käytetään TLS 1.2- versiota. TLS 1.1-versio on sallittu, jos käyttäjän päätelaite ei tue TLS 1.2:ta. TLS 1.0 ei ole ollut määräyksen 72/2016 M voimaantulon jälkeen sallittu, mutta tunnistuspalveluiden auditoinneissa on ilmennyt, että se on edelleen joillain toimijoilla sallittu. tulee valvontapäätöksillä vaatimaan asian korjaamista. Syynä turvallisuudeltaan vanhentuneen protokollan sallimiseen on toimijoiden mukaan se, että jos TLS 1.0 estetään, osa käyttäjistä ei enää voi käyttää vahvaa tunnistusta. Tällaisia käyttäjiä voi tyypillisesti olla esimerkiksi vanhusväestössä.

12 M72A 12 (25) Tietoturva toteaa, että tuki tuoreille TLS-versioille on ollut perusominaisuus ajantasaisissa käyttöjärjestelmissä ja selaimissa jo useita vuosia sekä puhelimissa että tietokoneissa. Alustat, jotka eivät tue TLS 1.1 tai uudempia versioita ovat tyypillisesti muillakin tavoilla haavoittuvia, eikä niitä tulisi edes loppukäyttäjän käyttää turvallisuuskriittisissä yhteyksissä, kuten vahva sähköinen tunnistaminen ja sitä hyödyntävät palvelut. Lausunnot 11/2017 pyysi luottamusverkoston toimijoilta lausuntoja mennessä tupas-protokollan määräajan siirtämisestä. Lausunnoissa esitettiin seuraavia toivomuksia n viestinnälle Tulisi kertoa avoimesti luottamusverkoston yhteistyöryhmälle siitä, millaisella aikataululla ja sisällöllä viestintävirasto aikoo viestiä tunnistusketjun eri osapuolille muutoksista. Toivotaan tiedottamisen alkavan pikaisesti sen jälkeen, kun keskeiset tulkintakysymykset on viimeistelty yhdessä toimijoiden kanssa. Tunnistuspalvelua hyödyntävien asiointipalveluiden lisäksi pidetään tarpeellisena n viestintää tunnistusvälineitä käyttäville kuluttajille tunnistamisessa tapahtuvista muutoksista ja välityspalveluiden roolista tunnistamisessa. Kuluttajaviestinnässä tulisi varmistaa, että he osaavat myös jatkossa arvioida, mitä palveluntarjoajia ja minkälaisia palveluita on turvallista käyttää joutumatta väärinkäytöksen kohteeksi tai identiteettivarkauden uhriksi. Lisäksi kuluttajien pitäisi ymmärtää, millaiset suostumukset henkilötietojen käsittelyyn ovat tarpeellisia tunnistuksen toteuttamiseksi ja mitkä suostumukset ovat tarpeettomia. Alustavat linjaukset TLS-vaatimus on linjattu jo 2016, jolloin on katsottu, että TLS 1.0- protokollan salliminen vesittää vahvan sähköisen tunnistuksen turvallisuutta siinä määrin, ettei sitä voida pitää hyväksyttävänä. Tällöin käyttäjän päätelaitteen tietoturvallisuus on muutoinkin kokonaisuutena heikko. Keskeinen suunniteltava toimenpide nyt on viestintä käyttäjille. Käyttäjäviestinnässä huomioitavia näkökulmia Päätelaitteen/selaimen/käyttöjärjestelmän ajantasaisuus o Mobiili- ja päätelaitteet, selaimet o Rautalankaviestintä esim., miksi on syytä luopua Windows XP:stä o Käytännössä kuluttajilla on joko itsellään tai muutoin käytettävissään (esim. töissä, sukulaisten luona tai kirjastossa) useita eri-ikäisiä laitteita. Tällöin laitteen ja palvelun

13 M72A 13 (25) yhteentoimivuuden ongelmia ei voida täysin ehkäistä ennalta. Vasta osa kuluttajista on tottunut toimimaan "kokeile ja korjaa" tyylillä. o Kuluttajat eivät kiinnitä huomiota laitteiden ikään vaan käyttökokemukseen. Tiedottamisessa saattaakin toimia parhaiten linja "jos tunnistus ei toimi, onko laitteesi vanha". Esim. IPTV:n puolella palveluntarjoajat tuovat päivitysten yhteydessä lisäneuvoja näkyviin osana palvelupolkua mm. ponnahdusikkunoina tyyliin "tarkista se ja se". Tunnistuksen/asioinnin turvallisuus o Tunnistuksessa monta luotettavaa toimijaa o Miten tunnistaa turvallinen/turvaton asiointipalvelu Kysymyksiä kaikille sidosryhmille - Mitä neutraalia tietoa käyttäjien laitekannasta olisi saatavilla? Ts. kuinka suuri on vähintään TLS 1.1-kyvyttömien käyttäjien joukko? - Asiasta on tarpeen viestiä käyttäjille. Mitä viestinnässä tulisi huomioida ja mitä väyliä voisi käyttää? - Oletteko valmiita osallistumaan viestintään? Miten? 4.2 Asiointipalvelut (luottavat osapuolet) Arvioitava kysymys: Millaisia muutoksia asiointipalvelut joutuvat tekemään omiin järjestelmiinsä, jotta ne pystyvät käyttämään muuttunutta tunnistuspalvelua, jossa on käytössä sanomatason salaus? Riittääkö tunnistuspalvelun suuntaan avattavan rajapinnan määrittelyjen muuttaminen vai vaikuttaako muutos järjestelmään laajemmin? Millaista tietoa muutoksesta tarvitaan? Näkökohtia vaikutusarviointiin Tekniset muutostarpeet asiointipalvelussa Asiointipalvelujen on tehtävä teknisiä muutoksia tai päivityksiä tunnistusratkaisuissaan verrattuna nykyiseen TUPAS-versioon, jossa ei pystytä sanomatasolla salattuna henkilötietoja välittämään. Vaadittava muutostyö voi olla suurempi siirryttäessä SAML- tai OIDCpohjaiseen tunnistamiseen verrattuna siihen, että TUPAS-rajapintaan lisättäisiin sanomatason salaus ja vaaditut attribuutit. Toisaalta SAML ja OIDC ovat maailmanlaajuisia tunnistamisen/valtuuttamisen protokollia, joten niiden käsittelyyn löytyy tuotteita, kirjastoja ja lähdekoodia. Vähintään raja-

14 M72A 14 (25) pintamäärittelyiden kansalliset attribuutit on SAML- ja OIDC-käyttäjien lisättävä perusprotokollaan verrattuna. 10 Sopimusmuutokset asiointipalvelun ja tunnistuspalvelun välillä Kokonaisvaikutukset ja kustannukset asiointipalveluille riippuvat siitä, mitä tunnistuspalveluja ja maksupalveluja niillä kaiken kaikkiaan on käytössään. Asiointipalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita ovat pikku hiljaa paranemassa luottamusverkostosääntelyn myötä, eikä tunnistuspalveluita ole välttämättä pakko enää hankkia jokaiselta tunnistuspalvelulta erikseen. Myös maksupalvelumarkkinoilla on nähtävissä muutoksia maksupalveludirektiivin voimaan saattamisen myötä. Lausunnot 11/2017 pyysi luottamusverkoston toimijoilta lausuntoja mennessä tupas-protokollan määräajan siirtämisestä. Lausunnoissa tuotiin esille seuraavaa: Liian tiukka määräaika teknisten muutosten toteutukseen ei jätä asiointipalvelulle aikaa vertailla välityspalveluiden kaupallisia ehtoja, palveluvalikoimaa ja teknisiä ominaisuuksia sekä toteuttaa tarvittavat järjestelmämuutokset. Jos määräaikaa pidennetään vuodella, niin tunnistusvälityspalvelut ovat ehtineet kehittää tarjontaansa ja asiointipalveluilla on aikaa selvittää ja vertailla markkinoilla tarjolla olevat vaihtoehdot ja toteuttaa tietojärjestelmämuutoksensa hallitusti. Tietoturva Tietoturvallisuuden parantaminen tunnistustapahtumassa parantaa osaltaan henkilötietojen käsittelyn turvallisuutta. Muutoin asiointipalvelun omien tietojärjestelmien turvallisuus ei kuulu vahvan sähköisen tunnistamisen vaatimusten piiriin, vaan sitä koskee esimerkiksi yleinen tietosuojasääntely ja mahdollinen toimialakohtainen sääntely. Alustavat linjaukset tai päätelmät Keskeinen suunniteltava toimenpide nyt on viestintä asiointipalveluille ja ICT-palveluille, joita ne käyttävät sähköisen asioinnin toteutuksissa. 10 Ks. n suositukset 212/2018 S (SAML) ja 213/2018 S (OIDC) Luottamusverkoston rajapinnoista njaselvitystenasiakirjat/suositukset ssamlja soidcluottamusverkostonrajapinnoista.html

15 M72A 15 (25) Harkittava vaikutusarvioinnissa esille tulevien seikkojen vaikutus tarkkaan siirtymäaikatauluun ja viestintään. Kysymyksiä erityisesti asiointipalveluille, ICT-palveluille ja näiden edustajille - Millaista tietoa muutoksista ja sähköisen tunnistuspalvelun tarjonnasta/hankinnasta tarvitaan? - Mitä viestinnässä tulisi huomioida ja mitä väyliä voisi käyttää? - Oletteko valmiita osallistumaan viestintään? Miten? 4.3 Tunnistusvälineen tarjoajat (erityisesti pankit) Arvioitava kysymys: Mitä muutoksia pankit joutuvat tekemään tunnistuspalveluunsa siltä osin, kun tarjoavat sitä suoraan asiointipalveluille? Näkökohtia vaikutusarviointiin Tekniset muutokset Käytännön vaihtoehtoina on joko muuttaa tupas-protokollaan perustuvaa rajapintaa siten, että siihen lisätään vaadittavat toiminnot ja attribuutit tai ottaa käyttöön toinen protokolla. on laatinut ja julkaissut määrittelyt luottamusverkoston sisäistä rajapintaa varten SAML- ja OIDC-protokollalle. Määrittelyjä voi käyttää myös asiointipalvelurajapinnassa, vaikka niitä ei ole laadittu sitä silmällä pitäen. Tunnistusperiaatteet/välitysperiaatteet ja sopimusmuutokset Tunnistuslain 14 :n mukaan tunnistuspalvelun tarjoajalla on oltava ajantasaiset tunnistusperiaatteet, joissa kerrotaan vahvasta sähköisestä tunnistamisesta laissa vaaditut asiat. Tunnistuspalvelun tarjoaminen asiointipalvelulle on lain termein tunnistusvälityspalvelun toimintaa riippumatta siitä, kuinka monta tunnistustapaa välityspalvelulla on asiointipalvelulle tarjolla. Tunnistusperiaatteita asiointipalveluille voidaan kutsua myös välitysperiaatteiksi. Periaatteissa täytyy muun muassa olla tiedot kaikista palveluun sovellettavista ehdoista. Tunnistuspalvelun tekniset muutokset on huomioitava tunnistusperiaatteissa tarkoitetuissa palveluehdoissa. Lausunnot 11/2017 pyysi luottamusverkoston toimijoilta lausuntoja mennessä tupas-protokollan määräajan siirtämisestä.

16 M72A 16 (25) Pankit katsovat lausunnoissaan, että nykyinen määrätty siirtymäaika ei ole riittävä. Pankkien lausunnoissa esitettiin määräajan pidentämistä puolella vuodella (yksi lausunto) tai vuodella (valtaosa). Pankit katsoivat, että nykyinen aikataulu on haasteellinen sekä pankkien itsensä kannalta, että asiointipalveluiden kannalta, erityisesti PK-yritysten, joilla ei ole riittäviä IT-resursseja. Tämän vuoksi migraatioon on varattava myös pankkien puolesta runsaasti aikaa myös asiakkaiden palvelemiseen ja muutoksen tukemiseen. Pankit katsoivat, että n SAML- ja OIDCrajapintamäärityksien valmistuminen on edellytys sille, että toimijat voivat ruveta muutoksen vaatimiin toimiin. Määrittelytyötä ei voi viedä loppuun ilman kiinnitettyjä ja julkaistuja rajapintakuvauksia. Uusien protokollien kehitystyölle, testaamiselle ja asiakastiedottamiselle on varattava riittävästi aikaa. Tarpeellisia toimia on listattu seuraavasti: rajapintavalinnoista tehtävä päätös, sidosryhmävaikutusten arviointi, määrittelytyö, järjestelmäriippuvuuksien arviointi, palvelukehitys, sidosryhmäviestintä ja -neuvottelut, järjestelmätestaukset, auditointi, hyväksymistestaukset, pilotointi ja itse käyttöönotto. Lausunnoissa tuotiin esille, että vuodella jatkettu siirtymäaika olisi finanssialan toimijoiden näkökulmasta yhdenmukainen PSD2 perusteella annettujen tunnistamista koskevien teknisten standardien voimaantulon ennakoidun ajankohdan kanssa. Molemmat vaikuttavat pankkien myöntämien tunnistusvälineiden teknisiin ominaisuuksiin. Useampi pankki toi esiin, että heidän toimintasuunnitelmassaan tai budjetissaan ei ole varattu resursseja muutokselle n rajapintamäärittelyjen myöhästymisen takia. Pankit katsoivat, että määräajan siirtäminen palvelee myös käyttäjiä, kun useammat tunnistuspalvelun tarjoajat ja asiointipalvelut voivat jatkaa toimintaansa keskeytyksettä. Erikseen pyydettiin, että tiedottaa luottamusverkostolle siitä, millaisella aikataululla ja sisällöllä viestintävirasto aikoo viestiä tunnistusketjun eri osapuolille muutoksista. Alustavat linjaukset Harkittava vaikutusarvioinnissa esille tulevien seikkojen vaikutus tarkkaan siirtymäaikatauluun ja mahdolliseen yhteistyöhön teknisten määrittelyjen valmistelussa. Kysymyksiä erityisesti tunnistuspalvelun tarjoajille - Aiotteko täydentää käytössä olevaa tupas-toteutusta vai korvata sen uudella tai uusilla rajapinnoilla?

17 M72A 17 (25) - Tarvitaanko siirtymän täytäntöönpanossa teknistä valmisteluyhteistyötä n tai luottamusverkoston kanssa? 4.4 Muut tunnistuspalvelut Arvioitava kysymys: Miten siirtymäajan jatkaminen vaikuttaa pankkitunnusten kanssa kilpailevien tunnistusmenetelmien tarjontaan ja tunnistusvälityspalveluihin? Näkökohtia vaikutusarviointiin Lausunnot 11/2017 pyysi luottamusverkoston toimijoilta lausuntoja mennessä tupas-protokollan määräajan siirtämisestä. Mobiilivarmenteiden tarjoajia edustava FiCom ry on marraskuussa 2017 todennut lausunnossa, että enintään kolmen kuukauden pidennys siirtymäaikaan on perusteltu seuraavista syistä: Siirtymä on ollut jo pitkään tiedossa ja koskee kaikkia toimijoita yhtäläisesti. Liian pitkä siirtymä ei ole tarkoituksenmukainen, koska on perusteltua kannustaa toimijoita ottamaan nopeasti käyttöön uudet, luottamusverkostoa, sen teknistä tasoa ja käyttäjäkokemusta kehittävät protokollat. Asiointipalvelujen tarpeet tulevat turvatuiksi, koska välityspalveluita on runsaasti tarjolla. Alustavat linjaukset Harkittava vaikutusarvioinnissa esille tulevien seikkojen vaikutus tarkkaan siirtymäaikatauluun. Kysymyksiä erityisesti tunnistusvälityspalveluille ja mobiilivarmenteen tarjoajille sekä VRK:lle ja kilpailu- ja kuluttajavirastolle Millaisia vaikutuksia siirtymäajalla on luottamusverkoston toimijoihin ja miten ne tulisi huomioida? 4.5 PSD2-sääntely Arvioitava kysymys Eroavatko vahvan sähköisen tunnistamisen vaatimukset PSD2- sääntelyssä ja n määräyksessä ja tunnistuslaissa sillä tavoin konkreettisesti, että molempien sääntelyjen vaatimuksia ei olisi mahdollista toteuttaa samassa tunnistusmenetelmässä? Näkökohtia vaikutusarviointiin

18 M72A 18 (25) ja Finanssivalvonta ovat käynnistäneet vaatimusten tarkastelun voidakseen arvioida mahdollisia ristiriitoja vaatimuksissa. Alustavat linjaukset ja Finanssivalvonta pyrkivät selvittämään mahdolliset ristiriidat ja tarvittaessa arvioimaan vaatimusten tulkintaa. Kysymys - Onko vaatimuksissa mainitunlaisia ristiriitoja? - Jos on, pyydetään yksilöimään missä säännöksissä ja vaatimuksissa? 4.6 Vuoden 2016 määräysvalmistelun vaikutusarvioinnit Tupasvaatimuksista Tähän kohtaan on poimittu sellaisenaan vaikutusarvioinnit vuoden 2016 määräysvalmistelusta. Vaikutusarvioinnit löytyvät määräyksen perustelut ja soveltaminen muistiosta MPS72, , A-osa. [MPS72 kohta 3.4.2] Rajapinnat: protokollien sääntely Arvioitava kysymys: Millä tarkkuudella rajapintavaatimukset laaditaan määräykseen suhteessa yksittäisiin protokolliin, kuten SAML ja Open ID Connect? Mahdollistetaanko toisin sanoen myös muiden protokollien käyttö? Miten huomioidaan puhtaasti kansallinen TUPAS-protokolla, joka ei kaikilta osin täytä vaatimuksia ja jonka kehityssuunnitelmista tai mahdollisuuksista ei ole ollut määräyksen valmistelussa varmaa tietoa? Arvioinnin lähtökohdat Valmistelussa on tarkasteltu kolmea protokollaa: SAML, Open ID Connect ja TU- PAS. SAML on yleinen kansainvälisesti ja myös määritelty eidas-asetusta tarkentavassa EU-sääntelyssä ja -ohjeistuksessa kansainvälisen välittämisen rajapinnan protokollaksi. Open ID Connect on yleistymässä ja käytössä erityisesti mobiilivarmen-tamisessa. Koska pankkien tarjoamat tunnisteet perustuvat puhtaasti kansallisesti määriteltyyn vanhaan TUPAS-protokollaan, on määräystä valmisteltaessa pitänyt harkita poikkeusta siitä yleisesti noudatetusta periaatteesta, että noudatetaan ensisijaisesti kansainvälisesti yleisiä standardeja. TUPAS-prokollan mukaan ottamisen vaikutukset toiminnan jatkuvuuteen ovat myönteisiä, koska nykyinen tarjonta asiointipalveluille voi jatkua ilman katkosta. Asiointipalveluiden kannalta tämä ei edellytä välittömiä muutoksia. Vaikutukset kilpailuun ja tekniseen kehitykseen voivat olla negatiivisia, koska TU- PAS-protokollaan ei ole ollut tiedossa kehityssuunnitelmia ja se edellyttää uusilta välitystoimijoilta sopeutumista puhtaasti kansalliseen pro-tokollaan, mikä voi heikentää markkinoille tulon kiinnostavuutta. TUPAS-prokollan oikeudet omistava Fi-

19 M72A 19 (25) nanssialan keskusliitto on kuitenkin käynnistänyt sidosryhmiensä kanssa arvioinnin protokollan kehitysmahdollisuuksista. Protokollan tehtävä on määritellä yhteentoimivasti tiedot ja niiden siirtotapa, jotta tiedot voidaan siirtää toimijoiden välillä. Mitä vähemmän eri protokollia toimijoilla on käytössä, sitä helpompaa on tältä osin sopimusten aikaansaaminen luottamusverkoston toimijoiden välillä. Linjaukset Ei määrätä, mitä protokollia on käytettävä, vaan tämä jää toimijoiden sovittavaksi. Sen sijaan määrätään lopputuloksesta, joka protokollalla on saatava aikaan eli vähimmäistiedoista, jotka protokollan avulla on kyettävä siirtämään (ks. seuraava kohta) ja rajapinnan tietoturvavaatimuksista. Malliprofiilit laaditaan n suosituksena 212/2016 S [11] ja 213/2016 S [12] SAML 2.0 ja Open ID Connect -protokollille ja suositellaan näiden käyttöä. TUPAS-protokollan [13] kehitystyötä seurataan aktiivisesti. Määräyksen 14 on laadittu näiden linjausten mukaisesti. [MPS72 kohta 3.4.4] Rajapinnat: TUPAS-kysymykset Arvioitava kysymys: Miltä osin TUPAS-protokollalta voi vaatia samoja asioita kuin muilta protokollilta? Miltä osin vaatimukset voi täyttää TUPASprotokollan ominaisuuksilla tai muilla toimijoiden välisillä järjestelyillä ja miltä osin TUPAS-protokollaa on muutettava ja mitkä ovat vaadittavien muutosten siirtymäajat? TUPAS-protokollan yleinen tarkastelu Valmistelussa on arvioitu TUPAS-protokollaa [13] ja sen vakiintuneita käyttötapoja kahdesta näkökulmasta: tietoturvallisuusvaatimusten kannalta ja välitettävien attribuuttien kannalta. Tietoturvallisuus TUPAS-protokollan arvioinnissa on määräysvalmistelun aikana todettu keskeisimpänä havaintona, että protokolla ei täytä sanomakohtaisen salaamisen vaatimuksia. Finanssialan keskusliitto on käynnistänyt protokollan kehitystarpeita koskevan työn. Välitettävät attribuutit TUPAS-protokolla ei mahdollista pakollisen varmuustasotiedon välittämistä. Se ei myöskään mahdollista tiedon välittämistä siitä, onko asiointipalvelu julkinen vai yksityinen. TUPAS-protokollaa käytettäessä pakolliset henkilötiedot pystytään välittämään, mutta näiden tietojen muotoilu voi vaihdella, koska sitä ei ole määritelty yhtenäisesti.

20 M72A 20 (25) TUPAS-protokollaa käytettäessä välityspalvelu tai asiointipalvelu ei siten lähtötilanteessa saa rajapinnan kautta niitä tietoja, jotka määräyksessä vaaditaan välitettäväksi. Tämä edellyttäisi mahdollisesti erillistä sopimista siitä, miten varmuustaso todetaan, mikä taas ei ole luottamusverkoston yhteentoimivuusvaatimusten lähtökohtien mukaista. Henkilötietojen välitys TUPAS -asiointipalvelurajapinnassa Arvioitava kysymys: Vaaditaanko määräyksellä muuttamaan nykyistä TU- PAS-protokollaa ja sen käyttöä siten, ettei henkilötunnuksen välittäminen selväkielisenä ole enää sallittua, vaan on käytettävä protokollassa ennestään määriteltyjä muita tapoja? Jos vaaditaan, kuinka pitkä siirtymäaika määrätään? Asiointipalvelun ja tunnistusvälityspalvelun välisen rajapinnan määrittelyt vaikuttavat siihen, miten asiointipalvelun täytyy toteuttaa oma järjestelmänsä. Rajapinnassa on tunnistettu valmistelussa TUPAS-protokollalle ominainen tietoturvakysymys, joka liittyy HETUn toimittamiseen selkokielisenä URLissa asiointipalvelulle. TUPASprotokolla sinänsä mahdollistaa HETUn siirrolle useamman vaihtoehdon, myös turvallinen vaihtoehto on siis määritelty. Käytännössä toteutus kuitenkin sopeutetaan asiointipalvelun vaatimuksiin ja vallitseva tapa on HETUn selväkielinen välitys. arvioi, että salaamattoman HETUn välittäminen ei täytä EU:n varmuustasoasetuksen seuraavia vaatimuksia: Tekniset tarkastukset (LUE: Kontrollit tai toimenpiteet) MATALA 1. Käytössä on oikeasuhteiset tekniset tarkastukset palvelujen turvallisuuteen kohdistuvien riskien hallitsemiseksi ja käsiteltävien tietojen luottamuksellisuuden, eheyden ja käytettävyyden suojaamiseksi. 2. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. 5. Henkilökohtaisten tai arkaluonteisten tietojen vaihtoa varten käytettävät sähköisen viestinnän kanavat on suojattu salakuuntelulta, manipuloinnilta ja toistolta. Soveltamisohje: On tärkeää pitää erillään luottamuksellisuuden ja eheyden suojaamista koskevien vaatimusten arviointi. Eheyden (tai aitouden) suojaaminen määräytyy periaatteessa varmuustason mukaan, mutta henkilöihin liittyvän tiedon luottamuksellisuuteen vaikuttavat myös tietojen tyyppi sekä mahdolliset suojaamista koskevat lainsäädännölliset vaatimukset. Henkilötietojen luottamuksellisuus on suojattava ja käytössä on oltava turvatoimenpiteitä, jotka pohjautuvat riskiperusteista lähestymistapaa hyödyntävään arviointiin valitun tietoturvallisuuden hallintajärjestelmän mukaisesti. Turvatoimenpiteiden kattamia osa-alueita ovat esi-

21 M72A 21 (25) merkiksi tietomurrot, väärinkäytökset, palvelunestohyökkäykset ja hajautetut palvelunestohyökkäykset Todentamismekanismi MATALA 2. Jos henkilön tunnistetiedot tallennetaan osana todentamismekanismia, nämä tiedot on suojattu niiden menetykseltä ja vaarantamiselta, mukaan lukien analyysi verkkoympäristön ulkopuolella. Soveltamisohje: Tallennettuihin henkilötietoihin pääsyä on valvottava huolellisesti. Henkilön tunnistetietojen suojaamisessa käytettäviä menetelmiä ovat esimerkiksi Euroopan unionin verkko- ja tietoturvaviraston ENISAn Algorithms, Key Sizes and Parameters Report -asiakirjan, kansallisten salausohjeiden tai muiden hyvien toimintatapojen mukainen salaaminen ja tiivistäminen. Käyttöoikeuksia on aina valvottava. Henkilötunnus on henkilötietolain perusteella katsottavat tunnisteeksi, jota on käsiteltävä erityisen huolellisesti. Edellä poimituista kohdista voidaan ainakin EU:n varmuustasoasetuksen kohdan 1 alakohdan katsoa soveltuvan suoraan myös asiointipalvelurajapintaan. Vaikka tämän ja muiden poimittujen kohtien vaatimukset kohdistuvat suoranaisesti tunnistuspalveluntarjoajan omiin järjestelmiin, tukevat ne myös henkilötiedon suojaamista asiointipalvelurajapinnassa. Jos henkilötunnusta on suojattava tiukasti palveluntarjoajan järjestelmässä, ei ole suhteessa näihin vaatimuksiin, jos sen voi luovuttaa asiointipalvelurajapinnassa tavalla, joka altistaa tunnuksen luottamuksellisuuden menettämiselle. Nykyisen menettelyn säilyttäminen asiointipalvelurajapinnassa vaarantaa siis henkilötunnuksen tietoturvallisuuden. Selaimeen tallentuneet henkilötunnukset voivat paljastua muille selaimen käyttäjille, mikä on ainakin yhteiskäyttöisillä päätelaitteilla huomionarvoinen riski. Siirtyminen HETUn salaamiseen asiointipalvelurajapinnassa parantaisi selvästi henkilötunnuksen tietoturvaa. Asiointipalvelun kannalta siirtyminen henkilötunnuksen salattuun välittämiseen edellyttäisi muutoksia asiointipalveluiden omissa järjestelmissä (kyvykkyyttä purkaa salaus). Tunnistuspalvelun tarjoajan kannalta muutos edellyttäisi nykyisen asiointipalvelusopimuskannan muutoksia. Ongelmana tilanteessa on se, että asiointipalveluilla ei ole kannustinta siirtyä turvallisempaan menettelyyn. Tunnistuspalveluntarjoajien olisi siirryttävä turvallisempaan menettelyyn yhtenäisesti, jotta nykykäytännön jatkaminen ei antaisi perusteetonta kilpailuetua. Vain joidenkin toimijoiden siirtyminen uuteen käytäntöön saattaisi johtaa siihen, että asiointipalvelut eivät enää hyväksyisi näitä tunnisteita, mikä rajoittaisi joidenkin tunnistusvälineen haltijoiden mahdollisuuksia käyttää vahvaa sähköistä tunnistettaan asiointipalveluissa. arvioi edellä mainituilla perusteilla, että ainoa keino sysätä tietoturvallisuuden kehitystä tältä osin eteenpäin on määrätä henkilötunnuksen salaaminen asiointipalvelulle välitettäessä pakolliseksi. Tämä olisi myös eidas-asetuksen mukainen sääntelyratkaisu. Vaatimukselle olisi määrättävä siirtymäaika, jotta asiointipalveluilla ja tunnistuspalveluntarjoajilla olisi

22 M72A 22 (25) 5 Säädöspohja mahdollisuus tehdä muutokset aiheuttamatta katkoksia toimintaan ja jaksottamalla vaadittavaa muutostyötä. Siirtymäaika voisi kestää esimerkiksi asti, jolloin jäsenvaltioiden on viimeistään oltava valmiita vastaanottamaan toisista jäsenvaltioista tulevat notifioidut tunnisteet. Suhteessa muuhun lainsäädäntöön on otettava huomioon, että henkilötunnuksen ja muiden henkilötietojen käsittelyä säännellään henkilötietolaissa, jonka korvaa parin vuoden kuluttua EU:n tietosuoja-asetus. Näissä säännellään henkilötietojen käsittelyn tietoturvallisuutta ja tietosuoja-asetus tuo mukanaan myös huomattavat seuraamusmaksut. Henkilötietolakia ja vastaisuudessa tietosuoja-asetusta valvoo tietosuojavaltuutettu. Suhteessa henkilötietosäädäntöön eidas, tunnistuslaki ja tämä määräys ovat erityissäädäntöä. Henkilötietosäädäntö soveltuu siltä osin, kun erityissäädännössä ei ole säädetty muuta. Tietosuojavaltuutettu on todennut määräysvalmistelun yhteydessä antamassaan lausunnossa, ettei henkilötietolainsäädäntö estä määräämästä tunnistuspalvelun tietoturvavaatimuksista n määräyksessä. 5.1 Tunnistus- ja luottamuspalvelulaki Tunnistus- ja luottamuspalvelulain 12 a.2 :n mukaan tunnistuspalveluntarjoajan on tarjottava tekniset rajapinnat, jotka luovat edellytykset tunnistuspalveluita tarjoavien ja niitä hyödyntävien toimijoiden väliselle toiminnalle. Tunnistus- ja luottamuspalvelulain 42.2 :ään on koottu tunnistus- ja luottamuspalvelulakiin liittyvät n määräyksenantovaltuudet voi antaa tarkempia määräyksiä: 1) tunnistusjärjestelmän 8 :n 1 momentin 4 ja 5 kohdan mukaisista turvallisuutta ja luotettavuutta koskevista vaatimuksista; 2) 10 :ssä tarkoitettujen ilmoitettavien tietojen sisällöstä ja niiden toimittamisesta lle; 3) 12 a :n 2 momentissa tarkoitetuista luottamusverkoston rajapintojen ominaisuuksista; 4) siitä, milloin 16 :ssä tarkoitettu häiriö on merkittävä sekä 16 :n 1 momentissa tarkoitetun ilmoituksen sisällöstä, muodosta ja toimittamisesta; 5) 29, 30 ja 32 :ssä tarkoitetuista arvioitavan tunnistus- tai luottamuspalvelun sekä kansallisen solmupisteen vaatimustenmukaisuuden arviointiperusteista; 6) 33 :ssä säädetyistä vaatimustenmukaisuuden arviointielimen pätevyysvaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään; 7) 35 :ssä tarkoitettuun hakemukseen sisällytettävistä tiedoista ja niiden toimittamisesta lle;

23 M72A 23 (25) 8) 36 :ssä tarkoitettua sertifiointilaitosta koskevista vaatimuksista, sertifioinnissa noudatettavasta menettelystä sekä sähköisen allekirjoituksen ja leiman luontivälinettä koskevista vaatimuksista ottaen huomioon, mitä sähköisestä tunnistamisesta ja luottamuspalveluista annetussa EU:n asetuksessa säädetään Määräyksen 2 luvun tietoturvavaatimukset perustuvat 42.2 :n 1 alakohtaan. Määräyksellä tarkennetaan lain 8 :n vaatimuksia. 5.2 Valtioneuvoston asetus vahvan sähköisen tunnistuspalveluntarjoajien luottamusverkostosta 169/2016 Valtioneuvoston luottamusverkostoasetuksen 1.1 käsittelee luottamusverkoston teknisiä rajapintoja. 1 Luottamusverkoston tekniset rajapinnat Vahvasta sähköisestä tunnistamisesta ja sähköisistä allekirjoituksista annetun lain (617/2009), jäljempänä tunnistuslaki, 12 a :n 2 momentissa tarkoitettuja teknisiä rajapintoja ovat: 1) tunnistusvälineen tarjoajien välinen rajapinta; 2) tunnistusvälineen tarjoajan ja tunnistusvälityspalvelun tarjoajan välinen rajapinta; 3) tunnistusvälityspalvelun tarjoajan ja tunnistuspalveluun luottavan osapuolen välinen rajapinta. Määräyksen 2 ja 3 luvussa tarkennetaan tietoturvavaatimuksia kaikissa mainituissa rajapinnoissa ja 3 luvussa tarkennetaan 2 ja 3 kohtien rajapintojen ominaisuuksia siltä osin, mitä tietoja niissä täytyy kyetä välittämään. 5.3 Komission varmuustasoasetus eidas-asetuksen vaatimuksia tarkennetaan komission täytäntöönpanosäädöksillä. EU:n komission täytäntöönpanoasetus (EU) 2015/1502 (nk. EU:n varmuustasoasetus) teknisten vähimmäiseritelmien ja -menettelyjen vahvistamisesta sähköisen tunnistamisen menetelmien varmuustasoja varten sähköisestä tunnistamisesta ja sähköisiin transaktioihin liittyvistä luottamuspalveluista sisämarkkinoilla annetun Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 910/ artiklan 3 kohdan mukaisesti EU:n varmuustasoasetuksessa säädetään tunnistusmenetelmien varmuustasojen vaatimukset. Asetusta sovelletaan niihin tunnistusvälineisiin, jotka notifioidaan EU:n komissiolle. Koska tunnistus- ja luottamuspalvelulaissa viitataan tunnistuspalvelun vaatimuksia koskevissa säännöksissä asetukseen, asetusta sovelletaan lain rinnalla myös tunnistusvälineisiin, joita ei notifioida.

24 M72A 24 (25) 5.4 Muu sääntely: maksupalvelulaki ja PSD2 Komission tekninen sääntelystandardi (RTS) Maksupalvelulaki (290/2010, muutettu 898/2017) 85 b Tunnistaminen Palveluntarjoajan on käytettävä vahvaa tunnistamista, jos maksaja: 1) käyttää maksutiliään tietoverkon välityksellä; 2) käynnistää sähköisen maksutapahtuman; 3) toteuttaa etäkanavan kautta toimen, johon voi liittyä väärinkäytöksen riski. Jos maksaja käynnistää sähköisen maksutapahtuman etäviestimellä, palveluntarjoajan on käytettävä vahvaa tunnistamista, johon yhdistetään maksutapahtuman määrä ja maksunsaaja maksupalveluista sisämarkkinoilla, direktiivien 2002/65, EY, 2009/110/EY ja 2013/36/EU ja asetuksen (EU) N:o 1093/2010 muuttamisesta sekä direktiivin 2007/64/EY kumoamisesta annetun Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366, jäljempänä maksupalveludirektiivi, 97 artiklan 2 kohdassa tarkoitetulla tavalla. Palveluntarjoajan on riittävin turvatoimenpitein huolehdittava vahvassa tunnistamisessa käytettävien henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamisesta. Edellä 1 ja 2 momentissa tarkoitetun vahvan tunnistamisen sekä 3 momentissa tarkoitettujen turvatoimenpiteiden on täytettävä tarkemmat vaatimukset, joista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa. Tämän pykälän mukaisesta velvollisuudesta vahvaan tunnistamiseen sekä henkilökohtaisten turvatunnusten luottamuksellisuuden ja eheyden suojaamiseen voidaan poiketa, jos maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa niin säädetään. (L:lla 898/2017 lisätty 85 b tulee voimaan asetuksella säädettävänä ajankohtana.) 85 c Viestintästandardit Palveluntarjoajan on tunnistamista, todentamista, ilmoittamista, tietojen antamista ja turvatoimenpiteiden toteuttamista koskevissa yhteyksissään toisten palveluntarjoajien, maksajien ja maksunsaajien kanssa noudatettava yhteisiä ja turvallisia avoimia viestintästandardeja, joita koskevista vaatimuksista säädetään maksupalveludirektiivin 98 artiklan nojalla annetuissa komission teknisissä sääntelystandardeissa. (L:lla 898/2017 lisätty 85 c tulee voimaan asetuksella säädettävänä ajankohtana.) Komission tekninen sääntelystandardi (RTS) Commission delegated regulation regulation (EU) No / of supplementing Directive 2015/2366 of the European Parliament and of the Council with