Asiakkaan vahva tunnistaminen sekä yhteinen ja turvallinen viestintä PSD2 pähkinänkuoressa

Transkriptio

1 Asiakkaan vahva tunnistaminen sekä yhteinen ja turvallinen viestintä PSD2 pähkinänkuoressa

2 Yhteenveto EBA (Euroopan pankkiviranomainen) on julkaissut kauan odotetun luonnoksen vahvaa asiakkaan tunnistamista (Strong Customer Authentication, SCA) koskevan teknisen standardin (Regulatory Technical Standard, RTS) sekä avointa ja turvattua kommunikaatiota koskevat standardit, joissa otetaan kantaa PSD2:een liittyviin teknisiin näkökulmiin. Standardeissa on otettu kantaa uusiin ratkaisematta oleviin kysymyksiin. Niissä on huomioitu myös aiempia standardeja koskevien keskustelujen yhteydessä saadut sidosryhmäkommentit ja -palautteet. Merkittävin RTS-luonnoksessa esitetty ehdotus on, että yksittäistä ja yhteistä standardia ASPSP:n, PISP:n ja AISP:n väliseen dialogiin ei määritetä, vaikka aiempien keskustelujen perusteella tätä on selvästi odotettu. Yhteydenpitomenetelmät on päätetty jättää määrittämättä tarkasti, jotta tulevalle teknologiselle kehitykselle ei asetettaisi rajoitteita. Asiat, joihin on kiinnitettävä huomiota: Sertifikaattien käyttö Turvallisuus Vapautukset Jokaisen ASPSP:n tulee julkaista tarkoituksenmukaiset, ISO standardin mukaiset liitäntärajapinnat kommunikoimiseen. ASPSP:ien tulee kuvata tarjoamansa rajapinnat ja niiden yksityiskohtaiset käyttöohjeet internet-sivuillaan. PISP:ien ja AISP:ien tulee vastaavasti muokata omat sovelluksensa vastaamaan rajapinnoiltaan kunkin ASPSP:n rajapintaa. Lisäselvennyksiä tehdään edelleen: ASPSP:n, PISP:n ja AISP:n välistä kommunikaatiota koskeviin tunnistamissertifikaatteihin sekä salattuihin viesteihin perustuviin tunnistamiseen ja turvallisuuteen liittyviin vaatimuksiin Käyttöönotettaviin turvallisuusvaatimuksiin (dynaamiset linkit, reaaliaikainen väärinkäytösten tunnistaminen ja estäminen, jne.). Turvallisuusvaatimuksista painotetaan erityisesti sellaisia, joita sovelletaan korttiperusteisiin maksuihin ja joita käytetään suojaamaan personoitujen turvallisuustietojen salaisuutta ja eheyttä. SCA:n käyttöönottoon liittyviin tunnistettuihin poikkeuksiin Tarpeeseen tehdä AISP-palvelujen palvelutasosta ja niiden käytettävissä olevasta tiedosta yhdenmukaista ASPSP:iden suoraan tarjoamien palveluiden kanssa Sensitiivisen asiakastiedon prosessointiin. EU:n jäsenvaltioiden on mukauduttava direktiiviin mennessä ja RTS:n mukaisten teknisten vaatimusten täysi implementointi kestänee vuoden 2018 jälkipuoliskolle saakka. Palvelutaso Tiedonvaihto 2

3 Painopiste avoimissa standardeissa ja turvallisessa kommunikaatiossa Luonnoksen esittämät pääinnovaatiot liittyen ASPSP:n, PISP:n ja AISP:n väliseen kommunikointiin ja rajapintoihin voidaan tiivistää seuraavasti: Käyttöliittymien hallitsemiseksi ja määrittelemiseksi EBA suosittelee ISO standardin käyttöönottoa. Lisäksi ASPSP:n täytyy i. tuottaa ja mahdollistaa rajapinnat, jotka mahdollistavat asiakkaan tunnistamisen ja varmentamisen ja PISP:n, AISP:n ja korttiperusteisten maksupalveluiden implementoinnin ii. iii. iv. tuottaa ja julkaista käyttöliittymien ilmainen ja kattava tekninen dokumentaatio verkkosivuillaan, jotta integraatio kolmansien osapuolten järjestelmien kanssa mahdollistuu mahdollistaa kolmansien osapuolten sovellusten endto-end-testaamisen infrastruktuuri ja tuki ilmoittaa verkkosivuillaan kaikista teknisistä muutoksista vähintään kolme kuukautta ennen tuotannon aloittamista. Edellisten vaatimusten perusteella vaikuttaa siltä, että ASPSP:t tulevat tarvitsemaan valvojan, joka on vastuussa rajapintojen designin, kehityksen ja ylläpidon valvonnasta. Palvelutasot Informaatio PISP:n ja AISP:n rajapintojen tulisi kyetä tarjoamaan asiakkaalleen samat tiedot kuin ASPSP jakaa suoraan asiakkailleen. Poikkeuksena tästä ovat sensitiiviset maksutiedot, jotka tulee luokitella asianmukaisesti ja erottaa kolmansille osapuolille annettavista tiedoista. AISP-sovellukset Sovellusten täytyy i. sallia käyttäjien rajoittaa tietopyyntönsä erikseen määritellyllä tavalla ii. rajoittaa muut kuin käyttäjien suoraan esittämät tietopyynnöt enintään kahteen päivässä. ASPSP dedicated interface Service level Common and secure communication under PSD2 Data elements ASPSP:ien tulee taata palvelutasot ja niihin liittyvä tuki palveluina suoraan asiakkailleen. AISP App 3

4 Järjestelmien välinen data? EBA ei esitä minkään tietyn standardin käyttämistä, vaan suosittelee yleisesti eurooppalaisten ja kansainvälisten toimijoiden kehittämien kommunikointistandardien, erityisesti ISO standardin käyttöönottoa. Tältä pohjalta voidaan harkita sekä XML:n (extensiblemarkup Language) ja ASN.1:n (Abstract Syntax Notion One) käyttöä datarakenteiden ylätason määrittelyyn. Tulevaisuudessa kehityskulku voi seurata SEPA-järjestelmien kaltaista polkua johtaen strukturoitujen datamallien käyttöönottoon PSD2:n mukaisissa XS2A-järjestelmissä (Access to Account) kolmella eri tasolla, jotka ovat seuraavat: Yhteinen kieli Looginen taso Prosessitaso Fyysinen taso Operatiivisten prosessien ja niihin liittyvän informaation kuvaaminen (mahdollistaa osapuolten välisen kommunikaation sisältämän informaatiosisällön tunnistamisen) Odotettavissa olevan datasisällön määrittäminen Loogisella tasolla määritettyjen viestien fyysinen kuvaaminen, perustuen esimerkiksi erityiseen syntaksiin ja tiettyihin standardiviesteihin ISO suosittelee myös sanakirjan käyttöönottoa. Siinä esitettäisiin kaikkien datamalliin sisältyvien objektien sanallinen kuvaus. Tällä hetkellä ISO rekisterissä hallitaan noin 700 erilaista standardia liiketoimintakomponenteista ja yli 300 erilaista viestimääritystä. Tämän tyyppiset kuvaukset antavat mahdollisuuden vertailla liiketoimintakonsepteja, löytää niistä samankaltaisuuksia määritellyissä datarakenteissa ja kuvata erilaisia finanssimaailmassa käytettyjä standardeja samassa viitekehyksessä. Kuvaaminen onnistuu, vaikka ne olisivatkin rakennettu eri tavoin, esimerkiksi MT103 ja ISO swiftissä, ISO 8583 pankki- ja luottokorttitransaktioissa. 4

5 Painopiste turvallisuusvaatimuksissa ja poikkeuksissa Seuraavassa esitetään EBA:n RTS Vahvan asiakkaan tunnistamisen (SCA) luonnoksessa korostetut tärkeimmät turvallisuuteen liittyvät seikat. Kolmansien osapuolten (TPP) tunnistaminen EBA pyrkii parantamaan internetiä hyödyntäviin transaktioihin liittyvää turvallisuutta ja kuluttajien luottamusta. Tämän edellytyksenä on välttämätöntä kehittää sertifikaatteihin ja e-idasstandardeihin perustuvia keinoja, joilla voidaan tunnistaa transaktioihin liittyvät toimijat (ASPSP, PISP ja AISP). Sertifikaattien ja e-idas-standardien kehittäminen mahdollistavat tunnistettujen, valikoitujen ja hyväksyttyjen toimijoiden listaamisen. Tämän idean taustalla on PKI:n (Public Key Infrastructure) luominen, jossa toimijat voivat toimia keskenään riittävällä turvallisuuden tasolla. Edellytyksenä on eidas-standardin hallintaan perustettavan tahon sopiminen. Koska aikataulu on tiukka, luonnoksessa kehotetaan sidosryhmiä esittämään vaihtoehtoisia ratkaisuja tälle lähestymistavalle. Transaktioiden ja dynaamisten linkkien valtuuttaminen Sensitiivisen maksudatan ja käyttäjien henkilötietojen suojaaminen tulee olemaan ensiarvoisen tärkeää. Toimijoiden on otettava käyttöön teknisiä ratkaisuja, jotka takaavat tietojen luottamuksellisuuden, autenttisuuden ja eheyden ISO standardin mukaisesti. Sensitiiviseksi luokitellun datan määrittelyä ei kuitenkaan ole tätä tarkoitusta varten vielä tehty. Kommunikoivien osapuolten on joka tapauksessa otettava käyttöön laajalti tunnustettuja datan suojaamiseen tarkoitettuja kryptografiatekniikoita ja ratkaisuja, jotka mahdollistavat transaktioon niin kutsutun dynaamisen linkin määritellyn summan ja maksunsaajan välille. Odotetaan myös, että ASPSP:t implementoivat mekanismeja ennaltaehkäistäkseen, tunnistaakseen ja torjuakseen luvattomia tai vilpillisiä transaktioita ennen kuin ne ehtivät PISP:n maksun auktorisointiin asti. Vastaava käytäntö on nykyään laajalti käytössä korttimaksuissa ja se on tarkoitus laajentaa koskemaan myös muita maksuja. Sertifikaattien käyttö Electronic ID & Trust Services (eidas) Public Key Infrastructure (PKI) Tiedonvaihto ISO27001 Sensitive payment data protection Turvallisuus Dynaamiset linkit Petosten tunnistamisen ja estämisten mekanismit (SCA) 5

6 Käyttäjän tunnistaminen ja varmentaminen RTS-luonnoksessa esitetään sekä toimijoita koskevat velvoitteet että vapautukset niistä. Luonnoksen mukaisesti vahvassa asiakkaan tunnistamisessa (Strong Customer Authentication, SCA) pankeilla tulee olemaan vastuu määrittää kolmansien osapuolten palveluissa aloitettujen transaktioiden varmentamismenettelyt. Tämä avaa myös kolmansille osapuolille mahdollisuuden ottaa vastuun varmentamisprosessista silloin, kun pankin kanssa on sovittu asiasta ennakkoon. Prosessissa on huomioitava myös sellaisen varmentamiskoodin luominen, joka rajoittaisi asiakkailta lähtöisin olevat järjestämättömät tai epämääräiset tietopyynnöt kahteen kertaan päivässä. Mahdollinen tapa implementoida tämä palvelu voisi olla OAuth viitekehyksen käyttöönotto. Sitä käytetään jo laajalti valtuuttamiseen erilaisiin ulkoisiin, suojattavaa sisältöä sisältäviin sovelluksiin. Lisäksi siinä on käytettävissä tunnisteiden jakaminen ja päivittäminen erityisen TLS-kanavan (RFC 6749) kautta. Tämä viitekehys mahdollistaa tunnisteiden salaamisen ja järjestelmien asianmukaisten turvallisuusvaatimusten täyttämisen (esim. PCI-DSS ja/tai ISO 27001). Asiakas (PISP ja AISP) B. Käyttötunniste ja virkistystunniste C. Käyttötunniste D. Pyydetty tieto A. valtuutuksen antaminen Resurssipalvelin (pankki) Valtuutuspalvelin E. Virkistystunniste Repetitive process Toistuva valtuutus päästä käsiksi tilitietoihin Yksi RTS:n esittämistä muutoksista koskee käyttäjän mahdollisuutta valtuuttaa AISP:lle automaattinen pääsy tilitietoihinsa. AISP voi saada pääsyn tileille automaattisesti enintään kaksi kertaa päivässä sillä edellytyksellä, ettei viimeisestä asiakkaan vahvasta tunnistamisesta ole kulunut yli kuukautta. Tämä vaatimus tullee edellyttämään määräaikaisesti voimassa olevien tunnisteiden (token) luomista. Nämä antavat ASPSP:n hyväksynnän jälkeen AISP:lle pääsyn tileille ilman asiakkaan erillistä hyväksyntää sovituksi määräajaksi. A. Asiakas (PISP tai AISP) aloittaa valtuutusprosessin käyttäen palvelun loppuasiakkaan ASPSP:lta saamia tunnuksia erityisellä varmennuspalvelimella. B. Jos tunnukset ovat oikeat, asiakkaalle (PISP tai AISP) palautetaan varmennuspalvelimelta erillinen tunniste tai päivitystunniste. C. Asiakas (PISP tai AISP) pyytää sisäänpääsyä palveluun käyttäen ASPSP:lta saamaansa tunnistetta. D. Jos tunniste on oikea, ASPSP lähettää pyydetyn tiedon asiakkaalle (PISP tai AISP). E. Vaiheita C ja D voidaan toistaa siihen asti, kunnes tunniste on oikea. F. Asiakas (PISP tai AISP) käyttää vaiheessa B saamaansa päivitystunnistetta aloittaakseen varmennusprosessin alusta varmennuspalvelimen kautta. Prosessi alkaa uudelleen vaiheesta B. 6

7 Vapautukset SCA:sta RTS määrittelee tapaukset, joissa vahvaa asiakkaan tunnistamista ei edellytetä*. Vahvasta asiakkaan tunnistamisesta voi pidättäytyä seuraavissa tapauksissa: i. Pelkän AISP-palvelun sisäänpääsyn testaamisen jälkeen tunniste on edelleen voimassa enintään yhden kuukauden, jonka aikana AISP:lla on pääsy tilitietoihin. Pidempi voimassaoloaika edellyttää asiakkaalta uutta varmennetta. iv. Toistuvat saman suuruiset maksut samalle maksunsaajalle. Toistuvan maksun ensimmäiseen maksusuoritukseen ja seuraavien maksusuoritusten summan tai maksunsaajan muuttamiseen vaaditaan kuitenkin uutta asiakkaan vahvaa tunnistamista. Maksajan pankki Toistuva makstu Maskunsaajan pankki Käyttäjä Pääsy maksutileille AISP v. Tilisiirrot, jotka tehdään omalle tilille joko saman pankin sisällä tai kahden eri pankin välillä ii. Maksut lähimaksukorteilla vähittäiskaupoissa, kun yksittäiset ostokset eivät ylitä 50 euroa ja ostokset yhteensä eivät ylitä 150 euroa Käyttäjä Elektrooninen maksu ilman kontaktia Myyjä i. Transaktiot ennakkoon määritellyille maksunsaajille, jotka sisältyvät loppukäyttäjän tilipankin kanssa tehdylle maksunsaajalistalle (whitelist). Maksunsaajalistan luomiseen ja muokkaamiseen vaaditaan SCA (Strong Customer Authentication). vi. Asiakkaan pankki 1 Maksut muiden kanavien (esim. mobiilin) kautta silloin kun yksittäinen maksu ei ylitä 10 euroa ja maksut yhteensä eivät ylitä 100 euroa. Käyttäjä Bank transfer Maksut < 10 Asiakkaan Pankki 2 PISP Käyttäjä Maksunsaajalistan luonti ASPSP Implementoitavat säännökset tulevat korvaamaan EBA:n esittelemät Guidelines for the security of payments via Internet - ohjeet. (*Parhaillaan tutkitaan kuitenkin mahdollisuutta muuttaa nämä sovellettavissa olevat vapautukset pakollisiksi ASPSP:ille. Pakollisuus yhtenäistäisi markkinakäytäntöjä.) 7

8 Sanasto AISP (Account Information Services Provider) Tilitietopalvelujen tarjoaja: toimija joka voi asiakkaan (tilitietopalvelun käyttäjän) valtuuttamana koota tietoa yhdestä tai useammasta asiakkaan maksupalvelun tarjoajan hallussa olevasta maksutilistä. API (Application Programming Interface) Ohjelmointirajapinta. ASPSP (Account Servicing Payment Service Provider) Maksutiliä hallitseva maksupalveluntarjoaja (maksulaitos tai pankki). Blockchain Lohkoketju on teknologia, jolla toisilleen vieraat toimijat voivat yhdessä tuottaa ja ylläpitää tietokantoja hajautetusti. DLT (Distributed Ledger Technology) tarkoittaa hajautetun kirjanpidon teknologiaa, jossa useampi rinnakkainen toimija hallitsee varoja mahdollistaen toimijoiden väliset siirrot ilman, että varojen siirtoihin tarvitaan välittäjää. EBA (European Banking Authority) Euroopan pankkiviranomainen. E-IDAS (The Regulation (EU) N 910/2014 on electronic identification and trust services for electronic transactions in the internal market) Sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus. MIF (Multilateral Interchange fee) OTP (One Time Password) Salasana joka on voimassa vain yhteen toimintoon ohjelmistossa tai laitteessa. PI (Payment Institute) Maksulaitos, jolla on toimilupa maksupalveluiden tarjoamiseen. PKI (Public Key Infrastructure) Julkisen avaimen järjestelmässä varmentaja tuottaa käyttäjille salausavaimet, varmentaa ne sähköisellä allekirjoituksellaan ja jakaa ne käyttäjille sekä ylläpitää varmennehakemistoa ja varmenteiden sulkulistaa ja mahdollisesti tarjoaa muita varmenteiden käyttöön liittyviä palveluja. PSP (Payment Service Provider) Maksupalvelun tarjoaja, joka voi tarjota myös PISP- ja AISP-toimintoja. PIP (Payment Initiation PSP) Maksutapahtuman käynnistävä maksupalvelun tarjoaja. PISP (Payment Initiation Services Provider) Maksutoimeksiantopalvelun tarjoaja, joka käynnistää maksutapahtuman maksupalvelun asiakkaan valtuuttamana toisen maksupalveluntarjoajan ylläpitämältä tililtä. RTS (Regulatory Technical Standards) Euroopan pankkiviranomaisen laatimat tekniset sääntelystandardit. SCA (Strong Customer Authentication) Vahva asiakkaan tunnistaminen. SEPA (Singe European Payments Area) Yhtenäinen euromaksualue on maksuliikenteen sisämarkkina-alue, johon kuuluu yhteensä 32 maata. SHA on tariffiperiaate, jossa maksaja ja maksunsaaja kumpikin osallistuvat maksutarjoajan laskuttamiin kustannuksiin ("SHARE"). TPP (Third Party Payment Service Provider) Kolmas osapuoli, joka voi tarjota asiakkaalle maksupalveluita perinteisten pankkien tai maksulaitosten lisäksi. XS2A (Access to Account) Termi jota käytetään tilitietoihin pääsemisestä 8

9 Jan Bäckström Partner Business Operations Regulatory Marko Lehto Partner Regulatory Sami Toivoniemi Senior Manager Technology sami PricewaterhouseCoopers. All rights reserved. refers to PricewaterhouseCoopers Finland and may sometimes refer to the network. Each member firm is a separate legal entity. Please see for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.