Нормативний стандарт ЄС вимагає додаткових заходів безпеки для банків і постачальників платіжних послуг, включаючи використання спеціальних кваліфікованих цифрових сертифікатів PSD2 сертифікатів.

PSD2 SSL сертифікати

PSD - Payment Service Directive.
QWAC - Qualified Website Authentication Certificate.
PSD2 (Payment Service Directive 2) –Друга директива Європейського союзу про надання платіжних послуг, яка зобов'язує банки забезпечувати доступ до даних клієнтів будь-якого належним чином ліцензованого підприємству. Станом на 14 вересня 2019 року банки та інші постачальники платіжних послуг зобов'язані надавати доступ до рахунку (XS2A) авторизованим стороннім постачальникам (TPP), навіть якщо між ASPSP і TPP відсутній договір. Каталог OBE (Open Banking Europe), покликаний забезпечити безпеку цього процесу і надає машиночитаемую сховище нормативної інформації, яка щогодини оновлюється і повідомляє постачальників платіжних послуг (PSP) про будь-яких критичних змінах.

Через делікатність операцій з фінансовими послугами Європейський банківський орган (EBA) випустив переглянуті Нормативні технічні стандарти (RTS) PSD2, що вимагають, серед іншого, використання цифрових сертифікатів безпеки, виданих кваліфікованим постачальником трастових послуг (TSP) відповідно до Стандартів EIDAS. Ці сертифікати відомі як «Кваліфіковані сертифікати» та надають особливий статус в певних правових і нормативних контекстах по всьому ЄС.

DigiCert + QuoVadis є кваліфікованим TSP і учасником ініціативи PRETA's Open Banking Europe для PSD2.

Що таке переглянута Директива про платіжні послуги PSD2 ?

В рамках багаторічних зусиль по підвищенню безпеки, конфіденційності та надійності електронних платежів, що перетинають кордони країн ЄС, Європейська комісія розробила переглянуту Директиву про платіжні послуги (Директива ЄС 2015/2366, також відому як PSD2), яка вступила в силу в січні 2018 року. Директива призначена щоб:

Сприяти розвитку інтеграції та ефективності європейського ринку платежів
Створити рівні умови і правила для постачальників платіжних послуг PSPs по всьому ЄС
Зробити електронні платежі більш безпечними
Забезпечити більш послідовний захист споживачів

PSD2 охоплює багато аспектів ринку електронних платежів, але, зокрема, вводить посилені заходи щодо забезпечення конфіденційності і онлайн-безпеки, які повинні застосовуватися банками і PSP, провідними бізнес в ЄС.

Що таке кваліфіковані сертифікати eIDAS?

eIDAS (Регламент ЕС 910/2014) - це набір нормативних стандартів ЄС, які визначають вимоги до цифрових сертифікатах відповідності сертифікатів PSD2, перевірці особи їх власників і роботі сертифікованих постачальників послуг довіри (TSP), які їх випускають. Сертифікати, видані кваліфікованими провайдерами відповідно до стандартів eIDAS, називаються «кваліфікованими сертифікатами» і надають особливий статус в певних правових і нормативних контекстах по всьому ЕС..

Сертифікати, видані кваліфікованими провайдерами відповідно до стандартів eIDAS, називаються «кваліфікованими сертифікатами» і надають особливий статус в певних правових і нормативних контекстах по всьому ЄС.

Навіщо мені кваліфіковані сертифікати для PSD2?

Відповідно до PSD2 цифрові сертифікати використовуються для ідентифікації банків і PSP, для перевірки ролей, на які вони ліцензовані, для шифрування зв'язку і, в деяких випадках, для забезпечення захисту від несанкціонованого доступу до даних або транзакціях. Через делікатності операцій з фінансовими послугами нормативні технічні стандарти (RTS) PSD2 вказують, що для ідентифікації PSP можуть використовуватися тільки сертифікати eIDAS, видані кваліфікованим постачальником послуг довіри (TSP).

QuiVadis, дочірня компанія DigiCert, є сертифікованим TSP eIDAS з офісами в Бельгії, Німеччині, Нідерландах, Швейцарії та Великобританії. QuoVadis видає сертифікати PSD2 клієнтам по всій Європі. DigiCert + QuoVadis випускає кваліфіковані сертифікати для електронного підпису та електронної печатки, кваліфіковані сертифікати веб-аутентифікації (TLS / SSL) і кваліфіковані мітки часу. DigiCert + QuoVadis також надають спеціальні кваліфіковані сертифікати, необхідні для PSD2.

Типи сертифікатів відповідають вимогам PSD2

Кожен тип сертифіката PSD2 пропонує різну захист в залежності від варіанту використання.

Кваліфікований сертифікат для перевірки справжності веб-сайту (QWAC - Qualified Web Authentication Certificate)

використовує протокол безпеки транспортного рівня (TLS), наприклад, певним в IETF RFC 5246 або IETF RFC 8446, для захисту даних в тимчасовій зв'язку і для визначення того, хто контролює кінцеві точки. Сертифікати QWAC підтверджують вашу особистість і роль в якості постачальника платіжних послуг для ваших клієнтів і інших підприємств, одночасно шифруючи і аутентіфіціруя конфіденційні дані.

QWAC TLS/SSL
Ідентифікує кінцеві точки, захищає дані під час зв'язку. Ідентифікує походження документа або даних і робить його захищеним від несанкціонованого доступу при передачі і зберіганні.
QWAC TLS/SSL
здійснює конфіденційність, аутентифікацію і цілісність переданої інформації
QWAC TLS/SSL
не надає юридичну доказову силу для транзакцій EIDAS
QWAC TLS/SSL
захищає дані тільки при прямій передачі даних між відправником і отримувачем без посередників

Кваліфікований сертифікат для електронних печаток (QSealC - Qualified eSeal Certificate) створює електронні друку, використовувані для захисту даних або документів з використанням таких стандартів, як PADSES, CADES або XAdES ETSI, і підтверджує їх походження від юридичної особи. Сертифікати QSealC «запечатують» дані додатків, конфіденційні документи та інші засоби зв'язку, щоб гарантувати, що вони захищені від підробки і походять з надійного джерела.

e-Seal / QSealC
визначає походження документа або даних і робить його захищеним від несанкціонованого доступу при передачі і зберіганні
Seal / QSealC
здійснює аутентифікацію і цілісність даних
e-Seal / QSealC
надає юридичну доказову силу для транзакцій EIDAS
e-Seal / QSealC
захищає дані при передачі навіть якщо передача інформації відбувається через посередника

Банки, що надають API-інтерфейси для доступу до інформації про клієнтів в режимі реального часу ліцензованими сторонніми постачальниками, зазвичай вказують, які сертифікати PSD2 їм потрібні для використання PSP і зазвичай вимагають і того, і іншого. Хоча в багатьох випадках eIDAS вимагає використання кваліфікованого пристрою створення підпису QSCD для захисту особистих ключів, спеціальне криптографічне обладнання не потрібно ні для сертифікатів QWAC, ні для QSealC відповідно до PSD2.

Дорожня карта впровадження PSD2

Фаза 1: березень 2019
На цьому початковому етапі повинно бути забезпечене тестове середовище PSD2, в якому навіть неліцензовані незалежні постачальники можуть ідентифікувати себе з тестовими сертифікатами і отримати доступ до тестових облікових записів. Для цих цілей DigiCert + QuoVadis можуть видавати тестові сертифікати PSD2 зі спрощеної реєстрацією.

Фаза 2: червень 2019
На цьому етапі банки повинні відкрити свою діючу систему з реальними рахунками клієнтів для ліцензованих сторонніх постачальників з виробничими сертифікатами PSD2. Фінансові установи, які не в змозі вкластися в ці терміни, повинні реалізувати запасне рішення відповідно до статті 33 (6) ЄС 2018/389. DigiCert + QuoVadis готові випустити виробничі кваліфіковані сертифікати PSD2, які включають в себе більш детальну перевірку ідентифікаційної інформації PSP і її уповноважених представників.

Фаза 3: вересень 2019
Фінансові установи прагнуть до повноцінної роботи відповідно до вимог PSD2.

Що мені потрібно буде зареєструвати для отримання сертифікату PSD2?

Як правило, етапи перевірки для сертифікатів PSD2 аналогічні тим, які потрібні для TLS розширеної перевірки (EV). Однак в кваліфікованих стандартах eIDAS додатковий упор робиться на верифікацію особистості, яка зазвичай вимагає особистої перевірки офіційних документів власника сертифіката кваліфікованим провайдером послуг.

Сертифікати PSD2 видаються конкретній особі, співробітнику компанії, чия особистість підтверджена. Співробітник повинен бути відомим уповноваженим представником компанії, наприклад, директором, зазначеним в офіційному торговому реєстрі. Цей уповноважений представник може потім надати можливість іншому співробітнику, наприклад ІТ-персоналу, взаємодіяти з TSP при управлінні життєвим циклом цифрового сертифікату.
* ПРИМІТКА. Замість процедури перевірки лицем до лиця для уповноважених представників може бути спрощена з використанням акредитованих європейських нотаріусів.

Новий стандарт ETSI (ETSI TS 119 495) заснований на інших кваліфікованих стандартах eIDAS для визначення політик TSP і профілів сертифікатів, які відповідають вимогам PSD2 RTS. Це включає визначення полів для сертифікатів для ідентифікації, таких як національний компетентний орган (NCA), фінансовий регулятор, де зареєстрована PSP і номер авторизації, виданий PSP NCA. На даний момент форум CA / Browser розглядає питання додавання полів PSD2 і інші поля організаційних ідентифікаторів в сертифікати TLS розширеної перевірки EV.