Qualified ja PSD2 varmenteet

Entrustin Qualified varmenteet vastaavat eIDAS ja PSD2 -vaatimuksiin

Entrustin Qualified-tason varmenteisiin kuuluvat Qualified Website Authentication Certificate (QWAC) varmenteet ja Qualified Certificates for Electronic Seals (QSeals) varmenteet, jotka vastaavat EU:n vaatimuksiin salauksen, autentikoinnin ja tietojen muuttumattomuuden osalta.

eIDAS ja PSD2 -vaatimusten tavoitteena on lisätä luottamusta elektronisessa kaupan käynnissä ja maksupalveluissa EU-alueella. eIDAS koskee kaikkia yrityksiä, kun taas PSD2 -säännöt koskevat erityisesti pankki- ja rahoituspalvelulaitoksia sekä maksupalveluiden tarjoajia ja niiden tavoitteena on luoda yhtenäinen markkina maksupalveluille ja lisätä turvallisuutta.

Entrustin Qualified varmenteet ovat eIDAS ja PSD2 yhteensopivia. Entrust Europe voi myöntää Qualified -tason varmenteita, koska se on auditoitu TSP (Trusted Service Provider) EU:n Trusted Listillä.

Qualified varmenteet mahdollistavat eIDAS vaatimusten mukaisen tietojen salauksen ja suojauksen  sekä takaavat tietojen muuttumattomuuden. Niihin liittyy myös korkeimman tason (Extended Validation) verifiointi.

Entrustin Qualified varmenteet

PSD2 QWAC (finanssilaitokset)

PSD2 QWAC -varmenteet mahdollistavat organisaatioiden, erityisesti rahoituspalvelulaitosten ja maksupalvelutarjoajien, korkeimman luottamuksen ja identiteetin PSD2-direktiivin mukaisesti.
– Korkeimman tason todentamista tarvitaan avointen pankkisovellusliittymien suojaamiseen, kun siirretään yksityisiä tietoja ja on kyseessä maksujen suorittaminen tai rahansiirto.
– PSD2 QWACs varmenteita tarvitaan web-sivuille turvaamaan, että maksupalvelutarjoaja (ASPSP) ja kolmas osapuoli (TPP) voivat olla varmoja toistensa identiteetistä.

Verifiointivaatimukset

PSD2 QWAC varmenteita varten tarvitaan organisaation EV (Extended Validation)-tason eli korkeimman tason verifiointi. Tämän lisäksi tarvitaan:

  1. TPP:n rekisteröintinumeron, löytyy NCA:n (National Competent Authority) julkisista rekistereistä
  2. Kolmannen osapuolen tarjoajan roolit, joita voi olla
    • ASPSP (Account-Servicing Payment Service Provider)
    • PSIP (Payment Initiation Service Provider)
    • AISP (Account Information Service Provider)
    • Korttipohjaisen maksun myöntämisen välineet
  3. Kolmannen osapuolen tarjoaja on rekisteröineen viranomaisen nimi
  4. Varmenteen myöntävän CA/QTSP:n nimi näkyy varmenteella
  5. Perinteiset EV-varmenteen vaatimukset:
    • Varmenteen omistajan nimi
    • Domainin verifiointi
    • Organisaatioverifiointi
    • Web-sivustoa hallinnoivan organisaation virallinen identiteetti
    • Voimassaoloaika

eIDAS QWAC

Entrustin eIDAS QWAC varmenteet:

  • Sallii kaikkien organisaatioiden tarjota korkean tason varmenteita verkkokaupankäynnille eIDAS standardien mukaisesti

Verifiointivaatimukset:

eIDAS QWAC varmenteet tarvitsevat saman EV-tasoisen verifioinnin kuin PSD2 QWAC varmenteet. Tämän lisäksi vaaditaan face-to-face videoverifiointi yrityksen Legal Representative henkilön kanssa (yrityksen nimenkirjoitusoikeudellinen henkilö).

Qualified Seal varmenteet (QSealC)

European Banking Authority (EBA) suosittelee käyttämään yhtä aikaa PSD2 yhteensopivia QWAC (Qualified Website Authentication Certificates) varmenteita ja QSealC (QSeal Certificates) varmenteita. Tämä antaa paremman läpinäkyvyyden ja luotettavuuden tietojen muuttumattomuudelle maksupalveluntarjoajalle (Account-Servicing Payment Service Providers, ASPSP) seuraavan tyyppisille toimijoille tai tilanteille:

  • Tilitietopalvelun tarjoajat (Account Information Service Providers, AISP)
  • Maksutoimeksiantopalvelun tarjoajat (Payment Initiation Service Providers, PISP)
  • Korttipohjaisten maksuvälineiden liikkeeseenlasku toisen osapuolen tarjoamaan tiliin liitettynä (Card Based Payment Instrument Issuers, CBPII)

Lue lisää PSD2:sta Entrustin sivuilta ja suomeksi aiheesta Finanssivalvonnan sivuilta

PSD2 QSealC varmenteet (finanssilaitokset)

Entrustin PSD2 QSeal varmenne allekirjoittaa tiedon, joka lähetetään organisaatioiden välillä varmistaen, että alkuperäiset tiedot eivät ole muuttuneet. Tietojen allekirjoittaminen kolmansien osapuolien kanssa tapahtuvassa tiedonsiirrossa on erittäin suositeltavaa PSD2-transaktioissa.

Entrustin PSD2 QSeal varmenteet toimitetaan PEM-koodattuina tiedostoina. Niitä voidaan käyttää tuottaessa Advanced-tason allekirjoituksia kuten eIDAS on määritellyt.

PSD2 QSealC varmenteet vastaavat ETSI TS 119 495 ja Article 34 of RTS vaatimuksiin.

QWAC (PSD2 ja eIDAS) varmenteiden edut:

  • PSD2 ja eIDAS yhteensopivia
  • end-to-end salaus palvelimen ja asiakkaan välillä
  • vahvin suojaus vastaten viimeisimpiin vaatimuksiin:
    • SHA-2/2048-bit keys
    • 128-256-bit salaus
    • tukee RSA salausalgoritmeja
  • autentikointi ja muuttumattomuus
  • rajoittamattomat uusinnat
  • rajoittamattomat palvelin lisenssit
  • yli 250 SAN
  • 13-kuukauden voimassaoloaika
  • keskitetty hallinta Entrustin (ECS) portaalissa

PSD2 QSealC varmenteiden edut:

  • PSD2 ja eIDAS yhteensopivia
  • aikaleimaus
  • skaalautuva allekirjoittaminen riippuen organisaation tarpeista
  • autentikointi ja muuttumattomuus
  • 12-36 kuukauden voimassaoloaika
  • tuettu avainten hallinta: PEM-koodattu varmennetiedosto
  • keskitetty hallinta Entrustin (ECS) portaalissa