De herziene richtlijn voor betaaldiensten (Payment Service Directive), waarnaar meestal wordt verwezen met het acroniem PSD2, en RTS, de normen die bepalen hoe aan PSD2 moet worden voldaan, werd in september 2019 volledig van kracht - hoewel de Europese Bankautoriteit bedrijven een verlenging heeft gegeven om een sterke klantauthenticatie (SCA) te bereiken. Dat is goed nieuws voor de meeste financiële instellingen, want er is veel te begrijpen - en te doen - als gevolg van de eisen die in PSD2 worden gesteld.
De richtlijn is van toepassing op alle lidstaten van de Europese Unie (EU) en vereist van alle financiële instellingen dat zij hun klantinformatie en betalingsnetwerken openstellen voor betalingsdienstaanbieders (Payment Service Providers - PSP's) en andere externe providers (Third Party Providers - TPP's). Het doel van de richtlijn is om het monopolie dat financiële instellingen hebben op de gegevens van hun gebruikers op te heffen, de concurrentie te vergroten en nieuwe, innovatieve financiële oplossingen aan te moedigen, en tegelijkertijd vast te stellen om de interoperabiliteit en de veiligheid van gebruikersgegevens te waarborgen.
Waarom raakt de EU betrokken bij betalingsverkeer?
De PSD2 is de tweede aflevering van een reeds bestaande betaaldienstrichtlijn uit 2007. Het beoogt fraude en kwaadwillende activiteiten aan te pakken en de beveiliging voor online betalingen te verbeteren. Het is ook bedoeld om open banking aan te moedigen en meer concurrentie te creëren. De afgelopen jaren zijn er tal van initiatieven geweest om het gebruik van digitale documenten te ondersteunen en de digitale beveiliging te verbeteren. De voortdurende opkomst van financiële technologiebedrijven (bekend als FinTechs) is hiervan het bewijs.
Wat is de RTS SCA/CSC voor PSD2?
De technische reguleringsnormen (Regulatory Technical Standards - RTS) voor sterke klantauthenticatie (Strong Customer Authentication - SCA) en Common and Secure Open Standards of Communication (CSC) beschrijven de specifieke beveiligingsmaatregelen en implementatievereisten waaraan financiële instellingen en TPP's moeten voldoen om te voldoen aan PSD2.
De RTS is zojuist van kracht geworden. Een kernprincipe van de RTS is een gemeenschappelijke en veilige communicatie tussen alle betrokken partijen. Alle transacties tussen betalingsdienstaanbieders en financiële instellingen moeten plaatsvinden via beveiligde kanalen en zorgen voor authenticiteit en integriteit van de gegevens.
De rol van gekwalificeerde certificaten in PSD2
De RTS specificeert twee hoofdvereisten die het gebruik van certificaten met zich meebrengen:
- Identificatie van betalingsdienstaanbieders (artikel 34 van RTS) – PSP 's moeten zich identificeren ten opzichte van de API van de financiële instelling. De RTS vereist specifiek het gebruik van een Qualified Website Authentication Certificate (QWAC) of Qualified Certificates for Electronic Seal (QSealC) voor dit doel.
- Veilige codering moet tussen alle communicerende partijen worden toegepast (artikel 35 van RTS) – De RTS specificeert hier niet het gebruik van QWAC's, deze verplicht alleen het gebruik van "sterke en algemeen erkende coderingstechnieken", maar het QWAC's gebruik van SSL/TLS-protocollen voldoet deze behoefte.
Welk type gekwalificeerde certificaat(en) heb ik nodig?
Om aan beide bovengenoemde vereisten te voldoen, beveelt de EBA (Europese Bankautoriteit) het gebruik van QWAC's en QSealC's aan.
QWAC's zijn in wezen gekwalificeerde SSL/TLS-certificaten. Ze worden gebruikt om eindpunten te identificeren, zoals banken en externe providers, en ze coderen en beschermen gegevens tijdens de overdracht.
QSealCs daarentegen beschermen gegevens en documenten tegen manipulatie en identificeren de oorsprong van de gegevens.
Het gebruik van beide soorten certificaten is ideaal, omdat het zorgt voor:
- PSP's kunnen zich identificeren tegenover financiële instellingen. Zowel QWAC als QSealC authenticeren de partijen met behulp van de certificaten.
- Vertrouwelijkheid en integriteit voor communicatie tussen alle partijen. QWAC gebruikt SSL/TLS om sessies te coderen en gegevens tijdens het transport te beschermen.
- Alle gegevens kwamen eigenlijk van de PSP die in het certificaat was geïdentificeerd. QSealC identificeert waar de gegevens vandaan komen en beschermt deze tegen manipulatie.
De onderstaande tabel van PRETA Open Banking Europe biedt een geweldig overzicht en een vergelijking van wanneer en waarom elk te gebruiken, en illustreert verder het voordeel van het gelijktijdig gebruiken van beide.
Waarin verschillen gekwalificeerde certificaten voor PSD2 van "normale" gekwalificeerde certificaten?
QWAC's en QSealC's vallen in de categorie gekwalificeerde elektronische certificaten. Naast de gebruikelijke certificaatvelden, zoals O voor organisatie, OE voor organisatie-eenheid en C voor land, bevatten ze ook drie extra velden:
• Het autorisatienummer van de TPP
• De PSD2-rol of rollen van de TPP
• De naam van de nationale bevoegde autoriteit
Hoe werkt het?
Het klinkt allemaal heel ingewikkeld - de PSD2-wetgeving bevat niet alleen veel acroniemen en afkortingen, maar er zijn ook veel verschillende partijen bij betrokken.
We hebben een afbeelding gemaakt om het proces te visualiseren:
- Ten eerste moet de PSP zich registreren bij zijn respectieve nationale bevoegde autoriteit.
- Het zal dan een QTSP benaderen, zoals GlobalSign, om een gekwalificeerd certificaat aan te vragen.
- GlobalSign gebruikt het openbare register dat de Nationale Bevoegde Autoriteit aanmaakt om de Payment Service Provider te valideren en geeft de QWAC en/of QSealC uit aan de PSP.
- De PSP gebruikt de API ('s) van de financiële instelling om toegang te krijgen tot klantinformatie en betalingsnetwerken. QWAC's en QSealC's worden gebruikt om de PSP te identificeren, alle communicatie tussen de PSP en de klant te coderen en gegevens tegen manipulatie te beschermen.
- Wanneer een eindklant gegevens opvraagt, worden de gegevens veilig van de financiële instelling via de PSP naar de eindklant verzonden.
Wat betekent dit voor banken?
Financiële instellingen hebben de opdracht gekregen om tegen september 2019 open banking mogelijk te maken. Elke externe aanbieder die toegang tot gegevens wil, moet geregistreerd zijn bij en goedgekeurd worden door hun relevante nationale bevoegde autoriteit (NCA). Op basis van een succesvolle licentie kunnen ze vervolgens QWAC's en QSeals kopen en op hun beurt toegang vragen tot API's van financiële instellingen.
Hoe kan ik een QWAC of QSealC voor PSD2 krijgen?
Deze certificaten zijn verkrijgbaar bij QTSP's zoals GlobalSign. Ze kunnen worden gekocht door PSP's en andere externe leveranciers (TPP), nadat ze zijn doorgelicht en goedgekeurd door de verantwoordelijke nationale bevoegde autoriteit.
Als u een PSP bent en een QWAC of QSealC nodig hebt, kunnen wij u helpen. U vindt meer informatie over de certificaten en hoe u ze kunt kopen op onze PSD2-pagina.