DigiCert QuoVadis

Qualified TSP

Qualified TSP

DigiCert

Contact

Voor meer informatie kunt u contact met ons opnemen:
+31 (0) 30 2324320
info.nl@quovadisglobal.com

Nieuws en gebeurtenissen

Gekwalificeerde Certificaten voor PSD2, vereist door de EU vanaf september 2019
16 mei 2019

Gekwalificeerde Certificaten voor PSD2, vereist door de EU vanaf september 2019

Europese betalingsdienstaanbieders zijn in volle gang om te voldoen aan de datum van ingang van september 2019 voor PSD2 technische normen die het gebruik van gekwalificeerde TLS en eSeal ondertekeningscertificaten voor veilige online authenticatie en communicatie omvat. Via zijn Europese Qualified Trust Service Provider (TSP) QuoVadis kan DigiCert Gekwalificeerde digitale certificaten leveren voor PSD2.

Payment Service Directive (PSD2) vanaf September 2019

De Europese Commissie heeft lang getracht elektronische betalingen zo eenvoudig en veilig over de grenzen heen in de EU te maken als binnen een enkele natie. Op basis van deze inspanningen werd een herziene Richtlijn Betalingsdiensten (EU Richtlijn 2015/2366 bekend als PSD2) van kracht in januari 2018 met als doel:

  • Bijdragen tot een meer geïntegreerde en efficiënte Europese betaalmarkt. 
  • Het level playing field voor betalingsdienstaanbieders te verbeteren. 
  • Betalingen veiliger en betrouwbaarder maken. 
  • Bescherming van consumenten.

PSD2 bestrijkt vele facetten van de elektronische betalingsmarkt, maar introduceert met name verbeterde privacy- en online beveiligingsmaatregelen die door alle Payment Service Providers (PSP's), inclusief banken, moeten worden geïmplementeerd. De PSD2 Regulatory Technical Standards (RTS), ontwikkeld door de European Banking Authority (EBA), die in september 2019 in werking treedt, omvatten nieuwe vereisten voor:

  • Sterke klantauthenticatie (SCA) voor elektronische betalingstransacties. 
  • Veilige communicatie door de betalingsdienstaanbieders.

Gekwalificeerde PSD2-certificaten

De PSD2 RTS stelt dat digitale certificaten die zijn uitgegeven door eIDAS Qualified Trust Service Providers (TSP) door PSP's kunnen worden gebruikt voor online identificatie en beveiligde communicatie.

eIDAS (EU-verordening 910/2014) is de Europese regeling voor het reguleren van elektronische identificatie, authenticatie en vertrouwensdiensten. Certificaten die zijn uitgegeven door gereguleerde TSP's in overeenstemming met het regime staan bekend als Qualified en bieden een speciale status in bepaalde wettelijke en regelgevende contexten.

Een nieuwe ETSI-standaard, ETSI TS 119 495, definieert het TSP-beleid en de profielen voor certificaten die voldoen aan de vereisten van de PSD2 RTS, die voortbouwt op de andere eIDAS Qualified-standaarden. Dit omvat het definiëren van velden voor de certificaten die de volgende informatie bevatten:

  • de nationale bevoegde instantie (NCA) of financiële regelgever waar de PSP is geregistreerd. 
  • het autorisatienummer dat de NCA aan de PSP heeft verstrekt. 
  • de gereguleerde PSD2-rollen waarvoor de PSP een licentie heeft van de NBA.

DigiCert heeft ook Ballot SC17 voorgesteld in het CA / Browser Forum, waardoor PSD2 en andere velden voor organisatie-identificaties kunnen worden toegevoegd aan TLS-certificaten voor Extended Validation (EV).

Welke PSD2 certificaten heb ik nodig?

Er zijn twee typen digitale certificaten die worden gebruikt in PSD2 voor beveiligde communicatie:

  • Gekwalificeerd certificaat voor websiteverificatie (QWAC) - gebruikt met Transport Layer Security (TLS) -protocol zoals is gedefinieerd in IETF RFC 5246 of IETF RFC 8446 om gegevens te beschermen in peer-to-peer communicatie.
  • Gekwalificeerd certificaat voor elektronische zegels (QSealC) - creëert digitale handtekeningen die worden gebruikt om gegevens of documenten te beschermen met behulp van standaarden zoals PAdES, CAdES of XAdES van ETSI en vaststelt dat deze afkomstig zijn van een rechtspersoon.

Elk certificaat biedt verschillende bescherming, afhankelijk van de use case.

 

QWAC TLS/SSL

eSeal / QSealC

Waar wordt het voor gebruikt?

Identificeerd end points, beschermd data tijdens de communicatie

Identificeerd de herkomst van documenten of data and beveiligd het tegen misbruik tijdens communicatie en opslag

Wat zijn de beveiligings functies?

Vertrouwelijkheid, authenticatie en integriteit

Authenticatie en integriteit

Biedt juridische bewijswaarde voor transacties?

Nee

Ja, onder eIDAS

Is data beschermd  waneer ze door een derde partij / betalingsdienstaanbieder passeren?

Beschermd in directe peer-to-peer communicatie

End-to-end, zefs bij passage door een  derde partij / betalingsdienstaanbieder

 

 

 

Type PSD2 Certificaat

De RTS beschrijft verschillende scenario's die PSP's kunnen overwegen bij het gebruik van certificaten voor beveiligde communicatie. De RTS beschrijft bijvoorbeeld een beveiligde optie met parallelle bescherming van zowel de betalingsverkeergegevens als hun communicatiekanalen: 

  • QWAC's gebruiken om de identiteit en rollen van de PSP's aan elkaar te verklaren veilig te communiceren via TLS-codering. 
  • QSealCs gebruiken om ervoor te zorgen dat de ingediende applicatiegegevens afkomstig zijn van een bepaalde PSP en er niet mee is geknoeid.

DigiCert + QuoVadis levert PSD2

Als een wereldwijde leider van op PKI gebaseerde oplossingen, is DigiCert scherp gericht op de specifieke regionale en branchevereisten rond online authenticatie, encryptie en digitale handtekeningen. Bij het waarmaken van deze visie zijn de Europese QuoVadis-activiteiten van DigiCert geaccrediteerd als een Gekwalificeerde Trust Service Provider in de EU onder eIDAS.

Met de deadline van september PSD2 in zicht, levert QuoVadis al test PSD2-certificaten, omdat banken en PSP's hun communicatie-interfaces voorbereiden voor de prototype-test van 3 maanden.

Voor PSP's die al doorgaan naar de laatste live test van 3 maanden, kan QuoVadis Qualified PSD2-certificaten leveren. Deze Qualified-certificaten vereisen een verhoogde validatie van de identiteit en autoriteit van de certificaatbeheerder en/of bevoegd vertegenwoordiger, meestal face-to-face of via notariële documenten. Voor meer informatie.