PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

Podobne dokumenty
Dostęp do rachunków płatniczych klientów Blue Media

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

Polish API Standard interfejsu na potrzeby świadczenia usług opartych na dostępie stron trzecich do rachunków płatniczych

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

PolishAPI. Specyfikacja interfejsu na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych

PolishAPI. Specyfikacja interfejsu na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych

PolishAPI. Rekomendacja dotycząca użycia logotypów ASPSP w ramach świadczenia usług inicjacji płatności oraz dostępu do informacji o rachunku

Specyfikacja biznesowa GetinAPI dla Bankowości Detalicznej interfejs do usług PSD2 Getin Noble Banku

Silne uwierzytelnianie dla klienta indywidualnego

PolishAPI. Specyfikacja interfejsu na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych

Dokumentacja użytkownika systemu. Miniaplikacja Rodzina 300/500 Plus

Już we wrześniu inaczej zalogujesz się na swoje konto w Internecie

Dokumentacja użytkownika systemu Miniaplikacja Rodzina 500 plus

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

PolishAPI. Specyfikacja interfejsu na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych

INSTRUKCJA DOSTĘPU i OBSŁUGI DO WERSJI DEMONSTRACYJNEJ SERWISU EUROBANK ONLINE DEDYKOWANEGO DLA DOSTAWCÓW USŁUG PSD2

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Wytyczne EBA/GL/2018/07. 4 grudnia 2018 r.

Dokumentacja użytkownika systemu Miniaplikacja Rodzina 500 plus

Silne uwierzytelnianie dla klienta instytucjonalnego

REGULAMIN KORZYSTANIA Z KART PŁATNICZYCH BANKU POCZTOWEGO S.A. W RAMACH PORTFELI CYFROWYCH

Specyfikacja biznesowa GetinAPI dla Klienta firmowego - interfejs do usług PSD2 Getin Noble Banku

Instrukcja użytkowania KB tokena

Instrukcja wiązania bankowości internetowej z aplikacją mobilną mtoken Asseco MAA (w przypadku autoryzacji za pomocą tokena lub sms-a)

Nowy sposób autoryzacji przelewów w Usłudze Bankowości Elektronicznej

Przewodnik dla użytkownika. Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

3. Kolejne uruchomienie tokena W celu uruchomienia tokena VASCO DP280 należy przytrzymać przycisk Poweron/Power-off.

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

DOKUMENTACJA TECHNICZNA DLA ŚRODOWISKA TESTÓW INTEGRACYJNYCH API PKO BANKU POLSKIEGO

PolishAPI. Specyfikacja interfejsu na potrzeby usług świadczonych przez strony trzecie w oparciu o dostęp do rachunków płatniczych

INSTRUKCJA POWIĄZANIA BANKOWOŚCI INTERNETOWEJ Z APLIKACJĄ MOBILNĄ mtoken ASSECO MAA KLIENCI KORPORACYJNI

Specyfikacja Płatności CashBill. Instrukcja podłączenia płatności elektronicznych do typowych zastosowań.

Instrukcja uruchomienia mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Asseco CBP

INSTRUKCJA POWIĄZANIA BANKOWOŚCI INTERNETOWEJ Z APLIKACJĄ MOBILNĄ mtoken ASSECO MAA KLIENCI INDYWIDUALNI

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Specyfikacja Techniczna 2.0. Specyfikacja techniczna usługi dystrybucji kodów dostępowych PayCode

mdokumenty Anna Streżyńska Minister Cyfryzacji Warszawa,

Dokument dotyczący opłat

Instrukcja Obsługi Tokena VASCO DP 280

Instrukcja Obsługi Tokena VASCO DP 280

INSTRUKCJA INSTALACJI I AKTYWACJI KB TOKENA

Instrukcja uruchomienia mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Systemem Bankowości Internetowej def3000ceb

Instrukcja powiązania urządzenia mobilnego oraz autoryzacja operacji w bankowości elektronicznej Banku Spółdzielczego w Bieczu (Asseco CBP)

Instrukcja powiązania urządzenia mobilnego oraz autoryzacja operacji w bankowości elektronicznej Banku Spółdzielczego w Bieczu (Asseco CBP)

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA klient korporacyjny

Instrukcja uruchomienia i korzystania z mtoken Asseco MAA na urządzeniach mobilnych oraz powiązania z Asseco CBP

Instrukcja Obsługi Tokena VASCO DP 280

Moduł do płatności mobilnych najprostszy sposób zatwierdzenia płatności w komórce

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP)

Informacja o zmianach w Regulaminie kart kredytowych

RACHUNKI BANKOWE, KARTY DEBETOWE DO RACHUNKÓW BANKOWYCH, BANKOWOŚĆ INTERNETOWA, MOBILNA ORAZ TELEFONICZNA

Płatności CashBill - SOAP

Bank Spółdzielczy w Nidzicy

INSTRUKCJA ZMIANY METODY AUTORYZACJI W SERWISIE KB24

Procedura uzyskania uprawnień przez Operatora, proces weryfikacji oraz wydawanie Kwalifikowanego Podpisu Elektronicznego przez ADS

Gatesms.eu Mobilne Rozwiązania dla biznesu

Instrukcja użytkownika tokena mobilnego (mtokena)

Przewodnik po Platformie Usług Elektronicznych ZUS

WSTĘP. Szanowni Państwo, Witamy bardzo serdecznie w gronie internautów, użytkowników systemów informatycznych przez Internet.

Bank Spółdzielczy w Pucku. Wniosek o zmianę usług. Dane posiadacza rachunku/użytkownika. Numer rachunku. imię i nazwisko, adres /nazwa i siedziba

Instrukcja Obsługi Tokena VASCO DP 260

ikasa instrukcja użytkownika dla Klientów posiadających zainstalowaną aplikację

INSTRUKCJA OBŁUGI APLIKACJI ASSECO MAA

ikasa instrukcja użytkownika dla Klientów nie posiadających zainstalowanej aplikacji

Czy znasz wszystkie możliwości swojej karty kredytowej?

Dokument dotyczący opłat

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej

Instrukcja korzystania z aplikacji mobilnej mtoken Asseco MAA. Przewodnik dla użytkownika

Instrukcja pierwszego logowania użytkownika do usługi CUI dla klientów z autoryzacją MAA.

Nowa odsłona wyodrębnienie i kierunki jego rozwoju Łysomice

4 produkty finansów cyfrowych, które zrewolucjonizują rynek w najbliższych 2 latach. Miłosz Brakoniecki Członek Zarządu Obserwatorium.

Nowa metoda autoryzacji ezla

Zdalne logowanie do serwerów

4 Zmiana zakresu usługi przez Bank wymaga zachowania warunków i trybu przewidzianego dla zmiany regulaminu.

mdokumenty start pilotażu

Rozpoczynamy pracę nad stworzeniem wspólnego krajowego standardu płatności mobilnych

Oferta obowiązuje od r. Konto Premium. 0,00 zł. 0,00/20,00 zł 2. 5,00 zł. 20,00 zł 20,00 zł. 5,00 zł 5,00 zł 5,00 zł 5,00 zł

Tytuł prezentacji. Dualny Model Sprzedaży podręcznik użytkownika

Proces obsługi walnego zgromadzenia z perspektywy KDPW

Główne zalety bankowości mobilnej oferowanej przez Bank Spółdzielczy w Bieczu:

Elektroniczna Bankowość Online. Instrukcja konfiguracji metody autoryzacji etoken. Panel KLIENTA

Zasady udostępniania i funkcjonowania elektronicznych kanałów dostępu

Dokumentacja aplikacji Szachy online

Zasady udostępniania i funkcjonowania elektronicznych kanałów dostępu

Schemat korzystania z szybkich płatności internetowych PayByNet krok po kroku. Krok pierwszy wybór formy płatności

REGULAMIN KORZYSTANIA Z SYSTEMU MOBILNA KARTA MIEJSKA KOSZALIN

Automatyzacja procesów księgowych w Twojej firmie

SET (Secure Electronic Transaction)

Instalacja VPN Check Point Mobile Apple macos Hight Sierra (v )

Rejestracja tokenu programowego: SafeNet MobilePASS+ do ios firmy Apple

Usługi mobilne ipko biznes

PRZEWODNIK DLA POLSKICH EMITENTÓW PAPIERÓW WARTOŚCIOWYCH WYPŁATA DYWIDENDY

PODRĘCZNIK OBSŁUGI BUSINESSNET

WYPŁATA ODSETEK OD PAPIERÓW DŁUŻNYCH

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

elektroniczna Platforma Usług Administracji Publicznej

Dyrektywa PSD2 Wprowadzenie do dyskusji 24 listopada 2016r.

Rekomendacja Związku Banków Polskich dotycząca kodu dwuwymiarowego ( 2D ), umożliwiającego realizację polecenia przelewu oraz aktywację usług

Transkrypt:

PolishAPI Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego Dokument opracowany przez Grupę Projektową ds. PolishAPI 8 lipca 2019 Wersja 1.0

Spis treści 1 Wstęp i zastrzeżenia... 3 2 Założenia... 4 3 Usługa inicjacji płatności (PIS) opis procesu... 5 4 Usługa dostępu do informacji o rachunku (AIS) opis procesu... 7 Spis ilustracji Ilustracja 1: Proces inicjacji płatności... 6 Ilustracja 2: Proces dostepu do informacji o rachunku (z udziałem PSU)... 8 2 / 8

1 Wstęp i zastrzeżenia Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (RTS) zobowiązuje dostawców usług płatniczych prowadzących rachunek płatniczy (ASPSP) do opracowania środków awaryjnych w zakresie specjalnego interfejsu dostępowego. Środki awaryjne obejmują m.in. opis dostępnego interfejsu awaryjnego (fall-back). Ani druga dyrektywa w sprawie usług płatniczych (PSD2), ani RTS nie przesądzają szczegółowo pożądanego kształtu i sposobu funkcjonowania interfejsu awaryjnego. Ograniczone wymogi regulacyjne w tym zakresie wynikają z art. 33 ust. 5 RTS. Niniejsze Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego stanowią propozycję wspólnego, uniwersalnego podejścia do wdrożenia interfejsu awaryjnego, wykorzystującego dotychczasowe osiągnięcia polskiego sektora bankowego i płatniczego oraz najlepsze praktyki rynkowe. Rekomendacje i opisy założeń zawarte w niniejszym dokumencie nie mają, w żadnym zakresie i wymiarze, charakteru wiążącego. Nie są to także jedyne możliwe rozwiązania, które są dopuszczalne w świetle wymogów prawnych. ASPSP mogą, wedle własnego uznania i przeprowadzonej oceny ryzyka oraz na własną odpowiedzialność, podjąć decyzję o stosowaniu przedstawionych tutaj rekomendacji i opisów założeń, w całości lub części. Niniejszy dokument nie stanowi także opinii prawnej. Rekomendacje i opisy założeń zawarte w niniejszym dokumencie prezentują pogląd wypracowany w ramach prac grupy projektowej przy Związku Banków Polskich. 3 / 8

2 Założenia 1. Pierwszym etapem procesu jest weryfikacja certyfikatu QWAC użytego do zestawienia połączenia oraz certyfikatu pieczęci QSealC TPP. 2. Weryfikacja certyfikatów opiera się na weryfikacji certyfikatów QWAC i QSealC umieszczonych w nagłówkach. W ramach weryfikacji dokonywana jest analiza ważności certyfikatu, jego struktury oraz uprawnień TPP do usług PSD2. UWAGA: weryfikacja certyfikatu pieczęci z uwagi na potencjalny znaczny wpływ na wydajność usługi bez krytycznego wpływu na jej bezpieczeństwo, może być uznana za opcjonalną. 3. Uwierzytelnienie klienta opiera się o mechanizm przekierowania do infrastruktury ASPSP (redirection). 4. Realizacja usług następuje po uwierzytelnieniu PSU oraz przekazaniu tokena lub identyfikatora sesji, aby umożliwić TPP realizację usługi na interfejsie klienckim wg wybranej przez ASPSP metody. 5. Realizacja usługi AIS bez udziału PSU nie jest objęta niniejszą rekomendacją, a jej udostępnienie zależy od indywidualnej decyzji ASPSP. 4 / 8

3 Usługa inicjacji płatności (PIS) opis procesu Uwaga, wprowadzenie danych przelewu może nastąpić przed uwierzytelnieniem lub po uwierzytelnieniu PSU. Będzie to skutkowało koniecznością wykorzystania innego procesu i innej jego obsługi. 1. PSU uruchamia aplikację webową TPP używając przeglądarki WWW. W tym kroku PSU może wprowadzić także dane przelewu. 2. Serwer TPP nawiązuje połączenie z domeną fallback.<bank>.pl. TPP przekazuje parametr tpp_redirect_uri zawierający adres serwera TPP, do którego w kolejnych krokach procesu będą realizowane przekierowania przeglądarki PSU. 3. Weryfikacja certyfikatu QWAC użytego do zestawienia połączenia oraz certyfikatu pieczęci QSealC TPP*. 4. Jeżeli weryfikacja TPP na podstawie przekazanych certyfikatów zostanie zakończona powodzeniem generowany jest token*, który zostanie wykorzystany przez ASPSP do potwierdzenia realizacji usługi. Dodatkowo zostanie zwrócony URL prowadzący do adresu, pod którym znajduje się endpoint ASPSP. W przypadku negatywnej weryfikacji TPP połączenie zostanie odrzucone. 5. TPP przekierowuje przeglądarkę PSU na stronę bankowości elektronicznej ASPSP w oparciu o URL otrzymany w poprzedzającym kroku. 6. PSU uwierzytelnia się na stronie bankowości elektronicznej ASPSP podając swoje dane logowania. Dodatkowo, do bankowości elektronicznej ASPSP jest przekazany token wygenerowany uprzednio, zawierający m.in. potwierdzenie poprawnej weryfikacji certyfikatów TPP. 7. ASPSP zwraca do TPP token. 8. Na podstawie parametru tpp_redirect_uri, następuje przekierowanie PSU na stronę aplikacji TPP. 9. Serwer TPP ponownie łączy się z ASPSP w celu pobrania danych sesji, w kontekście której zostanie nawiązanie połączenie. 10. ASPSP przekazuje dane sesji. 11. TPP łączy się z bankowością elektroniczną w kontekście PSU, wykorzystując otrzymane wcześniej dane sesji w celu realizacji akcji w imieniu PSU. Ten krok może obejmować wprowadzenie danych przelewu. Drugi faktor uwierzytelnienia jest wprowadzany w oparciu o trzy dopuszczalne metody, opisane w punktach 12, 13 i 14: 12. Metoda redirection, np. z wykorzystaniem OTP (One-time password): a. ASPSP generuje OTP i przekazuje go PSU istniejącym kanałem (np. za pośrednictwem SMS); b. PSU potwierdza żądanie / autoryzuje transakcję w interfejsie ASPSP. Ta metoda jest transparentna z pkt. widzenia TPP. 13. Metoda embedded, np. z wykorzystaniem OTP (One-time password): a. ASPSP generuje OTP i przekazuje go PSU istniejącym kanałem (np. za pośrednictwem SMS); b. PSU wpisuje OTP w aplikacji TPP; c. TPP używa przekazanego kodu do autoryzacji żądania / transakcji. 14. Metoda decoupled (np. za pośrednictwem osobnej aplikacji ASPSP na urządzeniu mobilnym): 5 / 8

a. ASPSP generuje żądanie autoryzacji i wysyła komunikat push do urządzenia mobilnego; b. PSU potwierdza żądanie / autoryzuje transakcję. Ta metoda jest transparentna z punktu widzenia TPP. *usługa realizowana przez TSP (Technical Service Provider), może być także zrealizowana przez ASPSP Ilustracja 1: Proces inicjacji płatności 6 / 8

4 Usługa dostępu do informacji o rachunku (AIS) opis procesu 1. PSU uruchamia aplikację webową TPP używając przeglądarki WWW. 2. Serwer TPP nawiązuje połączenie z domeną fallback.<bank>.pl. TPP przekazuje parametr tpp_redirect_uri zawierający adres serwera TPP, do którego w kolejnych krokach procesu będą realizowane przekierowania przeglądarki PSU. 3. Weryfikacja certyfikatu QWAC użytego do zestawienia połączenia oraz certyfikatu pieczęci QSealC TPP*. 4. Jeżeli weryfikacja TPP na podstawie przekazanych certyfikatów zostanie zakończona powodzeniem generowany jest token*, który zostanie wykorzystany przez ASPSP do potwierdzenia realizacji usługi. Dodatkowo zostanie zwrócony URL prowadzący do adresu, pod którym znajduje się endpoint ASPSP. W przypadku negatywnej weryfikacji TPP połączenie zostanie odrzucone. 5. TPP przekierowuje przeglądarkę PSU na stronę bankowości elektronicznej ASPSP w oparciu o URL otrzymany w poprzedzającym kroku. 6. PSU uwierzytelnia się na stronie bankowości elektronicznej ASPSP podając swoje dane logowania. Dodatkowo, do bankowości elektronicznej ASPSP jest przekazany token wygenerowany uprzednio, zawierający m.in. potwierdzenie poprawnej weryfikacji certyfikatów TPP. Drugi faktor uwierzytelnienia jest wprowadzany w oparciu o trzy dopuszczalne metody, opisane w punktach 11, 12 i 13: 7. Metoda redirection, np. z wykorzystaniem OTP (One-time password): a. ASPSP generuje OTP i przekazuje go PSU istniejącym kanałem (np. za pośrednictwem SMS); b. PSU potwierdza żądanie / autoryzuje transakcję w interfejsie ASPSP. Ta metoda jest transparentna z pkt. widzenia TPP. 8. Metoda embedded, np. z wykorzystaniem OTP (One-time password): a. ASPSP generuje OTP i przekazuje go PSU istniejącym kanałem (np. za pośrednictwem SMS); b. PSU wpisuje OTP w aplikacji TPP; c. TPP używa przekazanego kodu do autoryzacji żądania / transakcji. 9. Metoda decoupled (np. za pośrednictwem osobnej aplikacji ASPSP na urządzeniu mobilnym): a. ASPSP generuje żądanie autoryzacji i wysyła komunikat push do urządzenia mobilnego; b. PSU potwierdza żądanie / autoryzuje transakcję. Ta metoda jest transparentna z pkt. widzenia TPP. 10. ASPSP zwraca do TPP token. 11. Na podstawie parametru tpp_redirect_uri, następuje przekierowanie PSU na stronę aplikacji TPP. 12. Serwer TPP ponownie łączy się z ASPSP w celu pobrania danych sesji, w kontekście której zostanie nawiązanie połączenie. 13. ASPSP przekazuje dane sesji. 14. TPP łączy się z bankowością elektroniczną w kontekście PSU wykorzystując otrzymane wcześniej dane sesji w celu pobrania danych w imieniu PSU. *usługa realizowana przez TSP (Technical Service Provider), może być także zrealizowana przez ASPSP 7 / 8

Ilustracja 2: Proces dostępu do informacji o rachunku (z udziałem PSU) 8 / 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres