PSD2 vereist gebruik veilige(re) certificaten

Roman Brunner

Roman Brunner, Managing Director Emerging Markets - Europe voor DigiCert QuoVadis 

Iedereen krijgt te maken met de Payment Services Directive 2 (PSD2), een nieuwe Europese richtlijn voor het digitale betalingsverkeer van consumenten en bedrijven. Het belangrijkste voordeel daarvan is dat u toegang kunt krijgen tot nieuwe betaal- en rekeningdiensten. Uiteraard moeten de aanbieders daarvan dan wel gedeeltelijk toegang krijgen tot uw bankrekening. Hoe zorgen banken en andere dienstverleners ervoor dat cybercriminelen geen misbruik kunnen maken van uw rekening(gegevens)? 

Nieuwe financiële services

PSD2 is sinds 19 februari 2019 in Nederland van kracht, met als doel meer concurrentie en innovatie in de financiële markt te stimuleren door de toetredingsdrempel te verlagen. Daar kunnen nieuwe banken en aanbieders van alternatieve betaal- en rekeninginformatiediensten gebruik van maken. Twee bekende voorbeelden daarvan zijn Apple Pay en Google Pay. 

Uiteraard heeft het gebruik van nieuwe financiële diensten invloed op online koop- en verkooptransacties. PSD2 is gebaseerd op de principes van ‘open banking’, die het delen van API’s en klantgegevens voor elektronische betalingen en de bijbehorende communicatie in Europa reguleren. Dat kan omdat alle betrokken partijen daarbij multi-factor authenticatie en veilige communicatieprotocollen gebruiken. 

Veilige(re) certificaten

Bij PSD2-transacties wordt de communicatie tussen banken en ‘Payment Service Providers’ (PSP’s) beveiligd met digitale certificaten. Deze worden uitgegeven en beheerd door ‘Qualified Trust Service Providers’ (TSP's), die moeten voldoen aan de EU-richtlijnen voor elektronische identificatie, authenticatie en vertrouwensdiensten (eIDAS). eIDAS is sinds 29 september 2018 in heel Europa van kracht. 

Certificaten die voldoen aan eIDAS beveiligen de identiteit en persoonsgegevens van gebruikers beter dan certificaten die bij online transacties alleen maar domeinnamen controleren. De eerste categorie daarvan zijn de zogeheten ‘Qualified Certificate for Electronic Seals’ (QSealC), die op de applicatielaag van een verbinding data of documenten beveiligen met een traceerbare digitale handtekening. 

Een tweede categorie is de zogenaamde ‘Qualified Certificate for Website Authentication’ (QWAC). Deze verifiëren de partijen die betrokken zijn bij een transactie en de beveiligde verbinding met ‘Transport Layer Security Encryption’. QWAC-certificaten zijn deels gebaseerd op de CA/Browser Forum standaard voor ‘Extended Validation’ (EV) certificaten, waarmee de identiteit van gebruikers op het web worden beveiligd. 

Aanvullend beschrijft de PSD2 ‘Regulatory Technical Standards’ (RTS) hoe beide typen certificaten te gebruiken zijn. Bijvoorbeeld bij het parallel beschermen van alle data van een transactie en communicatie ervan. QWAC’s bevestigen en communiceren veilig de identiteit van een betaaldienstaanbieder, terwijl QSealC’s checken of de app-data afkomstig is van die aanbieder en dat er niet met de data is geknoeid. 

PSD2-compliancy

Uiteraard zijn banken en andere betrokken bedrijven al ver gevorderd met hun voorbereidingen voor PSD2-compliancy en daarop gebaseerde nieuwe ontwikkelingen. Degenen die er niet aan voldoen, door bijvoorbeeld geen eIDAS-goedgekeurde certificaten te gebruiken, riskeren namelijk een sanctie van de toezichthouder en vallen met hun transacties buiten de wettelijke bescherming die PSD2 biedt. 

Veilige eIDAS-certificaten zijn alleen aan te schaffen bij erkende eIDAS-TSP's, die de vergunning van een betalingsdienstaanbieder verifieert bij hun nationale financiële toezichthouder. Momenteel behoren DigiCert (door de overname van QuoVadis begin dit jaar), BuyPass, InfoCert, Microsec en D-Trust tot de belangrijkste leveranciers van PSD2-certificaten. 

QWAC's en QSealC's lijken misschien kleine schakels in een keten van veranderingen die de PSD2-richtlijn de komende jaren nog gaat veroorzaken in het Europese betalingsverkeer. Tegelijkertijd vertegenwoordigen ze echter ook een belangrijke stap voorwaarts in het gebruik van eIDAS-certificaten voor het beter beveiligen van digitale transacties en communicatie in andere markten.