Představujeme certifikáty pro PSD2

14. 6. 2019 | Jindřich Zechmeister

V nabídce SSLmarketu nově najdete certifikáty pro PSD2, tedy takové, které můžete použít pro dosažení shody s evropskou Směrnicí o platebním styku, která je účinná od 14. 9. 2019. Jaký je rozdíl oproti EV certifikátům a proč tento typ vznikl? V tomto článku se vše dozvíte a nové certifikáty si podrobně představíme.

(14. 6. 2019) V nabídce SSLmarketu nově najdete certifikáty pro PSD2, tedy takové, které můžete použít pro dosažení shody s evropskou Směrnicí o platebním styku, která je účinná od 14. 9. 2019. Jaký je rozdíl oproti EV certifikátům a proč tento typ vznikl? V tomto článku se vše dozvíte a nové certifikáty si podrobně představíme.

Význam a použití PSD2 certifikátů

Kvalifikované certifikáty obecně vznikly díky evropskému nařízení eIDAS. To primárně definuje a upravuje služby vyžadující důvěru a vzhledem k jeho rozsahu se jím zde nebudu podrobně zabývat. Důležité je to, že eIDAS pro země EU závazně definuje kvalifikované certifikáty a požadavky na autentizaci jejich držitelů. Jednou z novinek je i zavedení pojmu "kvalifikovaný certifikát pro webové stránky" a "kvalifikovaný certifikát pro elektronickou pečeť". 

Tyto dva nové typy certifikátů jsou směrnicí určeny jako povinné pro poskytovatele platebních systému (dále PSP - payment service provider) a zabezpečují vzájemné transakce mezi nimi a bankami. Konkrétně význam obou a rozdíl mezi certifikátem a pečetí je následující:

  • kvalifikovaný certifikát (QWAC) - umožňuje autentizaci (doklad původu) a vytváří bezpečný kanál pro přenos informací (tzv. secure channel)
  • kvalifikovaná pečeť (QCSeal) - slouží k potvrzení transakcí (původ, integrita dat) a k jejich evidenci (archivaci)

Kvalifikovaný certifikát se vydává stejně jako běžný TLS certifikát pro určitou společnost, kterou zastupuje a pro kterou žádá její zástupce, typicky jednatel. Pečeti se nevydávají pro konkrétní osobu, jako osobní certifikáty, ale vydávají se opět pro určitou společnost, která je používá na serverech pro potvrzování automatizované komunikace (jsou tedy "neosobní").

Jaký je rozdíl mezi EV certifikátem a PSD2 certifikátem

Certifikáty s rozšířeným ověřením jsou známy jako nejdůvěryhodnější certifikáty vůbec. Kam tedy zařadit kvalifikované certifikáty pro PSD2? V podstatě se také jedná o EV certifikáty, ale s malými rozdíly v obsažených informacích. Těch je v certifikátu více a mají speciální účel.

Jak už víte, certifikáty určené pro platební systémy a vyhovující PSD2 mají zvláštní roli při autentizaci obou stran komunikace. Tyto certifikáty obsahují specifické informace o "payment providerech", které do nich certifikační autorita doplňuje na základě informací od národního regulátora. Všichni poskytovatelé platebních systémů musí být (stejně jako mnoho ostatních subjektů finančního sektoru) registrováni u ČNB (dle PSD2 se jedná o NCA - National Competent Authority).

Kvalifikovaný certifikát pro PSD2 tedy obsahuje identifikátor subjektu majitele (PSP) dle jeho národní registrace. Jeho formát je následující (subjekt registrován u ČNB):

PSD - kód země - ID NCA regulátora - číslo subjektu

Například: PSDCZ-CNB-1234567890

V certifikátu je dále definován typ subjektu (PSP) - to upřesňuje, jakou roli má daný PSP v rámci transakcí s bankami dle nomenklatury dané směrnicí. Role mají hodnoty hodnoty account servicing (PSP_AS), payment initiation (PSP_PI), account information (PSP_AI) a issuing of card-based payment instruments (PSP_IC).

Jak vidíte, tak kvalifikovaný certifikát pro PSD2 je úzce specifický produkt a běžný certifikát ho nezastoupí.

Získání PSD2 certifikátu

Kvalifikovaný certifikát pro PSD2 může vystavit pouze certifikační autorita, která je tzv. kvalifikovaným poskytovatelem služeb vytvářejících důvěru (Trust Service Provider, TSP). SSLmarket pro vás celou škálu kvalifikovaných certifikátů zajišťuje od dceřinné společnosti DigiCert, kterou je DigiCert QuoVadis Trustlink B.V. provozující CA QuoVadis. Certifikáty objednáte na našem webu a my vám pomůžeme s jejich získáním.

Odlišností v procesu ověření je onen zmíněný identifikátor PSP od NCA, který našim prostřednictvím sdělíte CA QuoVadis. Pomůže jim v identifikování a ověření žadatele, tedy vaší společnosti.

Certifikát je ověřován a vydán v ústředí CA, které je v Holandsku. Vydání tedy může trvat o něco déle, než jsou zákazníci automatizovaných TLS certifikátů zvyklí.

Pokud máte o PSD2 certifikáty zájem, neváhejte kontaktovat zákaznickou podporu SSLmarketu a probrat možnosti jejich získání. Nebo pište rovnou na eidas@sslmarket.cz.


Ing. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
DigiCert TLS/SSL Professional
e-mail: jindrich.zechmeister(at)zoner.cz