CaixaBank, SA pracuje nad dostosowaniem interfejsu polskiego oddziału, aby zewnętrzni dostawcy usług płatniczych (TPP i CBPII) mieli do niego dostęp i mogli wykorzystać go do uwierzytelniania i komunikacji z użytkownikami usług płatniczych.

Rozwiązanie jest opracowywane, aby spełnić wymogi i zapewnić funkcje określone w rozporządzeniu RTS w terminie 14 września 2019 r. (rozporządzenie delegowane (UE) 2018/389 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji („rozporządzenie RTS”)).

W rozporządzeniu RTS nałożono obowiązek stosowania certyfikatów eIDAS do identyfikacji TPP. Specyfikacje eIDAS zawarto w normie ETSI TS 119 495.

Wszystkie żądania dotyczące kont użytkowników usług płatniczych muszą zawierać podpis, aby zapewnić identyfikację TPP. Weryfikacja podpisu HTTP to metoda uwierzytelniania, która umożliwia sprawdzenie, czy komunikacja między klientem a serwerem nie została naruszona. Metoda ta jest standaryzowana przez IETF.

TPP musi wykonać następujące kroki, aby poprawnie podpisać żądanie:

1. Zastosowanie certyfikatu podpisywania: wymagany jest certyfikat eIDAS QSEAL wydany przez dostawcę usług zaufania.

2. Utworzenie skrótu: należy wygenerować skrót nagłówka HTTP żądania zakodowany algorytmem base64. Dopuszczalne metody tworzenia algorytmów skrótów mają zostać potwierdzone, a ostateczne składniki tworzenia skrótu nie zostały jeszcze określone.

3. Ciąg podpisywania: należy utworzyć ciąg podpisu zawierający nagłówki daty i skrótu. Jeszcze nie określono, czy inne nagłówki zostaną dodane do ciągu.

4. Podpisywanie przy użyciu klucza prywatnego: ciąg podpisywania uzyskany w poprzednim kroku będzie podpisywany przy użyciu klucza prywatnego.

5. Utworzenie nagłówka podpisu: nagłówek podpisu dołączony do żądania będzie zawierał podpisany ciąg uzyskany w kroku 4. Ostateczne składniki nagłówka podpisu nie zostały jeszcze określone.