TUPAS, Luottamusverkosto ja vahvan tunnistamisen muutokset syksyllä 2019

TUPAS eli Tunnistuspalvelustandardi uusiutuu syyskuussa 2019. Tupas-protokolla on alunperin suomalaisten pankkien kehittämä vahvan tunnistautumisen järjestelmä. Tupas-tunnuksilla eli kansankielisesti verkkopankkitunnuksilla suomalaiset ovat päässeet tunnistautumaan sähköisesti niin verkkopankkiinsa kuin moniin muihinkin julkisiin sähköisiin palveluihin kuten Kelaan ja Verohallintoon. Myös teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet ovat toimineet Suomessa hyväksyttyinä vahvan tunnistamisen välineinä. Näin on toiminut myös Corona Capitalin Rahoittaja.fi-palvelu. Jokainen rahoitettu lasku sekä myönnetty yrityslaina, on aina vahvistettu verkkopankkitunnusten avulla. Pyydämme aina vahvistuksen yrityksen vastuuhenkilöltä verkkopankkitunnistautumisen muodossa ennen rahan siirtämistä osapuolelta toiselle.

TUPAS-protokolla on tullut tiensä päähän

Tupas-protokolla ei täytä jatkossa EU-sääntelyn kanssa yhdenmukaistettuja vahvan sähköisen tunnistamisen vaatimuksia. Tiukentuneet tietoturvavaatimukset edellyttävät pankkeja ottamaan käyttöön kehittyneemmän SAML- tai OpenID Connect -protokollan sekä sanomatason salauksen. Lisäksi muutoksia vaaditaan kaikilta verkkopalveluiden tarjoajilta, jotka käyttävät pankkitunnistusta. Viestintävirasto edellyttää, että muutokset eri verkkopalveluiden tietojärjestelmiin tehdään syyskuun 2019 loppuun mennessä.

Näin ollen rahoitusalalla toimivat tahot, kuten Corona Capital, tulee päivittämään verkkopalvelunsa niin, että se noudattaa tiukentuneita tietoturvavaatimuksia. Tämä varmistaa turvallisen asioinnin Rahoittajan lasku- ja lainapalvelussa.

Luottamusverkostosta apua tunnistuspalveluiden hankintaan

Jatkossa Corona Capital tarjoaa  tunnistuspalveluja niin kutsutun luottamusverkoston kautta. Luottamusverkostoon kuuluvat rekisteröidyt ja valvotut vahvat sähköiset tunnistuspalvelut löytyvät Viestintäviraston rekisteristä.

Luottamusverkostoon kuuluu kahdenlaisia vahvoja sähköisiä tunnistuspalveluita. Tunnistusvälineen tarjoajat, esimerkiksi pankit, tarjoavat tunnistusvälineitä käyttäjille ja tunnistusvälityspalvelut tarjoavat asiakkaiden sähköistä tunnistusta verkkopalveluille. Tunnistusvälineen tarjoajien on mahdollistettava sopimuksilla se, että tunnistusvälityspalvelut voivat tarjota verkkopalveluille kootusti eri tunnistusvälineitä käyttävien asiakkaiden tunnistamista. Luottamusverkoston avulla verkkopalveluiden mahdollisuudet hankkia ja kilpailuttaa tunnistuspalveluita paranevat, eikä niiden tarvitse enää välttämättä sopia tunnistuspalvelusta erikseen jokaisen pankin ja muun tunnistusvälineen tarjoajan kanssa.

Tavoitteena on, että jatkossa verkkopalvelu voi hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhdellä sopimuksella tunnistusvälityspalvelun kautta, eikä salausavaimiakaan tarvitse vaihtaa kuin välityspalvelun kanssa. Tällöin asiointipalvelun ei tarvitse huolehtia siitä, millaisia protokollaratkaisuja tunnistusvälityspalvelun ja tunnistusvälineiden liikkeellelaskijoiden välillä käytetään.

 

Tavoitteena 100 % luotettavuus ja palvelun sujuvuus

 

Corona Capital tulee päivittämään vahvan tunnistautumisen EU:n vaatimalle tasolle ennen määräajan umpeutumista. Näin asiakas voi varmistua, että palvelumme on mahdollisimman tietoturvallinen. Uusi käyttöön otettava sanomatason salaus pienentää riskiä esimerkiksi henkilötunnuksen tallentumiselle järjestelmälokeihin selkokielisenä.

Ulospäin asiakkaalle muutokset verkkopankkitunnistautumisen taustalla eivät todennäköisesti juuri näy. Tällä hetkellä Finanssivalvonta ja pankit selvittävät vielä keskenään, mitä muutoksia pankkien toimintaan ja tunnistusvälineen tarjontaan tarvitaan, jotta Suomessa toimitaan uuden lainsäädännön edellyttämällä tavalla. Keskustelua käydään muun muassa paperisista tunnuslukulistoista luopumisesta. Todennäköisesti lisää tietoa lain muutoksesta on vielä luvassa, sillä tällä hetkellä tietoa asiasta on löydettävissä vielä varsin rajoitetusti.

 

Keskeiset käsitteet haltuun

Tunnistusväline: Suomessa vahvoja sähköisiä tunnistusvälineitä (tunnisteita) ovat tällä hetkellä verkkopankkitunnukset, teleoperaattoreiden mobiilivarmenteet ja Väestörekisterikeskuksen kansalais- ja organisaatiovarmenteet. Vahvat sähköiset tunnistusvälineet on merkitty rekisteriin, joka löytyy Viestintäviraston verkkosivuilta.

Tunnistusvälineen tarjoajat myöntävät vahvoja tunnistusvälineitä käyttäjille. Tunnistusvälineen tarjoaja on esimerkiksi pankki tai teleyritys, joka tarjoaa yleisölle vahvan sähköisen tunnistamisen tunnistusvälineitä, kuten pankkitunnuksia tai mobiilivarmennetta.

Tunnistusvälityspalvelun tarjoaja on taho, joka välittää vahvan sähköisen tunnistamisen tunnistustapahtumia erilaisille asiointipalveluille eli sähköiseen tunnistukseen luottavalle osapuolelle (esim. verkkokauppa tai valtionhallinnon sähköinen palvelu). Sekä tunnistusvälineen tarjoajiin että tunnistusvälityspalvelun tarjoajiin viitataan yhdessä tunnistuspalvelun tarjoajina.

Luottamusverkosto: Luottamusverkoston toimijoiden välillä välitetään kansalaisten sähköisiä tunnistustietoja. Nämä tunnistustiedot pohjautuvat Väestörekisterikeskuksen ylläpitämään väestötietojärjestelmään. Luottamusverkosto muodostuu vahvan sähköisen tunnistamisen palveluntarjoajista, joita ovat tunnistusvälineiden tarjoajat ja uusina toimijoina tunnistusvälityksen palveluntarjoajat. Tunnistusvälityksen palvelujentarjoajat eivät välttämättä tarjoa omia tunnistusvälineitä, vaan ne välittävät tunnistustapahtumia eri toimijoiden (tunnistusvälineen tarjoajat ja asiointipalvelut) välillä. Asiointipalvelu on verkkopalvelu, jonne asiakas tahtoo tunnistautua, kuten vaikkapa Kela tai Veikkaus. Luottamusverkoston perustamisen tavoitteena on, että erilaiset verkkopalveluiden tarjoajat voisivat hankkia asiakkaidensa tunnistamiseen tarvitsemansa tunnistuspalvelut yhden välityspalvelun kautta, vaikka verkkopalvelun asiakkailla olisi mikä tahansa suomalainen tunnistusväline käytössään.

 

Lähteet ja lisätietoa:
Viestintävirasto – Verkkopalveluissa varauduttava pankkitunnistuksen muuttumiseen: https://legacy.viestintavirasto.fi/viestintavirasto/ajankohtaista/2018/verkkopalveluissavarauduttavapankkitunnistuksenmuuttumiseen.html

Finanssiala ry – Luottamusverkosto, TUPAS ja tunnistamisen muutokset:
http://www.finanssiala.fi/uutismajakka/Sivut/Luottamusverkosto,-TUPAS-ja-tunnistamisen-muutokset.aspx