Bankförbindelsekanal

Aktuell information om företagens bankförbindelsekanal dvs. Web Services.

OP förnyar sina certifikat – vi ber er säkerställa beredskapen i bankförbindelseprogrammet

OP kommer att förnya bankens testcertifikat i kanalen Web Services våren 2022 och produktionscertifikaten hösten 2022.

Certifikaten för de underordnade certifikatutfärdare som betjänar WS-kanalen (OP-Pohjola WS CA & OP-Pohjola Services CA) går ut 12.9.2024. I praktiken måste certifikatutfärdarcertifikaten förnyas senast 25.8.2022 för att certifikatutfärdarna ska kunna fortsätta bevilja kundcertifikat som är i kraft i två år. Rotcertifikatutfärdaren byts inte i samband med ändringen.

De certifikat som kunderna använder för att identifiera bankförbindelsen byts ut då de går ut enligt den normala cykeln under två år och de kräver inga särskilda åtgärder. Bankförbindelseprogrammen förnyar vanligtvis de här certifikaten automatiskt innan de går ut. De nya certifikaten görs tillgängliga för kunderna innan de tas i bruk.

De flesta bankförbindelseprogrammen konfigurerar en förtroendekedja för certifikat med hjälp av en rotcertifikatutfärdare. Vi ber er säkerställa att ert bankförbindelseprogram automatiskt kan beakta bytet av underordnade certifikatutfärdare eller att ni gör de ändringar som eventuellt behövs i det. OP kan vid behov assistera med att informera kunderna, eftersom vi kan identifiera vilket bankförbindelseprogram våra kunder använder och uppgifterna om dess version, om uppgifterna förmedlas i meddelandena.

Tidtabell

  • De nya certifikatutfärdarcertifikaten för kundtestsystemen är tillgängliga från och med 21.1.2022 på adressen https://op.fi/varmennepalvelu
  • De nya certifikatutfärdarna och bankens tjänstecertifikat tas i bruk i kundtestmiljön 24.2.2022.
  • De nya certifikatutfärdarcertifikaten för produktionen är tillgängliga från och med 25.2.2022 på https://op.fi/varmennepalvelu
  • I produktionen tas de nya certifikatutfärdarna och bankens tjänstecertifikat i bruk 25.8.2022.

Tekniska detaljer

De nya certifikatutfärdarcertifikaten delas ut på https://op.fi/varmennepalvelu. Alla slutanvändarcertifikat som beviljas har även tillägget ”Authority Information Access”, som visar den adress där certifikatutfärdarcertifikaten kan hämtas maskinellt. AIA-tjänsten är densamma som hos de gamla certifikatutfärdarna, och därför finns det inget behov för nya brandväggsregler. Certifikatutfärdarcertifikaten kan även hämtas genom WS-kanalens servicekallelse.

Inga ändringar görs i rotcertifikatutfärdaren.

Ändringar i kundtestmiljön

För närvarande används följande förtroendekedjor i certifikat för Kundtest:

Syfte Rotcertifikatutfärdare Underordnad certifikatutfärdare Slutanvändarcertifikat
Identifiera kunden i Web Services-kanalen TEST OP-Pohjola Root CA CUSTOMER TEST OP WS CA V2 Certifikat för bankförbindelsekund
Identifiera banken i Web Services-kanalen TEST OP-Pohjola Root CA CUSTOMER TEST OP Services CA V2 XML-underskriftscertifikat som används av banken
SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) Offentligt betrodd rotcertifikatsutfärdare Offentligt betrodd underordnad certifikatutfärdare
(https://wsk.asiakastesti.op.fi)
SSL-certifikaten för bankförbindelsekanalen (HTTPS)

De nya förtroendekedjorna för Kundtest är följande (ändringarna markerade med blått):

Syfte Rotcertifikatutfärdare Underordnad certifikatutfärdare Slutanvändarcertifikat
Identifiera kunden i Web Services-kanalen TEST OP-Pohjola Root CA CUSTOMER TEST OP WS CA V3 Certifikat för bankförbindelsekund (beviljas av den nya certifikatutfärdaren i samband med det normala förnyandet med två års mellanrum)
Identifiera banken i Web Services-kanalen TEST OP-Pohjola Root CA CUSTOMER TEST OP Services CA V3 XML-underskriftscertifikat som används av banken
SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) Offentligt betrodd rotcertifikatsutfärdare Offentligt betrodd underordnad certifikatutfärdare
(https://wsk.asiakastesti.op.fi)
SSL-certifikaten för bankförbindelsekanalen (HTTPS)

Certifikat som beviljats av nya certifikatutfärdare har en ny URL för hämtning av spärrlis-tor (CRL). Den nya URL ingår i slutanvändarcertifikatens tillägg ”CRL Distribution Point (CDP)”. Distributionsservern byts inte, så ändringen kräver inga nya brandväggsregler. Spärrlistorna för nya certifikat finns på följande adresser:

CUSTOMER TEST OP WS CA V3:

http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl
http://test2-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl

CUSTOMER TEST OP Services CA V3:

http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl
http://test2-crl.op-palve-lut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl

Ändringar i produktionsmiljön

För närvarande används följande förtroendekedjor i certifikaten för produktionsmiljön:

Syfte Rotcertifikatutfärdare Underordnad certifikatutfärdare Slutanvändarcertifikat
Identifiera kunden i Web Services-kanalen OP-Pohjola Root CA OP WS CA V2 Certifikat för bankförbindelsekund
Identifiera banken i Web Services-kanalen OP-Pohjola Root CA OP Services CA V2 XML-underskriftscertifikat som används av banken
SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) Offentligt betrodd rotcertifikatsutfärdare Offentligt betrodd underordnad certifikatutfärdare
(https.//wsk.op.fi)
SSL-certifikaten för bankförbindelsekanalen (HTTPS)

De nya förtroendekedjorna i produktionsmiljön är följande (ändringarna markerade med blått):

Syfte Rotcertifikatutfärdare Underordnad certifikatutfärdare Slutanvändarcertifikat
Identifiera kunden i Web Services-kanalen OP-Pohjola Root CA OP WS CA V3 Certifikat för bankför-bindelsekund (beviljas av den nya certifikatut-färdaren i samband med det normala för-nyandet med två års mellanrum)
Identifiera banken i Web Services-kanalen OP-Pohjola Root CA OP Services CA V3 XML-underskriftscertifikat som används av banken
SSL-certifikat i Web Services-kanalen (identifiering och kryptering av förbindelsen) Offentligt betrodd rotcertifikatsutfärdare Offentligt betrodd underordnad certifikatutfärdare
(https://wsk.op.fi)
SSL-certifikaten för bankförbindelsekanalen (HTTPS)

Certifikat som beviljats av nya certifikatutfärdare har en ny URL för hämtning av spärrlis-tor (CRL). Den nya URL ingår i slutanvändarcertifikatens tillägg ”CRL Distribution Point (CDP)”. Distributionsservern byts inte, så ändringen kräver inga nya brandväggsregler. Spärrlistorna för nya certifikat finns på följande adresser:

OP WS CA V3:

http://crl.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl
http://crl2.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl

OP Services CA V3:

http://crl.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl 
http://crl2.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl

Säkerställ dataskyddet för företagets bankförbindelseprogramvara

Vi rapporterade senast att efter den 24 mars 2021 kommer de gamla versionerna av TLS 1.0 och 1.1 inte längre att kunna överföra företagets data till banken. Eftersom fortfarande en liten andel av våra kunder överförar material med äldre versioner, vi flyttade datumet framåt.

De gamla versionerna av TLS-krypteringsprotokollet i anslutning till dataskyddet slopas i Web Services-kanalen i maj 2021. Kontrollera att företagets bankförbindelseprogram har en godkänd version, eftersom det efter 20.5.2021 inte längre går att förmedla företagets material till banken med de gamla TLS-versionerna 1.0 och 1.1. Om uppdateringarna inte görs kan inga betalningar förmedlas via Web Services

Endast genom att tillåta nyare versioner säkerställer vi att materialet behandlas säkert. I enlighet med Kommunikationsverkets föreskrift om elektroniska identifieringstjänster och 
betrodda elektroniska tjänster  ska version 1.2 av TLS-protokollet eller nyare användas vid kryptering av dataöverföring.

Vi har redan flera gånger meddelat att stödet för de gamla versionerna upphör och uppmanat kunderna att uppdatera sina bankförbindelseprogram. Största delen av de program som företagen använder uppfyller redan kraven, men det finns fortfarande några företag som använder gamla versioner. Stödet för de gamla versionerna upphör 20.5.2021, och det är en absolut gräns för när uppdateringarna ska vara gjorda. Kontrollera att din programvara är uppdaterad. 

Vad är Transport Layer Security (TLS)?

TLS är ett dataskyddsprotokoll som erbjuder dataskydd och dataintegritet mellan två kommunicerande program. Det används i stor utsträckning i webbläsare och andra program som kräver trygg dataöverföring på nätet.

Testa version TLS 1.2 i vår testmiljö för kunder

I Web Services-kanalens testmiljö för kunder kan du sända eller ta emot vilket slags material som helst mellan bankens och företagets program för att försäkra att TLS-krypteringsprotokollet skyddar datakommunikationen också i produktionsmiljön. Ta vid behov del av anvisningarna för testmiljön för kunder (pdf) (på finska).

Krypteringsalgoritmer som stöds

OP uppdaterar krypteringsinställningarna för Web Services-kanalen och avlägsnar protokollen TLS 1.0 och TLS 1.1. Samtidigt upphör stödet för flera gamla krypteringsalgoritmer (cipher suites).

OP stöder följande krypteringsalgoritmer:

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Vad är krypteringsalgoritmen Cipher Suite?

TLS-dataskyddsprotokollet använder algoritmen Cipter Suite för att kryptera data som förmedlas. Den säkerställer datakommunikationsförbindelser som TLS använder.

Web Services -kanava

Web Services –kanava on pääasiallinen kanava yritysten lasku- ja maksuaineistojen lähetykseen, saapuvien maksujen täsmäytysaineistojen sekä tiliotteiden noutoon. 

OP Ryhmässä Web Services -yhteyskäytännön aineistokohtainen kokorajoite on 100 megatavua pakkaamattomana. OP Ryhmä edellyttää kuitenkin, että aineisto pakataan ennen pankkiin lähetystä. Pakkausalgoritmi on RFC1952:n mukainen GZIP. Pakatun aineiston maksimikoko on 10 megatavua yhtä lähetettyä aineistoerää kohden.​​

Yrityksen Pankkiyhteys (Web Services) -kanavan ajantasaiset varmenteet ovat aina saatavilla Varmennepalvelun sivustolla.​

Uusien aineistomuotojen ja ohjelmistoversioiden käyttöönoton yhteydessä suosittelemme näiden testaamista ennen käyttöönottoa. OP:ssa on oma asiakastestiympäristö, jonka käyttö on toistaiseksi maksutonta. Testiympäristöä voi käyttää, kun ohjelmistotoimittajan tai asiakkaan pankkiyhteysohjelmisto tukee testattavia aineistoja ja niiden palautteita.​

​Asiakastestiympäristön käyttö edellyttää, että asiakkaalla on pankin kanssa sopimukset niistä palveluista, joita asiakas aikoo testata, esim. C2B-maksaminen, -sopimus ja e-laskujen lähetyssopimus. Osapuolella, joka lähettää aineistot pankkiyhteydellä pankkiin, on oltava Yrityksen pankkiyhteys (Web Services) -sopimus.​


​Asiakastestiympäristön käyttö vaatii oman erillisen WS-kanavan testivarmenteen. Tuotantovarmenne ei toimi asiakastestiympäristössä. Testiympäristöä varten käytettävät siirtoavaimet asiakas voi pyytää Yrityksen pankkiyhteys –kanavan sopimuksen teon yhteydessä tai tarvittaessa erikseen tilikonttorista tai Yritys- ja maksuliikepalveluiden puhelinpalvelusta. Testiympäristön varmenteen voi noutaa siirtoavaimella WS-kanavan sovellusohjeessa kuvatulla tavalla. Aineistojen lähettämisen testiympäristöön voi aloittaa vuorokauden kuluttua varmenteen noutamisesta. Testiympäristöön lähetettävässä aineistossa käytetään sopimusten mukaisia asiakastunnusta, maksatustunnusta ja maksutilejä.​

Web Services (WS)-kanavassa on käytössä aineistotyyppi, INFO, jonka avulla tiedotamme esimerkiksi poikkeuksellisista maksuaineistojen vastaanottoajankohdista WS-kanavassa, ja mahdollisista huoltokatkoista ja häiriöistä. Aineisto on UTF-8 -enkoodattu merkkijono eli teksti. Tiedote voidaan kohdentaa joko kaikille WS-kanavan käyttäjille tai tietyille pankkiyhteysohjelmille tai niiden tietyille versioille. INFO-aineisto näkyy getFileList:llä, kuten mikä tahansa noudettava aineisto.