Pankkiyhteyskanava

Ajankohtaista tietoa yritysten pankkiyhteyskanavasta eli Web Services -kanavasta.

OP uusii varmenteitaan – Pyydämme varmistamaan pankkiyhteysohjelmiston valmiuden

OP uusii Web Services -kanavan käyttämät pankin testivarmenteet keväällä 2022 ja pankin tuotannon varmenteet syksyllä 2022. 

WS-kanavaa palvelevien alivarmentajien (OP-Pohjola WS CA & OP-Pohjola Services CA) varmenteet vanhenevat 12.9.2024. Käytännössä varmentajavarmenteet on uusittava viimeistään 25.8.2022, jotta varmentajat voivat jatkaa kaksi vuotta voimassa olevien asiakasvarmenteiden myöntämistä. Juurivarmentaja ei vaihdu tässä muutoksessa.

Asiakkaiden pankkiyhteyden tunnistamiseen käyttämät varmenteet vaihtuvat normaalin vanhenemissyklin mukaisesti kahden vuoden aikana eikä niiden osalta tehdä mitään erityisiä toimia. Pankkiyhteysohjelmat uusivat yleensä nämä varmenteet automaattisesti ennen vanhenemista. Uudet varmenteet tuodaan asiakkaiden saataville ennen niiden käyttöönottoa.

Suurin osa pankkiyhteysohjelmistoista muodostaa varmenteiden luottamusketjun juurivarmentajan avulla. Pyydämme teitä varmistamaan, että teidän pankkiyhteysohjelmistonne osaa automaattisesti huomioida alivarmentajien vaihdoksen tai että teette siihen mahdollisesti tarvittavat muutokset. OP voi tarvittaessa avustaa asiakkaiden tiedottamisessa, sillä pystymme tunnistamaan asiakkaidemme käyttämän pankkiyhteysohjelmiston ja sen version tiedot, jos tiedot välitetään sanomissa.

Aikataulu

  • Asiakastestijärjestelmien uudet varmentajavarmenteet ovat saatavilla 21.1.2022 alkaen osoitteesta https://op.fi/varmennepalvelu
  • Uudet varmentajat ja pankin palveluvarmenteet otetaan käyttöön asiakastestiympäristössä 24.2.2022.
  • Tuotannon uudet varmentajavarmenteet ovat saatavilla 25.2.2022 alkaen osoitteesta https://op.fi/varmennepalvelu
  • Tuotannossa uudet varmentajat ja pankin palveluvarmenteet otetaan käyttöön 25.8.2022. 

Tekniset yksityiskohdat

Uudet varmentajavarmenteet jaellaan osoitteessa https://op.fi/varmennepalvelu.

Kaikissa myönnettävissä loppukäyttäjävarmenteissa on lisäksi "Authority Information Access" -laajenne, jonka osoittamasta osoitteesta varmentajavarmenteet ovat noudettavissa koneellisesti. AIA-palvelu on sama kuin vanhoilla varmentajilla, joten näin ollen ei ole tarvetta uusille palomuurisäännöille. Varmentajavarmenteet on lisäksi mahdollista noutaa WS-kanavan palvelukutsulla.

Juurivarmentajaan ei tule muutoksia.

Muutokset asiakastestiympäristössä

Tällä hetkellä käytössä ovat Asiakastestin varmenteiden luottamusketjut ovat:

Käyttö-
tarkoitus
Juurivar-
mentaja
Alivar-
mentaja
Loppukäyt-
täjävarmen-
teet
Asiakkaan tunnistaminen Web Services –kanavassa TEST OP-Pohjola Root CA CUSTOMER TEST OP WS CA V2 Pankkiyhteys-
asiakkaan varmenne
Pankin tunnistaminen Web Services –kanavassa TEST OP-Pohjola Root CA CUSTOMER TEST OP Services CA V2 Pankin käyttämät XML-allekirjoitus-
varmenteet
Web Services-kanavan SSL-varmenne (yhteyden tunnistaminen ja salaus) Julkisesti luotettu juuri-varmentaja Julkisesti luotettu ali-varmentaja

(https://
wsk.asiakas-
testi.op.fi)
Pankkiyhteys-
kanavan SSL-varmenteet (HTTPS)

Uudet Asiakastestin luottamusketjut ovat (muutokset merkitty sinisellä):

Käyttö-
tarkoitus
Juurivar-
mentaja
Alivar-
mentaja
Loppukäyt-
täjä
varmen-
teet
Asiakkaan tunnistaminen Web Ser-vices –kanavassa TEST OP-Pohjola Root CA CUSTOMER TEST OP WS CA V3 Pankkiyhteys-
asiakkaan varmenne (myönnetään uudelta varmentajalta normaalin uusimisen yhteydessä kahden vuoden välein)
Pankin tunnistaminen Web Services –kanavassa TEST OP-Pohjola Root CA CUSTOMER TEST OP Services CA V3 Pankin käyttämät XML-
allekirjoitus-
varmenteet
Web Services –kanavan SSL-varmenne (yhteyden tunnistaminen ja salaus) Julkisesti luotettu juuri-varmentaja Julkisesti luotettu ali-varmentaja

(https://
wsk.asiakas-testi.op.fi)
Pankkiyhteys-
kanavan SSL-varmenteet (HTTPS)

Uusien varmentajien myöntämillä varmenteilla on uusi URL sulkulistojen (CRL) noutamiseen. Uusi URL sisällytetään loppukäyttäjävarmenteiden CRL Distribution Point (CDP) –laajenteeseen. Jakelupalvelin ei vaihdu, joten muutos ei edellytä uusia palomuurisääntöjä. Uusien varmenteiden sulkulistat ovat saatavilla seuraavista osoitteista:

CUSTOMER TEST OP WS CA V3:

http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl
http://test2-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP_WS_CA_V3.crl

CUSTOMER TEST OP Services CA V3:

http://test-crl.op-palvelut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl
http://test2-crl.op-palve-lut.fi/crl/test/subca/Customer_Test_OP _Services_CA_V3.crl

Muutokset tuotantoympäristössä

Tällä hetkellä käytössä ovat tuotantoympäristön varmenteiden luottamusketjut ovat:

Käyttö-
tarkoitus
Juurivar-
men
taja
Alivar-
men
taja
Loppukäyt-
täjävarmen-
teet
Asiakkaan tunnistaminen Web Services –kanavassa OP-Pohjola Root CA OP WS CA V2 Pankkiyhteys-
asiakkaan varmenne
Pankin tunnistaminen Web Services –kanavassa OP-Pohjola Root CA OP Services CA V2 Pankin käyttämät XML-allekirjoitus-
varmenteet
Web Services –kanavan SSL-varmenne (yhteyden tunnistaminen ja salaus) Julkisesti luotettu juuri-varmentaja Julkisesti luotettu ali-varmentaja

(https://
wsk.op.fi)
Pankkiyhteys-
kanavan SSL-varmenteet (HTTPS)

Uudet tuotantoympäristön luottamusketjut ovat (muutokset merkitty sinisellä):

Käyttö-
tarkoitus
Juurivar-
men
taja
Alivar-
men
taja
Loppukäyt-
täjävarmen-
teet
Asiakkaan tunnistaminen Web Services –kanavassa OP-Pohjola Root CA OP WS CA V3 Pankkiyhteys-
asiakkaan varmenne (myönnetään uudelta varmentajalta normaalin uusimisen yhteydessä kahden vuoden välein)
Pankin tunnistaminen Web Services –kanavassa OP-Pohjola Root CA OP Services CA V3 Pankin käyttämät XML-
allekirjoitus-
varmenteet
Web Services –kanavan SSL-varmenne (yhteyden tunnistaminen ja salaus) Julkisesti luotettu juuri-varmentaja Julkisesti luotettu ali-varmentaja

(https://
wsk.op.fi)
Pankkiyhteys-
kanavan SSL-varmenteet (HTTPS)

Uusien varmentajien myöntämillä varmenteilla on uusi URL sulkulistojen (CRL) noutamiseen. Uusi URL sisällytetään loppukäyttäjävarmenteiden CRL Distribution Point (CDP) –laajenteeseen. Jakelupalvelin ei vaihdu, joten muutos ei edellytä uusia palomuurisääntöjä. Uusien varmenteiden sulkulistat ovat saatavilla seuraavista osoitteista:

OP WS CA V3:

http://crl.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl
http://crl2.op-palvelut.fi/crl/subca/OP_WS_CA_V3.crl

OP Services CA V3:

http://crl.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl
http://crl2.op-palvelut.fi/crl/subca/OP_Services_CA_V3.crl

Yrityksen pankkiyhteysohjelmiston tietoturva

Tietoturvaan liittyvän TLS-salausprotokollan vanhat versiot jäivät  pois käytöstä Web Services -kanavassa toukokuussa 2021. 20.5.2021 klo 6:00 alkaen yrityksen aineistojen välitys pankkiin ei ole onnistunut TLS:n vanhoilla versioilla 1.0 ja 1.1. Web Services -kanavassa ei voi välittää mitään aineistoja näillä vanhoilla versioilla.

Sallimalla vain uudemmat versiot, varmistamme aineistojen turvallisen käsittelyn. Viestintäviraston sähköisistä tunnistus- ja luottamuspalveluista annetussa määräyksessä vaaditaan, että tiedonsiirron salauksessa käytetään pääsääntöisesti TLS-protokollan versiota 1.2 tai sitä uudempaa.

Mikä on Transport Layer Security (TLS)?

TLS on tietoturvaprotokolla, joka tarjoaa tietosuojan ja tietojen eheyden kahden kommunikoivan sovelluksen välillä. Sitä käytetään laajalti verkkoselaimissa ja muissa sovelluksissa, jotka edellyttävät turvallista tiedonsiirtoa verkon kautta.

Tuetut salausalgoritmit

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

Mikä on Cipher Suite -salausalgoritmi?

TLS-tietoturvaprotokolla käyttää ns. Cipter Suite -algoritmia salaamaan välitettyä tietoa. Se auttaa turvaamaan TLS:n käyttämiä tietoliikenneyhteyksiä.

Web Services -kanava

Web Services –kanava on pääasiallinen kanava yritysten lasku- ja maksuaineistojen lähetykseen, saapuvien maksujen täsmäytysaineistojen sekä tiliotteiden noutoon. 

OP Ryhmässä Web Services -yhteyskäytännön aineistokohtainen kokorajoite on 100 megatavua pakkaamattomana. OP Ryhmä edellyttää kuitenkin, että aineisto pakataan ennen pankkiin lähetystä. Pakkausalgoritmi on RFC1952:n mukainen GZIP. Pakatun aineiston maksimikoko on 10 megatavua yhtä lähetettyä aineistoerää kohden.​​

Yrityksen Pankkiyhteys (Web Services) -kanavan ajantasaiset varmenteet ovat aina saatavilla Varmennepalvelun sivustolla.​

Uusien aineistomuotojen ja ohjelmistoversioiden käyttöönoton yhteydessä suosittelemme näiden testaamista ennen käyttöönottoa. OP:ssa on oma asiakastestiympäristö, jonka käyttö on toistaiseksi maksutonta. Testiympäristöä voi käyttää, kun ohjelmistotoimittajan tai asiakkaan pankkiyhteysohjelmisto tukee testattavia aineistoja ja niiden palautteita.​

​Asiakastestiympäristön käyttö edellyttää, että asiakkaalla on pankin kanssa sopimukset niistä palveluista, joita asiakas aikoo testata, esim. C2B-maksaminen, -sopimus ja e-laskujen lähetyssopimus. Osapuolella, joka lähettää aineistot pankkiyhteydellä pankkiin, on oltava Yrityksen pankkiyhteys (Web Services) -sopimus.​


​Asiakastestiympäristön käyttö vaatii oman erillisen WS-kanavan testivarmenteen. Tuotantovarmenne ei toimi asiakastestiympäristössä. Testiympäristöä varten käytettävät siirtoavaimet asiakas voi pyytää Yrityksen pankkiyhteys –kanavan sopimuksen teon yhteydessä tai tarvittaessa erikseen tilikonttorista tai Yritys- ja maksuliikepalveluiden puhelinpalvelusta. Testiympäristön varmenteen voi noutaa siirtoavaimella WS-kanavan sovellusohjeessa kuvatulla tavalla. Aineistojen lähettämisen testiympäristöön voi aloittaa vuorokauden kuluttua varmenteen noutamisesta. Testiympäristöön lähetettävässä aineistossa käytetään sopimusten mukaisia asiakastunnusta, maksatustunnusta ja maksutilejä.​

Web Services (WS)-kanavassa on käytössä aineistotyyppi, INFO, jonka avulla tiedotamme esimerkiksi poikkeuksellisista maksuaineistojen vastaanottoajankohdista WS-kanavassa, ja mahdollisista huoltokatkoista ja häiriöistä. Aineisto on UTF-8 -enkoodattu merkkijono eli teksti. Tiedote voidaan kohdentaa joko kaikille WS-kanavan käyttäjille tai tietyille pankkiyhteysohjelmille tai niiden tietyille versioille. INFO-aineisto näkyy getFileList:llä, kuten mikä tahansa noudettava aineisto.