QWAC Assessor
Überprüfung von TPP Zertifikaten offline
Herausforderung
Um die PSD2-Sicherheitsanforderungen zu erfüllen, verwenden Banken und TPP Kontoinformationsdienstleister qualifizierte Website-Zertifikate (QWACs) und elektronische Siegel (QSealC), die als Legitimation für den autorisierten Zugriff auf sensible Kundendaten dienen.
Da die Identität und Autorisierung von verschiedenen Instanzen bestätigt werden und die Gültigkeit der Zertifikate regelmäßig in den Bank Systemen aktualisiert werden muss, besteht das Risiko, dass eine Bank den Drittanbieter zwar korrekt identifiziert hat, die TPP-Autorisierung für bestimmte Services jedoch schon nicht mehr aktuell ist.
Daher erfordert jede Anfrage eine zweiteilige Prüfung, um sowohl die Gefahren für unbefugten Zugriff und damit eine Weitergabe vertraulicher Informationen als auch für eine nicht autorisierte Zahlungsauslösung zu vermeiden.
Wie können Sie das TPP Zertifikat überprüfen und sicherstellen, dass die Rolle mit dem vom TPP ausgeführten Aufruf übereinstimmt?
Unsere Lösung
Unser QWAC Assessor erledigt diese Prüfung offline für Sie.
Der QWAC Assessor kann hierbei als eigenständiger Webdienst betrieben oder in ein API-Gateway integriert werden. QWAC bestätigt die Identität und die Funktion (AIS, PIS, PIIS) des TPPs und gibt den Aufruf des Drittanbieters frei, während vertrauliche Daten verschlüsselt und überprüft werden.
Wir liefern ein Framework zur Aktualisierung der Daten, die in den QWAC Assessor eingespielt werden. Erst nach dieser Bestätigung erhält der TPP den angeforderten XS2A-Zugang.
Vorteile
- Offline TPP check, ohne Timeouts
- Identitäts- und Authentifizierungsüberprüfung für PISP, AISP oder PIISP
- Standalone Service oder Integration in das API-Gateway