6. Автентифікація API client та ASPSP на транспортному рівні
Цей розділ встановлює вимоги до захисту транспортного рівня (TLS) та взаємної автентифікації між API client і ASPSP, вимоги до Redirect URI, а також описує перевірку ASPSP авторизації діяльності PISP/AISP перед наданням доступу до рахунку PSU.
Загальні вимоги до TLS
Зв’язок між API client та ASPSP завжди захищений за допомогою з’єднання TLS. Завжди використовується автентифікація клієнта, тобто взаємна автентифікація між API client та ASPSP є частиною налаштування з’єднання, захищеного TLS.
Потрібно використовувати TLS версії 1.2 або вище.
6.1. З’єднання, захищене TLS, встановлене API client
Підтримка цих заходів безпеки є обов’язковою для будь-якого ASPSP та будь-якого API client. Для всіх сервісів з’єднання, захищене TLS, має бути встановлене API client як TLS-клієнтом. У цьому випадку ASPSP виступає як TLS-сервер.
API client має встановити з’єднання, захищене TLS, включаючи автентифікацію API client, тобто автентифікацію API client як TLS-клієнта. Для цієї автентифікації API client має використовувати кваліфікований сертифікат для автентифікації вебсайту (QWAC).
Ця специфікація не визначає жодних додаткових вимог до сертифікатів, які використовуються ASPSP як TLS-серверу. Звичайно, сертифікати повинні відповідати загальним вимогам, визначеним у RFC 5280, і рекомендаціям найкращої практики CA/Browser Forum.
6.2. Вимоги до сертифікатів для перенаправлення URI
TPP може надати кілька URI ASPSP як параметри для наступних кроків протоколу. З міркувань безпеки слід забезпечити, щоб ці URI були захищені QWAC, що використовується для ідентифікації TPP. Застосовується наступне:
URI, які надаються TPP у Client-Redirect-URI або Client-Nok-Redirect-URI, повинні відповідати домену, захищеному сертифікатом QWAC TPP у полі CommonName (CN) сертифіката.
Наприклад, у випадку example-TPP.com записи сертифіката Client-Redirect-URI, такі як:
- http://www.example-tpp.com/xs2a-client/v2/ASPSPidentifcation/mytransaction-id
- http://redirections.example-tpp.com/xs2a-client/v2/ASPSPidentifcation/mytransactionid
будуть відповідати вимогам.
Визначення універсальних шаблонів (wildcard) мають враховуватися при перевірках відповідності з боку ASPSP.
6.3. Опис процесу перевірки ASPSP авторизації діяльності PISP/AISP
ASPSP відповідно до вимог Закону “Про платіжні послуги” та “Положення про відкритий банкінг в Україні”, затвердженого постановою Правління Національного банку України від 25.07.2025 № 80, в процесі електронної взаємодії перед наданням доступу до рахунку PSU PISP та/або AISP здійснює перевірку авторизації діяльності PISP/AISP шляхом:
- перевірки чинності кваліфікованого сертифікату відкритого банкінгу PISP/AISP;
- ідентифікації та автентифікації PISP/AISP з використанням його кваліфікованого сертифіката відкритого банкінгу;
- перевірки відомостей про PISP/AISP в Реєстрі платіжної інфраструктури (далі — РПІ);
- порівняння відомостей про PISP/AISP у кваліфікованому сертифікаті відкритого банкінгу та в РПІ.
6.3.1. Перевірка чинності кваліфікованого сертифікату відкритого банкінгу та ідентифікація PISP/AISP
ASPSP повинен перевірити, що кваліфікований сертифікат відкритого банкінгу є чинним відповідно до частини першої статті 24 Закону України “Про електронну ідентифікацію та електронні довірчі послуги” і перелік відомостей, що містяться у кваліфікованому сертифікаті відкритого банкінгу, відповідає вимогам, визначеним у додатку до Положення № 82.
Перевірка кваліфікованого сертифікату відкритого банкінгу PISP/AISP здійснюється з врахуванням розділу 7.1. цього Документу.
6.3.2. Перевірка відомостей про PISP/AISP в РПІ
ASPSP для перевірки відомостей про PISP/AISP в РПІ використовує АРІ (далі — АРІ НБУ), що реалізовано Національним банком України (далі — Національний банк) та містить відомості з РПІ про PISP/AISP (далі — відомості з АРІ НБУ).
Дане АРІ НБУ розміщено на офіційному Інтернет-представництві Національного банку в розділі “Відкриті дані/АРІ для розробників” разом з “Технічною інструкцією” за посиланням:
Опис атрибутів, що містяться в АРІ НБУ вказаний в “Технічній інструкції” за посиланням:
ASPSP зобов’язаний розробити регламент оновлення відомостей з АРІ НБУ та здійснювати обов’язкове оновлення відомостей з АРІ НБУ щодня в проміжку з 23:00 год. до 23:59 год. (далі — Обов’язкове оновлення). ASPSP має право надавати PISP/AISP доступ до рахунку PSU на підставі збережених відомостей з АРІ НБУ, отриманих під час Обов’язкового оновлення до моменту Обов’язкового оновлення наступного календарного дня.
ASPSP має право у власному регламенті передбачити здійснення додаткових запитів на оновлення відомостей з АРІ НБУ, але не частіше, ніж один раз на годину. ASPSP при наданні PISP/AISP доступу до рахунку PSU керується останніми збереженими відомостями з АРІ НБУ про такого PISP/AISP.
ASPSP має право здійснювати повторні запити для Обов’язкового оновлення відомостей з АРІ НБУ до 23:59 год. у разі неуспішного запиту на Обов’язкове оновлення відомостей з АРІ НБУ в регламентований ASPSP час.
ASPSP заборонено надавати доступ до рахунку на підставі збережених відомостей з АРІ НБУ в разі неможливості Обов’язкового оновлення відомостей з АРІ НБУ починаючи з 00:00 наступного календарного дня до моменту успішного оновлення відомостей в АРІ НБУ (без врахування обмежень щодо одного разу на годину).
Національний банк, у разі непрацездатності АРІ НБУ та неможливості з технічних причин здійснити ASPSP Обов’язкове оновлення відомостей з АРІ НБУ протягом поточної доби, вживає заходи щодо відновлення працездатності АРІ НБУ та повідомляє ASPSP щодо порядку дій до відновлення працездатності АРІ НБУ шляхом направлення повідомлення засобами електронної пошти Національного банку та розміщення інформації на сторінці офіційного Інтернет-представництва Національного банку.
ASPSP повинен перевірити такі відомості з АРІ НБУ:
- наявність авторизації діяльності з надання нефінансової платіжної послуги (PIS/AIS) в атрибутах:
PayServiceId— числовий ідентифікатор нефінансової платіжної послуги та/абоPayServiceName— назва нефінансової платіжної послуги (обидва атрибути містять рівнозначну інформацію щодо наявної авторизації діяльності, ASPSP самостійно налаштовує алгоритм перевірки атрибутів); - статус авторизації діяльності в атрибутах:
ServiceStatusId— числовий ідентифікатор статусу та/абоServiceStatusName— назва статусу авторизації діяльності (обидва атрибути містять рівнозначну інформацію щодо статусу авторизації діяльності, ASPSP самостійно налаштовує алгоритм перевірки атрибутів).
6.3.3. Порівняння відомостей про PISP/AISP у кваліфікованому сертифікаті відкритого банкінгу та відомостей з АРІ НБУ
Для порівняння відомостей з АРІ НБУ про PISP/AISP з відомостями, що містяться у кваліфікованому сертифікаті відкритого банкінгу PISP/AISP використовується унікальний ідентифікатор — код ID НБУ, що присвоюється Національним банком України відповідно до “Положення про систему єдиної ідентифікації учасників фінансового ринку України” та зазначений в кваліфікованому сертифікаті відкритого банкінгу у полі Subject, в атрибуті OrganizationIdentifier (2.5.4.97), у відомостях з АРІ НБУ — це атрибут NbuId.
Перевірка атрибутів кваліфікованого сертифікату відкритого банкінгу та відомостей з АРІ НБУ здійснюється ASPSP відповідно до таблиці “Опис етапів перевірки та атрибутів в кваліфікованому сертифікаті відкритого банкінгу та відомостей з АРІ НБУ”.
Перевірка відомостей про PISP/AISP у кваліфікованому сертифікаті відкритого банкінгу та відомостей в АРІ НБУ вважається успішною, якщо значення атрибуту RolesOfPSP (0.4.0.19495.1) кваліфікованого сертифікату відкритого банкінгу PISP/AISP співпадає зі значенням атрибуту PayServiceId/PayServiceName у відомостях в АРІ НБУ по такому PISP/AISP та статус авторизації діяльності у відомостях з АРІ НБУ дорівнює значенню “Активна” (ServiceStatusId = 1 та ServiceStatusName = “Активна”).
6.3.4. Умови надання PISP/AISP доступу до рахунку PSU
ASPSP заборонено надавати доступ до рахунку PSU PISP/AISP у таких випадках:
- сертифікат відкритого банкінгу не є кваліфікованим;
- кваліфікований сертифікат відкритого банкінгу не є чинним або не вдалось здійснити перевірку чинності сертифікату;
- виявлено неспівпадіння значення атрибуту
RolesOfPSP (0.4.0.19495.1)в кваліфікованому сертифікаті відкритого банкінгу із значеннями атрибутівPayServiceIdта/абоPayServiceNameу відомостях з АРІ НБУ; - статус авторизації діяльності PISP/AISP в атрибутах
ServiceStatusIdтаServiceStatusNameу відомостях з АРІ НБУ не дорівнює значенню “Активна”.
Опис етапів перевірки та атрибутів в кваліфікованому сертифікаті відкритого банкінгу та відомостей з АРІ НБУ
| Назва етапу перевірки | Атрибути кваліфікованого сертифікату відкритого банкінгу (назва) | Атрибути кваліфікованого сертифікату відкритого банкінгу (значення) | Атрибути у відомостях з АРІ НБУ (назва) | Атрибути у відомостях з АРІ НБУ (значення) | Умова успішної перевірки |
|---|---|---|---|---|---|
| 1. Ідентифікатор стороннього НПП | поле Subject, атрибут OrganizationIdentifier (2.5.4.97) | PSDUA-NBU- код ID НБУ, де код ID НБУ — єдиний ідентифікатор, що присвоюється Національним банком України установі | NbuId | Єдиний ідентифікатор, що присвоюється Національним банком України установі (код ID НБУ) | Значення атрибуту OrganizationIdentifier (2.5.4.97) кваліфікованого сертифікату відкритого банкінгу співпадає зі значенням атрибуту NbuId у відомостях з АРІ НБУ |
| 2. Перевірка відомостей про авторизацію діяльності на надання нефінансової платіжної послуги | розширення Qualified Certificate Statements (1.3.6.1.5.5.7.1.3), атрибут RolesOfPSP (0.4.0.19495.1) | PSP_PI (0.4.0.19495.1.2) — для надавача платіжних послуг, що отримав авторизацію діяльності на надання послуги з ініціювання платіжної операції; PSP_AI (0.4.0.19495.1.3) — для надавача платіжних послуг, що отримав авторизацію діяльності на надання послуги з надання відомостей з рахунків | PayServiceId (числовий ідентифікатор) / PayServiceName (назва) | 10 — “Послуга з ініціювання платіжної операції (PIS)”; 11 — “Послуга з надання відомостей з рахунків (AIS)” | Значення атрибуту RolesOfPSP (0.4.0.19495.1) кваліфікованого сертифікату відкритого банкінгу співпадає зі значенням атрибуту PayServiceId/PayServiceName та статус авторизації діяльності у відомостях з АРІ НБУ дорівнює значенню “Активна” (ServiceStatusId = 1 та ServiceStatusName = “Активна”) |
| 3. Перевірка статусу авторизації діяльності на надання нефінансової платіжної послуги у відомостях з АРІ НБУ | ServiceStatusId (числовий ідентифікатор) / ServiceStatusName (назва) | 1 — Активна; 2 — Зупинена; 3 — Тимчасово заборонена; 4 — Припинена |
Примітка: “Положення про систему єдиної ідентифікації учасників фінансового ринку України” затверджено постановою Правління Національного банку України від 30.08.2021 № 92 (зі змінами).