Oma Sparbank identifieringstjänst

OMA SPARBANKS IDENTIFIERINGSTJÄNST
ANVISNINGAR OCH POSTBESKRIVNINGAR
27.8.2015
version 1.0
Oma Sparbanks identifieringstjänst
2
Innehållsförteckning
1. Allmänt ............................................................................................................................................... 3
2. Säkerhet .............................................................................................................................................. 4
3. Beskrivning av funktionerna............................................................................................................... 4
3.1. Figur ......................................................................................................................................................... 6
3.2. Förklaring till figuren ............................................................................................................................. 7
4. Oma Sparbanks ens identifieringstjänsts meddelandebeskrivningar................................................. 8
4.1. Identifieringsbegäran .............................................................................................................................. 8
4.2. Förklaringar till fälten i identifieringsbegäran .................................................................................... 9
4.3. Bilda identifieringsbegäran av MAC-kod ........................................................................................... 10
4.4. Svarsmeddelande och identifierare ..................................................................................................... 10
4.5. Förklaringar till fälten i svarsmeddelande ......................................................................................... 11
4.6. Beräkna kod för svarsmeddelandet ..................................................................................................... 12
4.7. Typ av identifierare............................................................................................................................... 12
4.8. Kontrollera meddelandets kod och identifieringen av kunden ......................................................... 13
5. Undantagsfall ................................................................................................................................... 13
6. Byta ut och förvara kodnyckel .......................................................................................................... 13
7. Oma Sparbanks identifieringstjänsts namn och logo ....................................................................... 14
8. Ta i bruk Oma Sparbanks identifieringstjänst ................................................................................. 14
8.1. Förutsättningar ..................................................................................................................................... 14
8.2. Avtal ....................................................................................................................................................... 15
8.3. Test ......................................................................................................................................................... 15
9. Råd och teknisk support ................................................................................................................... 17
Oma Sparbanks identifieringstjänst
3
Oma Sparbank identifieringstjänst
Med hjälp av Oma Sparbanks identifieringstjänst kan serviceproducenten på ett
tillförlitligt sätt identifiera sina webbkunder med hjälp av bankens
identifieringsmetoder. I Oma Sparbanks identifieringstjänst identifierar banken kunden
för serviceproducentens räkning. Tjänsten är tillgänglig 24 timmar i dygnet alla
veckodagar med undantag av avbrott som beror på service, uppdateringar och andra
motsvarande omständigheter. Oy Samlink Ab tillhandahåller Oma Sparbanks
identifieringstjänst för Oma Sparbank.
Oma Sparbanks identifieringstjänst grundar sig på Tupas-standarden, som har
sammanställts av Bankföreningen i Finland. Den är avsedd för producenter av
elektroniska ärende- och betaltjänster. De identifikationsuppgifter som Oma Sparbanks
identifieringstjänst förmedlar kan även användas som en del av den elektroniska
signaturen, om den kund som identifierar sig och serviceproducenten kommer överens
om detta.
Mer information om standarden finns på Finansbranschens Centralförbunds webbplats
www.fkl.fi.
1. Allmänt
Den kund som identifierar sig har en central roll i användningen av tjänsten. Kunden
styr förmedlingen av uppgifterna mellan banken och serviceproducenten. Banken och
serviceproducenten har ingen direkt kontakt under servicetransaktionen.
Varje identifierare är unik och knuten både till den aktuella servicetransaktionen hos
serviceproducenten och till kunden. När serviceproducenten har behov av att identifiera
en kund skickar han en identifieringsbegäran till kunden, som i sin tur förflyttar sig till
Samlinks identifieringstjänst genom att klicka på Oma Sparbanks identifieringsknapp.
Serviceproducentens identifieringsbegäran förmedlas från kunden till bankens
identifieringstjänst, som efter identifieringen skickar ett svarsmeddelande till kunden.
Kunden kontrollerar uppgifterna i svarsmeddelandet, godkänner dem och kan därefter
gå tillbaka till serviceproducentens tjänst för att fortsätta olika funktioner i anknytning
till tjänsten. Kunden kan avbryta eller förkasta identifieringshändelsen antingen före
själva identifieringen eller efter att ha kontrollerat svarsmeddelandet, varvid
uppgifterna i bankens identifieringsmeddelande inte förmedlas till serviceproducenten.
Möjligheten att använda uppgifterna i tjänsten som en del av den elektroniska
signaturen grundar sig på ett avtal mellan serviceproducenten och kunden om att
identifikationsuppgifterna skall kunna användas som en del av den elektroniska
signaturen i en rättshandling mellan parterna. Användningen av Oma Sparbanks
identifieringstjänst som en elektronisk signatur stöds vidare av tidsstämplarna på
svarsmeddelandena och av Samlinks logguppgifter. Om man vill använda tjänsten som
en del av uppgörandet av ett avtal eller en ansökan, skall serviceproducenten sörja för
de övriga omständigheterna som krävs för elektroniska signaturer, dvs. för
administrationen av datahelheten, för att svarsmeddelandet sparas och för att den egna
tjänsten hålls oförändrad. Oma Sparbank eller Oy Samlink Ab ansvarar inte för
giltigheten hos eller innehållet i rättshandlingen mellan kunden och serviceproducenten.
Internettjänstens adress är https://tupas.omasp.fi
Oma Sparbanks identifieringstjänst
4
Tjänsten är tillgänglig 24 h/dygn.
2. Säkerhet
För datakommunikationen mellan parterna används krypteringsprotokollet SSL, och
därför kan utomstående inte avläsa eller ändra uppgifterna. Serviceproducentens
serverprogram skall stödja 128 bitars SSL-kryptering. Förbindelsens nyckellängd
bestäms dock av egenskaperna hos kundens webbläsare. Uppgifterna i
identifieringsbegäran och svarsmeddelandet är skyddade genom koder som tryggar
dataintegriteten, och därför kan den kund som styr förmedlingen av
identifieringsuppgifterna inte ändra uppgifterna utan att serviceproducenten och Oma
Sparbanks identifieringstjänst märker detta.
Varje part svarar för skyddet och säkerheten i anknytning till de egna tjänsterna samt
för att den information som lagras är korrekt. Den kund som identifierar sig svarar för
att de koder och andra verifieringsinstrument som banken tillhandahåller inte hamnar i
utomståendes händer.
Den som använder tjänsten ansvarar för att hans nätbankskoder inte hamnar i
utomståendes händer och att de bara anges på den dator som används för Oma
Sparbanks identifieringstjänst. Användaren av tjänsten försäkrar sig också om
serviceproducenten av de identifieringsuppgifter som Oma Sparbanks
identifieringstjänst återsänder och godkänner förmedlingen av Oma Sparbanks
identifiering.
3. Beskrivning av funktionerna
Oma Sparbanks identifieringstjänst har olika funktioner och användningsmöjligheter
beroende på vilken typ av svarsmeddelande man i serviceavtalet mellan
serviceproducenten och banken avtalat om att förmedla. Identifieringsuppgiften i
svarsmeddelandet innehåller alltid kundens namn. Därutöver kan en förmedlad
identifieringsuppgift ges i klarspråk eller vara krypterad.
Om svarsmeddelandet ges i klarspråk, förmedlar Oma Sparbanks identifieringstjänst,
beroende på vad som avtalats i serviceavtalet, antingen kundens personbeteckning,
personbeteckningens slutdel, FO-nummer eller annan kundbeteckning. Oma Sparbanks
identifieringstjänst förmedlar en personbeteckning i klarspråk endast till
serviceproducenter som har rätt att hantera denna.
Om identifieringsuppgiften i svarsmeddelandet är krypterad, förmedlar Oma Sparbanks
identifieringstjänst en kod som grundar sig på kundens personbeteckning eller FOnummer. Själva beteckningen förmedlas dock inte i svarsmeddelandet. Därför skall
serviceproducenten ha tillgång till kundens personbeteckning, FO-nummer eller annan
elektronisk kundbeteckning, så att han med hjälp av uppgifterna i Oma Sparbanks
identifieringstjänsts svarsmeddelande skall kunna vara säker på kundens identitet. Om
serviceproducenten inte har kundens personbeteckning eller FO-nummer, skall han
hämta beteckningen eller numret innan identifieringsbegäran skickas. Denna funktion
lämpar sig alltså för kontroll med banken av att de uppgifter kunden uppgett är
korrekta.
Oma Sparbanks identifieringstjänst
5
De funktioner där man använder kundens personbeteckning lämpar sig bland annat för
identifiering av kunden, inloggning i tjänsten och uppgörande av bindande avtal.
Personbeteckningens slutdel kan till exempel användas för inloggning efter
registreringen hos en tjänst.
6
Oma Sparbanks identifieringstjänst
3.1. Figur
Kund som identifierar sig
Webbplats
för
ärendetjänsten
Banken
1.
Serviceproducent
Ärendetjänsten
2.
Identifieringsbegäran
3.
Oma Sparbanks ens
identifieringstjänst
8.
4.
AnvändarID:__________
Lösenord:____
Identifiera dig
5.
6.
Identifikationsuppgifter
Godkänn/Förkasta
Villkor för tjänsten
7.
Oma Sparbanks
identifiering
Oma Sparbanks identifieringstjänst
7
3.2. Förklaring till figuren
1. Den kund som identifierar sig är i kontakt med serviceproducentens tjänst. Han vill köpa
produkt Y. Datatrafiken mellan kunden och serviceproducenten skall vara SSL-krypterad då
kunden börjar mata in data som anknyter till identifieringstjänsten (alltid under perioder 2 -7).
2. Serviceproducenten vill identifiera kunden. Identifieringsbegäran innehåller uppgifter som
specificerar transaktionen. Kunden kontrollerar att identifieringsbegäran har rätt information
men kunden kan inte förändra fakta. Kunden kan avbryta identifieringen och återvända till
den ursprungliga tjänsten. Serviceproducenten visar kunden en vy för att bekräfta
transaktionen med knappar som kunden kan godkänna eller avbryta transaktionen med.
3. Kunden pressar tryckknappen, och det avgående meddelandet leder honom till Oma
Sparbanks identifieringstjänst. Meddelandet innehåller de uppgifter om serviceproducenten
och transaktionen som identifieringstjänsten behöver. Oma Sparbanks identifieringstjänst
kontrollerar att identifieringsbegäran är oförändrad och att uppgifterna är korrekta.
4. Oma Sparbanks identifieringstjänst skickar kunden en identifieringsbegäran, om den begäran
som lämnades av serviceproducenten är felfri. Banken ger kunden ett felmeddelande om Oma
Sparbanks identifieringstjänst upptäcker fel i identifieringsbegäran. Kunden återvänder till
serviceproducentens tjänst med knappen för avbrytning.
5. Kunden identifierar sig i banken. Banken ger kunden ett felmeddelande om identifieringen
misslyckas. Kunden återvänder till serviceproducentens tjänst med knappen för avbrytning.
6. Efter en lyckad identifiering bildar Oma Sparbanks identifieringstjänst ett svarsmeddelande.
Tjänsten öppnar en vy med knappar för godkännande och förkastande, och skickar
svarsmeddelandet till kundens webbläsare.
7. Kunden kontrollerar uppgifterna i identifieraren och godkänner att identifieraren förmedlas
till serviceproducenten. Kunden kan om han så vill avbryta identifieringen med en knapp och
återgå till serviceproducentens tjänst.
8. Serviceproducenten bekräftar att det mottagna svarsmeddelandet är oförändrat och unikt.
Serviceproducenten fogar identifieraren till kundens servicetransaktion och förvarar den lika
länge som alla andra uppgifter som relaterar till tjänsten. Identifierarna får inte registreras
eller användas för andra ändamål.
Oma Sparbanks identifieringstjänst
4. Oma Sparbanks ens identifieringstjänsts meddelandebeskrivningar
4.1. Identifieringsbegäran
Uppgifterna i identifieringsbegäran finns bakom Oma Sparbanks identifieringsikon som dolda
variabler i FORM-datagruppen.
Datagruppens struktur på HTML-språk är:
<FORM
METHOD="POST"
ACTION="https://tupas.omasp.fi ">
<INPUT NAME="…" TYPE="…" VALUE="…">
<INPUT NAME="…" TYPE="…" VALUE="…">
</FORM>
FORM-DATAGRUPPEN
Fält
Uppgiftens namn Längd
1. Meddelandetyp
A01Y_ACTION
_ID
A01Y_VERS
A01Y_RCVID
A01Y_LANGC
ODE
3-4
4
O
10 -15 O
2
O
0002
Servicekod
FI = finska
SV = svenska
EN = engelska
5. Specifikation av
förfrågan
6. Typ av
identifierare
A01Y_STAMP
20
O
A01Y_IDTYPE
2
O
7. Tillbaka-adress
A01Y_RETLIN
K
A01Y_CANLIN
K
A01Y_REJLINK
A01Y_KEYVER
S
A01Y_ALG
A01Y_MAC
199
O
199
O
199
4
O
O
2
32-64
O
O
ååååmmddhhmmssxxx
xxx
01 = Krypterad
grundbeteckning
02 = Grundbeteckning
i klarspråk
03 = Beteckningens
slutdel i klarspråk
OK-returadress för
identifieraren
Returadress vid
avbrytning
Returadress vid fel
Nyckelns
generationsuppgifter
03 = SHA256
Säkerhetskod för
förfrågan
2. Version
3. Serviceproducent
4. Tjänstens språk
8. Avbryt-adress
9. Förkastad-adress
10. Nyckelversion
11. Algoritm
12. Kod
Obligatoris Anmärkning
k
O
Standard, "701"
Namnet på uppgifterna i datafälten skall skrivas med versaler. FORM-datagruppens
struktur på HTML-språk är:
<FORM METHOD=”POST” ACTION=”Oma Säästöpankin tunnistuspalvelun URL”>
<INPUT NAME=”A01Y_ACTION_ID” TYPE=”hidden” VALUE=”701”>
<INPUT NAME=”A01Y_VERS” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_RCVID” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_LANGCODE” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_STAMP” TYPE="hidden” VALUE=”...”>
8
Oma Sparbanks identifieringstjänst
9
<INPUT NAME=”A01Y_IDTYPE” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_RETLINK” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_CANLINK” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_REJLINK” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_KEYVERS” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_ALG” TYPE="hidden” VALUE=”...”>
<INPUT NAME=”A01Y_MAC” TYPE="hidden” VALUE=”...”>
</FORM>
4.2. Förklaringar till fälten i identifieringsbegäran
1. Meddelandetypen, 701 som standard.
2. Versionsnumret för meddelandet med identifieringsbegäran; 0002.
3. Serviceproducentens kundkod. Oma Sparbanks identifieringstjänst identifierar
serviceproducenten på basis av kundkoden och fogar det namn som angivits för
serviceproducenten i registret till identifieringsmeddelandet.
4. Tjänstens språkkod anger på vilket språk serviceproducentens sida öppnas, och
Oma Sparbanks identifieringstjänst öppnas på detta språk om språket ingår bland de
språk som för tillfället gäller för Oma Sparbanks identifiering.
5. Kod som specificerar identifieringsbegäran. Ges av serviceproducenten. Koden kan
vara en referens, ett kundnummer eller en kombination av datum, klockslag och
löpande nummer samt referens.
6. Identifierarens typ anger vilken specificerande uppgift serviceproducenten vill ha
gällande den kund som skall identifieras. Identifierarens typ skall motsvara den
funktion som avtalats i serviceavtalet.
01 = Krypterad grundbeteckning. En på kundens identifieringsuppgifter
beräknad MAC-kod i hexadecimalform. Kan innehålla kundens fullständiga
personbeteckning eller FO-nummer.
02 = Grundbeteckning i klarspråk. Kan innehålla kundens fullständiga
personbeteckning eller FO-nummer.
03 = Beteckningens slutdel i klarspråk. Beteckningen kan innehålla
personbeteckningens slutdel utan skiljetecken som anger århundrade, eller det
fullständiga FO-numret.
7. Adress till serviceproducentens webbsida, från vilken användaren går vidare om
OK.
Returadressen skall börja med https, dvs. vara SSL-skyddad.
Exempel: VALUE=https://www.verkkokauppa.fi/tilaus/vahvistus.html
8. Ställe från vilket kunden går vidare om han avbryter förmedlingen av identifieraren.
Exempel: VALUE=https://www.verkkokauppa.fi/tilaus/keskeytys.html
9. Ställe där serviceproducentens tjänst fortsätter om ett tekniskt fel har upptäckts i
identifieringen.
Exempel: VALUE=https://www.verkkokauppa.fi/tilaus/virhe.html
10. Versionsnummer på den nyckel som används vid beräkningen av MAC-koden.
Oma Sparbanks identifieringstjänst
10
11. Typkod för den algoritm som används vid beräkningen av MAC-koden. Oma
Sparbanks identifierare använder algoritmen 03 = SHA-256 algoritmen, som
genererar 64-bits MAC.
12. MAC-kod som beräknats enligt den algoritm som definierats i datafält 11 på basis av
data som skyddas i identifieringsbegäran. Mottagaren kontrollerar med hjälp av koden
att identifieringsbegäran är oförändrad och vem som är avsändare.
4.3. Bilda identifieringsbegäran av MAC-kod
Serviceproducenten bildar för bankens funktionsknapp en identifieringsbegäran, som
skyddas med en MAC-kod. Koden beräknas på FORM-datagruppen i
identifieringsbegäran med en kodnyckel som Oma Sparbanks identifieringstjänst gett
serviceproducenten.
Först bildas en teckensträng av serviceproducentens kodnyckel och samtliga VALUEvärden i de datafält (1–11) som föregår koden. Data ordnas i en teckensträng så att de
blanksteg som är fyllnadstecken i fälten lämnas bort. Datagrupperna i teckensträngen
skiljs åt med &. Tecknet & skall även infogas mellan den sista uppgiften (fält 12) och
kodnyckeln samt i slutet av kodnyckeln. Dessa tecken tas med i beräkningen av
meddelandets MAC-kod. Uppgiften utgörs av en rad. I detta dokument anger +-tecken
radbyte.
A01Y_ACTION_ID&A01Y_VERS&A01Y_RCVID&A01Y_LANGCODE&A01Y_STAMP&+
A01Y_IDTYPE&A01Y_RETLINK&A01Y_CANLINK&A01Y_REJLINK&A01Y_KEYVERS&+
A01Y_ALG&tarkisteavain&
Den beräknade MAC-koden omvandlas till hexadecimalform, där A-F återges med
versaler. Det hexadecimala hashvärdet införs i fältet för MAC-koden.
4.4. Svarsmeddelande och identifierare
Oma Sparbanks identifieringstjänst fogar uppgifterna i svarsmeddelandet till OKreturlänken i query string-format.
Koden beräknas på basis av det ursprungliga meddelandet. Därefter ersätts
skandinaviska tecken och vissa specialtecken (t.ex. blanksteg, lika med- och
citattecken) med motsvarande hexadecimaltecken (t.ex. %20) i
datakommunikationsmeddelandet.
Oma Sparbanks identifieringstjänst beräknar svarsmeddelandets MAC-kod enligt
respektive serviceproducents nyckel. Med hjälp av koden kan serviceproducenten
försäkra sig om att identifieraren har bildats i kundens bank och att uppgifterna i
identifieringsmeddelandet är oförändrade.
Oma Sparbanks identifieringstjänst
11
SVARSMEDDELANDE
Fält
Uppgiftens namn
Längd
1. Version
2. Specifikation av
identifieraren
3. Identifierarens
nummer
B02K_VERS
B02K_TIMESTMP
4. Specifikation av
förfrågan
5. Kund
B02K_STAMP
L
Obligatorisk
2
2
3
B02K_IDNBR
1
0
2
0
B02K_CUSTNAME
4
Anmärkning
O
0002
O
NNNååååmmddhhmmssx
O
xxxxx
Nummer
O
som Oma
Sparbanks
identifieringstjänst gett
identifieraren
Förfrågans
O
datafält 7
(A01Y_STAMP)
Kundens
O
namn
0
6. Nyckelversion
7. Algoritm
8. Identifierare
B02K_KEYVERS
B02K_ALG
B02K_CUSTID
9. Typ av identifierare
B02K_CUSTTYPE
4
2
4
0
10. Kod
2
B02K_MAC
A
Nyckelns
O
generation
03
O = SHA256
Krypterad
O
kod eller
servicekod i klarspråk
00
O = okänd
01 = personbeteckning i
klarspråk
02 = pers.bet. slutdel i
klarspråk
03 = FO-nummer i
klarspråk
04 = elektronisk kundkod
i klarspråk
05 = krypterad
personbeteckning
06 = krypterat FOnummer
07 = krypterad elektronisk
kundkod
Svarets
O
säkerhetskod
N 64
4.5. Förklaringar till fälten i svarsmeddelande
1. Svarsmeddelandets versionsnummer; 0002.
2. Tidsstämpel som bildats i bankens system, där NNN alltid är 440 och uttrycker att det
är fråga om Oma Sparbanks identifieringstjänst.
3. Uppgift som bankens datasystem gett identifieraren och som specificerar
identifieraren i bankens system.
4. Specificering av identifieringsbegäran, kommer från den aktuella
identifieringsbegärans datafält 7 (A01Y_STAMP)
5. Kundens namn i bankens kunddatabas.
6. MAC-kodnyckelns generation.
7. Kod för algoritmen till MAC-koden.
8. Kundens identifieringsuppgift. Identifierare i klarspråk eller krypterad kod beroende
på innehållet i identifieringsbegärans A01Y_IDTYPE-fält.
9. Typ av identifierare. Detta fält anger identifieringsuppgiften i fält 8. Fältet kan ha
följande värden:
00 = okänd
01 = personbeteckning i klarspråk
02 = personbeteckningens slutdel i klarspråk
03 = FO-numret i klarspråk
12
Oma Sparbanks identifieringstjänst
04 = elektronisk kundkod i klarspråk. Inte i bruk i Oma Sparbanks identifieringstjänst.
05 = krypterad personbeteckning
06 = krypterat FO-nummer
07 = krypterad elektronisk kundkod. Inte i bruk i Oma Sparbanks identifieringstjänst.
10. Kod för svarsmeddelandet.
4.6. Beräkna kod för svarsmeddelandet
Integriteten hos det mottagna svarsmeddelandet kontrolleras genom att man först räknar
ut en kod av meddelandet och jämför denna med koden för meddelandet. Koden
beräknas på datafälten 1–9 i svarsmeddelandet. Innehållet i fältet B02K_CUSTID
bestäms av vilken kod som begärts i identifikationsbegäran och är alltså antingen en
krypterad kod eller en kundkod i klarspråk. Vid beräkningen av koden skiljs data och
kodnycklen från varandra med &, som även skall fogas till slutet av kodnyckeln. Vid
beräkningen av koden tillämpas en nyckel som är specifik för varje serviceproducent. I
detta dokument anger +-tecken radbyte.
B02K_VERS&B02K_TIMESTMP&B02K_IDNBR&B02K_STAMP&+
B02K_CUSTNAME&B02K_KEYVERS&B02K_ALG&+
B02K_CUSTID&B02K_CUSTTYPE&tarkisteavain&
4.7. Typ av identifierare
Beräkningen av svarsmeddelandets kod påverkas av den förmedlade identifierarens typ,
vilken definieras i identifieringsbegärans A01Y_IDTYPE-fält. Kundens identifierare är
antingen 1) en kundkod i klarspråk eller 2) en krypterad kod.
1. Kundkod i klarspråk som identifierare för kunden
Värdena 02 och 03 i identifieringsbegärans A01Y_IDTYPE-fält: grundbeteckning i
klarspråk eller grundbetecknings slutdel i klarspråk.
Kundens kod är en teckensträng i klarspråk, till exempel personbeteckningen eller
slutdelen av denna i enlighet med A01Y_IDTYPE-fältet i identifikationsbegäran.
Koden införs som sådan i svarsmeddelandets B02K_CUSTID-fält.
2. Krypterad kod som identifierare för kunden
Värdet i identifieringsbegärans
grundbeteckning.
A01Y_IDTYPE-fält
är
01,
dvs.
krypterad
Vid krypteringen av kundkoden använder banken samma hashalgoritm som vid
beräkningen av koderna för meddelandena. Identifieringsuppgiften krypteras med
användning av uppgifterna i svarsmeddelandets datafält 2–4 och den kundkod som
registrerats i banken (personbeteckning eller FO-nummer). Vid beräkningen av en
krypterad kod skiljs data och kodnyckeln åt med &, som även läggs till i slutet av
kodnyckeln. Vid krypteringen tillämpas nycklar som är specifika för varje
serviceproducent. I detta dokument anger +-tecken radbyte.
B02K_TIMESTMP&B02K_IDNBR&B02K_STAMP&+
asiakastunnus&tarkisteavain&
Oma Sparbanks identifieringstjänst
13
En krypterad kod konverteras till hexadecimal form där värdena A–F återges med
versaler. Slutresultatet är en teckensträng som fungerar som kundkod och införs i
svarsmeddelandets B02K_CUSTID-fält.
4.8. Kontrollera meddelandets kod och identifieringen av kunden
Serviceproducenten beräknar det mottagna meddelandets MAC-kod på det sätt som
beskrivs i punkt 4.6. Om denna överensstämmer med koden för det svarsmeddelande
som kommit från banken, har svarsmeddelandet förmedlats oförändrat.
Om en krypterad kod har använts i svarsmeddelandet kontrollerar serviceproducenten
att den kundkod han har tillgång till är korrekt genom att beräkna koden utgående från
datafälten i svarsmeddelandet och den tillgängliga koden som beskrivs i punkt 4.7. Om
den kod han får fram motsvarar innehållet i svarsmeddelandets identifierarfält
(B02K_CUSTID) är kundens identifierare (som serviceproducenten har tillgång till)
korrekt.
5. Undantagsfall
Serviceproducenten skall vara beredd på olika undantagsfall, till exempel:
1. Kunden avbryter identifieringshändelsen. Kunden kan avbryta händelsen antingen
innan identifieraren förmedlas till Oma Sparbanks identifieringstjänst eller efter att
identifieraren har skapats med en knapp vars adress är returadressen i
identifieringsbegärans FORM-datafält 8.
2. Verifieringen av kunden misslyckas antingen på grund av att de
identifieringsuppgifter som kunden gett är felaktiga eller att kunden har begärt
verifiering hos fel bank.
3. Oma Sparbanks identifieringstjänst upptäcker ett fel i identifieringsbegäran.
4. Serviceproducenten upptäcker fel i svarsmeddelandet, vilket kan bero på fel i
innehållet i meddelandet eller på att identifieraren inte motsvarar de personuppgifter
som kunden har uppgett. Serviceproducenten skall då ge kunden ett meddelande om
läget.
5. Det kommer inget svar. Orsaken till avbrottet kan vara ett avbrott i förbindelsen
eller någon annan teknisk störning, eller att kunden lämnar sessionen mitt i.
6. Samma svar kommer flera gånger. Serviceproducenten skall förbereda sig på att
kunden kan skicka samma svar flera gånger eller att han kan skicka ett gammalt
svarsmeddelande när han flyttar mellan vyerna i webbläsaren med framåt- och
bakåttangenterna.
6. Byta ut och förvara kodnyckel
Den MAC-nyckel som används vid beräkningen av koderna kan bytas ut på begäran av
Oma Sparbanks identifieringstjänst eller en serviceproducent.
Oma Sparbanks identifieringstjänst
14
Kodnyckeln skickas till den kontaktperson som anges i avtalet. Samtidigt lämnas även
information om versionsnumret på den nya nyckeln och vilken dag den träder i kraft.
Från och med den aktuella dagen skall koderna beräknas med den nya nyckeln.
För att nyckelbytet skall ske smidigt är det viktigt att serviceproducentens system
tillåter att den nya nyckeln matas in på förhand, dvs. att minst två kodnycklar kan
användas samtidigt. Vid tidpunkten för bytet, under ca 15 minuter, skall det vara
möjligt att en del av de identifierar som kommer in till serviceproducenten har
beräknats med den gamla nyckeln och en del med den nya.
När man lyckats med att ta i bruk den nya kodnyckeln kan man ta bort den gamla eller
förhindra att den används i serviceproducentens system.
Serviceproducenten skall förvara MAC-kodnyckeln omsorgsfullt och skyddad från
obehörig användning.
7. Oma Sparbanks identifieringstjänsts namn och logo
Som namn på bankens webbidentifiering kan man använda antingen Oma Säästöpankin
tunnistus eller Oma Sparbanks identifiering. Inga andra namn får användas.
Oma Sparbanks identifieringstjänsts logo är
Säljarföretaget kopierar logon till sin egen server från Samlinks server på adressen
http://www.omasp.fi/html/OmaSp-painike.png
Storleken och färgerna på logon får inte ändras.
Logon/namnet får inte överlåtas eller användas för annat ändamål än vad som fastställts
i avtalet om Oma Sparbanks identifieringstjänst.
När avtalet har gått ut är säljaren skyldig att omedelbart ta bort Oma Sparbanks
identifieringstjänsts logo från sin webbplats.
8. Ta i bruk Oma Sparbanks identifieringstjänst
8.1. Förutsättningar
Serviceproducentens system skall med www-teknik kunna bilda en
identifieringsbegäran för användarna av tjänsten. När en användare har godkänt att
identifieraren förmedlas till serviceproducenten, skall identifieraren fogas till det
uppdrag som användaren lämnar och förvaras lika länge som uppdraget. Identifierare
får inte registreras eller utnyttjas för andra ändamål.
Oma Sparbanks identifieringstjänst
15
Oma Sparbanks identifieringstjänst kräver inget speciellt www-serverprogram, men
skall stödja 128-bits SSL-kryptering.
8.2. Avtal
Serviceproducenten ingår ett skriftligt avtal med banken om användningen av Oma
Sparbanks identifieringstjänst. Uppgifterna om serviceproducenten registreras i banken
och en Säkerhetskod i två delar skickas per e-post till den mottagare som
överenskommits med banken.
Ett serviceavtal skall ingå för varje enskild tjänst, likaså för varje enskild funktion. En
tjänst kan dock ha flera olika funktioner. Banken ingår avtal om förmedling av
personbeteckningen bara om serviceproducenten har rätt att registrera denna.
Längden på den kodnyckel som skall användas i tjänsten och serviceproducentens rätt
att registrera personbeteckningar skall anges i avtalet.
Serviceproducenten skall underrätta bankens kontor om hans tjänst eller uppgifter
ändras. Kontoret kan vid behov komplettera avtalet med de ändrade uppgifterna.
8.3. Test
När avtalet ingås bestämmer parterna vilken dag tjänsten skall tas i bruk. Innan avtalet
ingås kan serviceproducenten kan testa tjänsten i produktionsmiljö med hjälp av
testlösenord.
Internettjänstens adress: https://tupas.omasp.fi
Serviceproducent: 1111111111111
Kodnyckel: 11111111111111111111
Typ av identifierare: 02
Användar-ID och lösenord som kunden använder på identifieringsvyn:
Användar-ID: 11111111
Lösenord: 123456
Oma Sparbanks identifieringstjänst
IDENTIFIERINGSBEGÄRAN –
TESTMEDDELANDE
FORM-datafält
A01Y_ACTION_I 701
D
A01Y_VERS
0002
A0IY_RCVID
1111111111111
A01Y_LANGCO Se beskrivning
DE
A01Y_STAMP
Se beskrivning
A01Y_IDTYPE
Se beskrivning
A01Y_RETLINK Se beskrivning
A01Y_CANLINK Se beskrivning
A01Y_REJLINK Se beskrivning
A01Y_KEYVERS 0001
A01Y_ALG
03
A01Y_MAC
Se beskrivning
SVARSMEDDELANDE
B01Y_VERS
0002
B02K_TIMESTM Se beskrivning
P
B02K_IDNBR
Se beskrivning
B01Y_STAMP
Förfrågans datafält
A01Y_STAMP
B02K_CUSTNA Teemu Testaaja
M
B01Y_KEYVERS 0001
B01Y_ALG
03
B02K_CUSTID
Grundbeteckning:010101123N
Grundbeteckningens
slutdel:123N
Krypterad kod: beräknad
av beteckningen 010100123N
B02K_CUSTTYP Se beskrivning
E
B01Y_MAC
Se beskrivning
16
Oma Sparbanks identifieringstjänst
9. Råd och teknisk support
Vid problem kan du vända dig till
Kundförbindelserådgivningen: 0100-4052 (1,1689 €/min + lokalnäts.avg.).
E-post: [email protected]
Behandlingen av ärendet snabbas upp om serviceproducenten anger sin kod.
17
18
Oma Sparbanks identifieringstjänst
Tjänsten bygger på 8-bitars ISO 8859-1 (Latin1) teckenuppsättning, vars koder anges i tabellen
nedan.
æ
%00
%01
%02
%03
%04
%05
%06
%07
Backspace %08
Tab
%09
Linefeed %0a
%0b
%0c
C return
%0d
%0e
%0f
%10
%11
%12
%13
%14
%15
%16
%17
%18
%19
%1a
%1b
%1c
%1d
%1e
%1f
Space
%20
!
%21
”
%22
#
%23
$
%24
%
%25
&
%26
’
%27
(
%28
)
%29
*
%2a
+
%2b
,
%2c
%2d
.
%2e
0
1
2
3
4
5
6
7
8
9
:
;
<
=
>
?
@
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
[
\
]
^
%30
%31
%32
%33
%34
%35
%36
%37
%38
%39
%3a
%3b
%3c
%3d
%3e
%3f
%40
%41
%42
%43
%44
%45
%46
%47
%48
%49
%4a
%4b
%4c
%4d
%4e
%4f
%50
%51
%52
%53
%54
%55
%56
%57
%58
%59
%5a
%5b
%5c
%5d
%5e
`
a
b
c
d
e
f
g
h
i
j
k
l
m
n
o
p
q
r
s
t
u
v
w
x
y
z
{
|
}
~
€
‚
ƒ
„
…
†
‡
ˆ
‰
Š
‹
OE
Ž
%60
%61
%62
%63
%64
%65
%66
%67
%68
%69
%6a
%6b
%6c
%6d
%6e
%6f
%70
%71
%72
%73
%74
%75
%76
%77
%78
%79
%7a
%7b
%7c
%7d
%7e
%7f
%80
%81
%82
%83
%84
%85
%86
%87
%88
%89
%8a
%8b
%8c
%8d
%8e
‘
’
“
”
•
–
—
˜
™
š
›
oe
Ÿ
¡
¢
£
¥
|
§
¨
©
ª
«
¬
¯
®
¯
°
±
²
³
´
µ
¶
·
¸
¹
º
»
¼
½
¾
%90
%91
%92
%93
%94
%95
%96
%97
%98
%99
%9a
%9b
%9c
%9d
%9e
%9f
%a0
%a1
%a2
%a3
%a4
%a5
%a6
%a7
%a8
%a9
%aa
%ab
%ac
%ad
%ae
%af
%b0
%b1
%b2
%b3
%b4
%b5
%b6
%b7
%b8
%b9
%ba
%bb
%bc
%bd
%be
À
Á
Â
Ã
Ä
Å
Æ
Ç
È
É
Ê
Ë
Ì
Í
Î
Ï
Ð
Ñ
Ò
Ó
Ô
Õ
Ö
Ø
Ù
Ú
Û
Ü
Ý
Þ
ß
à
á
â
ã
ä
å
æ
ç
È
É
Ê
Ë
Ì
Í
Î
%c0
%c1
%c2
%c3
%c4
%c5
%c6
%c7
%c8
%c9
%ca
%cb
%cc
%cd
%ce
%cf
%d0
%d1
%d2
%d3
%d4
%d5
%d6
%d7
%d8
%d9
%da
%db
%dc
%dd
%de
%df
%e0
%e1
%e2
%e3
%e4
%e5
%e6
%e7
%e8
%e9
%ea
%eb
%ec
%ed
%ee
ð
ñ
ò
ó
ô
õ
ö
÷
ø
ù
ú
û
ü
ý
þ
ÿ
%f0
%f1
%f2
%f3
%f4
%f5
%f6
%f7
%f8
%f9
%fa
%fb
%fc
%fd
%fe
%ff
19
Oma Sparbanks identifieringstjänst
/
%2f
_
%5f
%8f
¿
%bf
ï
%ef