Web Services. Filöverföring Tjänstebeskrivning

Web Services Filöverföring Tjänstebeskrivning

Innehåll 1 Allmänt... 2 1.1 Web Services... 2 1.2 Förkortningar och termer i tjänstebeskrivningen... 3 2 Avtal om användning av Web Services-förbindelsen... 3 2.1 Certifikat och nycklar... 3 2.2 Förutsättningar för användning av WS-förbindelsen... 4 3 Användning av certifikat och PKI-nycklar vid bankförbindelse... 4 3.1 Identifiering av användare och behörighet att använda tjänsten... 5 3.2 Makulering av certifikat... 6 3.3 Certifikatens utgång och förnyande av dem... 6 4 Web Services-förbindelsens material... 7 4.1 Material i Nordea Finland... 7 4.2 Material i Nordea Baltikum... 8 5 Allmän beskrivning av överföringspraxis... 9 5.1 Att skapa material och sända det till banken... 9 5.1.1 Signering av material... 10 5.1.2 Sändning av material... 10 5.1.3 Datakomprimering... 10 5.2 Att hämta material från banken... 11 5.3 Tekniska instruktioner för bankförbindelseprogrammet... 11 6 Testning... 12 6.1 Testning av förbindelsen med testkoder/-konton... 12 6.2. Testning av material och förbindelsen med kundens egna koder/konton... 13 7 Tidtabell... 13 8 Adress för Web Services-förbindelsen... 13 9 PKI-certifikat... 13 9.1 Distribution av certifikat... 13 9.1.1 Automatisk nedladdning... 14 9.1.2. Manuell nedladdning... 14 9.2 Förnyande av certifikat... 16 9.3 Säkerhetsanvisningar... 17 10 Rådgivning och stöd... 18

1 Allmänt Detta dokument beskriver det Web Services-protokoll som Nordea (nedan Nordea eller banken) producerat för dataöverföring. Web Services (WS) är ett protokoll som är avsett för Nordeas företagskunder. Via protokollet förmedlas filöverföringsmaterial mellan banken och kunderna. Web Services-protokollet grundar sig på globalt kända standarder och följer World Wide Web Consortiums (W3C) bestämmelser, se www.w3.org. Datatrafiken sker alltid via en SSL-krypterad förbindelse på internet (TCP/IP) och följaktligen behövs ingen VPN-kryptering. Kundidentifieringen grundar sig på Public Key Infrastructure (PKI)-certifikat, dvs. nycklar som kunden får från banken. Banken fungerar som certifikatutgivare (CA, Certificate Authority). WS-protokollet möjliggör ett dataöverföringsprotokoll för företag, PKI-identifiering och tillämpning av säkerhetsföreskrifter enligt Web Services Interoperability Organizations bestämmelser, se www.ws-i.org. Detta dokument beskriver standarden så som den tillämpas i Nordea. De tekniska detaljerna i WS-protokollet beskrivs i separata dokument som finns tillgängliga på Finansbranschens Centralförbunds webbsidor: www.fkl.fi. Beskrivningarna är på engelska, se punkt 5.3. Web Services-förbindelsen möjliggör förmedling av material som baserar sig på XML-standarden och material från de lokala Cash Management (CM)-tjänsterna i Nordea Finland och Nordea i Baltikum. Samma lokala material kan också förmedlas med andra datatrafiklösningar. Ett särskilt avtal om Web Services-förbindelsen ingås då man övergår till användningen av Web Servicesprotokollet i stället för andra förbindelsemetoder. Avtal och villkor för Cash Management-tjänsterna förblir oförändrade, endast praxisen för förbindelser och datasäkerhet ändras. 1.1 Web Services Web Services-protokollet är avsett för förmedling av CM-material, t.ex. material som baserar sig på XML/ISO20022-standarden (betalningar, kontoutdrag) eller lokalt material såsom Inkommande referensbetalningar (KTL). En förteckning över alla materialtyper som kan förmedlas via WS-förbindelsen finns i punkt 4. Förteckningen uppdateras då protokollet kompletteras med nya materialtyper. XML-material som baserar sig på standarden ISO20022, t.ex. Företagets betalningar, ska alltid förmedlas via WS-protokollet och den anknutna PKI-säkerhetsmetoden eller alternativt via filöverföringstjänsten i Företagets nätbank. Den nuvarande säkerhetslösningen FTP-PATU fungerar tillsvidare, men det är inte möjligt att förmedla nytt material som baserar sig på XML-standarden med lösningen. WS-datatrafiken baserar sig på överföring av filer från kunden eller till kunden. Kunden fungerar alltid som aktiv part i förbindelsen och öppnar förbindelsen såväl då han sänder material till banken som då han hämtar material från banken (push-pull kommunikation). Företaget ska ha ett bankförbindelseprogram som är kompatibelt med WS-protokollet. Nordea levererar inte sådana program, kontakta t.ex. programleverantören för närmare information.

1.2 Förkortningar och termer i tjänstebeskrivningen WS PKI XML PATU CA SSL HTTPS SOAP Administratör Användare Avsändare Web Services. De facto-datatrafikstandard, som följer internationella definitioner, bl.a. SOAP och XML. Public Key Infrastructure. Internationell definition för identifiering av parterna i förbindelsen (ägaren av certifikaten). Extensible Markup Language. Ett format som bland annat används i tjänsten Företagets betalningar och i SOAP-meddelanden. PAnkki TUrvallisuus. En definition av den identifieringsteknik som de finländska bankerna använder för närvarande. Definitionen är utgiven av Finansbranschens Centralförbund. Certificate Authority. Beviljare/utgivare av PKI-certifikatet. Secure Socets Layer. Krypteringsteknik som används i förbindelser via internet. Hypertext Transfer Protocol Secure. Den krypterade versionen av http-protokollet. Standardiserat meddelandeformat för WS-förbindelsen. En person som fastställts av kunden (företaget). Kunden befullmäktigar administratören att ta emot individuella/företagsspecifika identifieringsuppgifter som baserar sig på PKI-metoden från banken. Administratören administrerar användningsrätten till identifieringsuppgifterna och övriga administrativa ärenden för kundens del. Definierad användare i företagets avtal, som har behörighet att använda tjänsten i fråga. Kan vara annan än materialets avsändare. En person som signerat ett SOAP-meddelande och som har rätt att vara i kontakt med banken via WS-förbindelsen. Avsändaren sänder ApplicationRequest-meddelanden som signerats av användaren eller tar emot ApplicationResponse-meddelanden som signerats av banken. Avsändaren kan vara en tredje part som ingått avtal med företaget. Banken är inte part i detta avtal. 2 Avtal om användning av Web Services-förbindelsen Kunden och banken ingår ett avtal om användning av Web Services-förbindelsen (Web Services Agreement). När avtalet ingås väljer kunden att ta i bruk företags- eller användarspecifika certifikat. I avtalet definieras företaget och den kontaktperson som representerar användarna i företaget (administratör, dvs. huvudanvändare) och vid behov övriga användare. På basis av avtalet kan företaget skicka och hämta filöverföringsmaterial genom att använda Web Services-förbindelsen och PKIsäkerhetspraxisen. Om avsändaren av materialet (undertecknaren av SOAP-meddelandet) är en tredje part som ingått avtal med företaget, är avsändaren inte part i avtalet mellan banken och kunden. Användarrätten till tjänsten eller kontot kontrolleras alltid genom användarens/företagets digitala underskrift (signaturen av ApplicationRequest). 2.1 Certifikat och nycklar Om kundens bankförbindelseprogram stöder automatisk nedladdning av certifikat kan kunden automatiskt ladda ned det certifikat som behövs för Web Services-protokollet. I detta fall gör kundens bankförbindelseprogram en certifikatbegäran på basis av kundens uppgifter och aktiveringskoden kunden tagit emot per sms. Koden är giltig i 7 dagar. Administratören kan beställa/förnya koden när programmet tas i bruk genom att ringa betalningsrådgivningen för företag (se kontaktuppgifterna i punkt 10). Mobiltelefonnumret är registrerat i kundens avtal. Alternativt kan det registreras på bankens kontor. Det är också möjligt att manuellt ladda ned certifikatet via Nordeas webbsidor. Nedladdningen sker via webbläsaren genom att använda samma uppgifter som ovan i den automatiska nedladdningen. Kuvert med lösenord används inte längre. December 2011 3

Punkt 9.1 innehåller närmare anvisningar för båda nedladdningssätten. Förutom ovan nämnda filbaserade certifikat erbjuder Nordea även kortcertifikat som tillsammans med kortläsaren möjliggör autentisering/auktorisering för de tjänster som är tillgängliga via bankens Web Services-kanal. Användaren måste alltid ange sin PIN-kod då han använder kortets individuella nyckel för signering av meddelandet. När ett filbaserat certifikat tas emot ska det skyddas med den PIN-kod som användaren angett. Det ska inte vara möjligt att använda certifikatet utan PIN-koden om programmet inte på annat sätt kontrollerar användarens behörigheter på ett pålitligt sätt. Programmet kan spara hemliga nycklar och tillåta användning av dem utan PIN-koden för att till exempel möjliggöra automatisk förbindelse. Bankförbindelseprogrammet ska då övervaka personens roll som användare av programmet samt registrera transaktionerna i anslutning till användningen av nyckeln i programmets logguppgifter. Banken verifierar varje tjänstebegäran på basis av det användar- eller företagsspecifika certifikatet, och certifikatets ägare ansvarar för uppdraget. Vid en tjänstebegäran representerar användaren (undertecknaren av materialet) det företag som ingått Web Services-avtalet. Certifikatet har alltid registrerats åt en viss person eller ett visst företag i bankens register. Om certifikatet används vid automatisk förbindelse mellan datorer, kan certifikatet användas av någon annan än den namngivna personen. Företaget ansvarar för att certifikaten förvaras ändamålsenligt och på så sätt att endast behörig användning av dem är möjlig. Även eventuella säkerhetskopior av certifikatet ska förvaras tryggt. 2.2 Förutsättningar för användning av WS-förbindelsen Kunden ska ha ett gällande avtal om användning av Web Services-förbindelsen med banken. Användarna ska ha individuella eller företagsspecifika koder som banken gett när avtalet ingåtts. Användarna kan ladda ned PKI-certifikat från Nordeas webbsidor till kundens system med koderna. Den digitala signaturen som grundar sig på PKI-certifikatet, verifieringen av användaren och behörigheten att använda CM-tjänsten i fråga granskas av banken på basis av certifikatet. Ett program som möjliggör digital signatur och bankförbindelse. CM-material som sänds eller en begäran om att hämta material ska signeras digitalt före bankförbindelsen med en individuell nyckel som ingår i användarens/företagets PKI-certifikat. Signaturen kan ske med ett separat program eller som en integrerad del av bankförbindelseprogrammet. Den digitala signaturen ska genomföras och bankförbindelsen ska öppnas med ett program som stöder förbindelsen enligt Nordeas Web Services-beskrivning. De finska bankerna har tillsammans definierat en allmän Web Services-beskrivning som är tillgänglig på Finansbranschens Centralförbunds webbsidor, www.fkl.fi. Nordeas bankspecifika instruktioner för tillämpning av beskrivningen finns i detta dokument samt i dokumentet Nordeas Web Services Security and Communication Description. Kontrollera att meddelandena har korrekt struktur och testa dem innan du skickar meddelanden till banken, se punkt 6. Certifikatet är i kraft i två år. Bankförbindelsen fungerar inte efter att certifikatets giltighetstid gått ut. Bankförbindelseprogrammet ska kontrollera giltighetstiden och i tid informera användaren om giltighetstidens utgång. Förbindelsen kan användas utan avbrott när certifikatet förnyas i tid. Se 3.3 Certifikatens utgång och förnyande av dem. 3 Användning av certifikat och PKI-nycklar vid bankförbindelse Vid Web Services-förbindelse identifieras kunderna med PKI-teknik och certifikat (Certificate på engelska). PKI, dvs. Public Key Infrastructure, är en verksamhetsmodell för användning av nycklar och certifikat. Modellen utnyttjar osymmetriska krypteringsmetoder som baserar sig på nyckelpar i syfte att December 2011 4

verkställa de grundläggande förutsättningarna för trygg skötsel av elektroniska ärenden, t.ex. digital signatur med undertecknarens individuella nyckel. Med certifikat avses uttryckligen certifikat i X.509-format som beviljas av Nordea (Certificate Administrator). Detta konfidentiella förhållande omfattar endast två parter, banken och kundföretaget. På basis av företagets Web Services-avtal beviljas certifikat till en person/flera personer som är anställd/anställda i företaget och som angetts i företagets Web Services-avtal. Kunden använder certifikatet, eller snarare den hemliga och offentliga nyckel som certifikatet beskriver, för digital signatur av material, medan banken använder certifikatet för att identifiera kunden. Med signaturen kan banken verifiera att den person som har tillgång till certifikatet i fråga och motsvarande CM-tjänst godkänt materialet med sin signatur. Samtidigt verifieras att materialet inte ändrats efter att det signerats. Ett filbaserat certifikat är i kraft i två år och måste förnyas innan giltighetstidens utgång. Ett kortcertifikat går ut efter fem år. Punkt 9 innehåller anvisningar för nedladdning och förnyande av filbaserade certifikat. Kortcertifikaten ska beställas via kontaktpersonen i banken. Den digitala signaturen ska göras så som fastställts i bankernas gemensamma Web Servicesbeskrivning, där XML-strukturen, som går under namnet ApplicationRequest, ska signeras. ApplicationRequest är en enkel XML-struktur som innehåller specificerade uppgifter om kunden och materialet. Den digitala signaturen är av enveloped-typ. Detta betyder att signaturen omfattar hela innehållet i meddelandet som ska signeras, inklusive eventuellt material som ska sändas. Den digitala signaturen används för identifiering och garanterar att materialet inte ändrats. Om innehållet ändras på något vis ogiltigförklaras signaturen. I så fall lägger bankens mottagningssystem märke till ändringarna och förbindelsen refuseras. På motsvarande sätt ska banken signera ApplicationResponce-meddelanden då banken bildar meddelanden till kunden via Web Services-förbindelsen. På så sätt kan användaren försäkra sig om att meddelandet skickats av en avtalad part och att uppgifterna inte ändrats under överföringen. En signatur av enveloped-typ kan dubbleras, varvid den andra undertecknaren signerar hela innehållet, vilket även omfattar den föregående signaturen. Tillsvidare används inte denna dubbla ApplicationRequest-signatur i Nordeas Web Services-protokoll. 3.1 Identifiering av användare och behörighet att använda tjänsten Behörigheten att använda CM- tjänsten grundar sig på ApplicationRequest-meddelandets digitala signatur och följaktligen på identifieringen av användaren samt på kontrollen av behörigheten via bankens avtalssystem. Ett ApplicationRequest-meddelande som signerats innan bankförbindelsen aktiverats förmedlas som en del av SOAP-meddelandet i dess Body-element. Det är möjligt att signera ett ApplicationRequestmeddelande på förhand före sändningen. SOAP-meddelanden signeras högst två timmar före bankförbindelsen med avsändarens egen PKInyckel. Denna signatur ger endast behörighet att använda Web Services-förbindelsen, inte någon CMtjänst. Genom att signera SOAP-meddelanden säkerställs endast att avsändaren har rätt att ta kontakt med bankens filöverföringstjänst via Web Services-förbindelsen, sända ApplicationRequestmeddelanden som användaren signerat och ta emot ApplicationResponse-meddelanden som signerats av banken och som är avsedda för användaren. Bild 1 nedan visar förhållandet mellan material som ska sändas (Payload), ApplicationRequestmeddelandet som ska signeras och SOAP-meddelandet som ska sändas till banken. För att undgå beroendeförhållande mellan kapslade XML-strukturer ska meddelandena base64-kodas innan de läggs till som innehåll i fälten. December 2011 5

Bild 1 När användaren själv fungerar som avsändare i bankförbindelseprogrammet, kan SOAP-meddelandet signeras med samma PKI-nyckel som användes för att signera ApplicationRequest-meddelandet. När användaren ber om material från banken, lämnas Content-fältet bort i ApplicationRequest. Även i detta fall ska ApplicationRequest signeras på samma sätt som då material sänds till banken. Innehållet i fälten beskrivs närmare i dokumentet Web Services Security and Communication Description. Strukturen för ovan beskrivna meddelanden avviker inte från varandra, oberoende av om man använder ett kort eller ett certifikat som laddats ned via internet. 3.2 Makulering av certifikat Om en person som angetts i avtalsbilagan inte längre är anställd i företaget eller inte längre har uppgifter som är behäftade med bankförbindelser, ska personens certifikat makuleras. Kundens besökskontor sköter makuleringen och eventuell beställning av ett nytt certifikat. Kunden ska meddela certifikatets användarkod till banken så att certifikatet kan makuleras. Luottokuntas spärrtjänst tar emot begäran om makulering av certifikat utanför bankens öppettider. Kontaktuppgifter till spärrtjänsten: från Finland 020 333, från utlandet +358 20 333. 3.3 Certifikatens utgång och förnyande av dem Kundens certifikat är i kraft i två år och det ska förnyas före giltighetstidens utgång. Bankförbindelseprogrammet ska kontrollera certifikatets giltighetstid och informera användaren om giltighetstidens utgång innan certifikatet går ut. Certifikatet kan förnyas i god tid med bankförbindelseprogrammet om det stöder automatisk nedladdning av certifikat. Det nya certifikatet kan laddas ned genom att digitalt signera certifikatbegäran med det giltiga certifikatet. Om certifikatet redan gått ut kan kunden få en sms-aktiveringskod på kontoret eller hos betalningsrådgivningen. Med denna kod kan certifikatet laddas ned automatiskt eller via webbsidan. December 2011 6

Detta förutsätter dock att ett giltigt mobiltelefonnummer dit aktiveringskoden kan skickas per sms registrerats i kundens Web Services-avtal. 4 Web Services-förbindelsens material 4.1 Material i Nordea Finland Material som hämtas från banken (download-materialtyper) Materialets namn Materialtyp Anmärkning Betalterminaltjänst, material till kortbolag Betalterminaltjänst, returinformation till säljare Custody ISO 15022 instructions fb. Custody ISO 15022 reports Direktdebitering, fullmakter Direktdebitering, returinformation om sändningen E-faktura från filöverföring, fakturor till mottagaren E-faktura till filöverföring, refuserade fakturor till avsändaren Elektroniskt kontoutdrag Elektroniskt kontoutdrag, Nordea Finans Elektroniskt kontoutdrag, XML MPPPALAUTE MPAL CSINXS00L CSREPS00L SVVAL SVPAL HAELASKUT HYLLASKUT TITO FINRACSTL NDCAMT53L Elektroniskt kontoutdrag, XML/eGW NDEGWA53L Corporate egateway för kunder EMV-betalterminaltjänst, hämtning av AID-material EMV-betalterminaltjänst, hämtning av BIN-tabell EMV-betalterminaltjänstens material till kortbolaget EMV-betalterminaltjänstens returinformation till säljaren EMVAID EMVBIN EMVKAIN EMVMPAL Fakturabetalningstjänst, returinformation om sändningen LMPPAL Företagets betalningar, returinformation (XML) NDCORPAYL pain.002.001.02 Förhandsuppgifter om ankommande valutabetalningar. ENNTIED Tillgänglig från finländska konton. Hämtning av EMV-betalterminaltjänstens offentliga nycklar IBAN- konverteringstjänst, returinformation Inkommande referensbetalningar Inkommande referensbetalningar, Nordea Finans EMVJAV FIIBANPAL KTL FINRREFPL Inkommande XML-referensbetalningar/eGW NDEGWD54L Corporate egateway för kunder Elektroniskt kontoutdrag, SWIFT MT940 Innevarande dags saldo, SWIFT MT941 Innevarande dags transaktioner, SWIFT MT942 Kundspecifikt material Löner och pensioner, returinformation om sändningen Mottagarmeddelande Produktionslägesrapport av filöverföring Realtidssaldo Request for Transfer, returinformation från Swift Request for Transfer, returinformation om sändningen Räntematerial Specifikation över ansvarsförbindelser SW940 SW941 SW942 CNFTB000L TSPAL FIB2CVASL INFO SALDO FIRFTSWPL FIRFT000L KORKO HTMVASTEL Man ska separat avtala med banken om ibruktagandet av och innehållet i material. Specifikation över betalda betalningar/egw NDEGWD54L Corporate egateway för kunder Specifikation över säkerheter HTMVAKUEL December 2011 7

Transaktionsutdrag Valutabetalningar, returinformation Valutabetalningar, returinformation Valutakurser mot euro Saldotodistus Inkommande referensbetalningar XML Varoitukset (maksupääte) TATO ULMPPAL VLU2 VKEUR FIEBALSTL NDCAMT54L VARLIKAN/VARLIMUU Material som sänds till banken (upload-materialtyper) Materialets namn Materialtyp Anmärkning Betalterminaltransaktioner från säljaren Custody ISO 15022 instructions Direktdebitering MPP CSINXS00S SV E-faktura till filöverföring LAHLASKUT Teckenuppsättningen ISO 8859-15 används EMV-betalterminaltransaktioner från säljaren Fakturabetalningstjänst Fakturerarmeddelande EMVMPP LMP300 FIB2CLASS Företagets betalningar (XML) NDCORPAYS pain.001.001.02 Företagets betalningar, annulleringar (XML) NDCORCANS pain.006.001.01 Försäljningsfordringar IBAN- konverteringstjänst Kundspecifikt material Löner och pensioner Request for Transfer Valutabetalningar Valutabetalningar FACTORING FIIBANLAS CNFTC000S TS FIRFT000S LUM2 ULMP Man ska separat avtala med banken om ibruktagandet av och innehållet i material. Material i Finland. Övriga länder: GetUserInfo XML-betalningar/eGW NDEGWXMLS Corporate egateway 4.2 Material i Nordea Baltikum Material som hämtas från banken (download-materialtyper) Materialets namn Materialtyp Anmärkning Currency payments (ULMPPAL) feedback FI ULMPPAL Currency payments (VLU2) feedback FI VLU2 Advance notice on currency payments FI ENNTIED Account statement SWIFT MT940 SW940 Account statement SWIFT MT940 HTMBR for printable HTML statements Balance report SWIFT MT941 SW941 Interim transaction report SWIFT MT942 SW942 Baltic domestic payments feedback NEMCT101L Material som sänds till banken (upload-materialtyper) Materialets namn Materialtyp Anmärkning Currency payments (ULMP) FI ULMP Currency payments (LUM2) FI LUM2 Baltic domestic payments NEMCT101S December 2011 8

5 Allmän beskrivning av överföringspraxis Med Web Services-förbindelsen avses förmedling av s.k. sessionless request-reply-meddelanden. Vid Web Services-förbindelsen följer kundens identifieringsuppgifter med i varje enskild förbindelse. Förbindelsen för dataöverföring grundar sig på Web Services-standarden; dvs. sändning och mottagning av XML-struktur enligt SOAP-definitionen (SOAP= WS-förbindelsens standardiserade meddelandeformat). SOAP-meddelandet består av en header och en body-del. Body-delen ska signeras med avsändarens nyckel före sändningen. I varje förbindelse finns ett eget digitalt signerat ApplicationRequest-meddelande med begäran om önskad åtgärd (Command). ApplicationRequest ska alltid signeras av en användare som angetts i avtalet eller med den individuella nyckeln i företagets i certifikat. Ett signerat ApplicationRequest-meddelande ska placeras i SOAP-meddelandets body-del kodad med base64, se bild 1 under punkt 3.1. Begäran om åtgärd (Command) är antingen en sändning av material till banken (UploadFile) eller en begäran om att hämta material (DownloadFile) från banken. Dessutom finns två andra typer av begäran: DownloadFileList, som ger en lista över det material som kan hämtas GetUserInfo, som ger användarspecifika uppgifter (de CM-tjänster som fastställts i avtalet för användaren i fråga). ApplicationRequest riktar sig alltid till någon materialtyp. Fastställ den önskade materialtypen i fältet Filetype. Materialtyperna anges i punkt 4. Vi rekommenderar att kunden gör en GetUserInfo-förfrågan då förbindelsen tas i bruk och kontrollerar att alla önskade tjänster nämns i svaret. Av svarsmeddelandet framgår också materialtypen för varje enskilt material och de kundspecifika identifieringskoderna som hänför sig till materialet. Banken besvarar varje Request-meddelande med ett Response-meddelande. Vid användning av Upload innehåller ApplicationResponse-meddelandet en kvittering på att materialet mottagits eller refuserats. De olika CM-tjänsterna bildar status- eller returmeddelanden enligt sina egna tidtabeller. Observera att ett avsänt material kan refuseras i ett senare skede, t.ex. om täckning saknas på kontot. Felmeddelanden bildas med ett SOAP fault-meddelande då ett ApplicationRequest-meddelande eller en signatur inte har kunnat verifieras. I de flesta fallen anges felets orsak dock i ApplicationResponsemeddelandets informationsinnehåll med en numerisk felkod och ett felmeddelande. På motsvarande sätt besvaras en Download request-begäran genom att returnera det begärda materialet med ett ApplicationResponse-meddelande i dess Content-fält kodat med base64. Om det begärda materialet inte är tillgängligt, omfattar Response-meddelandet ett felmeddelande som klargör saken. Bankens meddelande omfattar också alltid ett ApplicationResponse-meddelande med motsvarande fält som i Request-meddelandet, bl.a. Content med den fil som tas emot. Ett ApplicationResponse-meddelande har alltid signerats digitalt i banken och kunden/kundens program kan kontrollera att meddelandet anlänt från en avtalad part och att det inte ändrats efter att det signerats. En närmare beskrivning av ApplicationRequest-, ApplicationResponse- och SOAP-meddelandenas struktur finns i det engelskspråkiga dokumentet Web Services Security and Communication Description, samt i andra dokument som är tillgängliga på Finansbranschens Centralförbunds webbsidor: www.fkl.fi, se punkt 5.3. 5.1 Att skapa material och sända det till banken Nedan presenteras de olika stegen för att skapa och sända ett meddelande. I regel vidtar bankförbindelseprogrammet dessa åtgärder utan att användaren ser det. Om materialet signeras och sänds med separata program, signeras meddelandet enligt punkterna 1 5 och sänds enligt punkterna 6 8. Se också bild 1 under punkt 3.1 om meddelandenas förbindelse med varandra. December 2011 9

5.1.1 Signering av material 1. Skapa betalningsrörelsematerialet (t.ex. ett Företagets betalningar-material) i företagets system. Komprimera materialet om det är mycket stort (se punkt 5.1.3). Materialet eller det komprimerade materialet ska konverteras med base64-kodning för sändningen. Materialet kallas Payload. 2. Skapa en XML-struktur med namnet ApplicationRequest. 3. Lägg till Payload/materialet i Content-elementet i ApplicationRequest. 4. Signera hela ApplicationRequest digitalt genom att använda ett användar- eller företagsspecifikt certifikat och dess individuella nyckel. Konvertera det signerade materialet till ett base64-kodat format. 5. Överför meddelandet till ett datakommunikationsprogram eller spara det i ett lagringsmedium. 5.1.2 Sändning av material 6. Placera det signerade och base64-kodade ApplicationRequest-meddelandet till body-delen av det nya SOAP-meddelandet och dess ApplicationRequest-fält. 7. Signera SOAP-meddelandet digitalt med den individuella nyckeln i avsändarens certifikat. Nyckeln kan vara samma som ovan nämnda nyckel som användes för att signera ApplicationRequest-meddelandet. 8. Sänd SOAP-meddelandet med WS-protokollet och invänta svar från banken. Kontrollera signaturen i svaret och visa innehållet i ApplicationResponse-meddelandet för användaren. Bankens svar (response) följer ApplicationResponse-meddelandet som definierats i bankernas Web Servicesbeskrivning. I svaret finns en statuskod som uppger att sändningen lyckats (= 0) eller att det uppstått ett fel (> 0). 5.1.3 Datakomprimering Materialet ska komprimeras om det material i XML-format som skickas till banken (t.ex. Företagets betalningar) omfattar flera tiotusentals transaktioner. Komprimeringen ska göras innan materialet signeras och skickas. På så sätt kan materialstorleken minskas betydligt under signerings- och överföringsprocessen. Den övre gränsen för enskilda filer som kan tas emot är 50 megabytes (cirka 50 000 okomprimerade transaktioner). GZIP och PKZIP är kompatibla komprimeringsalgoritmer (bara deflate-algoritmen är kompatibel). Nordea rekommenderar att du använder komprimeringsalgoritmen GZIP. I Compression-elementet i Application Request-meddelanden i komprimerat material ska värdet vara true. I CompressionMethod-elementet ska värdet vara namnet på komprimeringsalgoritmen, t.ex. GZIP. Returinformation på en försändelse av komprimerat material (t.ex. pain.002. vid Företagets betalningarmaterial) uppkommer inte under samma förbindelse. Hämta returinformationen separat senare. Även det material i XML-format som hämtas från banken kan komprimeras. December 2011 10

5.2 Att hämta material från banken Materialet hämtas huvudsakligen såsom beskrivits ovan, men eftersom inget material skickas lämnas Content-fältet bort. Innehållet i fältet Command är GetUserInfo, DownloadFileList eller DownloadFile. Bankens svar (response) följer ApplicationResponse-meddelandet som definierats i bankernas gemensamma Web Services-beskrivning. Ifall man bett om en fil i svaret, finns denna fil base64-kodad i fältet ApplicationResponse/Content. ApplicationResponse-meddelandet har alltid signerats av banken, vilket betyder att kunden/kundens program kan kontrollera att meddelandet sänts av en avtalad part. 5.2.1 Att hämta komprimerat material från banken Materialet kan hämtas som komprimerat. Det är viktigt om fil som ska överföras är mycket stor. Principen är det samma so som att skicka material med att sätta parametrarna. Bara GZIP-algoritm kan användas. 5.3 Tekniska instruktioner för bankförbindelseprogrammet Nordeas Web Services-protokoll beskrivs närmare och mer detaljerat i separata instruktioner. Dessa instruktioner är främst avsedda för företag som producerar bankförbindelseprogram, så att alla egenskaper och säkerhetsegenskaper i Web Services-förbindelsen ska kunna följas noggrant enligt definitionerna. Instruktionerna har indelats i följande klasser (datumet i slutet av filnamnet beskriver den senaste versionen och kan variera): 1. WebServices-Messages-20081022-105.pdf Nordea, OP-Pohjola Group, Sampo Bank: Security and Message Specification for Financial Messages using Web Services, 2008. De finländska bankerna har definierat beskrivningen och på basis av denna är applikationen WS-client kompatibel med tjänster av alla banker som följer denna beskrivning. 2. Web Services Description Language, WSDL Teknisk beskrivning av applikationen WS-client. Denna fil i XML-format är en konfigurationsfil som utarbetats för automatisk hantering av client-applikationen. Filnamnet har formen BankCorporateFileService-ååååmmdd.wsdl, där ååååmmdd anger när versionen uppdaterats. Bankerna har en gemensam WSDL-fil. 3. ApplicationRequest-ååååmmdd.xsd och ApplicationResponse-ååååmmdd.xsd, där ååååmmdd anger när versionen uppdaterats, t.ex. 20080114. Bankerna har gemensamma schema-filer över dessa XML-strukturer. 4. Detta dokument definierar närmare Nordeas krav för användning av WS-förbindelse. 5. Web Services Security and Communication description Beskrivningen definierar noggrant meddelandets struktur vad gäller säkerhetspraxis och innehållet i fälten enligt Nordeas krav. 6. CertificateService_20100219.WSDL Teknisk beskrivning av applikationen WS-client för att hämta certificatet. Dokument 1, 2 och 3 är tillgängliga på Finansbranschens Centralförbunds webbsidor under Security and Message Specification for Financial Messages using Web Services. Dokument 4, 5 och 6 är tillgängliga på Nordeas webbsidor på adressen: www.nordea.fi/webservices/se och www.nordea.fi/ohjelmistotalot. December 2011 11

6 Testning Bankförbindelseprogrammet ska testas före ibruktagandet. Förbindelsetestet utförs i Nordeas produktionsmiljö och vid testningen ska ett särskilt testcertifikat och Nordeas allmänna testkoder användas, se punkt 6.1. Efter att programmet konstaterats vara fungerande och felfritt kan det användas för Web Servicesförbindelse med banken. Användaren behöver inte separat testa WS-förbindelsen. Men det finns ändå skäl att testa Cash Management-material oberoende av förbindelsesätt. Kunden identifieras och användarens rätter övervakas endast på basis av användarens/företagets certifikat. Banken svarar inte för skada som beror på felaktig funktion av bankförbindelseprogram. Innan du börjar testa rekommenderar vi att du tar del av denna tjänstebeskrivning, anvisningen Web Services Security and Communication som är avsedd för programleverantören och testinstruktionerna som finns på våra webbsidor. Beskrivnings- och testningsidorna finns på adressen: http://www.nordea.fi/företag+och+organisationer/betalningar+och+kort/verktyg+och+hjälpemedel/tjä nstebeskrivningar/994822.html 6.1 Testning av förbindelsen med testkoder/-konton När du testar förbindelsen ska du använda ett särskilt testcertifikat (democertifikat) och skriva in ordet PRODUCTION i Environment-fältet i ApplicationRequest-meddelandet. Testcertifikatet och laddningsinstruktioner finns på Nordeas webbsidor på adressen: http://www.nordea.fi/företag+och+organisationer/betalningar+och+kort/verktyg+och+hjälpemedel/tes tning/1135032.html Koder för att testa förbindelsen/ett meddelande: AnvändarID (CustomerID): 11111111 PIN: WSNDEA1234 Kod för materialgruppen vid filöverföring (TargetId): 11111111A1 De servicekoder och betalningskonton som ska användas vid testning av CMtjänst/Betalningsrörelsetjänst anges i beskrivningen av ifrågavarande tjänst som testas. Det finns en separat anvisning för testning av e-fakturor på Nordeas webbplats: Material som skickas kan också bestå av Företagets betalningar (materialtyp NDCORPAYS) som baserar sig på XML-standarden eller annat lokalt material som används i Nordea Finland. Testmaterial som hämtas kan omfatta till exempel returinformation om sändningen av olika CMmaterial, testkontoutdrag (materialtyp camt053 eller TITO) och inkommande referensbetalningar (materialtyp KTL). Observera dock att innehållet i returinformationen alltid är av standardformat för allt betalningsrörelsematerial eller all kontofeedback som kan hämtas med testkoder. Returinformationen gäller inte för det material som du sänt. Betalningsrådgivningen för företag hjälper vid behov i frågor om testning, se punkt 10. December 2011 12

6.2. Testning av material och förbindelsen med kundens egna koder/konton CPS/XML-material som sänds till banken kan testas i produktion med företagets/användarens egna produktionscertifikat, konton och servicekoder. Ordet TEST ska då skrivas i fältet Environment i ApplicationRequest-meddelandet. På motsvarande sätt kan man också avtala med besökskontoret att avtalet om kundens CPS-tjänst sätts i testläge så att inga betalningsuppdrag genomförs. Då testet utförs med produktionskoder kontrollerar bankens system att materialets format och innehåll är korrekta, att alla identifikationsuppgifter är sådana som avtalats och att kundens betalningsrörelseavtal är i sin ordning. Vid testning skapas verklig returinformation (response) om sändningen som visar resultaten av testet. Betalningar registreras inte på kontona och inget kontoutdrag bildas. Egenskapen finns endast i Företagets betalningar/pain-meddelandets version 2. De övriga materialtyperna som sänds förmedlas till betalning oberoende av TEST-parametern! TEST-parametern kan användas i samband med CPS-betalningsuppdrag, endast i version 2. Om texten i fältet Environment inte är TEST, registreras betalningarna i materialet på kontona. 7 Tidtabell Material kan sändas och hämtas dygnet runt alla veckodagar. Tidtabeller för när material som sänds till banken eller hämtas från banken handläggs och är färdiga finns på Nordeas webbsidor www.nordea.fi/föreretag+och+organisationer/betalningar+och+kort/råd+om+betalningar+och+kort/fil överföring/981522.html. Avtala separat om omsändningar och annulleringar av godkänt material med Betalningsrådgivningen för företag. Kontaktuppgifter finns i punkt 10. 8 Adress för Web Services-förbindelsen https://filetransfer.nordea.com/services/corporatefileservice Obs! Små och stora bokstäver har betydelse i adressen ovan. Förbindelsen är alltid SSL-krypterad. 9 PKI-certifikat 9.1 Distribution av certifikat Då parterna avtalar om protokollet ska företagets kontaktperson namnge de personer som har rätt att hämta och sända bankens filöverföringsmaterial med WS-förbindelsen. Varje användare får ett certifikat för digital signering av begäran (ApplicationRequest) före bankförbindelsen. Ofta används dock endast ett företagsspecifikt certifikat med information om allt material som företaget behöver. Vid användning av ett företagsspecifikt certifikat övervakar programmet användarnas användarbefogenheter. I WebServices-kanalen finns en certifikatbegäran som baserar sig på företagets eller användarens avtalsuppgifter och en engångskod, det vill säga aktiveringskoden. Koden skickas per sms till det mobiltelefonnummer som kunden angett och som registrerats i avtalet. Om begäran görs på rätt sätt och godkänns, returneras certifikatet i ett response-meddelande och det kan sparas direkt i bankförbindelseprogrammet. Utöver automatisk nedladdning av certifikat för WS-kanalen är manuell nedladdning av certifikat möjlig December 2011 13

via webbläsaren. sms-aktiveringskoden och andra uppgifter som behövs är desamma som i den automatiska nedladdningen av certifikat. Ett certifikat som hämtats från dessa tjänster kan också förnyas helt automatiskt. För att tjänsten ska kunna användas utan avbrott ska begäran om förnyelse göras före utgången av giltighetstiden för det giltiga certifikatet. Endast en version av certifikatet kan vara giltig åt gången, och därför makuleras det gamla certifikatet automatiskt då certifikatet förnyas. 9.1.1 Automatisk nedladdning Administratörens mobiltelefonnummer registreras i bankens avtalssystem och i samband med att numret registreras får kunden en aktiveringskod på 10 tecken per sms till mobiltelefonnumret i fråga. Textmeddelandet skickas i normala fall under arbetsdagen och koden är giltig i 7 dagar. Vid behov får du en ny aktiveringskod genom att ringa Betalningsrådgivningen för företag eller genom att kontakta Nordeas kontor. Administratören skriver in de uppgifter som finns i WS-avtalet, vilka sedan läggs till i uppgifterna om det undertecknade certifikatet: företagets namn (företagsspecifikt certifikat) eller användarens namn (användarspecifikt certifikat) användarkoden landkoden med två tecken (t.ex. FI) aktiveringskoden i sms:et. Bankförbindelseprogrammet skapar ett nyckelpar och skickar den offentliga nyckeln till banken för signering. Om begäran godkänns, tar programmet emot ett certifikat som det använder vid kommande bankförbindelser. Eventuella gamla certifikat kan inte användas efter detta. Processen beskrivs närmare i instruktionerna för programleverantörerna. Om den första begäran avvisas för att företagets/användarens namn inte är rätt, ska du korrigera felet på basis av uppgifterna i felmeddelandet och göra en ny certifikatbegäran. Använd samma aktiveringskod. Den automatiska certifikatstjänstens adress är https://filetransfer.nordea.com/services/certificateservice. 9.1.2. Manuell nedladdning Certifikatet kan laddas ned till kundens system från Nordeas webbsidor genom att använda webbläsaren (se www.nordea.fi/webservices). De identifieringsuppgifter som behövs vid nedladdningen, såsom namn och användar-id, finns i Web Services-avtalet. Engångskoden för aktiveringen skickas per sms till administratörens mobiltelefonnummer som anges i avtalet. Nedladdningen av certifikat i Windows-miljö sker enligt beskrivningen nedan. Ett nedladdat certifikat kan användas i vilken miljö som helst: Logga in via webbläsaren på tjänstens webbadress för att ladda ned certifikatet (bild 1). Du kan logga in i tjänsten i punkten PKI-certifikat på adressen www.nordea.fi/webservices. Om programmet Nexus Personal Client inte ännu installerats i datorn, ska det installeras via länken på sidan innan certifikatet laddas ned till datorn. Programmet behövs för att certifikaten ska kunna laddas ned tryggt. Programmet Nexus Personal Client behövs endast för nedladdning av certifikatet. Programmet fungerar i Windows-miljö. Fyll i namnet och användarkoden som anges i avtalet. Ange också aktiveringskoden som du fått per sms. Landkoden är i regel FI. Ett undantag utgörs av utländska kunder som har någon annan landkod i avtalet. Ange önskat lösenord för att skydda certifikatet efter att det tagits emot. Lösenordet ska vara säkert för att det ska vara tryggt att använda. För enkla lösenord accepteras inte. Lösenordet December 2011 14

ska anges två gånger. Ladda till sist ned certifikatet via knappen Download certificate. Bild 1 December 2011 15

Om du vill ladda ned certifikatet till en USB-sticka ska du ansluta stickan till datorn innan du trycker på knappen Ladda ned. Programmet ber dig sedan att välja den folder i vilken certifikatet ska laddas ned och ange lösenordet på nytt. I fältet anges samma lösenord som ovan (bild 2 och 3). Bild 2 Bild 3 För att certifikatet ska kunna användas i bankförbindelseprogrammet måste bankförbindelseprogrammet ha tillträde till certifikatfilen. Närmare anvisningar finns i de separata instruktionerna för varje bankförbindelseprogram. Vid behov kan lösenordet bytas i programmet Nexus Personal med PIN-knappen. Vid användning av t.ex. USB-sticka lagras ingen certifikatkopia på hårdskivan. USB-stickan kan också fungera som säkerhetskopia om den förvaras på ett säkert ställe. Om certifikatet temporärt laddats ned på hårdskivan får det av säkerhetsskäl inte lämnas där. Det är ändå skäl att ta en säkerhetskopia och sedan avlägsna kopiorna från hårdskivan och programmet Nexus Personal. Man kan avlägsna programmet Nexus Personal då det inte längre behövs och installera det på nytt vid behov. 9.2 Förnyande av certifikat Ett filbaserat PKI-certifikat som används i Web Services-protokollet är i kraft i två år, medan ett kortcertifikat är giltigt i fem år. Efter att giltighetstiden för certifikatet gått ut kan det inte längre användas för bankförbindelser. Certifikatet ska förnyas innan det går ut. Nordea rekommenderar att ett December 2011 16

nytt certifikat laddas ned minst en månad innan certifikatets giltighetstid upphör. Bankförbindelseprogrammet ska meddela om certifikatets utgång i god tid på förhand. Nordeas Web Services-tjänst har kompletterats med en funktion som övervakar certifikatets giltighetstid och lägger till en anmärkning i SOAP- och ApplicationRequest-meddelandena när certifikatets giltighetstid är mindre än fyra veckor. När response-koden är 0 och den motsvarande texten OK, skrivs anmärkningstexten OK i slutet av meddelandet. I texten anges antalet dagar som finns kvar. Bankförbindelseprogrammen visar inte alltid denna text utan informationen finns i programmets kontaktlogg. När du förnyar ett certifikat, annulleras samtidigt andra certifikat som du hämtat på samma sätt. (Certifikat som laddats ned manuellt genom att logga in i tjänsten med PIN-koden i kuvertet annulleras inte automatiskt, utan sådana certifikat ska vid behov annulleras separat.) Du kan ladda ned ett nytt certifikat om du så önskar, men endast ett certifikat är i kraft åt gången. Om certifikatet redan gått ut ska du beställa en sms-aktiveringskod via Betalningsrådgivningen för företag eller det egna kontoret för att få ett nytt certifikat. Om du signerar begäran om förnyande med det gällande certifikatet kan bankförbindelseprogrammet automatiskt förnya certifikatet. Exempelmaterial och anvisningar finns på adressen www.nordea.fi/ohjelmistotalot. 9.3 Säkerhetsanvisningar Då certifikatet används för digital signering ska det alltid skyddas med lösenordet för certifikatets individuella nyckel. För att förhindra obehörig användning av certifikaten och de tillhörande individuella nycklarna får de aldrig överlåtas till utomstående. Uppdrag som getts med en kunds certifikat betraktas vara givna av kunden. Följaktligen ska kunden skydda certifikatet och datorn inklusive programmen där certifikatet sparats på ett säkert och ändamålsenligt sätt. December 2011 17

10 Rådgivning och stöd 10.1 Rådgivning och stöd Finland Betalningsrådgivning för företag 0200 67210 på finska Öppet bankdagar 8 18, *) korta bankdagar 8 14 Pris 0,11 euro/min. + lna/msa Betalningsrådgivning för företag 0200 67220 på svenska Öppet bankdagar 9-16.30, *) korta bankdagar 9 14 Pris 0,11 euro/min. + lna/msa Betalningsrådgivning för företag 0200 67230 på engelska Öppet bankdagar 9 18, *) korta bankdagar 9 14 Pris 0,11 euro/min. + lna/msa *) nyårsafton och skärtorsdag Detaljerad information om tjänsten finns på www.nordea.fi/webservices/se. Exempelmeddelanden, anvisningar och testningsverktyg för programleverantörer finns på www.nordea.fi/ohjelmistotalot. 10.2 Rådgivning och stöd Estland ebanking Support +372 6283 260 Monday to Friday from 9:00 to 17:00 e-mail: e-banking@nordea.com 10.3 Rådgivning och stöd Lettland Call Center +371 67096096 Monday to Friday from 8:00 to 20:00 Saturday from 9:00 to 18:00 Sunday from 10:00 to 16:00 10.4 Rådgivning och stöd Litauen Information and Help Desk Phone: +370 5 2361 361 or 1554 (local short number) Monday to Friday from 8:00 to 19:00 E-mail: info@nordea.lt December 2011 18