Mitä TUPAS-tunnistautuminen käytännössä tarkoittaa?

|Posted by | Kaikki artikkelit, Pankkiasiointi, Termit
Tags: ,

TUPAS tunnistautuminen

Mitä TUPAS-tunnistautuminen tarkoittaa ja miten se toimii? Nämä ovat hyviä kysymyksiä, sillä nykypäivänä kyseistä tunnistautumistapaa viljellään suomalaisilla verkkosivuilla varsin usein. Skeptisyytesi tai uteliaisuutesi asiaa kohtaan ovat siis hyvinkin tervetulleita. Seuraavaksi selitämme, mitä TUPAS tarkoittaa ja miten se toimii käytännössä.

TUPAS-tunnistautuminen selitettynä

Lyhenne TUPAS tarkoittaa lyhyesti Tunnistuspalvelu Standardia. TUPAS on suomalaisten pankkien kehittämä sähköinen tunnistuspalvelu, jolla varmennetaan verkkokäyttäjän henkilöllisyys. Sen avulla digitaalisia palveluita tarjoava yritys tai yhteisö pystyy tunnistamaan palveluitansa käyttävän asiakkaan. Palvelussa pankki tunnistaa asiakkaansa oman rekisterinsä perusteella käyttämällä vahvaa sähköistä tunnistautumista.

Tavallisten ihmisten keskuudessa TUPAS-tunnistautuminen tunnetaan yksinkertaisesti pankkitunnuksilla tunnistautumiseksi. Tunnistautumiseen tarvitaan yleensä suomalaisen pankin verkkopankkitunnukset sekä avainlukukortti, jossa on kertakäyttöisiä nelinumeroisia tunnuslukuja. Nykyään tunnistautumisen voi tehdä enemmissä määrin myös pankkien mobiilisovelluksilla.

Vertaile pankkipalveluita! Ilmainen ja kattava pankkivertailu!

Tunnisteiden alkuperä on valtion väestörekisterikeskuksen henkilötiedoissa, jolloin ensitunnistus on aiemmin tehty jostakin virallisesta tunnisteesta kuten passista tai henkilökortista. Tunnisteiden hankinnasta ei ole syytä olla huolissaan, sillä jokainen pankki myöntää asiakkailleen tarvittavat tunnisteet.

TUPAS soveltuu enimmäkseen kuluttajille suunnattuihin palveluihin. Joissakin pankeissa on myös mahdollista tunnistaa yritysasiakkaita Y-tunnuksen avulla, mutta kaikki rahoituslaitokset eivät rekisteröi verkkopankkien asiakkaiksi yrityksiä. Kaikilla rahoituslaitoksilla ei kuitenkaan ole yritysasiakkaiden tunnistuspalvelua.

Tunnistautumisen kulku

1. Tunnistautuva asiakas aloittaa palveluntarjoajan palvelun käyttämisen (tietoliikenteen täytyy olla SSL-suojattu).

2. Palvelun käyttäjälle lähetetään tapahtuman yksilöintitiedot sisältävä tunnistuspyyntö. Asiakas voi tällöin tarkistaa pyynnön tiedot ja halutessaan keskeyttää tunnistautumisen.

3. Asiakas painaa pankin tunnistuspalveluun johtavaa nappia. Samalla pankkiin välitetään tunnistuspyyntö, joka sisältää TUPAS-palvelun vaatimat tiedot tapahtumasta ja palveluntarjoajasta.

4. Jos palveluntarjoajan tunnistuspyynnössä ei ilmene virheitä, pankki lähettää asiakkaalle tunnistuspyynnön. Jos pankki havaitsee virheitä tunnistuspyynnössä, se antaa asiakkaalle virheilmoituksen ja asiakas voi peruuttaa tapahtuman.

5. Palvelun käyttäjä tunnistautuu omaan pankkiinsa. Jos tunnistautuminen epäonnistuu, pankki lähettää käyttäjälle virheilmoituksen ja asiakas voi jälleen peruuttaa tunnistautumisen.

6. Jos tunnistautuminen onnistuu, pankki muodostaa vastauksen, joka on käytännössä TUPAS-tunniste. Tällöin palvelun käyttäjä voi joko hyväksyä tai peruuttaa TUPAS-tunnistuksen.

7. Palvelun käyttäjä tarkistaa tunnisteen tiedot ja hyväksyy sen välittämisen palveluntarjoajalle.

8. Palveluntarjoaja varmistaa TUPAS-tunnisteen tiedot ja liittää ne asiakkaan palvelutapahtumaan. Tunniste säilytetään niin kauan kuin palvelutietoja käytetään.

Palvelun turvallisuus

SSL-siirtokäytäntöä käytetään TUPAS-palvelua käyttävien osapuolten välisessä tietoliikenteessä, joten ulkopuoliset tahot eivät pääse käsiksi tietoihin. Palveluntarjoajan täytyy tukea 128 bitin avaimilla tehtyä SSL-salausta palvelinohjelmistollaan. Palveluja käyttävän asiakkaan selaimen ominaisuuksien perusteella määräytyy yhteyden käytössä oleva avainpituus. Lisäksi tunnisteen tiedot sekä tunnistuspyyntö suojataan tiedon eheyden varmistavalla tarkisteella. Tämä tarkoittaa sitä, että asiakas ei pysty muuttamaan tunnisteen tietoja ilman, että pankki tai palveluntarjoaja pystyisi havaitsemaan muutoksia.

Asiakas on kuitenkin loppupäässä vastuussa siitä, etteivät omat pankkitunnukset joudu ulkopuolisten haltuun.

Huomio!

Älä koskaan säilytä pankkitunnuksia ja avainlukukorttia samassa paikassa.

Kritiikkiä

  • TUPAS-tunnistautuminen on sidottu pankin asiakkuutteen, joten kaikki maassa asuvat eivät voi tunnistautua sen avulla
  • Tunnistus pohjautuu pankin asiakkuuteen eikä henkilöön, joten esimerkiksi puolisot voivat mennä tunnistautuessa sekaisin
  • Tunnistustapahtumaa ja sen hyväksyntää ei ole erotettu toisistaan, mikä altistaa väärinkäytöksille
  • Tunnisteella ei voi tehdä virallisia sähköisiä allekirjoituksia, koska se ei ole varmenne

Tiesitkö?

Luottokortti on verkkomaksutapana turvallisempi kuin tilisiirto!

Lähteet: Finanssiala

Hvad tænker du?

Your email address will not be published. Required fields are marked *