nieuws

Gebruik machtigingen en certificaten binnen SBR versimpeld

Geen categorie

Authenticatie en autorisatie binnen Standard Business Reporting wordt versimpeld. Voor de SBR-stromen van de uitvragende overheidspartijen is gebruik van een elektronisch machtigingenregister (AuSP) straks niet meer vereist door de uitvragende partijen, maar nog wel mogelijk indien gewenst door een aanleverende partij.

Ook zal voor nieuwe aansluitende partijen alleen nog maar gewerkt worden met PKI-certificaten van het zekerheidsniveau van PKI Overheid en zal het gebruik van OTP-certificaten op termijn worden uitgefaseerd. In navolging van de uitvragende overheidspartijen hebben de drie grootbanken besloten om te volgen in deze ontwikkelingen. Hiermee is op verzoek van marktpartijen een complicerende factor weggenomen in de aanlevering van grootschalige berichtenstromen in SBR.

SBR zal op termijn gebruik gaan maken van het generieke systeem van eHerkenning. De uitvragende overheidspartijen (Belastingdienst, Kamer van Koophandel en CBS) en uitvragende banken (ABN AMRO, ING en Rabobank, verenigd in het Financiële Rapportage Coöperatief) hebben diverse maatregelen genomen die betrekking hebben op authenticatie (certificaten) en autorisatie (machtigingen).

Op dit moment worden binnen SBR naast PKI Overheidcertificaten ook nog zogenoemde OTP-certificaten gehanteerd. Het toezicht op het uitgifteproces van deze OTP-certificaten wordt onvoldoende toekomstvast geacht. Daarom gaat het SBR-stelsel uitsluitend werken met PKI-certificaten van het zekerheidsniveau van PKI Overheid. De  lijn zal dus zijn dat aanleveraars (dit zijn in de meeste gevallen intermediairs zoals accountants, boekhoudkantoren en leveranciers van portal services), een dergelijk certificaat nodig hebben voor aanleveringen in SBR.

Voor het autorisatieproces, dus het vaststellen en verifiëren van machtigingsrelaties, is besloten dat het voor de huidige SBR-stromen niet meer nodig is om een elektronisch machtigingsregister (Autorisatie Service Provider of AuSP) te gebruiken. Voorheen was het zo dat bij ieder type aanlevering of opvraag bij de Digipoort (de infrastructuur van de uitvragende overheidspartijen) of de Banken Infrastructurele Voorzieningen (BIV) standaard werd geverifieerd bij een AuSP of een bedrijf gemachtigd was om informatie aan te leveren of op te vragen.

Deze situatie wordt anders. Voortaan is het zo dat machtigingen alleen gecontroleerd worden voor de toekomstige stromen waarvan de uitvragende partij, op basis van een risicoanalyse, voorschrijft dat dit nodig is. Wel kunnen de uitvragende partijen achteraf toetsen of de machtiging daadwerkelijk aanwezig was. Voor alle andere situaties is registratie bij een AuSP niet nodig. Het mag uiteraard wel, als de aanleverende partij daarvoor kiest. Bij het niet gebruiken van een AuSP geldt wel dat statusinformatie en mededelingen alleen verstrekt worden aan de partij die het bericht aan de Digipoort of de BIV heeft aangeleverd.

Binnen SBR zal er vanaf nu voor nieuwe aansluitende partijen alleen nog maar gewerkt worden met PKI certificaten van het niveau van PKI Overheid. Partijen die nu gebruik maken van OTP-certificaten, zullen geholpen worden met de omschakeling naar certificaten van het niveau van PKI Overheid. Hierover worden de betreffende partijen geïnformeerd. Daarnaast is het zo dat bij de huidige SBR-stromen de uitvragende partijen geen controle van de machtiging meer uitvoeren tijdens het aanleverproces. Concreet betekent dit dat partijen voor gebruik van SBR binnen de huidige stromen zich niet bij een AuSP hoeven  te registeren, al zijn zij vrij om dit wel te doen. Verwacht wordt dat deze maatregel de SBR-stromen zullen vergroten.

De standaardcontrole van de machtiging is nu in de Digipoort ingebouwd. Om te voorkomen dat berichten die ingestuurd worden zonder machtigingsregistratie een foutmelding krijgen, is er een tijdelijke oplossing beschikbaar. Zij die willen aanleveren kunnen zich registreren bij SBR en kunnen dan toch aanleveren in de Digipoort, zonder AuSP. Wel moet de aanleveraar over een PKI Overheidcertificaat beschikken.

De FRC (ABN AMRO, ING en Rabobank) onderzoekt momenteel hoe zij omgaat met het laten vervallen van de verplichting van AuSP in relatie tot de reeds aangesloten AuSP’s. De BIV dient hierop aangepast te worden. De ontwikkelingen hieromtrent zijn te volgen op rapportageportaal.nl.

(Bron: SBR-NL)

Reageer op dit artikel

Gerelateerde tags

Lees voordat u gaat reageren de spelregels