Tjänsten kräver att ni ansluter till Swish säkerhetslösning för att kunna skicka utbetalningar via Swish API. För att skydda Swish API för utbetalningar och säkra identiteten på de som kan kommunicera med API’t så krypteras trafiken, identiteten på kundens och Swish servrar autentiseras samt innehållet i utbetalningen skyddas mot manipulering.
Säkerhetslösningen baseras på digitala certifikat som installeras i er IT-driftsmiljö. Certifikaten är unika per Swish-nummer. För att kunna kommunicera med Swish API behövs två olika certifikat, unika per Swish-nummer;
- ett som säkrar kommunikationen (kommunikationscertifikat)
- ett förändringsskydd som säkrar att ingen manipulerat innehållet i utbetalningen under kommunikationen (signeringscertifikat)
Signeringscertifikatet (2) binder utbetalningen till företaget då ni signerar utbetalningen med er privata nyckel, som endast används i signeringssyfte. Denna signatur verifieras sedan av Swish med er publika nyckel och först därefter genomförs utbetalningen.
Sker anslutning via en Teknisk Leverantör så kan denne använda sitt eget certifikat för kommunikationen (1 ovan). Det andra certifikatet som krävs, signeringscertifikatet (2 ovan), måste dock alltid skapas av en certifikatansvarig person i ert företag, som är listad i avtalet för tjänsten.
Nödvändiga certifikat skapar Certifikatansvariga i en portal hos SwishÖppnas i nytt fönster. Certifikatansvariga loggar in med sitt eget BankID i portalen. Inloggning sker per Swish-nummer eftersom det krävs unika certifikat per Swish-nummer. Certifikatansvariga kan logga in i portalen hos Swish först när ni signerat ert avtal för tjänsten och detta är aktiverat av oss.