Enhanced PEPPOL i produksjon

«Sikkert som banken» er et velkjent uttrykk, og nettopp sikkerhet er en av de viktigste verdiene for finansbransjen. Med Enhanced PEPPOL bringer vi i samarbeid med det offentlige nå sikkerheten for filoverføringer et stort steg videre og legger til rette for en fremtidig arkitektur basert på sikre løsninger, åpne standarder og åpen kildekode. I desember ble første av i alt fire planlagte såkalte «Proof of Concept» (POC) produksjonssatt, og NAV og DNB ble dermed første kunde og bank ut med å ta løsningen i bruk. Det ble naturlig nok feiret med kake hos Bits.

Prosjekt sikre filoverføringer har vært et samarbeidsprosjekt ledet at Bits og Difi, med deltakere fra en rekke banker, offentlige virksomheter, Commfides, Buypass, leverandører av aksesspunkter og ERP leverandører for å lage en løsning basert på Open PEPPOL, som kan benyttes til å sende betalingsfiler.

Målsetningen var å ta frem en løsning for filoverføringer som tilfredsstiller bransjens krav til sikkerhet og integritet for denne typen informasjon. Dette betyr at filene må kunne sendes signert og kryptert fra avsender til mottaker, og at avsender skal motta kvitteringer underveis fra de ulike «postmottakene» frem til avsender slik at forsendelsen kan spores hele veien til mottak og dekryptering hos mottaker. Dermed er både krav til autentisitet, konfidensialitet, og tilgjengelighet ivaretatt.

Oppstartsmøtet for Nav og DNB ble avholdt 1. mars og programmering ble påbegynt rett før sommerferien 2017. I desember tok altså NAV og DNB for første gang Enhanced PEPPOL i bruk i produksjon.

Vi har her en komplett løsning for sikre filoverføring som består av «byggeklosser». Slik at kunder fritt kan velge mellom ERP system, leverandører av tillitstjenester og aksesspunkt. Filformatet er standard ISO20022, Imidlertid er også ZData engasjert for å finne en løsning også for kunder som ikke enda har tatt i bruk dette formatet. Benytter man den komplette løsningen finnes all øvrig programvare som åpen kildekode. PEPPOL er en EU-løsning som driftes av det offentlige – DIFI for Norges del.

Med Enhanced PEPPOL, som er resultatet av prosjektet, har vi dermed en sikker løsning som åpner for fri konkurranse fra tjenestetilbydere som ønsker å tilby brukere sine løsninger, og som åpner for at alle virksomheter som har behov for å utveksle filer sikkert med sin bank kan ta den i bruk. Det skal være trygt, enkelt og kostnadseffektivt.

Prosjektet representerer et stort løft for sikkerheten, og ambisjonene har vært skyhøye, både når det gjelder kvalitet og tidsbruken. Bits er derfor utrolig fornøyd med at det har vært gjennomført et såpass komplekst prosjekt med mange aktører på under et år.

I gjennomføringen har det vært avholdt statusmøter hver annen uke for de ulike aktørene. I tillegg har mindre arbeidsgrupper vært satt ned for å utarbeide ulike deler av dokumentasjonen. Når prosjektet nå sluttfører sitt arbeid vil leveransen inneholde et sett med krav nedfelt i en rulebook med tilhørende vedlegg. I tillegg vil det lages en «kokebok» for å lette arbeidet med innrullering av nye virksomhetsbrukere.

«Dette har vært et utrolig spennende og morsomt prosjekt å få være en del av» konstaterer Fagsjef i Bits, Nina Lailey. «Deltakerne fra alle de ulike aktørene har vært engasjerte og løsningsorienterte. Alle har samarbeidet og delt informasjon, kompetanse og erfaringer slik at resultatet ble så bra som det har blitt på rekordtid.» Kollega Morten Holter sier seg enig og påpeker at dette på mange måter markerer startskuddet for samarbeidet mellom banker og offentlig forvaltning som videreføres i mer organisert form gjennom DSOP-programmet. «Dette prosjektet viser med all tydelig at vi i samarbeid kan få til gode løsninger på kort tid og uten høye kostnader». Nå gjenstår gjennomføring av de resterende POCene og onboarding av andre som vil ta i bruk denne løsningen. Erlend Klakegg Bergheim fra Difi påpeker at løsningen også vil kunne løse sikringsbehov for andre aktører både i og utenfor finansnæringen. Ut over i første halvår i 2018 vil erfaringene fra POC-arbeidet evalueres, og eventuelt ytterligere behov identifiseres slik at vi kan optimalisere løsningen for å legge til rette for at vi får den optimale arkitekturen på plass for trygge, kostnadseffektive og enkle måter å overføre sensitiv informasjon fra en virksomhet til en annen.

Dag Raaum fra NAV og Atle Johannessen fra DNB er godt fornøyd med å kunne skjære kaken og konstatere at løsningen er i produksjon.