Odszyfruj RTS. Regulatory Technical Standards do Dyrektywy PSD2 (w pigułce) Przygotuj się do bankowości 4.0

Podobne dokumenty
PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

Dostęp do rachunków płatniczych klientów Blue Media

Bankowość elektroniczna w Centrum Usług Internetowych

BEZPIECZEŃSTWO BANKOWOŚCI KORPORACYJNEJ

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

Zasady bezpiecznego korzystania z bankowości elektronicznej

ZBIÓR DOBRYCH PRAKTYK KORZYSTANIA Z BANKOWOŚCI ELEKTRONICZNEJ

BANK SPÓŁDZIELCZY PA-CO-BANK W PABIANICACH. Jak w bezpieczny i wygodny sposób korzystać z bankowości elektronicznej

Spółka należąca do PKO Bank Polski i

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) NR

Artykuł 2 Niniejsza decyzja wchodzi w życie dwudziestego dnia po jej opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

(Tekst mający znaczenie dla EOG)

Informacja o zmianach w Regulaminie kart kredytowych

przewodnik po płatnościach internetowych dla użytkowników kart płatniczych wydanych przez Euro Bank S.A.

Bezpieczna bankowość efirma24

REGULAMIN KORZYSTANIA Z KART PŁATNICZYCH BANKU POCZTOWEGO S.A. W RAMACH PORTFELI CYFROWYCH

Silne uwierzytelnianie dla klienta instytucjonalnego

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

(Tekst mający znaczenie dla EOG)

Bezpieczna bankowość ekonto24

PSD2, Open Banking Ochrona przed wyłudzeniami. Dariusz Wojtas, Head of Product Management, IMPAQ

REGULAMIN KORZYSTANIA Z SYSTEMU MOBILNA KARTA MIEJSKA KOSZALIN

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

SYNCHRONIZACJA SYSTEMU KSIĘGOWEGO Z BANKIEM

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

Bankowość Mobilna i Internetowa Szybko i prosto. Tradycyjna bankowość w nowoczesnym wydaniu

Ochrona danych osobowych

INSTRUKCJA OBSŁUGI TOKENA WIELOFUNKCYJNEGO

WYKAZ FUNKCJI SERWISÓW AKTYWNY DOSTĘP DO USŁUGI PEKAO24 DLA FIRM

ikasa instrukcja użytkownika dla Klientów nie posiadających zainstalowanej aplikacji

Automatyzacja procesów księgowych w Twojej firmie

Przewodnik 2 Przewodnik po dyrektywie PSD2

BANKOWOŚĆ PRZEDSIĘBIORSTW INSTRUKCJA OBSŁUGI TOKENA W SYSTEMIE MILLENET DLA PRZEDSIĘBIORSTW

CO MOŻNA ZROBIĆ ZA POŚREDNICTWEM Usługi TeleBOŚ? PEŁEN WYKAZ FUNKCJONALNOŚCI

KDBS Bank. Płatności mobilne Blik

MOJA FIRMA PLUS. bankowość elektroniczna dla małych i średnich firm

Asseco IAP Integrated Analytical Platform. asseco.pl

3. Kolejne uruchomienie tokena W celu uruchomienia tokena VASCO DP280 należy przytrzymać przycisk Poweron/Power-off.

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia XXX r.

(Tekst mający znaczenie dla EOG)

(Akty o charakterze nieustawodawczym) DECYZJE

Szczegółowe warunki obsługi Konta Inteligo w kanale mobilnym IKO w Powszechnej Kasie Oszczędności Banku Polskim SA

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

W ZMIENIAJĄCYM SIĘ ŚWIECIE

Wykaz zmian wprowadzany w Regulaminie wydawania i użytkowania kart płatniczych w ING Banku Śląskim S.A. z dniem 3 kwietnia 2017 r.

Instrukcja aktywacji aplikacji Mobile Biznes

INFORMACJA Banku Spółdzielczego w Trzebnicy

Instrukcja użytkowania KB tokena

ikasa instrukcja użytkownika dla Klientów posiadających zainstalowaną aplikację

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) nr / z dnia r.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Bank Spółdzielczy w Suszu Spółdzielcza Grupa Bankowa. Aplikacja mobilna. Nasz Bank. Przewodnik Użytkownika. system operacyjny Android

Aplikacja mobilna Nasz Bank

Instrukcja Obsługi Tokena VASCO DP 280

(Tekst mający znaczenie dla EOG)

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Promotor: dr inż. Krzysztof Różanowski

PROCEDURY LINK4. INSTRUKCJA PŁATNOŚCI KARTĄ, BLIK i TubaPay

Instrukcja dla użytkownika korzystającego z Usługi Moje faktury dla TAURON (dedykowanego Dostawcy usług masowych)

x x x x x2 x2 x x x2 x x x3 x3 x x x3 x x x2 x2 x3 x3

Efektywne przetwarzanie informacji pozyskiwanych z różnych źródeł. Adrian Weremiuk Prezes Zarządu XSystem S.A.

BANKOWOŚĆ PRZEDSIĘBIORSTW

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) / z dnia r.

Wirtualna tożsamość w realnym świecie w obliczu nowych usług zaufania i identyfikacji elektronicznej

KOMUNIKAT dla Klientów Idea Bank SA korzystających z bankowości elektronicznej dla spółek z dnia r.

Silne uwierzytelnianie dla klienta indywidualnego

Informacja o zmianach w Regulaminie otwierania i prowadzenia rachunków bankowych dla osób fizycznych

REGULAMIN KORZYSTANIA Z SYSTEMU MOBILNA KARTA MIEJSKA GNIEZNO

Instrukcja Obsługi Tokena VASCO DP 280

SkyCash Poland S.A. Innowacyjna usługa płatnicza

E-konto bankowe bankowość elektroniczna

Instrukcja Obsługi Tokena VASCO DP 280

elektroniczny środek płatniczy stanowiący narzędzie bieżącego dostępu do pieniędzy zgromadzonych na rachunku oszczędnościowo-rozliczeniowym,

Instrukcja korzystania z systemu bankowości internetowej Volkswagen Bank

INSTRUKCJA OBSŁUGI PEKAOTOKENA DLA UŻYTKOWNIKÓW PEKAO24

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

A8-0126/2 POPRAWKI PARLAMENTU EUROPEJSKIEGO * do wniosku Komisji

INSTRUKCJA DOSTĘPU i OBSŁUGI DO WERSJI DEMONSTRACYJNEJ SERWISU EUROBANK ONLINE DEDYKOWANEGO DLA DOSTAWCÓW USŁUG PSD2

TARYFA PROWIZJI I OPŁAT ZA CZYNNOŚCI BANKOWE I NNE USŁUGI DLA KLIENTÓW INDYWIDUALNYCH I PODMIOTÓW INSTYTUCJONALNYCH W BANKU SPÓŁDZIELCZYM W SUSZU

Płatności mobilne i pieniądz elektroniczny - wyzwania prawne. Konferencja "Innowacyjne usługi płatnicze - prawo i technologia" Paweł Widawski

B A N K S P Ó Ł D Z I E L C Z Y W G R Y B O W I E REGULAMIN

PE-CONS 23/1/16 REV 1 PL

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Popularyzacja podpisu elektronicznego w Polsce

Przewodnik po systemie Antyplagiat dla Użytkownika Indywidualnego

Zwalczanie nadużyć w VAT kierunki działań Komisji Europejskiej Tomasz Michalik

MOJA FIRMA PLUS. bankowość elektroniczna dla małych i średnich firm

Aplikacja Facebook Przelewy Getin Bank

POLITYKA PRYWATNOŚCI

Przewodnik po usługach bankowości internetowej. bswschowa24

API STRESZCZENIE DOKUMENTACJI TECHNICZNEJ. Strona 1 z 8

INSTRUKCJA ZMIANY METODY AUTORYZACJI W SERWISIE KB24

Dyrektywa PSD2 Wprowadzenie do dyskusji 24 listopada 2016r.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

uwzględniając Układ monetarny pomiędzy Unią Europejską a Republiką San Marino z dnia 27 marca 2012 r., w szczególności jego art. 8 ust.

Wybierz roczną prenumeratę wraz z poleceniem zapłaty i zyskaj!

Transkrypt:

Odszyfruj RTS Regulatory Technical Standards do Dyrektywy PSD2 (w pigułce) Przygotuj się do bankowości 4.0

Wejście w życie każdej unijnej dyrektywy finansowej nie jest procesem ani prostym, ani szybkim. To mozolna praca wielu jednostek organizacyjnych, skupiona na dostosowaniu prawa w taki sposób, by wszystkie zainteresowane grupy miały czas zgłosić swoje uwagi i poprawki. Samo ogłoszenie tak ważnej dla całego rynku bankowości i płatności Dyrektywy PSD2 zaledwie rozpoczyna mozolny proces włączania w życie jej postanowień. Aby rządy poszczególnych Państw członkowskich znały szczegółowe wskazówki, dzięki którym będą mogły dostosować lokalne prawo, organy nadzoru UE przygotowują dokument RTS Regulatory Technical Standards, czyli tzw. technikalia do ustawy. Opisują one konkretne przypadki i dają wyjaśnienia dla stosowania tych, a nie innych narzędzi dla zgodności z ustawą. Wraz z zespołem konsultantów APILOGIC, przygotowaliśmy standardy techniczne Dyrektywy PSD2 w formie skróconej, rozumiejąc specyfikę językową i strukturalną dokumentów unijnych. Mamy nadzieję, że nasza publikacja będzie łatwiejsza do przyswojenia, dzięki czemu przyspieszycie Państwo wprowadzanie wytycznych ustawy w swoich organizacjach. Życzę Państwu owocnej lektury! Marcin Parczewski, CEO Inteca i autor rozwiązania APILOGIC

Spis treści I - 4 Czym są RTS? II - 5 RTS finalny projekt standardów technicznych III - 7 Środki bezpieczeństwa w ramach Silnego Uwierzytelniania Klienta (SCA) IV - 10 Wyjątki stosowania Silnego Uwierzytelnienia Klienta (SCA) V - 13 Poufność i integralność danych osobowych użytkowników Odszyfruj RTS Regulatory Technical Standards do Dyrektywy PSD2 (w pigułce)

Czym są RTS? Dyrektywa jest narzędziem legislacyjnym Unii Europejskiej, którego głównym zadaniem jest nakreślenie celów i ogólnych warunków zmiany. Dostosowanie prawa w państwach członkowskich odbywa się już w oparciu o uwarunkowania lokalne, okoliczności prawne właściwe dla danego kraju. Pomagają w tym RTS, czyli standardy techniczne dla dyrektywy. Jak wygląda proces regulacji w usługach finansowych? W prawodawstwie unijnym stosuje się tzw. podejście Lamfalussy ego, umożliwiające elastyczny proces decyzyjny. Obejmuje ono cztery poziomy instytucjonalne: Poziom 1 W celu określenia zasad ramowych, Parlament Europejski i Rada przyjmują podstawowe prawa zaproponowane przez Komisję. Poziom 2 Komisja może przyjąć, dostosować i zaktualizować techniczne środki wykonawcze przy pomocy organów konsultacyjnych złożonych z przedstawicieli krajów UE. Poziom 3 Komitety krajowych organów nadzoru są odpowiedzialne za doradzanie Komisji w przyjmowaniu aktów poziomu 1 i 2 oraz wydawanie wytycznych dotyczących wdrażania przepisów. Poziom 4 Komisja czuwa nad prawidłowym egzekwowaniem przepisów UE przez rządy krajowe. 2

Europejskie organy nadzoru (ESA) Kompetencje tych organów obejmują odpowiedzialność za przygotowanie standardów technicznych - RTS, konkretnej kategorii środków poziomu 2, którą opracowują i przedstawiają Komisji. Europejski Organ Nadzoru Bankowego (EBA) Europejski Organ Nadzoru Giełd i Papierów Wartościowych (ESMA) Europejski Organ Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych (EIOPA) środki poziomu 2 Wiele rozporządzeń i dyrektyw poziomu 1 w dziedzinie usług finansowych (zwanych aktami podstawowymi ) zawiera uprawnienia dotyczące środków poziomu 2, które mają zostać przyjęte przez Komisję w drodze aktów delegowanych, aktów wykonawczych lub środków przewidzianych w poprzedniej procedurze komitetowej Z kontrolą. Środki te są zatwierdzone zgodnie z różnymi procedurami określonymi w odpowiednim akcie podstawowym i mogą podlegać formalnym decyzjom komitetu lub przewidywać niektóre prawa kontrolne Parlamentu Europejskiego i Rady. Traktat lizboński, który wszedł w życie w 2009 r., stworzył obecny system aktów delegowanych i wykonawczych. Akty delegowane, o których mowa w art. 290 Traktatu, stanowią akty uzupełniające lub zmieniające niektóre, inne niż istotne, elementy aktu podstawowego. Akty wykonawcze, o których mowa w art. 291, są stosowane, jeżeli wymagane są jednolite warunki wprowadzania w życie aktów podstawowych. W przypadku, gdy środki poziomu 2 wymagają ekspertyzy ekspertów nadzorczych, w podstawowym akcie można określić, że te środki są standardami technicznymi opartymi na projektach opracowanych przez europejskie organy nadzoru. W grupie środków poziomu 2 są obecne dwa typy standardów: Regulacyjne standardy techniczne (RTS), (przyjmowane przez Komisję w drodze aktu delegowanego) Wykonawcze standardy techniczne (ITS) (przyjmowane w drodze aktu wykonawczego) 3

RTS finalny projekt standardów technicznych Projekt oznacza, że wciąż czekamy na ostateczny kształt wytycznych RTS. Zostaną (najprawdopodobniej jeszcze w 2018 roku) przedstawione do akceptacji Komisji Europejskiej, następnie zbadane przez Parlament Europejski i opublikowane w oficjalnym Dzienniku Ustaw Unii Europejskiej. 20 dni później Regulacja zyska moc prawną. Final Draft on Regulatory Technical Standards Postanowienia ogólne Operatorzy płatności PSP muszą wykorzystywać mechanizmy monitorujące transakcje, które podczas analizy typowych zachowań użytkownika dokonującego transakcji, automatycznie wykrywają próby oszustwa, używając zestawów reguł. Jakie elementy ryzyka transakcji muszą zawierać zestawy? wszelkie brakujące lub złamane elementy uwierzytelniające kwota każdej transakcji znane scenariusze oszustw symptomy obecności złośliwego oprogramowania 4

Jeśli operator płatności PISP zrezygnował z silnego uwierzytelniania SCA powinien nadzorować takie elementy, jak: ścieżki transakcyjne historia operacji (u różnych operatorów) lokalizacja użytkownika lokalizacja urządzenia dostępowego lokalizacja oprogramowania anomalie w ścieżkach transakcyjnych (w relacji do historii transakcji) czas logowania do urządzenia lub oprogramowania nietypowe użycie urządzenia lub oprogramowania obowiązkowe audyty Raz w roku operator ma obowiązek przeprowadzić audyt skuteczności mechanizmów i ich zgodności z aktualną wersją Regulacji. Wyniki audytu muszą być stale dostępne do wglądu organów kontrolnych. 5

PATRZ W PRZYSZŁOŚĆ ODKRYWAJ. ROZWIJAJ. WYPRZEDZAJ. Skontaktuj się z nami i umów prezentację. Otwarte API Bankowe Apilogic jest gotowym rozwiązaniem, które pomoże szybciej osiągnąć zgodność z Dyrektywą PSD2 i Standardami Otwartej Bankowości. Apilogic to najwyższej klasy komponenty technologiczne, które możesz nałożyć na dowolną infrastrukturę. Umów się na prezentację i uzyskaj więcej informacji jeszcze dzisiaj. apilogic.pro

Środki bezpieczeństwa w ramach Silnego Uwierzytelniania Klienta (SCA) Dyrektywa PSD2 nakłada na wszystkie zaangażowane podmioty obowiązek Silnego Uwierzytelniania Klienta (SCA ang. Strong Customer Authentication), co w praktyce oznacza 3-składnikową weryfikację transakcji i jej inicjatora. PSD2: weryfikacja 3-stopniowa Co dokładnie oznacza Silne Uwierzytelnienie Klienta (SCA)? something the user have Coś, co użytkownik posiada, np. telefon komórkowy lub elektroniczny token. Operatorzy płatności PISP muszą zweryfikować, czy nie został przejęty przez osoby nieupoważnione. Pod uwagę należy wziąć również możliwość skopiowania urządzenia czy jego oprogramowania. something the user is Odcisk palca, szablon głosu czy skan tęczówki użytkownika to niemożliwe do skopiowania elementy, klasyfikowane jako coś, czym użytkownik jest. Dostawcy usług płatniczych TPP powinni zapewnić narzędzia biometryczne weryfikujące, że nikt nie podszył się pod użytkownika. something the user knows Element określony jako wiedza (np. kod PIN, hasło dostępu). Operatorzy płatności PSP muszą podjąć szczególne środki ostrożności, by utajnić ten element podczas procesu weryfikacji. Kiedy mamy do czynienia z Silnym Uwierzytelnieniem Klienta, po weryfikacji powinno nastąpić wygenerowanie tokenu - kodu dostępu, który może być użyty do sprawdzenia konta, przeprowadzenia płatności elektronicznej lub każdej innej zdalnej czynności, stanowiącej ryzyko oszustwa czy wyłudzenia. 7

Kod dostępu Sugerowane środki bezpieczeństwa: kod dostępu nie powiązany z elementami SCAQ brak powiązań kodów z poprzednio wygenerowanymi uniemożliwienie sfałszowania kodu ważne! W przypadku, gdy kod nie mógł zostać wygenerowany przez niespełnienie podstawowych wymogów bezpieczeństwa, w ramach Silnego Uwierzytelniania Klienta muszą zostać poprawnie zweryfikowane wszystkie 3 składniki. Komunikacja w ramach autoryzacji powinna być zabezpieczona przed podglądem i dostępem podmiotów nieupoważnionych. Blokada Po 5 nieudanych próbach autoryzacji, narzędzie płatnicze powinno zostać tymczasowo lub permanentnie zablokowane, a ilość prób przed całkowitą blokadą będzie zależna od charakteru operacji i uwzględnionego w nim ryzyka. Użytkownik powinien być wyraźnie ostrzeżony przed całkowitą blokadą! Sesja zweryfikowanego użytkownika wygasa po 5 minutach bez aktywności Co zrobić, kiedy blokada jest już nałożona? Należy udostępnić możliwość wystąpienia o ponowny dostęp do narzędzi płatniczych, w ramach ustanowionej procedury bezpieczeństwa.

Podstawowe środki bezpieczeństwa dla PSP informowanie użytkownika o dostawcy i kwocie transakcji generowanie jednorazowego kodu dostępu zasada: jedna transakcja, jeden kod zmiana kwoty transakcji: nowy kod indywidualny kod transakcji musi zawierać: - sumę płatności w transakcji - dobrze zdefiniowanego odbiorcę Płatności okresowe Stałe polecenia przelewu, gdy dokonywane na rzecz różnych podmiotów, wtedy ważne! Elementy Silnego Uwierzytelnienia Klienta (SCA) powinny być od siebie niezależne, sprawdzane za pomocą środków bezpieczeństwa dla zagwarantowania ich odrębności i stanu, w którym złamanie lub naruszenie jednego z elementów nie wpływa na pozostałe. Gdy uwierzytelniamy z pomocą urządzenia mobilnego: PSP powinien dodatkowo wzmocnić środki bezpieczeństwa, by zminimalizować ryzyko nadużycia oprogramowanie urządzenia powinno mieć osobne środowiska dla różnych stopni weryfikacji każde ryzyko zmian w urządzeniu powinno być monitorowane przez odpowiednie mechanizmy 9

Wyjątki stosowania Silnego Uwierzytelnienia Klienta (SCA) Należy pamiętać o tym, że obciążające sieć mechanizmy uwierzytelniające nie zawsze są konieczne. Dobro i komfort użytkownika ma również swój priorytet. Regulator dopuścił wiele wyjątków od obowiązku 3-stopniowej weryfikacji. Kiedy PSP może zostać zwolniony z obowiązku Silnego Uwierzytelniania? przy sprawdzaniu stanu konta bankowego, i/lub kiedy wykonuje transakcje płatnicze w czasie do 90 dni od ostatniego SCA Wyjątki nie mają zastosowania, gdy: powyższych operacji klient dokonuje po raz pierwszy Silne Uwierzytelnienie było przeprowadzone ponad 90 dni wstecz transakcja jest zbliżeniowa, na kwotę do 50 euro od ostatniego SCA nie przekraczają: 5 kolejnych transakcji & 150 Euro dotyczy płatności za: - parking w terminalach parkingowych - bilety w terminalach transportowy Kiedy jeszcze podczas transakcji nie stosujemy Silnego Uwierzytelniania? gdy odbiorca znajduje się w bazie zapisanych przez użytkownika kontaktów zostało wyznaczonych kilka transakcji na tę samą kwotę do tego samego odbiorcy gdy użytkownik wykonuje przelewy własne w ramach tego samego konta 10

Analiza ryzyka transakcyjnego W ramach dokonywanych transakcji, spełniających wymogi Silnego Uwierzytelnienia, operatorzy płatności są zwolnieni z wymogów silnego uwierzytelnienia, gdy klient zapoczątkowuje transakcję zdalną i jest ona zakwalifikowana jako mało ryzykowna przez mechanizmy bezpieczeństwa. Czynniki ryzyka, brane pod uwagę przez mechanizmy: kwoty progowe wyłączenia dodatkowych zabezpieczeń transakcji (SCA), w zależności od ich wysokości oraz sposobu zawierania transakcji (karta, płatność elektroniczna). Limity są zawarte w poniższej tabeli: Reference Fraud Rate (%) for: ETV Remote card-based payments Credit transfers EUR 500 0.01 0.005 EUR 250 0.06 0.01 EUR 100 0.13 0.015 dane o transakcji muszą być poddane automatycznej analizie w czasie rzeczywistym i na podstawie zestawów reguł przypisane do danego poziomu ryzyka. Transakcja z wyłączeniem SCA nie może przekraczać 500 EUR. Kiedy PSP jest zwolniony z SCA? gdy kwota transakcji nie przekracza 30 Euro suma kwot (maksymalnie 5) transakcji nie przekracza 100 Euro mechanizmy ryzyka ocenią płatność jako mało ryzykowną Co wpływa na ocenę mechanizmów ryzyka? nie zostało wykryte nietypowe zachowanie czy lokalizacja użytkownika nie pojawiły się odstające od normy informacje nie zostało wykryte zagrożenie złośliwym oprogramowaniem nie zostały wykryte scenariusze wyłudzeń 11

Obowiązkiem operatorów płatności PSP jest monitorowanie następujących danych*: (gdy rezygnują z Silnego Uwierzytelniania) całkowita wartość transakcji nieautoryzowanych całkowita wartość wszystkich transakcji wraz ze współczynnikiem oszustw średnia wartość transakcji, z podziałem na dokonywane z SCA i z wyłączeniem SCA ilość transakcji nieautoryzowanych, wraz z danymi o całkowitej liczbie transakcji * dane muszą być przechowywane i dostępne do wglądu dla upoważnionych organów kontrolnych W przypadku, gdy PSP nie spełnia tych wymogów: zostaje zablokowana możliwość wyłączenia SCA dla dokonywanych transakcji ma możliwość odblokowania po spełnieniu wszystkich warunków odblokowanie nastąpi pod warunkiem przesłania raportu do organów kontrolnych ważne! Jeśli kontrole wykażą, że zagrożenie oszustwem bądź wyłudzeniem wzrosło dla tego PSP, mogą wymagać Silnego Uwierzytelniania nawet w przypadkach, gdzie wcześniej było stosowane wyłączenie. 12

Poufność i integralność danych osobowych użytkowników Zarządzanie pieniędzmi niesie ze sobą kwestie bezpieczeństwa, również danych biorących udział w transakcji. Muszą być one silnie chronione i Standardy Techniczne dla nowej dyrektywy określają, jakie są elementy tej ochrony. Niektóre z dotychczas stosowanych (np. hasła SMS) nie będą już zgodne z PSD2. Jakie szczególne środki ochrony danych musi stosować PSP? podczas procesu weryfikacyjnego tylko część danych jest widoczna Dane osobowe u operatora PISP: pełna dokumentacja procesu ochrony danych wzmocnione zabezpieczenie danych w obiegu ograniczenie nieuprawnionego dostępu do uczestniczących w weryfikacji: - danych osobowych - urządzeń - oprogramowania dane bezpieczeństwa nie są przechowywane w formie tekstowej dane są odpowiednio zabezpieczone przed nieuprawnionym dostępem ważne! PSP musi mieć pewność, że dane osobowe, urządzenie i oprogramowanie są bezpiecznie przypisane do i wykorzystywane tylko przez jednego użytkownika. W szczególności należy zabezpieczyć proces połączenia tych elementów w procesie zdalnym obowiązuje wtedy zasada Silnego Uwierzytelnienia 13

Rezygnacja z zabezpieczeń na ryzyko operatora płatności (PSP) jest objęta obowiązkami prowadzenia statystyki kwartalnej, dotyczącej: ilości transakcji nie objętych weryfikacją łącznej sumy tych transakcji wszystkich zarejestrowanych wtedy przypadków nadużyć Podsumowanie Dyrektywa PSD2 wkracza, kiedy rynek nowoczesnych usług finansowych jest już na tyle rozwinięty, że pojawiła się potrzeba uregulowania i uporządkowania kwestii związanych z nimi. Głównie w trosce o bezpieczeństwo i komfort użytkownika. Chociaż standardy techniczne mogą się jeszcze nieznacznie zmienić, zawarty w nich przekaz pozostanie ten sam infrastruktura banku musi zostać otwarta. Nie bez znaczenia pozostaje czas, potrzebny na wdrożenie API i innych technologicznych rozwiązań, nakazywanych ustawą. Dlatego nie warto czekać i już dzisiaj rozpocząć transformację. Potężna ustawa, jaką jest dyrektywa PSD2, ma na celu pobudzenie rynku. W ekonomicznym wyścigu zwycięży ten, kto w porę zajmie dobre miejsce. 13

BĄDŹ LIDEREM INNOWACJI ODKRYJ MOC TWOICH DANYCH! Dowiedz się więcej o APILOGIC Apilogic pomaga łatwo zintegrować Twoje systemy z siecią zewnętrznych dostawców. Skorzystaj z doświadczenia naszych inżynierów i sprawnie przeprowadź swój bank przez cyfrową transformację. Umów się na prezentację i uzyskaj więcej informacji jeszcze dzisiaj. apilogic.pro Otwarte API Bankowe

Rozwiązujemy złożone problemy infrastruktury IT. Wspieramy w zakresie: Architektur korporacyjnych Zarządzania procesami Budowy aplikacji biznesowych Co jest dla nas najważniejsze? Nacisk na wyniki Najwyższą wartością, decydującą o powodzeniu projektu, jest dla nas wynik biznesowy w ujęciu zarówno zysków, jak i oszczędności i czasu wdrożenia. Narzędzia Starannie dobieramy elementy i zestawy oprogramowania w służbie doskonałych projektów i wysokiej jakości produktów informatycznych. Zwinne metodyki Pracujemy według metodyk zwinnych Agile i Scrum, proces wytwarzania oprogramowania wspieramy wypracowanym przez lata autorskim modelem MDE. Doświadczenie Uczestniczyliśmy w pionierskich projektach związanych z cyfrową ewolucją bankowości, od lat współpracujemy z bankami w zakresie technologii informatycznych. Kultura relacji Wierzymy w ogromną wartość dobrych relacji w biznesie i wysokich standardów obsługi klienta. Stoimy na straży efektywnej komunikacji projektowej. Najlepsi partnerzy Współpracujemy z wiodącymi światowymi dostawcami oprogramowania do modelowania procesów, projektowania, budowy czy integracji systemów. Dowiedz się więcej ul. Kościuszki 14 50-038 Wrocław biuro@inteca.pl tel. +48 71 715 60 91

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres