Kröfur vegna upplýsingatækni og áhættustýringar

Ein stærsta breytingin sem PSD2 löggjöfin felur í sér er að hún mun skylda lánastofnanir til að láta af hendi upplýsingar um viðskiptavini sína, hafi viðkomandi viðskiptavinir veitt skýlaust samþykki sitt til þess, til þriðju aðila.  Á þeim grundvelli verður þriðju aðilum heimilt að nýta sér upplýsingar í tengslum við greiðslureikninga neytenda (reikningsupplýsingaþjónustuveitendur / AISP) og/eða veita þeim þjónustu til að virkja greiðslur af reikningum þeirra (greiðsluvirkjendur / PISP). Samkvæmt PSD2 löggjöfinni eiga þriðju aðilar að geta nýtt þetta aðgengi til að veita neytendum greiðsluþjónustu, til að mynda gegnum smáforrit í snjallsíma. Samhliða þessu verða þriðju aðilar að uppfylla kröfur vegna vinnslu persónuupplýsinga með hliðsjón af því hvernig kröfur vegna GDPR og PSD2 hafa verið samræmdar.

Til að tryggja öryggi upplýsinga og gagna munu bæði umræddir þriðju aðilar og aðrir greiðsluþjónustuveitendur þurfa að uppfylla nýjar kröfur um öryggismál og áhættustýringu samkvæmt PSD2 löggjöfinni. Þær kröfur varða bæði sterka sannvottun (Strong Customer Authentication – SCA) vegna framkvæmdar greiðslna og vegna tæknilegra samskipta AISP og PISP við þær lánastofnanir sem halda utan um greiðslureikninga. Þá verða greiðsluþjónustuveitendur að hafa til staðar eftirlitskerfi vegna rekstrar- og öryggisáhættu og bregðast við alvarlegum frávikum, m.a. með tilkynningum til Fjármálaeftirlitsins.

Fjármálaeftirlitið mun gera úttekt á að tæknikröfur séu uppfylltar hjá bæði lánastofnunum og greiðsluþjónustuveitendum áður en heimilt verður að taka þær í notkun. Upplýsingar um kröfurnar sem aðilar þurfa að uppfylla er að finna í eftirtöldum skjölum.

Afleiddar gerðir og álit EBA

Tæknikröfurnar byggja á tæknistöðlum frá ESB sem innleiddar eru með reglum Seðlabanka Íslands. Þær eru síðan útfærðar frekar í viðmiðunarreglum EBA og nánar útskýrðar í álitum EBA vegna algengra álitaefna. Loks hefur EBA gefið út skýringar á efnisatriðum í gegnum spurningar og svör. Seðlabankinn mun jafnframt gefa út eigin spurningar og svör ef tilefni er til og birta á þessari síðu.

Tæknistaðlar

Reglur Seðlabanka Íslands um sterka sannvottun og örugg samskipti milli lánastofnana og þriðju aðila byggja á tæknistöðlum frá EBA. Efni um tæknistaðlana má finna á vef EBA, en staðlana sjálfa má finna á lagavef ESB.

Viðmiðunarreglur EBA og EDPB

Viðmiðunarreglur EBA og EDPB (European Data Protection Board) gefa leiðbeiningar um nánari útfærslu beitingu tæknistaðlanna.

Álit EBA vegna innleiðingar tæknistaðalsins

Í álitum EBA er fjallað um helstu álitaefni sem upp hafa komið við innleiðingu og notkunar sterkar sannvottunar og öruggra samskipta.

Fyrirspurnartól EBA (Q&A)

Fyrirspurnartól EBA  vegna innleiðingar tæknistaðalsins má finna á vef EBA. Þar er fjallað um fjölmörg tæknileg álitaefni sem komið hafa upp í Evrópu vegna PSD2 og hvernig EBA hefur svarað þeim. Sífellt er verið að bæta í svörin og einnig er þar unnt að senda inn eigin spurningar sem óskað er að EBA gefi álit á.

Tækniforskriftir til að samræma samskipti milli aðila innanlands

Innlend fjármálafyrirtæki hafa unnið saman á vettvangi Staðlaráðs til að samræma samskipti sín á milli vegna innleiðingar PSD2. Vinnan byggir á stöðlun frá Berlin Group, en Norðurlöndin hafa öll ákveðið að byggja á þeim staðli við innleiðingu PSD2.

Tækniforskriftir frá Staðlaráði um samræmt API á Íslandi verður unnt að finna á vef Staðlaráðs þegar þeir eru tilbúnir.

Spurningar til Seðlabankans og svör

Fjármálaeftirlitið fær reglulega fyrirspurnir frá innlendum aðilum vegna innleiðingar PSD2 og mun svara þeim með skriflegum hætti ef ekki liggja þegar fyrir svör, t.a.m. í gegnum Fyrirspurnartól EBA (Q&A). Telji eftirlitið að svörin eigi erindi við aðra eftirlitsskylda aðila munu þau verða birt hér.

 

Til baka





Þetta vefsvæði byggir á Eplica