Kröfur vegna öryggis, upplýsingatækni og áhættustýringar

Helstu kröfur

• Viðskiptavinur greiðsluþjónustuveitandans þarf að veita skýlaust samþykki fyrir allar fjárhagslegar aðgerðir.
• Samþykki viðskiptavinar skal vera gerð með sterkri sannvottun (sterka auðkenningu, e. Strong Customer Authentication, SCA), nema í undantekningartilvikum eins og þegar um lágar upphæðir eru að ræða.
• Greiðsluþjónustuveitendur skulu hafa virka áhættustýringu, svo sem varnir gegn fjársvikum.
• Greiðsluþjónustuveitendur skulu hafa starfsábyrgðartryggingu.
• Greiðsluþjónustuveitendur skulu hafa þjónustuvakt sem getur aðstoðað viðskiptavini ef hann lendir í vandræðum, t.d. fjársvikum
• Starfssemi greiðsluþjónustuveitanda með starfsleyfi á Íslandi er undir eftirliti Seðlabanka Íslands sem meðal annars gefur út leiðbeinandi tilmæli um öryggi upplýsingakerfa greiðsluþjónustuveitenda.
• Öryggi upplýsingakerfa greiðsluþjónustuveitenda er árlega tekin út af óháðum aðila og niðurstaða úttektarinnar send til Seðlabankans.
• Á greiðsluþjónustuveitendum er tilkynningaskylda til Seðlabankans um rekstrar og öryggisfrávikum.

Tæknistaðlar

Reglur Seðlabanka Íslands um sterka sannvottun og örugg samskipti milli lánastofnana og þriðju aðila byggja á tæknistöðlum frá EBA. Efni um tæknistaðlana má finna á vef EBA, en staðlana sjálfa má finna á lagavef ESB.

Viðmiðunarreglur EBA og EDPB

Viðmiðunarreglur EBA og EDPB (European Data Protection Board) gefa leiðbeiningar um nánari útfærslu beitingu tæknistaðlanna.

• Viðmiðunarreglur um UT áhættu: Guidelines in ICT and security risk management
• Viðmiðunarreglur um undanþágur frá viðbúnaðarráðstöfunum vegna reglna um örugg samskipti milli lánastofnana og þriðju aðila: Guidelines on the conditions to be met to benefit from an exemption from contingency measures under Article 33(6) of Regulation (EU) 2018/389 (RTS on SCA & CSC)
• Viðmiðunarreglur vegna samspils GDPR og PSD2: Guidelines on the interplay between GDPR and PSD2
• Viðmiðunarreglur varðandi öryggi netgreiðslna: Guidelines on the security of internet payments

Álit EBA vegna innleiðingar tæknistaðalsins

Í álitum EBA er fjallað um helstu álitaefni sem upp hafa komið við innleiðingu og notkun sterkar sannvottunar og öruggra samskipta.

• Álit varðandi innleiðingu tæknistaðla um sterka sannvottun og örugg samskipti: Opinion on the implementation of the RTS on SCA and CSC
• Álit varðandi notkun á eIDAS skilríki vegna tæknistaðlanna: Opinion on the use of eIDAS certificates under RTS on SCACSC
• Álit varðandi hindranir vegna beitingar á undanþágu skv. 32. gr. tæknistaðlanna: Opinion on obstacles under Art 32(s) RTS on SCA&SCS
• Álit varðandi þætti í sterkri sannvottun vegna PSD2: Opinion on the elements of strong customer authentication under PSD2
• Álit varðandi frestun á að beita sterkri auðkenningu vegna rafrænna viðskipta sem byggja á kortaviðskiptum: Opinion on the deadline for the migration to SCA foe e-commerce card-based payment transactions
• Álit á breytingum frá PSD1 umhverfinu í PSD2: EBA Opinion on the transition from PSD1 to PSD2 (EBA-Op-2017-16).pdf (europa.eu)
• Álit varðandi breytingar sem gerðar voru á tæknistöðlunum við samþykktarferlið hjá framkvæmdastjórn ESB: BoS 2017 06 27 - EBA draft opinion on the amended text of the RTS on SCA and CSC 20 June FINAL.docx (europa.eu)

Fyrirspurnartól EBA (Q&A)

Fyrirspurnartól EBA vegna innleiðingar tæknistaðalsins má finna á vef EBA. Þar er fjallað um fjölmörg tæknileg álitaefni sem komið hafa upp í Evrópu vegna PSD2 og hvernig EBA hefur svarað þeim. Sífellt er verið að bæta við svörin og einnig er þar unnt að senda inn eigin spurningar sem óskað er að EBA gefi álit á.

Tækniforskriftir til að samræma samskipti milli aðila innanlands

Innlend fjármálafyrirtæki hafa unnið saman á vettvangi Staðlaráðs til að samræma samskipti sín á milli vegna innleiðingar PSD2. Vinnan byggir á stöðlun frá Berlin Group, en Norðurlöndin hafa öll ákveðið að byggja á þeim staðli við innleiðingu PSD2.