Kröfur vegna upplýsingatækni og áhættustýringar
Ein stærsta breytingin sem PSD2 löggjöfin felur í sér er að hún mun skylda lánastofnanir til að láta af hendi upplýsingar um viðskiptavini sína, hafi viðkomandi viðskiptavinir veitt skýlaust samþykki sitt til þess, til þriðju aðila. Á þeim grundvelli verður þriðju aðilum heimilt að nýta sér upplýsingar í tengslum við greiðslureikninga neytenda (reikningsupplýsingaþjónustuveitendur / AISP) og/eða veita þeim þjónustu til að virkja greiðslur af reikningum þeirra (greiðsluvirkjendur / PISP). Samkvæmt PSD2 löggjöfinni eiga þriðju aðilar að geta nýtt þetta aðgengi til að veita neytendum greiðsluþjónustu, til að mynda gegnum smáforrit í snjallsíma. Samhliða þessu verða þriðju aðilar að uppfylla kröfur vegna vinnslu persónuupplýsinga með hliðsjón af því hvernig kröfur vegna GDPR og PSD2 hafa verið samræmdar.
Til að tryggja öryggi upplýsinga og gagna munu bæði umræddir þriðju aðilar og aðrir greiðsluþjónustuveitendur þurfa að uppfylla nýjar kröfur um öryggismál og áhættustýringu samkvæmt PSD2 löggjöfinni. Þær kröfur varða bæði sterka sannvottun (Strong Customer Authentication – SCA) vegna framkvæmdar greiðslna og vegna tæknilegra samskipta AISP og PISP við þær lánastofnanir sem halda utan um greiðslureikninga. Þá verða greiðsluþjónustuveitendur að hafa til staðar eftirlitskerfi vegna rekstrar- og öryggisáhættu og bregðast við alvarlegum frávikum, m.a. með tilkynningum til Fjármálaeftirlitsins.
Fjármálaeftirlitið mun gera úttekt á að tæknikröfur séu uppfylltar hjá bæði lánastofnunum og greiðsluþjónustuveitendum áður en heimilt verður að taka þær í notkun. Upplýsingar um kröfurnar sem aðilar þurfa að uppfylla er að finna í eftirtöldum skjölum.
Afleiddar gerðir og álit EBA
Tæknikröfurnar byggja á tæknistöðlum frá ESB sem innleiddar eru með reglum Seðlabanka Íslands. Þær eru síðan útfærðar frekar í viðmiðunarreglum EBA og nánar útskýrðar í álitum EBA vegna algengra álitaefna. Loks hefur EBA gefið út skýringar á efnisatriðum í gegnum spurningar og svör. Seðlabankinn mun jafnframt gefa út eigin spurningar og svör ef tilefni er til og birta á þessari síðu.
Tæknistaðlar
Reglur Seðlabanka Íslands um sterka sannvottun og örugg samskipti milli lánastofnana og þriðju aðila byggja á tæknistöðlum frá EBA. Efni um tæknistaðlana má finna á vef EBA, en staðlana sjálfa má finna á lagavef ESB.
Viðmiðunarreglur EBA og EDPB
Viðmiðunarreglur EBA og EDPB (European Data Protection Board) gefa leiðbeiningar um nánari útfærslu beitingu tæknistaðlanna.
- Viðmiðunarreglur um UT áhættu: Guidelines in ICT and security risk management
- Viðmiðunarreglur um undanþágur frá viðbúnaðarráðstöfunum vegna reglna um örugg samskipti milli lánastofnana og þriðju aðila: Guidelines on the conditions to be met to benefit from an exemption from contingency measures under Article 33(6) of Regulation (EU) 2018/389 (RTS on SCA & CSC)
- Viðmiðunarreglur vegna samspils GDPR og PSD2: Guidelines on the interplay between GDPR and PSD2
- Viðmiðunarreglur varðandi öryggi netgreiðslna: Guidelines on the security of internet payments
Álit EBA vegna innleiðingar tæknistaðalsins
Í álitum EBA er fjallað um helstu álitaefni sem upp hafa komið við innleiðingu og notkunar sterkar sannvottunar og öruggra samskipta.
- Álit varðandi innleiðingu tæknistaðla um sterka sannvottun og örugg samskipti: Opinion on the implementation of the RTS on SCA and CSC
- Álit varðandi notkun á eIDAS skilríki vegna tæknistaðlanna: Opinion on the use of eIDAS certificates under RTS on SCACSC
- Álit varðandi hindranir vegna beitingar á undanþágu skv. 32. gr. tæknistaðlanna: Opinion on obstacles under Art 32(s) RTS on SCA&SCS
- Álit varðandi þætti í sterkri sannvottun vegna PSD2: Opinion on the elements of strong customer authentication under PSD2
- Álit varðandi frestun á að beita sterkri auðkenningu vegna rafrænna viðskipta sem byggja á kortaviðskiptum: Opinion on the deadline for the migration to SCA foe e-commerce card-based payment transactions
- Álit á breytingum frá PSD1 umhverfinu í PSD2: EBA Opinion on the transition from PSD1 to PSD2 (EBA-Op-2017-16).pdf (europa.eu)
- Álit varðandi breytingar sem gerðar voru á tæknistöðlunum við samþykktarferlið hjá framkvæmdastjórn ESB: BoS 2017 06 27 - EBA draft opinion on the amended text of the RTS on SCA and CSC 20 June FINAL.docx (europa.eu)
Fyrirspurnartól EBA (Q&A)
Fyrirspurnartól EBA vegna innleiðingar tæknistaðalsins má finna á vef EBA. Þar er fjallað um fjölmörg tæknileg álitaefni sem komið hafa upp í Evrópu vegna PSD2 og hvernig EBA hefur svarað þeim. Sífellt er verið að bæta í svörin og einnig er þar unnt að senda inn eigin spurningar sem óskað er að EBA gefi álit á.
Tækniforskriftir til að samræma samskipti milli aðila innanlands
Innlend fjármálafyrirtæki hafa unnið saman á vettvangi Staðlaráðs til að samræma samskipti sín á milli vegna innleiðingar PSD2. Vinnan byggir á stöðlun frá Berlin Group, en Norðurlöndin hafa öll ákveðið að byggja á þeim staðli við innleiðingu PSD2.
Tækniforskriftir frá Staðlaráði um samræmt API á Íslandi verður unnt að finna á vef Staðlaráðs þegar þeir eru tilbúnir.