PSD 2 – KIR już ma certyfikaty testowe dla sektora finansowego
Robert Lidke: W przyszłym roku każdy z nas będzie mógł umożliwić tzw. podmiotowi trzeciemu dostęp do swojego rachunku oszczędnościowo-rozliczeniowego w banku. Czy ta operacja będzie bezpieczna z punktu widzenia technicznego?
Elżbieta Włodarczyk, dyrektor Linii biznesowej podpis elektroniczny w KIR:
Tak, gdyż dyrektywa PSD2 przewiduje konieczność zabezpieczenia komunikacji pomiędzy instytucjami płatniczymi w taki sposób, aby zapewnić integralność i autentyczność przekazywanych danych. Oznacza to, że każdy podmiot, wymieniając takie informacje od 2019 roku będzie potrzebował dwóch certyfikatów. Pierwszy z nich to kwalifikowany certyfikat do zabezpieczenia witryn internetowych, wykorzystywany do zestawienia kanału, który zapewni poufność przekazywanych danych. Drugi to kwalifikowany certyfikat pieczęci elektronicznej. Podobnie jak dzisiaj, kiedy wchodzimy na stronę internetową banku, to dane przekazywane pomiędzy nami a bankiem są zabezpieczone zestawionym kanałem SSL-owym. I te certyfikaty będą również służyły temu, aby wszelkie przekazywane dane były zabezpieczone przed dostępem osób trzecich.
Czy to będą inne certyfikaty, od tych których używamy, kiedy kontaktujemy się np. z urzędem skarbowym?
Certyfikaty, które wspomniałam to nowe certyfikaty, które wprowadziło rozporządzenie eIDAS, dodatkowo zawierające dane wymagane przez PSD2. Drugi ze wspomnianych certyfikatów, tj. certyfikat kwalifikowany pieczęci elektronicznej, będzie służył do opatrywania pieczęci zapytań i odpowiedzi wymienianych pomiędzy podmiotami. Warto przypomnieć, że pieczęć elektroniczna jest swojego rodzaju podpisem elektronicznym tyle, że składanym przez osoby prawne, a nie przez osoby fizyczne.
Zobacz i posłuchaj rozmowy na naszym kanale aleBankTV na YouTube albo na końcu artykułu |
Kto będzie mógł się ubiegać o pieczęć elektroniczną? Czy każdy podmiot trzeci będzie mógł taką pieczęć uzyskać?
O te dwa certyfikaty ze specjalnymi danymi wynikającymi ze standardu technicznego związanego z PSD2 będzie mógł się ubiegać tylko i wyłącznie podmiot, który uzyska od krajowego nadzorcy pozwolenie na świadczenia usług wskazanych. W Polsce takim krajowym nadzorcą będzie Komisja Nadzoru Finansowego, która wydając pozwolenie na świadczenie rodzaju usług wskazanych w PSD2 dla danej organizacji płatniczej będzie wydawała specjalne numery rejestrowe. Ten numer rejestrowy będzie umieszczany w wydawanym przez nas certyfikacie po to, aby strony komunikując się ze sobą mogły sprawdzić, że podmiot, który występuje o udostępnienie danych jest rzeczywiście podmiotem upoważnionym do otrzymania konkretnych informacji. W certyfikacie, poza numerem rejestrowym, będzie informacja o tym, kto ten numer nadał. Zatem będzie można sprawdzić – wejść np. na stronę KNF i zweryfikować, czy instytucja, która posługuje się takim certyfikatem, faktycznie jest upoważniona do uzyskania dostępu do danych.
Jest bardzo prawdopodobne, że podmiotami trzecimi będą podmioty zagraniczne. One też będą się legitymowały certyfikatami. Czy to będzie certyfikat uzyskany w Polsce, czy też może to być certyfikat uzyskany np. w Niemczech lub we Francji?
Generalnie dyrektywa PSD2 działa w całej Unii Europejskiej i dotyczy każdego podmiotu. Zatem każdy podmiot będzie musiał posiadać odpowiednie certyfikaty. Może je uzyskać w kraju, w którym prowadzi swoją działalność bądź też może wystąpić do dowolnego kwalifikowanego centrum świadczącego usługi zaufania, działającego na terenie Unii Europejskiej, które ma prawo do wydawania tego rodzaju certyfikatów. Czyli możemy mieć taką sytuację, że podmiot niemiecki wystąpi np. do Krajowej Izby Rozliczeniowej o wydanie certyfikatów na potrzeby komunikacji w ramach PSD2.
Ale nie musi tego robić?
To zależy tylko od niego.
A jeśli np. instytucja z Francji czy z Niemiec wystąpi do banku działającego w Polsce o udostępnienie rachunku klienta, to czy bank będzie zobligowany zaakceptować jego zagraniczny certyfikat?
Tak, jeżeli będzie to właściwy certyfikat kwalifikowany, wydany przez upoważniony podmiot, zawierający wszystkie dane, jakie są wymagane przez PSD2.
Jednak wiarygodność tego certyfikatu bank będzie sprawdzał na stronie nadzorcy niemieckiego lub francuskiego?
Bank będzie musiał odwołać się do strony nadzorcy niemieckiego czy francuskiego po to, aby sprawdzić, czy na pewno w danym momencie ten podmiot, który występuje o dane klienta jest zarejestrowany i czy jest uprawniony do otrzymywania takich informacji.
Kiedy certyfikaty związane z PSD2 będą dostępne?
Jesteśmy gotowi do wydawania certyfikatów testowych na potrzeby banków i organizacji płatniczych, które już w tej chwili przygotowują swoje systemy do obsługi PSD2. Natomiast docelowo będą one potrzebne od marca 2019 roku.