Artykuły

Projekt RTS zakłada wyłączenia ze stosowania silnego uwierzytelnienia klienta

Marek Chrzanowski | Komisja Nadzoru Finansowego / KNF
Projekt RTS zakłada wyłączenia ze stosowania silnego uwierzytelnienia klienta
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
RTS mają kluczowe znaczenie dla osiągnięcia celów PSD2 dotyczących zwiększenia ochrony konsumentów, promowania innowacji i poprawy bezpieczeństwa usług płatniczych w całej Unii Europejskiej. Dokument określa zasady współpracy między bankami a dostawcami usług dostępu do rachunku płatniczego oraz wymogi w zakresie stosowania silnego uwierzytelnienia klienta.

Dostawcy usług płatniczych będą mieli 18 miesięcy na wdrożenie wymagań RTS po ich wejściu w życie.#MarekChrzanowski#KNF#RTS#PSD2

W dniu 27 listopada br. projekt regulacyjnych standardów technicznych (Regulatory Technical Standards – RTS) dotyczących silnego uwierzytelniania klienta i bezpiecznej komunikacji został opublikowany na stronie internetowej Komisji Europejskiej. Zakłada się, że RTS zostaną przyjęte w pierwszym kwartale 2018 r. i zaczną obowiązywać we wrześniu 2019 r. Obecnie projekt RTS został przedstawiony do konsultacji innym organom Unii Europejskiej, w tym przede wszystkim Parlamentowi Europejskiemu.

Dostawcy usług płatniczych (w tym banki) będą mieli 18 miesięcy na wdrożenie wymagań RTS po ich wejściu w życie. Zgodnie z projektem RTS, każdy dostawca usług płatniczych (np. bank) prowadzący rachunki płatnicze dostępne online, powinien oferować co najmniej jeden interfejs umożliwiający bezpieczną komunikację z dostawcami usług dostępu do rachunku. Z punktu widzenia bezpieczeństwa istotną kwestią jest zapewnienie poufności danych użytkownika usług płatniczych (w tym danych osobowych i spersonalizowanych danych uwierzytelniających, np. login i hasło do bankowości internetowej).

Zagwarantować bezpieczeństwo

Projekt RTS zakłada również wyłączenia ze stosowania silnego uwierzytelnienia klienta, biorąc pod uwagę m.in. dostęp do informacji o rachunku płatniczym bez ujawniania danych wrażliwych, płatności zbliżeniowe do wysokości pewnej kwoty, płatności za transport i parkingi, przelewy do zaufanych beneficjentów na tzw. białych listach, przelewy powtarzalne (stała kwota i odbiorca płatności), transakcje zdalne nisko kwotowe czy też transakcje zdalne w oparciu o analizę ryzyka.

W przypadku wytycznych dotyczących ryzyka operacyjnego i bezpieczeństwa w obszarze usług płatniczych, przewidywana data ich obowiązywania została przewidziana na II kwartał 2018. Wytyczne te określą wymogi, które dostawcy usług płatniczych powinni spełnić, aby ograniczyć ryzyko operacyjne i ryzyko utraty bezpieczeństwa wynikające ze świadczenia usług płatniczych. Obejmują one zarządzanie, w tym ramy zarządzania ryzykiem operacyjnym i bezpieczeństwa, modele zarządzania ryzykiem i kontroli; outsourcing; ocenę ryzyka, w tym identyfikację, klasyfikację i ocenę ryzyka funkcji, procesów i aktywów; ochronę integralności danych, systemów i poufności danych, bezpieczeństwa fizycznego i kontrolę aktywów.

Kompetentny nadzór

Komisja Nadzoru Finansowego kładzie duży nacisk na kwestie bezpieczeństwa sektora finansowego, w tym bankowego, niezależnie od procesów legislacyjnych prowadzonych na poziomie Unii Europejskiej. Również w odniesieniu do rynku usług płatniczych po wdrożeniu PSD2 stosowane będą takie same standardy podejścia nadzorczego. Wszelkie niepokojące działania będą się spotykać z reakcją nadzoru, tak jak to ma miejsce w dotychczasowej praktyce.

Więcej o PSD 2 i RTS w styczniowym numerze „Miesięcznika Finansowego BANK”.