PSD2-standard for sikker kommunikation:en balancegang


Europa-Kommissionen offentliggjorde den endelige Regulatory Technical Standard (RTS) om stærk kundeautentificering og fælles sikker kommunikation under det reviderede betalingstjenestedirektiv (PSD2). I denne endelige version bekræftede Kommissionen, at skærmskrabning [1] vil ikke længere være tilladt, når RTS træder i kraft, idet der tages hensyn til bekymringer udtrykt af Den Europæiske Banktilsynsmyndighed (EBA) og andre interessenter vedrørende sikkerhed. Account Servicing Payment Service Providers (ASPSP'er) vil dog stadig være forpligtet til at indføre nødforanstaltninger i tilfælde af utilgængelighed eller under ydeevne af deres dedikerede grænseflader under en kommunikationssession med tredjepartsudbydere (TPP'er).

Nye beredskabsforanstaltninger

I henhold til de opdaterede regler vil ASPSP'er være forpligtet til at gøre de tekniske specifikationer for alle deres kommunikationsgrænseflader, uanset om de er dedikerede eller ej, offentligt tilgængelige og tilbyde, mindst seks måneder før anvendelsesdatoen for RTS, en facilitet, der gør det muligt for betalingstjenesteudbydere at teste grænsefladerne og sikre, at de fungerer korrekt. I tilfælde af dedikerede grænseflader vil ASPSP'er også skulle definere gennemsigtige nøglepræstationsindikatorer og serviceniveaumål, som skal være mindst lige så strenge som dem, der er fastsat for de onlinebetalings- og bankplatforme, som ASPSP'ernes kunder bruger. Nationale kompetente myndigheder (NCA'er) vil stressteste og overvåge ydeevnen af ​​dedikerede grænseflader.

Ud over ovenstående vil ASPSP'er også være forpligtet til at indføre en såkaldt fallback-mekanisme, som TPP'er kan stole på, hvis dedikerede grænseflader er utilgængelige i mere end 30 sekunder, eller hvis de ikke opfyldte de generelle driftskrav, der er fastsat. i RTS.

Som i det tidligere udkast til RTS vil en sådan reservemekanisme bestå i at åbne ASPSP's brugervendte grænseflade som en sikker kommunikationskanal for betalingsinitiering og kontoinformationstjenester. Men, og det er vigtigt, har Kommissionen nu specificeret, at TPP'er, når de anvender reservemuligheden, skal sikre, at de kan identificeres af ASPSP'erne; træffe de nødvendige foranstaltninger for at sikre, at de kun får adgang til, opbevarer eller behandler data, som forbrugeren har givet sit samtykke til; logge de data, de får adgang til, og gøre dem tilgængelige for den relevante nationale konkurrencemyndighed, hvis det anmodes om det; og begrunde brugen af ​​grænsefladen over for NCA efter anmodning.

NCA'er vil i samråd med EBA kunne fritage individuelle ASPSP'er fra at indføre en sådan reservemekanisme, forudsat at deres dedikerede kommunikationsgrænseflader opfylder kvalitetskriterierne defineret af de tekniske standarder. EBA vil være ansvarlig for at sikre, at vurderingen af ​​kvaliteten af ​​dedikerede grænseflader er konsekvent på tværs af medlemsstaterne. Undtagelser vil blive tilbagekaldt af de nationale konkurrencemyndigheder, hvis en dedikeret kommunikationsgrænseflade ikke længere opfylder kvalitetskriterierne i mere end to på hinanden følgende kalenderuger. I dette tilfælde skal reservemekanismen på plads af ASPSP inden for den kortest mulige tidsramme og ikke mere end to måneder.

Balanceret sikkerhed og konkurrence

Kommissionen havde oprindeligt afvist EBA's forslag tidligere i februar om at forbyde brugen af ​​skærmskrabning. Dens bekymring, som blev delt af FinTech-sektoren, var, at et sådant forbud ville efterlade TPP'er i en ulempe i tilfælde, hvor en dedikeret grænseflade svigtede, for mens en bank ville være i stand til at tilbyde sine egne betalingstjenester gennem sine kundevendte grænseflader, ville TPP'er ikke være i stand til at gøre det, før funktionaliteten af ​​den dedikerede grænseflade blev gendannet.

På den anden side ville det at tillade ubegrænset brug af skærmskrabning som en nødforanstaltning indføre en væsentlig sikkerhedsrisiko for ASPSP'er og kunder. Dette skyldes, at TPP'er ville være i stand til at få adgang til enhver information tilgængelig for kunder på deres netbankplatforme, som om de havde de logget ind, hvilket gør det meget vanskeligt eller umuligt for ASPSP'er at identificere TPP'er og begrænse adgangen til kun data, der er tilladt i overensstemmelse med en kundes samtykke.

Derfor havde Kommissionen den lidet misundelsesværdige opgave at udvikle en standard, der kunne forene behovet for at sikre lige vilkår mellem TPP'er og ASPSP'er, med at beskytte forbrugerne og holde betalingstjenester sikre. Den endelige RTS forsøger at gøre det ved at introducere, i det væsentlige, en mere behersket version af skærmskrabning som en fallback-mekanisme – en hvor byrden pålægges TPP'erne for at være i stand til at bevise over for NCA'erne, at de handler i overensstemmelse med PSD2-reglerne , og samtykke opnået fra kunder.

Teori vs. praksis

I princippet opnår dette kompromis en bedre balance mellem sikkerhed og konkurrence, men i praksis kan de nye beredskabsforanstaltninger vise sig at være noget upraktiske at implementere for både virksomheder og nationale konkurrencemyndigheder. De kan også have utilsigtede konsekvenser.

Øgede omkostninger, kompleksitet og fragmentering

Som EBA har bemærket tidligere, vil indførelsen af ​​en fallback-mekanisme sandsynligvis øge omkostningerne for både ASPSP'er og TPP'er, da de bliver nødt til at designe og vedligeholde flere tilslutningsløsninger. Specielt skal TPP'er bygge og vedligeholde forskellige tilslutningsløsninger for hver ASPSP, de ønsker at oprette forbindelse til, for både dedikerede og brugervendte grænseflader. Og selvom TPP'er vil være ansvarlige for at identificere sig selv, skal ASPSP'er stadig opgradere deres brugervendte grænseflader for at gøre dette muligt. Da ASPSP'er ikke kan være sikre på, at de vil blive bevilget en dispensation af deres nationale konkurrencemyndigheder, eller være sikre på, at den ikke vil blive tilbagekaldt med kort varsel, kan de være nødt til at indføre fallback-mekanismen som en forebyggende foranstaltning.

Dette kunne afskrække nogle ASPSP'er fra helt at udvikle dedikerede grænseflader, hvilket igen kunne bremse udviklingen af ​​standardiserede applikationsprogrammeringsgrænseflader og reducere interoperabilitet og konkurrence på markedet. Denne risiko kan øges yderligere af kravet om at offentliggøre tekniske specifikationer og stille testfaciliteter til rådighed for PSP'er mindst seks måneder før anvendelsesdatoen for RTS. Dette reducerer effektivt den tid, ASPSP'er har til at udvikle deres sikre kommunikationsløsninger, med en tredjedel.

Endelig vil overvågning og håndhævelse af disse beredskabsforanstaltninger, herunder stresstest, håndtering af undtagelser og overvågning af dedikerede grænsefladers ydeevne, også udgøre betydelige operationelle udfordringer for de nationale konkurrencemyndigheder og EBA, hvilket vil lægge yderligere pres på deres allerede begrænsede ressourcer.

Næste trin

RTS træder i kraft 18 måneder efter offentliggørelsen i Den Europæiske Unions Tidende. Med forbehold af aftale fra Det Europæiske Råd og Parlamentet, som har tre måneder til at granske den endelige tekst, forventes RTS i øjeblikket at træde i kraft omkring september 2019.

[1] Handlingen ved at bruge et computerprogram til at kopiere data fra et websted uden at skulle identificere sig selv.

Dette indlæg er skrevet af UK  Deloittes Risk Advisory-team og EMEA Center for Regulatory Strategy og blev først offentliggjort på Deloitte Financial Services UK-bloggen.


bankvirksomhed
  1. valutamarkedet
  2. bankvirksomhed
  3. Valutatransaktioner