ЕБО въвежда нови стандарти за сигурност на платежните услуги
Предизвикателствата, свързани със отбраната на информационните канали и техническите средства, които се употребяват при даването на платежни услуги в една среда, която става все по-сложна за схващане от ползвателите на тези услуги, доведоха до нуждата от основаването на европейски регулации за тази активност. Законодателните начинания във връзка с законността на заплащанията в Европейски Съюз са в няколко аспекта. Най-важните от тях са част от втората инструкция за платежните услуги (PSD 2).
Новите условия, които вкарва втората инструкция за платежните услуги, са свързани с даването на информация по сметка и по иницииране на заплащания от страна на доставчиците на платежни услуги. Става дума за условия в региона на ръководството на опасности, на докладването на произшествия и на така наречен задълбочено определяне на идентичността на клиента. Според ЕБО всички тези условия би трябвало да влязат в действие от 14 септември 2019-а. Именно по отношение на това задълбочено определяне на идентичността на клиента следва да бъдат прилагани специфични регулаторни Технически стандарти и Отворените стандарти за връзка сред доставчиците на платежни услуги.
Например регулаторните Технически стандарти ще обиден всички онлайн интервенции както за иницииране на интервенции, по този начин и за достъп до платежна сметка 9 - това визира небанковите институции, които с PSD 2 получават достъп до пазара на платежни услуги. Тези условия са използвани за всички интервенции от разстояние, при които може да възникне някакъв риск за заплащането или за корист във връзка с транзакцията по време на нейното осъществяване. Документът има два раздела. В първия са самите ограничения за сигурност и за задълбочено определяне на идентичността на клиента и надлежно на персонализираните средства за отбрана. Основният акцент тук е кодът, който се генерира за определяне на идентичността. Той би трябвало да бъде построен върху два или повече детайла, които да открият разнообразни характерности от идентичността на клиента. Включва се и условие за динамично свързване на размера на средствата и техния адресат. Целта е, в случай че някъде по пътя на транзакцията настъпи смяна в някой от тези детайли, тази смяна да бъде отразена в самия код за определяне на идентичността. Целта на всички тези нововъведения е задоволително несъмнено и в детайли да се разпознава лицето, което подрежда заплащането, тъй че доставчикът да е уверен, че това е законният владетел на платежния инструмент или надлежно титулярът на сметката, от която се подрежда заплащането.
Втората част от документа е обвързвана със стандартите за връзка, свързани с достъпа до платежни сметки. Те засягат най-много новите снабдители на платежни услуги по иницииране на заплащания и по даване на информация по сметка. В тези стандарти има условия за идентификация и за проследимост на интервенциите и за засвидетелствуване на еднаквост на уеб-сайтовете, и за сигурност на обмена на данни сред доставчиците на платежни услуги. Разбира се, има и правила за изключване на интервенции от условията за задълбочено определяне на идентичността. Такива да вземем за пример са заплащанията на ПОС-терминал.
Във връзка с PSD 2 са издадени Насоки на ЕБО за докладване на значими произшествия. Те са свързани с нуждата да се построи система за наблюдаване и надзор на активността на доставчиците на платежни услуги. Значимите произшествия се квалифицират като такива по отношение на набор от количествени и качествени критерии. Те включват седем индикатора, като да вземем за пример размер на засегнатите интервенции, брой на засегнатите ползватели на платежни услуги, икономическо влияние или вредите, които би понесъл доставчикът в резултат на възникването на даден случай. В насоката е открит редът, по който се рапортуват тези произшествия към способния органи - в тази ситуация Българска народна банка. Това би трябвало да става в границите на четири часа след установяването им. Ако случаят визира интереса на ползвателите на платежни услуги, доставчикът следва да ги осведоми за този случай, както и за ограниченията, които има намерение да предприеме за обезвреждане на въздействието му. Ако някой снабдител употребява подизпълнител за значими оперативни функционалности, самият снабдител, а не подизпълнителят би трябвало да рапортува за случая. Когато с цел да рапортува за случая е пристигнал в Българска народна банка, тя го изпраща до Европейския банков орган. Има и планувана опция той да се рапортува и на ЕЦБ. Българска народна банка може да рапортува случая и до други национални органи - като полицията или прокуратурата.
Друг аспект са Насоките на ЕБО за ограниченията за сигурност за операционните опасности и за рисковете, свързани със сигурността на платежните услуги. Там е дефиницията за риск за сигурността. Тя е много необятна, само че най-общо включва всеки риск, който произтича от несъответствуващи вътрешни процеси или външни събития, които могат по някакъв метод да повлияят на доставката на платежни услуги. В документа са посочени девет типа насоки, които са много обширни и засягат оценката на риска, вътрешното ръководство на доставчиците на платежни услуги, разнообразни действия, свързани с непрекъсваемостта на работата на доставчиците и връзката им с клиентите. Което визира нуждата потребителите да бъдат обучавани по какъв начин да употребяват средствата за заплащания, които банките им дават. От доставчиците се изисква да основат механизми за ръководство на рисковете и да плануват ограничения за превъзмогването на тези опасности, съобразени с естеството и обсега на услугите, които оферират, и да разполагат с процедури, които да наблюдават и проучват случаите.
Новите условия, които вкарва втората инструкция за платежните услуги, са свързани с даването на информация по сметка и по иницииране на заплащания от страна на доставчиците на платежни услуги. Става дума за условия в региона на ръководството на опасности, на докладването на произшествия и на така наречен задълбочено определяне на идентичността на клиента. Според ЕБО всички тези условия би трябвало да влязат в действие от 14 септември 2019-а. Именно по отношение на това задълбочено определяне на идентичността на клиента следва да бъдат прилагани специфични регулаторни Технически стандарти и Отворените стандарти за връзка сред доставчиците на платежни услуги.
Например регулаторните Технически стандарти ще обиден всички онлайн интервенции както за иницииране на интервенции, по този начин и за достъп до платежна сметка 9 - това визира небанковите институции, които с PSD 2 получават достъп до пазара на платежни услуги. Тези условия са използвани за всички интервенции от разстояние, при които може да възникне някакъв риск за заплащането или за корист във връзка с транзакцията по време на нейното осъществяване. Документът има два раздела. В първия са самите ограничения за сигурност и за задълбочено определяне на идентичността на клиента и надлежно на персонализираните средства за отбрана. Основният акцент тук е кодът, който се генерира за определяне на идентичността. Той би трябвало да бъде построен върху два или повече детайла, които да открият разнообразни характерности от идентичността на клиента. Включва се и условие за динамично свързване на размера на средствата и техния адресат. Целта е, в случай че някъде по пътя на транзакцията настъпи смяна в някой от тези детайли, тази смяна да бъде отразена в самия код за определяне на идентичността. Целта на всички тези нововъведения е задоволително несъмнено и в детайли да се разпознава лицето, което подрежда заплащането, тъй че доставчикът да е уверен, че това е законният владетел на платежния инструмент или надлежно титулярът на сметката, от която се подрежда заплащането.
Втората част от документа е обвързвана със стандартите за връзка, свързани с достъпа до платежни сметки. Те засягат най-много новите снабдители на платежни услуги по иницииране на заплащания и по даване на информация по сметка. В тези стандарти има условия за идентификация и за проследимост на интервенциите и за засвидетелствуване на еднаквост на уеб-сайтовете, и за сигурност на обмена на данни сред доставчиците на платежни услуги. Разбира се, има и правила за изключване на интервенции от условията за задълбочено определяне на идентичността. Такива да вземем за пример са заплащанията на ПОС-терминал.
Във връзка с PSD 2 са издадени Насоки на ЕБО за докладване на значими произшествия. Те са свързани с нуждата да се построи система за наблюдаване и надзор на активността на доставчиците на платежни услуги. Значимите произшествия се квалифицират като такива по отношение на набор от количествени и качествени критерии. Те включват седем индикатора, като да вземем за пример размер на засегнатите интервенции, брой на засегнатите ползватели на платежни услуги, икономическо влияние или вредите, които би понесъл доставчикът в резултат на възникването на даден случай. В насоката е открит редът, по който се рапортуват тези произшествия към способния органи - в тази ситуация Българска народна банка. Това би трябвало да става в границите на четири часа след установяването им. Ако случаят визира интереса на ползвателите на платежни услуги, доставчикът следва да ги осведоми за този случай, както и за ограниченията, които има намерение да предприеме за обезвреждане на въздействието му. Ако някой снабдител употребява подизпълнител за значими оперативни функционалности, самият снабдител, а не подизпълнителят би трябвало да рапортува за случая. Когато с цел да рапортува за случая е пристигнал в Българска народна банка, тя го изпраща до Европейския банков орган. Има и планувана опция той да се рапортува и на ЕЦБ. Българска народна банка може да рапортува случая и до други национални органи - като полицията или прокуратурата.
Друг аспект са Насоките на ЕБО за ограниченията за сигурност за операционните опасности и за рисковете, свързани със сигурността на платежните услуги. Там е дефиницията за риск за сигурността. Тя е много необятна, само че най-общо включва всеки риск, който произтича от несъответствуващи вътрешни процеси или външни събития, които могат по някакъв метод да повлияят на доставката на платежни услуги. В документа са посочени девет типа насоки, които са много обширни и засягат оценката на риска, вътрешното ръководство на доставчиците на платежни услуги, разнообразни действия, свързани с непрекъсваемостта на работата на доставчиците и връзката им с клиентите. Което визира нуждата потребителите да бъдат обучавани по какъв начин да употребяват средствата за заплащания, които банките им дават. От доставчиците се изисква да основат механизми за ръководство на рисковете и да плануват ограничения за превъзмогването на тези опасности, съобразени с естеството и обсега на услугите, които оферират, и да разполагат с процедури, които да наблюдават и проучват случаите.
Източник: banker.bg
КОМЕНТАРИ