02018R0389 — CS — 25.07.2023 — 001.001
Tento dokument slouží výhradně k informačním účelům a nemá žádný právní účinek. Orgány a instituce Evropské unie nenesou za jeho obsah žádnou odpovědnost. Závazná znění příslušných právních předpisů, včetně jejich právních východisek a odůvodnění, jsou zveřejněna v Úředním věstníku Evropské unie a jsou k dispozici v databázi EUR-Lex. Tato úřední znění jsou přímo dostupná přes odkazy uvedené v tomto dokumentu
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2018/389 ze dne 27. listopadu 2017, kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace (Úř. věst. L 069 13.3.2018, s. 23) |
Ve znění:
|
|
Úřední věstník |
||
Č. |
Strana |
Datum |
||
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2022/2360 ze dne 3. srpna 2022 |
L 312 |
1 |
5.12.2022 |
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2018/389
ze dne 27. listopadu 2017,
kterým se doplňuje směrnice Evropského parlamentu a Rady (EU) 2015/2366, pokud jde o regulační technické normy týkající se silného ověření klienta a společných a bezpečných otevřených standardů komunikace
(Text s významem pro EHP)
KAPITOLA I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Toto nařízení stanoví požadavky, jež musí splňovat poskytovatelé platebních služeb za účelem provádění bezpečnostních opatření, která jim umožňují:
uplatňovat postup silného ověření klienta v souladu s článkem 97 směrnice (EU) 2015/2366;
použít výjimky z uplatňování bezpečnostních požadavků na silné ověření klienta s výhradou stanovených omezených podmínek založených na míře rizika, částce a opakování platební transakce a způsobu platby použitém k jejímu provedení;
chránit důvěrnost a integritu osobních bezpečnostních údajů uživatelů platebních služeb;
stanovit společné a bezpečné otevřené standardy komunikace mezi poskytovateli platebních služeb, kteří vedou účet, poskytovateli služeb iniciování platby, poskytovateli služeb informování o účtu, plátci, příjemci a dalšími poskytovateli platebních služeb v souvislosti s poskytováním a používáním platebních služeb podle hlavy IV směrnice (EU) 2015/2366.
Článek 2
Obecné požadavky na ověření
Tyto mechanismy jsou založeny na analýze platebních transakcí, přičemž se zohlední prvky, jež jsou typické pro uživatele platebních služeb v případě běžného použití osobních bezpečnostních údajů.
Poskytovatelé platebních služeb zajistí, aby mechanismy sledování transakcí zohledňovaly minimálně všechny tyto rizikové faktory:
seznamy vyzrazených nebo odcizených ověřovacích prvků;
částku každé platební transakce;
známé scénáře podvodů při poskytování platebních služeb;
známky napadení malwarem při spojení v rámci postupu ověření;
v případě, že poskytovatel platebních služeb poskytuje zařízení nebo software pro přístup, záznam o použití zařízení nebo softwaru pro přístup poskytnutého uživateli platebních služeb a neobvyklé použití zařízení nebo softwaru pro přístup.
Článek 3
Přezkum bezpečnostních opatření
Poskytovatelé platebních služeb, kteří využívají výjimku stanovenou v článku 18, však podléhají auditu metodiky, modelu a oznámené míry podvodů minimálně jednou ročně. Auditor provádějící tento audit má odborné znalosti v oblasti bezpečnosti informačních technologií a plateb a je funkčně nezávislý na poskytovateli platebních služeb. Během prvního roku používání výjimky podle článku 18 a poté nejméně co tři roky či na žádost příslušného orgánu častěji provede tento audit nezávislý a kvalifikovaný externí auditor.
Celá zpráva je na žádost zpřístupněna příslušným orgánům.
KAPITOLA II
BEZPEČNOSTNÍ OPATŘENÍ PRO UPLATŇOVÁNÍ SILNÉHO OVĚŘENÍ KLIENTA
Článek 4
Ověřovací kód
Ověřovací kód je poskytovatelem platebních služeb akceptován pouze jednou, pokud plátce používá ověřovací kód k on-line přístupu ke svému platebnímu účtu, k iniciování elektronické platební transakce nebo k provedení jakéhokoli úkonu, který by mohl vést k riziku platebního podvodu nebo jiných zneužití, prostřednictvím prostředků komunikace na dálku.
Pro účely odstavce 1 přijmou poskytovatelé platebních služeb bezpečnostní opatření, která zajišťují splnění všech těchto požadavků:
ze sděleného ověřovacího kódu nelze odvodit informace o žádném z prvků uvedených v odstavci 1;
na základě znalosti jiného, dříve vytvořeného ověřovacího kódu nelze vytvořit nový ověřovací kód;
ověřovací kód nelze zfalšovat.
Poskytovatelé platebních služeb zajistí, aby ověření prostřednictvím vytvoření ověřovacího kódu zahrnovalo všechna tato opatření:
pokud ověření za účelem přístupu na dálku, elektronických plateb na dálku a jakýchkoli jiných úkonů, které by mohly vést k riziku platebního podvodu nebo jiných zneužití, provedených prostřednictvím prostředků komunikace na dálku nevytvoří ověřovací kód pro účely odstavce 1, není možné určit, který z prvků uvedených v daném odstavci nebyl správný;
počet neúspěšných, po sobě následujících pokusů o ověření, po jehož překročení jsou úkony uvedené v čl. 97 odst. 1 směrnice (EU) 2015/2366 dočasně nebo trvale zablokovány, nepřekročí v daném časovém období pět;
komunikační spojení jsou chráněna před získáním ověřovacích údajů předávaných během ověřování a před manipulací neoprávněnými stranami v souladu s požadavky stanovenými v kapitole V;
maximální doba nečinnosti plátce po ověření za účelem on-line přístupu k jeho platebnímu účtu nepřesáhne pět minut.
Před trvalým zablokováním je plátce upozorněn.
Je-li blokování trvalé, je stanoven zabezpečený postup, který plátci umožňuje obnovit používání zablokovaných elektronických platebních prostředků.
Článek 5
Dynamické propojení
Pokud poskytovatelé platebních služeb uplatňují silné ověření klienta podle čl. 97 odst. 2 směrnice (EU) 2015/2366, přijmou kromě požadavků stanovených v článku 4 tohoto nařízení rovněž bezpečnostní opatření, která splňují všechny tyto požadavky:
plátce je informován o částce platební transakce a o příjemci;
vytvořený ověřovací kód je specifický pro částku platební transakce a příjemce schváleného plátcem při iniciování transakce;
ověřovací kód akceptovaný poskytovatelem platebních služeb odpovídá původní konkrétní částce platební transakce a totožnosti příjemce schváleného plátcem;
jakákoli změna částky nebo příjemce vede k zneplatnění vytvořeného ověřovacího kódu.
Pro účely odstavce 1 přijmou poskytovatelé platebních služeb bezpečnostní opatření, která zajišťují důvěrnost, pravost a integritu všech těchto údajů:
částky transakce a příjemce během všech fází ověřování;
informací zobrazených plátci během všech fází ověřování, včetně vytvoření, předání a použití ověřovacího kódu.
Pro účely odst. 1 písm. b) se v případě, že poskytovatelé platebních služeb uplatňují silné ověření klienta podle čl. 97 odst. 2 směrnice (EU) 2015/2366, použijí tyto požadavky na ověřovací kód:
ve vztahu ke karetní platební transakci, s ohledem na niž plátce udělil souhlas s přesnou výší peněžních prostředků, jež mají být zablokovány, podle čl. 75 odst. 1 uvedené směrnice, je ověřovací kód specifický pro částku, s ohledem na niž udělil plátce souhlas se zablokováním a kterou plátce schválil při iniciování transakce;
ve vztahu k platebním transakcím, s ohledem na něž plátce udělil souhlas s provedením dávky elektronických platebních transakcí na dálku pro jednoho či více příjemců, je ověřovací kód specifický pro celkovou částku dávky platebních transakcí a pro uvedené příjemce.
Článek 6
Požadavky na prvky z kategorie znalost
Článek 7
Požadavky na prvky z kategorie držení
Článek 8
Požadavky na zařízení a software související s prvky z kategorie inherence
Článek 9
Nezávislost jednotlivých prvků
Pro účely odstavce 2 zahrnují opatření k zmírnění rizika veškeré tyto součásti:
použití odděleného bezpečného prostředí pro provedení prostřednictvím softwaru nainstalovaného ve víceúčelovém zařízení;
mechanismy k zajištění toho, aby software nebo zařízení nebyly pozměněny plátcem nebo třetí stranou;
došlo-li ke změnám, mechanismy k zmírnění jejich důsledků.
KAPITOLA III
VÝJIMKY Z POŽADAVKU NA UPLATNĚNÍ SILNÉHO OVĚŘENÍ KLIENTA
Článek 10
Přístup k informacím o platebním účtu přímo u poskytovatele platebních služeb, který vede účet
Poskytovatelům platebních služeb je umožněno, aby s výhradou dodržení požadavků stanovených v článku 2 neuplatňovali silné ověření klienta, pokud uživatel platebních služeb přistupuje ke svému platebnímu účtu přímo on-line, je-li tento přístup omezen na jednu z níže uvedených položek, aniž by byly sděleny citlivé údaje o platbách:
zůstatek na jednom či více určených platebních účtech;
platební transakce provedené v posledních 90 dnech prostřednictvím jednoho či více určených platebních účtů.
Odchylně od odstavce 1 nejsou poskytovatelé platebních služeb osvobozeni od požadavku na uplatňování silného ověření klienta, je-li splněna jedna z těchto podmínek:
uživatel platebních služeb získává on-line přístup k informacím uvedeným v odstavci 1 poprvé;
od posledního on-line přístupu uživatele platebních služeb k informacím uvedeným v odstavci 1, kdy bylo použito silné ověření klienta, uplynulo více než 180 dnů.
Článek 10a
Přístup k informacím o platebním účtu prostřednictvím poskytovatele služeb informování o účtu
Poskytovatelé platebních služeb nepoužijí silné ověření klienta, pokud uživatel platebních služeb přistupuje ke svému platebnímu účtu on-line prostřednictvím poskytovatele služeb informování o účtu, je-li tento on-line přístup omezen na jednu z níže uvedených položek, aniž by byly sděleny citlivé údaje o platbách:
zůstatek na jednom či více určených platebních účtech;
platební transakce provedené v posledních 90 dnech prostřednictvím jednoho či více určených platebních účtů.
Odchylně od odstavce 1 uplatní poskytovatelé platebních služeb silné ověření klienta, je-li splněna jedna z těchto podmínek:
uživatel platebních služeb získává on-line přístup k informacím uvedeným v odstavci 1 prostřednictvím poskytovatele služeb informování o účtu poprvé;
od posledního on-line přístupu uživatele platebních služeb k informacím uvedeným v odstavci 1 prostřednictvím poskytovatele služeb informování o účtu, kdy bylo použito silné ověření klienta, uplynulo více než 180 dnů.
Článek 11
Bezkontaktní platby v místě prodeje
Poskytovatelům platebních služeb je umožněno, aby s výhradou splnění požadavků stanovených v článku 2 neuplatňovali silné ověření klienta, pokud plátce iniciuje bezkontaktní elektronickou platební transakci, za předpokladu, že jsou splněny tyto podmínky:
jednotlivá částka bezkontaktní elektronické platební transakce nepřesáhne 50 EUR a
kumulativní částka předchozích bezkontaktních elektronických platebních transakcí iniciovaných prostřednictvím platebního prostředku s bezkontaktní funkcí ode dne posledního uplatnění silného ověření klienta nepřesáhne 150 EUR, nebo
počet po sobě následujících bezkontaktních elektronických platebních transakcí iniciovaných prostřednictvím platebního prostředku nabízejícího bezkontaktní funkci ode dne posledního uplatnění silného ověření klienta nepřesáhne pět.
Článek 12
Terminály bez obsluhy pro jízdné a poplatky za parkování
Poskytovatelům platebních služeb je umožněno, aby s výhradou splnění požadavků stanovených v článku 2 neuplatňovali silné ověření klienta, pokud plátce iniciuje elektronickou platební transakci u terminálu bez obsluhy za účelem uhrazení jízdného nebo poplatku za parkování.
Článek 13
Důvěryhodní příjemci
Článek 14
Opakující se transakce
Článek 15
Úhrady mezi účty téže fyzické nebo právnické osoby
Poskytovatelům platebních služeb je umožněno, aby s výhradou splnění požadavků stanovených v článku 2 neuplatňovali silné ověření klienta, pokud plátce iniciuje úhradu v situaci, kdy plátcem a příjemcem je stejná fyzická nebo právnická osoba a oba platební účty jsou vedeny týmž poskytovatelem platebních služeb, který vede účet.
Článek 16
Transakce týkající se malých částek
Poskytovatelům platebních služeb je umožněno, aby neuplatňovali silné ověření klienta, pokud plátce iniciuje elektronickou platební transakci na dálku, za předpokladu, že jsou splněny tyto podmínky:
částka elektronické platební transakce na dálku nepřesáhne 30 EUR a
kumulativní částka předchozích elektronických platebních transakcí na dálku iniciovaných plátcem ode dne posledního uplatnění silného ověření klienta nepřesáhne 100 EUR, nebo
počet předchozích elektronických platebních transakcí na dálku iniciovaných plátcem od posledního uplatnění silného ověření klienta nepřesáhne pět po sobě následujících jednotlivých elektronických platebních transakcí na dálku.
Článek 17
Zabezpečené platební procesy a protokoly společností
Poskytovatelům platebních služeb je umožněno, aby neuplatňovali silné ověření klienta s ohledem na právnické osoby, které iniciují elektronické platební transakce použitím zvláštních platebních procesů nebo protokolů, které jsou zpřístupněny pouze plátcům, kteří nejsou spotřebiteli, pokud se příslušné orgány přesvědčí, že tyto procesy nebo protokoly zaručují úrovně bezpečnosti, které jsou přinejmenším rovnocenné úrovním bezpečnosti stanoveným směrnicí (EU) 2015/2366.
Článek 18
Analýza transakčních rizik
Elektronická platební transakce uvedená v odstavci 1 se pokládá za transakci s nízkou mírou rizika, jsou-li splněny všechny tyto podmínky:
míra podvodů u tohoto druhu transakcí nahlášená poskytovatelem platebních služeb a vypočítaná podle článku 19 je rovnocenná nebo nižší než referenční míry podvodů stanovené v tabulce v příloze pro „elektronické karetní platby na dálku“, resp. „elektronické úhrady na dálku“;
částka transakce nepřesahuje příslušnou prahovou hodnotu pro výjimku stanovenou v tabulce v příloze;
poskytovatelé platebních služeb v důsledku provedené analýzy rizik v reálném čase nezjistili:
neobvyklé výdaje nebo vzorec chování plátce;
neobvyklé informace o zařízení/softwaru plátce pro přístup;
napadení malwarem při spojení v rámci postupu ověření;
známé scénáře podvodů při poskytování platebních služeb;
neobvyklé místo plátce;
vysoce rizikové místo příjemce.
Poskytovatelé platebních služeb, kteří hodlají osvobodit elektronické platební transakce na dálku od požadavku na silné ověření klienta z toho důvodu, že představují nízké riziko, vezmou v úvahu minimálně tyto rizikové faktory:
předchozí strukturu výdajů jednotlivého uživatele platebních služeb;
historii platebních transakcí každého uživatele platebních služeb poskytovatele platebních služeb;
místo plátce a příjemce v době provedení platební transakce v případech, kdy poskytovatel platebních služeb zajišťuje zařízení nebo software pro přístup;
zjištění neobvyklých struktur plateb uživatele platebních služeb ve vztahu k historii jeho platebních transakcí.
V rámci posouzení provedeného poskytovatelem platebních služeb jsou všechny tyto rizikové faktory zahrnuty do ohodnocení rizika každé jednotlivé transakce za účelem určení, zda by měla být konkrétní platba povolena bez silného ověření klienta.
Článek 19
Výpočet míry podvodů
Celková míra podvodů u každého druhu transakcí se vypočítá jako celková hodnota neautorizovaných nebo podvodných transakcí na dálku bez ohledu na to, zda byly peněžní prostředky vráceny, či nikoli, vydělená celkovou hodnotou všech transakcí na dálku u stejného druhu transakcí bez ohledu na to, zda byly ověřeny s použitím silného ověření klienta, nebo provedeny na základě některé z výjimek uvedených v článcích 13 až 18, a to klouzavě na čtvrtletním základě (90 dnů).
Článek 20
Ukončení platnosti výjimek na základě analýzy transakčních rizik
Článek 21
Sledování
K využití výjimek stanovených v článcích 10 až 18 poskytovatelé platebních služeb alespoň čtvrtletně zaznamenávají a sledují pro každý druh platebních transakcí níže uvedené údaje v rozdělení na platební transakce na dálku a ostatní platební transakce neprováděné na dálku:
celkovou hodnotu neautorizovaných nebo podvodných platebních transakcí v souladu s čl. 64 odst. 2 směrnice (EU) 2015/2366, celkovou hodnotu všech platebních transakcí a výslednou míru podvodů, včetně rozdělení na platební transakce iniciované prostřednictvím silného ověření klienta a na základě jednotlivých výjimek;
průměrnou hodnotu transakce, včetně rozdělení na platební transakce iniciované prostřednictvím silného ověření klienta a na základě jednotlivých výjimek;
počet platebních transakcí, kdy byla použita každá z výjimek, a jejich procentní podíl na celkovém počtu platebních transakcí.
KAPITOLA IV
DŮVĚRNOST A INTEGRITA OSOBNÍCH BEZPEČNOSTNÍCH ÚDAJŮ UŽIVATELŮ PLATEBNÍCH SLUŽEB
Článek 22
Obecné požadavky
Pro účely odstavce 1 poskytovatelé platebních služeb zajistí, aby byly splněny všechny tyto požadavky:
osobní bezpečnostní údaje jsou při zobrazení zamaskovány a při zadávání uživatelem platebních služeb během ověřování nejsou čitelné v celém rozsahu;
osobní bezpečnostní údaje v datovém formátu a kryptografické materiály týkající se šifrování osobních bezpečnostních údajů nejsou uchovávány jako nešifrovaný text;
tajné kryptografické materiály jsou chráněny před neoprávněným poskytnutím.
Článek 23
Vytváření a předávání údajů
Poskytovatelé platebních služeb zajistí, aby byly osobní bezpečnostní údaje vytvářeny v bezpečném prostředí.
Poskytovatelé platebních služeb sníží rizika neautorizovaného použití osobních bezpečnostních údajů a zařízení a softwaru pro ověřování po jejich ztrátě, odcizení nebo zkopírování před jejich předáním plátci.
Článek 24
Přiřazení k uživateli platebních služeb
Pro účely odstavce 1 poskytovatelé platebních služeb zajistí, aby byly splněny všechny tyto požadavky:
přiřazení totožnosti uživatele platebních služeb k osobním bezpečnostním údajům a zařízení a softwaru pro ověřování se provádí v bezpečném prostředí v rámci odpovědnosti poskytovatele platebních služeb, jež zahrnuje přinejmenším prostory poskytovatele platebních služeb, internetové prostředí poskytované poskytovatelem platebních služeb nebo jiné podobné bezpečné internetové stránky používané poskytovatelem platebních služeb a jeho služby bankomatu, přičemž se zohlední rizika související se zařízeními a příslušnými prvky používanými v procesu přiřazování, za něž poskytovatel platebních služeb nenese odpovědnost;
přiřazení totožnosti uživatele platebních služeb prostřednictvím prostředků komunikace na dálku k osobním bezpečnostním údajům a zařízení nebo softwaru pro ověřování se provádí pomocí silného ověření klienta.
Článek 25
Poskytování údajů a zařízení a softwaru pro ověřování
Pro účely odstavce 1 uplatňují poskytovatelé platebních služeb přinejmenším všechna tato opatření:
účinné a bezpečné mechanismy poskytování, které zajišťují, aby byly osobní bezpečnostní údaje a zařízení a software pro ověřování poskytnuty oprávněnému uživateli platebních služeb;
mechanismy, které poskytovateli platebních služeb umožňují ověřit pravost softwaru pro ověřování poskytnutého uživateli platebních služeb prostřednictvím internetu;
ujednání, která zajišťují, že pokud k poskytnutí osobních bezpečnostních údajů dochází mimo prostory poskytovatele platebních služeb nebo prostřednictvím prostředků komunikace na dálku:
nemůže neoprávněná strana při poskytování prostřednictvím téhož kanálu získat více než jeden prvek osobních bezpečnostních údajů, zařízení nebo softwaru pro ověřování;
poskytnuté osobní bezpečnostní údaje a zařízení nebo software pro ověřování vyžadují před použitím aktivaci;
ujednání, která zajišťují, že se v případech, kdy je nutno osobní bezpečnostní údaje a zařízení nebo software pro ověřování před prvním použitím aktivovat, tato aktivace uskuteční v bezpečném prostředí v souladu s postupy přiřazování uvedenými v článku 24.
Článek 26
Obnovení osobních bezpečnostních údajů
Poskytovatelé platebních služeb zajistí, aby byly při obnovení nebo opětovné aktivaci osobních bezpečnostních údajů dodrženy postupy pro vytváření, přiřazování a poskytování údajů a zařízení pro ověřování v souladu s články 23, 24 a 25.
Článek 27
Likvidace, deaktivace a zrušení
Poskytovatelé platebních služeb zajistí, aby byly zavedeny účinné procesy pro uplatňování všech těchto bezpečnostních opatření:
bezpečná likvidace, deaktivace nebo zrušení osobních bezpečnostních údajů a zařízení nebo softwaru pro ověřování;
pokud poskytovatel platebních služeb distribuuje opakovaně použitelná zařízení a software pro ověřování, je stanoveno, zdokumentováno a zajištěno bezpečné opětovné použití zařízení nebo softwaru před jeho poskytnutím jinému uživateli platebních služeb;
deaktivace nebo zrušení informací souvisejících s osobními bezpečnostními údaji uchovávanými v systémech a databázích poskytovatele platebních služeb a případně veřejných úložištích.
KAPITOLA V
SPOLEČNÉ A BEZPEČNÉ OTEVŘENÉ STANDARDY KOMUNIKACE
Článek 28
Požadavky na identifikaci
Článek 29
Sledovatelnost
Pro účely odstavce 1 poskytovatelé platebních služeb zajistí, aby komunikační spojení navázané s uživatelem platebních služeb, dalšími poskytovateli platebních služeb a ostatními subjekty, včetně obchodníků, využívalo všechny tyto prvky:
jedinečný identifikátor spojení;
bezpečnostní mechanismy pro podrobné zaznamenání transakce, včetně čísla transakce, časových razítek a všech příslušných údajů o transakci;
časová razítka, která se zakládají na systému jednotného času a jsou synchronizována podle oficiálního časového signálu.
Článek 30
Obecné povinnosti vztahující se na rozhraní pro přístup
Poskytovatelé platebních služeb, kteří vedou účet a kteří nabízejí plátci platební účet, který je přístupný on-line, zavedou přinejmenším jedno rozhraní, které splňuje všechny tyto požadavky:
poskytovatelé služeb informování o účtu, poskytovatelé služeb iniciování platby a poskytovatelé platebních služeb vydávající karetní platební prostředky se mohou identifikovat u poskytovatele platebních služeb, který vede účet;
poskytovatelé služeb informování o účtu mohou bezpečně komunikovat za účelem vyžádání a obdržení informací o jednom či více určených platebních účtech a souvisejících platebních transakcích;
poskytovatelé služeb iniciování platby mohou bezpečně komunikovat za účelem iniciování platebního příkazu z platebního účtu plátce a obdržení veškerých informací o iniciování platební transakce a veškerých informací o provedení platební transakce, k nimž mají přístup poskytovatelé platebních služeb, kteří vedou účet.
Rozhraní splňuje přinejmenším všechny tyto požadavky:
poskytovatel služeb iniciování platby nebo poskytovatel služeb informování o účtu může vydat poskytovateli platebních služeb, který vede účet, pokyn k zahájení ověření na základě souhlasu uživatele platebních služeb;
po celou dobu ověřování jsou navázána a udržována komunikační spojení mezi poskytovatelem platebních služeb, který vede účet, poskytovatelem služeb informování o účtu, poskytovatelem služeb iniciování platby a dotyčným uživatelem platebních služeb;
je zajištěna integrita a důvěrnost osobních bezpečnostních údajů a ověřovacích kódů předaných poskytovatelem služeb iniciování platby nebo poskytovatelem služeb informování o účtu či jejich prostřednictvím.
Poskytovatelé platebních služeb, kteří vedou účet, rovněž zajistí, aby byla zdokumentována technická specifikace všech rozhraní, která stanoví soubor postupů, protokolů a nástrojů, jež poskytovatelé služeb iniciování platby, poskytovatelé služeb informování o účtu a poskytovatelé platebních služeb vydávající karetní platební prostředky potřebují k zajištění interoperability jejich softwaru a aplikací se systémy poskytovatelů platebních služeb, kteří vedou účet.
Poskytovatelé platebních služeb, kteří vedou účet, zpřístupní minimálně a nejméně šest měsíců přede dnem použitelnosti uvedeným v čl. 38 odst. 2, nebo před cílovým datem pro uvedení rozhraní pro přístup na trh, dojde-li k jeho uvedení po dni uvedeném v čl. 38 odst. 2, zdarma na žádost oprávněných poskytovatelů služeb iniciování platby, poskytovatelů služeb informování o účtu a poskytovatelů platebních služeb vydávajících karetní platební prostředky nebo poskytovatelů platebních služeb, kteří požádali příslušné orgány o potřebné povolení, příslušnou dokumentaci a zveřejní shrnutí dokumentace na svých internetových stránkách.
Poskytovatelé platebních služeb zdokumentují mimořádné situace, kdy byly provedeny změny, a zpřístupní dokumentaci na žádost příslušným orgánům.
Prostřednictvím testovacího zařízení však nejsou sdíleny žádné citlivé informace.
Článek 31
Možnosti rozhraní pro přístup
Poskytovatelé platebních služeb, kteří vedou účet, zajistí rozhraní podle článku 30 prostřednictvím vyhrazeného rozhraní nebo tím, že umožní, aby poskytovatelé platebních služeb uvedení v čl. 30 odst. 1 používali rozhraní používaná k ověřování uživatelů platebních služeb poskytovatele platebních služeb, který vede účet, a ke komunikaci s nimi.
Článek 32
Povinnosti týkající se vyhrazeného rozhraní
Článek 33
Nouzová opatření týkající se vyhrazeného rozhraní
Za tímto účelem poskytovatelé platebních služeb, kteří vedou účet, zajistí, aby poskytovatelé platebních služeb uvedení v čl. 30 odst. 1 mohli být identifikováni a mohli využívat postupy ověření, které poskytovatel platebních služeb, který vede účet, poskytl uživateli platebních služeb. Pokud poskytovatelé platebních služeb uvedení v čl. 30 odst. 1 využívají rozhraní uvedené v odstavci 4:
přijmou nezbytná opatření k zajištění toho, aby nezískali přístup k údajům, neukládali ani nezpracovávali údaje pro jiné účely než poskytování služby podle požadavku uživatele platebních služeb;
i nadále dodržují povinnosti vyplývající z čl. 66 odst. 3, resp. čl. 67 odst. 2 směrnice (EU) 2015/2366;
zaznamenávají údaje, k nimž je získán přístup prostřednictvím rozhraní provozovaného poskytovatelem platebních služeb, který vede účet, pro uživatele jeho platebních služeb a na žádost neprodleně předají protokolové soubory svému příslušnému vnitrostátnímu orgánu;
na žádost svému příslušnému vnitrostátnímu orgánu neprodleně řádně odůvodní použití rozhraní, které bylo zpřístupněno uživatelům platebních služeb pro přímý on-line přístup k jejich platebnímu účtu;
náležitě informují poskytovatele platebních služeb, který vede účet.
Po konzultaci s orgánem EBA k zajištění jednotného uplatňování níže uvedených podmínek osvobodí příslušné orgány poskytovatele platebních služeb, kteří vedou účet a kteří se rozhodli používat vyhrazené rozhraní, od povinnosti zavést nouzový mechanismus popsaný v odstavci 4, pokud vyhrazené rozhraní splňuje všechny tyto podmínky:
dodržuje všechny povinnosti vztahující se na vyhrazená rozhraní, jak je stanoveno v článku 32;
bylo navrženo a otestováno v souladu s čl. 30 odst. 5 ke spokojenosti uvedených poskytovatelů platebních služeb;
poskytovatelé platebních služeb je rozsáhle používali po dobu alespoň tří měsíců k nabízení služeb informování o účtu, služeb iniciování platby a k potvrzení disponibility peněžních prostředků pro karetní platby;
veškeré problémy související s vyhrazeným rozhraním byly neprodleně odstraněny.
Článek 34
Certifikáty
Pro účely tohoto nařízení zahrnují kvalifikované certifikáty pro elektronické pečetě nebo pro autentizaci internetových stránek uvedené v odstavci 1 v jazyce obvyklém v oblasti mezinárodních financí další zvláštní atributy ve vztahu k:
úloze poskytovatele platebních služeb, což může být jedna nebo více těchto služeb:
vedení účtu;
iniciování platby;
informování o účtu;
vydávání karetních platebních prostředků;
názvu příslušných orgánů, u nichž je poskytovatel služby zaregistrován.
Článek 35
Zabezpečení komunikačního spojení
Poskytovatelé služeb informování o účtu, poskytovatelé služeb iniciování platby a poskytovatelé platebních služeb vydávající karetní platební prostředky s poskytovatelem platebních služeb, který vede účet, uvedou jednoznačné odkazy na všechny tyto položky:
na jediného uživatele nebo více uživatelů platebních služeb a odpovídající komunikační spojení k rozlišení jednotlivých žádostí od téhož uživatele či uživatelů platebních služeb;
u služeb iniciování platby na jedinečně identifikovanou platební transakci, která byla iniciována;
v případě potvrzení disponibility peněžních prostředků na jedinečně identifikovanou žádost týkající se částky potřebné pro provedení karetní platební transakce.
V případě ztráty důvěrnosti osobních bezpečnostních údajů, které spadají do jejich oblasti působnosti, informují tito poskytovatelé neprodleně uživatele platebních služeb, který je k nim přiřazen, a subjekt, který osobní bezpečnostní údaje vydal.
Článek 36
Výměny údajů
Poskytovatelé platebních služeb, kteří vedou účet, splňují všechny tyto požadavky:
poskytují poskytovatelům služeb informování o účtu stejné informace o určených platebních účtech a souvisejících platebních transakcích, jaké byly zpřístupněny uživateli platebních služeb v případě, že požaduje přímý přístup k informacím o účtu, za předpokladu, že tyto informace neobsahují citlivé údaje o platbách;
neprodleně po obdržení platebního příkazu poskytnou poskytovatelům služeb iniciování platby stejné informace o iniciování a provedení platební transakce, jaké byly poskytnuty nebo zpřístupněny uživateli platebních služeb, je-li transakce iniciována přímo uživatelem platebních služeb;
na žádost neprodleně poskytnou poskytovatelům platebních služeb potvrzení v jednoduché formě „ano“ nebo „ne“ o tom, zda je na platebním účtu plátce k dispozici částka potřebná pro provedení platební transakce.
Pokud poskytovatel platebních služeb, který vede účet, nabízí vyhrazené rozhraní v souladu s článkem 32, umožňuje toto rozhraní předávání oznamovacích zpráv o neočekávaných událostech nebo chybách ze strany poskytovatele platebních služeb, který událost nebo chybu odhalí, ostatním poskytovatelům platebních služeb, kteří se účastní komunikačního spojení.
Poskytovatelé služeb informování o účtu mohou získat přístup k informacím o určených platebních účtech a souvisejících platebních transakcích, které mají k dispozici poskytovatelé platebních služeb, kteří vedou účet, pro účely poskytování služeb informování o účtu v kterémkoli z těchto případů:
požaduje-li aktivně tyto informace uživatel platebních služeb;
pokud uživatel platebních služeb tyto informace aktivně nepožaduje, nejvýše čtyřikrát během 24 hodin, ledaže je mezi poskytovatelem služeb informování o účtu a poskytovatelem platebních služeb, který vede účet, se souhlasem uživatele platebních služeb dohodnuta vyšší četnost.
KAPITOLA VI
ZÁVĚREČNÁ USTANOVENÍ
Článek 37
Přezkum
Aniž je dotčeno ustanovení čl. 98 odst. 5 směrnice (EU) 2015/2366 přezkoumá orgán EBA do 14. března 2021 míry podvodů uvedené v příloze tohoto nařízení a výjimky udělené podle čl. 33 odst. 6 ve vztahu k vyhrazeným rozhraním a případně předloží Komisi návrhy na jejich aktualizace v souladu s článkem 10 nařízení (EU) č. 1093/2010.
Článek 38
Vstup v platnost
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
PŘÍLOHA
|
Referenční míra podvodů (v %) |
|
Prahová hodnota pro výjimku |
Elektronické karetní platby na dálku |
Elektronické úhrady na dálku |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Směrnice Evropského parlamentu a Rady 2013/36/EU ze dne 26. června 2013 o přístupu k činnosti úvěrových institucí a o obezřetnostním dohledu nad úvěrovými institucemi a investičními podniky, o změně směrnice 2002/87/ES a zrušení směrnic 2006/48/ES a 2006/49/ES (Úř. věst. L 176, 27.6.2013, s. 338).