This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230912
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: Komission delegoitu asetus (EU) 2018/389, annettu 27 päivänä marraskuuta 2017, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla (ETA:n kannalta merkityksellinen teksti)ETA:n kannalta merkityksellinen teksti
Komission delegoitu asetus (EU) 2018/389, annettu 27 päivänä marraskuuta 2017, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla (ETA:n kannalta merkityksellinen teksti)ETA:n kannalta merkityksellinen teksti
02018R0389 — FI — 12.09.2023 — 002.001
Tämä asiakirja on ainoastaan dokumentoinnin apuväline eikä sillä ole oikeudellista vaikutusta. Unionin toimielimet eivät vastaa sen sisällöstä. Säädösten todistusvoimaiset versiot on johdanto-osineen julkaistu Euroopan unionin virallisessa lehdessä ja ne ovat saatavana EUR-Lexissä. Näihin virallisiin teksteihin pääsee suoraan tästä asiakirjasta siihen upotettujen linkkien kautta.
KOMISSION DELEGOITU ASETUS (EU) 2018/389, annettu 27 päivänä marraskuuta 2017, Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla (ETA:n kannalta merkityksellinen teksti) (EUVL L 069 13.3.2018, s. 23) |
Muutettu:
|
|
Virallinen lehti |
||
N:o |
sivu |
päivämäärä |
||
KOMISSION DELEGOITU ASETUS (EU) 2022/2360, annettu 3 päivänä elokuuta 2022, |
L 312 |
1 |
5.12.2022 |
|
KOMISSION DELEGOITU ASETUS (EU) 2023/1650, annettu 15 päivänä toukokuuta 2023, |
L 208 |
1 |
23.8.2023 |
KOMISSION DELEGOITU ASETUS (EU) 2018/389,
annettu 27 päivänä marraskuuta 2017,
Euroopan parlamentin ja neuvoston direktiivin (EU) 2015/2366 täydentämisestä asiakkaan vahvaa tunnistamista sekä yhteisiä ja turvallisia avoimia viestintästandardeja koskevilla teknisillä sääntelystandardeilla
(ETA:n kannalta merkityksellinen teksti)
I LUKU
YLEISET SÄÄNNÖKSET
1 artikla
Kohde
Tässä asetuksessa vahvistetaan vaatimukset, jotka maksupalveluntarjoajien on täytettävä sellaisten turvatoimenpiteiden täytäntöön panemiseksi, joiden avulla ne voivat toteuttaa seuraavat toimet:
soveltaa asiakkaan vahvaa tunnistamista koskevaa menettelyä direktiivin (EU) 2015/2366 97 artiklan mukaisesti;
myöntää poikkeus asiakkaan vahvaa tunnistamista koskevien turvallisuusvaatimusten soveltamisesta erityisillä ja rajoitetuilla edellytyksillä, jotka perustuvat maksutapahtuman riskitasoon, määrään ja toistuvuuteen sekä maksutapahtuman toteuttamisessa käytettävään maksukanavaan;
suojata maksupalvelunkäyttäjän henkilökohtaisten turvatunnusten luottamuksellisuutta ja eheyttä;
vahvistaa tiliä ylläpitävien maksupalveluntarjoajien, maksutoimeksiantopalvelun tarjoajien, tilitietopalvelun tarjoajien, maksajien, maksunsaajien ja muiden maksupalveluntarjoajien välistä viestintää varten yhteiset ja turvalliset avoimet standardit, jotka koskevat maksupalvelujen tarjoamista ja käyttöä direktiivin (EU) 2015/2366 IV osastoa sovellettaessa.
2 artikla
Yleiset tunnistamisvaatimukset
Näiden mekanismien on perustuttava maksutapahtumien analysointiin, jossa otetaan huomioon tekijät, jotka ovat ominaisia maksupalvelunkäyttäjälle henkilökohtaisten turvatunnusten normaaleissa käyttöolosuhteissa.
Maksupalveluntarjoajien on varmistettava, että maksutapahtumien valvontamekanismeissa otetaan huomioon ainakin kaikki seuraavat riskiperusteiset tekijät:
luettelot väärinkäytetyistä tai varastetuista tunnistamistekijöistä;
kunkin maksutapahtuman määrä;
tunnetut petosskenaariot maksupalvelujen tarjoamisessa;
merkit haittaohjelmatartunnasta tunnistamismenettelyn istuntojen aikana;
jos maksupalveluntarjoaja toimittaa pääsyn mahdollistavan laitteen tai ohjelmiston, maksupalvelunkäyttäjälle toimitetun, pääsyn mahdollistavan laitteen tai ohjelmiston käyttöloki ja kyseisen laitteen tai ohjelmiston poikkeava käyttö.
3 artikla
Turvatoimenpiteiden uudelleentarkastelu
Maksupalveluntarjoajille, jotka käyttävät 18 artiklassa tarkoitettua poikkeusta, on kuitenkin tehtävä menetelmiä, mallia ja ilmoitettuja petososuuksia koskeva tarkastus ainakin kerran vuodessa. Tarkastajalla, joka suorittaa tämän tarkastuksen, on oltava tietoturvaan ja maksuihin liittyvää asiantuntemusta, ja tarkastajan on oltava toiminnallisesti riippumaton maksunpalveluntarjoajassa tai maksupalveluntarjoajasta. Riippumattoman ja pätevän ulkopuolisen tarkastajan on suoritettava tämä tarkastus ensimmäisen vuoden aikana, jona poikkeusta käytetään 18 artiklan nojalla, ja vähintään joka kolmas vuosi sen jälkeen tai useammin toimivaltaisen viranomaisen pyynnöstä.
Koko kertomus on annettava toimivaltaisten viranomaisten pyynnöstä niiden saataville.
II LUKU
ASIAKKAAN VAHVAN TUNNISTAMISEN SOVELTAMISTA KOSKEVAT TURVATOIMENPITEET
4 artikla
Tunnistamiskoodi
Maksupalveluntarjoajan on hyväksyttävä tunnistamiskoodi ainoastaan kerran, kun maksaja käyttää sitä päästäkseen maksutililleen verkon kautta, käynnistääkseen sähköisen maksutapahtuman tai toteuttaakseen etäkanavan kautta minkä tahansa toimen, joka voi aiheuttaa maksupetoksen tai muunlaisen väärinkäytöksen riskin.
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on toteutettava turvatoimenpiteet, joilla varmistetaan kaikkien seuraavien vaatimusten täyttyminen:
tunnistamiskoodin ilmoittamisesta ei ole mahdollista johtaa mitään tietoja 1 kohdassa tarkoitetuista tekijöistä;
uutta tunnistamiskoodia ei ole mahdollista tuottaa mihinkään muuhun, aiemmin tuotettuun tunnistamiskoodiin liittyvien tietojen perusteella;
tunnistamiskoodin väärentäminen ei ole mahdollista.
Maksupalveluntarjoajien on varmistettava, että tunnistamiseen, joka perustuu tunnistamiskoodin tuottamiseen, kuuluvat kaikki seuraavat toimenpiteet:
jos tunnistamisessa, joka suoritetaan etäkäyttöä, sähköisiä etämaksuja ja muita toimia varten etäkanavan kautta, johon voi liittyä maksupetoksen tai muunlaisen väärinkäytöksen riski, ei ole kyetty tuottamaan tunnistamiskoodia 1 kohdan tarkoituksia varten, ei ole mahdollista määrittää, mikä mainitussa kohdassa tarkoitetuista tekijöistä on ollut virheellinen;
tunnistamisyrityksiä, jotka voidaan tehdä peräkkäin, minkä jälkeen direktiivin (EU) 2015/2366 97 artiklan 1 kohdassa tarkoitetut toimet estetään väliaikaisesti tai pysyvästi, saa olla enintään viisi tietyn ajanjakson aikana;
viestintäistunnot suojataan tunnistamisen aikana lähetettävien tunnistamistietojen sieppaamiselta ja oikeudettomien tahojen suorittamalta manipuloinnilta V luvun vaatimusten mukaisesti;
enimmäisaika, jonka maksaja voi olla passiivinen sen jälkeen, kun se on tunnistettu verkon kautta tapahtuvaa maksutilin käyttöä varten, on viisi minuuttia.
Maksajaa on varoitettava ennen kuin estosta tehdään pysyvä.
Jos estosta on tehty pysyvä, on otettava käyttöön suojattu menettely, jonka avulla maksaja saa estetyt sähköiset maksuvälineet uudelleen käyttöönsä.
5 artikla
Dynaaminen yhdistäminen
Jos maksupalveluntarjoajat soveltavat asiakkaan vahvaa tunnistamista direktiivin (EU) 2015/2366 97 artiklan 2 kohdan mukaisesti, niiden on tämän asetuksen 4 artiklan vaatimusten lisäksi toteutettava turvatoimenpiteet, jotka täyttävät kaikki seuraavat vaatimukset:
maksajalle ilmoitetaan maksutapahtuman määrä ja maksunsaaja;
tunnistamiskoodi tuotetaan tiettyä maksutapahtuman määrää ja tiettyä maksunsaajaa varten, jotka maksajan on hyväksynyt käynnistäessään tapahtuman;
maksupalveluntarjoajan hyväksymä tunnistamiskoodi vastaa alkuperäistä maksutapahtuman määrää ja maksunsaajan henkilöllisyyttä, jotka maksaja on hyväksynyt;
määrän tai maksunsaajan muutokset johtavat tuotetun tunnistamiskoodin mitätöintiin.
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on toteutettava turvatoimenpiteet, joilla varmistetaan kaikkien seuraavien tietojen luottamuksellisuus, aitous ja eheys:
maksutapahtuman määrä ja maksunsaaja kaikissa tunnistamisen vaiheissa;
maksajalle näytetyt tiedot kaikissa tunnistamisen vaiheissa, tunnistamiskoodin tuottaminen, lähettäminen ja käyttö mukaan luettuina.
Sovellettaessa 1 kohdan b alakohtaa sovelletaan seuraavia tunnistamiskoodia koskevia vaatimuksia, jos maksupalveluntarjoajat soveltavat asiakkaan vahvaa tunnistamista direktiivin (EU) 2015/2366 97 artiklan 2 kohdan mukaisesti:
korttipohjaisessa maksutapahtumassa, jota varten maksaja on mainitun direktiivin 75 artiklan 1 kohdan mukaisesti hyväksynyt täsmällisen määrän varaamisen, tunnistamiskoodi on ainoastaan sitä määrää varten, jonka varaamiseen maksaja on antanut hyväksynnän ja jonka se on hyväksynyt käynnistäessään tapahtuman;
maksutapahtumissa, joita varten maksaja on antanut hyväksynnän siihen, että yhdelle tai useammalle maksunsaajalle suoritetaan erä sähköisiä etämaksutapahtumia, tunnistamiskoodi on ainoastaan kyseisen maksutapahtumaerän kokonaismäärää ja yksilöityjä maksunsaajia varten.
6 artikla
Ryhmään ”tieto” kuuluvia tekijöitä koskevat vaatimukset
7 artikla
Ryhmään ”hallussapito” kuuluvia tekijöitä koskevat vaatimukset
8 artikla
Ryhmään ”erityinen ominaisuus” kuuluviin tekijöihin liittyviä laitteita ja ohjelmistoja koskevat vaatimukset
9 artikla
Tekijöiden riippumattomuus toisistaan
Sovellettaessa 2 kohtaa riskinhallintatoimenpiteiden on sisällettävä kaikki seuraavat osatekijät:
erillisten suojattujen toteuttamisympäristöjen käyttö monikäyttölaitteeseen asennetun ohjelmiston välityksellä;
mekanismit, joilla varmistetaan, ettei maksaja tai kolmas osapuoli ole muuttanut ohjelmistoa tai laitetta;
jos muutoksia on tapahtunut, mekanismit, joilla lievennetään niiden seurauksia.
III LUKU
ASIAKKAAN VAHVAA TUNNISTAMISTA KOSKEVAT POIKKEUKSET
10 artikla
Pääsy maksutilitietoihin suoraan tiliä ylläpitävän maksupalveluntarjoajan kautta
Edellä 2 artiklassa säädettyjen vaatimusten täytyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjä käyttää maksutiliään suoraan verkossa ja pääsy verkossa rajoittuu yhteen seuraavista tiedoista siten, ettei arkaluonteisia maksutietoja ilmoiteta:
yhden tai useamman nimetyn maksutilin saldo;
maksutapahtumat, jotka on toteutettu edeltävien 90 päivän aikana yhden tai useamman nimetyn maksutilin välityksellä.
Poiketen siitä, mitä 1 kohdassa säädetään, maksupalveluntarjoajia ei saa vapauttaa asiakkaan vahvan tunnistamisen soveltamisesta, jos jokin seuraavista perusteista täyttyy:
maksupalvelunkäyttäjä käyttää 1 kohdassa tarkoitettuja tietoja ensimmäisen kerran verkossa;
on kulunut yli 180 päivää siitä, kun maksupalvelunkäyttäjä edellisen kerran käytti 1 kohdassa tarkoitettuja tietoja verkossa ja asiakkaan vahvaa tunnistamista sovellettiin.
10 a artikla
Pääsy maksutilitietoihin tilitietopalvelun tarjoajan kautta
Maksupalveluntarjoajat eivät saa soveltaa asiakkaan vahvaa tunnistamista, kun maksupalvelunkäyttäjä käyttää maksutiliään verkossa tilitietopalvelun tarjoajan kautta ja pääsy verkossa rajoittuu yhteen seuraavista tiedoista siten, ettei arkaluonteisia maksutietoja ilmoiteta:
yhden tai useamman nimetyn maksutilin saldo;
maksutapahtumat, jotka on toteutettu edeltävien 90 päivän aikana yhden tai useamman nimetyn maksutilin välityksellä.
Poiketen siitä, mitä 1 kohdassa säädetään, maksupalveluntarjoajien on sovellettava asiakkaan vahvaa tunnistamista, jos jokin seuraavista perusteista täyttyy:
maksupalvelunkäyttäjä käyttää 1 kohdassa tarkoitettuja tietoja ensimmäisen kerran verkossa tilitietopalvelun tarjoajan kautta;
on kulunut yli 180 päivää siitä, kun maksupalvelunkäyttäjä edellisen kerran käytti 1 kohdassa tarkoitettuja tietoja verkossa tilitietopalvelun tarjoajan kautta ja asiakkaan vahvaa tunnistamista sovellettiin.
11 artikla
Myyntipaikassa tapahtuvat kontaktittomat maksut
Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää kontaktittoman sähköisen maksutapahtuman ja seuraavat edellytykset täyttyvät:
yksittäinen kontaktittoman sähköisen maksutapahtuman määrä on enintään 50 euroa; ja
sellaisten aiempien kontaktittomien sähköisten maksutapahtumien kumulatiivinen määrä, jotka on käynnistetty maksuvälineellä, jossa on kontaktiton toiminto, on enintään 150 euroa asiakkaan vahvan tunnistamisen viimeisestä soveltamispäivästä laskettuna; tai
sellaisten peräkkäisten kontaktittomien sähköisten maksutapahtumien lukumäärä, jotka on käynnistetty maksuvälineellä, jossa on kontaktiton toiminto, on enintään viisi asiakkaan vahvan tunnistamisen viimeisen soveltamiskerran jälkeen.
12 artikla
Miehittämättömät päätteet liikennemaksuja ja pysäköintimaksuja varten
Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää sähköisen maksutapahtuman miehittämättömällä päätteellä maksaakseen liikennemaksun tai pysäköintimaksun.
13 artikla
Luotettavat maksunsaajat
14 artikla
Toistuvat maksutapahtumat
15 artikla
Saman luonnollisen henkilön tai oikeushenkilön hallussa olevien tilien väliset tilisiirrot
Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää tilisiirron, jossa maksaja ja maksunsaaja ovat sama luonnollinen henkilö tai oikeushenkilö ja molempia maksutilejä ylläpitää sama tiliä ylläpitävä maksupalveluntarjoaja.
16 artikla
Vähäarvoiset maksutapahtumat
Edellä 2 artiklassa säädettyjen vaatimusten täyttyessä on sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun maksaja käynnistää sähköisen etämaksutapahtuman ja seuraavat edellytykset täyttyvät:
sähköisen etämaksutapahtuman määrä on enintään 30 euroa; ja
sellaisten aiempien sähköisten etämaksutapahtumien kumulatiivinen määrä, jotka maksaja on käynnistänyt vahvan tunnistamisen viimeisen soveltamisen jälkeen, on enintään 100 euroa; tai
sellaisten aiempien sähköisten etämaksutapahtumien lukumäärä, jotka maksaja on käynnistänyt vahvan tunnistamisen viimeisen soveltamisen jälkeen, on enintään viisi peräkkäistä yksittäistä sähköistä etämaksutapahtumaa.
17 artikla
Yritysten käyttämät suojatut maksuprosessit ja -protokollat
On sallittava, että maksupalveluntarjoajat eivät sovella asiakkaan vahvaa tunnistamista, kun on kyse oikeushenkilöistä, jotka käynnistävät sähköisiä maksutapahtumia käyttämällä erityisiä maksuprosesseja tai -protokollia, jotka ovat ainoastaan sellaisten maksajien käytettävissä, jotka eivät ole kuluttajia, ja kun toimivaltaiset viranomaiset ovat vakuuttuneita siitä, että näillä prosesseilla ja protokollilla varmistetaan vähintään vastaavat turvallisuustasot kuin direktiivissä (EU) 2015/2366 säädetään.
18 artikla
Maksutapahtumien riskianalyysi
Edellä 1 kohdassa tarkoitettua sähköistä maksutapahtumaa on pidettävä vähäriskisenä, kun kaikki seuraavat edellytykset täyttyvät:
maksunpalveluntarjoajan ilmoittama ja 19 artiklan mukaisesti laskettu maksutapahtumatyypin petososuus on sama tai pienempi kuin liitteessä olevassa taulukossa esitetyt petosten viiteosuudet, jotka koskevat ”sähköisiä korttipohjaisia etämaksuja” ja ”sähköisiä etätilisiirtoja”;
maksutapahtuman määrä ei ylitä liitteessä olevassa taulukossa esitettyä vastaavaa poikkeuksen kynnysarvoa;
maksupalveluntarjoajat eivät ole havainneet mitään seuraavista seikoista suorittaessaan reaaliaikaista riskianalyysiä:
maksajan poikkeavat rahankäyttö- tai käyttäytymistavat;
epätavalliset tiedot maksajan pääsystä, joka tapahtuu laitteen tai ohjelmiston avulla;
haittaohjelmatartunta tunnistamismenettelyn istunnon aikana;
tunnetut petosskenaariot maksupalvelujen tarjoamisessa;
maksajan poikkeava sijaintipaikka;
maksunsaajan suuririskinen sijaintipaikka.
Maksupalveluntarjoajien, jotka aikovat vapauttaa sähköiset etämaksutapahtumat asiakkaan vahvasta tunnistamisesta niiden vähäriskisyyden perusteella, on otettava huomioon ainakin seuraavat riskiperusteiset tekijät:
yksittäisen maksupalvelunkäyttäjän aiemmat rahankäyttötavat;
historiatiedot maksupalveluntarjoajan kunkin maksupalvelunkäyttäjän maksutapahtumista;
maksajan ja maksunsaajan sijaintipaikat maksutapahtuman ajankohtana tapauksissa, joissa maksupalveluntarjoaja toimittaa pääsyn mahdollistavan laitteen tai ohjelmiston;
maksupalvelunkäyttäjän sellaisten maksamistapojen havaitseminen, jotka ovat käyttäjän maksutapahtumia koskevien historiatietojen perusteella poikkeavia.
Maksupalveluntarjoajan tekemässä arvioinnissa kaikki nämä riskiperusteiset tekijät on yhdistettävä kunkin yksittäisen maksutapahtuman osalta riskipisteytykseksi, jonka avulla määritetään, onko tietty maksu sallittava ilman asiakkaan vahvaa tunnistamista.
19 artikla
Petososuuksien laskeminen
Petosten kokonaisosuus lasketaan kunkin maksutapahtumatyypin osalta jatkuvaluonteisesti neljännesvuosittain (90 päivän ajalta) määrittämällä ensin oikeudettomien tai petollisten etämaksutapahtumien kokonaisarvo riippumatta siitä, onko varat saatu takaisin vai ei, ja jakamalla näin saatu arvo kaikkien samaa maksutapahtumatyyppiä olevien etämaksutapahtumien kokonaisarvolla riippumatta siitä, onko ne tunnistettu soveltamalla asiakkaan vahvaa tunnistamista vai toteutettu jonkin 13–18 artiklassa tarkoitetun poikkeuksen nojalla.
20 artikla
Maksutapahtumien riskianalyysiin perustuvien poikkeusten lakkauttaminen
21 artikla
Seuranta
Voidakseen hyödyntää 10–18 artiklassa säädettyjä poikkeuksia maksupalveluntarjoajien on vähintään neljännesvuosittain kirjattava kunkin maksutapahtumatyypin osalta seuraavat tiedot eriteltyinä etämaksutapahtumiin ja muihin maksutapahtumiin ja seurattava niitä:
oikeudettomien tai petollisten maksutapahtumien kokonaisarvo direktiivin (EU) 2015/2366 64 artiklan 2 kohdan mukaisesti, kaikkien maksutapahtumien kokonaisarvo ja vastaava petososuus, mukaan luettuna asiakkaan vahvaa tunnistamista soveltamalla käynnistettyjen maksutapahtumien ja kunkin poikkeuksen nojalla käynnistettyjen maksutapahtumien erittely;
maksutapahtumien keskimääräinen arvo, mukaan luettuna asiakkaan vahvaa tunnistamista soveltamalla käynnistettyjen maksutapahtumien ja kunkin poikkeuksen nojalla käynnistettyjen maksutapahtumien erittely;
sellaisten maksutapahtumien lukumäärä, joissa on sovellettu kutakin poikkeusta, ja niiden prosenttiosuus maksutapahtumien kokonaislukumäärästä.
IV LUKU
MAKSUPALVELUNKÄYTTÄJÄN HENKILÖKOHTAISTEN TURVATUNNUSTEN LUOTTAMUKSELLISUUS JA EHEYS
22 artikla
Yleiset vaatimukset
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
henkilökohtaiset turvatunnukset näytetään peitettyinä eivätkä ole kokonaan luettavissa, kun maksupalvelunkäyttäjä syöttää niitä tunnistamisen aikana;
tiedontallennusmuodossa olevia henkilökohtaisia turvatunnuksia ja henkilökohtaisten turvatunnusten salaukseen liittyviä salausteknisiä aineistoja ei tallennetta ilmitekstinä;
salaista salausteknistä aineistoa suojataan oikeudettomalta paljastamiselta.
23 artikla
Tunnusten luominen ja lähettäminen
Maksupalveluntarjoajien on varmistettava, että henkilökohtaiset turvatunnukset luodaan suojatussa ympäristössä.
Niiden on vähennettävä henkilökohtaisten turvatunnusten ja tunnistamislaitteiden ja -ohjelmistojen oikeudettoman käytön riskejä, joita aiheutuu, kun tunnukset, laitteet tai ohjelmistot kadotetaan, varastetaan tai kopioidaan ennen niiden toimittamista maksajalle.
24 artikla
Yhdistäminen maksupalvelunkäyttäjään
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki seuraavat vaatimukset täyttyvät:
maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin, tunnistamislaitteisiin ja -ohjelmistoihin toteutetaan maksupalveluntarjoajan vastuulla suojatuissa ympäristöissä, jotka käsittävät ainakin maksupalveluntarjoajan toimitilat, sen tarjoaman internetympäristön tai muut vastaavat sen käyttämät suojatut verkkosivustot ja sen pankkiautomaattipalvelut, ottaen huomioon riskit, jotka liittyvät yhdistämisprosessin aikana käytettäviin laitteisiin ja peruskomponentteihin, jotka eivät ole maksupalveluntarjoajan vastuulla;
maksupalvelunkäyttäjän henkilöllisyyden yhdistäminen henkilökohtaisiin turvatunnuksiin ja tunnistamislaitteisiin ja -ohjelmistoihin etäkanavan välityksellä suoritetaan käyttämällä asiakkaan vahvaa tunnistamista.
25 artikla
Tunnusten, tunnistamislaitteiden ja -ohjelmistojen toimittaminen
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on toteutettava ainakin kaikki seuraavat toimenpiteet:
tehokkaat ja turvalliset toimitusmekanismit, joilla varmistetaan, että henkilökohtaiset turvatunnukset ja tunnistamislaitteet ja -ohjelmistot toimitetaan lailliselle maksupalvelunkäyttäjälle;
mekanismit, joiden avulla maksupalveluntarjoaja voi tarkistaa maksupalvelunkäyttäjälle internetin välityksellä toimitettujen tunnistamisohjelmistojen aitouden;
järjestelyt, joilla varmistetaan silloin, kun henkilökohtaiset turvatunnukset toimitetaan maksupalveluntarjoajan toimitilojen ulkopuolella tai etäkanavan välityksellä, että
mikään oikeudeton taho ei voi saada henkilökohtaisista turvatunnuksista eikä tunnistamislaitteista tai -ohjelmistoista enempää kuin yhden ominaisuuden, kun ne toimitetaan saman kanavan välityksellä;
henkilökohtaiset turvatunnukset ja tunnistamislaitteet tai -ohjelmistot on aktivoitava ennen niiden käyttöä;
järjestelyt, joilla varmistetaan, että aktivointi tapahtuu suojatussa ympäristössä 24 artiklassa tarkoitettujen yhdistämismenettelyjen mukaisesti silloin, kun henkilökohtaiset turvatunnukset ja tunnistamislaitteet tai -ohjelmistot on aktivoitava ennen niiden ensimmäistä käyttöä,
26 artikla
Henkilökohtaisten turvatunnusten uusiminen
Maksupalveluntarjoajien on varmistettava, että henkilökohtaisten turvatunnusten uusimisessa tai uudelleenaktivoinnissa noudatetaan turvatunnusten ja tunnistamislaitteiden luomisessa, yhdistämisessä ja toimittamisessa noudatettavia menettelyjä 23, 24 ja 25 artiklan mukaisesti.
27 artikla
Hävittäminen, deaktivoiminen ja mitätöiminen
Maksupalveluntarjoajien on varmistettava, että niillä on käytössään tehokkaat prosessit seuraavien turvatoimenpiteiden toteuttamiseksi:
henkilökohtaiset turvatunnukset ja tunnistamislaitteet ja -ohjelmistot hävitetään, deaktivoidaan tai mitätöidään turvallisesti;
jos maksupalveluntarjoaja jakaa uudelleenkäytettäviä tunnistamislaitteita ja -ohjelmistoja, laitteen tai ohjelmiston turvallinen uudelleenkäyttö vahvistetaan, dokumentoidaan ja toteutetaan ennen sen antamista toisen maksupalvelunkäyttäjän käyttöön;
henkilökohtaisia turvatunnuksia koskevat tiedot, jotka on tallennettu maksupalveluntarjoajan järjestelmiin ja tietokantoihin sekä tapauksen mukaan julkisiin rekistereihin, deaktivoidaan tai mitätöidään.
V LUKU
YHTEISET JA TURVALLISET AVOIMET VIESTINTÄSTANDARDIT
28 artikla
Varmentamisvaatimukset
29 artikla
Jäljitettävyys
Sovellettaessa 1 kohtaa maksupalveluntarjoajien on varmistettava, että kaikki viestintäistunnot maksupalvelunkäyttäjän, muiden maksupalveluntarjoajien ja muiden yhteisöjen kanssa, kauppiaat mukaan luettuina, perustuvat kaikkiin seuraaviin tekijöihin:
viestintäistunnon yksilöllinen tunniste;
turvamekanismit maksutapahtuman yksityiskohtaista kirjaamista varten, maksutapahtuman numero, aikaleimat ja kaikki maksutapahtumaa koskevat merkitykselliset tiedot mukaan luettuina;
aikaleimat, jotka perustuvat yhdenmukaiseen aikareferenssijärjestelmään ja jotka synkronoidaan virallisen aikamerkin mukaisesti.
30 artikla
Pääsyn mahdollistavia laitteita koskevat yleiset velvollisuudet
Tiliä ylläpitävien maksupalveluntarjoajien, jotka tarjoavat maksajalle verkossa käytettävissä olevan maksutilin, on otettava käyttöön ainakin yksi rajapinta, joka täyttää kaikki seuraavat vaatimukset:
tilitietopalvelun tarjoajat, maksutoimeksiantopalvelun tarjoajat ja korttipohjaisia maksuvälineitä liikkeeseen laskevat maksupalveluntarjoajat voivat varmentaa itsensä tiliä ylläpitävälle maksupalveluntarjoajalle;
tilitietopalvelun tarjoajat voivat kommunikoida turvallisesti pyytääkseen ja saadakseen tietoja yhdestä tai useammasta nimetystä maksutilistä ja niihin liittyvistä maksutapahtumista;
maksutoimeksiantopalvelun tarjoajat voivat kommunikoida turvallisesti käynnistääkseen maksutoimeksiannon maksajan maksutililtä ja saadakseen kaikki tiliä ylläpitävän maksupalveluntarjoajan saatavilla olevat tiedot maksutapahtuman toteuttamisesta.
Rajapinnan on täytettävä ainakin kaikki seuraavat vaatimukset:
maksutoimeksiantopalvelun tarjoajalla tai tilitietopalvelun tarjoajalla on oltava mahdollisuus kehottaa tiliä ylläpitävää maksupalveluntarjoajaa aloittamaan tunnistamisen maksupalvelunkäyttäjän hyväksynnällä;
tunnistamista on käytettävä, kun luodaan ja ylläpidetään tiliä ylläpitävän maksupalveluntarjoajan, tilitietopalvelun tarjoajan, maksutoimeksiantopalvelun tarjoajan ja minkä tahansa maksupalvelunkäyttäjän välisiä viestintäistuntoja;
maksutoimeksiantopalvelun tarjoajan tai tilitietopalvelun tarjoajan toimittamien tai sen välityksellä toimitettavien henkilökohtaisten turvatunnusten luottamuksellisuus ja eheys on varmistettava.
Tiliä ylläpitävien maksupalveluntarjoajien on varmistettava myös, että rajapintojen tekniset eritelmät dokumentoidaan ja niissä esitetään maksutoimeksiantopalvelun tarjoajien, tilitietopalvelun tarjoajien ja korttipohjaisia maksuvälineitä liikkeeseen laskevien maksupalveluntarjoajien rutiinit, protokollat ja välineet, jotka mahdollistavat niiden ohjelmistojen ja sovellusten yhteentoimivuuden tiliä ylläpitävien maksupalveluntarjoajien järjestelmien kanssa.
Vähintään kuusi kuukautta ennen 38 artiklan 2 kohdassa tarkoitettua soveltamispäivää tai ennen pääsyn mahdollistavan rajapinnan markkinoille saattamisen tavoitepäivää, jos se saatetaan markkinoille 38 artiklan 2 kohdassa tarkoitetun päivän jälkeen, tiliä ylläpitävien maksupalveluntarjoajien on ainakin annettava edellä tarkoitetut asiakirjat maksutta saataville toimiluvan saaneiden maksutoimeksiantopalvelun tarjoajien, tilitietopalvelun tarjoajien ja korttipohjaisia maksuvälineitä liikkeeseen laskevien maksupalveluntarjoajien tai sellaisten maksupalveluntarjoajien pyynnöstä, jotka ovat hakeneet asiaankuuluvaa toimilupaa toimivaltaisilta viranomaisiltaan, ja julkistettava kyseisistä asiakirjoista tiivistelmä verkkosivustollaan.
Maksupalveluntarjoajien on dokumentoitava erityisen kiireelliset tilanteet, joissa muutoksia on pantu täytäntöön, ja annettava nämä asiakirjat pyynnöstä toimivaltaisten viranomaisten saataville.
Testausjärjestelmän kautta ei saa kuitenkaan jakaa arkaluonteisia tietoja.
31 artikla
Pääsyn mahdollistavia rajapintoja koskevat vaihtoehdot
Tiliä ylläpitävien maksupalveluntarjoajien on luotava 30 artiklassa tarkoitettu rajapinta (tarkoitetut rajapinnat) ottamalla käyttöön erityisrajapinta tai sallimalla, että 30 artiklan 1 kohdassa tarkoitetut maksupalveluntarjoajat käyttävät rajapintoja, joita käytetään tunnistamiseen ja viestintään tiliä ylläpitävän maksupalveluntarjoajan maksupalvelunkäyttäjien kanssa.
32 artikla
Erityisrajapintaa koskevat velvollisuudet
33 artikla
Erityisrajapintaa koskevat varotoimenpiteet
Tiliä ylläpitävien maksupalveluntarjoajien on tätä varten varmistettava, että 30 artiklan 1 kohdassa tarkoitetut maksunpalveluntarjoajat voidaan varmentaa ja että ne voivat käyttää tiliä ylläpitävän maksupalveluntarjoajan maksupalvelunkäyttäjälle tarjoamia tunnistamismenettelyjä. Jos 30 artiklan 1 kohdassa tarkoitetut maksupalveluntarjoajat käyttävät 4 kohdassa tarkoitettua rajapintaa, niiden on
toteutettava tarvittavat toimenpiteet sen varmistamiseksi, etteivät ne hanki, säilytä tai käsittele tietoja muihin tarkoituksiin kuin maksupalvelunkäyttäjän pyytämän palvelun tarjoamiseen;
täytettävä edelleen direktiivin (EU) 2015/2366 66 artiklan 3 kohdasta ja 67 artiklan 2 kohdasta johtuvat velvollisuudet;
rekisteröitävä tiedot, jotka hankitaan tiliä ylläpitävän maksupalveluntarjoajan maksupalvelunkäyttäjiään varten hoitaman rajapinnan välityksellä, ja toimitettava lokitiedostot pyynnöstä ja ilman aiheetonta viivytystä kansalliselle toimivaltaiselle viranomaiselleen;
asianmukaisesti perusteltava kansalliselle toimivaltaiselle viranomaiselle pyynnöstä ja ilman aiheetonta viivytystä sellaisen rajapinnan käyttö, joka on annettu maksupalvelunkäyttäjien käyttöön, jotta ne voivat käyttää maksutiliään suoraan verkon kautta;
ilmoitettava asiasta tiliä ylläpitävälle maksupalveluntarjoajalle.
Kuultuaan EPV:tä seuraavien edellytysten johdonmukaisen soveltamisen varmistamiseksi toimivaltaisten viranomaisten on vapautettava tiliä ylläpitävät maksupalveluntarjoajat, jotka ovat valinneet erityisrajapinnan, velvollisuudesta ottaa käyttöön 4 kohdassa kuvattu varomekanismi, jos erityisrajapinta täyttää kaikki seuraavat edellytykset:
se täyttää kaikki erityisrajapintoihin 32 artiklan mukaisesti sovellettavat velvollisuudet;
se on suunniteltu ja sitä on testattu 30 artiklan 5 kohdan mukaisesti kyseisessä kohdassa tarkoitettuja maksupalveluntarjoajia tyydyttävällä tavalla;
maksunpalveluntarjoajat ovat käyttäneet sitä laajasti vähintään kolmen kuukauden ajan tilitietopalvelujen ja maksutoimeksiantopalvelujen tarjoamiseen ja varojen saatavuuden vahvistamiseen korttipohjaisia maksuja varten;
kaikki erityisrajapintaan liittyvät ongelmat on ratkaistu ilman aiheetonta viivytystä.
34 artikla
Varmenteet
Edellä 1 kohdassa tarkoitettuihin sähköisten leimojen tai verkkosivustojen todentamisen hyväksyttyihin varmenteisiin sisältyy tätä asetusta sovellettaessa rahoitusalalla tavanomaisesti käytettävällä kielellä ilmaistuja erityisiä valinnaisia lisäattribuutteja kunkin seuraavan seikan osalta:
maksupalveluntarjoajan rooli, joka voi olla yksi tai useampi seuraavista toiminnoista:
tilien ylläpito;
maksutoimeksiannot;
tilitiedot;
korttipohjaisten maksuvälineiden liikkeeseenlasku;
niiden toimivaltaisten viranomaisten nimi, joissa maksupalvelujentarjoaja on rekisteröity.
35 artikla
Viestintäistuntojen turvallisuus
Tilitietopalvelun tarjoajien, maksutoimeksiantopalvelun tarjoajien ja korttipohjaisia maksuvälineitä liikkeeseen laskevien tarjoajien on kommunikoidessaan tiliä ylläpitävän maksupalveluntarjoajan kanssa viitattava yksiselitteisesti kaikkiin seuraaviin seikkoihin:
maksupalvelunkäyttäjä tai maksupalvelunkäyttäjät ja vastaava viestintäistunto, jotta samalta maksupalvelunkäyttäjältä tai samoilta maksupalvelunkäyttäjiltä tulevat pyynnöt voidaan erottaa toisistaan;
kun on kyse maksutoimeksiantopalveluista, käynnistetty maksutapahtuma, joka on varmennettu yksilöllisesti;
kun on kyse varojen saatavuuden vahvistamisesta, yksilöllisesti varmennettu pyyntö, joka koskee korttipohjaisen maksutapahtuman toteuttamiseen tarvittavaa määrää.
Jos palveluntarjoajien toimivaltaan kuuluvien henkilökohtaisten turvatunnusten luottamuksellisuus menetetään, palveluntarjoajien on ilman aiheetonta viivytystä ilmoitettava asiasta sille maksupalvelunkäyttäjälle, johon henkilökohtaiset turvatunnukset liittyvät, sekä kyseisten tunnusten antajalle.
36 artikla
Tietojenvaihdot
Tiliä ylläpitävien maksupalveluntarjoajien on täytettävä kaikki seuraavat vaatimukset:
niiden on annettava tilitietopalvelun tarjoajille samat tiedot nimetyiltä maksutileiltä ja niihin liittyvistä maksutapahtumista, jotka annetaan maksupalvelunkäyttäjän saataville, jos tilitietoihin pääsyä pyydetään suoraan ja kyseiset tiedot eivät sisällä arkaluonteisia maksutietoja;
niiden on välittömästi maksutoimeksiannon vastaanottamisen jälkeen annettava maksutoimeksiantopalvelun tarjoajille samat tiedot maksutapahtuman käynnistämisestä ja toteuttamisesta, jotka annetaan maksupalvelunkäyttäjälle tai sen saataville, kun kyseinen käyttäjä käynnistää maksutapahtuman suoraan;
niiden on pyynnöstä annettava välittömästi maksupalveluntarjoajille vahvistus yksinkertaisessa ”kyllä”- tai ”ei”-muodossa sen mukaan, onko maksutapahtuman toteuttamiseen tarvittava määrä käytettävissä maksajan maksutilillä.
Jos tiliä ylläpitävä maksupalveluntarjoaja tarjoaa erityisrajapinnan 32 artiklan mukaisesti, rajapinnan on oltava sellainen, että jokainen maksunpalveluntarjoaja, joka havaitsee odottamattoman tapahtuman tai virheen, lähettää siitä ilmoitusviestit muille viestintäistuntoon osallistuville maksupalveluntarjoajille.
Tilitietopalvelun tarjoajilla on oltava mahdollisuus saada nimetyiltä maksutileiltä ja niihin liittyvistä maksutapahtumista olevat tiedot, jotka ovat tiliä ylläpitävien maksupalveluntarjoajien hallussa, jommassakummassa seuraavista tilanteista:
aina, kun maksupalvelunkäyttäjä pyytää aktiivisesti tällaisia tietoja;
kun maksupalvelunkäyttäjä ei pyydä tällaista tietoa aktiivisesti, enintään neljä kertaa 24 tunnin aikana, jos tilitietopalvelun tarjoaja ja tiliä ylläpitävä maksupalveluntarjoaja eivät ole sopineet keskenään tietojen tiheämmästä saannista, maksupalvelunkäyttäjän hyväksynnällä.
VI LUKU
LOPPUSÄÄNNÖKSET
37 artikla
Uudelleentarkastelu
Rajoittamatta direktiivin (EU) 2015/2366 98 artiklan 5 kohdan soveltamista EPV tarkastelee viimeistään 14 päivänä maaliskuuta 2021 tämän asetuksen liitteessä tarkoitettuja petososuuksia ja 33 artiklan 6 kohdan nojalla myönnettyjä, erityisrajapintoja koskevia poikkeuksia ja toimittaa tarvittaessa komissiolle päivitysluonnokset asetuksen (EU) N:o 1093/2010 10 artiklan mukaisesti.
38 artikla
Voimaantulo
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
LIITE
|
Petosten viiteosuus (%): |
|
Poikkeuksen kynnysarvo |
Sähköiset korttipohjaiset etämaksut |
Sähköiset etätilisiirrot |
500 euroa |
0,01 |
0,005 |
250 euroa |
0,06 |
0,01 |
100 euroa |
0,13 |
0,015 |
( 1 ) Euroopan parlamentin ja neuvoston direktiivi 2013/36/EU, annettu 26 päivänä kesäkuuta 2013, oikeudesta harjoittaa luottolaitostoimintaa ja luottolaitosten ja sijoituspalveluyritysten vakavaraisuusvalvonnasta, direktiivin 2002/87/EY muuttamisesta sekä direktiivien 2006/48/EY ja 2006/49/EY kumoamisesta (EUVL L 176, 27.6.2013, s. 338).