This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230912
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: 2017 m. lapkričio 27 d. Komisijos deleguotasis reglamentas (ES) 2018/389, kuriuo Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 papildoma griežto kliento autentiškumo patvirtinimo ir bendrų ir saugių atvirųjų ryšių standartų techniniais reguliavimo standartais (Tekstas svarbus EEE)Tekstas svarbus EEE
2017 m. lapkričio 27 d. Komisijos deleguotasis reglamentas (ES) 2018/389, kuriuo Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 papildoma griežto kliento autentiškumo patvirtinimo ir bendrų ir saugių atvirųjų ryšių standartų techniniais reguliavimo standartais (Tekstas svarbus EEE)Tekstas svarbus EEE
02018R0389 — LT — 12.09.2023 — 002.001
Šis tekstas yra skirtas tik informacijai ir teisinės galios neturi. Europos Sąjungos institucijos nėra teisiškai atsakingos už jo turinį. Autentiškos atitinkamų teisės aktų, įskaitant jų preambules, versijos skelbiamos Europos Sąjungos oficialiajame leidinyje ir pateikiamos svetainėje „EUR-Lex“. Oficialūs tekstai tiesiogiai prieinami naudojantis šiame dokumente pateikiamomis nuorodomis
KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2018/389 2017 m. lapkričio 27 d. kuriuo Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 papildoma griežto kliento autentiškumo patvirtinimo ir bendrų ir saugių atvirųjų ryšių standartų techniniais reguliavimo standartais (OL L 069 2018.3.13, p. 23) |
Iš dalies keičiamas:
|
|
Oficialusis leidinys |
||
Nr. |
puslapis |
data |
||
KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2022/2360 2022 m. rugpjūčio 3 d. |
L 312 |
1 |
5.12.2022 |
|
KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2023/1650 2023 m. gegužės 15 d. |
L 208 |
1 |
23.8.2023 |
KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2018/389
2017 m. lapkričio 27 d.
kuriuo Europos Parlamento ir Tarybos direktyva (ES) 2015/2366 papildoma griežto kliento autentiškumo patvirtinimo ir bendrų ir saugių atvirųjų ryšių standartų techniniais reguliavimo standartais
(Tekstas svarbus EEE)
I SKYRIUS
BENDROSIOS NUOSTATOS
1 straipsnis
Dalykas
Šiuo reglamentu nustatomi reikalavimai, kurių turi laikytis mokėjimo paslaugų teikėjai, diegdami saugumo priemones, sudarysiančias jiems sąlygas atlikti šiuos veiksmus:
pagal Direktyvos (ES) 2015/2366 97 straipsnį taikyti griežto kliento autentiškumo patvirtinimo procedūrą;
netaikyti griežto kliento autentiškumo patvirtinimo saugumo reikalavimų, laikantis nurodytų ribojančių sąlygų, pagrįstų mokėjimo operacijos rizikos lygiu, suma, vykdymo pasikartojimo dažnumu ir mokėjimo kanalu;
apsaugoti mokėjimo paslaugų vartotojo personalizuotų saugumo požymių konfidencialumą ir vientisumą;
nustatyti sąskaitas tvarkančių mokėjimo paslaugų teikėjų, mokėjimo inicijavimo paslaugų teikėjų, informavimo apie sąskaitas paslaugų teikėjų, mokėtojų, gavėjų ir kitų mokėjimo paslaugų teikėjų bendrus ir saugius atviruosius ryšių standartus, taikytinus teikiant ir naudojant mokėjimo paslaugas įgyvendinant Direktyvos (ES) 2015/2366 IV antraštinės dalies nuostatas.
2 straipsnis
Bendrieji autentiškumo patvirtinimo reikalavimai
Tie mechanizmai yra grindžiami mokėjimo operacijų analize, kurią atliekant atsižvelgiama į mokėjimo paslaugų vartotojui būdingus elementus įprastu būdu naudojant personalizuotus saugumo požymius.
Mokėjimo paslaugų teikėjai užtikrina, kad operacijų stebėjimo mechanizmais būtų atsižvelgiama bent į kiekvieną iš šių rizika grindžiamų veiksnių:
neteisėtai sužinotų ar pavogtų autentiškumo nustatymo elementų sąrašus;
kiekvienos mokėjimo operacijos sumą;
žinomus sukčiavimo scenarijus teikiant mokėjimo paslaugas;
užkrėtimo kenkimo programine įranga požymius per bet kurį autentiškumo patvirtinimo procedūros seansą;
tais atvejais, kai prieigos prietaisą arba programinę įrangą suteikė mokėjimo paslaugų teikėjas, mokėjimo paslaugų vartotojui suteikto prieigos prietaiso arba programinės įrangos naudojimo ir netinkamo jų naudojimo žurnalą.
3 straipsnis
Saugumo priemonių peržiūra
Tačiau 18 straipsnyje nurodytą išimtį taikančių mokėjimo paslaugų teikėjų atveju metodikos, modelio ir praneštų sukčiavimo rodiklių auditas vykdomas bent kas metus. Šį auditą atlieka veiklos požiūriu nuo mokėjimo paslaugų teikėjo nepriklausomas ir jam nepavaldus auditorius, turintis IT saugumo ir mokėjimų srities kompetencijos. Pirmaisiais 18 straipsnyje nurodytos išimties taikymo metais ir bent kas trejus metus vėliau arba dažniau, jei to prašo kompetentinga institucija, šį auditą atlieka nepriklausomas kvalifikuotas išorės auditorius.
Visa ataskaita paprašius pateikiama kompetentingoms institucijoms.
II SKYRIUS
GRIEŽTO KLIENTO AUTENTIŠKUMO PATVIRTINIMO TAIKYMO SAUGUMO PRIEMONĖS
4 straipsnis
Atpažinties kodas
Mokėjimo paslaugų teikėjas priima atpažinties kodą tik vieną kartą, kai mokėtojas juo naudojasi internetu prisijungdamas prie savo mokėjimo sąskaitos, inicijuodamas elektroninę mokėjimo operaciją arba nuotolinio ryšio priemone vykdydamas bet kokį veiksmą, kuris gali būti susijęs su sukčiavimo atliekant mokėjimą ar kitokio piktnaudžiavimo rizika.
Taikant 1 dalį, mokėjimo paslaugų teikėjai priima saugumo priemones, kuriomis užtikrinama, kad būtų vykdomi visi šie reikalavimai:
atskleidus atpažinties kodą negali būti įmanoma sužinoti jokios informacijos apie 1 dalyje nurodytus elementus;
remiantis žiniomis apie bet kurį anksčiau sukurtą kitą atpažinties kodą, negali būti įmanoma sukurti naujo atpažinties kodo;
atpažinties kodo negali būti įmanoma suklastoti.
Mokėjimo paslaugų teikėjai užtikrina, kad autentiškumo patvirtinimas sukuriant atpažinties kodą apimtų kiekvieną iš šių priemonių:
kai autentiškumo patvirtinimui jungiantis nuotoliniu būdu, atliekant nuotolinius elektroninius mokėjimus arba vykdant nuotolinio ryšio priemone kitus veiksmus, kurie gali būti susiję su sukčiavimo atliekant mokėjimą ar kitokio piktnaudžiavimo rizika, nepavyksta sukurti atpažinties kodo 1 dalies tikslais, turi būti neįmanoma nustatyti, kuris iš toje dalyje nurodytų elementų buvo neteisingas;
iš eilės nepavykusių autentiškumo patvirtinimo mėginimų skaičius, kurį pasiekus Direktyvos (ES) 2015/2366 97 straipsnio 1 dalyje nurodyti veiksmai laikinai arba visam laikui užblokuojami, neviršija penkių per konkretų laikotarpį;
pagal V skyriaus reikalavimus ryšių seansai yra apsaugoti nuo autentiškumo patvirtinimo duomenų perėmimo autentiškumo patvirtinimo proceso metu ir nuo neturinčių leidimo asmenų manipuliavimo;
ilgiausias laikas, per kurį internetu prisijungęs prie savo mokėjimo sąskaitos mokėtojas neatlieka jokių veiksmų po autentiškumo patvirtinimo, neviršija penkių minučių.
Prieš nustatant užblokavimą visam laikui, mokėtojas apie tai įspėjamas.
Nustačius užblokavimą visam laikui, nustatoma saugi procedūra, leidžianti mokėtojui atgauti užblokuotas elektronines mokėjimo priemones.
5 straipsnis
Dinamiškas susiejimas
Kai mokėjimo paslaugų teikėjai pagal Direktyvos (ES) 2015/2366 97 straipsnio 2 dalį taiko griežtą kliento autentiškumo patvirtinimą, be šio reglamento 4 straipsnio reikalavimų, jie priima ir saugumo priemones, atitinkančias visus šiuos reikalavimus:
mokėtojas informuojamas apie mokėjimo operacijos sumą ir gavėją;
sukurtas atpažinties kodas yra susietas su mokėjimo operacijos suma ir gavėju, kuriuos inicijuodamas operaciją patvirtina mokėtojas;
mokėjimo paslaugų teikėjo priimamas atpažinties kodas atitinka mokėjimo operacijos pirminę konkrečią sumą ir gavėjo tapatybę, kuriuos patvirtino mokėtojas;
dėl visų sumos arba gavėjo pakeitimų sukurtas atpažinties kodas tampa negaliojančiu.
Taikant 1 dalį, mokėjimo paslaugų teikėjai priima saugumo priemones, kuriomis užtikrinamas toliau išvardytų elementų konfidencialumas, autentiškumas ir vientisumas:
operacijos sumos ir gavėjo visais autentiškumo patvirtinimo etapais;
mokėtojui rodomos informacijos visais autentiškumo patvirtinimo etapais, įskaitant atpažinties kodo kūrimo, perdavimo ir naudojimo.
Taikant 1 dalies b punktą, kai mokėjimo paslaugų teikėjai pagal Direktyvos (ES) 2015/2366 97 straipsnio 2 dalį taiko griežtą kliento autentiškumo patvirtinimą, atpažinties kodui taikomi šie reikalavimai:
vykdant kortele grindžiamą mokėjimo operaciją, kai mokėtojas pagal tos direktyvos 75 straipsnio 1 dalį yra davęs sutikimą dėl tikslios lėšų sumos užblokavimo, atpažinties kodas yra susietas su suma, kurią mokėtojas davė sutikimą užblokuoti ir patvirtino inicijuodamas operaciją;
vykdant mokėjimo operacijas, kai mokėtojas yra davęs sutikimą įvykdyti keletą elektroninių nuotolinių mokėjimo vienam ar keliems gavėjams operacijų, atpažinties kodas yra susietas su bendra kelių mokėjimo operacijų suma ir nurodytais gavėjais.
6 straipsnis
Žinojimo kategorijos elementams taikomi reikalavimai
7 straipsnis
Turėjimo kategorijos elementams taikomi reikalavimai
8 straipsnis
Su būdingumo kategorijos elementais susijusiems prietaisams ir programinei įrangai taikomi reikalavimai
9 straipsnis
Elementų nepriklausomumas
Taikant 2 dalį, rizikos mažinimo priemonės apima visus šiuos elementus:
atskirų saugių vykdymo aplinkų naudojimą įdiegus programinę įrangą universaliame prietaise;
mechanizmus, kuriais užtikrinama, kad mokėtojas ar trečioji šalis negalėtų pakeisti nei programinės įrangos, nei prietaiso;
įvykus pakeitimams – jų padarinius mažinančius mechanizmus.
III SKYRIUS
GRIEŽTO KLIENTO AUTENTIŠKUMO PATVIRTINIMO IŠIMTYS
10 straipsnis
Prieiga prie mokėjimo sąskaitos informacijos tiesiogiai per sąskaitą tvarkantį mokėjimo paslaugų teikėją
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo, jei laikomasi 2 straipsnyje nustatytų reikalavimų, kai mokėjimo paslaugų vartotojas tiesiogiai naudojasi internetine prieiga prie savo mokėjimo sąskaitos, su sąlyga, kad neatskleisdamas neskelbtinų mokėjimo duomenų jis gali internetu sužinoti tik vieną iš šių dalykų:
vienos ar kelių nurodytų mokėjimo sąskaitų likutį;
per paskutines 90 dienų naudojantis viena ar keliomis nurodytomis mokėjimo sąskaitomis įvykdytas mokėjimo operacijas.
Nukrypstant nuo 1 dalies, mokėjimo paslaugų teikėjams griežto kliento autentiškumo patvirtinimo taikymo išimtis nėra taikoma, kai įvykdoma viena iš šių sąlygų:
mokėjimo paslaugų vartotojas internetine prieiga prie 1 dalyje nurodytos informacijos naudojasi pirmą kartą;
praėjo daugiau kaip 180 dienų nuo tada, kai mokėjimo paslaugų vartotojas paskutinį kartą naudojosi internetine prieiga prie 1 dalyje nurodytos informacijos ir buvo taikytas griežtas kliento autentiškumo patvirtinimas.
10a straipsnis
Prieiga prie mokėjimo sąskaitos informacijos per informavimo apie sąskaitas paslaugų teikėją
Mokėjimo paslaugų teikėjai netaiko griežto kliento autentiškumo patvirtinimo, kai mokėjimo paslaugų vartotojas naudojasi internetine prieiga prie savo mokėjimo sąskaitos per informavimo apie sąskaitas paslaugų teikėją, su sąlyga, kad neatskleisdamas neskelbtinų mokėjimo duomenų jis gali internetu sužinoti tik vieną iš šių dalykų:
vienos ar kelių nurodytų mokėjimo sąskaitų likutį;
per paskutines 90 dienų naudojantis viena ar keliomis nurodytomis mokėjimo sąskaitomis įvykdytas mokėjimo operacijas.
Nukrypstant nuo 1 dalies, mokėjimo paslaugų teikėjai taiko griežtą kliento autentiškumo patvirtinimą, kai įvykdoma viena iš šių sąlygų:
mokėjimo paslaugų vartotojas internetine prieiga prie 1 dalyje nurodytos informacijos per informavimo apie sąskaitas paslaugų teikėją naudojasi pirmą kartą;
praėjo daugiau kaip 180 dienų nuo tada, kai mokėjimo paslaugų vartotojas paskutinį kartą naudojosi internetine prieiga prie 1 dalyje nurodytos informacijos per informavimo apie sąskaitas paslaugų teikėją ir buvo taikytas griežtas kliento autentiškumo patvirtinimas.
11 straipsnis
Bekontakčiai mokėjimai pardavimo vietose
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo, jeigu jie įvykdo 2 straipsnio reikalavimus, kai mokėtojas inicijuoja bekontaktę elektroninę mokėjimo operaciją, su sąlyga, kad įvykdomos šios sąlygos:
atskiros bekontaktės elektroninės mokėjimo operacijos vertė neviršija 50 EUR ir
bendra ankstesnių bekontakčių elektroninių mokėjimo operacijų, inicijuotų mokėjimo priemone, turinčia bekontaktę funkciją, vertė nuo paskutinio karto, kai taikytas griežtas kliento autentiškumo patvirtinimas, neviršija 150 EUR arba
iš eilės vykdytų bekontakčių elektroninių mokėjimo operacijų, inicijuotų mokėjimo priemone, turinčia bekontaktę funkciją, skaičius nuo paskutinio karto, kai taikytas griežtas kliento autentiškumo patvirtinimas, neviršija penkių.
12 straipsnis
Neprižiūrimi transporto ir automobilių stovėjimo mokesčių terminalai
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo, jeigu jie įvykdo 2 straipsnio reikalavimus, kai mokėtojas inicijuoja elektroninę mokėjimo operaciją neprižiūrimame mokėjimo terminale siekdamas sumokėti transporto ar automobilių stovėjimo mokesčius.
13 straipsnis
Patikimi gavėjai
14 straipsnis
Pasikartojančios operacijos
15 straipsnis
Kredito pervedimai tarp to paties fizinio ar juridinio asmens sąskaitų
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo, jeigu jie įvykdo 2 straipsnio reikalavimus, kai mokėtojas inicijuoja kredito pervedimą tais atvejais, kai mokėtojas ir gavėjas yra tas pats fizinis arba juridinis asmuo ir abi mokėjimo sąskaitas tvarko tas pats sąskaitą tvarkantis mokėjimo paslaugų teikėjas.
16 straipsnis
Mažos vertės operacijos
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo, kai mokėtojas inicijuoja nuotolinę elektroninę mokėjimo operaciją, jeigu įvykdomos šios sąlygos:
nuotolinės elektroninės mokėjimo operacijos vertė neviršija 30 EUR ir
ankstesnių nuotolinių elektroninių mokėjimo operacijų, mokėtojo inicijuotų nuo paskutinio karto, kai taikytas griežtas kliento autentiškumo patvirtinimas, bendra vertė neviršija 100 EUR arba
ankstesnių nuotolinių elektroninių mokėjimo operacijų, mokėtojo inicijuotų nuo paskutinio karto, kai taikytas griežtas kliento autentiškumo patvirtinimas, skaičius neviršija penkių atskirų nuotolinių elektroninių mokėjimo operacijų iš eilės.
17 straipsnis
Saugūs įmonių mokėjimo procesai ir protokolai
Mokėjimo paslaugų teikėjams leidžiama netaikyti griežto kliento autentiškumo patvirtinimo juridiniams asmenims, inicijuojantiems elektronines mokėjimo operacijas naudojant specialius mokėjimo procesus ar protokolus, prieinamus tik mokėtojams, kurie nėra vartotojai, kai kompetentingos institucijos įsitikina, kad tais procesais ar protokolais užtikrinamo saugumo lygis yra ne žemesnis nei numatytasis Direktyvoje (ES) 2015/2366.
18 straipsnis
Operacijos rizikos analizė
1 dalyje nurodyta elektroninė mokėjimo operacija laikoma mažai rizikinga, kai įvykdomos visos šios sąlygos:
mokėjimo paslaugų teikėjo nurodytas ir pagal 19 straipsnį apskaičiuotas šios rūšies operacijų sukčiavimo rodiklis prilygsta orientaciniams sukčiavimo rodikliams, nurodytiems priedo lentelėje atitinkamai prie „nuotolinių elektroninių kortele grindžiamų mokėjimų“ ir „nuotolinių elektroninių kredito pervedimų“, arba yra už juos mažesnis;
operacijos suma neviršija atitinkamos išimties ribinės vertės, nurodytos priedo lentelėje;
atlikdami rizikos analizę realiuoju laiku mokėjimo paslaugų teikėjai nenustatė nė vieno iš šių:
mokėtojui nebūdingų išlaidų arba elgsenos modelių;
neįprastos informacijos apie mokėtojo prieigą naudojantis prietaisu ir (arba) programine įranga;
užkrėtimo kenkimo programine įranga per bet kurį autentiškumo patvirtinimo seansą;
žinomo sukčiavimo scenarijaus teikiant mokėjimo paslaugas;
mokėtojui nebūdingos buvimo vietos;
labai rizikingos gavėjo buvimo vietos.
Mokėjimo paslaugų teikėjai, ketinantys netaikyti griežto kliento autentiškumo patvirtinimo elektroninėms nuotolinėms mokėjimo operacijoms, nes šios yra mažos rizikos, atsižvelgia bent į šiuos rizika grindžiamus veiksnius:
ankstesnius atskiro mokėjimo paslaugų vartotojo išlaidų modelius;
ankstesnes kiekvieno mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojo mokėjimų operacijas;
mokėtojo ir gavėjo vietą mokėjimo operacijos vykdymo metu tais atvejais, kai prieigos prietaisą arba programinę įrangą suteikė mokėjimo paslaugų teikėjas;
nustatytus mokėjimo paslaugų vartotojui nebūdingus mokėjimo modelius, lyginant su ankstesnėmis šio vartotojo mokėjimo operacijomis.
Siekdamas nustatyti, ar konkrečiam mokėjimui galima netaikyti griežto kliento autentiškumo patvirtinimo, mokėjimo paslaugų teikėjas atlikdamas vertinimą visus šiuos rizika grindžiamus veiksnius įtraukia į kiekvienos atskiros operacijos rizikos įvertinimą.
19 straipsnis
Sukčiavimo rodiklių apskaičiavimas
Kiekvienos rūšies operacijų bendri sukčiavimo rodikliai apskaičiuojami bendrą neautorizuotų arba nesąžiningų nuotolinių mokėjimo operacijų vertę, nepriklausomai nuo to, ar lėšos buvo atgautos, ar ne, padalijus iš visų tos pačios rūšies operacijų, kurių autentiškumas patvirtintas taikant griežtą kliento autentiškumo patvirtinimą arba kurios įvykdytos taikant bet kurią 13–18 straipsniuose nurodytą išimtį, bendros paskutinio ketvirčio (90 dienų) vertės.
20 straipsnis
Remiantis operacijos rizikos analize atšauktos išimtys
21 straipsnis
Stebėjimas
Siekdami pasinaudoti 10–18 straipsniuose nurodytomis išimtimis, mokėjimo paslaugų teikėjai bent kas ketvirtį fiksuoja ir stebi šiuos kiekvienos rūšies mokėjimo operacijų, skirstomų į nuotolines ir nenuotolines mokėjimo operacijas, duomenis:
bendrą neautorizuotų ar nesąžiningų mokėjimo operacijų vertę pagal Direktyvos (ES) 2015/2366 64 straipsnio 2 dalį, bendrą visų mokėjimo operacijų vertę ir apskaičiuotą sukčiavimo rodiklį, taip pat suskirstant mokėjimo operacijas į inicijuotas taikant griežtą kliento autentiškumo patvirtinimą ir pagal kiekvieną iš išimčių;
vidutinę operacijos vertę, taip pat suskirstant mokėjimo operacijas į inicijuotas taikant griežtą kliento autentiškumo patvirtinimą ir pagal kiekvieną iš išimčių;
mokėjimo operacijų skaičių kiekvienos išimties taikymo atveju ir jų procentinę dalį, palyginti su bendru mokėjimo operacijų skaičiumi.
IV SKYRIUS
MOKĖJIMO PASLAUGŲ VARTOTOJŲ PERSONALIZUOTŲ SAUGUMO POŽYMIŲ KONFIDENCIALUMAS IR VIENTISUMAS
22 straipsnis
Bendrieji reikalavimai
Taikydami 1 dalį, mokėjimo paslaugų teikėjai užtikrina, kad būtų vykdomi visi šie reikalavimai:
rodomi personalizuoti saugumo požymiai yra paslepiami ir negali būti visi perskaitomi, kai mokėjimo paslaugų vartotojas juos įveda autentiškumo patvirtinimo metu;
nei personalizuoti saugumo požymiai duomenų formatu, nei kriptografinė medžiaga, susijusi su personalizuotų saugumo požymių šifravimu, nesaugomi grynojo teksto (angl. plaintext) formatu;
slapta kriptografinė medžiaga apsaugoma nuo neteisėto atskleidimo.
23 straipsnis
Požymių kūrimas ir perdavimas
Mokėjimo paslaugų teikėjai užtikrina, kad personalizuoti saugumo požymiai būtų kuriami saugioje aplinkoje.
Jie sumažina personalizuotų saugumo požymių ir atpažinties prietaisų bei programinės įrangos neautorizuoto naudojimo riziką po jų praradimo, vagystės ar nukopijavimo iki jų pateikimo mokėtojui.
24 straipsnis
Susiejimas su mokėjimo paslaugų vartotoju
Taikydami 1 dalį, mokėjimo paslaugų teikėjai užtikrina, kad būtų vykdomi visi šie reikalavimai:
personalizuotų saugumo požymių ir atpažinties prietaisų bei programinės įrangos susiejimas su mokėjimo paslaugų vartotojo tapatybe atliekamas saugioje aplinkoje, už kurią atsako mokėjimo paslaugų teikėjas ir kurią sudaro bent mokėjimo paslaugų teikėjo patalpos, mokėjimo paslaugų teikėjo suteikta interneto aplinka ar kitos panašios saugios interneto svetainės, kurias naudoja mokėjimo paslaugų teikėjas ir jo bankomatai, atsižvelgiant į riziką, susijusią su prietaisais ir pagrindiniais susiejimo procese naudojamais komponentais, už kuriuos mokėjimo paslaugų teikėjas neatsako;
personalizuotų saugumo požymių ir atpažinties prietaisų bei programinės įrangos susiejimas su mokėjimo paslaugų vartotojo tapatybe nuotolinio ryšio priemone atliekamas taikant griežtą kliento autentiškumo patvirtinimą.
25 straipsnis
Požymių, atpažinties prietaisų ir programinės įrangos pateikimas
Taikydami 1 dalį, mokėjimo paslaugų teikėjai bent taiko visas šias priemones:
veiksmingas ir saugias pateikimo priemones, kuriomis užtikrinama, kad personalizuoti saugumo požymiai, atpažinties prietaisai ir programinė įranga būtų pateikti teisėtam mokėjimo paslaugų vartotojui;
priemones, leidžiančias mokėjimo paslaugų teikėjui patikrinti mokėjimo paslaugų vartotojui internetu pateiktos atpažinties programinės įrangos autentiškumą;
priemones, kuriomis užtikrinama, kad pateikiant personalizuotus saugumo požymius ne mokėjimo paslaugų teikėjo patalpose arba nuotolinio ryšio priemone:
jokia neturinti leidimo šalis negalėtų gauti daugiau kaip vieno personalizuotų saugumo požymių, atpažinties prietaisų ir programinės įrangos elemento, kai šie pateikiami ta pačia ryšio priemone;
prieš naudojant pateiktus personalizuotus saugumo požymius, atpažinties prietaisus ir programinę įrangą, juos reikėtų aktyvinti;
priemones, kuriomis užtikrinama, kad tais atvejais, kai personalizuotus saugumo požymius, atpažinties prietaisus ir programinę įrangą reikia aktyvinti prieš pirmą jų panaudojimą, aktyvacija vyktų saugioje aplinkoje pagal 24 straipsnyje nurodytas susiejimo procedūras.
26 straipsnis
Personalizuotų saugumo požymių atnaujinimas
Mokėjimo paslaugų teikėjai užtikrina, kad personalizuotų saugumo požymių atnaujinimas arba pakartotinė aktyvacija vyktų laikantis požymių ir atpažinties prietaisų kūrimo, susiejimo ir pateikimo procedūrų pagal 23, 24 ir 25 straipsnius.
27 straipsnis
Sunaikinimas, deaktyvacija ir atšaukimas
Mokėjimo paslaugų teikėjai užtikrina veiksmingų procesų įdiegimą, kad būtų galima taikyti kiekvieną iš šių saugumo priemonių:
saugų personalizuotų saugumo požymių, atpažinties prietaisų ir programinės įrangos sunaikinimą, deaktyvaciją ar atšaukimą;
tais atvejais, kai mokėjimo paslaugų teikėjas platina pakartotinai naudojamus prietaisus ir programinę įrangą, – saugaus pakartotinio prietaiso arba programinės įrangos naudojimo nustatymą, dokumentavimą ir įgyvendinimą prieš pateikiant juos kitam mokėjimo paslaugų vartotojui;
informacijos, susijusios su personalizuotais saugumo požymiais ir saugomos mokėjimo paslaugų teikėjo sistemose ir duomenų bazėse, o atitinkamais atvejais ir viešose duomenų saugyklose, deaktyvaciją ar atšaukimą.
V SKYRIUS
BENDRI IR SAUGŪS ATVIRIEJI RYŠIŲ STANDARTAI
28 straipsnis
Identifikavimo reikalavimai
29 straipsnis
Atsekamumas
Taikant 1 dalį, mokėjimo paslaugų teikėjai užtikrina, kad visiems ryšių seansams su mokėjimo paslaugų vartotoju, kitais mokėjimo paslaugų teikėjais ir kitais subjektais, įskaitant pardavėjus, būtų taikoma kiekviena iš šių priemonių:
seanso unikalus identifikatorius;
saugumo mechanizmai, įrašantys išsamius operacijos duomenis, įskaitant operacijos numerį, laiko žymas ir visus svarbius operacijos duomenis;
laiko žymos, grindžiamos bendrąja laiko nuorodų sistema ir sinchronizuojamos pagal oficialų laiko signalą.
30 straipsnis
Prieigos sąsajoms taikomi bendrieji reikalavimai
Sąskaitas tvarkantys mokėjimo paslaugų teikėjai, suteikiantys mokėtojui mokėjimo sąskaitą, kuri yra prieinama internetu, įdiegia bent vieną sąsają, atitinkančią kiekvieną iš šių reikalavimų:
informavimo apie sąskaitas paslaugų teikėjai, mokėjimo inicijavimo paslaugų teikėjai ir mokėjimo paslaugų teikėjai, išleidžiantys kortele grindžiamas mokėjimo priemones, gali identifikuotis sąskaitą tvarkančio mokėjimo paslaugų teikėjo sistemoje;
informavimo apie sąskaitas paslaugų teikėjai gali palaikyti saugius ryšius prašydami informacijos apie vieną ar daugiau nurodytų mokėjimo sąskaitų ir susijusias mokėjimo operacijas ir šią informaciją gaudami;
mokėjimo inicijavimo paslaugų teikėjai gali palaikyti saugius ryšius inicijuodami mokėjimo nurodymo vykdymą iš mokėtojo mokėjimo sąskaitos ir gaudami visą informaciją apie mokėjimo operacijos inicijavimą ir visą informaciją, prieinamą sąskaitas tvarkantiems mokėjimo paslaugų teikėjams, apie mokėjimo operacijos įvykdymą.
Sąsaja turi atitikti bent visus šiuos reikalavimus:
mokėjimo inicijavimo paslaugų teikėjas arba informavimo apie sąskaitas paslaugų teikėjas turi galėti nurodyti sąskaitą tvarkančiam mokėjimo paslaugų teikėjui pradėti autentiškumo patvirtinimą, remiantis mokėjimo paslaugų vartotojo sutikimu;
sąskaitas tvarkančių mokėjimo paslaugų teikėjų, informavimo apie sąskaitas paslaugų teikėjų, mokėjimo inicijavimo paslaugų teikėjų ir visų susijusių mokėjimo paslaugų vartotojų ryšių seansai pradedami ir palaikomi visą autentiškumo patvirtinimo procesą;
užtikrinamas personalizuotų saugumo požymių ir atpažinties kodų, perduodamų mokėjimo inicijavimo paslaugų teikėjo arba informavimo apie sąskaitas paslaugų teikėjo arba per juos, vientisumas ir konfidencialumas.
Sąskaitas tvarkantys mokėjimo paslaugų teikėjai taip pat užtikrina, kad visų sąsajų techninės specifikacijos būtų dokumentuotos, nurodant procedūras, protokolus ir priemones, reikalingus mokėjimo inicijavimo paslaugų teikėjams, informavimo apie sąskaitas paslaugų teikėjams ir mokėjimo paslaugų teikėjams, išleidžiantiems kortele grindžiamas mokėjimo priemones, kad jų programinė įranga ir programos galėtų sąveikauti su sąskaitas tvarkančių mokėjimo paslaugų teikėjų sistemomis.
Ne vėliau kaip likus šešiems mėnesiams iki 38 straipsnio 2 dalyje nurodytos taikymo pradžios datos arba iki numatytos prieigos sąsajos pateikimo rinkai datos, kai ji yra po 38 straipsnio 2 dalyje nurodytos datos, sąskaitas tvarkantys mokėjimo paslaugų teikėjai nemokamai paprašius pateikia bent turimus dokumentus turintiems leidimą mokėjimo inicijavimo paslaugų teikėjams, informavimo apie sąskaitas paslaugų teikėjams ir mokėjimo paslaugų teikėjams, išleidžiantiems kortele grindžiamas mokėjimo priemones, arba mokėjimo paslaugų teikėjams, kurie į savo kompetentingas institucijas kreipėsi dėl atitinkamo leidimo, ir savo interneto svetainėje paviešina dokumentų santrauką.
Mokėjimo paslaugų teikėjai dokumentuoja kritines situacijas, kurioms susiklosčius buvo atlikti pakeitimai, ir paprašius pateikia dokumentus kompetentingoms institucijoms.
Tačiau naudojantis testavimo priemone negali būti dalijamasi jokia neskelbtina informacija.
31 straipsnis
Galimos prieigos sąsajos
Sąskaitas tvarkantys mokėjimo paslaugų teikėjai pateikia 30 straipsnyje nurodytą (-as) sąsają (-as) įdiegdami specialiąją sąsają arba leisdami 30 straipsnio 1 dalyje nurodytiems mokėjimo paslaugų teikėjams naudoti sąsajas, naudojamas autentiškumo patvirtinimui ir ryšiams su sąskaitą tvarkančio mokėjimo paslaugų teikėjo mokėjimo paslaugų vartotojais.
32 straipsnis
Specialiajai sąsajai taikomi reikalavimai
33 straipsnis
Specialiajai sąsajai skirtos nenumatytų atvejų priemonės
Tuo tikslu sąskaitas tvarkantys mokėjimo paslaugų teikėjai užtikrina, kad 30 straipsnio 1 dalyje nurodyti mokėjimo paslaugų teikėjai galėtų būti identifikuojami ir galėtų pasikliauti autentiškumo patvirtinimo procedūromis, kurias sąskaitą tvarkantis mokėjimo paslaugų teikėjas teikia mokėjimo paslaugų vartotojui. Naudodamiesi 4 dalyje nurodyta sąsaja, 30 straipsnio 1 dalyje nurodyti mokėjimo paslaugų teikėjai:
imasi visų priemonių, kurių reikia siekiant užtikrinti, kad jie neprieitų prie duomenų, jų nesaugotų ar netvarkytų kitais tikslais nei teikdami paslaugą, kurios prašo mokėjimo paslaugų vartotojas;
toliau laikosi atitinkamų Direktyvos (ES) 2015/2366 66 straipsnio 3 dalyje ir 67 straipsnio 2 dalyje nurodytų pareigų;
įrašo duomenis, prie kurių prieinama naudojantis sąsaja, kurią sąskaitą tvarkantis mokėjimo paslaugų teikėjas teikia savo mokėjimo paslaugų vartotojams, ir paprašius be reikalo nedelsdami pateikia įrašų žurnalo rinkmenas savo nacionalinėms kompetentingoms institucijoms;
paprašius be reikalo nedelsdami savo nacionalinėms kompetentingoms institucijoms deramai pagrindžia sąsajos, pateiktos mokėjimo paslaugų vartotojams, kad galėtų tiesiogiai internetu jungtis prie savo mokėjimo sąskaitos, naudojimą;
atitinkamai informuoja sąskaitą tvarkantį mokėjimo paslaugų teikėją.
Pasikonsultavusios su EBI ir siekdamos užtikrinti, kad toliau nurodytos sąlygos būtų nuosekliai taikomos, kompetentingos institucijos atleidžia specialiąją sąsają pasirinkusius sąskaitas tvarkančius mokėjimo paslaugų teikėjus nuo pareigos nustatyti 4 dalyje nurodytą nenumatytų atvejų mechanizmą, kai specialioji sąsaja atitinka visas šias sąlygas:
atitinka visus specialiosioms sąsajoms taikomus reikalavimus pagal 32 straipsnį;
yra sukurta ir testuota pagal 30 straipsnio 5 dalį, o testavimo rezultatai tenkino čia minėtų mokėjimo paslaugų teikėjų reikalavimus;
buvo mokėjimo paslaugų teikėjų plačiai naudojama bent tris mėnesius teikiant informavimo apie sąskaitas paslaugas, mokėjimo inicijavimo paslaugas ir disponavimo lėšomis patvirtinimo kortele grindžiamiems mokėjimams paslaugas;
visos su specialiąja sąsaja susijusios problemos buvo išspręstos be reikalo nedelsiant.
34 straipsnis
Sertifikatai
Taikant šį reglamentą, 1 dalyje nurodyti kvalifikuoti elektroninio spaudo sertifikatai arba interneto svetainių tapatumo nustatymo sertifikatai tarptautinių finansų sričiai įprasta kalba turi papildomus specifinius požymius, susijusius su:
mokėjimo paslaugų teikėjo funkcija, kurią gali sudaryti viena ar kelios iš šių:
sąskaitos tvarkymas;
mokėjimo inicijavimas;
sąskaitos informacija;
kortele grindžiamų mokėjimo priemonių išdavimas;
kompetentingų institucijų, kuriose registruotas mokėjimo paslaugų teikėjas, pavadinimu.
35 straipsnis
Ryšių seanso saugumas
Informavimo apie sąskaitas paslaugų teikėjai, mokėjimo inicijavimo paslaugų teikėjai ir mokėjimo paslaugų teikėjai, išleidžiantys kortele grindžiamas mokėjimo priemones, palaikydami ryšius su sąskaitą tvarkančiu mokėjimo paslaugų teikėju, naudoja vienareikšmes nuorodas, žyminčias:
mokėjimo paslaugų vartotoją (-us) ir atitinkamą ryšių seansą siekiant atskirti kelis to paties mokėjimo paslaugų vartotojo (-ų) prašymus;
mokėjimo inicijavimo paslaugų atveju – inicijuotą mokėjimo operaciją, kuriai suteiktas unikalus identifikatorius;
disponavimo lėšomis patvirtinimo atveju – prašymą, susijusį su suma, reikalinga kortele grindžiamai mokėjimo operacijai įvykdyti, kuriam suteiktas unikalus identifikatorius.
Jeigu jų kompetencijai priklausančių personalizuotų saugumo požymių konfidencialumas pažeidžiamas, atitinkami teikėjai nedelsdami informuoja su tais požymiais susijusį mokėjimo paslaugų vartotoją ir personalizuotų saugumo požymių išdavėją.
36 straipsnis
Keitimasis duomenimis
Sąskaitas tvarkantys mokėjimo paslaugų teikėjai laikosi visų šių reikalavimų:
jie pateikia informavimo apie sąskaitas paslaugų teikėjams tą pačią informaciją apie nurodytas mokėjimo sąskaitas ir susijusias mokėjimo operacijas, kuri yra pateikiama mokėjimo paslaugų vartotojui, kai jis tiesiogiai prašo prieigos prie sąskaitos informacijos, jeigu ši informacija neapima neskelbtinų mokėjimo duomenų;
iš karto po to, kai gavo mokėjimo nurodymą, jie pateikia mokėjimo inicijavimo paslaugų teikėjams tą pačią informaciją apie mokėjimo operacijos inicijavimą ir įvykdymą, kurią pateikia arba parodo mokėjimo paslaugų vartotojui, kai šis operaciją inicijuoja tiesiogiai;
gavę prašymą jie iš karto pateikia mokėjimo paslaugų teikėjams patvirtinimą paprastu „taip“ arba „ne“ atsakymu, nurodydami, ar suma, reikalinga mokėjimo operacijai įvykdyti, yra mokėtojo mokėjimo sąskaitoje.
Kai pagal 32 straipsnį sąskaitą tvarkantis mokėjimo paslaugų teikėjas teikia specialiąją sąsają, toje sąsajoje yra numatyti pranešimai apie nenumatytus įvykius ar klaidas, kuriuos bet kuris mokėjimo paslaugų teikėjas, aptikęs įvykį ar klaidą, siunčia kitiems mokėjimo paslaugų teikėjams, dalyvaujantiems ryšių seanse.
Informavimo apie sąskaitas paslaugų teikėjai turi prieigą prie informacijos iš nurodytų mokėjimo sąskaitų ir susijusių mokėjimo operacijų, kurią saugo sąskaitas tvarkantys mokėjimo paslaugų teikėjai siekdami teikti informavimo apie sąskaitas paslaugą bet kuriuo iš šių atvejų:
kai mokėjimo paslaugų vartotojas aktyviai tokios informacijos prašo;
kai mokėjimo paslaugų vartotojas aktyviai tokios informacijos neprašo, ne dažniau kaip keturis kartus per 24 valandų laikotarpį, išskyrus atvejus, kai informavimo apie sąskaitas paslaugų teikėjas ir sąskaitą tvarkantis mokėjimo paslaugų teikėjas susitaria dėl kitokio periodiškumo ir gauna tam mokėjimo paslaugų vartotojo sutikimą.
VI SKYRIUS
BAIGIAMOSIOS NUOSTATOS
37 straipsnis
Peržiūra
Nedarant poveikio Direktyvos (ES) 2015/2366 98 straipsnio 5 dalies taikymui, EBI peržiūri 2021 m. kovo 14 d. šio reglamento priede nurodytus sukčiavimo rodiklius ir pagal 33 straipsnio 6 dalį suteiktas išimtis, susijusias su specialiosiomis sąsajomis, ir prireikus atnaujintus jų projektus pagal Reglamento (ES) Nr. 1093/2010 10 straipsnį pateikia Komisijai.
38 straipsnis
Įsigaliojimas
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
PRIEDAS
|
Orientacinis sukčiavimo rodiklis (%) |
|
Išimties ribinė vertė |
Nuotoliniai elektroniniai kortele grindžiami mokėjimai |
Nuotoliniai elektroniniai kredito pervedimai |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) 2013 m. birželio 26 d. Europos Parlamento ir Tarybos direktyva 2013/36/ES dėl galimybės verstis kredito įstaigų veikla ir dėl riziką ribojančios kredito įstaigų ir investicinių įmonių priežiūros, kuria iš dalies keičiama Direktyva 2002/87/EB ir panaikinamos direktyvos 2006/48/EB bei 2006/49/EB (OL L 176, 2013 6 27, p. 338).