02018R0389 — LV — 12.09.2023 — 002.001
Šis dokuments ir tikai informatīvs, un tam nav juridiska spēka. Eiropas Savienības iestādes neatbild par tā saturu. Attiecīgo tiesību aktu un to preambulu autentiskās versijas ir publicētas Eiropas Savienības “Oficiālajā Vēstnesī” un ir pieejamas datubāzē “Eur-Lex”. Šie oficiāli spēkā esošie dokumenti ir tieši pieejami, noklikšķinot uz šajā dokumentā iegultajām saitēm
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2018/389 (2017. gada 27. novembris), ar ko Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem par drošu lietotāja autentificēšanu un vienotiem un drošiem atklātiem saziņas standartiem (OV L 069, 13.3.2018., 23. lpp) |
Grozīta ar:
|
|
Oficiālais Vēstnesis |
||
Nr. |
Lappuse |
Datums |
||
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2022/2360 (2022. gada 3. augusts), |
L 312 |
1 |
5.12.2022 |
|
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2023/1650 (2023. gada 15. maijs), |
L 208 |
1 |
23.8.2023 |
KOMISIJAS DELEĢĒTĀ REGULA (ES) 2018/389
(2017. gada 27. novembris),
ar ko Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/2366 papildina attiecībā uz regulatīvajiem tehniskajiem standartiem par drošu lietotāja autentificēšanu un vienotiem un drošiem atklātiem saziņas standartiem
(Dokuments attiecas uz EEZ)
I NODAĻA
VISPĀRĪGI NOTEIKUMI
1. pants
Priekšmets
Ar šo regulu nosaka prasības, kas maksājumu pakalpojumu sniedzējiem jāievēro, lai īstenotu drošības pasākumus, kas tiem ļauj rīkoties šādi:
piemērot drošas lietotāju autentificēšanas procedūru saskaņā ar Direktīvas (ES) 2015/2366 97. pantu;
atbrīvot no drošas lietotāju autentificēšanas drošības prasības piemērošanas saskaņā ar konkrētiem un ierobežotiem nosacījumiem, kas balstīti uz riska pakāpi, maksājumu darījumu summas un atkārtošanās un to izpildei izmantotā maksājumu kanāla;
aizsargāt maksājumu pakalpojumu lietotāja personalizēto drošības datu konfidencialitāti un integritāti;
izstrādāt vienotus un drošus atklātos standartus attiecībā uz saziņu starp kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem, maksājumu iniciēšanas pakalpojumu sniedzējiem, konta informācijas pakalpojumu sniedzējiem, maksātājiem, maksājumu saņēmējiem un citiem maksājumu pakalpojumu sniedzējiem saistībā ar maksājumu pakalpojumu sniegšanu un izmantošanu, piemērojot Direktīvas (ES) 2015/2366 IV sadaļu.
2. pants
Vispārīgas autentificēšanas prasības
Šie mehānismi ir balstīti uz analīzi par maksājumu darījumiem, ņemot vērā elementus, kas ir raksturīgi maksājumu pakalpojumu lietotājam personalizēto drošības datu parastas lietošanas apstākļos.
Maksājumu pakalpojumu sniedzēji nodrošina, ka darījumu uzraudzības mehānismos ir ņemti vērā vismaz katrs no šiem riska faktoriem:
saraksti ar kompromitētiem vai nozagtiem autentifikācijas elementiem;
katra maksājumu darījuma summa;
zināmie krāpšanas scenāriji maksājumu pakalpojumu sniegšanas jomā;
ļaunprogrammatūras infekcijas pazīmes kādā autentifikācijas procedūru sesijā;
ja piekļuves ierīci vai programmatūru nodrošina maksājumu pakalpojumu sniedzējs, reģistrs ar maksājumu pakalpojumu lietotājam sniegtās piekļuves ierīces vai programmatūras izmantojumu un piekļuves ierīces vai programmatūras anormālu izmantojumu.
3. pants
Drošības pasākumu pārskatīšana
Tomēr maksājumu pakalpojumu sniedzējiem, kuri izmanto 18. pantā minēto atbrīvojumu, vismaz reizi gadā veic revīziju attiecībā uz metodoloģiju, modeļiem un paziņotajiem krāpšanas gadījumu rādītājiem. Revidentam, kas veic šādu revīziju, ir specializētas zināšanas par IT drošību un maksājumiem un operacionālā neatkarība maksājumu pakalpojumu sniedzēja ietvaros vai no tā. Pirmā gada laikā, kad tiek izmantots atbrīvojums saskaņā ar 18. pantu, un pēc tam vismaz reizi trijos gados vai biežāk pēc kompetentās iestādes pieprasījuma, šo revīziju veic neatkarīgs un kvalificēts ārējais revidents.
Visu pārskatu dara pieejamu kompetentām iestādēm pēc to pieprasījuma.
II NODAĻA
DROŠĪBAS PASĀKUMI DROŠAS LIETOTĀJU AUTENTIFICĒŠANAS PIEMĒROŠANAI
4. pants
Autentifikācijas kods
Maksājumu pakalpojumu sniedzējs autentifikācijas kodu pieņem tikai tad, kad maksātājs izmanto autentifikācijas kodu, lai piekļūtu savam maksājumu kontam tiešsaistē, sāktu elektronisku maksājuma darījumu vai veiktu kādu darbību, izmantojot attālinātu kanālu, kas varētu ietvert ar maksājumiem saistītas krāpšanas risku vai cita veida ļaunprātīgu rīcību.
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji veic drošības pasākumus, lai nodrošinātu, ka ir izpildītas visas šādas prasības:
ja autentifikācijas kods tiek izpausts, no tā nevar izsecināt informāciju par kādu no 1. punktā minētajiem elementiem;
nav iespējams ģenerēt jaunu autentifikācijas kodu, pamatojoties uz informāciju par kādu citu iepriekš ģenerētu autentifikācijas kodu;
autentifikācijas kodu nevar viltot.
Maksājumu pakalpojumu sniedzēji nodrošina, ka autentifikācija, izmantojot autentifikācijas koda ģenerēšanu, ietver katru no turpmāk minētajiem pasākumiem:
ja attālinātas piekļuves, attālinātu elektronisko maksājumu un citu darbību autentifikācijas laikā, izmantojot attālinātu kanālu, kas varētu ietvert ar maksājumiem saistītas krāpšanas risku vai cita veida ļaunprātīgu rīcību, nav izdevies ģenerēt autentifikācijas kodu 1. punkta nolūkos, nav iespējams noteikt, kuri no šajā punktā minētajiem elementiem bija nepareizi;
neveiksmīgu pēc kārtas veiktu autentifikācijas mēģinājumu skaits, pēc kura Direktīvas (ES) 2015/2366 97. panta 1. punktā minētās darbības tiek uz laiku vai pastāvīgi bloķētas, nedrīkst pārsniegt piecus mēģinājumus noteiktā laika periodā;
saskaņā ar V nodaļas prasībām saziņas sesijas ir aizsargātas pret autentifikācijas laikā nosūtīto autentifikācijas datu pārtveršanu un pret nepiederīgu personu manipulācijām;
lai piekļūtu savam maksājumu kontam tiešsaistē, maksimālais maksātāja bezdarbības laiks pēc autentificēšanās nedrīkst pārsniegt piecas minūtes.
Maksātāju brīdina, pirms bloks kļūst pastāvīgs.
Ja bloks ir kļuvis pastāvīgs, ievieš drošu procedūru, kas maksātājam ļauj atgūt bloķētā elektronisko maksājumu instrumenta izmantojumu.
5. pants
Dinamiskā sasaiste
Ja maksājumu pakalpojumu sniedzēji piemēro drošu lietotāju autentificēšanu saskaņā ar Direktīvas (ES) 2015/2366 97. panta 2. punktu, papildus šīs regulas 4. panta prasībām tie pieņem arī drošības pasākumus, kas atbilst visām šādām prasībām:
maksātājs jāinformē par maksājumu darījuma summu un maksājuma saņēmēju;
ģenerētais autentifikācijas kods ir specifisks maksājumu darījuma summai un maksājuma saņēmējam, par kuru maksātājs ir vienojies, uzsākot darījumu;
maksājumu pakalpojumu sniedzēja pieņemtais autentifikācijas kods atbilst sākotnējai maksājumu darījuma specifiskajai summai un saņēmēja identitātei, par kuru maksātājs ir vienojies;
ja mainās summa vai maksājuma saņēmējs, ģenerētais autentifikācijas kods vairs nav spēkā.
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji veic drošības pasākumus, kas nodrošina konfidencialitāti, autentiskumu un integritāti attiecībā uz:
darījuma summu un maksājuma saņēmēju visos autentifikācijas posmos;
informāciju, kas maksātājam redzama visu autentificēšanas posmu laikā, tostarp autentifikācijas koda ģenerēšanas, nosūtīšanas un izmantošanas laikā.
Šā panta 1. punkta b) apakšpunkta nolūkā un ja maksājumu pakalpojumu sniedzēji piemēro drošu lietotāju autentificēšanu saskaņā ar Direktīvas (ES) 2015/2366 97. panta 2. punktu, attiecībā uz autentifikācijas kodu piemēro šādas prasības:
attiecībā uz kartei piesaistītu maksājuma darījumu, kuram maksātājs ir devis piekrišanu attiecībā uz bloķējamo līdzekļu precīzu summu saskaņā ar minētās direktīvas 75. panta 1. punktu, autentifikācijas kods ir specifisks attiecībā uz summu, kuru maksātājs ir piekritis bloķēt un par kuru maksātājs ir vienojies, iniciējot darījumu;
attiecībā uz maksājumu darījumiem, kuriem maksātājs ir devis piekrišanu izpildīt partiju ar attālinātiem elektronisko maksājumu darījumiem ar vienu vai vairākiem maksājumu saņēmējiem, autentifikācijas kods ir specifisks maksājumu darījumu partijas kopsummai un konkrētajiem maksājumu saņēmējiem.
6. pants
Prasības attiecībā uz elementiem, kas kategorizēti kā zināšanas
7. pants
Prasības attiecībā uz elementiem, kas kategorizēti kā turējums
8. pants
Prasības attiecībā uz ierīcēm un programmatūru, kas saistīta ar elementiem, kuri kategorizēti kā neatņemamas īpašības
9. pants
Elementu neatkarība
2. punkta nolūkos riska mazināšanas pasākumi ietver katru no šiem elementiem:
atdalītas, drošas izpildes vides izmantošana ar daudzfunkcionālajā ierīcē uzstādītas programmatūras starpniecību;
mehānismi, lai nodrošinātu, ka maksātājs vai trešā persona nav mainījuši programmatūru vai ierīci;
ja ir notikušas izmaiņas – mehānismi to seku mazināšanai.
III NODAĻA
ATBRĪVOJUMI NO PRASĪBAS PAR DOŠU LIETOTĀJU AUTENTIFICĒŠANU
10. pants
Piekļuve maksājumu konta informācijai tieši pie kontu apkalpojošā maksājumu pakalpojumu sniedzēja
Ja ir ievērotas 2. pantā noteiktās prasības, maksājumu pakalpojumu sniedzējiem ir ļauts nepiemērot drošu lietotāju autentificēšanu gadījumā, ja maksājumu pakalpojumu lietotājs tieši piekļūst savam maksājumu kontam tiešsaistē, un ar noteikumu, ka piekļuve tiešsaistē attiecas tikai uz vienu no šādiem elementiem un netiek izpausti sensitīvi maksājumu dati:
viena vai vairāku noteiktu maksājumu kontu atlikums;
maksājumu darījumi, kas pēdējo 90 dienu laikā veikti, izmantojot vienu vai vairākus noteiktus maksājumu kontus.
Atkāpjoties no šā panta 1. punkta, pakalpojumu sniedzējiem nedrīkst piemērot atbrīvojumu no drošas lietotāju autentificēšanas, ja ir izpildīts kāds no šādiem nosacījumiem:
maksājumu pakalpojumu lietotājs pirmo reizi tiešsaistē piekļūst informācijai, kas minēta 1. punktā;
kopš iepriekšējās reizes, kad maksājumu pakalpojumu lietotājs tiešsaistē piekļuva informācijai, kas noteikta 1. punkta b) apakšpunktā, un izmantoja drošu lietotāja autentificēšanu, ir pagājušas vairāk nekā 180 dienas.
10.a pants
Piekļuve maksājumu konta informācijai ar konta informācijas pakalpojumu sniedzēja starpniecību
Maksājumu pakalpojumu sniedzēji nepiemēro drošu lietotāju autentificēšanu, ja maksājumu pakalpojumu lietotājs piekļūst savam maksājumu kontam tiešsaistē ar konta informācijas pakalpojumu sniedzēja starpniecību un ar noteikumu, ka, neizpaužot sensitīvus maksājumu datus, piekļuve tiešsaistē attiecas tikai uz vienu no šādiem elementiem:
viena vai vairāku noteiktu maksājumu kontu atlikums;
maksājumu darījumi, kas pēdējo 90 dienu laikā veikti, izmantojot vienu vai vairākus noteiktus maksājumu kontus.
Atkāpjoties no šā panta 1. punkta, pakalpojumu sniedzēji piemēro drošu lietotāju autentificēšanu, ja ir izpildīts kāds no šādiem nosacījumiem:
maksājumu pakalpojumu lietotājs pirmo reizi ar konta informācijas pakalpojumu sniedzēja starpniecību tiešsaistē piekļūst informācijai, kas minēta 1. punktā;
kopš iepriekšējās reizes, kad maksājumu pakalpojumu lietotājs ar konta informācijas pakalpojumu sniedzēja starpniecību tiešsaistē ir piekļuvis informācijai, kas noteikta 1. punkta b) apakšpunktā, un izmantojis drošu lietotāja autentificēšanu, ir pagājušas vairāk nekā 180 dienas.
11. pants
Bezkontakta maksājumi tirdzniecības vietā
Maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot drošu lietotāja autentificēšanu (ja ir ievērotas 2. pantā noteiktās prasības) gadījumos, kad maksātājs iniciē bezkontakta elektronisko maksājumu darījumu, ar noteikumu, ka ir izpildīti šādi nosacījumi:
bezkontakta elektroniskā maksājumu darījuma atsevišķā vērtība nepārsniedz EUR 50; un
iepriekšējo bezkontakta elektronisko maksājumu darījumu, kas iniciēti ar maksājumu instrumentu, kam ir bezkontakta funkcionalitāte, kumulatīvā summa, skaitot no drošas lietotāju autentificēšanas pēdējā piemērošanas datuma, nepārsniedz EUR 150; vai
secīgo bezkontakta elektronisko maksājumu darījumu, kas iniciēti ar maksājumu instrumentu, kam ir bezkontakta funkcionalitāte, skaits kopš drošas lietotāju autentificēšanas pēdējās piemērošanas, nepārsniedz piecus.
12. pants
Neuzraudzīti maksājumu termināļi transporta maksām un stāvvietas izmantošanas maksām
Maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot drošu lietotāja autentificēšanu (ja ir nodrošināta atbilstība 2. pantā noteiktajām prasībām) gadījumos, kad maksātājs iniciē elektronisku maksājumu darījumu neuzraudzītā terminālī, lai samaksātu transporta maksu vai stāvvietas izmantošanas maksu.
13. pants
Uzticami saņēmēji
14. pants
Atkārtoti maksājumi
15. pants
Kredītpārvedumi starp vienas un tās pašas fiziskas vai juridiskas personas kontiem
Maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot drošu lietotāju autentificēšanu (ja ir ievērotas 2. pantā noteiktās prasības) gadījumā, kad maksātājs ierosina kredītpārvedumu apstākļos, kuros maksātājs un maksājuma saņēmējs ir viena un tā pati fiziska vai juridiska persona, un abus maksājumu kontus tur viens un tas pats kontu apkalpojošais maksājumu pakalpojumu sniedzējs.
16. pants
Zemas vērtības darījumi
Maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot drošu lietotāja autentificēšanu gadījumos, kad maksātājs iniciē attālinātu elektronisko maksājumu darījumu, ja ir izpildīti šādi nosacījumi:
elektroniskā maksājumu darījuma vērtība nepārsniedz EUR 30; un
iepriekšējo attālinātu elektronisko maksājumu darījumu, kurus maksātājs iniciējis kopš pēdējās drošas lietotāju autentificēšanas izmantošanas, kumulatīvā vērtība nepārsniedz EUR 100; vai
iepriekšējo attālinātu elektronisko maksājumu darījumu, kurus maksātājs iniciējis kopš pēdējās drošas lietotāju autentificēšanas izmantošanas, skaits nepārsniedz piecus secīgus, atsevišķus attālinātos elektronisko maksājumu darījumus.
17. pants
Droši korporatīvo maksājumu procesi un protokoli
Maksājumu pakalpojumu sniedzējiem ir atļauts nepiemērot drošu lietotāju autentificēšanu attiecībā uz juridiskajām personām, kas iniciē elektronisko maksājumu darījumus, izmantojot specializētus maksāšanas procesus vai protokolus, kas ir pieejami tikai tiem maksātājiem, kas nav patērētāji, ja kompetentās iestādes ir pārliecinātas, ka šie procesi vai protokoli nodrošina vismaz līdzvērtīgu drošības līmeni tam, kas paredzēts Direktīvā (ES) 2015/2366.
18. pants
Darījuma riska analīze
Elektronisku maksājuma darījumu, kas minēts 1. punktā, uzskata par tādu, kas rada zema līmeņa risku, ja ir izpildīti visi šādi nosacījumi:
attiecībā uz šāda veida darījumu krāpšanas līmenis, par ko maksājumu pakalpojumu sniedzējs ziņo un kas aprēķināts saskaņā ar 19. pantu, ir vienāds ar krāpšanas atsauces koeficientu, kas norādītas pielikuma tabulā “attālināti, elektroniski, kartēm piesaistīti maksājumi” un “attālināti, elektroniski kredītpārvedumi”, vai zemāks par to;
darījuma summa nepārsniedz attiecīgo atbrīvojuma robežvērtību (“AR”), kas norādīta pielikuma tabulā;
maksājumu pakalpojumu sniedzēji reāllaika riska analīzes rezultātā nav konstatējuši nevienu no šādām iezīmēm:
anormāli tēriņi vai maksātāja uzvedības modelis;
neparasta informācija par maksātāja piekļuves ierīci/programmatūru;
ļaunprogrammatūras infekcija kādā autentifikācijas procedūru sesijā;
zināms krāpšanas scenārijs maksājumu pakalpojumu sniegšanā;
anormāla maksātāja atrašanās vieta;
maksātāja atrašanās vieta ir augsta riska vieta.
Maksājumu pakalpojumu sniedzēji, kas plāno elektroniskiem attālinātajiem maksājumu darījumiem piemērot atbrīvojumu no drošas lietotāju autentificēšanas, pamatojoties uz to, ka tie rada nelielu risku, ņem vērā vismaz šādus riska faktorus:
atsevišķā maksājumu pakalpojumu lietotāja tēriņu modelis;
katra maksājumu pakalpojumu sniedzēja maksājumu pakalpojumu lietotāja maksājumu darījumu vēsture;
maksātāja un maksājuma saņēmēja atrašanās vieta maksājumu darījuma brīdī gadījumos, kad maksājumu pakalpojumu sniedzējs nodrošina piekļuves ierīci vai programmatūru;
maksājumu pakalpojumu lietotāja anormāla maksājumu modeļa apzināšana lietotāja maksājumu darījumu vēsturē.
Maksājumu pakalpojumu sniedzēja izvērtējumā visus šos riska faktorus apvieno riska novērtējumā par katru atsevišķo darījumu, lai noteiktu, vai konkrēts maksājums būtu jāatļauj bez drošas lietotāju autentificēšanas.
19. pants
Krāpšanas koeficientu aprēķināšana
Kopējo krāpšanas koeficientu katram darījumu veidam aprēķina kā neatļautu vai krāpniecisku attālināto maksājumu darījumu kopējo vērtību (neatkarīgi no tā, vai līdzekļi ir atgūti vai nē), kas dalīta ar kopējo vērtību visiem tāda paša veida attālinātajiem maksājumu darījumiem (neatkarīgi no tā, vai tie autentificēti, piemērojot drošu klientu autentificēšanu, vai izpildīti saskaņā ar 13. līdz 18. pantā minētajiem atbrīvojumiem), katru ceturksni (90 dienas).
20. pants
Uz darījumu riska analīzes balstītu atbrīvojumu piemērošanas pārtraukšana
21. pants
Uzraudzība
Lai izmantotu 10. līdz 18. pantā noteiktos atbrīvojumus, maksājumu pakalpojumu sniedzēji vismaz reizi ceturksnī reģistrē un uzrauga šādus datus par katru maksājumu darījumu veidu, norādot gan attālinātos, gan neattālinātos maksājumu darījumus:
kopējā vērtība neatļautiem vai krāpnieciskiem maksājumu darījumiem saskaņā ar Direktīvas (ES) 2015/2366 64. panta 2. punktu, kopējā vērtība visiem maksājumu darījumiem un izrietošais krāpšanas koeficients, tostarp tādu maksājumu darījumu sadalījums, kas iniciēti, izmantojot drošu lietotāju autentificēšanu un saskaņā ar katru no atbrīvojumiem;
vidējā darījumu vērtība, tostarp tādu maksājumu darījumu sadalījums, kas iniciēti, izmantojot drošu lietotāju autentificēšanu un saskaņā ar katru no atbrīvojumiem;
maksājumu darījumu skaits, kuros piemērots katrs atbrīvojums, un to procentuālā daļa attiecībā pret maksājumu darījumu kopskaitu.
IV NODAĻA
MAKSĀJUMU PAKALPOJUMU LIETOTĀJU PERSONALIZĒTO DROŠĪBAS DATU KONFIDENCIALITĀTE UN INTEGRITĀTE
22. pants
Vispārīgas prasības
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji nodrošina, ka ir izpildītas visas šādas prasības:
personalizētie drošības dati uz displeja ir anonimizēti un nav salasāmi pilnā apjomā, kad maksājumu pakalpojumu lietotājs tos ievada autentificēšanas laikā;
personalizēti drošības dati datu formātā, kā arī kriptogrāfiska informācija saistībā ar personalizēto drošības datu šifrēšanu netiek glabāta nešifrētā tekstā;
slepena kriptogrāfiska informācija ir aizsargāta no neatļautas izpaušanas.
23. pants
Personīgo drošības datu izveide un nosūtīšana
Maksājumu pakalpojumu sniedzēji nodrošina, ka personīgo drošības datu izveide notiek drošā vidē.
Tie mazina riskus, kas saistīti ar personalizēto drošības datu un autentificēšanas ierīču un programmatūras neatļautu izmantošanu nozaudēšanas, zādzības vai kopēšanas gadījumā pirms to piegādes maksātājam.
24. pants
Saistīšana ar maksājumu pakalpojumu lietotāju
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji nodrošina, ka ir izpildītas visas šādas prasības:
maksājumu pakalpojumu lietotāja identitātes saistīšana ar personalizētajiem drošības datiem, autentifikācijas ierīcēm un programmatūru tiek veikta drošā vidē, kas saskaņā ar maksājumu pakalpojumu sniedzēja atbildību sastāv vismaz no maksājumu pakalpojumu sniedzēja telpām, maksājumu pakalpojumu sniedzēja nodrošinātas interneta vides vai citas līdzīgas drošas tīmekļa vietnes, ko izmanto maksājumu pakalpojumu sniedzējs un tā bankomātu pakalpojumi, un ņemot vērā riskus, kas saistīti ar ierīcēm un sastāvdaļām, ko izmanto sasaistīšanas procesa laikā un par ko neatbild maksājumu pakalpojumu sniedzējs;
maksājumu pakalpojuma lietotāja identitātes sasaistīšanu, izmantojot attālinātu kanālu, ar personalizētajiem drošības datiem un autentifikācijas ierīcēm vai programmatūru veic, izmantojot lietotāju autentificēšanu.
25. pants
Personalizēto drošības datu, autentifikācijas ierīču un programmatūras piegāde
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji piemēro vismaz katru no šiem pasākumiem:
efektīvi un droši piegādes mehānismi, ar ko nodrošina, ka personalizētie drošības dati, autentifikācijas ierīces un programmatūra tiek piegādāta likumīgajam maksājumu pakalpojumu lietotājam;
mehānismi, kas dod iespēju maksājumu pakalpojumu sniedzējam pārbaudīt maksājumu pakalpojumu lietotājam pa internetu piegādātās autentifikācijas programmatūras autentiskumu;
pasākumi, ar ko nodrošina, ka gadījumā, ja personalizēto drošības datu piegāde notiek ārpus maksājumu pakalpojumu sniedzēja telpām vai izmantojot attālinātu kanālu:
nepiederošas personas nevar iegūt vairāk nekā vienu personalizēto drošības datu, autentifikācijas ierīces vai programmatūras iezīmi, ja to piegādā, izmantojot to pašu kanālu;
piegādātie personalizētie drošības dati, autentifikācijas ierīces vai programmatūras pirms izmantošanas ir jāaktivizē;
pasākumi, ar ko nodrošina, ka gadījumos, kad personalizētie drošības dati, autentifikācijas ierīces vai programmatūra ir jāaktivizē pirms to pirmās izmantošanas, aktivizācija notiek drošā vidē saskaņā ar 24. pantā minēto procedūru.
26. pants
Personalizēto drošības datu atjaunošana
Maksājumu pakalpojumu sniedzēji nodrošina, ka personalizēto drošības datu atjaunošana vai atkārtota aktivizācija atbilst personīgo drošības datu un autentifikācijas ierīču izveides, saistīšanas un piegādes procedūrām saskaņā ar 23., 24. un 25. pantu.
27. pants
Iznīcināšana, deaktivizācija un atsaukšana
Maksājumu pakalpojumu sniedzēji nodrošina, ka tiem ir efektīvi procesi, lai piemērotu katru no šādiem drošības pasākumiem:
personalizēto drošības datu, autentifikācijas ierīču un programmatūras droša iznīcināšana, dezaktivēšana vai atsaukšana;
ja maksājumu pakalpojumu sniedzējs izplata atkārtoti izmantojamas autentifikācijas ierīces un programmatūru, ierīces vai programmatūras drošu atkārtotu izmantošanu nosaka, dokumentē un īsteno, pirms tās dara pieejamas citam maksājumu pakalpojumu lietotājam;
informācijas, kas saistīta personalizēto drošības datu, kas tiek glabāti maksājumu pakalpojumu sniedzēja sistēmās un datubāzēs, un attiecīgā gadījumā valsts reģistros, dezaktivēšana vai atsaukšana.
V NODAĻA
KOPĪGI UN DROŠI ATKLĀTI SAZIŅAS STANDARTI
28. pants
Prasības par identifikāciju
29. pants
Izsekojamība
Šā panta 1. punkta vajadzībām maksājumu pakalpojumu sniedzēji nodrošina, ka visas saziņas sesijas ar maksājumu pakalpojumu lietotāju, citiem maksājumu pakalpojumu sniedzējiem un citām struktūrām, tostarp tirgotājiem, ir balstītas uz visu turpmāk minēto:
unikāls sesijas identifikators;
drošības mehānismi, lai detalizēti reģistrētu darījumu, ieskaitot darījuma numuru, laika zīmogus un visus attiecīgos datus par darījumu;
laika zīmogi, kas balstās uz vienotu laika atsauces sistēmu un kas ir sinhronizēti saskaņā ar oficiālu laika signālu.
30. pants
Vispārīgi pienākumi piekļuvei saskarnēm
Kontu apkalpojošiem maksājumu pakalpojumu sniedzējiem, kas maksātājam piedāvā tiešsaistē pieejamu maksājumu kontu, ir vismaz viena saskarne, kas atbilst visām šādām prasībām:
konta informācijas pakalpojumu sniedzēji, maksājumu iniciēšanas pakalpojumu sniedzēji un maksājumu pakalpojumu sniedzēji, kas izdod kartei piesaistītus maksājumu instrumentus, var sevi identificēt kontu apkalpojošajam maksājumu pakalpojumu sniedzējam;
konta informācijas pakalpojumu sniedzēji spēj droši sazināties, lai pieprasītu un saņemtu informāciju par vienu vai vairākiem maksājumu kontiem un saistītiem maksājumu darījumiem;
maksājumu iniciēšanas pakalpojumu sniedzēji spēj droši sazināties, lai iniciētu maksājuma uzdevumu no maksātāja maksājumu konta un saņemtu visu informāciju par maksājumu darījuma uzsākšanu un visu informāciju, kas kontu apkalpojošajam maksājumu pakalpojumu sniedzējiem pieejama saistībā ar maksājumu darījuma izpildi.
Saskarnes atbilst vismaz visām šādām prasībām:
maksājumu iniciēšanas pakalpojumu sniedzējs vai konta informācijas pakalpojumu sniedzējs spēj kontu apkalpojošajam maksājumu pakalpojumu sniedzējam dot norādījumus sākt autentifikāciju, pamatojoties uz maksājumu pakalpojumu lietotāja piekrišanu;
saziņas sesijas starp kontu apkalpojošajiem maksājumu pakalpojumu sniedzējiem, konta informācijas pakalpojumu sniedzēju, maksājumu iniciēšanas pakalpojumu sniedzēju un jebkuru attiecīgo maksājumu pakalpojumu lietotāju izveido un uztur ar autentifikācijas starpniecību;
nodrošina personalizēto drošības datu un maksājumu iniciēšanas pakalpojumu sniedzēja vai konta informācijas pakalpojumu sniedzēja (vai caur to) nosūtīto autentifikācijas kodu integritāti un konfidencialitāti.
Kontu apkalpojošie maksājumu pakalpojumu sniedzēji nodrošina arī to, ka visu saskarņu tehniskās specifikācijas tiek dokumentētas, precizējot režīmu, protokolu un instrumentu kopumu, kas vajadzīgi maksājumu iniciēšanas pakalpojumu sniedzējiem, konta informācijas pakalpojumu sniedzējiem un maksājumu pakalpojumu sniedzējiem, kas izdod kartei piesaistītus maksājumu instrumentus, lai to programmatūras un lietojumprogrammas būtu sadarbspējīgas ar kontu apkalpojošo maksājumu pakalpojumu sniedzēju sistēmām.
Kontu apkalpojošie maksājumu pakalpojumu sniedzēji vismaz vienu un ne mazāk kā sešus mēnešus pirms pieteikuma iesniegšanas datuma, kas minēts 38. panta 2. punktā, vai pirms mērķa datuma, kurā paredzēts laist tirgū piekļuves saskarni, ja laišana tirgū notiek pēc 38. panta 2. punktā minētās dienas, bez maksas un pēc atļauju saņēmušu maksājumu iniciēšanas pakalpojumu sniedzēju, konta informācijas pakalpojumu sniedzēju un maksājumu pakalpojumu sniedzēju, kas izdod kartei piesaistītus maksājumu instrumentus, vai maksājumu pakalpojumu sniedzēju, kuri ir pieteikušies savās kompetentajās iestādēs, lai saņemtu attiecīgo atļauju, pieprasījuma dara pieejamu dokumentāciju un minētās dokumentācijas kopsavilkumu dara publiski pieejamu savā tīmekļa vietnē.
Maksājumu pakalpojumu sniedzēji dokumentē ārkārtas situācijas, kurās izmaiņas tika īstenotas, un dokumentāciju dara pieejamu kompetentajām iestādēm pēc to pieprasījuma.
Tomēr caur testēšanas mehānismu nedrīkst apmainīties ar jutīgu informāciju.
31. pants
Piekļuves saskarnes opcijas
Kontu apkalpojošie maksājumu pakalpojumu sniedzēji izveido 30. pantā minēto saskarni(-es), izmantojot specializētu saskarni vai ļaujot 30. panta 1. punktā minētajiem maksājumu pakalpojumu sniedzējiem izmantot saskarnes, kas lietotas kontu apkalpojošo maksājumu pakalpojumu sniedzēju un maksājumu pakalpojumu lietotāju autentificēšanai un saziņai ar tiem.
32. pants
Pienākumi saistībā ar specializētu saskarni
33. pants
Ārkārtas pasākumi specializētai saskarnei
Šajā nolūkā kontu apkalpojošais maksājumu pakalpojumu sniedzējs nodrošina, ka 30. panta 1. punktā minētos maksājumu pakalpojumu sniedzējus var identificēt un ka tie var paļauties uz autentifikācijas procedūrām, kuras kontu apkalpojošais maksājumu pakalpojumu sniedzējs ir nodrošinājis maksājumu pakalpojumu lietotājam. Ja 30. panta 1. punktā minētie maksājumu pakalpojumu sniedzēji izmanto 4. punktā minēto saskarni, tie:
veic vajadzīgos pasākumus, lai nodrošinātu, ka tiem nav piekļuves, uzglabā vai apstrādā datus citos nolūkos nekā pakalpojuma sniegšana, kā to pieprasījis maksājumu pakalpojumu lietotājs;
turpina izpildīt saistības, kas izriet no attiecīgi Direktīvas (ES) 2015/2366 66. panta 3. punkta un 67. panta 2. punkta;
reģistrē datus, kam piekļūts, izmantojot saskarni, ko uztur kontu apkalpojošais maksājumu pakalpojumu sniedzējs saviem maksājumu pakalpojumu lietotājiem, un pēc pieprasījuma un bez liekas kavēšanās iesniedz žurnālfailus savai kompetentajai valsts iestādei;
savai kompetentajai valsts iestādei pēc pieprasījuma un bez nepamatotas kavēšanās pienācīgi pamato saskarnes, kas darīta pieejama maksājumu pakalpojumu lietotājiem, izmantošanu, lai tieši piekļūtu savam maksājumu kontam tiešsaistē;
attiecīgi informē kontu apkalpojošo maksājumu pakalpojumu sniedzēju.
Kompetentās iestādes pēc apspriešanās ar EBI, lai nodrošinātu šādu nosacījumu konsekventu piemērošanu, atbrīvo kontu apkalpojošos maksājumu pakalpojumu sniedzējus, kuri ir izvēlējušies specializēto saskarni, no pienākuma izveidot 4. punktā aprakstīto ārkārtas mehānismu, ja specializētā saskarne atbilst visiem šādiem nosacījumiem:
tā atbilst visiem 32. pantā specializētām saskarnēm paredzētajiem noteikumiem;
tā ir izstrādāta un testēta saskaņā ar 30. panta 5. punktu par labu maksājumu pakalpojumu sniedzējiem, kas minēti pantā;
maksājumu pakalpojumu sniedzēji to ir plaši izmantojuši vismaz trīs mēnešu garumā, lai sniegtu konta informācijas pakalpojumu un maksājumu iniciēšanas pakalpojumu un lai sniegtu apstiprinājumu par naudas līdzekļu pieejamību uz kartēm piesaistītiem maksājumiem;
visas problēmas, kas saistītas ar specializēto saskarni, ir atrisinātas bez liekas kavēšanās.
34. pants
Sertifikāti
Šīs regulas nolūkos kvalificēti sertifikāti elektroniskajiem zīmogiem vai tīmekļa vietņu autentifikācijai, kā minēts 1. punktā, iekļauj – valodā, kuru parasti lieto starptautisko finanšu jomā – papildu īpašas iezīmes saistībā ar katru no turpmāk minētajiem elementiem:
maksājumu pakalpojumu sniedzēja loma, kura varbūt viena vai vairākas no šādām lomām:
konta apkalpošana;
maksājumu iniciēšana;
konta informācija;
kartei piesaistītu maksājumu instrumentu izdošana;
to kompetento iestāžu nosaukums, kurās maksājumu pakalpojumu sniedzējs ir reģistrēts.
35. pants
Saziņas sesijas drošība
Konta informācijas pakalpojumu sniedzēji, maksājumu iniciēšanas pakalpojumu sniedzēji un maksājumu pakalpojumu sniedzēji, kas izdod kartei piesaistītus maksājumu instrumentus ar kontu apkalpojošo maksājumu pakalpojumu sniedzēju, ietver nepārprotamas atsauces uz katru no šiem punktiem:
maksājumu pakalpojumu lietotājs vai lietotāji un attiecīgā saziņas sesija, lai atšķirtu vairākus pieprasījumus no viena un tā paša maksājumu pakalpojumu lietotāja vai lietotājiem;
attiecībā uz maksājumu iniciēšanas pakalpojumiem – unikāli identificētais maksājuma darījums, kas iniciēts;
attiecībā uz apstiprinājumu par līdzekļu pieejamību – identificēts pieprasījums saistībā ar summu, kas vajadzīga, lai izpildītu kartei piesaistīto maksājumu darījumu.
Ja personalizēti drošības dati, kas ir pakalpojumu sniedzēju kompetences jomā, zaudē konfidencialitāti, šie pakalpojumu sniedzēji bez liekas kavēšanās informē maksājumu pakalpojumu lietotāju, kas ar tiem saistīts, un personalizēto drošības datu izdevēju.
36. pants
Apmaiņa ar datiem
Kontu apkalpojošie maksājumu pakalpojumu sniedzēji atbilst visām šādām prasībām:
viņi sniedz konta informācijas pakalpojumu sniedzējiem to pašu informāciju no specializētiem maksājumu kontiem un saistītiem maksājumu darījumiem, kas darīta pieejama maksājumu pakalpojumu lietotājam, kad tieši pieprasīta piekļuve konta informācijai, ja šī informācija neietver sensitīvus maksājumu datus;
tie tūlīt pēc maksājuma uzdevuma saņemšanas sniedz maksājumu iniciēšanas pakalpojumu sniedzējiem to pašu informāciju par maksājuma darījumu iniciēšanu un izpildi, kas maksājumu pakalpojumu lietotājam ir pieejama, kad tas darījumu iniciē tieši;
tie pēc pieprasījuma nekavējoties sniedz maksājuma pakalpojuma sniedzējiem apstiprinājumu vienkāršā “jā” vai “nē” formātā par to, vai daudzums, kas vajadzīgs maksājuma darījuma izpildei, ir pieejams maksātāja maksājumu kontā.
Ja kontu apkalpojošais maksājumu pakalpojumu sniedzējs piedāvā speciālu saskarni saskaņā ar 32. pantu, saskarnē tiek paredzēti paziņojumi par negaidītiem notikumiem vai kļūdām, par kurām maksājumu pakalpojumu sniedzējs, kurš konstatē attiecīgo notikumu vai kļūdu, paziņo pārējiem maksājumu pakalpojumu sniedzējiem, kas piedalās saziņas sesijā.
Konta informācijas pakalpojumu sniedzējiem ir iespēja piekļūt informācijai, kas izriet no specializētiem maksājumu kontiem un saistītiem maksājumu darījumiem, ko tur kontu apkalpojošie maksājumu pakalpojumu sniedzēji, lai veiktu konta informācijas pakalpojumu, ja tiek izpildīts kāds no šādiem nosacījumiem:
maksājumu pakalpojumu lietotājs aktīvi pieprasa šo informāciju;
maksājumu pakalpojumu lietotājs nav aktīvi pieprasījis šādu informāciju, proti, pieprasījumu biežums ir ne vairāk kā četras reizes 24 stundu periodā, ja vien konta informācijas pakalpojumu sniedzējs un kontu apkalpojošais maksājumu pakalpojumu sniedzējs ar maksājumu pakalpojumu lietotāja piekrišanu nav vienojušies par lielāku biežumu.
VI NODAĻA
NOBEIGUMA NOTEIKUMI
37. pants
Pārskatīšana
Neskarot Direktīvas (ES) 2015/2366 98. panta 5. punktu, EBI šīs regulas pielikumā minētos krāpšanas koeficientus un saskaņā ar 33. panta 6. punktu piešķirtos atbrīvojumus saistībā ar specializētām saskarnēm pārskata ne vēlāk kā līdz 2021. gada 14. martam un attiecīgā gadījumā Komisijai iesniedz to atjauninājumu projektus saskaņā ar Regulas (ES) Nr. 1093/2010 10. pantu.
38. pants
Stāšanās spēkā
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
PIELIKUMS
|
Krāpšanas atsauces koeficients (%): |
|
Atbrīvojuma robežvērtība (“AR”) |
Attālināti, elektroniski, kartēm piesaistīti maksājumi |
Attālināti, elektroniski kredītpārvedumi |
EUR 500 |
0,01 |
0,005 |
EUR 250 |
0,06 |
0,01 |
EUR 100 |
0,13 |
0,015 |
( 1 ) Eiropas Parlamenta un Padomes Direktīva 2013/36/ES (2013. gada 26. jūnijs) par piekļuvi kredītiestāžu darbībai un kredītiestāžu un ieguldījumu brokeru sabiedrību prudenciālo uzraudzību, ar ko groza Direktīvu 2002/87/EK un atceļ Direktīvas 2006/48/EK un 2006/49/EK (OV L 176, 27.6.2013., 338. lpp.).