This document is an excerpt from the EUR-Lex website
Document 02018R0389-20230912
Commission Delegated Regulation (EU) 2018/389 of 27 November 2017 supplementing Directive (EU) 2015/2366 of the European Parliament and of the Council with regard to regulatory technical standards for strong customer authentication and common and secure open standards of communication (Text with EEA relevance)Text with EEA relevance
Consolidated text: Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Tekst mający znaczenie dla EOG)Tekst mający znaczenie dla EOG.
Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Tekst mający znaczenie dla EOG)Tekst mający znaczenie dla EOG.
02018R0389 — PL — 12.09.2023 — 002.001
Dokument ten służy wyłącznie do celów informacyjnych i nie ma mocy prawnej. Unijne instytucje nie ponoszą żadnej odpowiedzialności za jego treść. Autentyczne wersje odpowiednich aktów prawnych, włącznie z ich preambułami, zostały opublikowane w Dzienniku Urzędowym Unii Europejskiej i są dostępne na stronie EUR-Lex. Bezpośredni dostęp do tekstów urzędowych można uzyskać za pośrednictwem linków zawartych w dokumencie
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (Tekst mający znaczenie dla EOG) (Dz.U. L 069 z 13.3.2018, s. 23) |
zmienione przez:
|
|
Dziennik Urzędowy |
||
nr |
strona |
data |
||
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2022/2360 z dnia 3 sierpnia 2022 r. |
L 312 |
1 |
5.12.2022 |
|
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2023/1650 z dnia 15 maja 2023 r. |
L 208 |
1 |
23.8.2023 |
ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2018/389
z dnia 27 listopada 2017 r.
uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji
(Tekst mający znaczenie dla EOG)
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
W niniejszym rozporządzeniu ustanawia się wymogi, które dostawcy usług płatniczych muszą spełniać w celu wdrożenia środków bezpieczeństwa umożliwiających tym dostawcom:
stosowanie procedury silnego uwierzytelniania klienta zgodnie z art. 97 dyrektywy (UE) 2015/2366;
skorzystanie z wyłączenia z obowiązku stosowania wymogów bezpieczeństwa dotyczących silnego uwierzytelniania klienta pod warunkiem spełnienia określonych i ograniczonych warunków, które zależą od poziomu ryzyka, kwoty i powtarzalnego charakteru transakcji płatniczej oraz kanału płatności wykorzystanego do jej dokonania;
ochrona poufności i integralności indywidualnych danych uwierzytelniających użytkowników usług płatniczych;
określenie wspólnych, bezpiecznych i otwartych standardów komunikacji między dostawcami usług płatniczych prowadzącymi rachunek, dostawcami świadczącymi usługę inicjowania płatności, dostawcami świadczącymi usługę dostępu do informacji o rachunku, płatnikami, odbiorcami i innymi dostawcami usług płatniczych w odniesieniu do świadczenia i korzystania z usług płatniczych przy stosowaniu tytułu IV dyrektywy (UE) 2015/2366.
Artykuł 2
Ogólne wymogi dotyczące uwierzytelniania
Podstawę tych mechanizmów stanowi analiza transakcji płatniczych z uwzględnieniem elementów, które są typowe dla danego użytkownika usług płatniczych w warunkach zwykłego stosowania indywidualnych danych uwierzytelniających.
Dostawcy usług płatniczych zapewniają uwzględnienie w ramach mechanizmów monitorowania transakcji przynajmniej każdego z następujących czynników opartych na analizie ryzyka:
wykazów elementów uwierzytelnienia, które użyto w sposób nieuprawniony lub skradziono;
kwoty każdej transakcji płatniczej;
znanych scenariuszy oszustw w zakresie świadczenia usług płatniczych;
sygnałów wskazujących na obecność złośliwego oprogramowania w którejkolwiek sesji procesu uwierzytelniania;
w przypadku udostępniania urządzenia lub oprogramowania dostępowego przez dostawcę usług płatniczych – historii stosowania urządzenia lub oprogramowania dostępowego przekazanego użytkownikowi usług płatniczych i niestandardowego korzystania z urządzenia lub oprogramowania dostępowego.
Artykuł 3
Przegląd środków bezpieczeństwa
Dostawcy usług płatniczych korzystający z wyłączenia, o którym mowa w art. 18, podlegają jednak audytowi metodyki, modelu i zgłoszonych wskaźników oszustw przeprowadzanemu co najmniej raz w roku. Audytor prowadzący przedmiotowy audyt musi posiadać wiedzę ekspercką w zakresie bezpieczeństwa informatycznego i płatności elektronicznych oraz działać niezależnie w ramach podmiotu będącego dostawcą usług płatniczych lub jako odrębny podmiot. W trakcie pierwszego roku stosowania wyłączenia na podstawie art. 18, a następnie co najmniej co trzy lata lub – na wniosek właściwego organu – częściej, przedmiotowy audyt przeprowadza niezależny i uprawniony audytor zewnętrzny.
Kompletne sprawozdanie udostępnia się właściwym organom na ich wniosek.
ROZDZIAŁ II
ŚRODKI BEZPIECZEŃSTWA PRZY STOSOWANIU SILNEGO UWIERZYTELNIENIA KLIENTA
Artykuł 4
Kod uwierzytelniający
Dostawca usług płatniczych przyjmuje kod uwierzytelniający wyłącznie jeden raz, w przypadku gdy płatnik używa kodu uwierzytelniającego w celu uzyskania dostępu do swojego rachunku płatniczego w trybie online, w celu zainicjowania elektronicznej transakcji płatniczej lub w celu przeprowadzenia jakiejkolwiek czynności za pomocą kanału zdalnego, która może wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć.
Do celów ust. 1 dostawcy usług płatniczych przyjmują środki bezpieczeństwa zapewniające spełnienie każdego z określonych poniżej wymogów:
z ujawnionego kodu uwierzytelniającego nie można pozyskać żadnych informacji dotyczących elementów, o których mowa w ust. 1;
wygenerowanie nowego kodu uwierzytelniającego nie jest możliwe na podstawie znajomości jakiegokolwiek innego kodu uwierzytelniającego wygenerowanego wcześniej;
kodu uwierzytelniającego nie można sfałszować.
Dostawcy usług płatniczych zapewniają, ab uwierzytelnianie poprzez generowanie kodu uwierzytelniającego obejmowało następujące środki:
jeżeli uwierzytelnianie na potrzeby dostępu zdalnego, zdalnych płatności elektronicznych i wszelkich innych czynności przeprowadzanych za pomocą kanału zdalnego, które mogą wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć, nie wygenerowało kodu uwierzytelniającego do celów ust. 1, nie jest możliwe ustalenie, który z elementów, o których mowa w tym ustępie, był błędny;
liczba mogących nastąpić po sobie nieudanych prób uwierzytelnienia, po przekroczeniu której wykonanie czynności, o których mowa w art. 97 ust. 1 dyrektywy (UE) 2015/2366, zostaje tymczasowo lub stale zablokowane, nie przekracza pięciu prób w określonym okresie;
sesje komunikacyjne są chronione przed przechwyceniem danych uwierzytelniających przekazywanych podczas uwierzytelniania oraz przed manipulacją ze strony osób niepowołanych, zgodnie z wymogami określonymi w rozdziale V;
maksymalny czas bezczynności płatnika po jego uwierzytelnieniu na potrzeby dostępu do jego rachunku płatniczego w trybie online nie przekracza pięciu minut.
Płatnika powiadamia się przed nałożeniem stałej blokady.
W przypadku nałożenia stałej blokady ustanawia się bezpieczną procedurę umożliwiającą płatnikowi odzyskanie dostępu do zablokowanych instrumentów płatności elektronicznej.
Artykuł 5
Dynamiczne połączenia
Jeżeli dostawcy usług płatniczych – oprócz wymogów określonych w art. 4 niniejszego rozporządzenia – stosują silne uwierzytelnianie klienta zgodnie z art. 97 ust. 2 dyrektywy (UE) 2015/2366, przyjmują oni również środki bezpieczeństwa spełniające każdy z następujących wymogów:
płatnika powiadamia się o kwocie transakcji płatniczej oraz o odbiorcy;
wygenerowany kod uwierzytelniający jest przypisany do kwoty transakcji płatniczej oraz do odbiorcy, które płatnik zaakceptował podczas inicjowania transakcji;
kod uwierzytelniający przyjęty przez dostawcę usług płatniczych odpowiada pierwotnej konkretnej kwocie transakcji płatniczej oraz tożsamości odbiorcy, które płatnik zaakceptował;
wszelkie zmiany kwoty lub odbiorcy skutkują unieważnieniem wygenerowanego kodu uwierzytelniającego.
Do celów ust. 1 dostawcy usług płatniczych przyjmują środki bezpieczeństwa zapewniające poufność, autentyczność i integralność każdego z następujących elementów:
kwoty transakcji i odbiorcy na wszystkich etapach uwierzytelniania;
informacji wyświetlanych płatnikowi na wszystkich etapach uwierzytelniania, w tym podczas generowania, przekazywania i wykorzystania kodu uwierzytelniającego.
Do celów ust. 1 lit. b) oraz jeżeli dostawcy usług płatniczych stosują silne uwierzytelnianie klienta zgodnie z art. 97 ust. 2 dyrektywy (UE) 2015/2366, do kodu uwierzytelniającego zastosowanie mają następujące wymogi:
w stosunku do transakcji płatniczych realizowanych w oparciu o kartę, w odniesieniu do których płatnik udzielił zgody na zablokowanie konkretnej kwoty środków pieniężnych zgodnie z art. 75 ust. 1 przedmiotowej dyrektywy, kod uwierzytelniający jest przypisany do kwoty, na zablokowanie której płatnik udzielił zgody i na którą przystał podczas inicjowania transakcji;
w stosunku do transakcji płatniczych, w odniesieniu do których płatnik udzielił zgody na przeprowadzenie serii zdalnych elektronicznych transakcji płatniczych na rzecz jednego odbiorcy lub wielu odbiorców, kod uwierzytelniający jest przypisany do całkowitej kwoty serii transakcji płatniczych oraz do określonych odbiorców.
Artykuł 6
Wymogi dotyczące elementów należących do kategorii „wiedza”
Artykuł 7
Wymogi dotyczące elementów należących do kategorii „posiadanie”
Artykuł 8
Wymogi dotyczące urządzeń i oprogramowania powiązanych z elementami należącymi do kategorii „cechy klienta”
Artykuł 9
Niezależność elementów
Do celów ust. 2 środki ograniczające ryzyko zawierają każdy z następujących elementów:
stosowanie osobnych bezpiecznych środowisk uruchomieniowych za pośrednictwem oprogramowania zainstalowanego na urządzeniu wielofunkcyjnym;
mechanizmy zapewniające, aby płatnik lub osoba trzecia nie dokonali zmian w oprogramowaniu bądź urządzeniu;
jeżeli wprowadzono zmiany – mechanizmy łagodzące konsekwencje wprowadzonych zmian.
ROZDZIAŁ III
WYŁĄCZENIA Z OBOWIĄZKU STOSOWANIA SILNEGO UWIERZYTELNIANIA KLIENTA
Artykuł 10
Dostęp do informacji o rachunku płatniczym bezpośrednio u dostawcy usług płatniczych prowadzącego rachunek
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, w przypadku gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego bezpośrednio w trybie online, pod warunkiem że dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online bez ujawniania szczególnie chronionych danych dotyczących płatności:
salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;
transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.
Na zasadzie odstępstwa od ust. 1 dostawcy usług płatniczych nie podlegają wyłączeniu z obowiązku stosowania silnego uwierzytelniania klienta, jeżeli spełniony jest jeden z następujących warunków:
użytkownik usług płatniczych uzyskuje dostęp do informacji określonych w ust. 1 w trybie online po raz pierwszy;
minęło więcej niż 180 dni odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji określonych w ust. 1 w trybie online oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.
Artykuł 10a
Dostęp do informacji o rachunku płatniczym za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku
Dostawcy usług płatniczych nie stosują silnego uwierzytelniania klienta w przypadku, gdy użytkownik usług płatniczych uzyskuje dostęp do swojego rachunku płatniczego w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku, pod warunkiem że dostęp ogranicza się do jednej z wymienionych niżej pozycji w trybie online bez ujawniania szczególnie chronionych danych dotyczących płatności:
salda jednego wyznaczonego rachunku płatniczego lub większej liczby wyznaczonych rachunków płatniczych;
transakcji płatniczych przeprowadzonych w ciągu ostatnich 90 dni za pośrednictwem jednego wyznaczonego rachunku płatniczego lub większej ich liczby.
Na zasadzie odstępstwa od ust. 1 dostawcy usług płatniczych stosują silne uwierzytelnianie klienta, jeżeli spełniony jest jeden z następujących warunków:
użytkownik usług płatniczych uzyskuje dostęp do informacji określonych w ust. 1 w trybie online po raz pierwszy za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku;
minęło więcej niż 180 dni odkąd użytkownik usług płatniczych po raz ostatni uzyskał dostęp do informacji określonych w ust. 1 w trybie online za pośrednictwem dostawcy świadczącego usługę dostępu do informacji o rachunku oraz odkąd ostatni raz zastosowano silne uwierzytelnianie klienta.
Artykuł 11
Płatności zbliżeniowe w punktach sprzedaży
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, w przypadku gdy płatnik inicjuje zbliżeniową elektroniczną transakcję płatniczą i jeżeli spełnione zostały następujące warunki:
pojedyncza kwota zbliżeniowej elektronicznej transakcji płatniczej nie przekracza 50 EUR; oraz
łączna kwota poprzednich zbliżeniowych elektronicznych transakcji płatniczych zainicjowanych za pomocą instrumentu płatniczego posiadającego funkcję płatności zbliżeniowej od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza 150 EUR; lub
liczba następujących po sobie zbliżeniowych elektronicznych transakcji płatniczych zainicjowanych za pomocą instrumentu płatniczego posiadającego funkcję płatności zbliżeniowej od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza pięciu.
Artykuł 12
Terminale samoobsługowe służące uiszczaniu opłat za przejazd i opłat za postój
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, jeżeli płatnik inicjuje elektroniczną transakcję płatniczą w terminale samoobsługowym służącym do regulowania opłat za przejazd lub opłat za postój.
Artykuł 13
Zaufani odbiorcy
Artykuł 14
Transakcje cykliczne
Artykuł 15
Polecenia przelewu miedzy rachunkami będącymi w posiadaniu tej samej osoby fizycznej lub prawnej
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, z zastrzeżeniem spełnienia wymogów określonych w art. 2, jeżeli płatnik inicjuje polecenie przelewu w sytuacji, gdy płatnik i odbiorca są tą samą osobą fizyczną lub prawną i oba rachunki płatnicze są prowadzone przez tego samego dostawcę usług płatniczych prowadzącego rachunek.
Artykuł 16
Transakcje niskokwotowe
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta, jeżeli płatnik inicjuje zdalną elektroniczną transakcję płatniczą i jeżeli spełnione zostały następujące warunki:
kwota zdalnej elektronicznej transakcji płatniczej nie przekracza 30 EUR; oraz
łączna kwota poprzednich zdalnych elektronicznych transakcji płatniczych zainicjowanych przez płatnika od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza 100 EUR; lub
liczba poprzednio wykonanych zdalnych elektronicznych transakcji płatniczych zainicjowanych przez płatnika od dnia ostatniego zastosowania silnego uwierzytelnienia klienta nie przekracza pięciu następujących po sobie, pojedynczych zdalnych elektronicznych transakcji płatniczych.
Artykuł 17
Procesy i protokoły realizacji bezpiecznych płatności korporacyjnych
Dostawcy usług płatniczych mogą nie stosować silnego uwierzytelniania klienta wobec osób prawnych inicjujących elektroniczne transakcje płatnicze za pośrednictwem przeznaczonych do tego procesów lub protokołów, które udostępnia się wyłącznie płatnikom niebędącym konsumentami, jeżeli właściwe organy uznają, że przedmiotowe procesy lub protokoły gwarantują poziom bezpieczeństwa równoważny co najmniej poziomowi przewidzianemu w dyrektywie (UE) 2015/2366.
Artykuł 18
Analiza ryzyka transakcji
Elektroniczną transakcję płatniczą, o której mowa w ust. 1, uznaje się za charakteryzującą się niskim poziomem ryzyka, jeżeli spełnione są wszystkie następujące warunki:
wskaźnik oszustw dla tego rodzaju transakcji, zgłoszony przez dostawcę usług płatniczych i obliczony zgodnie z art. 19, wynosi nie więcej niż referencyjne wskaźniki oszustw określone w tabeli zamieszczonej w załączniku odpowiednio dla „zdalnych płatności elektronicznych realizowanych w oparciu o kartę” i „zdalnych elektronicznych poleceń przelewu”;
kwota transakcji nie przekracza odpowiedniej wartości progu wyłączenia określonej w tabeli zamieszczonej w załączniku;
po przeprowadzeniu analizy ryzyka w czasie rzeczywistym dostawcy usług płatniczych nie stwierdzili występowania żadnego z następujących elementów:
niestandardowych wydatków lub niestandardowego wzorca zachowań płatnika;
nietypowych informacji na temat dostępu do urządzenia/oprogramowania płatnika;
wystąpienia złośliwego oprogramowania w którejkolwiek sesji procesu uwierzytelniania;
znanego scenariusza oszustwa w świadczeniu usług płatniczych;
niestandardowej lokalizacji płatnika;
lokalizacji odbiorcy wiążącej się z wysokim ryzykiem.
Dostawcy usług płatniczych, którzy mają zamiar objąć elektroniczne zdalne transakcje płatnicze wyłączeniem z obowiązku stosowania silnego uwierzytelniania klienta ze względu na to, iż wiąże się z nimi niski poziom ryzyka, uwzględniają przynajmniej następujące czynniki oparte na analizie ryzyka:
poprzednie schematy wydatków indywidualnego użytkownika usług płatniczych;
historię transakcji płatniczych każdego użytkownika usług płatniczych danego dostawcy usług płatniczych;
lokalizację płatnika i odbiorcy podczas transakcji płatniczej, w przypadku gdy urządzenie lub oprogramowanie dostępowe pochodzi od dostawcy usług płatniczych;
identyfikację niestandardowych wzorców płatności użytkownika usług płatniczych w stosunku do historii transakcji płatniczych tego użytkownika.
W ramach oceny dokonywanej przez dostawcę usług płatniczych łączy się wszystkie te czynniki oparte na analizie ryzyka, aby uzyskać punktową ocenę ryzyka dla każdej pojedynczej transakcji w celu określenia, czy konkretną płatność można przeprowadzić bez silnego uwierzytelnienia klienta.
Artykuł 19
Obliczanie wskaźników oszustw
Całkowity wskaźnik oszustw dla każdego rodzaju transakcji oblicza się jako całkowitą wartość nieautoryzowanych lub nielegalnych transakcji zdalnych – niezależnie od tego, czy środki odzyskano, czy też nie – podzieloną przez całkowitą wartość wszystkich transakcji zdalnych dla tego samego rodzaju transakcji – niezależnie od tego, czy uwierzytelniono je poprzez zastosowanie silnego uwierzytelniania klienta, czy przeprowadzono je w ramach któregokolwiek z wyłączeń, o których mowa w art. 13–18 – w ujęciu kwartalnym w trybie kroczącym (90 dni).
Artykuł 20
Zaprzestanie stosowania wyłączeń na podstawie analizy ryzyka transakcji
Artykuł 21
Monitorowanie
W celu zastosowania wyłączeń określonych w art. 10–18 dostawcy usług płatniczych co najmniej raz na kwartał dokumentują i monitorują wymienione poniżej dane dla każdego rodzaju transakcji płatniczych, z wyszczególnieniem zdalnych i niezdalnych transakcji płatniczych:
całkowitą wartość nieautoryzowanych lub nielegalnych transakcji płatniczych zgodnie z art. 64 ust. 2 dyrektywy (UE) 2015/2366, całkowitą wartość wszystkich transakcji płatniczych i wynikający z nich wskaźnik oszustw z wyszczególnieniem transakcji płatniczych zainicjowanych za pośrednictwem silnego uwierzytelniania klienta i w ramach każdego z wyłączeń;
średnią wartość transakcji z wyszczególnieniem transakcji płatniczych zainicjowanych za pośrednictwem silnego uwierzytelniania klienta i w ramach każdego z wyłączeń;
liczbę transakcji płatniczych, w stosunku do których zastosowano poszczególne wyłączenia, oraz ich udział procentowy w odniesieniu do całkowitej liczby transakcji płatniczych.
ROZDZIAŁ IV
POUFNOŚĆ I INTEGRALNOŚĆ INDYWIDUALNYCH DANYCH UWIERZYTELNIAJĄCYCH UŻYTKOWNIKÓW USŁUG PŁATNICZYCH
Artykuł 22
Wymogi ogólne
Do celów ust. 1 dostawcy usług płatniczych zapewniają spełnienie każdego z określonych poniżej wymogów:
indywidualne dane uwierzytelniające są maskowane podczas ich wyświetlania i nie można ich w pełni odczytać, kiedy użytkownik usług płatniczych wprowadza je podczas uwierzytelnienia;
indywidualnych danych uwierzytelniających w formacie danych oraz materiałów kryptograficznych powiązanych z szyfrowaniem indywidualnych danych uwierzytelniających nie przechowuje się jako zwykłego tekstu;
tajny materiał kryptograficzny jest chroniony przed nieautoryzowanym ujawnieniem.
Artykuł 23
Tworzenie i przesyłanie danych uwierzytelniających
Dostawcy usług płatniczych zapewniają tworzenie indywidualnych danych uwierzytelniających w bezpiecznym środowisku.
Ograniczają oni ryzyko nieuprawnionego wykorzystania indywidualnych danych uwierzytelniających oraz urządzeń uwierzytelniających i oprogramowania uwierzytelniającego w następstwie ich utraty, kradzieży lub skopiowania przed ich dostarczeniem do płatnika.
Artykuł 24
Powiązanie z użytkownikiem usług płatniczych
Do celów ust. 1 dostawcy usług płatniczych zapewniają spełnienie każdego z określonych poniżej wymogów:
do powiązania tożsamości użytkownika usług płatniczych z indywidualnymi danymi uwierzytelniającymi, urządzeniami uwierzytelniającymi i oprogramowaniem uwierzytelniającym dochodzi w bezpiecznym środowisku, za które odpowiedzialność ponosi dostawca usług płatniczych i do którego zaliczają się co najmniej lokale dostawcy usług płatniczych, środowisko internetowe zapewnione przez dostawcę usług płatniczych lub inne podobne bezpieczne strony internetowe wykorzystywane przez dostawcę usług płatniczych oraz jego bankomaty, a także przy uwzględnieniu ryzyka związanego z urządzeniami i podstawowymi elementami wykorzystanymi podczas procesu powiązania, za które dostawca usług płatniczych nie ponosi odpowiedzialności;
powiązanie tożsamości użytkownika usług płatniczych z indywidualnymi danymi uwierzytelniającymi, urządzeniami uwierzytelniającymi lub oprogramowaniem uwierzytelniającym za pomocą kanału zdalnego przeprowadza się z zastosowaniem silnego uwierzytelniania klienta.
Artykuł 25
Dostarczenie danych uwierzytelniających, urządzeń uwierzytelniających i oprogramowania uwierzytelniającego
Do celów ust. 1 dostawcy usług płatniczych stosują co najmniej każdy z następujących środków:
skuteczne i bezpieczne mechanizmy dostawy zapewniające dostarczenie indywidualnych danych uwierzytelniających, urządzeń uwierzytelniających i oprogramowania uwierzytelniającego uprawnionemu użytkownikowi usług płatniczych;
mechanizmy umożliwiające dostawcy usług płatniczych weryfikację autentyczności oprogramowania uwierzytelniającego dostarczonego użytkownikowi usług płatniczych za pośrednictwem internetu;
w przypadku gdy dostarczenie indywidualnych danych uwierzytelniających ma miejsce poza lokalem dostawcy usług płatniczych lub za pośrednictwem kanału zdalnego, rozwiązania zapewniające:
brak możliwości pozyskania przez osobę niepowołaną więcej niż jednego elementu indywidualnych danych uwierzytelniających, urządzeń uwierzytelniających lub oprogramowania uwierzytelniającego, w przypadku ich dostarczenia za pośrednictwem tego samego kanału;
konieczność aktywacji dostarczonych indywidualnych danych uwierzytelniających, urządzeń uwierzytelniających lub oprogramowania uwierzytelniającego przed ich użyciem;
rozwiązania zapewniające, aby w przypadku gdy indywidualne dane uwierzytelniające, urządzenia uwierzytelniające lub oprogramowanie uwierzytelniające wymagają aktywacji przed ich pierwszym użyciem, aktywacja miała miejsce w bezpiecznym środowisku i odbywała się zgodnie z procedurami powiązania, o których mowa w art. 24.
Artykuł 26
Odnowienie indywidualnych danych uwierzytelniających
Dostawcy usług płatniczych zapewniają, aby odnowienie lub ponowna aktywacja indywidualnych danych uwierzytelniających przebiegały zgodnie z procedurami tworzenia, powiązania i dostarczenia danych uwierzytelniających i urządzeń uwierzytelniających przewidzianymi w art. 23, 24 i 25.
Artykuł 27
Zniszczenie, dezaktywacja i unieważnienie
Dostawcy usług płatniczych zapewniają wdrożenie skutecznych procesów pozwalających na stosowanie każdego z następujących środków bezpieczeństwa:
bezpiecznego zniszczenia, dezaktywacji lub unieważnienia indywidualnych danych uwierzytelniających, urządzeń uwierzytelniających i oprogramowania uwierzytelniającego;
jeżeli dostawca usług płatniczych udostępnia urządzenia uwierzytelniające i oprogramowanie uwierzytelniające wielokrotnego użytku, urządzenie lub oprogramowanie przywraca się do stanu umożliwiającego jego bezpieczne ponowne wykorzystanie, a proces ten dokumentuje się i realizuje przed udostępnieniem ich innemu użytkownikowi usług płatniczych;
dezaktywacji lub unieważnienia informacji związanych z indywidualnymi danymi uwierzytelniającymi przechowywanych w systemach i bazach danych dostawcy usług płatniczych oraz – w stosownych przypadkach – w publicznych repozytoriach.
ROZDZIAŁ V
WSPÓLNE I BEZPIECZNE OTWARTE STANDARDY KOMUNIKACJI
Artykuł 28
Wymogi dotyczące identyfikacji
Artykuł 29
Identyfikowalność
Do celów ust. 1 dostawcy usług płatniczych zapewniają, aby wszelkie sesje komunikacyjne ustanawiane z użytkownikiem usług płatniczych, innymi dostawcami usług płatniczych i innymi podmiotami, w tym z akceptantami, opierały się na:
niepowtarzalnym identyfikatorze sesji;
mechanizmach bezpieczeństwa umożliwiających szczegółowe rejestrowanie transakcji, w tym numeru transakcji, znaczników czasu i wszystkich istotnych danych związanych z transakcją;
znacznikach czasu, które opierają się na ujednoliconym systemie odniesienia czasowego i które są synchronizowane zgodnie z oficjalnym sygnałem czasu.
Artykuł 30
Obowiązki ogólne dotyczące interfejsów dostępowych
Dostawcy usług płatniczych prowadzący rachunek, którzy oferują płatnikowi rachunek płatniczy dostępny za pośrednictwem internetu, posiadają co najmniej jeden interfejs spełniający każdy z następujących wymogów:
dostawcy świadczący usługę dostępu do informacji o rachunku, dostawcy świadczący usługę inicjowania płatności i dostawcy usług płatniczych wydający instrumenty płatnicze oparte na karcie są w stanie zidentyfikować się wobec dostawcy usług płatniczych prowadzącego rachunek;
dostawcy świadczący usługę dostępu do informacji o rachunku są w stanie bezpiecznie komunikować się w celu wystąpienia o informacje i uzyskania informacji na temat jednego wyznaczonego rachunku płatniczego lub większej ich liczby i powiązanych transakcji płatniczych;
dostawcy świadczący usługę inicjowania płatności są w stanie bezpiecznie komunikować się w celu zainicjowania zlecenia płatniczego z rachunku płatniczego płatnika i uzyskania wszystkich informacji dotyczących zainicjowania transakcji płatniczej oraz wszystkich informacji dotyczących realizacji transakcji płatniczej, do których dostęp mają dostawcy usług płatniczych prowadzący rachunek.
Interfejs ten spełnia co najmniej wszystkie następujące wymogi:
dostawca świadczący usługę inicjowania płatności lub dostawca świadczący usługę dostępu do informacji o rachunku jest w stanie zlecić dostawcy usług płatniczych prowadzącemu rachunek rozpoczęcie uwierzytelniania na podstawie zgody wyrażonej przez użytkownika usług płatniczych;
sesje komunikacyjne, w których uczestniczą dostawca usług płatniczych prowadzący rachunek, dostawca świadczący usługę dostępu do informacji o rachunku, dostawca świadczący usługę inicjowania płatności i jakikolwiek zainteresowany użytkownik usług płatniczych, ustanawia się i utrzymuje przez cały czas trwania procesu uwierzytelnienia;
zapewniona jest integralność i poufność indywidualnych danych uwierzytelniających i kodów uwierzytelniających przekazywanych przez dostawcę świadczącego usługę inicjowania płatności lub dostawcę świadczącego usługę dostępu do informacji o rachunku lub za pośrednictwem tych dostawców.
Dostawcy usług płatniczych prowadzący rachunek zapewniają również dokumentację każdego interfejsu określającą zestaw procedur, protokołów i narzędzi, którego dostawcy świadczący usługę inicjowania płatności, dostawcy świadczący usługę dostępu do informacji o rachunku i dostawcy usług płatniczych wydający instrumenty płatnicze oparte na karcie potrzebują, aby umożliwić współdziałanie ich oprogramowania i aplikacji z systemami dostawców usług płatniczych prowadzących rachunek.
Dostawcy usług płatniczych prowadzący rachunek co najmniej udostępniają nieodpłatnie dokumentację na wniosek posiadających zezwolenie dostawców świadczących usługę inicjowania płatności, dostawców świadczących usługę dostępu do informacji o rachunku i dostawców usług płatniczych wydających instrumenty płatnicze oparte na karcie lub dostawców usług płatniczych, którzy złożyli do swoich właściwych organów wniosek o stosowne zezwolenie, nie później niż sześć miesięcy przed datą rozpoczęcia stosowania, o której mowa w art. 38 ust. 2, lub przed datą docelową wprowadzenia na rynek interfejsu dostępowego, jeżeli data wprowadzenia na rynek jest późniejsza niż data, o której mowa w art. 38 ust. 2, oraz publicznie udostępniają streszczenie tej dokumentacji na swojej stronie internetowej.
Dostawcy usług płatniczych dokumentują sytuacje nadzwyczajne, w których wprowadzono zmiany, i udostępniają tę dokumentację właściwym organom na ich wniosek.
Za pośrednictwem środowiska testowego nie prowadzi się jednak wymiany danych szczególnie chronionych.
Artykuł 31
Warianty interfejsu dostępowego
Dostawcy usług płatniczych prowadzący rachunek ustanawiają interfejs lub interfejsy, o których mowa w art. 30, za pośrednictwem specjalnego interfejsu lub poprzez zezwolenie na korzystanie przez dostawców usług płatniczych, o których mowa w art. 30 ust. 1, z interfejsów stosowanych na potrzeby uwierzytelniania użytkowników usług płatniczych dostawcy usług płatniczych prowadzącego rachunek i komunikacji z tymi użytkownikami.
Artykuł 32
Obowiązki dotyczące specjalnego interfejsu
Artykuł 33
Środki awaryjne w zakresie specjalnego interfejsu
W tym celu dostawcy usług płatniczych prowadzący rachunek zapewniają możliwość identyfikacji dostawców usług płatniczych, o których mowa w art. 30 ust. 1, oraz poleganie przez nich na procedurach uwierzytelniania zapewnianych użytkownikowi usług płatniczych przez dostawcę usług płatniczych prowadzącego rachunek. Jeżeli dostawcy usług płatniczych, o których mowa w art. 30 ust. 1 korzystają z interfejsu, o którym mowa w ust. 4, to:
wprowadzają niezbędne środki w celu zapewnienia, aby nie mieli oni dostępu do danych, nie przechowywali ani nie przetwarzali ich w celach innych niż świadczenie usług zleconych przez użytkownika usług płatniczych;
w dalszym ciągu przestrzegają obowiązków wynikających odpowiednio z art. 66 ust. 3 i art. 67 ust. 2 dyrektywy (UE) 2015/2366;
rejestrują dane, do których dostęp uzyskano za pośrednictwem interfejsu prowadzonego przez dostawcę usług płatniczych prowadzącego rachunek na potrzeby swoich użytkowników usług płatniczych, i na wniosek bez zbędnej zwłoki przedstawiają pliki rejestrów właściwemu organowi krajowemu;
na wniosek i bez zbędnej zwłoki uzasadniają należycie właściwemu organowi krajowemu korzystanie z interfejsu udostępnionego użytkownikom usług płatniczych w celu bezpośredniego dostępu do rachunku płatniczego w trybie online;
odpowiednio informują dostawców usług płatniczych prowadzących rachunek.
Właściwe organy – po przeprowadzeniu konsultacji z EUNB w celu zapewnienia spójnego stosowania następujących warunków – obejmują wyłączeniem z obowiązku ustanowienia mechanizmów awaryjnych opisanych w ust. 4 tych dostawców usług płatniczych prowadzących rachunek, którzy zdecydowali się na wprowadzenie specjalnego interfejsu, jeżeli specjalny interfejs spełnia wszystkie następujące warunki:
spełnia wszystkie obowiązki dotyczące specjalnych interfejsów określone w art. 32;
opracowano i przetestowano go zgodnie z art. 30 ust. 5 w sposób zadowalający dostawców usług płatniczych, o których mowa w przytoczonym artykule;
od co najmniej trzech miesięcy jest powszechnie stosowany przez dostawców usług płatniczych w celu świadczenia usług dostępu do informacji o rachunku, usług inicjowania płatności i przedstawiania potwierdzenia dostępności środków pieniężnych w przypadku płatności realizowanych w oparciu o kartę;
wszelkie problemy związane ze specjalnym interfejsem rozwiązano bez zbędnej zwłoki.
Artykuł 34
Certyfikaty
Do celów niniejszego rozporządzenia kwalifikowane certyfikaty pieczęci elektronicznych lub kwalifikowane certyfikaty uwierzytelniania witryn internetowych, o których mowa w ust. 1, zawierają – w języku zwyczajowo używanym w dziedzinie finansów – dodatkowe szczególne atrybuty w stosunku do każdego z następujących elementów:
roli dostawcy usług płatniczych, która może obejmować jedno z następujących działań lub większą ich liczbę:
prowadzenie rachunku;
inicjowanie płatności;
dostęp do informacji o rachunku;
wydawanie instrumentów płatniczych opartych na karcie;
nazwy właściwych organów, w których dostawca usług płatniczych jest zarejestrowany.
Artykuł 35
Bezpieczeństwo sesji komunikacyjnej
Dostawcy świadczący usługę dostępu do informacji o rachunku, dostawcy świadczący usługę inicjowania płatności i dostawcy usług płatniczych wydający instrumenty płatnicze oparte na karcie wraz z dostawcą usług płatniczych prowadzącym rachunek zamieszczają jednoznaczne odwołania do każdej z następujących pozycji:
użytkownika lub użytkowników usług płatniczych oraz odpowiadającej im sesji komunikacyjnej, aby rozróżnić między wieloma żądaniami pochodzącymi od tego samego użytkownika lub tych samych użytkowników usług płatniczych;
w przypadku usług inicjowania płatności – niepowtarzalnie identyfikowanej transakcji płatniczej, którą zainicjowano;
w przypadku potwierdzenia dostępności środków pieniężnych, niepowtarzalnie identyfikowanego żądania związanego z kwotą niezbędną do dokonania transakcji płatniczej realizowanej w oparciu o kartę.
W przypadku utraty poufności indywidualnych danych uwierzytelniających wchodzących w zakres ich kompetencji dostawcy ci bez zbędnej zwłoki informują o tym użytkownika usług płatniczych powiązanego z tymi danymi oraz wydawcę tych indywidualnych danych uwierzytelniających.
Artykuł 36
Wymiany danych
Dostawcy usług płatniczych prowadzący rachunek spełniają każdy z następujących wymogów:
przekazują dostawcom świadczącym usługę dostępu do informacji o rachunku te same informacje na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio żąda dostępu do informacji o rachunku, pod warunkiem że informacje te nie zawierają szczególnie chronionych danych dotyczących płatności;
bezzwłocznie po otrzymaniu zlecenia płatniczego udostępniają oni dostawcom świadczącym usługę inicjowania płatności te same informacje na temat inicjowania i przeprowadzenia transakcji płatniczej, które przekazują lub udostępniają użytkownikowi usług płatniczych, gdy ten bezpośrednio zainicjuje transakcję;
na wniosek bezzwłocznie przekazują oni dostawcom usług płatniczych potwierdzenie dostępności na rachunku płatniczym płatnika kwoty koniecznej do przeprowadzenia transakcji płatniczej w prostym formacie „tak” lub „nie”.
Jeżeli dostawca usług płatniczych prowadzący rachunek oferuje specjalny interfejs zgodnie z art. 32, interfejs ten musi umożliwiać wysyłanie zawiadomień dotyczących niespodziewanych zdarzeń lub błędów przez jakiegokolwiek dostawcę usług płatniczych, który wykryje tego rodzaju zdarzenie lub błąd, do innych dostawców usług płatniczych uczestniczących w sesji komunikacyjnej.
Dostawcy świadczący usługę dostępu do informacji o rachunku mają dostęp do informacji na temat wyznaczonych rachunków płatniczych i powiązanych transakcji płatniczych, które dostawcy usług płatniczych prowadzący rachunek posiadają, na potrzeby świadczenia usług dostępu do informacji o rachunku w następujących sytuacjach:
zawsze, gdy użytkownik usług płatniczych czynnie żąda takich informacji;
jeżeli użytkownik usług płatniczych nie żąda czynnie takich informacji, nie więcej niż cztery razy w ciągu 24 godzin, chyba że – za zgodą użytkownika usług płatniczych – dostawca świadczący usługę dostępu do informacji o rachunku i dostawca usług płatniczych prowadzący rachunek uzgodnią większą częstotliwość.
ROZDZIAŁ VI
PRZEPISY KOŃCOWE
Artykuł 37
Przegląd
Nie naruszając art. 98 ust. 5 dyrektywy (UE) 2015/2366, do dnia 14 marca 2021 r. EUNB dokonuje przeglądu wskaźników oszustw, o których mowa w załączniku do niniejszego rozporządzenia, oraz wyłączeń przyznanych na podstawie art. 33 ust. 6 w stosunku do specjalnych interfejsów, a także, w stosownych przypadkach, przedkłada Komisji projekty ich aktualizacji zgodnie z art. 10 rozporządzenia (UE) nr 1093/2010.
Artykuł 38
Wejście w życie
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
ZAŁĄCZNIK
|
Referencyjny wskaźnik oszustw (%) dotyczący: |
|
Wartość progu wyłączenia |
Zdalnych płatności elektronicznych realizowanych w oparciu o kartę |
Zdalnych elektronicznych poleceń przelewu |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Dyrektywa Parlamentu Europejskiego i Rady 2013/36/UE z dnia 26 czerwca 2013 r. w sprawie warunków dopuszczenia instytucji kredytowych do działalności oraz nadzoru ostrożnościowego nad instytucjami kredytowymi i firmami inwestycyjnymi, zmieniająca dyrektywę 2002/87/WE i uchylająca dyrektywy 2006/48/WE oraz 2006/49/WE (Dz.U. L 176 z 27.6.2013, s. 338).