02018R0389 — SK — 12.09.2023 — 002.001
Tento text slúži výlučne ako dokumentačný nástroj a nemá žiadny právny účinok. Inštitúcie Únie nenesú nijakú zodpovednosť za jeho obsah. Autentické verzie príslušných aktov vrátane ich preambúl sú tie, ktoré boli uverejnené v Úradnom vestníku Európskej únie a ktoré sú dostupné na portáli EUR-Lex. Tieto úradné znenia sú priamo dostupné prostredníctvom odkazov v tomto dokumente
DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2018/389 z 27. novembra 2017, ktorým sa dopĺňa smernica Európskeho parlamentu a Rady (EÚ) 2015/2366, pokiaľ ide o regulačné technické predpisy pre silnú autentifikáciu zákazníka a spoločné a bezpečné otvorené komunikačné normy (Ú. v. ES L 069 13.3.2018, s. 23) |
Zmenené a doplnené:
|
|
Úradný vestník |
||
Č. |
Strana |
Dátum |
||
DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2022/2360 z 3. augusta 2022 |
L 312 |
1 |
5.12.2022 |
|
DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2023/1650 z 15. mája 2023, |
L 208 |
1 |
23.8.2023 |
DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2018/389
z 27. novembra 2017,
ktorým sa dopĺňa smernica Európskeho parlamentu a Rady (EÚ) 2015/2366, pokiaľ ide o regulačné technické predpisy pre silnú autentifikáciu zákazníka a spoločné a bezpečné otvorené komunikačné normy
(Text s významom pre EHP)
KAPITOLA I
VŠEOBECNÉ USTANOVENIA
Článok 1
Predmet úpravy
Týmto nariadením sa stanovujú požiadavky, ktoré musia poskytovatelia platobných služieb dodržiavať na účely vykonávania bezpečnostných opatrení, ktoré im umožňujú:
uplatňovať postup silnej autentifikácie zákazníka v súlade s článkom 97 smernice (EÚ) 2015/2366;
poskytnúť výnimku z uplatňovania bezpečnostných požiadaviek týkajúcich sa silnej autentifikácie zákazníka za vymedzených a obmedzených podmienok na základe úrovne rizika, sumy a častosti výskytu platobnej transakcie a platobného kanála použitého na vykonanie platobnej transakcie;
chrániť dôvernosť a integritu personalizovaných bezpečnostných prvkov používateľov platobných služieb;
zaviesť spoločné a bezpečné otvorené komunikačné normy na komunikáciu medzi poskytovateľmi platobných služieb spravujúcimi účet, poskytovateľmi platobných iniciačných služieb, poskytovateľmi služieb informovania o účte, platiteľmi, príjemcami platby a inými poskytovateľmi platobných služieb v súvislosti s poskytovaním a používaním platobných služieb v rámci uplatňovania hlavy IV smernice (EÚ) 2015/2366.
Článok 2
Všeobecné požiadavky na autentifikáciu
Uvedené mechanizmy sa zakladajú na analýze platobných transakcií pri zohľadnení prvkov, ktoré sú typické pre používateľov platobných služieb za okolností bežného používania personalizovaných bezpečnostných prvkov.
Poskytovatelia platobných služieb zabezpečia, aby mechanizmy monitorovania transakcií zohľadňovali prinajmenšom každý z týchto faktorov zohľadňujúcich riziká:
zoznamy zneužitých alebo odcudzených autentifikačných prvkov;
sumu každej platobnej transakcie;
známe scenáre podvodov pri poskytovaní platobných služieb;
príznaky napadnutia škodlivým softvérom v jednotlivých krokoch postupu autentifikácie;
v prípade, že poskytovateľ platobných služieb poskytuje prístupové zariadenie alebo softvér, záznam o používaní prístupového zariadenia alebo softvéru poskytnutého používateľovi platobných služieb a o neobvyklom používaní prístupového zariadenia alebo softvéru.
Článok 3
Preskúmanie bezpečnostných opatrení
Poskytovatelia platobných služieb, ktorí využívajú výnimku uvedenú v článku 18, však podliehajú auditu metodiky, modelu a oznámených mier podvodu najmenej raz ročne. Audítor vykonávajúci tento audit má odborné znalosti v oblasti bezpečnosti informačných technológií a platieb a je z hľadiska svojho pôsobenia nezávislý od poskytovateľa platobných služieb alebo v rámci neho. V prvom roku uplatňovania výnimky podľa článku 18 a následne najmenej každé tri roky, prípadne častejšie na žiadosť príslušného orgánu vykoná tento audit nezávislý a kvalifikovaný externý audítor.
Celá správa musí byť na požiadanie poskytnutá príslušným orgánom.
KAPITOLA II
BEZPEČNOSTNÉ OPATRENIA NA UPLATŇOVANIE SILNEJ AUTENTIFIKÁCIE ZÁKAZNÍKA
Článok 4
Autentifikačný kód
Autentifikačný kód je prijatý poskytovateľom platobných služieb iba jedenkrát, keď platiteľ použije autentifikačný kód na prístup k svojmu platobnému účtu online, na iniciovanie elektronickej platobnej transakcie alebo na vykonanie akýchkoľvek krokov prostredníctvom diaľkového prístupu, ktoré môžu predstavovať riziko platobného podvodu alebo iného zneužitia.
Na účely odseku 1 poskytovatelia platobných služieb prijmú bezpečnostné opatrenia, ktorými sa zabezpečí splnenie každej z týchto požiadaviek:
zo zverejnenia autentifikačného kódu nemožno vyvodiť žiadne informácie o žiadnom z prvkov uvedených v odseku 1;
nie je možné vygenerovať nový autentifikačný kód na základe znalosti akéhokoľvek iného predtým vygenerovaného autentifikačného kódu;
autentifikačný kód nemožno sfalšovať.
Poskytovatelia platobných služieb zabezpečia, aby autentifikácia prostredníctvom vygenerovania autentifikačného kódu zahŕňala každé z týchto opatrení:
ak sa autentifikáciou na účely diaľkového prístupu, elektronických platieb na diaľku a akékoľvek iných krokov prostredníctvom diaľkového prístupu, ktoré môžu predstavovať riziko platobného podvodu alebo iného zneužitia, nevygeneroval autentifikačný kód na účely odseku 1, nesmie byť možné určiť, ktoré z prvkov uvedených v uvedenom odseku boli nesprávne;
počet neúspešných pokusov o autentifikáciu, ktoré sa môžu uskutočniť po sebe, po ktorom budú kroky uvedené v článku 97 ods. 1 smernice (EÚ) 2015/2366 dočasne alebo trvalo zablokované, nesmie byť v danom časovom období väčší ako päť;
komunikačné relácie sú chránené pred zachytávaním autentifikačných údajov prenášaných počas autentifikácie, ako aj pred manipuláciou neautorizovanými stranami v súlade s požiadavkami uvedenými v kapitole V;
maximálny čas bez činnosti platiteľa po autentifikácii na účely prístupu k platobnému účtu online nesmie presiahnuť päť minút.
Platiteľ musí byť upozornený pred tým, ako sa zablokovanie stane trvalým.
V prípade trvalého zablokovania sa stanoví bezpečný postup umožňujúci platiteľovi opätovné používanie zablokovaných elektronických platobných nástrojov.
Článok 5
Dynamické spájanie
Ak poskytovatelia platobných služieb uplatňujú silnú autentifikáciu zákazníka v súlade s článkom 97 ods. 2 smernice (EÚ) 2015/2366 popri požiadavkách článku 4 tohto nariadenia, prijmú aj bezpečnostné opatrenia, ktoré spĺňajú všetky tieto požiadavky:
platiteľ je informovaný o sume platobnej transakcie a o príjemcovi platby;
vygenerovaný autentifikačný kód je špecifický pre sumu platobnej transakcie a príjemcu platby, ktorých platiteľ odsúhlasil pri iniciovaní transakcie;
autentifikačný kód prijatý poskytovateľom platobných služieb zodpovedá pôvodnej špecifickej sume platobnej transakcie a totožnosti príjemcu platby, ktoré platiteľ odsúhlasil;
akákoľvek zmena sumy alebo príjemcu platby vedie k zneplatneniu vygenerovaného autentifikačného kódu.
Na účely odseku 1 poskytovatelia platobných služieb prijmú bezpečnostné opatrenia, ktorými sa zabezpečí dôvernosť, pravosť a integrita každého z týchto údajov:
sumy transakcie a príjemcu platby počas všetkých fáz autentifikácie;
informácií zobrazovaných platiteľovi počas všetkých fáz autentifikácie vrátane vygenerovania, prenosu a použitia autentifikačného kódu.
Na účely odseku 1 písm. b), a ak poskytovatelia platobných služieb uplatňujú silnú autentifikáciu zákazníka v súlade s článkom 97 ods. 2 smernice (EÚ) 2015/2366, uplatňujú sa tieto požiadavky na autentifikačný kód:
v súvislosti s platobnou transakciou viazanou na kartu, v prípade ktorej platiteľ udelil súhlas s presnou sumou finančných prostriedkov, ktoré majú byť zablokované podľa článku 75 ods. 1 uvedenej smernice, autentifikačný kód je špecifický pre sumu, na ktorej zablokovanie platiteľ udelil súhlas a ktorú platiteľ odsúhlasil pri iniciovaní transakcie;
v súvislosti s platobnými transakciami, v prípade ktorých platiteľ udelil súhlas s vykonaním skupinových elektronických platobných transakcií na diaľku adresovaných jednému alebo viacerým príjemcom platby, autentifikačný kód je špecifický pre celkovú sumu skupiny platobných transakcií a pre určených príjemcov platby.
Článok 6
Požiadavky na prvky kategorizované ako poznatok
Článok 7
Požiadavky na prvky kategorizované ako vlastníctvo
Článok 8
Požiadavky na zariadenia a softvér spojené s prvkami kategorizovanými ako inherencia
Článok 9
Nezávislosť prvkov
Na účely odseku 2 zmierňujúce opatrenia zahŕňajú každý z týchto bodov:
používanie oddelených prostredí na bezpečné vykonávanie prostredníctvom softvéru inštalovaného vo viacúčelovom zariadení;
mechanizmy na zabezpečenie toho, že platiteľ alebo tretia strana neupravia softvér alebo zariadenie;
ak došlo k úpravám, mechanizmy na zmiernenie ich následkov.
KAPITOLA III
VÝNIMKY Z POVINNOSTI SILNEJ AUTENTIFIKÁCIE ZÁKAZNÍKA
Článok 10
Prístup k informáciám o platobnom účte priamo u poskytovateľa platobných služieb spravujúceho účet
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka pod podmienkou splnenia požiadaviek stanovených v článku 2, ak používateľ platobných služieb pristupuje k svojmu platobnému účtu online priamo, a to za predpokladu, že online prístup je obmedzený na jednu z týchto položiek bez toho, aby boli zverejnené citlivé údaje o platbe:
zostatok na jednom alebo viacerých určených platobných účtoch;
platobné transakcie vykonané za uplynulých 90 dní prostredníctvom jedného alebo viacerých určených platobných účtov.
Odchylne od odseku 1 poskytovatelia platobných služieb nie sú oslobodení od uplatňovania silnej autentifikácie zákazníka, ak je splnená jedna z týchto podmienok:
používateľ platobných služieb pristupuje k informáciám uvedeným v odseku 1 online prvýkrát;
od posledného prístupu používateľa platobných služieb online k informáciám uvedeným v odseku 1 a od uplatnenia silnej autentifikácie zákazníka uplynulo viac ako 180 dní.
Článok 10a
Prístup k informáciám o platobnom účte prostredníctvom poskytovateľa služieb informovania o účte
Poskytovatelia platobných služieb neuplatňujú silnú autentifikáciu zákazníka, ak používateľ platobných služieb pristupuje k svojmu platobnému účtu online prostredníctvom poskytovateľa služieb informovania o účte, a to za predpokladu, že prístup je obmedzený na jednu z týchto položiek online bez zverejnenia citlivých údajov o platbe:
zostatok na jednom alebo viacerých určených platobných účtoch;
platobné transakcie vykonané za uplynulých 90 dní prostredníctvom jedného alebo viacerých určených platobných účtov.
Odchylne od odseku 1 poskytovatelia platobných služieb uplatňujú silnú autentifikáciu zákazníka, ak je splnená jedna z týchto podmienok:
používateľ platobných služieb pristupuje k informáciám uvedeným v odseku 1 online prvýkrát prostredníctvom poskytovateľa služieb informovania o účte;
od posledného prístupu používateľa platobných služieb online k informáciám uvedeným v odseku 1 prostredníctvom poskytovateľa služieb informovania o účte a od uplatnenia silnej autentifikácie zákazníka uplynulo viac ako 180 dní.
Článok 11
Bezkontaktné platby na predajných miestach
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka pod podmienkou splnenia požiadaviek stanovených v článku 2, ak platiteľ iniciuje bezkontaktnú elektronickú platobnú transakciu, a to za predpokladu, že sú splnené tieto podmienky:
jednotlivá suma bezkontaktnej elektronickej platobnej transakcie nepresahuje sumu 50 EUR a
kumulatívna suma predchádzajúcich bezkontaktných elektronických platobných transakcií iniciovaných prostredníctvom platobného nástroja s bezkontaktnou funkciou od dátumu posledného uplatnenia silnej autentifikácie zákazníka nepresahuje 150 EUR, alebo
počet po sebe nasledujúcich bezkontaktných elektronických platobných transakcií iniciovaných prostredníctvom platobného nástroja s bezkontaktnou funkciou od posledného uplatnenia silnej autentifikácie zákazníka nie je väčší ako päť.
Článok 12
Samoobslužné terminály na úhradu cestovného a poplatkov za parkovanie
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka pod podmienkou splnenia požiadaviek stanovených v článku 2, ak platiteľ iniciuje elektronickú platobnú transakciu na samoobslužnom platobnom termináli na účely úhrady cestovného alebo poplatkov za parkovanie.
Článok 13
Dôveryhodní príjemcovia
Článok 14
Opakujúce sa transakcie
Článok 15
Úhrady medzi účtami, ktoré vlastní tá istá fyzická alebo právnická osoba
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka pod podmienkou splnenia požiadaviek stanovených v článku 2, ak platiteľ iniciuje úhradu, pričom platiteľ a príjemca platby sú tou istou fyzickou alebo právnickou osobou a oba platobné účty vedie ten istý poskytovateľ platobných služieb spravujúci účet.
Článok 16
Transakcie nízkej hodnoty
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka, ak platiteľ iniciuje elektronickú platobnú transakciu na diaľku, a to za predpokladu, že sú splnené tieto podmienky:
suma elektronickej platobnej transakcie na diaľku nepresahuje 30 EUR a
kumulatívna suma predchádzajúcich elektronických platobných transakcií na diaľku iniciovaných platiteľom od posledného uplatnenia silnej autentifikácie zákazníka nepresahuje 100 EUR, alebo
počet predchádzajúcich elektronických platobných transakcií na diaľku iniciovaných platiteľom od posledného uplatnenia silnej autentifikácie zákazníka nepresahuje päť po sebe nasledujúcich jednotlivých elektronických platobných transakcií na diaľku.
Článok 17
Bezpečné platobné procesy a protokoly pre podniky
Poskytovatelia platobných služieb majú možnosť neuplatňovať silnú autentifikáciu zákazníka, pokiaľ ide o právnické osoby iniciujúce elektronické platobné transakcie prostredníctvom použitia vyhradených platobných procesov alebo protokolov, ktoré sú k dispozícii len platiteľom, ktorí nie sú spotrebiteľmi, ak sú príslušné orgány presvedčené, že uvedené procesy alebo protokoly zaručujú úroveň bezpečnosti prinajmenšom rovnocennú s úrovňou, ktorá sa stanovuje v smernici (EÚ) 2015/2366.
Článok 18
Analýza rizík transakcií
Elektronická platobná transakcia uvedená v odseku 1 sa považuje za nízkorizikovú, ak sú splnené všetky tieto podmienky:
miera podvodu pre tento typ transakcie, oznámená poskytovateľom platobných služieb a vypočítaná v súlade s článkom 19, je rovná referenčným mieram podvodu uvedeným v tabuľke uvedenej v prílohe pre „elektronické platby na diaľku viazané na kartu“, resp. „elektronické úhrady na diaľku“ alebo nižšia ako tieto referenčné miery;
suma transakcie nepresahuje príslušnú hodnotu limitu na výnimku uvedenú v tabuľke uvedenej v prílohe;
poskytovatelia platobných služieb nezistili v dôsledku vykonania analýzy rizík v reálnom čase žiadny z týchto javov:
neobvyklé výdavky alebo správanie platiteľa;
nezvyčajné informácie o prístupe platiteľa k zariadeniu/softvéru;
napadnutie škodlivým softvérom v niektorom kroku postupu autentifikácie;
známy scenár podvodu pri poskytovaní platobných služieb;
neobvyklé miesto platiteľa;
vysokorizikové miesto príjemcu platby.
Poskytovatelia platobných služieb, ktorí majú v úmysle oslobodiť elektronické platobné transakcie od povinnosti silnej autentifikácie zákazníka z dôvodu, že predstavujú nízke riziko, zohľadnia prinajmenšom tieto faktory zohľadňujúce riziká:
zvyčajné predchádzajúce výdavky jednotlivých používateľov platobných služieb;
históriu platobných transakcií každého z používateľov platobných služieb poskytovateľa platobných služieb;
miesto platiteľa a miesto príjemcu platby v čase uskutočnenia transakcie v prípadoch, keď poskytovateľ platobných služieb poskytne prístupové zariadenie alebo softvér;
identifikácia neobvyklých platieb používateľa platobných služieb v súvislosti s históriou platobných transakcií používateľa.
V posúdení vykonanom poskytovateľom platobných služieb sa všetky uvedené faktory zohľadňujúce riziká spoja do rizikového skóre pre každú jednotlivú transakciu s cieľom určiť, či by sa konkrétna platba mala povoliť bez silnej autentifikácie zákazníka.
Článok 19
Výpočet mier podvodu
Celková miera podvodu pre každý typ transakcie sa vypočíta ako celková hodnota neautorizovaných alebo podvodných transakcií na diaľku bez ohľadu na to, či sa finančné prostriedky získali späť alebo nie, vydelená celkovou hodnotou všetkých transakcií na diaľku pre ten istý typ transakcií, či už autentifikovaných uplatnením silnej autentifikácie zákazníka, alebo vykonaných na základe ktorejkoľvek z výnimiek uvedených v článkoch 13 až 18 na priebežnom štvrťročnom základe (90 dní).
Článok 20
Ukončenie výnimiek na základe analýzy rizík transakcií
Článok 21
Monitorovanie
S cieľom využívať výnimky stanovené v článkoch 10 až 18 poskytovatelia platobných služieb zaznamenávajú a monitorujú pre každý typ platobných transakcií s rozpisom pre platobné transakcie na diaľku a pre platobné transakcie, ktoré sa nevykonávajú na diaľku, a to najmenej štvrťročne, tieto údaje:
celkovú hodnotu neautorizovaných alebo podvodných platobných transakcií v súlade s článkom 64 ods. 2 smernice (EÚ) 2015/2366, celkovú hodnotu všetkých platobných transakcií a výslednú mieru podvodu vrátane rozpisu platobných transakcií iniciovaných prostredníctvom silnej autentifikácie zákazníka a na základe jednotlivých výnimiek;
priemernú hodnotu transakcie vrátane rozpisu platobných transakcií iniciovaných prostredníctvom silnej autentifikácie zákazníka a na základe jednotlivých výnimiek;
počet platobných transakcií, pri ktorých sa uplatnili jednotlivé výnimky, a ich percentuálny podiel na celkovom počte platobných transakcií.
KAPITOLA IV
DÔVERNOSŤ A INTEGRITA PERSONALIZOVANÝCH BEZPEČNOSTNÝCH PRVKOV POUŽÍVATEĽOV PLATOBNÝCH SLUŽIEB
Článok 22
Všeobecné požiadavky
Na účely odseku 1 poskytovatelia platobných služieb zabezpečia, aby bola splnená každá z týchto požiadaviek:
personalizované bezpečnostné prvky sú pri zobrazení skryté a pri zadávaní používateľom platobných služieb počas autentifikácie nie sú v plnom rozsahu čitateľné;
personalizované bezpečnostné prvky v dátovom formáte, ako aj kryptografické materiály súvisiace so šifrovaním personalizovaných bezpečnostných prvkov sa neukladajú v nešifrovanom textovom formáte;
tajný kryptografický materiál je chránený pred neoprávneným zverejnením.
Článok 23
Vytvorenie a prenos bezpečnostných prvkov
Poskytovatelia platobných služieb zabezpečia, aby sa vytvorenie personalizovaných bezpečnostných prvkov vykonávalo v bezpečnom prostredí.
Zmierňujú riziká neautorizovaného použitia personalizovaných bezpečnostných prvkov a autentifikačných zariadení a softvéru po ich strate, odcudzení alebo kopírovaní pred ich doručením platiteľovi.
Článok 24
Priradenie k používateľovi platobných služieb
Na účely odseku 1 poskytovatelia platobných služieb zabezpečia, aby bola splnená každá z týchto požiadaviek:
priradenie totožnosti používateľa platobných služieb k personalizovaným bezpečnostným prvkom, autentifikačným zariadeniam a softvérom sa vykonáva v bezpečných prostrediach, za ktoré zodpovedá poskytovateľ platobných služieb a ktoré pozostávajú prinajmenšom z priestorov poskytovateľa platobných služieb, internetového prostredia poskytovaného poskytovateľom platobných služieb alebo iných bezpečných webových sídiel, ktoré používa poskytovateľ platobných služieb a jeho služby bankomatov, a to pri zohľadnení rizík spojených so zariadeniami a základnými zložkami používanými v procese priraďovania, za ktoré nezodpovedá poskytovateľ platobných služieb;
priradenie totožnosti používateľa platobných služieb k personalizovaným bezpečnostným prvkom a autentifikačným zariadeniam alebo softvérom prostredníctvom diaľkového prístupu sa vykonáva s použitím silnej autentifikácie zákazníka.
Článok 25
Doručovanie bezpečnostných prvkov, autentifikačných zariadení a softvéru
Na účely odseku 1 poskytovatelia platobných služieb uplatňujú prinajmenšom všetky tieto požiadavky:
účinné a bezpečné mechanizmy doručenia, ktorými sa zabezpečí doručenie personalizovaných bezpečnostných prvkov, autentifikačných zariadení a softvéru legitímnemu používateľovi platobných služieb;
mechanizmy, ktoré umožňujú poskytovateľovi platobných služieb overiť pravosť autentifikačného softvéru doručeného používateľovi platobných služieb prostredníctvom internetu;
keď sa doručenie personalizovaných bezpečnostných prvkov vykoná mimo priestorov poskytovateľa platobných služieb alebo prostredníctvom diaľkového prístupu, opatrenia, ktorými sa zabezpečí:
aby žiadna neautorizovaná strana nemohla získať viac ako jeden prvok personalizovaných bezpečnostných prvkov, autentifikačných zariadení alebo softvéru, ak sú doručované cez ten istý kanál;
aby si doručené personalizované bezpečnostné prvky, autentifikačné zariadenia alebo softvér pred použitím vyžadovali aktiváciu;
opatrenia, ktorými sa zabezpečí, že keď personalizované bezpečnostné prvky, autentifikačné zariadenia alebo softvér musia byť pred ich prvým použitím aktivované, aby aktivácia prebehla v bezpečnom prostredí v súlade s postupmi priraďovania uvedenými v článku 24.
Článok 26
Obnovenie personalizovaných bezpečnostných prvkov
Poskytovatelia platobných služieb zabezpečia, aby sa pri obnovovaní alebo opätovnej aktivácii personalizovaných bezpečnostných prvkov dodržiavali postupy na vytváranie, priraďovanie a doručovanie prvkov a autentifikačných zariadení v súlade s článkami 23, 24 a 25.
Článok 27
Zničenie, deaktivácia a zrušenie
Poskytovatelia platobných služieb zabezpečia, aby mali zavedené účinné postupy na uplatňovanie každého z týchto bezpečnostných opatrení:
bezpečné zničenie, deaktivácia alebo zrušenie personalizovaných bezpečnostných prvkov, autentifikačných zariadení a softvéru;
ak poskytovateľ platobných služieb distribuuje opätovne použiteľné autentifikačné zariadenia a softvér, pred sprístupnením zariadenia alebo softvéru inému používateľovi platobných služieb sa zaručí, zdokumentuje a vykoná ich bezpečné opätovné použitie;
deaktivácia alebo zrušenie informácií týkajúcich sa personalizovaných bezpečnostných prvkov uchovávaných v systémoch a databázach poskytovateľa platobných služieb a v prípade potreby aj vo verejných archívoch.
KAPITOLA V
SPOLOČNÉ A BEZPEČNÉ OTVORENÉ KOMUNIKAČNÉ NORMY
Článok 28
Požiadavky na identifikáciu
Článok 29
Vysledovateľnosť
Na účely odseku 1 poskytovatelia platobných služieb zabezpečia, aby sa všetky komunikačné relácie prebiehajúce s používateľom platobných služieb, inými poskytovateľmi platobných služieb a inými subjektmi vrátane obchodníkov spoliehali na všetky tieto prvky:
jedinečný identifikátor relácie;
bezpečnostné mechanizmy na podrobné zaznamenávanie transakcie vrátane čísla transakcie, časových pečiatok a všetkých relevantných údajov o transakcii;
časové pečiatky, ktoré sa zakladajú na jednotnom časovom referenčnom systéme a ktoré sa synchronizujú podľa oficiálneho časového signálu.
Článok 30
Všeobecné povinnosti pre prístupové rozhrania
Poskytovatelia platobných služieb spravujúci účet, ktorí platiteľovi ponúkajú platobný účet, ktorý je prístupný online, majú zavedené aspoň jedno rozhranie, ktoré spĺňa všetky tieto požiadavky:
poskytovatelia služieb informovania o účte, poskytovatelia platobných iniciačných služieb a poskytovatelia platobných služieb vydávajúci platobné nástroje viazané na kartu sú schopní sa identifikovať voči poskytovateľovi platobných služieb spravujúcemu účet;
poskytovatelia služieb informovania o účte sú schopní bezpečne komunikovať s cieľom požiadať o informácie o jednom alebo viacerých určených platobných účtoch a súvisiacich platobných transakciách a získať tieto informácie;
poskytovatelia platobných iniciačných služieb sú schopní bezpečne komunikovať s cieľom iniciovať platobný príkaz z platobného účtu platiteľa a získať všetky informácie o iniciovaní platobnej transakcie a všetky informácie, ktoré sú prístupné poskytovateľom platobných služieb spravujúcim účet, pokiaľ ide o vykonanie platobnej transakcie.
Rozhranie spĺňa prinajmenšom všetky tieto požiadavky:
poskytovateľ platobných iniciačných služieb alebo poskytovateľ služieb informovania o účte sú schopní dať pokyn poskytovateľovi platobných služieb spravujúcemu účet, aby začal autentifikáciu na základe súhlasu používateľa platobných služieb;
komunikačné relácie medzi poskytovateľom platobných služieb spravujúcim účet, poskytovateľom služieb informovania o účte, poskytovateľom platobných iniciačných služieb a akýmkoľvek príslušným používateľom platobných služieb sa vytvoria a udržiavajú počas celej autentifikácie;
zabezpečí sa integrita a dôvernosť personalizovaných bezpečnostných prvkov a autentifikačných kódov prenášaných poskytovateľom platobných iniciačných služieb alebo prostredníctvom neho alebo poskytovateľom služieb informovania o účte alebo prostredníctvom neho.
Poskytovatelia platobných služieb spravujúci účet takisto zabezpečia, aby sa zdokumentovala technická špecifikácia všetkých rozhraní, pričom sa uvedie súbor bežných postupov, protokolov a nástrojov, ktoré potrebujú poskytovatelia platobných iniciačných služieb, poskytovatelia služieb informovania o účte a poskytovatelia platobných služieb vydávajúci platobné nástroje viazané na kartu, aby umožnili interoperabilitu svojho softvéru a aplikácií so systémami poskytovateľov platobných služieb spravujúcich účet.
Najmenej šesť mesiacov pred dátumom začiatku uplatňovania uvedeným v článku 38 ods. 2 alebo pred cieľovým dátumom uvedenia prístupového rozhrania na trh, keď sa uvedenie uskutoční po dátume uvedenom v článku 38 ods. 2, poskytovatelia platobných služieb spravujúci účet prinajmenšom sprístupnia dokumentáciu, a to bezodplatne a na žiadosť autorizovaných poskytovateľov platobných iniciačných služieb, poskytovateľov služieb informovania o účte a poskytovateľov platobných služieb vydávajúcich platobné nástroje viazané na kartu alebo poskytovateľov platobných služieb, ktorí požiadali svoje príslušné orgány o príslušné povolenie, a súhrn dokumentácie zverejnia na svojom webovom sídle.
Poskytovatelia platobných služieb zdokumentujú núdzové situácie, pri ktorých sa vykonali zmeny, a na požiadanie sprístupnia dokumentáciu príslušným orgánom.
Prostredníctvom skúšobného zariadenia sa však nevymieňajú žiadne citlivé informácie.
Článok 31
Možnosti prístupového rozhrania
Poskytovatelia platobných služieb spravujúci účet vytvoria rozhranie, resp. rozhrania uvedené v článku 30 prostredníctvom vyhradeného rozhrania alebo tým, že poskytovateľom platobných služieb uvedeným v článku 30 ods. 1 umožnia použitie rozhraní na autentifikáciu a komunikáciu s používateľmi platobných služieb poskytovateľa platobných služieb spravujúceho účet.
Článok 32
Povinnosti pre vyhradené rozhranie
Článok 33
Opatrenia pre prípad nepredvídaných udalostí pre vyhradené rozhranie
Na tento účel poskytovatelia platobných služieb spravujúci účet zabezpečia, aby sa poskytovatelia platobných služieb uvedení v článku 30 ods. 1 mohli identifikovať a spoliehať sa na postupy autentifikácie, ktoré poskytovateľ platobných služieb spravujúci účet poskytuje používateľovi platobných služieb. Ak poskytovatelia platobných služieb uvedení v článku 30 ods. 1 využívajú rozhranie uvedené v odseku 4:
prijmú potrebné opatrenia, aby zabezpečili, že nebudú pristupovať k údajom, ukladať ani spracúvať údaje na iné účely ako poskytovanie služby požadovanej používateľom platobných služieb;
naďalej spĺňajú povinnosti vyplývajúce z článku 66 ods. 3, resp. článku 67 ods. 2 smernice (EÚ) 2015/2366;
zaznamenávajú údaje, ku ktorým sa pristupuje prostredníctvom rozhrania prevádzkovaného poskytovateľom platobných služieb spravujúcim účet pre jeho používateľov platobných služieb, a na požiadanie a bez zbytočného odkladu poskytnú zaznamenané súbory svojmu príslušnému vnútroštátnemu orgánu;
na požiadanie a bez zbytočného odkladu riadne odôvodnia svojmu príslušnému vnútroštátnemu orgánu použitie rozhrania sprístupneného pre používateľov platobných služieb na priamy prístup k ich platobnému účtu online;
zodpovedajúcim spôsobom informujú poskytovateľa platobných služieb spravujúceho účet.
Príslušné orgány po konzultácii s orgánom EBA na zabezpečenie jednotného uplatňovania nasledujúcich podmienok oslobodia poskytovateľov platobných služieb spravujúcich účet, ktorí sa rozhodli pre vyhradené rozhranie, od povinnosti zaviesť mechanizmus pre prípad nepredvídaných udalostí opísaný v odseku 4, ak vyhradené rozhranie spĺňa všetky tieto podmienky:
spĺňa všetky povinnosti týkajúce sa vyhradených rozhraní, ako sa uvádza v článku 32;
bolo navrhnuté a skúšané v súlade s článkom 30 ods. 5 k spokojnosti poskytovateľov platobných služieb uvedených v uvedenom článku;
bolo najmenej tri mesiace intenzívne používané poskytovateľmi platobných služieb na poskytovanie služieb informovania o účte, platobných iniciačných služieb a na poskytovanie potvrdenia o dostupnosti finančných prostriedkov pre platby viazané na kartu;
prípadný problém súvisiaci s vyhradeným rozhraním bol vyriešený bez zbytočného odkladu.
Článok 34
Certifikáty
Na účely tohto nariadenia kvalifikované certifikáty pre elektronické pečate alebo pre autentifikáciu webového sídla uvedené v odseku 1 zahŕňajú v jazyku, ktorý sa obvykle používa v oblasti medzinárodných financií, ďalšie osobitné atribúty v súvislosti s každým z týchto bodov:
úloha poskytovateľa platobných služieb, ktorá môže predstavovať jednu alebo viaceré z týchto možností:
spravovanie účtov;
iniciovanie platby;
informovanie o účte;
vydávanie platobných nástrojov viazaných na kartu;
názov príslušných orgánov, v ktorých je poskytovateľ platobných služieb registrovaný.
Článok 35
Bezpečnosť komunikačnej relácie
Poskytovatelia služieb informovania o účte, poskytovatelia platobných iniciačných služieb a poskytovatelia platobných služieb vydávajúci platobné nástroje viazané na kartu s poskytovateľom služieb spravujúcim účet uvádzajú jednoznačné odkazy na všetky tieto položky:
používateľ alebo používatelia platobných služieb a príslušná komunikačná relácia s cieľom rozlíšiť viacero žiadostí od toho istého používateľa alebo používateľov platobných služieb;
pri platobných iniciačných službách jednoznačne identifikovaná iniciovaná platobná transakcia;
pre potvrdenie dostupnosti finančných prostriedkov jednoznačne identifikovaná žiadosť súvisiaca so sumou potrebnou na vykonanie platobnej transakcie viazanej na kartu.
Títo poskytovatelia v prípade straty dôvernosti personalizovaných bezpečnostných prvkov v rozsahu ich pôsobnosti bez zbytočného odkladu informujú používateľa platobných služieb, ktorému sú priradené, ako aj vydavateľa personalizovaných bezpečnostných prvkov.
Článok 36
Výmena údajov
Poskytovatelia platobných služieb spravujúci účet spĺňajú všetky tieto požiadavky:
poskytujú poskytovateľom služieb informovania o účte tie isté informácie z určených platobných účtov a súvisiacich platobných transakcií, aké boli sprístupnené používateľovi platobných služieb, pri priamej žiadosti o prístup k informáciám o účte za predpokladu, že tieto informácie nezahŕňajú citlivé údaje o platbách;
bezodkladne po prijatí platobného príkazu poskytnú poskytovateľom platobných iniciačných služieb tie isté informácie o iniciovaní a vykonaní platobnej transakcie, aké boli poskytnuté alebo sprístupnené používateľovi platobných služieb, keď transakciu iniciuje priamo používateľ platobných služieb;
na požiadanie okamžite poskytnú poskytovateľom platobných služieb potvrdenie v jednoduchom formáte „áno“ alebo „nie“ o tom, či je na platobnom účte platiteľa k dispozícii suma potrebná na vykonanie platobnej transakcie.
Ak poskytovateľ platobných služieb spravujúci účet ponúka vyhradené rozhranie v súlade s článkom 32, toto rozhranie musí zabezpečovať, aby správy s oznámením týkajúcim sa neočakávaných udalostí alebo chýb boli oznamované každým poskytovateľom platobných služieb, ktorý udalosť alebo chybu odhalí, ostatným poskytovateľom platobných služieb zúčastneným na komunikačnej relácii.
Poskytovatelia služieb informovania o účte majú umožnený prístup k informáciám z určených platobných účtov a súvisiacich platobných transakcií, ktoré vedú poskytovatelia platobných služieb spravujúci účet, na účely vykonávania služieb informovania o účte za týchto okolností:
vždy, keď používateľ platobných služieb aktívne požaduje takéto informácie;
ak používateľ platobných služieb aktívne nepožaduje takéto informácie, najviac štyrikrát za 24 hodín, pokiaľ sa poskytovateľ služieb informovania o účte a poskytovateľ platobných služieb spravujúci účet nedohodnú na častejšej frekvencii so súhlasom používateľa platobných služieb.
KAPITOLA VI
ZÁVEREČNÉ USTANOVENIA
Článok 37
Preskúmanie
Bez toho, aby bol dotknutý článok 98 ods. 5 smernice (EÚ) 2015/2366, orgán EBA preskúma do 14. marca 2021 miery podvodu uvedené v prílohe k tomuto nariadeniu, ako aj výnimky udelené podľa článku 33 ods. 6 v súvislosti s vyhradenými rozhraniami, a v prípade potreby predloží Komisii návrh ich aktualizácií v súlade s článkom 10 nariadenia (EÚ) č. 1093/2010.
Článok 38
Nadobudnutie účinnosti
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
PRÍLOHA
|
Referenčná miera podvodu (v %) pre: |
|
Hodnota limitu na výnimku |
Elektronické platby na diaľku viazané na kartu |
Elektronické úhrady na diaľku |
500 EUR |
0,01 |
0,005 |
250 EUR |
0,06 |
0,01 |
100 EUR |
0,13 |
0,015 |
( 1 ) Smernica Európskeho parlamentu a Rady 2013/36/EÚ z 26. júna 2013 o prístupe k činnosti úverových inštitúcií a prudenciálnom dohľade nad úverovými inštitúciami a investičnými spoločnosťami, o zmene smernice 2002/87/ES a o zrušení smerníc 2006/48/ES a 2006/49/ES (Ú. v. EÚ L 176, 27.6.2013, s. 338).