Dyrektywa Parlamentu Europejskiego i Rady (UE) - PSD-2

Payment Services Directive 2 (PSD 2) to Dyrektywa Parlamentu Europejskiego i Rady (UE) z dnia 25 listopada 2015 r. w sprawie usług płatniczych w ramach rynku wewnętrznego. Jej wejście w życie zmieni dotychczasowy rozkład sił na mapie usług finansowych i pozwoli na pojawienie się niezależnych dostawców usług. Galopujący postęp w obszarze cyfryzacji sprawia, że obowiązujące przepisy prawne zostają daleko w tyle za nowoczesną technologią. Od czasów przyjęcia prze UE dyrektywy PSD mija już 11 lat, w tym czasie rynek płatności detalicznych przeszedł wielką technologiczną rewolucję. Od możliwości realizacji płatności przy pomocy telefonu komórkowego po zupełnie nowe pozabankowe formy płatności. Celem dyrektywy PSD-2 jest ich uregulowanie i standaryzacja, co pozwoli na podniesie atrakcyjności ofert na rynku usług finansowych.

PSD2 Unia Europejska

Jak działa PSD-2

Zakupy przez internet i usługi oferowane zdalnie na stałe zagościły w naszej codzienności. Łatwość, szybkość realizacji zamówienia, sprawiły, że ta forma zdobyła ogromną popularność, głównie za sprawą przyjaznych użytkownikowi aplikacji mobilnych, które są zawsze pod ręką.

Do tej pory w sektorze usług finansowych dominowały wielkie instytucje finansowe i tradycyjne podejście do realizacji transakcji. Wejście w życie postanowień dyrektywy Payment Services Directive 2 (PSD 2) będzie wytyczało nowy model biznesowy na rynku usług finansowych. Zgodnie z postanowieniami dyrektywy, podmioty trzecie będą mogły korzystać z usług po stronie banków za pośrednictwem interfejsu programistycznego:

  • PISPs (Payment Initiation Service Providers) to usługa umożliwiająca zainicjowanie płatności
  • AISPs (Account Information Service Providers) pozwala na dostęp do informacji na rachunku bankowym

Udostępnienie podmiotom trzecim (TPP) wyżej wymienionych usług przez banki stanowi krok w kierunku otwartej bankowości i zrównania szans podmiotów, które do tej pory nie miały szans na uczestnictwo w tym rynku.

Otwarta bankowość

Dopuszczenie do możliwości realizacji transakcji podmiotów trzecich będzie mieć pozytywny wpływ na konkurencyjność oferty w sektorze finansowym. Będzie także czynnikiem stymulującym wzrost innowacyjności rozwiązań pojawiających się w ramach samego sektora.

PSD-2 to dyrektywa równych szans, która w przyszłości pozwoli na szybki rozwój nowych usług płatniczych w segmencie finansowym. Otwarcie się bankowości na zewnętrznych dostawców usług pozwoli na rozwój już istniejących i powstanie nowych rozwiązań technologicznych. Ruch na rynku usług wpłynie korzystnie na ich pupularyzację, co za tym idzie na zwiększenie konkurencyjności ofert kierowanych do klienta końcowego.

Po pierwsze bezpieczeństwo tPro, a Payment Services Directive 2

Rozwiązania należące do rodziny tPro stanowią bezpieczną formę realizacji wymagań dyrektywy Payment Services Directive 2 w obszarach takich jak:

W naszej ofercie znajdą Państwo produkty sprzętowe i programowe, których głównym celem jest zapewnienie bezpieczeństwa w procesach uwierzytelniania i autoryzacji transakcji. Technologie opracowywane przez nas w ostatnich latach z powodzeniem działają w największych Europejskich instytucjach finansowych. Oferowane rozwiązania pokrywają wszystkie aspekty adresowane za pośrednictwem rozporządzenia do dyrektywy Payment Services Directive 2.


Silne uwierzytelnianie użytkownika

Dyrektywa PSD2, nakłada na dostawców usług płatniczych obowiązek stosowania silnego uwierzytelniania klientów przy dostępie do instrumentów finansowych. Dokumetnt RTS zakłada, że tożsamość użytkownika musi być zweryfikowana na podstawie dwóch z trzech składników, którymi są wiedza (coś, o czym użytkownik wie), posiadanie (coś, co użytkownik posiada) i cechy klienta (coś, czym użytkownik jest). Przy czym dyrektywa nie pozostaje obojętna wobec samych składników uwierzytelnienia i wymaga, aby były względem siebie niezależne. Oznacza to, że przejęcie jednego ze składników przez niepowołaną osobę nie daje atakującemu możliwości przejęcia kontroli nad dostępem do instrumentów finansowych. Aplikacje, które spełniają wymagania RTS powinny być wyposarzone w mechanizmy pozwalające na:

  • zabezpieczone przed możliwością klonowania pamięci,
  • detekcję typowych zagrożeń w ramach środowiska uruchomieniowego,
  • zabezpieczenia przed atakami typu brute force,
  • mechanizmy zapewniające integralność wyświetlanych informacji,
  • mechanizmy zabezpieczają przed przechwyceniem danych uwierzytelniających,
  • mechanizmy zapewniające integralność i poufność kodów uwierzytelniających,

Zgodnie z założeniami dyrektywy kod uwierzytelniający przyporządkowany do transakcji jest wiązany w jednoznaczny sposób z numerem rachunku odbiorcy i kwotą przelewu. W połączeniu z bezpieczną formą prezentacji danych transakcji, bezpieczną metodą wprowadzania danych autoryzacyjnych, monitorowaniem środowiska uruchomieniowego w czasie rzeczywistym i szyfrowaną komunikacją z serwerem daje wysoki stopień bezpieczeństwa i niezaprzeczalności wykonania transakcji. Dane uwierzytelniającego są przetwarzane w bezpieczny sposób na każdym etapie generacji kodu uwierzytalniającego, a sam materiał kryptograficzny nigdy nie opuszcza bezpiecznego obszaru pamięci urządzenia. W trosce o bezpieczeństwo składnika wiedza, nadawany jest on na etapie aktywacji (parowania) aplikacji i jest przechowywany w szyfrowanym obszarze pamięci. Na tym etapie generowane są także klucze użytkownika służące do produkcji kodów uwierzytelniających transakcji. Następstwem tej operacji jest generacja certyfikatów (zaufane CA) potwierdzających czyją są własnością.

Rozwiązania rodziny tpro zostaly zaprojektowane tak, aby kompleksowo realizowac założenia dyrektywy PSD-2.

Skontaktuj się z ekspertem Comarch

Zachęcamy do kontaktu z naszymi ekspertami w celu szczegółowego omówienia interesujących Państwa produktów i usług skierowanych do branży finansowej.