Směrnice PSD 2

PSD2 payments

14. září 2019 vešla v platnost evropská směrnice PSD2 (Payment Services Directive 2), na jejímž základě musí každý stát EU přijmout zákon reagující na požadavky dané směrnice. V ČR jsme legislativně připraveni již od ledna minulého roku, kdy nabyl účinnosti zákon č. 370/2017 Sb., o platebním styku, který transformuje požadavky této směrnice do podmínek České republiky.

Převody účtů z jedné banky do druhé doslova „lusknutím prstu“

Některé bankovní domy již předběhly účinnost zákona i PSD 2, neboť umožňují převod účtu z jedné banky do druhé, a to převážně návštěvou na pobočce, nebo (což bývalo vzácnější) pomocí webového rozhraní, kdy se na pár kliků vytvořil nový účet a většina trvalých příkazů a plateb se automaticky přenesla k nové bance. Díky PSD 2 budou nově muset toto poskytovat všechny banky. Na klientovi pak bude jen nahlásit změnu účtu v zaměstnání, na pojišťovně apod.

Nově platby bez karty

Nová, tzv. platební iniciace, je služba třetí strany (nebankovní společnosti), která přes své bankovní rozhraní umožní iniciovat platbu z jeho platebního účtu, aniž by klient potřeboval platební kartu. K iniciaci platby dochází prostřednictvím softwarového mostu mezi internetovými stránkami obchodníka a platformou pro internetové bankovnictví banky.

Tato služba byla již dříve k dispozici, měla ale jedno drobné úskalí – při jejím využití jste museli poskytovateli dát k dispozici přihlašovací údaje ke svému účtu a ten díky tzv. screen scrapingu – tedy strojovému čtení uživatelského rozhraní – mohl zajistit potřebnou platbu. Díky screen scrapingu se ale mohl dostat i k informacím, které by v určitých případech (jako např. porušení bezpečnosti daného systému) mohly dojít až ke zneužití účtu.

PSD 2 a na něj navazující zákon 370/2017 Sb. nahrazují toto řešení novým způsobem. PSD2 ukládá povinnost jednotlivým bankám zpřístupnit klientské informace autorizovaným třetím stranám pomocí tzv. API (Application Programming Interface). Díky němu může třetí strana iniciovat platbu, aniž by se dostala ke klientským detailům účtu.

Zabezpečení třetích stran

Každá organizace, která se bude chtít do systému zapojit, bude muset projít nelehkým licenčním řízením. V rámci něj i nadále na ni jsou kladeny přísné nároky, mezi jinými musí dodržovat například kapitálovou přiměřenost a musí být pojištěná. Vše je pod dohledem ČNB. O náročnosti a zdlouhavosti procesu svědčí fakt, že dosud v ČR není subjekt, který by jím prošel za méně než 10 měsíců. A není se čemu divit – dodnes totiž platilo, že pokud vám kvůli službám třetích stran někdo zcizil účet, vina dopadla na vás. V budoucnu jde ale škoda za bankou.

Máme se bát zneužití?

Systémy, které zpracovávají citlivé údaje o platbách (jako např. systém platební brány GoPay), musí být navržené tak, aby bylo vyloučeno jejich zneužití. Principiálně se jedná o aplikaci víceúrovňové ochrany, kdy ten, kdo se k datům dostane (administrátor), jim nesmí rozumět (data musí být zakódována), a kdo je umí dekódovat (programátor), se k nim zase nesmí dostat. Nad tím vším musí bdít monitorovací systém, který loguje veškeré operace, které s daty proběhly, a podává o dané činnosti průběžné zprávy. Celý systém musí být ještě doplněn systémem vícevrstvé kontroly kombinujícím technická, procesní a organizační opatření tak, aby nebylo možné kontrolu obejít prostým vyřazením jedné vrstvy.

Běžný uživatel není schopen rozpoznat, do jaké míry poskytovatel služeb skutečně splňuje deklarovaná opatření a do jaké míry jsou jeho prohlášení pouze líbivými hesly. Do hry dále vstupují certifikáty nezávislých auditorů, které by měly poskytnout alespoň základní informaci o tom, jak si který poskytovatel na poli zabezpečení stojí.

Obecný certifikát řady ISO 27000 sice naznačuje, že společnost se o problematiku datové bezpečnosti alespoň nějak zajímá, v oblasti ochrany citlivých údajů o platbách však nic negarantuje. Lépe jsou na tom subjekty, které prošly certifikací např. na PCI-DSS (Payment Card Industry Data Security Standard) – ty mají zavedené postupy zabraňující zneužití citlivých údajů o platebních kartách a kromě jejich pracovních postupů a organizaci práce vyhovuje bezpečnostním požadavkům i platební aplikace. To znamená, že i když zadáváte do webového formuláře číslo vaší platební karty (tzv. PAN – Primary Account Number) a další údaje v nezakódované a snadno čitelné podobě, po opuštění formuláře se již toto číslo ani další citlivé údaje nikdy nikde v platebním systému neobjeví.

Díky PSD 2 se služby třetích stran změní – nebude se jednat o „velkého bratra“, který má přehled o všech aktivitách na vašem účtu, ale o ověřeného služebníka, který vám pomůže např. při platbách na e-shopech, při zahraničních nákupech a podobně. Samozřejmostí pak je, že k veškerým těmto operacím bude třeba vašeho souhlasu.

Zbyněk Malý, Anect

Napsat komentář