<эм> 
Европейская комиссия опубликовала окончательный нормативный технический стандарт (RTS) строгой аутентификации клиентов и общей безопасной связи в соответствии с пересмотренной Директивой о платежных услугах (PSD2). В этой окончательной версии Комиссия подтвердила, что очистка экрана
[1]
больше не будет разрешен после вступления в силу RTS, принимая во внимание опасения, высказанные Европейским банковским управлением (EBA) и другими заинтересованными сторонами в отношении безопасности. Однако поставщики платежных услуг, обслуживающие счета (ASPSP), по-прежнему должны будут принимать меры на случай непредвиденных обстоятельств в случае недоступности или недостаточной производительности их выделенных интерфейсов во время сеанса связи со сторонними поставщиками (TPP).
Новые меры на случай непредвиденных обстоятельств
Согласно обновленным правилам, ASPSP должны будут сделать технические характеристики всех своих коммуникационных интерфейсов, будь то выделенных или нет, общедоступными, и предложить, по крайней мере, за шесть месяцев до даты подачи заявки на RTS, средство, позволяющее поставщикам платежных услуг протестировать интерфейсы и убедиться в их правильном функционировании. В случае выделенных интерфейсов ASPSP также должны будут определить прозрачные ключевые показатели эффективности и целевые показатели уровня обслуживания, которые должны быть не менее строгими, чем те, которые установлены для онлайн-платежей и банковских платформ, используемых клиентами ASPSP. Национальные компетентные органы (NCA) будут проводить стресс-тестирование и отслеживать производительность выделенных интерфейсов.
В дополнение к вышеизложенному, ASPSP также должны будут внедрить так называемый резервный механизм, на который могут положиться TPP, если выделенные интерфейсы недоступны в течение более 30 секунд или если они не соответствуют изложенным общим эксплуатационным требованиям. в РТС.
Как и в более ранней версии RTS, такой резервный механизм будет состоять в открытии пользовательского интерфейса ASPSP в качестве безопасного канала связи для инициирования платежей и предоставления информации о счетах. Тем не менее, что важно, Комиссия теперь указала, что при использовании резервного варианта ТТП должны убедиться, что они могут быть идентифицированы ASPSP; принять необходимые меры для обеспечения доступа, хранения или обработки только тех данных, на которые дал согласие потребитель; регистрировать данные, к которым они обращаются, и предоставлять их соответствующему NCA по запросу; и обосновать NCA, по запросу, использование интерфейса.
NCA, по согласованию с EBA, смогут освободить отдельных ASPSP от внедрения такого резервного механизма при условии, что их выделенные коммуникационные интерфейсы соответствуют критериям качества, определенным техническими стандартами. EBA будет нести ответственность за обеспечение согласованности оценки качества выделенных интерфейсов во всех государствах-членах. Исключения будут отменены NCA, если выделенный интерфейс связи больше не соответствует критериям качества в течение более двух последовательных календарных недель. В этом случае ASPSP должен будет внедрить резервный механизм в кратчайшие возможные сроки, но не более чем за два месяца.
Баланс между безопасностью и конкуренцией
Ранее в феврале Комиссия отклонила предложение EBA запретить использование очистки экрана. Его озабоченность, которую разделяет сектор FinTech, заключалась в том, что такой запрет поставит ТТП в невыгодное положение в случаях отказа выделенного интерфейса, потому что, хотя банк сможет предлагать свои собственные платежные услуги через свои клиентские интерфейсы, ТТП не сможет сделать это, пока функциональность выделенного интерфейса не будет восстановлена.
С другой стороны, разрешение неограниченного использования очистки экрана в качестве меры на случай непредвиденных обстоятельств может привести к существенному риску безопасности для ASPSP и клиентов. Это связано с тем, что TPP смогут получить доступ к любой информации, доступной для клиентов на их платформах онлайн-банкинга, как если бы они вошли в систему, что очень затрудняет или делает невозможным для ASPSP идентифицировать TPP и ограничивать доступ только к данным, разрешенным в соответствии с согласие клиента.
Таким образом, перед Комиссией стояла незавидная задача разработать стандарт, который мог бы совместить необходимость обеспечения равных условий для TPP и ASPSP с необходимостью защиты потребителей и обеспечения безопасности платежных услуг. Окончательная RTS пытается сделать это, по сути, вводя более ограниченную версию очистки экрана в качестве резервного механизма — тот, в котором бремя ответственности возлагается на TPP, чтобы иметь возможность доказать NCA, что они действуют в соответствии с правилами PSD2. и согласие, полученное от клиентов.
Теория против практики
В принципе, этот компромисс обеспечивает лучший баланс между безопасностью и конкуренцией, но на практике новые меры на случай непредвиденных обстоятельств могут оказаться несколько непрактичными как для фирм, так и для НКА. Они также могут иметь непредвиденные последствия.
Увеличенная стоимость, сложность и фрагментация
Как ранее отмечалось EBA, введение резервного механизма, вероятно, приведет к увеличению затрат как для ASPSP, так и для TPP, поскольку им потребуется разрабатывать и поддерживать несколько решений для подключения. В частности, TPP должны будут создавать и поддерживать различные решения для подключения для каждого ASPSP, к которому они хотят подключиться, как для выделенных, так и для пользовательских интерфейсов. И хотя TPP будут нести ответственность за идентификацию себя, ASPSP все равно потребуется обновить свои пользовательские интерфейсы, чтобы сделать это возможным. Поскольку ASPSP не могут быть уверены в том, что NCA предоставит им исключение или что оно не будет отозвано в короткие сроки, им может потребоваться создать резервный механизм в качестве превентивной меры.
Это может помешать некоторым ASPSP вообще разрабатывать специализированные интерфейсы, что, в свою очередь, может замедлить разработку стандартизированных интерфейсов прикладного программирования и снизить функциональную совместимость и конкуренцию на рынке. Этот риск может быть дополнительно увеличен требованием о публикации технических спецификаций и предоставлении испытательного оборудования для PSP по крайней мере за шесть месяцев до даты подачи заявки на RTS. Это эффективно сокращает время, необходимое ASPSP для разработки своих решений для безопасной связи, на треть.
Наконец, контроль и обеспечение соблюдения этих мер на случай непредвиденных обстоятельств, включая стресс-тестирование, управление исключениями и мониторинг производительности выделенных интерфейсов, также создаст серьезные операционные проблемы для NCA и EBA, что приведет к дополнительной нагрузке на их и без того ограниченные ресурсы.
Дальнейшие шаги
РТС вступит в силу через 18 месяцев после публикации в Официальном журнале Европейского Союза. В соответствии с соглашением Европейского совета и парламента, у которых есть три месяца на тщательное рассмотрение окончательного текста, в настоящее время ожидается, что RTS начнет применяться примерно в сентябре 2019 года.
[1] Действие по использованию компьютерной программы для копирования данных с веб-сайта без необходимости идентификации себя.
Эта статья была написана группой консультантов по рискам Deloitte в Великобритании и Центром стратегии регулирования в регионе EMEA и впервые опубликована в блоге Deloitte Financial Services UK.
ERISA, фидуциарный стандарт и куда мы идем отсюда
Плюсы, минусы и возможные бедствия после принятия SECURE Act
4 стратегии с имуществом для состоятельных пенсионеров в соответствии с Законом о безопасности
Как оставить наследство после принятия закона SECURE
5 способов, которыми закон о БЕЗОПАСНОСТИ может нанести вред пенсионерам