EBA разъясняет требования к Строгой Аутентификации Клиентов для PSP
Европейская банковская организация (EBA) опубликовала заключение о внедрении нормативных технических стандартов для Строгой Аутентификации Клиентов (SCA) и общей безопасной связи.
Она также опубликовала консультационный документ по проекту руководящих принципов, касающихся условий, которым должен отвечать поставщик платежных услуг по обслуживанию счетов (ASPSP), если он хочет обеспечить доступ через специальный интерфейс и быть освобожден от обязательства иметь запасной вариант.
PSD2 требует, чтобы для доступа к платежной учетной записи в Интернете, инициировании транзакции платежа и осуществлении транзакции через удаленный канал использовалась Строгая Аутентификация Клиента.
Чтобы соответствовать PSD2 и RTS, представители отрасли должны разработать или изменить свои системы и, где это применимо, создать интерфейсы и другие инфраструктуры. Заключение адресовано национальным регуляторам. Поскольку заключение обеспечивает ожидания в области надзора, оно будет представлять интерес для поставщиков платежных услуг, карточных процессоров платежей, поставщиков технических услуг и отраслевых инициатив. В заключении содержатся общие и конкретные замечания, в том числе по объему данных и четырехкратному дневному лимиту, а также по применению Строгой Аутентификации Клиентов и освобождению от нее.
RTS со своей Строгой Аутентификацией Клиента и CSC регулируют, среди прочего, доступ поставщиков услуг к учетной записи и платежным данным клиентов, хранящихся в ASPSP.
RTS требует ASPSP с платежными учетными записями, которые доступны онлайн, чтобы предлагать по крайней мере один интерфейс доступа, обеспечивающий безопасную связь с поставщиками услуг учетной записи, поставщиками услуг по инициированию платежей и поставщиками платежных услуг, выпускающими платежные инструменты на основе карт.
ASPSP может выбирать между предложением: (i) интерфейса, который предназначен для связи с поставщиками услуг учетной записи, поставщиками услуг по инициированию платежей и поставщиками платежных услуг, выпускающими платежные инструменты на основе карт; или (ii) использование интерфейса для идентификации и связи с пользователями платежных услуг ASPSP.
В случае выбора выделенного интерфейса, ASPSP необходимо создать резервный механизм, чтобы гарантировать, что поставщики платежных услуг, которые полагаются на выделенный интерфейс, могли продолжать предоставлять свои услуги в том случае, если выделенный интерфейс станет недоступен или упадет его производительность. ASPSP могут подать заявку на освобождение от необходимости обеспечивать такой механизм, доказав, что выделенный интерфейс соответствует определенным другим специфическим условиям.
В консультационном документе EBA предлагает руководящие принципы для уточнения требований, которым должны отвечать ASPSP для получения исключения, в частности, уровня обслуживания, доступности и производительности интерфейса, публикации показателей эффективности, стресс-тестирования, препятствий для доступа к платежным счетам и решения проблем.
В проекте документа, определяющего руководящие принципы также уточняется информация, которую национальные регулирующие органы должны учитывать при определении того, квалифицируется ли ASPSP для исключения. Помимо предоставления разъяснений, EBA стремится обеспечить последовательное применение правил в ЕС.
Отзыва на рекомендации должны быть предоставлены до 13 августа 2018 года. Окончательные руководящие принципы затем будут доработаны и будут применяться с 1 января 2019 года. В будущем EBA продолжит предоставлять разъяснения, но будет использовать для этого Единый свод правил Q&A. Назначение Q&A будет расширено на PSD2 к концу июня 2018 года.