Tiêu chuẩn PSD2 về giao tiếp an toàn:một hành động cân bằng

ETFFIN >> Tài chính cá nhân > >> Ngoại hối >> ngân hàng

Ủy ban Châu Âu đã xuất bản Tiêu chuẩn kỹ thuật quy định (RTS) cuối cùng về Xác thực khách hàng mạnh mẽ và Giao tiếp an toàn thông thường theo Chỉ thị dịch vụ thanh toán sửa đổi (PSD2). Trong phiên bản cuối cùng này, Ủy ban đã xác nhận rằng sàng lọc ^[1] sẽ không còn được phép sau khi RTS có hiệu lực, do lo ngại của Cơ quan Ngân hàng Châu Âu (EBA) và các bên liên quan khác về vấn đề bảo mật. Tuy nhiên, Nhà cung cấp dịch vụ thanh toán phục vụ tài khoản (ASPSP) vẫn sẽ được yêu cầu đưa ra các biện pháp dự phòng trong trường hợp không có sẵn hoặc hoạt động kém hiệu quả của các giao diện chuyên dụng của họ trong phiên giao tiếp với Nhà cung cấp bên thứ ba (TPP).

Các biện pháp dự phòng mới

Theo các quy tắc cập nhật, ASPSP sẽ được yêu cầu cung cấp các thông số kỹ thuật của tất cả các giao diện truyền thông của họ, cho dù chuyên dụng hay không, sẵn có và cung cấp công khai, ít nhất sáu tháng trước ngày áp dụng RTS, một cơ sở cho phép Nhà cung cấp dịch vụ thanh toán để kiểm tra các giao diện và đảm bảo chúng hoạt động bình thường. Trong trường hợp giao diện chuyên dụng, ASPSP cũng sẽ phải xác định các chỉ số hiệu suất chính minh bạch và các mục tiêu cấp dịch vụ, ít nhất sẽ phải nghiêm ngặt như các chỉ số được đặt ra cho các nền tảng thanh toán và ngân hàng trực tuyến mà khách hàng của ASPSPs sử dụng. Cơ quan có thẩm quyền quốc gia (NCA) sẽ kiểm tra và giám sát hiệu suất của các giao diện chuyên dụng.

Ngoài những điều trên, ASPSP cũng sẽ được yêu cầu đặt ra cái gọi là cơ chế dự phòng, mà TPP có thể dựa vào nếu các giao diện chuyên dụng không khả dụng trong hơn 30 giây hoặc nếu chúng không đáp ứng các yêu cầu hoạt động chung đã đề ra trong RTS.

Như trong dự thảo trước đó của RTS, cơ chế dự phòng như vậy sẽ bao gồm việc mở giao diện người dùng ASPSPs như một kênh giao tiếp an toàn cho các dịch vụ thông tin tài khoản và bắt đầu thanh toán. Tuy nhiên, và quan trọng là Ủy ban hiện đã quy định rằng, khi sử dụng phương án dự phòng, các TPP phải đảm bảo rằng các ASPSP có thể xác định được chúng; thực hiện các biện pháp cần thiết để đảm bảo họ chỉ truy cập, lưu trữ hoặc xử lý dữ liệu mà người tiêu dùng đã đồng ý; ghi nhật ký dữ liệu mà họ truy cập và cung cấp nó cho NCA liên quan nếu được yêu cầu; và giải thích cho NCA, theo yêu cầu, việc sử dụng giao diện.

Các NCA, với sự tham vấn của EBA, sẽ có thể miễn các ASPSP riêng lẻ áp dụng cơ chế dự phòng như vậy, miễn là các giao diện truyền thông chuyên dụng của họ đáp ứng các tiêu chí chất lượng được xác định bởi các tiêu chuẩn kỹ thuật. EBA sẽ chịu trách nhiệm đảm bảo việc đánh giá chất lượng của các giao diện chuyên dụng là nhất quán giữa các Quốc gia Thành viên. Các trường hợp miễn trừ sẽ bị NCA thu hồi nếu giao diện liên lạc chuyên dụng không còn đáp ứng tiêu chí chất lượng trong hơn hai tuần lịch liên tiếp. Trong trường hợp này, cơ chế dự phòng sẽ phải được ASPSP đưa ra trong khung thời gian ngắn nhất có thể và không quá hai tháng.

Cân bằng giữa bảo mật và cạnh tranh

Ban đầu, Ủy ban đã từ chối đề xuất của EBA, trước đó vào tháng 2, về việc cấm sử dụng phương pháp cạo màn hình. Mối quan tâm của họ, được chia sẻ bởi lĩnh vực FinTech, là lệnh cấm như vậy sẽ khiến TPP gặp bất lợi trong trường hợp giao diện chuyên dụng không thành công, bởi vì trong khi một ngân hàng có thể cung cấp dịch vụ thanh toán của riêng mình thông qua giao diện hướng tới khách hàng, thì TPP sẽ không thể làm như vậy cho đến khi chức năng của giao diện chuyên dụng được khôi phục.

Mặt khác, việc cho phép sử dụng không hạn chế việc cạo màn hình như một biện pháp dự phòng sẽ gây ra rủi ro an ninh quan trọng cho các ASPSP và khách hàng. Điều này là do các TPP sẽ có thể truy cập bất kỳ thông tin nào có sẵn cho khách hàng trên nền tảng ngân hàng trực tuyến của họ, như thể họ đã đăng nhập, điều này khiến cho các ASPSP rất khó khăn hoặc không thể xác định được TPP và chỉ giới hạn quyền truy cập vào dữ liệu được phép phù hợp với sự đồng ý của khách hàng.

Do đó, Ủy ban có nhiệm vụ bất khả thi là phát triển một tiêu chuẩn có thể dung hòa nhu cầu đảm bảo một sân chơi bình đẳng giữa TPP và ASPSP, với đó là bảo vệ người tiêu dùng và giữ an toàn cho các dịch vụ thanh toán. RTS cuối cùng cố gắng làm như vậy bằng cách giới thiệu, về bản chất, một phiên bản hạn chế hơn của việc cạo màn hình như là một cơ chế dự phòng - một cơ chế mà nguyên tắc được đưa vào TPP để có thể chứng minh với NCA rằng chúng đang hoạt động phù hợp với các quy tắc PSD2 và nhận được sự đồng ý từ khách hàng.

Lý thuyết so với thực hành

Về nguyên tắc, thỏa hiệp này đạt được sự cân bằng tốt hơn giữa an ninh và cạnh tranh, nhưng trên thực tế, các biện pháp dự phòng mới có thể hơi không thực tế để thực hiện cho cả công ty và NCA. Chúng cũng có thể gây ra những hậu quả không mong muốn.

Tăng chi phí, phức tạp và phân mảnh

Như EBA đã quan sát trước đây, việc đưa ra cơ chế dự phòng có khả năng làm tăng chi phí cho cả ASPSP và TPP, vì họ sẽ cần thiết kế và duy trì nhiều giải pháp kết nối. Đặc biệt, các TPP cụ thể sẽ cần xây dựng và duy trì các giải pháp kết nối khác nhau cho mọi ASPSP mà họ muốn kết nối, cho cả giao diện dành riêng và giao diện người dùng. Và mặc dù các TPP sẽ chịu trách nhiệm tự xác định, các ASPSP vẫn sẽ cần phải nâng cấp giao diện hướng tới người dùng của họ để biến điều này thành khả thi. Vì các ASPSP không thể chắc chắn rằng họ sẽ được NCA của họ cấp miễn trừ hoặc chắc chắn rằng nó sẽ không bị thu hồi trong thời gian ngắn nên họ có thể cần phải áp dụng cơ chế dự phòng như một biện pháp phòng ngừa.

Điều này có thể ngăn cản một số ASPSP phát triển hoàn toàn các giao diện chuyên dụng, do đó có thể làm chậm sự phát triển của các giao diện lập trình ứng dụng được tiêu chuẩn hóa, đồng thời làm giảm khả năng tương tác và cạnh tranh trên thị trường. Rủi ro này có thể tăng thêm do yêu cầu công bố thông số kỹ thuật và cung cấp phương tiện thử nghiệm cho PSP ít nhất sáu tháng trước ngày áp dụng RTS. Điều này giúp giảm một phần ba thời gian ASPSP phải phát triển các giải pháp truyền thông an toàn của họ.

Cuối cùng, giám sát và thực thi các biện pháp dự phòng này bao gồm kiểm tra căng thẳng, quản lý miễn trừ và giám sát hiệu suất của các giao diện chuyên dụng, cũng sẽ đặt ra những thách thức hoạt động đáng kể cho NCA và EBA, gây căng thẳng hơn nữa đối với các nguồn lực vốn đã bị hạn chế của họ.

Các bước tiếp theo

RTS sẽ có hiệu lực sau 18 tháng kể từ khi được xuất bản trên Tạp chí Chính thức của Liên minh Châu Âu. Theo thỏa thuận của Hội đồng và Nghị viện Châu Âu, có ba tháng để xem xét kỹ lưỡng văn bản cuối cùng, RTS hiện dự kiến sẽ được áp dụng vào khoảng tháng 9 năm 2019.

[1] Hành động sử dụng chương trình máy tính để sao chép dữ liệu từ một trang web mà không cần phải xác định danh tính của chính mình.

Bài đăng này được viết bởi nhóm Cố vấn Rủi ro của Deloitte Vương quốc Anh và Trung tâm Chiến lược Quy định EMEA và được xuất bản lần đầu tiên trên blog Deloitte Financial Services Vương quốc Anh.

Năm điều cần nhớ về Basel III Môi trường kinh doanh sáng sủa trên khắp châu Âu - nhưng các công ty dịch vụ tài chính đang bị tụt hậu

Đạo luật BẢO MẬT:Làm gì bây giờ để giúp hạn chế thuế cho người thừa kế sau này

PSD2 RTS về xác thực và giao tiếp - Ủy ban EU đề xuất sửa đổi

Tiêu chuẩn hoàn thiện PSD2 trên SCA và CSC:thời gian chờ đợi đã kết thúc, nhưng vẫn còn câu hỏi

Đạo luật AN TOÀN:Nghỉ hưu sẽ dễ dàng hơn?

ngân hàng