Proč se nebát PSD2 a nových platebních služeb
PSD2 je jednou z největších událostí v platebním světě za posledních 15 let.
Ve zkratce se jedná o směrnici, která otevírá nové možnosti nejen poskytovatelům platebních služeb, jako jsou banky nebo platební brány, ale i dalším subjektům, pro které byl dříve trh platebních služeb uzavřen.
Jaký užitek nové platební služby přinášejí a jsou vůbec bezpečné?
V článku vám popíšeme náš pohled na tuto směrnici.
Co je PSD2 a jaké přináší možnosti?
PSD2 (Payment Service Directive) je druhá směrnice Evropské Unie o platebních službách. Tato směrnice byla navržena Evropskou komisí a schválena Evropským parlamentem v říjnu roku 2015. Jejím cílem je vytvořit jednotný integrovaný trh pro platební služby a otevřít jej pro nové poskytovatele platebních služeb, kteří přicházejí na trh zejména v důsledku dostupnosti nových digitálních technologií. Směrnice se zaměřuje především na způsob provádění on-line plateb a poskytování informací v platebním styku.
PSD2 přivedla na svět dvě nové služby: službu nepřímého dání platebního příkazu a službu informování o platebním účtu.
Služba nepřímého dání platebního příkazu představuje službu, kdy třetí strana, které k tomu dáte výslovný souhlas, za vás zajistí převedení dohodnuté částky z vašeho účtu na jiný.
Služba informování o platebním účtu zase umožňuje třetí straně čtení informací o vašem účtu, resp. o pohybech na tomto účtu, opět za předpokladu, že s tím budete souhlasit.
Proč byste ale měli někomu otvírat svoje bankovnictví, aby za vás vykonal tak jednoduchou operaci, jako je vyplnění převodního příkazu? Proč by vás měla nějaká třetí strana informovat o tom, kolik máte peněz na účtu, když to jedním pohledem do internetového bankovnictví můžete zjistit sami? Co tedy PSD2 přináší tak zázračného, že se o tom všude mluví?
PSD2 otevírá pole působnosti nejen pro banky, ale zejména nebankovní subjekty, aby vymyslely a naprogramovaly aplikace, které vám podstatně ulehčí správu vašich financí. A to je událost srovnatelná s tím, když jsme před 15 lety přestali chodit do bank a začali používat internetové bankovnictví.
Jsou nové platební služby bezpečné?
Zůstává však otázka, zda je sdílení vašich dat s třetími stranami bezpečné.
Třetí stranou se rozumí někdo další, kdo má přístup k vašemu bankovnictví (tedy kromě vás a vaší banky). U nových platebních služeb, jaké PSD2 přináší, sdílíte s třetí stranou např. vaše přihlašovací údaje do bankovnictví. A to jsou pekelně citlivá data, o která se zpravidla nechcete dělit ani s rodinnými příslušníky, natož s někým úplně cizím.
Otevření internet bankingu však nemusí nutně znamenat, že třetí strana získá přístup do všech vašich financí a bude mít tak kompletní přehled o jejich stavu. Dnes je běžné, že zákazníci mají rozdělené své finance mezi různé typy účtů, případně peněžní ústavy, a tak je možné jistou část prostředků odklonit a ponechat ji výhradně ve správě tradičního bankovního systému a pro nové služby vyčlenit pouze takovou část prostředků, se kterými chcete disponovat operativně.
Poskytovatelé nových platebních služeb musí citlivá data řádně zabezpečit
Všechny subjekty, které chtějí poskytovat nové platební služby, musí mít zavedené řádné postupy, které zabezpečují, že citlivé údaje nebudou zneužity. Za řádné postupy rozhodně nelze považovat situaci, kdy do organizačního řádu firmy napíšete, že “V databázi XY jsou uložené citlivé údaje a vy, milí zaměstnanci, se na ně nesmíte koukat a kdo se na ně podívá, bude přísně potrestán.”
Systémy, které zpracovávají citlivé údaje o platbách (jako např. systém platební brány GoPay), musí být vymyšlené a postavené tak, aby bylo vyloučeno jejich zneužití. Principiálně se jedná se o aplikaci víceúrovňové ochrany, kdy ten, kdo se k datům dostane (administrátor), jim nesmí rozumět (data musí být zakódována), a kdo je umí dekódovat (programátor), se k nim nesmí dostat. A nad tím vším musí bdít monitorovací systém, který loguje veškeré operace, které s daty proběhly, a podává o té činnosti zprávy. A celý systém musí být ještě doplněn systémem vícevrstvé kontroly kombinujícím technická, procesní a organizační opatření tak, aby nebylo možné kontrolu obejít prostým vyřazením jedné vrstvy.
Citlivá data se prostě nemůžou ukládat jako hromada koksu na dvorku, ze které si každý vezme, co se mu právě hodí.
Přestože výše popsané principy jsou relativně jednoduché a desítky let osvědčené, jejich aplikace v praxi je pěkný „opruz“. Vyžadují totiž nejen změnu myšlení a pracovních postupů, ale takovému účelu přizpůsobenou architekturu aplikace i infrastruktury, na které samotná aplikace běží. Protože běžný uživatel není schopen rozpoznat, do jaké míry poskytovatel služeb skutečně splňuje deklarovaná opatření a do jaké míry jsou jeho prohlášení pouze marketingovými hesly, vstupují do hry certifikáty nezávislých auditorů, které by měly poskytnout alespoň základní informaci o tom, jak si který poskytovatel na poli zabezpečení stojí.
Obecný certifikát řady ISO 27000 sice naznačuje, že společnost se o problematiku datové bezpečnosti alespoň nějak zajímá, v oblasti ochrany citlivých údajů o platbách však nic negarantuje. Lépe jsou na tom ty subjekty, které prošly certifikací např. na PCI-DSS (Payment Card Industry Data Security Standard), což již dokazuje, že mají zavedené postupy, aby nikdo nemohl zneužít citlivé údaje o platebních kartách, a že kromě jejich pracovních postupů a organizaci práce vyhovuje bezpečnostním požadavkům i platební aplikace. To v praxi například obnáší, že i když zadáváte do webového formuláře číslo vaší platební karty (tzv. PAN – Primary Account Number) a další údaje v nezakódované a snadno čitelné podobě, po opuštění formuláře se již toto číslo ani další citlivé údaje nikdy a nikde v platebním systému neobjeví, protože jsou různými algoritmy zašifrovány a navzájem odděleny.
Dohled regulátora a získání licence
Posledním článkem, který garantuje bezpečnost platebních systémů, je regulátor, v našem případě Česká národní banka.
Všichni žadatelé o licenci k poskytování nových platebních služeb jsou bez ohledu na dosavadní referenční zkušenosti podrobeni velmi zevrubnému licenčnímu řízení. Během řízení musí tito žadatelé prokázat, že jsou schopni plnit požadavky dané nejen zákonem o platebním styku, ale i návazných evropských předpisů, směrnic a standardů.
Proces licenčního řízení je velmi zdlouhavý a komplikovaný. O jeho náročnosti svědčí i fakt, že dosud v ČR není subjekt, který by tímto procesem za více než 10 měsíců od platnosti nového zákona úspěšně prošel.
UPDATE: V září 2019 jsme jako první česká platební brána získali licenci ČNB pro poskytování platebních služeb v kontextu směrnice PSD2.
Závěr
Nových platebních služeb se určitě nemusíte bát.
Nemůžeme mluvit za zahraniční trh, ale co se týče poskytovatelů služeb licencovaných v České republice, věřte tomu, že se Česká národní banka o prověření poskytovatele před udělením licence dobře postará.
Žádný komentář