PSD 2 – pro někoho nic neříkající zkratka, pro jiné strašák jako GDPR?

PSD 2 – pro někoho nic neříkající zkratka, pro jiné strašák jako GDPR?
11 / 09 / 2019, 17:00

V sobotu 14. 9. 2019 vejde v účinnost směrnice EU z 13. ledna 2016, na jejímž základě musí každý stát EU přijmout zákon reagující na požadavky dané směrnice. V ČR jsme legislativně připraveni již od ledna minulého roku, kdy nabyl účinnosti zákon č. 370/2017 Sb., o platebním styku, který transformuje požadavky této směrnice do podmínek České republiky.

Převody účtů z jedné banky do druhé doslova „lusknutím prstu“

Některé bankovní domy již předběhly účinnost zákona i PSD 2, neboť umožňují převod účtu z jedné banky do druhé, a to převážně návštěvou na pobočce, nebo (což bývalo vzácnější) pomocí webového rozhraní, kdy se na pár kliků vytvořil nový účet a většina trvalých příkazů a plateb se automaticky přenesla k nové bance. Díky PSD 2 budou nově muset toto poskytovat všechny banky. Na klientovi pak bude jen nahlásit změnu účtu v zaměstnání, na pojišťovně apod.

Nově platby bez karty

Nová, tzv. platební iniciace, je služba třetí strany (nebankovní společnosti), která přes své bankovní rozhraní umožní iniciovat platbu z jeho platebního účtu, aniž by klient potřeboval platební kartu. K iniciaci platby dochází prostřednictvím softwarového mostu mezi internetovými stránkami obchodníka a platformou pro internetové bankovnictví banky.

Tato služba byla již dříve k dispozici, měla ale jedno drobné úskalí – při jejím využití jste museli poskytovateli dát k dispozici přihlašovací údaje ke svému účtu a ten díky tzv. screen scrapingu – tedy strojovému čtení uživatelského rozhraní – mohl zajistit potřebnou platbu. Díky screen scrapingu se ale mohl dostat i k informacím, které by v určitých případech (jako např. porušení bezpečnosti daného systému) mohly dojít až ke zneužití účtu.

PSD 2 a na něj navazující zákon 370/2017 Sb. nahrazují toto řešení novým způsobem. PSD2 ukládá povinnost jednotlivým bankám zpřístupnit klientské informace autorizovaným třetím stranám pomocí tzv. API (Application Programming Interface). Díky němu může třetí strana iniciovat platbu, aniž by se dostala ke klientským detailům účtu.

Zabezpečení třetích stran

Každá organizace, která se bude chtít do systému zapojit, bude muset projít nelehkým licenčním řízením. V rámci něj i nadále na ni jsou kladeny přísné nároky, mezi jinými musí dodržovat například kapitálovou přiměřenost a musí být pojištěná. Vše je pod dohledem ČNB. O náročnosti a zdlouhavosti procesu svědčí fakt, že dosud v ČR není subjekt, který by jím prošel za méně než 10 měsíců. A není se čemu divit – dodnes totiž platilo, že pokud vám kvůli službám třetích stran někdo zcizil účet, vina dopadla na vás. V budoucnu jde ale škoda za bankou.

Máme se bát zneužití?

Systémy, které zpracovávají citlivé údaje o platbách (jako např. systém platební brány GoPay), musí být navržené tak, aby bylo vyloučeno jejich zneužití. Principiálně se jedná o aplikaci víceúrovňové ochrany, kdy ten, kdo se k datům dostane (administrátor), jim nesmí rozumět (data musí být zakódována), a kdo je umí dekódovat (programátor), se k nim zase nesmí dostat. Nad tím vším musí bdít monitorovací systém, který loguje veškeré operace, které s daty proběhly, a podává o dané činnosti průběžné zprávy. Celý systém musí být ještě doplněn systémem vícevrstvé kontroly kombinujícím technická, procesní a organizační opatření tak, aby nebylo možné kontrolu obejít prostým vyřazením jedné vrstvy.

Běžný uživatel není schopen rozpoznat, do jaké míry poskytovatel služeb skutečně splňuje deklarovaná opatření a do jaké míry jsou jeho prohlášení pouze líbivými hesly. Do hry dále vstupují certifikáty nezávislých auditorů, které by měly poskytnout alespoň základní informaci o tom, jak si který poskytovatel na poli zabezpečení stojí.

Obecný certifikát řady ISO 27000 sice naznačuje, že společnost se o problematiku datové bezpečnosti alespoň nějak zajímá, v oblasti ochrany citlivých údajů o platbách však nic negarantuje. Lépe jsou na tom subjekty, které prošly certifikací např. na PCI-DSS (Payment Card Industry Data Security Standard) – ty mají zavedené postupy zabraňující zneužití citlivých údajů o platebních kartách a kromě jejich pracovních postupů a organizaci práce vyhovuje bezpečnostním požadavkům i platební aplikace. To znamená, že i když zadáváte do webového formuláře číslo vaší platební karty (tzv. PAN – Primary Account Number) a další údaje v nezakódované a snadno čitelné podobě, po opuštění formuláře se již toto číslo ani další citlivé údaje nikdy nikde v platebním systému neobjeví.

Díky PSD 2 se služby třetích stran změní – nebude se jednat o „velkého bratra“, který má přehled o všech aktivitách na vašem účtu, ale o ověřeného služebníka, který vám pomůže např. při platbách na e-shopech, při zahraničních nákupech a podobně. Samozřejmostí pak je, že k veškerým těmto operacím bude třeba vašeho souhlasu.

 

Autor: Zbyněk Malý

 

 

 

 

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace