bits psd2 presentation mobilepulse 30 aug 17
TRANSCRIPT
PSD2 – sett fra banknæringenUtfordringer og løsninger
Presentasjon for dataforeningen
MESH – 30. august 2017
Brynjel Johnsen, Fagsjef Bits AS
30.08.2017 1
Hvilke nye aktører og tjenester reguleres av PSD2?
Third Party Providers (TPP)
• Payment Initiation Service Providers (PISP),… kan levere betalingstjenester basert på bankkundenes konti og bankenes betalingsinfrastruktur, ref artikkel 66 i PSD2
… eksempler er kontobasert nettbetaling
• Account Information Service Providers (AISP),… kan levere kontoinformasjonstjenester basert på bankkundenes konti, ref artikkel 67 i PSD2
… eksempler er tjenester som viser «min økonomi» med aggregering av kontoinformasjon på tvers av ulike banker
• Payment Instrument Issuing Service Provider (PIISP)… kan utføre dekningskontroll mot en bankkundes konto for et kjøp som skal gjennomføres med et avtalt betalingskort (antatt
utstedt av PIISP)
… her finnes det ikke så mange eksempler, men det har vært nevnt ulike typer lojalitetskort som kan knyttes mot en
betalingskonto
30.08.2017 2
Hva må banken legge til rette for?
30.08.2017 3
For PISP må banken tilby alle typer betaling som bankene tilbyr sine kunder gjennom det ordinære grensesnittet (nettbank)
Betalingstyper• Innenlands betaling• Innenlands «straksbetalinger»• Utenlands betalinger av ulike typer• SEPA betalinger (SCT, SCT Inst, Sepa fast)• Samlebetalinger for SMB-markedet+ all informasjon som kunden får i nettbanken om betalingen
For AISP må banken levere informasjon om alle typer betalingskonti.
Banken må levere ut samme informasjon som de tilbyr sine kunder i det ordinære grensesnittet – altså nettbank.
• Gjelder «betalingskontoer»• Saldo• Transaksjoner de siste 90 dager
For PIISP må banken levere ut et svar «ja» eller «nei» for om det er dekning på konto for et forespurt beløp.
Kunden må tilordne et bestemt kort fra en kortutsteder til en spesifikk, nærmere avtalt betalingskonto før PIISP kan forespørre om dekning.
• Kort utstedt av andre enn bank• Lojalitetskort med betalingsfunksjon• Andre korttyper
Alle løsninger må ivareta sikkerhet, krav til ‘consent’ fra kunde, GDPR og annen lovgivning
30.08.2017 Navn på presentasjon 4
PSD2 – så enkelt
Men likevel litt vanskelig
• Bankene skal la sine kunder benytte tredjepartsaktører for tilgang til betalingstjenester knyttet til kundenes kontoer.
• Mange detaljerte bestemmelser i selve direktivet som setter direkte føringer for implementasjon
• EBA har fått fullmakt å utarbeide Guidelines, og Regulatory Technical Standards, Implementing Technical Standards for en rekke områder. Disse er også styrende for hvordan bankene skal implementere PSD2 - teknisk, forretningsmessig og organisatorisk.
30.08.2017 Navn på presentasjon 5
RTS og Guidelines
RTS on Strong Customer Authentication and SecureCommunication
Guideline on Security measures
Guideline on incident reporting
RTS/ITS on EBA register
Guidelines on PI Authorisation
Guidelines on complaints procedures
Guidelines on PI Insurance for PSP
RTS Central Contact Points
RTS on Passporting Notification and on supervision
30.08.2017 Navn på presentasjon 6
RTS - Regulatory Technical Standards on Strong Customer
Authentication and common and secure communication
RTS SCA/CSC stiller krav til bruk av «Strong Customer Authentication» for å beskytte kunden
PSD2 skal sette kunden i fokus og gi større valgfrihet til å utføre betalingstjenester.
RTS SCA/CSC stiller krav til tilgjengelighet, funksjonalitet og sikkerhet i det grensesnittet som bankene må gjøre tilgjengelig for tredjepartene.
• Eksisterende praksis med «screen scraping» må opphøre
• Bankene må tilby et dedikert grensesnitt (eks. API) som tredjepartsaktørene kan koble seg til.
• I siste offisielle versjon står det at Bankene må tilby en backup-løsning der tredjepartsaktørene kan benytte kundens grensesnitt (nettbank), gitt at sikkerhetskravene er oppfylt.
EBA er gitt fullmakt til å utarbeide «Regulatory Technical Standards» for å bl.a ivareta sikkerheten. RTS SCA/CSC vil gjøres gjeldende fra våren/sommeren 2019.
OBS – sikkerhetskravene gjelder også for bankenes egen nettbank!
• Banken må tilby samme autentiseringstjenester via tredjeparter som i nettbank
30.08.2017 7
Tidslinje PSD2 og RTS (SCA/CSC)
2016 2017 2018 2019
PSD2 vedtatt i EU, men 24 måneders effektueringstid
PSD2 iverksatt i nasjonal lovgivning i EU’s medlemsland
PSD2 iverksatt i nasjonal lovgivning i NorgeRTS høring og behandling
RTS vedtatt, men 18 måneders effektueringstid
RTS iverksatt i EU og Norge
Både PSD2 og RTS har effekt i EU og Norge
PSD2 i effekt i Norge og EU
PSD2 i effekt i EUDagens
dato
Lov-vakuum i EU
Lov-vakuum 1 i Norge
Lov-vakuum 2 i NorgePSD2 i full effekt
Spesifikt om Strong CustomerAuthentication (SCA)
30.08.2017 8
Det er i RTS stilt spesifikke krav til mekanismer til StrongCustomer Authentication…
- Kontobanken skal legge til rette for at betaler skal kunne benytte bankens autentiseringsmekanismer til SCA
- Kravet er at kunden skal autentisere seg med minst to av følgende faktorer:
Noe man er Noe man har Noe man vet
På bakgrunn av minst to av disse elementene skal det genereres en autentiseringskode som banken kan bruke til å autentisere personen og autorisere betaling….
Autentisering
For betalinger gjelder i tillegg følgende krav
30.08.2017 9
For å autorisere en betaling skal den autentiseringskoden som genereres være ‘dynamisk linket’ til beløp og betalingsmottaker.
Intensjonsverifikasjon: endring av beløp eller betalingsmottaker skal bli oppdaget av banken før gjennomføring av betaling…
{ , beløp, betalingsmottaker}Integritets-beskyttelse
Kode
kode
Autentisering OK?Sjekk at beløp er det
samme som PIS hevder
Sjekk at betalingsmottaker er den samme som PIS hevder
Dynamisk linking
Er denne informasjonen
intakt?
Utover dette er det foreslått en rekke unntak fra bestemmelsene ved små beløp, basert på sanntids risikoanalyse mv.
Hvordan jobber banknæringen med PSD2?
30.08.2017 10
Bankidividuelle PSD2-løsninger
‘Open banking strategier’
Hva er status?
30.08.2017 11
‘Kriseløsninger’
Fintech-bransjen
flommer over av kreative
ideer og nye løsninger
EU og norske myndigheter forventer effektive løsninger som dekker complianceog interoperabilitet
PSD2 tilpasning er uansett komplekst fordi man må støtte alle tjenester, tilby sterk kundeautentisering med unntakshåndtering, dynamisk linking, verifikasjon av tredjepart, testsystemer, support, on-boarding ………(!)
30.08.2017 12
Hvordan skal bankene tilpasse seg regelverket?
Alle banker må forstå kravene og tilpasse egne systemer og rutiner til PSD2 for sine banktjenester
Alle banker må tilpasse seg og levere grensesnitt for ‘compliance’ til PSD2 for sine banktjenester
Banker kan selvfølgelig levere premiumtjenester på toppen av de obligatoriske PSD2-tjenestene
Alle banker må forholde seg til eksterne rammefaktorer, myndigheter og regler for grensekryssende virksomhet.
30.08.2017 13
Hvordan jobber bankene med compliance?
Fortolke kravVurdere egne
tjenesterDefinere egne PSD2-tjenester
Utarbeide krav til tjenestene
Definere grensesnittet
Lage grensesnitt-spesifikasjon
Implementere dedikert
grensesnitt
Implementere SCA
Implementere unntaks-
håndtering
Transaksjons-risiko analyse?
Implementere testsystemer
Definere rutiner
Implementere rutiner
TPP support
Dispute
Incident
Klar for PSD2!
Samarbeid
Bankens ansvar
Koordinering
Drift
Forvaltning
Tilpasse nettsider for
fallback
30.08.2017 14
Hvorfor samarbeider bankene om compliance?
Interoperabilitet
Reduserte kostnader
Tilfredsstille intensjonen med PSD2
• Redusert risiko for fragmentering i næringen• TPPer kan nå bankene i næringen gjennom et harmonisert rammeverk• Enhetlig tilgang til markedet• Enkel tilgang til konto for TPP og brukersteder• Reduksjon av PSD2 XS2A kompleksitet
• Kostnadsreduksjon for utvikling, vedlikehold, forbedringer og test• Bedre, flere, raskere, og billigere tjenester for bankens kunder• Komplett, kostnadseffektiv løsning på ‘compliance’ til PSD2• Mulighet for felles implementering av grensesnitt• Mulighet for felles implementering av testmiljø og support
• Enhetlig tjenestefunksjonalitet for forbrukerne og TPPer• Valgfrihet og transparens i markedet• Enhetlig sikkerhetsnivå• Legge til rette for videre innovasjon gjennom fleksible grensesnitt
Omfattende infrastruktur er nødvendig for effektiv implementering av PSD2
30.08.2017 15
Offentlig sektor
Markedet
TPP
ASPSP
Standardisering
Grensesnitt
Katalog-tjenester
ASPSP
Grensesnitt Grensesnitt
Grensesnitt
Grensesnitt Grensesnitt
Grensesnitt
Grensesnitt
TPP
Grensesnitt
Nasjonale myndigheter Offentlig register, refartikkel 14 i PSD2
Trust Service Provider
KlagehåndteringWorkflowProsedyrerMeldinger
HendelseshåndteringWorkflowProsedyrerMeldinger
PSU SCA
Request
Autorisasjon (article 5/11 [PSD2])
Utstedelse av eIDASsertifikat til TPP
(article 20 [EBA-RTS])
Statusoppslag TPP sertifikat
Strong Customer Authentication
Payload
Identifisering
PSD2 XS2A
Autentiseringstjeneste
Fraud, sesjon, unntak
Autentiserings-tjeneste
Strong CustomerAuthentication
SMB
30.08.2017 Navn på presentasjon 16
Relevant internasjonalt standardiseringsarbeid vs
standardiseringsarbeid i Norge
Grensesnittspesifikasjoner Katalogtjenester
Bankene og Bits har gjennom et felles prosjekt identifisert følgende arenaer for samarbeid:
Prosjektet har analysert behovet for datautveksling i forbindelse med PSD2 compliance.
Bits følger internasjonalt standardiseringsarbeid i regi av Berlin Group og sikrer norske interesser.
Målsetningen er at de fleste bankene i Norge og Norden, i likhet med de fleste større europeiske banker skal implementere Berlin Group sin grensesnittspesifikasjon
Prosjektet har identifisert at tillit og informasjon om aktørene er en vesentlig suksessfaktor for at PSD2 skal lykkes.
Det er mange kilder til informasjon om aktørene. Både banker og tredjeparter må bruke tid på å finne informasjon om hverandre. Spesielt ved grensekryssende virksomhet.
Næringen er enig om at det er behov for enklere oversikt, og vurderer katalogtjenester.
30.08.2017 17
Tidsplan Spesifikasjonsarbeid Berlin Group
2016 2017 2018 2019
API under construction
Både PSD2 og RTS har effekt i EU og NorgePSD2 i effekt i
Norge og EUPSD2 i effekt i EUDagens dato
Mktcons
API Implementation
Takk for meg
Brynjel Johnsen
Fagsjef, Bits AS
30.08.2017 Navn på presentasjon 18