32018R0389[1]

A Bizottság (EU) 2018/389 felhatalmazáson alapuló rendelete (2017. november 27.) az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről (EGT-vonatkozású szöveg. )

A BIZOTTSÁG (EU) 2018/389 FELHATALMAZÁSON ALAPULÓ RENDELETE

(2017. november 27.)

az (EU) 2015/2366 európai parlamenti és tanácsi irányelvnek az erős ügyfél-hitelesítésre, valamint a közös és biztonságos nyílt kommunikációs standardokra vonatkozó szabályozástechnikai standardok tekintetében történő kiegészítéséről

(EGT-vonatkozású szöveg)

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy

Ez a rendelet meghatározza a pénzforgalmi szolgáltatók által azon biztonsági intézkedések végrehajtása céljából teljesítendő követelményeket, amelyek lehetővé teszik számukra a következők megtételét:

a) az (EU) 2015/2366 irányelv 97. cikkével összhangban az erős ügyfél-hitelesítési eljárás alkalmazása;

b) az erős ügyfél-hitelesítés biztonsági követelményeinek alkalmazása alóli kivétel, a kockázati szinten, az összegen és a fizetési művelet gyakoriságán, valamint a végrehajtásához igénybe vett fizetési csatornán alapuló meghatározott és korlátozott feltételek függvényében;

c) a pénzforgalmi szolgáltatást igénybe vevők esetében a személyes hitelesítési adatok bizalmasságának és integritásának megóvása;

d) az (EU) 2015/2366 irányelv IV. címének alkalmazásában a pénzforgalmi szolgáltatások nyújtásával és igénybevételével kapcsolatban a számlavezető pénzforgalmi szolgáltatók, a megbízásos online átutalási szolgáltatók, a számlainformációkat összesítő szolgáltatók, a fizető felek, a kedvezményezettek és az egyéb pénzforgalmi szolgáltatók közötti közös és biztonságos nyílt kommunikációs standardok meghatározása.

2. cikk

Általános hitelesítési követelmények

Ezeknek a mechanizmusoknak a fizetési műveletek elemzésén kell alapulniuk olyan elemeket figyelembe véve, amelyek a személyes hitelesítési adatok rendes használatának körülményei között jellemzőek a pénzforgalmi szolgáltatást igénybe vevőre.

A pénzforgalmi szolgáltatók biztosítják, hogy a műveletmegfigyelő mechanizmusok figyelembe vegyék legalább a következő kockázatalapú tényezők mindegyikét:

a) a már nem biztonságos vagy ellopott hitelesítési elemek jegyzéke;

b) az egyes fizetési műveletek összege;

c) a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyvek;

d) a hitelesítési eljárás bármely munkamenete során a rosszindulatú szoftverrel való fertőzöttség jelei;

e) amennyiben a hozzáférést biztosító eszközt vagy szoftvert a pénzforgalmi szolgáltató bocsátja rendelkezésre, a pénzforgalmi szolgáltatást igénybe vevő rendelkezésére bocsátott, hozzáférést biztosító eszköz vagy szoftver használatának naplója és a hozzáférést biztosító eszköz vagy szoftver normálistól eltérő használata.

3. cikk

A biztonsági intézkedések felülvizsgálata

Mindazonáltal a 18. cikkben említett kivételt alkalmazó pénzforgalmi szolgáltatók esetében legalább évente kell ellenőrizni a módszertant, a modellt és a jelentett csalási arányokat. Az ezt az ellenőrzést végző könyvvizsgálónak szakértelemmel kell rendelkeznie az informatikai biztonság és a fizetések területén, és a pénzforgalmi szolgáltatón belül vagy kívül függetlenül kell működnie. Ezt az ellenőrzést a 18. cikk szerinti kivétel alkalmazásának első évében és azt követően legalább háromévente, vagy az illetékes hatóságok kérésére gyakrabban egy független és szakképesítéssel rendelkező külső könyvvizsgálónak kell elvégeznie.

Az illetékes hatóságok kérésére a teljes jelentést a rendelkezésükre kell bocsátani.

II. FEJEZET

AZ ERŐS ÜGYFÉL-HITELESÍTÉS ALKALMAZÁSÁRA VONATKOZÓ BIZTONSÁGI INTÉZKEDÉSEK

4. cikk

Hitelesítési kód

A hitelesítési kódot csak egyszer fogadhatja el a pénzforgalmi szolgáltató, amikor a fizető fél a hitelesítési kódot használja a fizetési számlájához való online hozzáféréshez, elektronikus fizetési művelet kezdeményezéséhez vagy műveletek távoli csatornán keresztüli végrehajtásához, ami fizetéssel kapcsolatos csalásokra vagy más visszaélésekre adhat módot.

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatóknak olyan biztonsági intézkedéseket kell elfogadniuk, amelyek biztosítják, hogy a következő követelmények mindegyike teljesül:

a) nem állítható elő semmilyen, az (1) bekezdésben említett elemek bármelyikére vonatkozó információ a hitelesítési kód közzététele esetén;

b) a korábban generált bármely egyéb hitelesítési kód ismerete alapján nem lehetséges új hitelesítési kódot generálni;

c) a hitelesítési kód nem hamisítható.

A pénzforgalmi szolgáltatók biztosítják, hogy a hitelesítési kód generálásával történő hitelesítés magában foglalja a következő intézkedések mindegyikét:

a) amennyiben a távoli hozzáférés, elektronikus távoli fizetések és fizetéssel kapcsolatos csalásokra vagy más visszaélésekre esetleg módot adó, távoli csatornán keresztüli egyéb műveletek céljából történő hitelesítés során nem sikerült hitelesítési kódot generálni az (1) bekezdés alkalmazásában, nem lehetséges azonosítani, hogy az adott bekezdésben említett elemek melyike volt helytelen;

b) azon sikertelen hitelesítési kísérletek száma, amelyek egymást követhetik, és amelyeket követően az (EU) 2015/2366 irányelv 97. cikkének (1) bekezdésében említett műveleteket ideiglenesen vagy tartósan le kell tiltani, egy adott időtartamon belül nem haladhatja meg az ötöt;

c) a kommunikációs munkamenetek védettek a hitelesítés során továbbított hitelesítési adatok elfogásával szemben és a jogosulatlan felek általi manipulációval szemben az V. fejezet követelményeivel összhangban;

d) az a maximális idő, amelyet a fizető fél a fizetési számlájához való online hozzáférés céljából történt hitelesítése után tétlenül eltölthet, nem haladhatja meg az öt percet.

A fizető felet figyelmeztetni kell a letiltás tartóssá tétele előtt.

Amennyiben a letiltás tartóssá vált, egy biztonságos eljárást kell létrehozni, amely lehetővé teszi a fizető fél számára, hogy újból használhassa a letiltott elektronikus készpénz-helyettesítő fizetési eszközöket.

5. cikk

Dinamikus összekapcsolás

Amennyiben a pénzforgalmi szolgáltatók az (EU) 2015/2366 irányelv 97. cikkének (2) bekezdésével összhangban alkalmaznak erős ügyfél-hitelesítést, akkor az e rendelet 4. cikkének követelményei mellett olyan biztonsági intézkedéseket is el kell fogadniuk, amelyek a következő követelmények mindegyikének megfelelnek:

a) a fizető fél tisztában van a fizetési művelet összegével és a kedvezményezettel;

b) a generált hitelesítési kód egyedi a fizetési művelet azon összege és azon kedvezményezett vonatkozásában, amelyet a fizető fél a művelet kezdeményezésekor jóváhagyott;

c) a pénzforgalmi szolgáltató által elfogadott hitelesítési kód megfelel a fizetési művelet eredeti egyedi összegének és a kedvezményezett kilétének, amelyet a fizető fél jóváhagyott;

d) az összeg vagy a kedvezményezett bármely változása a generált hitelesítési kód érvénytelenítését eredményezi.

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatóknak olyan biztonsági intézkedéseket kell elfogadniuk, amelyek biztosítják a következők mindegyikének bizalmasságát, hitelességét és integritását:

a) a művelet összege és a kedvezményezett a hitelesítés minden szakasza során;

b) a fizető fél számára kijelzett információ a hitelesítés minden szakasza során, beleértve a hitelesítési kód generálását, továbbítását és használatát.

Az (1) bekezdés b) pontja alkalmazásában, és amennyiben a pénzforgalmi szolgáltatók az (EU) 2015/2366 irányelv 97. cikkének (2) bekezdésével összhangban alkalmaznak erős ügyfél-hitelesítést, a hitelesítési kódra vonatkozóan a következő követelmények alkalmazandók:

a) olyan kártyaalapú fizetési művelet kapcsán, amely esetében a fizető fél az említett irányelv 75. cikkének (1) bekezdése értelmében jóváhagyta a zárolandó pénzösszeg pontos nagyságát, a hitelesítési kódnak egyedinek kell lennie azon összeg vonatkozásában, amelynek zárolását a fizető fél jóváhagyta, és amelyet a fizető fél a művelet kezdeményezésekor jóváhagyott;

b) olyan fizetési műveletek kapcsán, amelyek esetében a fizető fél jóváhagyta az elektronikus távoli fizetési műveletek egy csoportjának egy vagy több kedvezményezett részére történő végrehajtását, a hitelesítési kódnak egyedinek kell lennie a fizetési műveletek csoportjának teljes összege és a meghatározott kedvezményezettek vonatkozásában.

6. cikk

Az ismeret kategóriába sorolható elemekre vonatkozó követelmények

7. cikk

A birtoklás kategóriába sorolható elemekre vonatkozó követelmények

8. cikk

A biológiai tulajdonság kategóriába sorolható elemekhez kapcsolódó eszközökre és szoftverekre vonatkozó követelmények

9. cikk

Az elemek függetlensége

A (2) bekezdés alkalmazásában a kockázatmérséklési intézkedéseknek magukban kell foglalniuk a következők mindegyikét:

a) a többfunkciós eszközön belül telepített szoftveren keresztül elkülönített biztonságos végrehajtási környezetek alkalmazása;

b) azt biztosító mechanizmusok, hogy a szoftvert vagy eszközt nem változtatta meg a fizető fél vagy harmadik fél;

c) ha változtatásokra került sor, az ezek következményeit mérséklő mechanizmusok.

III. FEJEZET

AZ ERŐS ÜGYFÉL-HITELESÍTÉS ALÓLI KIVÉTELEK

10. cikk

Hozzáférés a fizetési számlára vonatkozó információkhoz közvetlenül a számlavezető pénzforgalmi szolgáltatónál

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek és ha a pénzforgalmi szolgáltatást igénybe vevő közvetlenül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:

a) egy vagy több megjelölt fizetési számla egyenlege;

b) az elmúlt 90 napban egy vagy több megjelölt fizetési számlán keresztül végrehajtott fizetési műveletek.

Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók számára nem biztosítható kivétel az erős ügyfél-hitelesítés alkalmazása alól, ha a következő feltételek valamelyike teljesül:

a) a pénzforgalmi szolgáltatást igénybe vevő az (1) bekezdésben meghatározott információhoz első alkalommal fér hozzá online;

b) több mint 180 nap eltelt azóta, hogy a pénzforgalmi szolgáltatást igénybe vevő utoljára online hozzáfért az (1) bekezdés b) pontjában meghatározott információhoz, és erős ügyfél-hitelesítésre került sor.

10a. cikk

Hozzáférés a fizetési számlára vonatkozó információkhoz számlainformációkat összesítő szolgáltatón keresztül

A pénzforgalmi szolgáltatók nem alkalmazhatnak erős ügyfél-hitelesítést abban az esetben, ha a pénzforgalmi szolgáltatás igénybe vevője számlainformációkat összesítő szolgáltatón keresztül, online fér hozzá a fizetési számlájához, feltéve, hogy a hozzáférés a következő online információk egyikére korlátozódik, és nem jár érzékeny fizetési adatok közzétételével:

a) egy vagy több megjelölt fizetési számla egyenlege;

b) az elmúlt 90 napban egy vagy több megjelölt fizetési számlán keresztül végrehajtott fizetési műveletek.

Az (1) bekezdéstől eltérve a pénzforgalmi szolgáltatók erős ügyfél-hitelesítést alkalmaznak, amennyiben az alábbi feltételek valamelyike teljesül:

a) a pénzforgalmi szolgáltatást igénybe vevő az (1) bekezdésben meghatározott információhoz első alkalommal fér hozzá online, a számlainformációkat összesítő szolgáltatón keresztül;

b) több mint 180 nap eltelt azóta, hogy a pénzforgalmi szolgáltatást igénybe vevő utoljára online, a számlainformációkat összesítő szolgáltatón keresztül hozzáfért az (1) bekezdés b) pontjában meghatározott információhoz, és erős ügyfél-hitelesítésre került sor.

11. cikk

Az értékesítés helyén történő érintéses fizetés

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek, amikor a fizető fél érintéses elektronikus fizetési műveletet kezdeményez, feltéve, hogy teljesülnek a következő feltételek:

a) az érintéses elektronikus fizetési művelet egyedi összege nem haladja meg az 50 EUR-t; valamint

b) az erős ügyfél-hitelesítés utolsó alkalmazásának dátuma óta az érintéses funkcióval rendelkező készpénz-helyettesítő eszköz használatával kezdeményezett előző érintéses elektronikus fizetési műveletek kumulált összege nem haladja meg a 150 EUR-t; vagy

c) az erős ügyfél-hitelesítés utolsó alkalmazása óta az érintéses funkciót kínáló készpénz-helyettesítő eszköz használatával kezdeményezett egymást követő érintéses elektronikus fizetési műveletek száma nem haladja meg az ötöt.

12. cikk

Közlekedési viteldíjakhoz és parkolási díjakhoz használt felügyelet nélküli terminálok

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek, amikor a fizető fél egy felügyelet nélküli fizetési terminálnál közlekedési viteldíj vagy parkolási díj megfizetése céljából elektronikus fizetési műveletet kezdeményez.

13. cikk

Megbízható kedvezményezettek

14. cikk

Ismétlődő műveletek

15. cikk

Ugyanazon természetes vagy jogi személy által tartott számlák közötti átutalások

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amennyiben megfelelnek a 2. cikkben meghatározott követelményeknek, ha a fizető fél olyan körülmények között kezdeményez átutalást, ahol a fizető fél és a kedvezményezett ugyanaz a természetes vagy jogi személy, és mindkét fizetési számlát ugyanazon számlavezető pénzforgalmi szolgáltatónál tartják.

16. cikk

Kis összegű műveletek

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést, amikor a fizető fél távoli elektronikus fizetési műveletet kezdeményez, feltéve, hogy teljesülnek a következő feltételek:

a) a távoli elektronikus fizetési művelet összege nem haladja meg a 30 EUR-t; valamint

b) az erős ügyfél-hitelesítés utolsó alkalmazása óta a fizető fél által kezdeményezett előző távoli elektronikus fizetési műveletek kumulált összege nem haladja meg a 100 EUR-t; vagy

c) az erős ügyfél-hitelesítés utolsó alkalmazása óta a fizető fél által kezdeményezett előző távoli elektronikus fizetési műveletek száma nem haladja meg az 5 egymást követő egyedi távoli elektronikus fizetési műveletet.

17. cikk

Biztonságos vállalati fizetési folyamatok és protokollok

A pénzforgalmi szolgáltatók számára lehetővé kell tenni, hogy ne alkalmazzanak erős ügyfél-hitelesítést olyan jogi személyek kapcsán, amelyek erre a célra kijelölt, kizárólag nem fogyasztónak minősülő fizető felek rendelkezésére bocsátott fizetési folyamatok vagy protokollok használatával kezdeményeznek elektronikus fizetési műveleteket, amennyiben az illetékes hatóságok meggyőződtek arról, hogy a szóban forgó folyamatok vagy protokollok az (EU) 2015/2366 irányelvben előírtakkal legalább egyenértékű szintű biztonságot garantálnak.

18. cikk

Műveletikockázat-elemzés

Az (1) bekezdésben említett elektronikus fizetési műveletet alacsony kockázatúnak kell tekinteni, ha az összes következő feltétel teljesül:

a) a pénzforgalmi szolgáltató által jelentett és a 19. cikknek megfelelően kiszámított csalási arány e művelettípus esetében a mellékletben a "távoli elektronikus kártyaalapú fizetések", illetve a "távoli elektronikus átutalások" táblázatban meghatározott referencia csalási arányokkal egyenlő vagy azok alatti;

b) a művelet összege nem haladja meg a melléklet táblázatában meghatározott vonatkozó kivételi küszöbértéket;

c) a pénzforgalmi szolgáltatók valós idejű kockázatelemzés elvégzését követően nem azonosították a következők egyikét sem: i. a fizető fél normálistól eltérő költési vagy viselkedési mintája; ii. a fizető fél eszköz-/szoftverhozzáférésére vonatkozó szokatlan információ; iii. a hitelesítési eljárás bármely munkamenete során rosszindulatú szoftverrel való fertőzöttség; iv. a pénzforgalmi szolgáltatások nyújtása során ismert csalási forgatókönyv; v. a fizető fél normálistól eltérő elhelyezkedése; vi. a kedvezményezett magas kockázatú elhelyezkedése.

A távoli elektronikus fizetési műveleteket azok alacsony kockázata okán az erős ügyfél-hitelesítés alól mentesíteni szándékozó pénzforgalmi szolgáltatók figyelembe veszik legalább a következő kockázatalapú tényezőket:

a) a pénzforgalmi szolgáltatást igénybe vevő egyén korábbi költési mintái;

b) a pénzforgalmi szolgáltató minden egyes pénzforgalmi szolgáltatást igénybe vevőjének a fizetésiművelet-története;

c) a fizető fél és a kedvezményezett elhelyezkedése a fizetési művelet időpontjában abban az esetben, ha a hozzáférési eszközt vagy szoftvert a pénzforgalmi szolgáltató bocsátja rendelkezésre;

d) a pénzforgalmi szolgáltatást igénybe vevőnek a fizetésiművelet-történetéhez képest a normálistól eltérő fizetési mintáinak azonosítása.

A pénzforgalmi szolgáltató által végzett értékelés az összes említett kockázatalapú tényezőt egy kockázatpontozássá kombinálja minden egyes művelet esetében, annak meghatározása céljából, hogy egy adott fizetés engedélyezhető-e erős ügyfél-hitelesítés nélkül.

19. cikk

A csalási arányok kiszámítása

Az egyes művelettípusokra vonatkozó átfogó csalási arányok kiszámításához gördülő negyedévi (90 napos) alapon a nem engedélyezett vagy csalárd távoli műveletek összértékét - függetlenül attól, hogy a pénzösszegeket visszaszerezték vagy sem - el kell osztani az ugyanolyan művelettípusokat érintő összes távoli művelet összértékével, függetlenül attól, hogy a műveleteket erős ügyfél-hitelesítés alkalmazásával hitelesítették vagy a 13-18. cikkben említett bármely kivétel alapján hajtották végre.

20. cikk

A műveletikockázat-elemzésen alapuló kivételek alkalmazásának megszüntetése

21. cikk

Megfigyelés

A 10-18. cikkben meghatározott kivételek alkalmazása érdekében a pénzforgalmi szolgáltatók a fizetési műveletek minden típusa esetében legalább negyedévente rögzítik és megfigyelik a következő adatokat, távoli és nem távoli fizetési műveletek szerinti bontásban:

a) Az (EU) 2015/2366 irányelv 64. cikkének (2) bekezdésével összhangban a nem engedélyezett vagy csalárd fizetési műveletek összértéke, az összes fizetési művelet összértéke és az ezekből következő csalási arány, beleértve az erős ügyfél-hitelesítés segítségével és az egyes kivételek alapján kezdeményezett fizetési műveletek szerinti bontást;

b) az átlagos műveleti érték, beleértve az erős ügyfél-hitelesítés segítségével és az egyes kivételek alapján kezdeményezett fizetési műveletek szerinti bontást;

c) azon fizetési műveletek száma, amelyeknél az egyes kivételeket alkalmazták, valamint a fizetési műveletek teljes számához viszonyított százalékos arányuk.

IV. FEJEZET

A PÉNZFORGALMI SZOLGÁLTATÁST IGÉNYBE VEVŐK SZEMÉLYES HITELESÍTÉSI ADATAINAK BIZALMASSÁGA ÉS INTEGRITÁSA

22. cikk

Általános követelmények

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatók biztosítják, hogy a következő követelmények mindegyike teljesül:

a) a személyes hitelesítési adatokat a megjelenítés során kitakarják, és azok nem olvashatók teljes terjedelmükben a hitelesítés során a pénzforgalmi szolgáltatást igénybe vevő általi bevitelkor;

b) az adatformátumú személyes hitelesítési adatokat, valamint a személyes hitelesítési adatok titkosításához kapcsolódó kriptográfiai anyagokat nem tárolják egyszerű szövegként;

c) a titkos kriptográfiai anyagok védettek a nem engedélyezett felfedéssel szemben.

23. cikk

A hitelesítési adatok előállítása és továbbítása

A pénzforgalmi szolgáltatók biztosítják, hogy a személyes hitelesítési adatok előállítása biztonságok környezetben történjen.

Mérsékelniük kell a személyes hitelesítési adatok és a hitelesítési eszközök és szoftverek jogosulatlan használatának kockázatát a fizető félnek való kézbesítésük előtti elvesztésük, ellopásuk, vagy lemásolásuk esetén.

24. cikk

Társítás a pénzügyi szolgáltatást igénybe vevővel

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatók biztosítják, hogy a következő követelmények mindegyike teljesül:

a) a pénzforgalmi szolgáltatást igénybe vevő személyazonosságának a személyes hitelesítési adatokkal, hitelesítési eszközökkel és szoftverekkel való társítása a pénzforgalmi szolgáltató felelőssége mellett biztonságos környezetben zajlik, amely magában foglalja legalább a pénzforgalmi szolgáltató helyiségeit, a pénzforgalmi szolgáltató által biztosított internetes környezetet vagy a pénzforgalmi szolgáltató által használt egyéb hasonló biztonságos weboldalakat, és annak bankjegykiadó automatákat érintő szolgáltatásait, valamint figyelembe veszi a társítási folyamat során használt olyan eszközökhöz és mögöttes komponensekhez kapcsolódó kockázatokat, amelyek nem a pénzforgalmi szolgáltató felelősségébe tartoznak;

b) a pénzforgalmi szolgáltatást igénybe vevő személyazonosságának a személyes hitelesítési adatokkal és a hitelesítési eszközökkel vagy szoftverekkel való, távoli csatornán keresztül történő társítását erős ügyfél-hitelesítés alkalmazásával végzik.

25. cikk

A hitelesítési adatok, hitelesítési eszközök és szoftverek kézbesítése

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatók legalább a következő intézkedések mindegyikét alkalmazzák:

a) hatékony és biztonságos kézbesítési mechanizmusok, amelyek biztosítják, hogy a személyes hitelesítési adatokat, a hitelesítési eszközöket és szoftvereket a jogos pénzforgalmi szolgáltatást igénybe vevőnek kézbesítsék;

b) a pénzforgalmi szolgáltató számára azt lehetővé tevő mechanizmusok, hogy a pénzforgalmi szolgáltatást igénybe vevő részére az interneten keresztül kézbesített hitelesítési szoftver hitelességét ellenőrizze;

c) azt biztosító intézkedések, hogy amennyiben a személyes hitelesítési adatok kézbesítése a pénzforgalmi szolgáltató helyiségein kívül vagy távoli csatornán keresztül történik: i. jogosulatlan felek ne szerezhessék meg a személyes hitelesítési adatok, a hitelesítési eszközök vagy szoftverek egynél több jellemzőjét, amikor a kézbesítés ugyanazon a csatornán keresztül történik; ii. a kézbesített személyes hitelesítési adatokat, hitelesítési eszközöket vagy szoftvereket a használat előtt aktiválni kell;

d) azt biztosító intézkedések, hogy amennyiben a személyes hitelesítési adatokat, hitelesítési eszközöket vagy szoftvereket az első használatuk előtt aktiválni kell, az aktiválás a 24. cikkben említett társítási eljárásoknak megfelelő biztonságos környezetben történjen.

26. cikk

A személyes hitelesítési adatok megújítása

A pénzforgalmi szolgáltatók biztosítják, hogy a személyes hitelesítési adatok megújítása vagy újbóli aktiválása a 23., 24. és 25. cikkel összhangban a hitelesítési adatok és a hitelesítési eszközök előállítására, társítására és kézbesítésére vonatkozó eljárások szerint történjen.

27. cikk

Megsemmisítés, deaktiválás és visszavonás

A pénzforgalmi szolgáltatók gondoskodnak arról, hogy hatékony eljárásokkal rendelkezzenek a következő biztonsági intézkedések mindegyikének alkalmazására:

a) a személyes hitelesítési adatok, hitelesítési eszközök és szoftverek biztonságos megsemmisítése, deaktiválása vagy visszavonása;

b) amennyiben a pénzforgalmi szolgáltató újrafelhasználható hitelesítési eszközöket és szoftvereket ad ki, sor kerül az eszköz vagy szoftver biztonságos újrafelhasználásának kidolgozására, dokumentálására és végrehajtására, mielőtt az eszközt vagy szoftvert egy másik, pénzforgalmi szolgáltatást igénybe vevő rendelkezésére bocsátják;

c) a pénzforgalmi szolgáltató rendszereiben és adatbázisaiban, és adott esetben nyilvános adattárakban tárolt, személyes hitelesítési adatokhoz kapcsolódó információk deaktiválása vagy visszavonása.

V. FEJEZET

KÖZÖS ÉS BIZTONSÁGOS NYÍLT KOMMUNIKÁCIÓS STANDARDOK

1. szakasz

A kommunikációra vonatkozó általános követelmények

28. cikk

Az azonosításra vonatkozó követelmények

29. cikk

Visszakövethetőség

Az (1) bekezdés alkalmazásában a pénzforgalmi szolgáltatók biztosítják, hogy a pénzforgalmi szolgáltatást igénybe vevővel, más pénzforgalmi szolgáltatókkal és egyéb szervezetekkel, köztük kereskedőkkel létrehozott minden kommunikációs munkamenet a következők mindegyikén alapuljon:

a) a munkamenet egyedi azonosítója;

b) a művelet részletes naplózásának biztonsági mechanizmusai, beleértve a műveletszámot, időbélyegzőket és minden releváns műveleti adatot;

c) olyan időbélyegzők, amelyek egységesített időreferencia-rendszeren alapulnak, és amelyeket egy hivatalos időjel alapján kell szinkronizálni.

2. szakasz

A közös és biztonságos nyílt kommunikációs standardokra vonatkozó egyedi követelmények

30. cikk

A hozzáférési interfészekre vonatkozó általános kötelezettségek

Azon számlavezető pénzforgalmi szolgáltatóknak, akik a fizető félnek online hozzáférhető fizetési számlát kínálnak, legalább egy olyan interfésszel kell rendelkezniük, amely teljesíti a következő követelmények mindegyikét:

a) a számlainformációkat összesítő szolgáltatók, a megbízásos online átutalási szolgáltatók és a kártyaalapú készpénz-helyettesítő fizetési eszközt kibocsátó pénzforgalmi szolgáltatók képesek magukat a számlavezető szolgáltató felé azonosítani;

b) a számlainformációkat összesítő szolgáltatók képesek biztonságosan kommunikálni egy vagy több megjelölt fizetési számlára és a kapcsolódó fizetési műveletekre vonatkozó információk kérése és fogadása céljából;

c) a megbízásos online átutalási szolgáltatók képesek biztonságosan kommunikálni abból a célból, hogy fizetési megbízást kezdeményezzenek a fizető fél fizetési számlájáról, és fogadjanak a fizetési művelet kezdeményezésére vonatkozó minden információt, valamint a fizetési művelet végrehajtását illetően a számlavezető pénzforgalmi szolgáltató rendelkezésére álló minden információt.

Az interfésznek teljesítenie kell legalább a következő követelmények mindegyikét:

a) a megbízásos online átutalási szolgáltató vagy a számlainformációkat összesítő szolgáltató utasíthatja a számlavezető pénzforgalmi szolgáltatót, hogy kezdje meg a hitelesítést a pénzforgalmi szolgáltatást igénybe vevő jóváhagyása alapján;

b) a hitelesítés során kommunikációs munkameneteket kell létrehozni és fenntartani a számlavezető pénzforgalmi szolgáltató, a számlainformációkat összesítő szolgáltató, a megbízásos online átutalási szolgáltató és bármely, pénzforgalmi szolgáltatást igénybe vevő között;

c) biztosítani kell a megbízásos online átutalási szolgáltató vagy a számlainformációkat összesítő szolgáltató által vagy rajta keresztül továbbított személyes hitelesítési adatok és hitelesítési kódok integritását és bizalmasságát.

A számlavezető pénzforgalmi szolgáltatók azt is biztosítják, hogy bármely interfész technikai specifikációjának dokumentációja meghatározza azokat a rutinokat, protokollokat és eszközöket, amelyekre a megbízásos online átutalási szolgáltatóknak, számlainformációkat összesítő szolgáltatóknak és a kártyaalapú készpénz-helyettesítő fizetési eszközt kibocsátó pénzforgalmi szolgáltatóknak szükségük van ahhoz, hogy szoftvereik és alkalmazásaik együtt tudjanak működni a számlavezető pénzforgalmi szolgáltató rendszereivel.

A számlavezető pénzforgalmi szolgáltatók legalább hat hónappal a 38. cikk (2) bekezdésében említett alkalmazási dátum előtt, vagy a hozzáférési interfész piaci megjelenésének céldátuma előtt, ha ez a megjelenés a 38. cikk (2) bekezdésében említett dátum után következik be, legalább a dokumentációt díjmentesen rendelkezésre bocsátják azon engedélyezett megbízásos online átutalási szolgáltatók, számlainformációkat összesítő szolgáltatók és kártyaalapú készpénz-helyettesítő fizetési eszközt kibocsátó pénzforgalmi szolgáltatók, vagy olyan pénzforgalmi szolgáltatók kérésére, amelyek illetékes hatóságuknál kérelmezték a vonatkozó engedélyt, valamint a dokumentáció összefoglalóját nyilvánosan elérhetővé teszik a weboldalukon.

A pénzforgalmi szolgáltatók dokumentálják azokat a sürgős helyzeteket, amelyekben változtatásokat hajtottak végre, és a dokumentációt kérésre az illetékes hatóságok rendelkezésére bocsátják.

Érzékeny információkat azonban nem szabad megosztani a tesztelési eszközön keresztül.

31. cikk

A hozzáférési interfész opciói

A számlavezető pénzforgalmi szolgáltatók a 30. cikkben említett interfészt/interfészeket egy célra rendelt interfész segítségével vagy úgy hozzák létre, hogy engedélyezik a 30. cikk (1) bekezdésében említett pénzforgalmi szolgáltatók számára azon interfészek igénybevételét, amelyeket a számlavezető pénzforgalmi szolgáltató pénzforgalmi szolgáltatást igénybe vevőinek hitelesítésére és a velük való kommunikációra használnak.

32. cikk

A célra rendelt interfészre vonatkozó kötelezettségek

33. cikk

A célra rendelt interfészre vonatkozó rendkívüli intézkedések

E célból a számlavezető pénzforgalmi szolgáltatók biztosítják, hogy a 30. cikk (1) bekezdésében említett pénzforgalmi szolgáltatók azonosíthatók legyenek és a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevő számára biztosított hitelesítési eljárásokra támaszkodhassanak. Amennyiben a 30. cikk (1) bekezdésében említett pénzforgalmi szolgáltatók a (4) bekezdésben említett interfészt igénybe veszik:

a) meg kell tenniük az annak biztosításához szükséges intézkedéseket, hogy az adatokhoz ne férjenek hozzá, azokat ne tárolják vagy dolgozzák fel a pénzforgalmi szolgáltatást igénybe vevő által kért szolgáltatás nyújtásától eltérő célból;

b) továbbra is meg kell felelniük az (EU) 2015/2366 irányelv 66. cikkének (3) bekezdéséből, illetve 67. cikkének (2) bekezdéséből eredő kötelezettségeknek;

c) a számlavezető pénzforgalmi szolgáltató által a pénzforgalmi szolgáltatást igénybe vevői számára működtetett interfészen keresztül elért adatokat naplózniuk kell, és kérésre haladéktalanul az illetékes nemzeti hatóságuk rendelkezésére kell bocsátaniuk a naplófájlokat;

d) kérésre haladéktalanul megfelelően indokolniuk kell az illetékes nemzeti hatóságuk felé a pénzforgalmi szolgáltatást igénybe vevők számára a fizetési számlájukhoz való közvetlen hozzáférés céljából rendelkezésre bocsátott interfészek igénybevételét;

e) megfelelően tájékoztatniuk kell a számlavezető pénzforgalmi szolgáltatót.

Az illetékes hatóságok a következő feltételek következetes alkalmazásának biztosítása céljából az EBH-val folytatott konzultációt követően azokat a számlavezető pénzforgalmi szolgáltatókat, amelyek a célra rendelt interfész mellett döntöttek, mentesíti a (4) bekezdésben leírt tartalékmechanizmus létrehozása alól, amennyiben a célra rendelt interfész megfelel a következő feltételek mindegyikének:

a) a 32. cikkben a célra rendelt interfészekre vonatkozóan meghatározott összes kötelezettségnek megfelel;

b) a 30. cikk (5) bekezdésének megfelelően, az ott említett pénzforgalmi szolgáltatók megelégedésére alakították ki és tesztelték;

c) a pénzforgalmi szolgáltatók széleskörűen, legalább három hónapja használják számlainformációkat összesítő szolgáltatások, megbízásos online átutalási szolgáltatások nyújtására, valamint a kártyaalapú fizetések esetében a fedezet rendelkezésre állásának megerősítésére;

d) a célra rendelt interfésszel kapcsolatos problémákat indokolatlan késedelem nélkül megoldották.

34. cikk

Tanúsítványok

E rendelet alkalmazásában az (1) bekezdésben említett, az elektronikus bélyegző minősített tanúsítványa vagy a minősített weboldal-hitelesítő tanúsítvány a nemzetközi pénzügyi körökben szokásos nyelven a következők mindegyikéhez kapcsolódóan további specifikus attribútumokat foglal magában:

a) a pénzforgalmi szolgáltató szerepe, amely a következők közül egy vagy több lehet: i. számlavezetés; ii. megbízásos online átutalás; iii. számlainformációk összesítése; iv. kártyaalapú készpénz-helyettesítő fizetési eszközök kibocsátása;

b) azon illetékes hatóságok neve, ahol a pénzforgalmi szolgáltatót nyilvántartásba vették.

35. cikk

A kommunikációs munkamenetek biztonsága

A számlainformációkat összesítő szolgáltatók, a megbízásos online átutalási szolgáltatók és a kártyaalapú készpénz-helyettesítő fizetési eszközöket kibocsátó pénzforgalmi szolgáltatók számlavezető pénzforgalmi szolgáltatóval folytatott kommunikációjának egyértelmű hivatkozásokat kell tartalmaznia a következő elemek mindegyikére:

a) a pénzforgalmi szolgáltatást igénybe vevő vagy vevők és a kapcsolódó kommunikációs munkamenet, az ugyanattól/ugyanazoktól a pénzforgalmi szolgáltatást igénybe vevőtől vagy vevőktől származó több kérés megkülönböztetése érdekében;

b) a megbízásos online átutalási szolgáltatások esetében az egyedileg azonosított kezdeményezett fizetési művelet;

c) a fedezet rendelkezésre állásának megerősítése esetében a kártyaalapú fizetési művelet végrehajtásához szükséges összeghez kapcsolódó egyedileg azonosított kérés.

Személyes hitelesítési adatok bizalmasságának az illetékességi körükben történő elvesztése esetén az érintett szolgáltatók indokolatlan késedelem nélkül tájékoztatják az adatokkal társított pénzforgalmi szolgáltatást igénybe vevőt, valamint a személyes hitelesítési adatok kibocsátóját.

36. cikk

Adatcsere

A számlavezető pénzforgalmi szolgáltatók megfelelnek a következő követelmények mindegyikének:

a) a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozóan ugyanazokat az információkat bocsátják a számlainformációkat összesítő szolgáltatók rendelkezésére, mint amelyeket a pénzforgalmi szolgáltatást igénybe vevő rendelkezésére bocsátanak, amikor az közvetlenül kér hozzáférést a számlainformációkhoz, feltéve, hogy ez az információ nem tartalmaz érzékeny fizetési adatokat;

b) a fizetési megbízás kézhezvétele után azonnal a megbízásos online átutalási szolgáltató rendelkezésére bocsátják a fizetési művelet kezdeményezésére és végrehajtására vonatkozó ugyanazon adatokat, mint amelyeket a pénzforgalmi szolgáltatást igénybe vevő számára rendelkezésre bocsátanak vagy elérhetővé tesznek, amikor ez utóbbi közvetlenül kezdeményezi a műveletet;

c) kérésre azonnal, egyszerű "igen" vagy "nem" formátumban a pénzforgalmi szolgáltatók rendelkezésére bocsátják annak megerősítését, hogy egy fizetési művelet végrehajtásához szükséges összeg rendelkezésre áll-e a fizető fél fizetési számláján.

Amennyiben a számlavezető pénzforgalmi szolgáltató célra rendelt interfészt kínál a 32. cikkel összhangban, az interfésznek biztosítania kell, hogy a váratlan eseményt vagy hibát észlelő pénzforgalmi szolgáltatók az eseményekkel vagy hibákkal kapcsolatos értesítő üzenetet tudjanak küldeni a kommunikációs munkamenetben részt vevő többi pénzforgalmi szolgáltatónak.

A számlainformációkat összesítő szolgáltatóknak képeseknek kell lenniük hozzáférni a megjelölt fizetési számlákra és a kapcsolódó fizetési műveletekre vonatkozó, a számlavezető pénzforgalmi szolgáltatóknál lévő információkhoz a számlainformációkat összesítő szolgáltatásnak a következő körülmények valamelyikében történő teljesítése céljából:

a) minden esetben, amikor a pénzforgalmi szolgáltatást igénybe vevő aktívan kéri az említett információt;

b) amennyiben a pénzforgalmi szolgáltatást igénybe vevő nem kéri aktívan az említett információt, legfeljebb négy alkalommal egy 24 órás időszakon belül, kivéve, ha a számlainformációkat összesítő szolgáltató és a számlavezető pénzforgalmi szolgáltató a pénzforgalmi szolgáltatást igénybe vevő jóváhagyásával ennél nagyobb gyakoriságban állapodott meg.

VI. FEJEZET

ZÁRÓ RENDELKEZÉSEK

37. cikk

Felülvizsgálat

Az (EU) 2015/2366 irányelv 98. cikke (5) bekezdésének sérelme nélkül, az EBH 2021. március 14-ig felülvizsgálja az e rendelet mellékletében említett csalási arányokat, valamint a 33. cikk (6) bekezdésében a célra rendelt interfészekkel kapcsolatban megadott mentességeket, és ha indokolt, az 1093/2010/EU rendelet 10. cikkével összhangban benyújtja a Bizottságnak az ezek aktualizálására irányuló tervezeteket.

38. cikk

Hatálybalépés

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

MELLÉKLET

Referencia csalási arány (%) a következők esetében:
Kivételi küszöbértékTávoli elektronikus kártyaalapú fizetésekTávoli elektronikus átutalások
500 EUR0,010,005
250 EUR0,060,01
100 EUR0,130,015

( 1 ) Az Európai Parlament és a Tanács 2013/36/EU irányelve (2013. június 26.) a hitelintézetek tevékenységéhez való hozzáférésről és a hitelintézetek és befektetési vállalkozások prudenciális felügyeletéről, a 2002/87/EK irányelv módosításáról, a 2006/48/EK és a 2006/49/EK irányelv hatályon kívül helyezéséről (HL L 176., 2013.6.27., 338. o.).

Lábjegyzetek:

[1] A dokumentum eredetije megtekinthető CELEX: 32018R0389 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:32018R0389&locale=hu Utolsó elérhető, magyar nyelvű konszolidált változat CELEX: 02018R0389-20230912 - https://eur-lex.europa.eu/legal-content/HU/ALL/?uri=CELEX:02018R0389-20230912&locale=hu

Rendezés: -
Rendezés: -
Kapcsolódó dokumentumok IKONJAI látszódjanak:
Felület kinézete:

Visszaugrás

Ugrás az oldal tetejére