Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bits psd2 presentation mobilepulse 30 aug 17

Brynjel Johnsens fra Bits sin PSD2 presentasjon på Mobile Pulse

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

  • Be the first to like this

Bits psd2 presentation mobilepulse 30 aug 17

  1. 1. PSD2 – sett fra banknæringen Utfordringer og løsninger Presentasjon for dataforeningen MESH – 30. august 2017 Brynjel Johnsen, Fagsjef Bits AS 30.08.2017 1
  2. 2. Hvilke nye aktører og tjenester reguleres av PSD2? Third Party Providers (TPP) • Payment Initiation Service Providers (PISP), … kan levere betalingstjenester basert på bankkundenes konti og bankenes betalingsinfrastruktur, ref artikkel 66 i PSD2 … eksempler er kontobasert nettbetaling • Account Information Service Providers (AISP), … kan levere kontoinformasjonstjenester basert på bankkundenes konti, ref artikkel 67 i PSD2 … eksempler er tjenester som viser «min økonomi» med aggregering av kontoinformasjon på tvers av ulike banker • Payment Instrument Issuing Service Provider (PIISP) … kan utføre dekningskontroll mot en bankkundes konto for et kjøp som skal gjennomføres med et avtalt betalingskort (antatt utstedt av PIISP) … her finnes det ikke så mange eksempler, men det har vært nevnt ulike typer lojalitetskort som kan knyttes mot en betalingskonto 30.08.2017 2
  3. 3. Hva må banken legge til rette for? 30.08.2017 3 For PISP må banken tilby alle typer betaling som bankene tilbyr sine kunder gjennom det ordinære grensesnittet (nettbank) Betalingstyper • Innenlands betaling • Innenlands «straksbetalinger» • Utenlands betalinger av ulike typer • SEPA betalinger (SCT, SCT Inst, Sepa fast) • Samlebetalinger for SMB-markedet + all informasjon som kunden får i nettbanken om betalingen For AISP må banken levere informasjon om alle typer betalingskonti. Banken må levere ut samme informasjon som de tilbyr sine kunder i det ordinære grensesnittet – altså nettbank. • Gjelder «betalingskontoer» • Saldo • Transaksjoner de siste 90 dager For PIISP må banken levere ut et svar «ja» eller «nei» for om det er dekning på konto for et forespurt beløp. Kunden må tilordne et bestemt kort fra en kortutsteder til en spesifikk, nærmere avtalt betalingskonto før PIISP kan forespørre om dekning. • Kort utstedt av andre enn bank • Lojalitetskort med betalingsfunksjon • Andre korttyper Alle løsninger må ivareta sikkerhet, krav til ‘consent’ fra kunde, GDPR og annen lovgivning
  4. 4. 30.08.2017 Navn på presentasjon 4 PSD2 – så enkelt Men likevel litt vanskelig • Bankene skal la sine kunder benytte tredjepartsaktører for tilgang til betalingstjenester knyttet til kundenes kontoer. • Mange detaljerte bestemmelser i selve direktivet som setter direkte føringer for implementasjon • EBA har fått fullmakt å utarbeide Guidelines, og Regulatory Technical Standards, Implementing Technical Standards for en rekke områder. Disse er også styrende for hvordan bankene skal implementere PSD2 - teknisk, forretningsmessig og organisatorisk.
  5. 5. 30.08.2017 Navn på presentasjon 5 RTS og Guidelines RTS on Strong Customer Authentication and Secure Communication Guideline on Security measures Guideline on incident reporting RTS/ITS on EBA register Guidelines on PI Authorisation Guidelines on complaints procedures Guidelines on PI Insurance for PSP RTS Central Contact Points RTS on Passporting Notification and on supervision
  6. 6. 30.08.2017 Navn på presentasjon 6 RTS - Regulatory Technical Standards on Strong Customer Authentication and common and secure communication RTS SCA/CSC stiller krav til bruk av «Strong Customer Authentication» for å beskytte kunden PSD2 skal sette kunden i fokus og gi større valgfrihet til å utføre betalingstjenester. RTS SCA/CSC stiller krav til tilgjengelighet, funksjonalitet og sikkerhet i det grensesnittet som bankene må gjøre tilgjengelig for tredjepartene. • Eksisterende praksis med «screen scraping» må opphøre • Bankene må tilby et dedikert grensesnitt (eks. API) som tredjepartsaktørene kan koble seg til. • I siste offisielle versjon står det at Bankene må tilby en backup-løsning der tredjepartsaktørene kan benytte kundens grensesnitt (nettbank), gitt at sikkerhetskravene er oppfylt. EBA er gitt fullmakt til å utarbeide «Regulatory Technical Standards» for å bl.a ivareta sikkerheten. RTS SCA/CSC vil gjøres gjeldende fra våren/sommeren 2019. OBS – sikkerhetskravene gjelder også for bankenes egen nettbank! • Banken må tilby samme autentiseringstjenester via tredjeparter som i nettbank
  7. 7. 30.08.2017 7 Tidslinje PSD2 og RTS (SCA/CSC) 2016 2017 2018 2019 PSD2 vedtatt i EU, men 24 måneders effektueringstid PSD2 iverksatt i nasjonal lovgivning i EU’s medlemsland PSD2 iverksatt i nasjonal lovgivning i Norge RTS høring og behandling RTS vedtatt, men 18 måneders effektueringstid RTS iverksatt i EU og Norge Både PSD2 og RTS har effekt i EU og Norge PSD2 i effekt i Norge og EU PSD2 i effekt i EUDagens dato Lov-vakuum i EU Lov-vakuum 1 i Norge Lov-vakuum 2 i Norge PSD2 i full effekt
  8. 8. Spesifikt om Strong CustomerAuthentication (SCA) 30.08.2017 8 Det er i RTS stilt spesifikke krav til mekanismer til Strong Customer Authentication… - Kontobanken skal legge til rette for at betaler skal kunne benytte bankens autentiseringsmekanismer til SCA - Kravet er at kunden skal autentisere seg med minst to av følgende faktorer: Noe man er Noe man har Noe man vet På bakgrunn av minst to av disse elementene skal det genereres en autentiseringskode som banken kan bruke til å autentisere personen og autorisere betaling….
  9. 9. Autentisering For betalinger gjelder i tillegg følgende krav 30.08.2017 9 For å autorisere en betaling skal den autentiseringskoden som genereres være ‘dynamisk linket’ til beløp og betalingsmottaker. Intensjonsverifikasjon: endring av beløp eller betalingsmottaker skal bli oppdaget av banken før gjennomføring av betaling… { , beløp, betalingsmottaker} Integritets- beskyttelse Kode kode Autentisering OK? Sjekk at beløp er det samme som PIS hevder Sjekk at betalingsmottaker er den samme som PIS hevder Dynamisk linking Er denne informasjonen intakt? Utover dette er det foreslått en rekke unntak fra bestemmelsene ved små beløp, basert på sanntids risikoanalyse mv.
  10. 10. Hvordan jobber banknæringen med PSD2? 30.08.2017 10
  11. 11. Bankidividuelle PSD2-løsninger ‘Open banking strategier’ Hva er status? 30.08.2017 11 ‘Kriseløsninger’ Fintech- bransjen flommer over av kreative ideer og nye løsninger EU og norske myndigheter forventer effektive løsninger som dekker compliance og interoperabilitet PSD2 tilpasning er uansett komplekst fordi man må støtte alle tjenester, tilby sterk kundeautentisering med unntakshåndtering, dynamisk linking, verifikasjon av tredjepart, testsystemer, support, on-boarding ………(!)
  12. 12. 30.08.2017 12 Hvordan skal bankene tilpasse seg regelverket? Alle banker må forstå kravene og tilpasse egne systemer og rutiner til PSD2 for sine banktjenester Alle banker må tilpasse seg og levere grensesnitt for ‘compliance’ til PSD2 for sine banktjenester Banker kan selvfølgelig levere premiumtjenester på toppen av de obligatoriske PSD2-tjenestene Alle banker må forholde seg til eksterne rammefaktorer, myndigheter og regler for grensekryssende virksomhet.
  13. 13. 30.08.2017 13 Hvordan jobber bankene med compliance? Fortolke krav Vurdere egne tjenester Definere egne PSD2-tjenester Utarbeide krav til tjenestene Definere grensesnittet Lage grensesnitt- spesifikasjon Implementere dedikert grensesnitt Implementere SCA Implementere unntaks- håndtering Transaksjons- risiko analyse? Implementere testsystemer Definere rutiner Implementere rutiner TPP support Dispute Incident Klar for PSD2! Samarbeid Bankens ansvar Koordinering Drift Forvaltning Tilpasse nettsider for fallback
  14. 14. 30.08.2017 14 Hvorfor samarbeider bankene om compliance? Interoperabilitet Reduserte kostnader Tilfredsstille intensjonen med PSD2 • Redusert risiko for fragmentering i næringen • TPPer kan nå bankene i næringen gjennom et harmonisert rammeverk • Enhetlig tilgang til markedet • Enkel tilgang til konto for TPP og brukersteder • Reduksjon av PSD2 XS2A kompleksitet • Kostnadsreduksjon for utvikling, vedlikehold, forbedringer og test • Bedre, flere, raskere, og billigere tjenester for bankens kunder • Komplett, kostnadseffektiv løsning på ‘compliance’ til PSD2 • Mulighet for felles implementering av grensesnitt • Mulighet for felles implementering av testmiljø og support • Enhetlig tjenestefunksjonalitet for forbrukerne og TPPer • Valgfrihet og transparens i markedet • Enhetlig sikkerhetsnivå • Legge til rette for videre innovasjon gjennom fleksible grensesnitt
  15. 15. Omfattende infrastruktur er nødvendig for effektiv implementering av PSD2 30.08.2017 15 Offentlig sektor Markedet TPP ASPSP Standardisering Grensesnitt Katalog- tjenester ASPSP Grensesnitt Grensesnitt Grensesnitt Grensesnitt Grensesnitt Grensesnitt Grensesnitt TPP Grensesnitt Nasjonale myndigheter Offentlig register, ref artikkel 14 i PSD2 Trust Service Provider Klagehåndtering Workflow Prosedyrer Meldinger Hendelseshåndtering Workflow Prosedyrer Meldinger PSU SCA Request Autorisasjon (article 5/11 [PSD2]) Utstedelse av eIDAS sertifikat til TPP (article 20 [EBA-RTS]) Statusoppslag TPP sertifikat Strong Customer Authentication Payload Identifisering PSD2 XS2A Autentiseringstjeneste Fraud, sesjon, unntak Autentiserings- tjeneste Strong Customer Authentication SMB
  16. 16. 30.08.2017 Navn på presentasjon 16 Relevant internasjonalt standardiseringsarbeid vs standardiseringsarbeid i Norge Grensesnittspesifikasjoner Katalogtjenester Bankene og Bits har gjennom et felles prosjekt identifisert følgende arenaer for samarbeid: Prosjektet har analysert behovet for datautveksling i forbindelse med PSD2 compliance. Bits følger internasjonalt standardiseringsarbeid i regi av Berlin Group og sikrer norske interesser. Målsetningen er at de fleste bankene i Norge og Norden, i likhet med de fleste større europeiske banker skal implementere Berlin Group sin grensesnittspesifikasjon Prosjektet har identifisert at tillit og informasjon om aktørene er en vesentlig suksessfaktor for at PSD2 skal lykkes. Det er mange kilder til informasjon om aktørene. Både banker og tredjeparter må bruke tid på å finne informasjon om hverandre. Spesielt ved grensekryssende virksomhet. Næringen er enig om at det er behov for enklere oversikt, og vurderer katalogtjenester.
  17. 17. 30.08.2017 17 Tidsplan Spesifikasjonsarbeid Berlin Group 2016 2017 2018 2019 API under construction Både PSD2 og RTS har effekt i EU og NorgePSD2 i effekt i Norge og EU PSD2 i effekt i EUDagens dato Mkt cons API Implementation
  18. 18. Takk for meg Brynjel Johnsen Fagsjef, Bits AS brynjel.johnsen@bits.no 30.08.2017 Navn på presentasjon 18

×