02018R0389 — ET — 12.09.2023 — 002.001
Käesolev tekst on üksnes dokumenteerimisvahend ning sel ei ole mingit õiguslikku mõju. Liidu institutsioonid ei vastuta selle teksti sisu eest. Asjakohaste õigusaktide autentsed versioonid, sealhulgas nende preambulid, on avaldatud Euroopa Liidu Teatajas ning on kättesaadavad EUR-Lexi veebisaidil. Need ametlikud tekstid on vahetult kättesaadavad käesolevasse dokumenti lisatud linkide kaudu
KOMISJONI DELEGEERITUD MÄÄRUS (EL) 2018/389 27. november 2017, millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/2366 regulatiivsete tehniliste standarditega, mis käsitlevad kliendi tugevat autentimist ning ühiseid ja turvalisi teabevahetuse avatud standardeid (ELT L 069 13.3.2018, lk 23) |
Muudetud:
|
|
Euroopa Liidu Teataja |
||
nr |
lehekülg |
kuupäev |
||
KOMISJONI DELEGEERITUD MÄÄRUS (EL) 2022/2360, 3. august 2022, |
L 312 |
1 |
5.12.2022 |
|
L 208 |
1 |
23.8.2023 |
KOMISJONI DELEGEERITUD MÄÄRUS (EL) 2018/389
27. november 2017,
millega täiendatakse Euroopa Parlamendi ja nõukogu direktiivi (EL) 2015/2366 regulatiivsete tehniliste standarditega, mis käsitlevad kliendi tugevat autentimist ning ühiseid ja turvalisi teabevahetuse avatud standardeid
(EMPs kohaldatav tekst)
I PEATÜKK
ÜLDSÄTTED
Artikkel 1
Reguleerimisese
Käesoleva määrusega kehtestatakse nõuded, mida makseteenuse pakkujad peavad täitma, kui nad rakendavad turvameetmeid, mis võimaldavad neil teha järgmist:
kasutada kooskõlas direktiivi (EL) 2015/2366 artikliga 97 kliendi tugeva autentimise menetlust;
teha erand kliendi tugeva autentimise turvanõuete kohaldamisest, kui täidetud on kindlad ja piiratud tingimused, mis põhinevad riski tasemel, maksetehingu summal ja korduvusel ning selle täitmiseks kasutatud maksekanalil;
kaitsta makseteenuse kasutaja isikustatud turvavolituste konfidentsiaalsust ja terviklust;
kehtestada ühised ja turvalised teabevahetuse avatud standardid teabevahetuseks kontot haldavate makseteenuse pakkujate, makse algatamise teenuse pakkujate, kontoteabe teenuse pakkujate, maksjate, makse saajate ja muude makseteenuse pakkujate vahel seoses makseteenuste pakkumise ja kasutamisega, kohaldades direktiivi (EL) 2015/2366 IV jaotist.
Artikkel 2
Autentimise üldnõuded
Need mehhanismid peavad tuginema maksetehingute analüüsile, mille juures võetakse arvesse elemente, mis on makseteenuse kasutajale iseloomulikud isikustatud turvavolituste tavapärase kasutamise puhul.
Makseteenuse pakkujad tagavad, et tehinguseiremehhanismid võtavad arvesse vähemalt kõiki järgmisi riskipõhiseid tegureid:
murtud või varastatud autentimisvahendite loetelu;
iga maksetehingu summa;
makseteenuste osutamisega seoses teada olevad petuskeemid;
märgid pahavaraga nakatumise kohta autentimismenetluse mis tahes seansi kestel;
juhul kui juurdepääsuseadme või -tarkvara annab kasutaja käsutusse makseteenuse pakkuja, logid sellise juurdepääsuseadme või -tarkvara kasutamise ning juurdepääsuseadme või -tarkvara tavapäratu kasutamise kohta.
Artikkel 3
Turvameetmete läbivaatamine
Siiski tuleb artiklis 18 osutatud erandit kasutavate makseteenuse pakkujate puhul vähemalt kord aastas auditeerida nende metoodikat, mudelit ja teatatud pettuste määra. Auditit tegeval audiitoril peab olema IT-turvalisuse ja elektrooniliste maksete alane pädevus ning ta peab tegutsema makseteenuse pakkujast sõltumatult või tema juures autonoomselt. Artikli 18 kohase erandi kasutamise esimese aasta jooksul ja seejärel vähemalt kord kolme aasta jooksul või sagedamini, kui pädev asutus seda nõuab, teeb auditit sõltumatu ja kvalifitseeritud välisaudiitor.
Kogu aruanne tuleb pädevatele asutustele nende taotluse alusel kättesaadavaks teha.
II PEATÜKK
TURVAMEETMED KLIENDI TUGEVA AUTENTIMISE KOHALDAMISEL
Artikkel 4
Autentimiskood
Kui maksja kasutab autentimiskoodi selleks, et siseneda interneti kaudu oma maksekontole, algatada elektrooniline maksetehing või teha kaugejuurdepääsu teel mis tahes muu toiming, mille puhul võib esineda maksepettuse või muu kuritarvitamise oht, aktsepteerib makseteenuse pakkuja autentimiskoodi ainult ühel korral.
Lõike 1 kohaldamisel võtavad makseteenuse pakkujad kasutusele turvameetmeid, millega on tagatud, et täidetud on kõik järgmised tingimused:
avalikustatud autentimiskoodi põhjal ei ole võimalik tuletada mitte mingisugust teavet lõikes 1 osutatud elementide kohta;
mõnda muud varem genereeritud autentimiskoodi teades ei ole võimalik genereerida uut autentimiskoodi;
autentimiskoodi ei ole võimalik võltsida.
Makseteenuse pakkujad tagavad, et autentimine autentimiskoodi genereerimise kaudu hõlmab kõiki järgmisi meetmeid:
kui autentimise korral, mille eesmärk on kaugjuurdepääs, elektroonilise maksetehingu tegemine või kaugejuurdepääsu teel mis tahes muu sellise toimingu tegemine, mille puhul võib esineda maksepettuse või muu kuritarvitamise riski oht, nurjub lõike 1 kohase autentimiskoodi genereerimine, ei tohi olla võimalik kindlaks teha, milline kõnealuses lõikes osutatud elementidest oli väär;
üksteisele järgnevate nurjunud autentimiskatsete arv, mille järel direktiivi (EL) 2015/2366 artikli 97 lõikes 1 osutatud tegevused ajutiselt või alaliselt blokeeritakse, ei tohi teatava ajavahemiku jooksul olla üle viie;
vastavalt V peatüki nõuetele on teabevahetusseansid kaitstud autentimise käigus edastatud autentimisandmete hõive ja kõrvaliste isikute poolse manipuleerimise vastu;
pärast seda, kui maksja on interneti kaudu maksekontole sisenemiseks autenditud, ei tohi ta olla passiivne rohkem kui viis minutit.
Enne alalise blokeeringu rakendamist teavitatakse maksjat.
Kui blokeering on muudetud alaliseks, tuleb kehtestada turvaline menetlus, mida kasutades maksja saab blokeeritud elektroonilised makseinstrumendid blokeeringust vabastada.
Artikkel 5
Dünaamilise lingi loomine
Kui makseteenuse pakkujad kohaldavad vastavalt direktiivi (EL) 2015/2366 artikli 97 lõikele 2 kliendi tugevat autentimist, peavad nad lisaks käesoleva määruse artikli 4 nõuete täitmisele kehtestama kõik järgmised turvameetmed:
maksjale teatatakse maksetehingu summa ja makse saaja;
genereeritud autentimiskood on konkreetselt seotud maksja poolt enne makse algatamist kinnitatud maksetehingu summa ja makse saajaga;
autentimiskood, mille makseteenuse pakkuja on aktsepteerinud, vastab maksetehingu algsele konkreetsele summale ja maksja poolt kinnitatud makse saajale;
summa või makse saaja mis tahes muudatus tingib genereeritud autentimiskoodi kehtetustamise.
Lõike 1 kohaldamisel võtavad makseteenuse pakkujad kasutusele turvameetmed, mis tagavad kõikide järgmiste andmete konfidentsiaalsuse, autentsuse ja tervikluse:
tehingu summa ja makse saaja kõigis autentimise etappides;
maksjale kuvatav teave kõigis autentimise etappides, sealhulgas autentimiskoodi genereerimise, edastamise ja kasutamise kestel.
Lõike 1 punkti b kohaldamisel ja kui makseteenuse pakkujad kohaldavad vastavalt direktiivi (EL) 2015/2366 artikli 97 lõikele 2 kliendi tugevat autentimist, kehtivad autentimiskoodile järgmised nõuded:
kui tegu on kaardipõhise maksetehinguga, mille puhul maksja on andnud oma nõusoleku täpse summa rahaliste vahendite blokeerimiseks vastavalt kõnealuse direktiivi artikli 75 lõikele 1, on autentimiskood konkreetselt seotud summaga, mille blokeerimiseks maksja on nõusoleku andnud ja millega ta on enne tehingu algatamist nõustunud;
kui tegu on maksetehingutega, mille puhul maksja on andnud oma nõusoleku ühele või mitmele makse saajale suunatud elektrooniliste kaugmaksetehingute seeria täitmiseks, on autentimiskood konkreetselt seotud erinevate tehingute kogusumma ja maksete kindlaksmääratud saajatega.
Artikkel 6
Nõuded teadmise kategooriasse kuuluvatele elementidele
Artikkel 7
Nõuded omamise kategooriasse kuuluvatele elementidele
Artikkel 8
Nõuded seadmetele ja tarkvarale seoses olemuse kategooriasse kuuluvate elementidega
Artikkel 9
Elementide sõltumatus
Lõike 2 kohased leevendusmeetmed peavad sisaldama kõike järgmist:
mitmeotstarbelisse seadmesse paigaldatud tarkvara vahendusel kasutatakse üksteisest eraldatud turvalisi täitmiskeskkondi;
olemas on mehhanismid, millega tagatakse, et maksja või kolmas isik ei ole teinud muudatusi tarkvaras või seadme juures;
kui on tehtud muudatusi, on olemas mehhanismid nende tagajärgede leevendamiseks.
III PEATÜKK
ERANDID KLIENDI TUGEVAST AUTENTIMISEST
Artikkel 10
Juurdepääs maksekonto andmetele otse kontot haldava makseteenuse pakkuja kaudu
Makseteenuse pakkujatel on lubatud mitte kohaldada kliendi tugevat autentimist, tingimusel et on täidetud artiklis 2 sätestatud nõuded ja juhul, kui makseteenuse kasutajal on internetipõhine otsejuurdepääs oma maksekontole, tingimusel et juurdepääs internetis on tundlikke makseandmeid avaldamata piiratud ühega järgmistest elementidest:
ühe või mitme määratud maksekonto saldo;
viimase 90 päeva jooksul ühe või mitme määratud maksekonto kaudu täidetud maksetehingud.
Erandina lõikest 1 ei ole makseteenuse pakkujad kliendi tugeva autentimise kohaldamisest vabastatud juhul, kui täidetud on üks järgmistest tingimustest:
makseteenuse kasutaja kasutab interneti kaudu juurdepääsu lõikes 1 osutatud teabele esimest korda;
on möödunud rohkem kui 180 päeva viimasest korrast, kui makseteenuse kasutaja kasutas internetipõhist juurdepääsu lõikes 1 nimetatud teabele ja kui kohaldati kliendi tugevat autentimist.
Artikkel 10a
Juurdepääs maksekonto andmetele kontoteabe teenuse pakkuja kaudu
Makseteenuse pakkujad ei kohalda kliendi tugevat autentimist, kui makseteenuse kasutaja pääseb oma maksekontole juurde interneti teel kontoteabe teenuse pakkuja kaudu, tingimusel et juurdepääs internetis on tundlikke makseandmeid avaldamata piiratud ühega järgmistest elementidest:
ühe või mitme määratud maksekonto saldo;
viimase 90 päeva jooksul ühe või mitme määratud maksekonto kaudu täidetud maksetehingud.
Erandina lõikest 1 kohaldavad makseteenuse pakkujad kliendi tugevat autentimist juhul, kui täidetud on üks järgmistest tingimustest:
makseteenuse kasutaja kasutab interneti kaudu juurdepääsu lõikes 1 osutatud teabele esimest korda kontoteabe teenuse pakkuja kaudu;
on möödunud rohkem kui 180 päeva viimasest korrast, kui makseteenuse kasutaja kasutas internetipõhist juurdepääsu lõikes 1 nimetatud teabele kontoteabe teenuse pakkuja kaudu ja kui kohaldati kliendi tugevat autentimist.
Artikkel 11
Viipemaksed müügipunktis
Tingimusel, et täidetud on artiklis 2 sätestatud nõuded, antakse makseteenuse pakkujatele luba mitte kohaldada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise viipemaksetehingu, eeldusel, et täidetud on järgmised tingimused:
elektroonilise viipemaksetehingu üksiksumma ei ole suurem kui 50 eurot ja
maksja poolt viipemakseid võimaldava makseinstrumendiga algatatud elektrooniliste viipemaksetehingute kogusumma pärast kuupäeva, kui viimati kohaldati kliendi tugevat autentimist, ei ületa 150 eurot või
viipemakseid võimaldava makseinstrumendiga algatatud elektrooniliste viipemaksetehingute arv pärast viimast korda, kui kohaldati kliendi tugevat autentimist, ei ole suurem kui viis.
Artikkel 12
Personalita terminalid transpordi- ja parkimistasude maksmiseks
Tingimusel, et täidetud on artiklis 2 sätestatud nõuded, antakse makseteenuse pakkujatele luba mitte kohaldada kliendi tugevat autentimist juhul, kui maksja algatab personalita makseterminalis elektroonilise maksetehingu transpordi- või parkimistasu maksmise eesmärgil.
Artikkel 13
Usaldatavad makse saajad
Artikkel 14
Korduvad tehingud
Artikkel 15
Kreeditkorraldused samale füüsilisele või juriidilisele isikule kuuluvate kontode vahel
Tingimusel, et täidetud on artiklis 2 sätestatud nõuded, antakse makseteenuse pakkujatele luba mitte kohaldada kliendi tugevat autentimist juhul, kui maksja teeb kreeditkorralduse ning maksja ja makse saaja on üks ja sama füüsiline või juriidiline isik ja mõlemat maksekontot haldab üks ja sama kontot haldav makseteenuse pakkuja.
Artikkel 16
Väikese väärtusega tehingud
Makseteenuse pakkujatele antakse luba mitte kohaldada kliendi tugevat autentimist juhul, kui maksja algatab elektroonilise kaugmaksetehingu ja täidetud on järgmised tingimused:
elektroonilise kaugmaksetehingu summa ei ole suurem kui 30 eurot ja
maksja poolt algatatud elektrooniliste kaugmaksetehingute kogusumma pärast eelmist korda, kui kohaldati kliendi tugevat autentimist, ei ületa 100 eurot või
maksja poolt algatatud elektroonilisi kaugmaksetehinguid pärast eelmist korda, kui kohaldati kliendi tugevat autentimist, ei ole rohkem kui viis üksteisele järgnevat individuaalset elektroonilist kaugmaksetehingut.
Artikkel 17
Äriühingute turvalised makseprotsessid ja -protokollid
Makseteenuse pakkujatele antakse luba mitte kasutada kliendi tugevat autentimist juriidiliste isikute puhul, kes algatavad elektroonilisi maksetehinguid selliseid sihtotstarbelisi makseprotsesse või -protokolle kasutades, mis tehakse kättesaadavaks ainult maksjatele, kes ei ole eratarbijad, kui pädevad asutused on veendunud, et sellised protsessid või protokollid tagavad vähemalt samaväärse turvalisuse taseme kui see, mis on sätestatud direktiivis (EL) 2015/2366.
Artikkel 18
Tehingu riskianalüüs
Lõikes 1 osutatud elektrooniline maksetehingut käsitletakse väikese riskiga tehinguna, kui täidetud on kõik järgmised tingimused:
seda liiki tehingutega seotud pettuste määr, mille teenusepakkuja on teatanud ja mis on arvutatud vastavalt artiklile 19, on sama suur või väiksem kui pettuste viitemäärad vastavalt „elektrooniliste kaardipõhiste kaugmaksete“ ja „elektrooniliste kreeditkorralduste“ puhul, mis on esitatud lisas toodud tabelis;
tehingu summa ei ületa asjakohast erandi tegemise piirmäära, mis on esitatud lisas toodud tabelis;
makseteenuse pakkujad ei ole reaalajas toimuva riskianalüüsi tulemusena avastanud ühtegi järgmistest asjaoludest:
maksja tavapäratud kulutused või käitumismuster;
ebatavaline teave maksja seadme/tarkvara kasutamise kohta;
pahavaraga nakatumine autentimismenetluse mis tahes seansi kestel;
makseteenuste osutamisega seoses teadaolev petuskeem;
maksja tavapäratu asukoht;
makse saaja kõrge riskitasemega asukoht.
Need makseteenuse pakkujad, kes kavatsevad vabastada elektroonilised maksetehingud kliendi tugevast autentimisest põhjusel, et need kujutavad enesest väikest riski, peavad arvesse võtma vähemalt järgmisi riskipõhiseid tegureid:
konkreetse kasutaja eelnevate kulutuste muster;
maksetehingute ajalugu makseteenuse pakkuja iga makseteenuse kasutaja puhul;
juhul kui juurdepääsuseadme või -tarkvara on kasutaja käsutusse andnud makseteenuse pakkuja, maksja ja makse saaja asukoht maksetehingu hetkel;
makseteenuse kasutaja maksekäitumine, mis on kasutaja maksetehingute ajalooga võrreldes tavapäratu.
Makseteenuse pakkuja antavas hinnangus koondatakse kõik need riskipõhised tegurid iga konkreetse tehingu riskiskooriks, et teha kindlaks, kas teatavat makset tohiks lubada ilma kliendi tugeva autentimiseta.
Artikkel 19
Pettuste määra arvutamine
Üldise pettuste määra arvutamisel iga tehingute liigi kohta korrapäraselt kord kvartalis (90 päeva jooksul) jagatakse autoriseerimata või pettuse teel tehtud kaugtehingute koguväärtus sõltumata sellest, kas rahalised vahendid on tagasi saadud või mitte, kõigi sama liiki kaugtehingute koguväärtusega sõltumata sellest, kas need tehingud, on autenditud kliendi tugevat autentimist kasutades või on nende täitmisel kasutatud mõnda artiklites 13–18 osutatud eranditest.
Artikkel 20
Erandite kasutamise lõpetamine tehingu riskianalüüsi alusel
Artikkel 21
Tehinguseire
Artiklites 10–18 sätestatud erandite kasutamiseks peavad makseteenuse pakkujad vähemalt kvartalipõhiselt salvestama ja seirama järgmisi andmeid igat liiki maksetehingute kohta, esitades tehingute jaotuse eraldi nii kaugmaksetehingute kui ka muude kui kaugmaksetehingute puhul:
autoriseerimata või pettuse teel tehtud tehingute koguväärtus vastavalt direktiivi (EL) 2015/2366 artikli 64 lõikele 2, kõigi maksetehingute koguväärtus ja sellest tulenev pettuste määr, sealhulgas maksetehingute jaotus kliendi tugevat autentimist kasutades algatatud tehingute puhul ja erandit kasutades algatatud tehingute puhul iga erandi kohta eraldi;
tehingu keskmine väärtus, sealhulgas maksetehingute jaotus kliendi tugevat autentimist kasutades algatatud tehingute puhul ja erandit kasutades algatatud tehingute puhul iga erandi kohta eraldi;
selliste tehingute arv, mille puhul igat erandit kohaldati, ja nende osakaal maksetehingute koguarvust.
IV PEATÜKK
MAKSETEENUSE KASUTAJA ISIKUSTATUD TURVAVOLITUSTE KONFIDENTSIAALSUS JA TERVIKLUS
Artikkel 22
Üldnõuded
Lõike 1 kohaldamisel tagavad makseteenuse pakkujad, et täidetud on kõik järgmised tingimused:
kui isikustatud turvavolitusi kuvatakse, on need varjatud, ja kui makseteenuse kasutaja neid autentimise jooksul sisestab, ei ole neid võimalik täies ulatuses lugeda;
andmeformaadis isikustatud turvavolitusi, samuti isikustatud turvavolituste krüpteerimisega seotud krüptitud materjali ei säilitata vorminguvaba teksti kujul;
salastatud krüptitud materjal on kaitstud loata avalikustamise eest.
Artikkel 23
Turvavolituste loomine ja edastamine
Makseteenuse pakkujad tagavad, et isikustatud turvavolitused luuakse turvalises keskkonnas.
Nad leevendavad isikustatud turvavolituste, autentimisseadmete ja -tarkvara autoriseerimata kasutamise riski, mis tuleneb nende kaotamisest, vargusest või kopeerimisest enne maksjale üleandmist.
Artikkel 24
Seostamine makseteenuse kasutajaga
Lõike 1 kohaldamisel tagavad makseteenuse pakkujad, et täidetud on kõik järgmised tingimused:
makseteenuse kasutaja isikusamasuse seostamine isikustatud turvavolituste, autentimisseadmete ja -tarkvaraga toimub turvalistes keskkondades, mille eest vastutab makseteenuse pakkuja ja mis hõlmab vähemalt makseteenuse pakkuja ruume, makseteenuse pakkuja poolt ette nähtud internetikeskkonda või muid sarnaseid turvalisi veebisaite, mida makseteenuse kasutaja kasutab, ja tema pangaautomaaditeenuseid, ning võttes arvesse riske, mis tulenevad seostamisprotsessi jooksul seadmetest ja nende koosteelementidest, mille eest ei vastuta makseteenuse pakkuja;
makseteenuse kasutaja isikusamasuse seostamine isikustatud turvavolituste ning autentimisseadmete või -tarkvaraga kaugjuurdepääsu teel toimub kliendi tugevat autentimist kasutades.
Artikkel 25
Volituste, autentimisseadmete ja -tarkvara kättetoimetamine
Lõike 1 kohaldamisel rakendavad makseteenuse pakkujad vähemalt kõiki järgmisi meetmeid:
tulemuslikud ja turvalised kättetoimetamismehhanismid, millega on tagatud, et isikustatud turvavolitused, autentimisseadmed ja -tarkvara toimetatakse makseteenuse seadusliku kasutaja kätte;
mehhanismid, mis võimaldavad makseteenuse pakkujal kontrollida makseteenuse kasutajale interneti teel kätte toimetatud autentimistarkvara autentsust;
kord, millega tagatakse, et kui isikustatud turvavolitused toimetatakse kätte väljapool makseteenuse pakkuja ruume või kaugjuurdepääsu teel, siis:
ei ole kõrvalistel isikutel võimalik enese kätte saada enam kui üht isikustatud turvavolituste, autentimisseadme või -tarkvara elementidest, kui need toimetatakse kätte sama kanali kaudu;
tuleb kättetoimetatud isikustatud turvavolitused, autentimisseadmed või -tarkvara enne nende kasutamist aktiveerida;
kord, millega tagatakse, et kui isikustatud turvavolitused, autentimisseadmed või -tarkvara tuleb enne nende esmakordset kasutamist aktiveerida, siis toimub aktiveerimine turvalises keskkonnas kooskõlas artiklis 24 osutatud seostamismenetlusega.
Artikkel 26
Isikustatud turvavolituste uuendamine
Makseteenuse pakkujad tagavad, et isikustatud turvavolituste uuendamise või uuesti aktiveerimise korral peetakse kinni turvavolituste ja autentimisseadmete artiklite 23, 24 ja 25 kohasest loomise, kasutajaga seostamise või kättetoimetamise menetlusest.
Artikkel 27
Hävitamine, deaktiveerimine ja tühistamine
Makseteenuse pakkujad tagavad, et neil on olemas tulemuslikud menetlused kõigi järgmiste turvameetmete rakendamiseks:
isikustatud turvavolituste, autentimisseadmete ja -tarkvara turvaline hävitamine, deaktiveerimine või tühistamine;
kui makseteenuse pakkuja poolt jagatavad autentimisseadmed ja -tarkvara on taaskasutatavad, on enne seadme või tarkvara teisele makseteenuse kasutajale kättesaadavaks tegemist ette nähtud, dokumenteeritud ja rakendatud selle turvaline taaskasutus;
makseteenuse pakkuja süsteemides ja andmebaasides ning vajaduse korral avalikes andmehoidlates säilitatava ja isikustatud turvavolitustega seotud teabe deaktiveerimine või tühistamine.
V PEATÜKK
ÜHISED JA TURVALISED TEABEVAHETUSE AVATUD STANDARDID
Artikkel 28
Nõuded identifitseerimisele
Artikkel 29
Jälgitavus
Lõike 1 kohaldamisel tagavad makseteenuse pakkujad, et kõigi makseteenuse kasutaja, muude teenusepakkujate ja muude üksuste, sealhulgas kaupade vahendajatega loodud teabevahetusseansside juures kasutatakse kõiki järgmisi elemente:
seansi unikaalne tunnuskood;
turvamehhanismid tehingu, sealhulgas tehingu numbri, ajatemplite ja kõigi asjaomaste tehinguandmete üksikasjalikuks logimiseks;
ajatemplid, mis põhinevad ühtlustatud ajaviidete süsteemil ja mis sünkroniseeritakse ametliku ajasignaaliga.
Artikkel 30
Üldised kohustused seoses juurdepääsuliidestega
Kontot haldavad makseteenuse pakkujad, kes pakuvad maksjale interneti kaudu juurdepääsetavat maksekontot, peavad sisse seadma vähemalt ühe liidese, mis vastab kõigile järgmistele nõuetele:
kontoteabe teenuse pakkujad, makse algatamise teenuse pakkujad ja kaardipõhiseid makseinstrumente väljastavad makseteenuse pakkujad saavad ennast kontot haldavale makseteenuse pakkujale identifitseerida;
kontoteabe teenuse pakkujatel on võimalus turvaliseks teabevahetuseks, et nõutada ja saada teavet ühe või enama määratud maksekonto ja sellega seotud maksetehingute kohta;
makse algatamise teenuse pakkujatel on võimalus turvaliseks teabevahetuseks, et algatada maksja kontol maksekorraldus ning saada kogu teave maksetehingu algatamise kohta ja kogu teave, mis on kontot haldavale makseteenuse pakkujale kättesaadav maksetehingu täitmise kohta.
Liides peab vastama vähemalt kõikidele järgmistele nõuetele:
makse algatamise teenuse pakkujal või kontoteabe teenuse pakkujal peab olema võimalik anda kontot haldavale makseteenuse pakkujale makseteenuse kasutaja nõusoleku alusel juhised alustada autentimist;
kogu autentimise kestel alustatakse ja säilitatakse teabevahetusseansse kontot haldava makseteenuse pakkuja, kontoteabe teenuse pakkuja, makse algatamise teenuse pakkuja ja asjaomase makseteenuse pakkuja vahel;
isikustatud turvavolituste ning kontoteabe teenuse pakkuja või makse algatamise teenuse pakkuja poolt või tema kaudu edastatud autentimiskoodide terviklus ja konfidentsiaalsus on tagatud.
Samuti tagavad kontot haldavad makseteenuse pakkujad selle, et kõigi liideste tehnilise kirjelduse dokumenteerimisel määratakse kindlaks rutiinid, protokollid ja vahendid, mida makse algatamise teenuse pakkujad, kontoteabe teenuse pakkujad ja kaardipõhiseid makseinstrumente väljastavad makseteenuse pakkujad vajavad selleks, et nende tarkvara ja rakendused oleksid kontot haldavate makseteenuse pakkujate süsteemidega koostalitlusvõimelised.
Kontot haldavad makseteenuse pakkujad teevad hiljemalt ja mitte vähem kui kuus kuud enne artikli 38 lõikes 2 osutatud kohaldamiskuupäeva või enne juurdepääsuliidese kasutuselevõtmise sihtkuupäeva, kui kasutuselevõtmine toimub pärast artikli 38 lõike 2 osutatud kuupäeva, dokumentatsiooni tasuta kättesaadavaks selleks taotluse esitanud tegevusluba omavatele makse algatamise teenuse pakkujatele, kontoteabe teenuse pakkujatele ja kaardipõhiseid makseinstrumente väljastavatele makseteenuse pakkujatele või sellistele makseteenuse pakkujatele, kes on taotlenud oma pädevatelt asutustelt vastava tegevusloa saamist, ning teevad dokumentatsiooni kokkuvõtte oma veebisaitidel avalikkusele kättesaadavaks.
Makseteenuse pakkujad dokumenteerivad eriolukorrad, milles muudatused on kasutusele võetud, ja esitavad dokumentatsiooni taotluse alusel pädevatele asutustele.
Siiski ei jagata testimissüsteemi kaudu tundlikku teavet.
Artikkel 31
Võimalused seoses juurdepääsuliidesega
Kontot haldavad makseteenuse pakkujad loovad artiklis 30 osutatud liides(ed) kas kasutades spetsiaalset liidest või siis võimaldades artikli 30 lõikes 1 osutatud makseteenuse pakkujatel kasutada liideseid, mida kasutatakse autentimiseks ja teabevahetuseks kontot haldava makseteenuse pakkuja makseteenuste kasutajatega.
Artikkel 32
Spetsiaalse liidesega seotud kohustused
Artikkel 33
Eriolukorra meetmed spetsiaalse liidese jaoks
Sel eesmärgil tagavad kontot haldavad makseteenuse pakkujad, et artikli 30 lõikes 1 osutatud makseteenuse pakkujaid on võimalik identifitseerida ja et nad saavad kasutada autentimismenetlusi, mille kontot haldav makseteenuse pakkuja on ette näinud makseteenuse kasutajale. Kui artikli 30 lõikes 1 osutatud makseteenuse pakkujad kasutavad lõikes 4 osutatud liidest, siis nad:
võtavad vajalikud meetmed tagamaks, et nad ei kasuta, püüa saada ega säilita mingeid andmeid muul eesmärgil kui maksja poolt taotletud teenuse osutamine;
jätkavad direktiivi (EL) 2015/2366 artikli 66 lõikest 3 ja artikli 67 lõikest 2 tulenevate kohustuste täitmist;
koostavad logi andmete kohta, millele saadi juurdepääs liidese kaudu, mida kontot haldav makseteenuse pakkuja haldab oma makseteenuse kasutajate jaoks, ja esitavad logifailid oma riiklikule pädevale asutusele taotluse alusel ja põhjendamatu viivituseta;
esitavad oma riiklikule pädevale asutusele taotluse alusel ja põhjendamatu viivituseta nõuetekohase põhjenduse sellise liidese kasutamise kohta, mida kontot haldav makseteenuse pakkuja haldab oma makseteenuse kasutajate jaoks;
teavitavad sellest kontot haldavat makseteenuse pakkujat.
Pädevad asutused, kes on järgmiste tingimuste järjepideva kohaldamise tagamiseks eelnevalt EBAga konsulteerinud, vabastavad spetsiaalse liidese kasuks otsustanud kontot haldavad makseteenuse pakkujad kohustusest luua lõikes 4 kirjeldatud eriolukorra mehhanism, kui sihtotstarbeline liides vastab kõikidele järgmistele tingimustele:
see täidab kõiki artiklis 32 spetsiaalsetele liidestele seatud tingimusi;
see on kavandatud ja seda on testitud kooskõlas artikli 30 lõikega 5 ning kõnealuses sättes osutatud makseteenuse pakkujaid rahuldaval viisil;
makseteenuse pakkujad on seda vähemalt kolm kuud laialdaselt kasutatud kontoteabe teenuste ja makse algatamise teenuste osutamiseks ning rahaliste vahendite olemasolu kinnitamiseks kaardipõhiste maksete puhul;
kõik spetsiaalse liidesega seotud probleemid on lahendatud põhjendamatu viivituseta.
Artikkel 34
Sertifikaadid
Käesoleva määruse kohaldamisel peavad lõikes 1 osutatud e-templi kvalifitseeritud sertifikaadid sisaldama rahvusvahelises rahanduses tavapäraselt kasutatavas keeles esitatud täiendavaid eritunnuseid kõige järgmise kohta:
makseteenuse pakkuja roll, mis võib seisneda ühes või mitmes järgmises tegevuses:
konto haldamine;
maksete algatamine;
maksekonto teabe andmine;
kaardipõhiste makseinstrumentide väljastamine;
makseteenuse pakkuja registrijärgse asukoha pädevate asutuste nimed.
Artikkel 35
Teabevahetusseansi turvalisus
Kontoteabe teenuse pakkujad, makse algatamise teenuse pakkujad ja kaardipõhiseid makseinstrumente väljastavad makseteenuse pakkujad esitavad kontot haldava makseteenuse pakkujaga teavet vahetades üheselt mõistatavad viited kõigile järgmistele elementidele:
makseteenuse kasutaja või kasutajad ning vastav teabevahetusseanss, et eristada üksteisest sama kasutaja või samade kasutajate esitatud päringud;
makse algatamise teenuste puhul algatatud maksetehing, mis on üheselt identifitseeritud;
rahaliste vahendite kättesaadavuse kinnituse puhul üheselt identifitseeritud taotlus seoses kaardipõhise maksetehingu täitmiseks vajaliku summaga.
Juhul kui isikustatud turvavolitused kaotavad konfidentsiaalsuse nende teenusepakkujate pädevuse piires, teatavad nad põhjendamatu viivituseta nendega seotud makseteenuse kasutajat ja isikustatud turvavolituste väljaandjat.
Artikkel 36
Andmevahetus
Kontot haldavad makseteenuse pakkujad peavad täitma kõiki järgmisi nõudeid:
nad esitavad kontoteabe teenuse pakkujatele sama kontoteabe määratud maksekontode ja nendega seotud maksetehingute kohta, nagu tehakse kättesaadavaks makseteenuse kasutajale, kui ta taotleb kontoteabele vahetut juurdepääsu, tingimusel et see teave ei sisalda tundlikke makseandmeid;
nad esitavad makse algatamise teenuse pakkujatele kohe pärast maksekorralduse laekumist maksetehingu algatamise ja täitmise kohta sama teabe, mis esitatakse või tehakse kättesaadavaks makseteenuse kasutajale maksetehingu vahetu algatamise korral;
taotluse alusel annavad nad makseteenuse pakkujale kohe lihtsa „jah“ või „ei“ kujul kinnituse selle kohta, kas maksetehingu täitmiseks vajalik summa on maksja maksekontol olemas.
Kui kontot haldav makseteenuse pakkuja pakub kooskõlas artikliga 32 spetsiaalset liidest, peab liides olema seadistatud selliselt, et makseteenuse pakkuja, kes ootamatu sündmuse või vea avastab, saab sündmusest või veast teatada teistele sideseansis osalevatele makseteenuse pakkujatele.
Kontoteabe teenuse osutamise eesmärgil on kontoteabe teenuse pakkujatel võimalik pääseda juurde kontot haldava makseteenuse pakkuja valduses olevale teabele, mis pärineb määratud maksekontodelt ja nendega seotud maksetehingutest, ühel järgmistest juhtudest:
kui makseteenuse kasutaja sellist teavet aktiivselt taotleb;
kui makseteenuse kasutaja sellist teavet aktiivselt ei taotle, mitte sagedamini kui neli korda 24 tunni pikkuse perioodi jooksul, välja arvatud juhul, kui kontoteabe teenuse osutaja ja kontot haldav makseteenuse pakkuja on makseteenuse kasutaja nõusolekul kokku leppinud selles, et see toimub sagedamini.
VI PEATÜKK
LÕPPSÄTTED
Artikkel 37
Läbivaatamine
Ilma et see piiraks direktiivi (EL) 2015/2366 artikli 98 lõike 5 kohaldamist, vaatab EBA hiljemalt 14. märtsiks 2021 läbi käesoleva määruse lisas osutatud pettuste määrad, samuti artikli 33 lõike 6 kohased vabastused spetsiaalsetele liidestele, ja esitab vajaduse korral komisjonile kooskõlas määruse (EL) nr 1093/2010 artikliga 10 nende ajakohastamise eelnõud.
Artikkel 38
Jõustumine
Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.
LISA
|
Pettuste viitemäär (protsentides): |
|
Erandi tegemise piirmäär |
Elektroonilised kaardipõhised kaugmaksed |
Elektroonilised kreeditkorraldused |
500 eurot |
0,01 |
0,005 |
250 eurot |
0,06 |
0,01 |
100 eurot |
0,13 |
0,015 |
( 1 ) Euroopa Parlamendi ja nõukogu 26. juuni 2013. aasta direktiiv 2013/36/EL, mis käsitleb krediidiasutuste tegevuse alustamise tingimusi ning krediidiasutuste ja investeerimisühingute usaldatavusnõuete täitmise järelevalvet, millega muudetakse direktiivi 2002/87/EÜ ning millega tunnistatakse kehtetuks direktiivid 2006/48/EÜ ja 2006/49/EÜ (ELT L 176, 27.6.2013, lk 338).