4 minute read
a fizetésimodell-felvigyázás keretében
4.2. Az internetes fizetések biztonságára vonatkozó ajánlások átültetése és a megfelelés felmérése a fizetésimodell-felvigyázás keretében
A fizetésimodell-felvigyázás célja a pénzforgalomban és a fizetési rendszerekben alkalmazott modern és újfajta technikai megoldások kockázatainak kezelése
és a fizetési módok iránti bizalom fenntartása. A fizetésimodell-felvigyázás önálló tevékenységként hazánkban még nem jelent meg, azonban egyes elemei a fizetési rendszerek felvigyázásának, a pénzforgalom lebonyolításához kapcsolódó jogszabályoknak, illetve a pénzforgalmi ellenőrzéseknek már a részét képezik. Annak érdekében, hogy az innovatív technikai megoldások alkalmazása a pénzforgalomban ne veszélyeztesse a pénzforgalmi szolgáltatások, valamint a fizetési és elszámolási rendszerek hatékony és biztonságos működését, a felvigyázási tevékenységnek alkalmazkodnia kell ezekhez. Az MNB tervei szerint a fizetésimodell-felvigyázás során egységes keretrendszer alapján történik majd a fizetési módok lebonyolítási szabályainak, valamint a tranzakciók megadásához és lebonyolításához használt infrastruktúrának –így az igénybe vett informatikai eszközöknek és kommunikációs csatornáknak –az értékelése. A fizetésimodell-felvigyázásnak a hazai felvigyázási keretrendszerbe történő integrálásával a pénzforgalmi ellenőrzési és a felvigyázási tevékenység már le fogja fedni a fizetési folyamat teljes lebonyolítási folyamatát, kiterjedve a fizetési módokhoz való hozzáférésre, a megbízások benyújtásának módjára és csatornájára, valamint az elszámolási és kiegyenlítési tevékenységre is.
Az interneten igénybe vehető fizetési megoldások gyors fejlődése miatt elengedhetetlen az ezekhez kapcsolódó biztonsági követelmények kialakítása, szabályozása és fizetésimodell-felvigyázás keretében
történő ellenőrzése. Ennek érdekében a kis értékű fizetések biztonságával foglalkozó, az Európai Központi Bank kezdeményezésére 2011-ben létrehozott SecuRe Pay fórum 54 az internetes fizetések biztonságára vonatkozó ajánlásokat és az ajánlások betartásának értékelési szempontjait is kidolgozta. A fórum munkájának eredményeként az EKB és az Európai Bankhatóság (EBA) közötti együttműködés keretében kialakításra kerültek az internetes fizetésekre vonatkozó speciális ellenőrzési és biztonsági intézkedések, az ügyfelek tájékoztatására, valamint az ügyfelekkel folytatott kommunikáció módjára vonatkozó egységes ajánlások és iránymutatások 55 (6. keretes írás). A kidolgozott ajánlások és iránymutatások a pénzforgalmi szolgáltatásokról szóló irányelv tájékoztatási követelményekre és a pénzforgalmi szolgáltatások nyújtásával kapcsolatos kötelezettségekre vonatkozó szabályaira épülnek. Az iránymutatások vonatkoznak az internetes átutalásokra és kártyás fizetési műveletekre, továbbá a beszedések elektronikus felhatalmazásának interneten keresztül történő megadására, módosítására és az elektronikuspénz-számlák közötti utalások interneten keresztül történő megadására. Az iránymutatásban központi témaként szereplő erős ügyfél-hitelesítési eljárást a jelenleg készülőben lévő PSD2 is szabályozni fogja.
Az új iránymutatásoknak a tagállamokban működő pénzforgalmi szolgáltatóknak és fizetési módoknak 2015. augusztus 1-jétől kell megfelelniük. Az MNB-nek, mint illetékes hatóságnak, május elején jelentenie kellett az Európai Bankhatóság felé, hogy meg kíván-e felelni az iránymutatásoknak. Az MNB jelentési kötelezettségének eleget tett és jelezte, hogy meg kíván felelni az iránymutatásoknak. An
54 European Forum on the Security of Retail Payments. 55 Recommendations for the security of internet payments: https://www.ecb.europa.eu/pub/pdf/other/recommendationssecurityinternetpaymentsoutcomeofpcfinalversionafterpc201301en.pdf
Assessment guide for the security of internet payments: http://www.ecb.europa.eu/pub/pdf/other/assessmentguidesecurityinternetpayments201402en.pdf
Final guidelines on the security of internet payments: https://www.eba.europa.eu/documents/10180/934179/EBA-GL-2014-12+(Guidelines+on+the+security+of+internet+payments).pdf
nak érdekében, hogy előkészítse az iránymutatások életbe léptetését, felmérte a szektor megfelelésének aktuális szintjét. A felmérés érdekében önellenőrzési kérdőívet küldött ki minden érintett szereplőnek és kérte az intézményeket, hogy nyilatkozzanak arról, hogy megfelelnek-e az ajánlásoknak, és ha nem, akkor mikorra tervezik az ajánlásoknak történő teljes megfelelést. Az EKB és az EBA közötti együttműködés keretében kialakított jelenlegi iránymutatás egy átmeneti időszakra szól, mely a most kidolgozás alatt álló PSD2 hatályba lépésig tart, de jövő év végéig az iránymutatások módosítása várható. Egyes országok, mint például az Egyesült Királyság ezt kihasználva, bár biztosítani kívánja az iránymutatásoknak való megfelelést, de ezt csak a PSD2 hatályba lépésével egy időben tervezi. Mindemellett nemzetközi szin ten folyamatban van a mobilfizetések biztonságára vonatkozó ajánlások és értékelési rendszer kidolgo zása is, ezt várhatóan a tagállamoknak 2017-ben kell implementálniuk.
6. keretes írás Az internetes fizetések biztonságára vonatkozó ajánlások, iránymutatások
Az internetes fizetések biztonságára vonatkozó minimumkövetelmények legfőbb célja az internetes fizetésekkel kapcsolatos csalások, visszaélések megelőzése. Az iránymutatások az általános ellenőrzési és biztonsági környezetre, az internetes fizetési műveletekre vonatkozó különleges ellenőrzési és biztonsági intézkedésekre továbbá az ügyfelek tájékoztatására, valamint az ügyfelekkel folytatott kommunikáció módjára vonatkozó minimumkövetelményeket határozzák meg. A tizennégy alapelvárás mellett az iránymutatások bemutatnak néhány bevált gyakorlati példát, amelyek követése a pénzforgalmi szolgáltatók és az érintett piaci szereplők számára javasolt, de nem előírás. Az alapelvárások szabályozás, kockázatkezelés, incidenskezelés, ügyfél azonosítás és hitelesítés, biztonsági beállítások és védelem, ügyféltudatosság, kommunikáció és ügyfél hozzáférés kategóriákban fejezetekre tagozódva jelennek meg.
Az alapelvárások egyik legfontosabb és legvitatottabb eleme az erős ügyfél-hitelesítési eljárás, melyet úgy kell
kialakítani, hogy védje a hitelesítési adatok bizalmas jellegét. Az erős ügyfél-hitelesítésnek ezért az alábbi elemek közül legalább kettő használatán kell alapulnia:
I. tudás: amit csak a felhasználó tud, például statikus jelszó, kód, személyi azonosító szám; II. tulajdon: amit csak a felhasználó birtokol, például token, intelligens kártya, mobiltelefon; III. a felhasználó egyedi jellemzője: például olyan biometriai jellemző, mint az ujjlenyomat.
A kiválasztott elemeknek mindemellett egymástól függetlennek kell lenniük, vagyis az egyikkel való visszaélés nem veszélyeztetheti a többit. Legalább az egyik elem nem lehet újrafelhasználható és megismételhető az egyedi jellemző kivételével, valamint nem lehet titokban ellopható az interneten keresztül. A gyakorlatban az erős ügyfél-hitelesítés alapja jellemzően az ügyfél által megadott felhasználó név, statikus jelszó kiegészítve egy egyszer használatos jelszóval, amely az ügyfélhez változatos csatornákon keresztül juthat el, így például SMS-ben a mobiltelefonjára, vagy a bankja által biztosított token használatával saját maga generál.
