EBA는 이제 개정된 지불 서비스 지침(PSD2)에 따라 강력한 고객 인증(SCA) 및 공통 보안 통신에 대한 RTS 초안에 대한 EU 위원회의 제안된 수정 사항과 도입된 주요 변경 사항을 설명하는 위원회의 첨부 서한을 발표했습니다. 두 문서 모두 5월 24일 수요일에 EBA에 제출되었지만 6월 1일 금요일까지 공개되지 않았습니다.

1. 거래 위험 분석 면제가 적용되는 경우 보안 조치에 대한 독립적인 감사 (EBA 초안 1장, 3(2)조 및 위원회의 수정된 RTS 참조).
   SCA "거래 위험 분석" 면제(제 18조에 의거)를 사용하는 지불 서비스 제공자(PSP)는 최소한 매년 방법론, 모델 및 보고된 사기율에 대해 법적 감사를 수행해야 합니다. 기초. 위원회는 사용된 위험 분석 방법론이 객관적이고 일관성이 있는지 확인하기 위해 이를 도입했습니다.
2. 특정 기업 지불 프로세스에 대한 새로운 SCA 면제 도입 . (참조. Chapter III, NEW Article 17)
   관련 관할 당국이 다음을 확인하는 경우 PSP는 전용 기업 결제 프로세스 또는 프로토콜을 사용하여 전자 결제 거래를 시작하는 법인과 관련하여 SCA를 적용할 수 없습니다. 해당 프로세스 또는 프로토콜이 PSD2가 목표로 하는 것과 최소한 동등한 수준의 보안을 보장한다는 점에 만족합니다.
3. PSP가 EBA에 직접 사기를 보고합니다. (EBA 초안 3장, 16(2) 및 17(2) - 위원회의 수정된 RTS 18 및 19조 참조)
   위원회는 PSP가 위험을 계산해야 하는 방식에 자세한 내용을 추가했습니다. 각 지불 거래의 점수. 또한 PSP가 사기율을 계산하는 데 사용하는 방법론 및 모델과 사기율 자체를 문서화하여 관할 당국과 EBA에서 완전히 사용할 수 있도록 해야 합니다. 즉, EBA는 관할 당국에서 보고한 높은 수준의 집계 데이터에 의존하지 않고 PSP의 개별 사기 데이터에 액세스할 수 있습니다.
4. 전용 통신 인터페이스를 사용할 수 없거나 성능이 부적절할 경우의 비상 조치 (참조. EBA 초안 5장 28조 – 위원회 수정 RTS 33조)

예상대로 위원회는 PSP 간의 통신 세션 중 전용 인터페이스를 30초 이상 사용할 수 없거나 제30조 및 제32조(일반 전용 인터페이스에 대한 의무), 지불 개시 서비스 제공자(PISP) ​​및 계정 정보 서비스 제공자(AISP)는 전용 인터페이스가 재개될 때까지 지불 서비스 사용자가 온라인으로 지불 계정에 직접 액세스할 수 있는 인터페이스에 대한 액세스를 허용해야 합니다. 작동. 신원 확인 및 인증 절차를 포함하여 여러 조건이 적용되지만(자세한 내용은 33조 3항 참조) 이 조항은 효과적으로 비상 조치로 화면 스크래핑 요소를 다시 도입합니다.

화면 스크래핑을 금지하자는 EBA의 제안은 은행에서 환영받았지만 핀테크 부문에서는 뜨거운 논쟁을 불러일으켰습니다. 우려를 완화하기 위해 위원회는 전용 인터페이스를 사용할 수 없거나 성능이 부적절하여 PISP 및 AISP가 사용자에게 서비스를 제공하는 것을 방해하지 않도록 이 변경을 수행했습니다. 그렇지 않으면 은행은 아무런 어려움 없이 작동하는 사용자 대면 인터페이스를 통해 자체 결제 서비스를 제공할 수 있지만 PISP 및 AISP는 그렇게 할 수 없습니다.

이 타협은 이론상으로는 이해가 되지만 실제로 얼마나 실행 가능한지는 두고 봐야 합니다. 한편, 은행은 TPP를 식별할 수 있도록 사용자 대면 인터페이스를 업그레이드하고 전용 인터페이스를 사용할 수 없는 경우에만 액세스가 허용되는지 확인하고 TPP에 액세스 권한이 없는 민감한 고객 정보를 보호해야 합니다. 다른 한편으로, 통신 인터페이스는 은행마다 다를 수 있으므로 TPP는 연결하려는 모든 은행과 은행의 전용 인터페이스와 사용자 대면 인터페이스 모두에 대해 서로 다른 연결 솔루션을 구축하고 유지해야 하므로 비용과 시간이 많이 소요될 수 있습니다. 소비.

마지막으로, 기업 지불에 대한 추가 SCA 면제와 거래 위험 분석 및 사기 모델에 대한 추가 보증은 환영하지만 제안된 수정 사항은 PSD2의 구현 날짜(2018년 1월)와 조항이 포함된 날짜 사이의 전환 기간을 더욱 연장합니다. 이 RTS는 현재 2019년 봄으로 추정됩니다. 이는 예를 들어 거의 2년 동안 API에 의존할 수 없는 신규 진입자와 계속 지원해야 하는 기존 은행 모두에게 추가적인 문제를 야기합니다. 기존 솔루션(예:화면 스크래핑)과 동시에 RTS 호환 통신 인터페이스를 개발합니다.

다음 단계

• EBA는 7월 5일까지 수정된 RTS에 대한 의견을 제시해야 합니다.
• 이 기간이 지나면 위원회는 EBA의 의견을 고려하거나 무시하는 RTS를 채택할 수 있습니다.
• 위원회가 공식적으로 RTS를 채택하면 의회와 위원회의 3개월 조사 기간이 시작됩니다.

이 주제에 대한 자세한 내용을 보려면 다음을 방문하십시오.

• PSD2는 새로운 시장 진입자의 문을 엽니다.
• 결제 중단
• PSD2 RTS 인증 및 통신 | 악마는 (부족한) 세부 사항에 있습니다.
• PSD2 – EBA는 보다 균형 잡힌 접근 방식을 달성하기 위해 유연성을 제공합니다.

이 게시물은 Deloitte 위험 자문 팀의 Stephen Ley와 Steven Bailey와 EMEA 규제 전략 센터의 Valeria Gallo가 작성했으며 Deloitte Financial Services UK 블로그에 처음 게시되었습니다.