EBA(European Banking Authority)가 첫 번째 초안을 발행한 지 20개월 후인 3월 13일 수정된 지불 서비스 지침(PSD2)에 따른 강력한 고객 인증(SCA) 및 공통 보안 통신(CSC)에 대한 규제 기술 표준(RTS)이 마침내 발행되었습니다. 유럽 연합 공식 저널에서.
표준을 완성하는 데 필요한 프로세스의 길이와 반복 횟수는 다양한 시장 참가자 간에 공정한 경쟁의 장을 설정하는 동시에 결제 서비스의 기술 중립성, 소비자 보호 및 보안 강화를 보장하기 위해 개발 규칙의 복잡성을 증명합니다. .
RTS의 마무리는 기업이 PSD2 규정 준수 및 전략적 프로그램을 추진하는 방법에 대해 훨씬 더 명확하고 확실하게 할 수 있는 중요한 이정표입니다. 그럼에도 불구하고 최종 RTS는 특히 TPP(Third Party Providers)를 위한 액세스 인터페이스의 개발 및 테스트와 관련하여 여전히 많은 중요한 질문을 남겨 둡니다.
지난 11월 EU 집행위원회에서 발표한 버전과 동일하게 유지되는 RTS의 최종 텍스트는 2019년 9월 14일부터 전체적으로 적용됩니다. 그러나 2019년 3월 14일부터 ASPSP(계정 서비스 결제 서비스 제공업체)는 TPP가 액세스 인터페이스(전용 또는 사용자 대면 여부)의 기술 사양을 사용할 수 있도록 하고 TPP가 사용자에게 서비스를 제공하는 데 사용할 소프트웨어 및 애플리케이션의 시험을 수행하기 위한 테스트 시설을 제공합니다.
RTS는 ASPSP가 인터페이스가 국제 또는 유럽 표준화 조직에서 발행한 통신 표준을 따르도록 해야 한다고 지정합니다. 위원회는 더 자세한 요구 사항이 없다는 것이 문제라는 점을 인정하지만 모든 면에서 작동하는 솔루션을 개발하기 위해 함께 협력하는 것은 시장 참가자의 책임이라고 믿습니다.
이를 용이하게 하기 위해 위원회는 표준화된 API 사양을 평가하기 위해 API EG(응용 프로그래밍 인터페이스 평가 그룹)의 창설을 제안하여 PSD2 및 새로운 GDPR(일반 데이터 보호 규정), ASPSP, TPP 및 지불 서비스 사용자(PSU)의 요구 사항을 충족합니다. EU 위원회, EBA 및 유럽 중앙 은행(ECB)은 API EG의 옵저버가 되지만 필요할 경우 시장 참여자에게 도움을 제공할 것입니다.
API EG에서 발행한 권장 사항 및 지침은 EU 회원국 전반에 걸쳐 조화로운 시장 관행을 만들기 위해 노력할 것입니다. 이를 달성하면 ASPSP와 TPP 모두의 구현 시간과 비용을 줄일 수 있을 뿐만 아니라 PSD2 지원 제품 및 서비스를 기반으로 하는 효과적인 국가 간 경쟁을 가능하게 하는 데도 중요합니다.
공통 통신 표준은 개별 ASPSP가 전용 인터페이스를 개발하기로 선택한 경우 대체 메커니즘(즉, 사용자 대면 인터페이스를 보안 통신으로 개방 채널), 이러한 전용 인터페이스가 일반적인 시장 허용 기준을 충족하지 않거나 30초 이상 사용할 수 없는 경우 TPP가 의존할 수 있습니다.
이는 스트레스 테스트, 면제 관리, 전용 인터페이스 성능 모니터링을 포함한 최종 RTS의 조항이 중요하고 과도한 추가 관리 및 운영을 부과할 것이라는 EBA의 우려를 부분적으로만 완화하는 데 도움이 될 수 있습니다. EBA와 NCA 모두에 부담을 줍니다.
API EG는 2018년 6월까지 API 표준에 대한 최종 지침 및 권장 사항을 발표하는 것을 목표로 1월에 작업을 시작했으며, 그 후 액세스 인터페이스의 공통 테스트 프레임워크에 대한 높은 수준의 원칙과 접근 방식을 정의하는 데 중점을 둘 것입니다.
RTS는 ASPSP가 인터페이스가 국제 또는 유럽 표준화 조직에서 발행한 통신 표준을 따르도록 해야 한다고 지정합니다. 위원회는 더 자세한 요구 사항이 없다는 것이 문제라는 점을 인정하지만 모든 면에서 작동하는 솔루션을 개발하기 위해 함께 협력하는 것은 시장 참가자의 책임이라고 믿습니다.
이를 용이하게 하기 위해 위원회는 표준화된 API 사양을 평가하기 위해 API EG(응용 프로그래밍 인터페이스 평가 그룹)의 창설을 제안하여 PSD2 및 새로운 GDPR(일반 데이터 보호 규정), ASPSP, TPP 및 지불 서비스 사용자(PSU)의 요구 사항을 충족합니다. EU 집행위원회, EBA 및 유럽중앙은행(ECB)은 API EG의 참관인이 되지만 필요할 경우 시장 참여자에게 지원을 제공할 것입니다.
API EG에서 발행한 권장 사항 및 지침은 EU 회원국 전반에 걸쳐 조화로운 시장 관행을 만들기 위해 노력할 것입니다. 이를 달성하면 ASPSP와 TPP 모두에 대한 구현 시간과 비용을 줄일 수 있을 뿐만 아니라 PSD2 지원 제품 및 서비스를 기반으로 한 효과적인 국가 간 경쟁을 가능하게 하는 데도 중요합니다.
공통 통신 표준은 개별 ASPSP가 전용 인터페이스를 개발하기로 선택한 경우 대체 메커니즘(즉, 사용자 대면 인터페이스를 보안 통신으로 개방 채널), 이러한 전용 인터페이스가 일반적인 시장 수용 기준을 충족하지 않거나 30초 이상 사용할 수 없는 경우 TPP가 의존할 수 있습니다.
이는 스트레스 테스트, 면제 관리, 전용 인터페이스 성능 모니터링을 포함한 최종 RTS의 조항이 중요하고 과도한 추가 관리 및 운영을 부과할 것이라는 EBA의 우려를 부분적으로만 완화하는 데 도움이 될 수 있습니다. EBA와 NCA 모두에 부담을 줍니다.
API EG는 2018년 6월까지 API 표준에 대한 최종 지침 및 권장 사항을 발표하는 것을 목표로 1월에 작업을 시작했으며, 그 후 액세스 인터페이스의 공통 테스트 프레임워크에 대한 높은 수준의 원칙과 접근 방식을 정의하는 데 중점을 둘 것입니다.
작년에 EMEA 전체 PSD2 설문조사에서 많은 기업이 최종 RTS가 없기 때문에 광범위한 규정 준수 프로그램을 정의하는 데 어려움을 겪고 있다고 지적했습니다. 짧은 구현 일정을 포함하여 이제 규칙이 확정됨에 따라 유럽 기업은 통신 인터페이스뿐만 아니라 SCA 솔루션과 관련하여 전속력으로 추진해야 합니다.
그러나 스위스의 관점에서 볼 때 현재 스위스 기업은 지불 서비스를 제공하는 EU 자회사를 제외하고 PSD2를 준수할 의무가 없기 때문에 시행을 추진해야 하는 기업에 대한 압박은 제한적입니다. 따라서 스위스 은행은 API를 제3자가 액세스할 수 있도록 할지 여부와 방법을 자유롭게 결정할 수 있습니다.
우리는 EBA의 앞서 언급한 발표를 면밀히 평가하고 특히 클라이언트의 압력이 인접 EU 국가에서 서비스가 제공되는 즉시 증가합니다. 구현을 모니터링하면 TTP에 대한 액세스 인터페이스의 개발 및 테스트에 관한 미해결 질문에 대한 명확성을 제공할 뿐만 아니라 스위스 은행이 미래의 오픈 뱅킹 생태계에 대비할 수 있는 기회를 제공할 것입니다.
EU에서 결제 서비스를 제공하는 자회사가 있는 은행은 2019년 9월 14일까지 이미 RTS를 준수해야 하므로 EU에서 통신 표준이 정의되고 구현되는 방식을 면밀히 모니터링해야 합니다. 또한 이러한 은행은 미래의 오픈 뱅킹 생태계에 필요한 투자를 활용하기 위해 은행 전체에 걸쳐 변경 사항을 구현하는 것이 더 효율적임을 알 수 있습니다. 스위스 시장에서 이러한 발전의 역학에 따라 다른 스위스 플레이어에 대한 압력이 현재 예상보다 빨리 증가할 가능성이 있습니다.
이 블로그는 규제 전략을 위해 Deloitte EMA Center에서 처음 작성했습니다. 오픈 뱅킹 주제에 대해 자세히 알아보려면 여기를 클릭하십시오.