유럽 위원회는 수정된 지불 서비스 지침(PSD2)에 따라 강력한 고객 인증 및 공통 보안 통신에 대한 최종 규제 기술 표준(RTS)을 발표했습니다. 이 최종 버전에서 위원회는 스크린 스크래핑
[1]
RTS가 발효되면 더 이상 허용되지 않으며, EBA(European Banking Authority) 및 보안에 대한 기타 이해 관계자의 우려 사항에 주의를 기울입니다. 그러나 계정 서비스 결제 서비스 제공업체(ASPSP)는 제3자 제공업체(TPP)와의 커뮤니케이션 세션 동안 전용 인터페이스를 사용할 수 없거나 성능이 저하된 경우 비상 조치를 취해야 합니다.
새로운 비상 조치
업데이트된 규칙에 따라 ASPSP는 전용 여부에 관계없이 모든 통신 인터페이스의 기술 사양을 공개적으로 사용 가능하게 만들고 RTS 적용일로부터 최소 6개월 전에 지불 서비스 제공자를 가능하게 하는 시설을 제공해야 합니다. 인터페이스를 테스트하고 적절한 기능을 보장합니다. 전용 인터페이스의 경우 ASPSP는 투명한 핵심 성과 지표와 서비스 수준 목표도 정의해야 하며, 이는 최소한 ASPSP의 고객이 사용하는 온라인 결제 및 뱅킹 플랫폼에 대해 설정된 수준만큼 엄격해야 합니다. NCA(National Competent Authorities)는 전용 인터페이스의 성능을 테스트하고 모니터링합니다.
위의 내용 외에도 ASPSP는 전용 인터페이스를 30초 이상 사용할 수 없거나 설정된 일반 운영 요구 사항을 충족하지 못하는 경우 TPP가 의존할 수 있는 소위 대체 메커니즘을 설치해야 합니다. RTS에서.
RTS의 초기 초안에서와 같이 이러한 대체 메커니즘은 ASPSP 사용자 대면 인터페이스를 지불 개시 및 계정 정보 서비스를 위한 보안 통신 채널로 여는 것으로 구성됩니다. 그러나 중요하게도 위원회는 대체 옵션을 사용할 때 TPP가 ASPSP에서 식별할 수 있도록 해야 한다고 명시했습니다. 소비자가 동의한 데이터에만 액세스, 저장 또는 처리하도록 필요한 조치를 취합니다. 그들이 액세스하는 데이터를 기록하고 요청 시 관련 NCA에서 사용할 수 있도록 합니다. NCA에 요청 시 인터페이스 사용을 정당화합니다.
NCA는 전용 통신 인터페이스가 기술 표준에 정의된 품질 기준을 충족하는 경우 EBA와 협의하여 개별 ASPSP가 이러한 대체 메커니즘을 배치하는 것을 면제할 수 있습니다. EBA는 전용 인터페이스의 품질에 대한 평가가 회원국 전체에서 일관성을 유지하도록 할 책임이 있습니다. 전용 통신 인터페이스가 연속 2주 이상 동안 품질 기준을 더 이상 충족하지 못하는 경우 NCA는 면제를 취소합니다. 이 경우 ASPSP는 가능한 가장 짧은 기간에 2개월 이내에 대체 메커니즘을 마련해야 합니다.
보안과 경쟁의 균형
위원회는 2월 초에 스크린 스크래핑 사용을 금지하는 EBA의 제안을 처음에 거부했습니다. FinTech 부문이 공유하는 우려는 은행이 고객 대면 인터페이스를 통해 자체 결제 서비스를 제공할 수 있는 반면 TPP는 전용 인터페이스의 기능이 복원될 때까지 그렇게 할 수 없습니다.
반면에 스크린 스크래핑을 비상 조치로 제한 없이 사용하도록 허용하면 ASPSP와 고객에게 중대한 보안 위험이 발생할 수 있습니다. 이는 TPP가 마치 로그인한 것처럼 온라인 뱅킹 플랫폼에서 고객이 사용할 수 있는 모든 정보에 액세스할 수 있기 때문에 ASPSP가 TPP를 식별하고 허용되는 데이터에만 액세스를 제한하는 것이 매우 어렵거나 불가능하기 때문입니다. 고객의 동의.
따라서 위원회는 TPP와 ASPSP 간의 공평한 경쟁을 보장해야 하는 필요성과 소비자를 보호하고 지불 서비스를 안전하게 유지해야 하는 필요성을 조화시킬 수 있는 표준을 개발해야 하는 부끄럽지 않은 임무를 맡았습니다. 최종 RTS는 본질적으로 대체 메커니즘으로 스크린 스크래핑의 보다 억제된 버전을 도입함으로써 그렇게 하려고 합니다. TPP가 PSD2 규칙에 따라 행동하고 있음을 NCA에 증명할 수 있도록 책임을 지는 것입니다. , 그리고 고객의 동의를 얻었습니다.
이론 대 실제
원칙적으로 이 타협은 보안과 경쟁 사이의 더 나은 균형을 달성하지만 실제로 새로운 비상 조치는 기업과 NCA 모두에게 구현하기 다소 비실용적일 수 있습니다. 의도하지 않은 결과를 초래할 수도 있습니다.
비용, 복잡성 및 단편화 증가
EBA가 이전에 관찰한 바와 같이 대체 메커니즘을 도입하면 ASPSP와 TPP가 여러 연결 솔루션을 설계하고 유지 관리해야 하므로 비용이 증가할 수 있습니다. 특히 TPP는 전용 인터페이스와 사용자 대면 인터페이스 모두에 대해 연결하려는 모든 ASPSP에 대해 서로 다른 연결 솔루션을 구축하고 유지 관리해야 합니다. TPP가 자신을 식별할 책임이 있지만 ASPSP는 이를 가능하게 하기 위해 여전히 사용자 대면 인터페이스를 업그레이드해야 합니다. ASPSP는 NCA가 면제를 승인할 것인지 또는 단기간에 취소되지 않을 것인지 확신할 수 없기 때문에 예방 조치로 대체 메커니즘을 마련해야 할 수도 있습니다.
이는 일부 ASPSP가 전용 인터페이스를 함께 개발하는 것을 의욕적으로 만들 수 있으며, 이는 차례로 표준화된 애플리케이션 프로그래밍 인터페이스의 개발을 늦추고 시장의 상호 운용성과 경쟁을 감소시킬 수 있습니다. 이러한 위험은 RTS 적용일로부터 최소 6개월 전에 기술 사양을 게시하고 PSP에 대한 테스트 시설을 제공해야 하는 요구 사항으로 인해 더욱 증가할 수 있습니다. 이는 ASPSP가 보안 통신 솔루션을 개발해야 하는 시간을 3분의 1로 효과적으로 줄여줍니다.
마지막으로, 스트레스 테스트, 면제 관리, 전용 인터페이스의 성능 모니터링을 포함한 이러한 비상 조치를 감독하고 시행하는 것은 NCA와 EBA에 중대한 운영상의 문제를 제기하여 이미 제한된 리소스에 추가 부담을 줄 것입니다.
다음 단계
RTS는 유럽 연합 공식 저널에 게재된 후 18개월 후에 적용됩니다. 최종 텍스트를 조사하는 데 3개월이 소요되는 유럽 이사회와 의회의 동의에 따라 RTS는 현재 2019년 9월경에 적용될 것으로 예상됩니다.
[1] 자신을 식별할 필요 없이 컴퓨터 프로그램을 사용하여 웹사이트에서 데이터를 복사하는 행위.
이 게시물은 영국 Deloitte의 위험 자문팀과 EMEA 규제 전략 센터에서 작성했으며 Deloitte Financial Services UK 블로그에 처음 게시되었습니다.