Asiakkaan vahva tunnistaminen sekä yhteinen ja turvallinen viestintä PSD2 pähkinänkuoressa

Samankaltaiset tiedostot
PSD2 pähkinänkuoressa

PSD2. Keskeiset muutokset maksupalvelulainsäädäntöön Sanna Atrila. Finanssivalvonta Finansinspektionen Financial Supervisory Authority

PSD2 - Ajankohtaiskatsaus

PSD2-seurantaryhmän webinaari PSD2-seurantaryhmä / Julkinen

SUOMEN MAKSUNEUVOSTON EHDOTTAMAT TOIMENPITEET - MAKSAMISEN NYKYTILA JA TRENDIT 2014

Lainsäädännön kehitys maksamisen alueella

Tietuekuva. Aineistosiirrot XML ISO XML pain MT101 sanomasäännöt

Maksupalveludirektiivi (PSD2) tietosuojan näkökulmasta. Fintech Breakfast , Technopolis, Oulu

Uudet maksupalvelut valvojan ajankohtaiskatsaus

PSD2-seurantaryhmän kokous Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Siirto helppo ja nopea mobiilimaksujärjestelmä

PSD2-seurantaryhmä PSD2-Seurantaryhmä / Julkinen

PSD2-seurantaryhmän kokous Finanssivalvonta Finansinspektionen Financial Supervisory Authority

PSD2-seurantaryhmän aloituskokous

Maksupalvelulain uudistaminen

PSD2-seurantaryhmä Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Siirto Yritysasiakkaille. Palvelukuvaus: Siirto-vastaanotto

toisen maksupalveludirektiivin väitettyä rikkomista koskevista valitusmenettelyistä

MITEN MAKSAMISEN, TUNNISTAMISEN JA SÄHKÖISEN ASIOINNIN PELIKENTTÄ MUUTTUU? VAI MUUTTUUKO?

PSD2-seurantaryhmä Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

REST-rajapintojen (Vero API) kehitys. Ohjelmistotalopäivä

Siirto helppo ja nopea mobiilimaksujärjestelmä

PSD2-seurantaryhmä Finanssivalvonta Finansinspektionen Financial Supervisory Authority

HPK Kannattajat ry. Tietosuojaseloste. EU:n tietosuoja-asetus (EU) 2016/679

EK esittää lausuntonaan seuraavan. 1 Yleistä 1.1 Hankkeen valmistelu

Toinen maksupalveludirektiivi HE 143/2017 vp. maksulaitos- ym. laeista

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

Pilvipalvelut ja henkilötiedot

Lohkoketjuteknologian hyödyntäminen tiedon oikeellisuuden todistamisessa. Joel Kaartinen,

Suomen maksujärjestelmän turvallisuus

PSD2-seurantaryhmä Finanssivalvonta Finansinspektionen Financial Supervisory Authority

Maksamisen murros valvojan näkökulmasta

PSD2 pähkinänkuoressa

-kokemuksia ja näkemyksiä

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

Enmac Oy:n markkinointirekisterin tietosuojaseloste

Käytön avoimuus ja datanhallintasuunnitelma. Open access and data policy. Teppo Häyrynen Tiedeasiantuntija / Science Adviser

Salasanojen hallinta. Salasanojen hallintaopas RESTAURANT ENTERPRISE SOLUTION

VALTIONEUVOSTON ASETUS VAHVAN SÄHKÖISEN TUNNISTUSPALVELUN TARJOAJI- EN LUOTTAMUSVERKOSTOSTA

OP Tunnistuksen välityspalvelu

Public. Kumppanuusforum Yksityinen terveydenhuolto EU:n yleinen tietosuoja-asetus / General Data Protection Regulation (GDPR) Perjantai 24.

eidas tilanne ja vaikutuksia Suomen ratkaisuihin

Rajapintapalveluiden käyttöehdot. Ohjelmistotalopäivä

Siirto Yritysasiakkaille Palvelukuvaus: Siirto-rajapinta

AJANKOHTAISKATSAUS MISSÄ OLEMME MITÄ SEURAAVAKSI?

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4

EU:N TIETOSUOJA-ASETUKSET WALMU

FORUM 2014 Palvelujen tuleva standardisointi Risto Pulkkanen, SFS Finlandia-talo, Helsinki

Avoimen ja yhteisen rajapinnan hallintamalli

Tässä tietosuojaselosteessa kuvataan Kouvolan Korttelikotiyhdistys ry:n toteuttamat asiakastietojen käsittelyn tavat.

OHJEET ASETUKSEN (EU) 2018/ ARTIKLAN 6 KOHDAN MUKAISEN VARAJÄRJESTELMÄN POIKKEUSTA KOSKEVISTA EHDOISTA

Ilmoittaminen ja sähköinen tietojenvaihto, määräajat

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

1 (4) Maksujärjestelmät. Sisällysluettelo

OHJEET TARKISTETUN MAKSUPALVELUDIREKTIIVIN (PSD2) MUKAISESTA AMMATILLISESTA VASTUUVAKUUTUKSESTA EBA/GL/2017/08 12/09/2017. Ohjeet

KESKEISIÄ MAKSAMISEN KEHITTÄMISHANKKEITA. Maksufoorumi Pekka Laaksonen Finanssialan Keskusliitto

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Määräykset ja ohjeet 5/2018

Sähköinen allekirjoitus ja henkilön tunnistaminen matkapuhelimella. Terveydenhuollon ATK-päivät

Maksamisen uudet tavat ja toimijat

FI Moninaisuudessaan yhtenäinen FI A8-0245/235. Tarkistus

Julkishallinnon tunnistuksen ohjauspalvelun kehityshanke mitä PoC-vaihe on opettanut? Manne Miettinen, Henri Mikkonen ja Arto Tuomi

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

AFCEA PVTO2010 Taistelija / S4

T Cryptography and Data Security

1. YRITYSTEN TILIEN EHDOT MUUTOKSET

Liite A Määritelmät 1 (6)

UKK SEPA - Yhtenäinen euromaksualue

TIEKE Verkottaja Service Tools for electronic data interchange utilizers. Heikki Laaksamo

Mikko Kalliovaara. SEPA virtaviivaistaa

Tiedostojen jakaminen turvallisesti

Suomen verojärjestelmän kehittäminen Kyselyn kooste

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

FI Moninaisuudessaan yhtenäinen FI A8-0245/92. Tarkistus

Maksaminen digitalisoituvassa taloudessa -hankkeet

Euroopan unionin neuvosto Bryssel, 21. maaliskuuta 2017 (OR. en)

Siirto Yrityksille Palvelukuvaus: Siirto-vastaanotto

RAIN RAKENTAMISEN INTEGRAATIOKYVYKKYYS

PALAUTE SAADUISTA LAUSUNNOISTA STANDARDILUONNOKSIIN

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Informaatiovelvoite ja tietosuojaperiaate

FI Moninaisuudessaan yhtenäinen FI. Tarkistus. Julia Reda Verts/ALE-ryhmän puolesta

Integrointi. Ohjelmistotekniikka kevät 2003

SOTILASILMAILUN TVJ-ALAN TEKNISEN HENKILÖSTÖN KELPOISUUSVAATIMUKSET

TIETOTILINPÄÄTÖS OSANA ORGANISAATIOIDEN TIETOPÄÄOMAN HALLINTAA

Avoimen MaaS-ekosysteemin työpaja

Digitalisaatio ja FinTech minkälainen ympäristö Suomi on?

2. Maksutoimeksiantopalveluja ja tilitietopalveluja koskeva sääntely

SATASERVICEN TIETOSUOJAKÄYTÄNTÖ

Paypal tilin avaaminen, ohjeita ja neuvoja suomenkielellä.

PwC:n nimikkeistökartoitus

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

KAUPAN LIITON EU-DIREKTIIVIAAMU

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Palvelukuvaus 1 (10) Handelsbankenin tunnistuspalvelun palvelukuvaus

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

PerustA - Perustietovarantojen viitearkkitehtuuri. Liite 3: Tietojärjestelmäarkkitehtuurin. integraatioarkkitehtuuri

Perusmaksutilidirektiivin toimeenpano HE 123/2016 vp.

Transkriptio:

www.pwc.fi/psd2 Asiakkaan vahva tunnistaminen sekä yhteinen ja turvallinen viestintä PSD2 pähkinänkuoressa

Yhteenveto EBA (Euroopan pankkiviranomainen) on julkaissut kauan odotetun luonnoksen vahvaa asiakkaan tunnistamista (Strong Customer Authentication, SCA) koskevan teknisen standardin (Regulatory Technical Standard, RTS) sekä avointa ja turvattua kommunikaatiota koskevat standardit, joissa otetaan kantaa PSD2:een liittyviin teknisiin näkökulmiin. Standardeissa on otettu kantaa uusiin ratkaisematta oleviin kysymyksiin. Niissä on huomioitu myös aiempia standardeja koskevien keskustelujen yhteydessä saadut sidosryhmäkommentit ja -palautteet. Merkittävin RTS-luonnoksessa esitetty ehdotus on, että yksittäistä ja yhteistä standardia ASPSP:n, PISP:n ja AISP:n väliseen dialogiin ei määritetä, vaikka aiempien keskustelujen perusteella tätä on selvästi odotettu. Yhteydenpitomenetelmät on päätetty jättää määrittämättä tarkasti, jotta tulevalle teknologiselle kehitykselle ei asetettaisi rajoitteita. Asiat, joihin on kiinnitettävä huomiota: Sertifikaattien käyttö Turvallisuus Vapautukset Jokaisen ASPSP:n tulee julkaista tarkoituksenmukaiset, ISO 20022 - standardin mukaiset liitäntärajapinnat kommunikoimiseen. ASPSP:ien tulee kuvata tarjoamansa rajapinnat ja niiden yksityiskohtaiset käyttöohjeet internet-sivuillaan. PISP:ien ja AISP:ien tulee vastaavasti muokata omat sovelluksensa vastaamaan rajapinnoiltaan kunkin ASPSP:n rajapintaa. Lisäselvennyksiä tehdään edelleen: ASPSP:n, PISP:n ja AISP:n välistä kommunikaatiota koskeviin tunnistamissertifikaatteihin sekä salattuihin viesteihin perustuviin tunnistamiseen ja turvallisuuteen liittyviin vaatimuksiin Käyttöönotettaviin turvallisuusvaatimuksiin (dynaamiset linkit, reaaliaikainen väärinkäytösten tunnistaminen ja estäminen, jne.). Turvallisuusvaatimuksista painotetaan erityisesti sellaisia, joita sovelletaan korttiperusteisiin maksuihin ja joita käytetään suojaamaan personoitujen turvallisuustietojen salaisuutta ja eheyttä. SCA:n käyttöönottoon liittyviin tunnistettuihin poikkeuksiin Tarpeeseen tehdä AISP-palvelujen palvelutasosta ja niiden käytettävissä olevasta tiedosta yhdenmukaista ASPSP:iden suoraan tarjoamien palveluiden kanssa Sensitiivisen asiakastiedon prosessointiin. EU:n jäsenvaltioiden on mukauduttava direktiiviin 13.1.2018 mennessä ja RTS:n mukaisten teknisten vaatimusten täysi implementointi kestänee vuoden 2018 jälkipuoliskolle saakka. Palvelutaso Tiedonvaihto 2

Painopiste avoimissa standardeissa ja turvallisessa kommunikaatiossa Luonnoksen esittämät pääinnovaatiot liittyen ASPSP:n, PISP:n ja AISP:n väliseen kommunikointiin ja rajapintoihin voidaan tiivistää seuraavasti: Käyttöliittymien hallitsemiseksi ja määrittelemiseksi EBA suosittelee ISO 20022 -standardin käyttöönottoa. Lisäksi ASPSP:n täytyy i. tuottaa ja mahdollistaa rajapinnat, jotka mahdollistavat asiakkaan tunnistamisen ja varmentamisen ja PISP:n, AISP:n ja korttiperusteisten maksupalveluiden implementoinnin ii. iii. iv. tuottaa ja julkaista käyttöliittymien ilmainen ja kattava tekninen dokumentaatio verkkosivuillaan, jotta integraatio kolmansien osapuolten järjestelmien kanssa mahdollistuu mahdollistaa kolmansien osapuolten sovellusten endto-end-testaamisen infrastruktuuri ja tuki ilmoittaa verkkosivuillaan kaikista teknisistä muutoksista vähintään kolme kuukautta ennen tuotannon aloittamista. Edellisten vaatimusten perusteella vaikuttaa siltä, että ASPSP:t tulevat tarvitsemaan valvojan, joka on vastuussa rajapintojen designin, kehityksen ja ylläpidon valvonnasta. Palvelutasot Informaatio PISP:n ja AISP:n rajapintojen tulisi kyetä tarjoamaan asiakkaalleen samat tiedot kuin ASPSP jakaa suoraan asiakkailleen. Poikkeuksena tästä ovat sensitiiviset maksutiedot, jotka tulee luokitella asianmukaisesti ja erottaa kolmansille osapuolille annettavista tiedoista. AISP-sovellukset Sovellusten täytyy i. sallia käyttäjien rajoittaa tietopyyntönsä erikseen määritellyllä tavalla ii. rajoittaa muut kuin käyttäjien suoraan esittämät tietopyynnöt enintään kahteen päivässä. ASPSP dedicated interface Service level Common and secure communication under PSD2 Data elements ASPSP:ien tulee taata palvelutasot ja niihin liittyvä tuki palveluina suoraan asiakkailleen. AISP App 3

Järjestelmien välinen data? EBA ei esitä minkään tietyn standardin käyttämistä, vaan suosittelee yleisesti eurooppalaisten ja kansainvälisten toimijoiden kehittämien kommunikointistandardien, erityisesti ISO 20022 -standardin käyttöönottoa. Tältä pohjalta voidaan harkita sekä XML:n (extensiblemarkup Language) ja ASN.1:n (Abstract Syntax Notion One) käyttöä datarakenteiden ylätason määrittelyyn. Tulevaisuudessa kehityskulku voi seurata SEPA-järjestelmien kaltaista polkua johtaen strukturoitujen datamallien käyttöönottoon PSD2:n mukaisissa XS2A-järjestelmissä (Access to Account) kolmella eri tasolla, jotka ovat seuraavat: Yhteinen kieli Looginen taso Prosessitaso Fyysinen taso Operatiivisten prosessien ja niihin liittyvän informaation kuvaaminen (mahdollistaa osapuolten välisen kommunikaation sisältämän informaatiosisällön tunnistamisen) Odotettavissa olevan datasisällön määrittäminen Loogisella tasolla määritettyjen viestien fyysinen kuvaaminen, perustuen esimerkiksi erityiseen syntaksiin ja tiettyihin standardiviesteihin ISO 20022 suosittelee myös sanakirjan käyttöönottoa. Siinä esitettäisiin kaikkien datamalliin sisältyvien objektien sanallinen kuvaus. Tällä hetkellä ISO 20022 -rekisterissä hallitaan noin 700 erilaista standardia liiketoimintakomponenteista ja yli 300 erilaista viestimääritystä. Tämän tyyppiset kuvaukset antavat mahdollisuuden vertailla liiketoimintakonsepteja, löytää niistä samankaltaisuuksia määritellyissä datarakenteissa ja kuvata erilaisia finanssimaailmassa käytettyjä standardeja samassa viitekehyksessä. Kuvaaminen onnistuu, vaikka ne olisivatkin rakennettu eri tavoin, esimerkiksi MT103 ja ISO 15022 swiftissä, ISO 8583 pankki- ja luottokorttitransaktioissa. 4

Painopiste turvallisuusvaatimuksissa ja poikkeuksissa Seuraavassa esitetään EBA:n RTS Vahvan asiakkaan tunnistamisen (SCA) luonnoksessa korostetut tärkeimmät turvallisuuteen liittyvät seikat. Kolmansien osapuolten (TPP) tunnistaminen EBA pyrkii parantamaan internetiä hyödyntäviin transaktioihin liittyvää turvallisuutta ja kuluttajien luottamusta. Tämän edellytyksenä on välttämätöntä kehittää sertifikaatteihin ja e-idasstandardeihin perustuvia keinoja, joilla voidaan tunnistaa transaktioihin liittyvät toimijat (ASPSP, PISP ja AISP). Sertifikaattien ja e-idas-standardien kehittäminen mahdollistavat tunnistettujen, valikoitujen ja hyväksyttyjen toimijoiden listaamisen. Tämän idean taustalla on PKI:n (Public Key Infrastructure) luominen, jossa toimijat voivat toimia keskenään riittävällä turvallisuuden tasolla. Edellytyksenä on eidas-standardin hallintaan perustettavan tahon sopiminen. Koska aikataulu on tiukka, luonnoksessa kehotetaan sidosryhmiä esittämään vaihtoehtoisia ratkaisuja tälle lähestymistavalle. Transaktioiden ja dynaamisten linkkien valtuuttaminen Sensitiivisen maksudatan ja käyttäjien henkilötietojen suojaaminen tulee olemaan ensiarvoisen tärkeää. Toimijoiden on otettava käyttöön teknisiä ratkaisuja, jotka takaavat tietojen luottamuksellisuuden, autenttisuuden ja eheyden ISO 27001 -standardin mukaisesti. Sensitiiviseksi luokitellun datan määrittelyä ei kuitenkaan ole tätä tarkoitusta varten vielä tehty. Kommunikoivien osapuolten on joka tapauksessa otettava käyttöön laajalti tunnustettuja datan suojaamiseen tarkoitettuja kryptografiatekniikoita ja ratkaisuja, jotka mahdollistavat transaktioon niin kutsutun dynaamisen linkin määritellyn summan ja maksunsaajan välille. Odotetaan myös, että ASPSP:t implementoivat mekanismeja ennaltaehkäistäkseen, tunnistaakseen ja torjuakseen luvattomia tai vilpillisiä transaktioita ennen kuin ne ehtivät PISP:n maksun auktorisointiin asti. Vastaava käytäntö on nykyään laajalti käytössä korttimaksuissa ja se on tarkoitus laajentaa koskemaan myös muita maksuja. Sertifikaattien käyttö Electronic ID & Trust Services (eidas) Public Key Infrastructure (PKI) Tiedonvaihto ISO27001 Sensitive payment data protection Turvallisuus Dynaamiset linkit Petosten tunnistamisen ja estämisten mekanismit (SCA) 5

Käyttäjän tunnistaminen ja varmentaminen RTS-luonnoksessa esitetään sekä toimijoita koskevat velvoitteet että vapautukset niistä. Luonnoksen mukaisesti vahvassa asiakkaan tunnistamisessa (Strong Customer Authentication, SCA) pankeilla tulee olemaan vastuu määrittää kolmansien osapuolten palveluissa aloitettujen transaktioiden varmentamismenettelyt. Tämä avaa myös kolmansille osapuolille mahdollisuuden ottaa vastuun varmentamisprosessista silloin, kun pankin kanssa on sovittu asiasta ennakkoon. Prosessissa on huomioitava myös sellaisen varmentamiskoodin luominen, joka rajoittaisi asiakkailta lähtöisin olevat järjestämättömät tai epämääräiset tietopyynnöt kahteen kertaan päivässä. Mahdollinen tapa implementoida tämä palvelu voisi olla OAuth 2.0 - viitekehyksen käyttöönotto. Sitä käytetään jo laajalti valtuuttamiseen erilaisiin ulkoisiin, suojattavaa sisältöä sisältäviin sovelluksiin. Lisäksi siinä on käytettävissä tunnisteiden jakaminen ja päivittäminen erityisen TLS-kanavan (RFC 6749) kautta. Tämä viitekehys mahdollistaa tunnisteiden salaamisen ja järjestelmien asianmukaisten turvallisuusvaatimusten täyttämisen (esim. PCI-DSS ja/tai ISO 27001). Asiakas (PISP ja AISP) B. Käyttötunniste ja virkistystunniste C. Käyttötunniste D. Pyydetty tieto A. valtuutuksen antaminen Resurssipalvelin (pankki) Valtuutuspalvelin E. Virkistystunniste Repetitive process Toistuva valtuutus päästä käsiksi tilitietoihin Yksi RTS:n esittämistä muutoksista koskee käyttäjän mahdollisuutta valtuuttaa AISP:lle automaattinen pääsy tilitietoihinsa. AISP voi saada pääsyn tileille automaattisesti enintään kaksi kertaa päivässä sillä edellytyksellä, ettei viimeisestä asiakkaan vahvasta tunnistamisesta ole kulunut yli kuukautta. Tämä vaatimus tullee edellyttämään määräaikaisesti voimassa olevien tunnisteiden (token) luomista. Nämä antavat ASPSP:n hyväksynnän jälkeen AISP:lle pääsyn tileille ilman asiakkaan erillistä hyväksyntää sovituksi määräajaksi. A. Asiakas (PISP tai AISP) aloittaa valtuutusprosessin käyttäen palvelun loppuasiakkaan ASPSP:lta saamia tunnuksia erityisellä varmennuspalvelimella. B. Jos tunnukset ovat oikeat, asiakkaalle (PISP tai AISP) palautetaan varmennuspalvelimelta erillinen tunniste tai päivitystunniste. C. Asiakas (PISP tai AISP) pyytää sisäänpääsyä palveluun käyttäen ASPSP:lta saamaansa tunnistetta. D. Jos tunniste on oikea, ASPSP lähettää pyydetyn tiedon asiakkaalle (PISP tai AISP). E. Vaiheita C ja D voidaan toistaa siihen asti, kunnes tunniste on oikea. F. Asiakas (PISP tai AISP) käyttää vaiheessa B saamaansa päivitystunnistetta aloittaakseen varmennusprosessin alusta varmennuspalvelimen kautta. Prosessi alkaa uudelleen vaiheesta B. 6

Vapautukset SCA:sta RTS määrittelee tapaukset, joissa vahvaa asiakkaan tunnistamista ei edellytetä*. Vahvasta asiakkaan tunnistamisesta voi pidättäytyä seuraavissa tapauksissa: i. Pelkän AISP-palvelun sisäänpääsyn testaamisen jälkeen tunniste on edelleen voimassa enintään yhden kuukauden, jonka aikana AISP:lla on pääsy tilitietoihin. Pidempi voimassaoloaika edellyttää asiakkaalta uutta varmennetta. iv. Toistuvat saman suuruiset maksut samalle maksunsaajalle. Toistuvan maksun ensimmäiseen maksusuoritukseen ja seuraavien maksusuoritusten summan tai maksunsaajan muuttamiseen vaaditaan kuitenkin uutta asiakkaan vahvaa tunnistamista. Maksajan pankki Toistuva makstu Maskunsaajan pankki Käyttäjä Pääsy maksutileille AISP v. Tilisiirrot, jotka tehdään omalle tilille joko saman pankin sisällä tai kahden eri pankin välillä ii. Maksut lähimaksukorteilla vähittäiskaupoissa, kun yksittäiset ostokset eivät ylitä 50 euroa ja ostokset yhteensä eivät ylitä 150 euroa Käyttäjä Elektrooninen maksu ilman kontaktia Myyjä i. Transaktiot ennakkoon määritellyille maksunsaajille, jotka sisältyvät loppukäyttäjän tilipankin kanssa tehdylle maksunsaajalistalle (whitelist). Maksunsaajalistan luomiseen ja muokkaamiseen vaaditaan SCA (Strong Customer Authentication). vi. Asiakkaan pankki 1 Maksut muiden kanavien (esim. mobiilin) kautta silloin kun yksittäinen maksu ei ylitä 10 euroa ja maksut yhteensä eivät ylitä 100 euroa. Käyttäjä Bank transfer Maksut < 10 Asiakkaan Pankki 2 PISP Käyttäjä Maksunsaajalistan luonti ASPSP Implementoitavat säännökset tulevat korvaamaan EBA:n 19.12.2014 esittelemät Guidelines for the security of payments via Internet - ohjeet. (*Parhaillaan tutkitaan kuitenkin mahdollisuutta muuttaa nämä sovellettavissa olevat vapautukset pakollisiksi ASPSP:ille. Pakollisuus yhtenäistäisi markkinakäytäntöjä.) 7

Sanasto AISP (Account Information Services Provider) Tilitietopalvelujen tarjoaja: toimija joka voi asiakkaan (tilitietopalvelun käyttäjän) valtuuttamana koota tietoa yhdestä tai useammasta asiakkaan maksupalvelun tarjoajan hallussa olevasta maksutilistä. API (Application Programming Interface) Ohjelmointirajapinta. ASPSP (Account Servicing Payment Service Provider) Maksutiliä hallitseva maksupalveluntarjoaja (maksulaitos tai pankki). Blockchain Lohkoketju on teknologia, jolla toisilleen vieraat toimijat voivat yhdessä tuottaa ja ylläpitää tietokantoja hajautetusti. DLT (Distributed Ledger Technology) tarkoittaa hajautetun kirjanpidon teknologiaa, jossa useampi rinnakkainen toimija hallitsee varoja mahdollistaen toimijoiden väliset siirrot ilman, että varojen siirtoihin tarvitaan välittäjää. EBA (European Banking Authority) Euroopan pankkiviranomainen. E-IDAS (The Regulation (EU) N 910/2014 on electronic identification and trust services for electronic transactions in the internal market) Sähköisestä tunnistamisesta ja luottamuspalveluista annettu EU:n asetus. MIF (Multilateral Interchange fee) OTP (One Time Password) Salasana joka on voimassa vain yhteen toimintoon ohjelmistossa tai laitteessa. PI (Payment Institute) Maksulaitos, jolla on toimilupa maksupalveluiden tarjoamiseen. PKI (Public Key Infrastructure) Julkisen avaimen järjestelmässä varmentaja tuottaa käyttäjille salausavaimet, varmentaa ne sähköisellä allekirjoituksellaan ja jakaa ne käyttäjille sekä ylläpitää varmennehakemistoa ja varmenteiden sulkulistaa ja mahdollisesti tarjoaa muita varmenteiden käyttöön liittyviä palveluja. PSP (Payment Service Provider) Maksupalvelun tarjoaja, joka voi tarjota myös PISP- ja AISP-toimintoja. PIP (Payment Initiation PSP) Maksutapahtuman käynnistävä maksupalvelun tarjoaja. PISP (Payment Initiation Services Provider) Maksutoimeksiantopalvelun tarjoaja, joka käynnistää maksutapahtuman maksupalvelun asiakkaan valtuuttamana toisen maksupalveluntarjoajan ylläpitämältä tililtä. RTS (Regulatory Technical Standards) Euroopan pankkiviranomaisen laatimat tekniset sääntelystandardit. SCA (Strong Customer Authentication) Vahva asiakkaan tunnistaminen. SEPA (Singe European Payments Area) Yhtenäinen euromaksualue on maksuliikenteen sisämarkkina-alue, johon kuuluu yhteensä 32 maata. SHA on tariffiperiaate, jossa maksaja ja maksunsaaja kumpikin osallistuvat maksutarjoajan laskuttamiin kustannuksiin ("SHARE"). TPP (Third Party Payment Service Provider) Kolmas osapuoli, joka voi tarjota asiakkaalle maksupalveluita perinteisten pankkien tai maksulaitosten lisäksi. XS2A (Access to Account) Termi jota käytetään tilitietoihin pääsemisestä 8

www.pwc.fi/psd2 Jan Bäckström Partner Business Operations Regulatory +358 40 721 4484 jan.backstrom@fi.pwc.com Marko Lehto Partner Regulatory +358 40 700 5079 marko.lehto@fi.pwc.com Sami Toivoniemi Senior Manager Technology +358 40 756 8765 +39 02 66720567 sami. toivoniemi@fi.pwc.com 2017 PricewaterhouseCoopers. All rights reserved. refers to PricewaterhouseCoopers Finland and may sometimes refer to the network. Each member firm is a separate legal entity. Please see www.pwc.com/structure for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute