Informace k Payment Services Directive 2 (PSD2)
Co je PSD2?
Dnem 13. ledna 2018 nabyl účinnosti zákon č. 281/2017 Z.z., kterým se mění a doplňuje zákon č. 429/2009 Z.z. o platebních službách, ve kterém byla transponována směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25. listopadu 2015 o platebních službách na vnitřním trhu (Payment Services Directive 2 nebo také „PSD2").
Které jsou nejdůležitější změny?
Přístup třetích stran
Novela zákona o platebních službách rozšiřuje okruh poskytovatelů platebních služeb o nové subjekty, tzv. třetí strany (Third Party Payment Service Providers – TPP), které mohou poskytovat nové online platební služby v prostředí internetu: platební iniciační službu (Payment Initiation Services nebo také „PIS") a službu informování o platebním účtu (Account Information Services nebo také „AIS"), a poskytování informace o dostupnosti peněžních prostředků na platebním účtu klienta (Payment Instrument Issuer Service nebo také „PIIS").
Třetí strana jako poskytovatel platebních služeb poskytuje nové platební služby na základě povolení národního orgánu za podmínek stanovených zákonem o platebních službách v podmínkách Slovenské republiky na základě povolení Národní banky Slovenska. Přístup k platebnímu účtu banky, která vede platební účet, bude umožněn pouze se souhlasem majitele tohoto platebního účtu, který udělí třetí straně.
Platební iniciační službou se rozumí online iniciování platebního příkazu na pokyn plátce ve vztahu k platebnímu účtu, který je přístupný online prostřednictvím internet bankingu a je veden u jiného poskytovatele platebních služeb. To znamená, že plátce může prostřednictvím třetí strany zadat platební příkaz z účtu vedeného v jiné bance a autorizuje ho (udělí souhlas s jeho provedením) prostřednictvím bezpečnostních prvků vydaných bankou, která vede účet tohoto klienta.
Službou informování o platebním účtu se rozumí online služba zajišťovaná prostřednictvím internetu nebo jiného elektronického distribučního kanálu, spočívající v poskytování konsolidovaných informací o jednom nebo více platebních účtech, které jsou přístupné online prostřednictvím internetu, a které má uživatel platebních služeb vedeny u jiného nebo u více poskytovatelů platebních služeb. To znamená, že klient může prostřednictvím třetí strany, které udělil souhlas, získat informaci o zůstatku na platebním účtu nebo na účtech vedených v jiné bance a také historii transakcí.
Poskytování informace o dostupnosti peněžních prostředků na účtu klienta umožňuje vydavateli platebních prostředků vázaných na platební kartu (třetí straně) na základě souhlasu klienta uděleného přímo bance, která vede platební účet, získat informaci, zda jsou na platebním účtu klienta dostupné peněžní prostředky k provedení platební operace.
API (Application Programming Interface) je komunikační rozhraní, které umožní třetím stranám bezpečně komunikovat s bankou. Prostřednictvím API banka zpřístupní třetím stranám platební účty za účelem poskytování nových platebních služeb.
Co jsou RTS?
Regulační technické předpisy (delegované nařízení Komise 20184/389 nebo „Regulatory Technical Standards" nebo také „RTS") upravují podrobné technické a bezpečnostní podmínky, podle kterých mohou být vykonávány platební služby, jako např. princip silné autentizace klienta (Strong Customer Authentication nebo také „SCA"), bezpečná komunikace mezi třetími stranami a bankou prostřednictvím API.
RTS nabývají účinnosti od 14. září 2019. Do doby účinnosti RTS hovoříme o tzv. přechodném období, které se řídí ustanoveními zákona o platebních službách.
PSD2 a RTS přinášejí novou terminologii a pravidla při platbách v rámci Evropského hospodářského prostoru.
Co je silná autentizace uživatele?
PSD2 vyžaduje silnou autentizaci uživatele pro přístup k platebnímu účtu online prostřednictvím elektronického bankovnictví, při provádění platebního příkazu v elektronické formě prostřednictvím elektronického bankovnictví nebo platební kartou v prostředí internetu a při provádění jakékoliv činnosti v elektronickém bankovnictví.
Autentizací se rozumí postup, který umožňuje poskytovateli platebních služeb (bance) ověřit totožnost uživatele platebních služeb nebo oprávněnost použití konkrétního platebního prostředku, včetně použití personalizovaných bezpečnostních prvků uživatele platebních služeb.
Silná autentizace uživatele je autentizace na základě použití dvou nebo více prvků, kterými jsou znalost, vlastnictví a charakteristické znaky uživatele platebních služeb, přičemž znalostí je to, co zná pouze samotný uživatel platebních služeb (např. heslo), vlastnictvím je to, co vlastní nebo drží pouze uživatel platebních služeb (např. SMS kód je vlastnictvím mobilního telefonu) a charakteristické znaky uživatele platebních služeb slouží k jeho identifikaci (např. fyzická biometrie). Tyto prvky jsou na sobě nezávislé a vytvořeny takovým způsobem, že narušení jednoho prvku nenaruší spolehlivost ostatních prvků ani důvěrnost autentizačních údajů.
Jak se snižuje odpovědnost plátce za neautorizované platby?
PSD2 snižuje odpovědnost plátce ze 100 € na 50 € u všech neautorizovaných plateb způsobených použitím ztraceného nebo odcizeného platebního prostředku nebo jeho zneužitím neoprávněnou osobou v důsledku nedbalosti plátce při zabezpečení personalizovaných bezpečnostních prvků.
Jak se mění lhůta pro vyřízení reklamace?
Podle PSD2 o reklamaci uživatelů platebních služeb rozhodne poskytovatel platebních služeb (banka) nejpozději do 15 pracovních dní od doručení reklamace. V odůvodněných případech, kdy lhůtu 15 dní není možné dodržet, je poskytovatel platebních služeb (banka) povinen poskytnout předběžnou odpověď na reklamaci a termín pro doručení konečné odpovědi nesmí překročit 35 pracovních dní.
Kdy probíhá technická údržba systému?
Technická údržba vyhrazeného rozhraní a elektronického bankovnictví probíhá v pracovních dnech mezi 23:00 a 04:00 hod. V případě potřeby delšího časového období pro provádění údržby je údržba realizována během dnů pracovního volna nebo dnů pracovního klidu bez časových omezení. Přesný termín provádění údržby vyhrazeného rozhraní a elektronického bankovnictví naleznete na adrese https://ibank.privatbanka.sk.
Požadavky na další informace k implementaci směrnice PSD2 směřujte na e-mailovou adresu [email protected].
Zveřejňování čtvrtletních statistik
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2022
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2022
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2022
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 1. kvartál 2023
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2023
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2023
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2023
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 1. kvartál 2024
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2024
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2024
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2024
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 1. kvartál 2025
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2025
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2025
- Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2025
Informace pro vývojáře
Vyhrazené rozhraní API PSD2 je implementováno podle slovenského národního standardu (SBAS). Pro autorizaci požadavků je použit autentizační protokol OAuth 2.0, pro komunikační rozhraní API se používá transportní protokol REST (Representational State Transfer). Pro formát zápisu dat požadavku i odpovědi prostřednictvím API je použit JSON (JavaScript Object Notation) – výjimkou je formát dat pro požadavek typu inicializace platby, ve kterém je použit formát XML. Komunikace mezi aplikací třetí strany a bankou je zabezpečena pomocí protokolu TLS 1.2 s minimálně 256bitovým šifrováním.
Třetí strana bude své požadavky zasílat na vystavené endpointy. Popis jednotlivých metod, které budou pro třetí stranu k dispozici, je podrobněji uveden v přiloženém dokumentu.
Privatbanka umožňuje přístup pro licencované poskytovatele platebních služeb (třetí strany) poskytující službu informování o účtu (AISP) a nepřímé udělení platebního příkazu (PISP) za podmínky, že se v bance jednoznačně identifikují. Veškeré potřebné informace pro zajištění přístupu jsou uvedeny v API dokumentaci a příslušných XSD schématech. V případě nedodržení uvedené posloupnosti kroků budeme muset třetí straně přístup odmítnout. Jakékoliv nezákonné zneužití informací nebo provádění plateb z účtů našich klientů jiným způsobem, než je specifikováno ve zveřejněné dokumentaci, bude oznámeno Národní bance Slovenska a orgánům činným v trestním řízení.
Požadavky na další informace k implementaci směrnice PSD2 směřujte na e-mailovou adresu [email protected].