Bezpieczniejszy przelew: reforma usług płatniczych w internecie

Konieczność ochrony klientów dokonujących płatności za pomocą internetu oraz płatności mobilnych silnie akcentuje w szczególności dyrektywa PSD 2. Na poziomie krajowym – znaczącą rolę odegra w tym zakresie przyjęta w listopadzie ubiegłego roku rekomendacja KNF.

O ile na transpozycję przepisów PSD 2 (czyli Dyrektywy w sprawie usług płatniczych z dnia 25 listopada 2015 r.) państwa członkowskie mają czas do stycznia 2018 r., o tyle użytkownicy internetowych usług płatniczych w Polsce już otrzymali dodatkową ochronę. Stało się to za sprawą rekomendacji KNF dotyczącej bezpieczeństwa transakcji płatniczych wykonywanych w internecie, przyjętej 17 listopada 2015 r. Kierowana jest ona do banków, instytucji płatniczych, instytucji pieniądza elektronicznego oraz SKOK-ów.

Dokument reguluje trzy podstawowe obszary: (i) zasady i organizację procesu zarządzania oraz oceny ryzyka, (ii) szczególne środki kontroli i bezpieczeństwa w zakresie płatności internetowych, a także (iii) działania edukacyjne wobec klientów oraz zasady komunikacji z nimi.

Rekomendacja nakłada na dostawców usług płatniczych obowiązek stworzenia formalnej polityki bezpieczeństwa w stosunku do płatności internetowych oraz usług powiązanych, a także – wdrożenia odpowiednich środków bezpieczeństwa. Te ostatnie mają polegać w szczególności na budowaniu wielopoziomowych zabezpieczeń (tzw. obrona w głąb) oraz na dokonywaniu tzw. utwardzania, czyli wyłączania w serwerach wszystkich zbędnych funkcji. Ochrona klientów ma się odbywać również poprzez wdrożenie zasady minimalnych uprawnień, zgodnie z którą każdemu użytkownikowi przydzielane są jedynie takie uprawnienia, które są dla niego niezbędne do wykonywania pracy na danym stanowisku.

Ponadto, podczas całej sesji będzie konieczne stosowanie bezpiecznego szyfrowania danych typu „end-to-end" (tzn. pomiędzy aplikacją klienta a serwerem zawierającym usługi, do których aplikacja uzyskuje dostęp, na takiej zasadzie, że szyfrowanie danych odbywa się w systemie źródłowym, a deszyfrowanie w systemie docelowym). Ograniczeniu powinna podlegać także liczba nieudanych prób logowania lub uwierzytelniania. Powinien zostać określony maksymalny czas trwania sesji.

W rekomendacji został wprost przewidziany wymóg stosowania procedury silnego uwierzytelniania klienta w sytuacji inicjowania płatności internetowej lub uzyskiwania dostępu do wrażliwych danych płatniczych. Odstąpienie od tej zasady może nastąpić jedynie wyjątkowo, np. w odniesieniu do tzw. białych list, tj. określonych przez klienta zaufanych odbiorców.

Silne uwierzytelnianie oznacza, że w celu dokonania identyfikacji klienta, dostawca usług stosuje co najmniej dwa spośród następujących elementów: (i) wiedza – coś, co jedynie użytkownik wie (np. kod, PESEL, hasło statyczne), (ii) posiadanie – coś, co jedynie użytkownik posiada (np. token, karta inteligentna, telefon komórkowy), lub (iii) indywidualna cecha klienta (np. cecha biometryczna, odcisk palca).

Należy podkreślić, że Rekomendacja nie znajduje zastosowania do usług internetowych innych niż usługi płatnicze, nawet jeśli usługi te oferowane są poprzez strony internetowe dostawców przeznaczone do dokonywania płatności (z zakresu rekomendacji zostały wyłączone więc np. umowy zawierane online i elektroniczne usługi maklerskie). Nie dotyczy ona też płatności mobilnych innych niż realizowane przy użyciu przeglądarki internetowej, tj. np. płatności zlecanych za pomocą telefonów czy esemesów.

Rekomendacja będzie miała natomiast wpływ na treść stosunków umownych pomiędzy dostawcami usług (bankami, ale też agentami rozliczeniowymi) oraz akceptantami (np. właścicielami sklepów internetowych), a także na umowy dotyczące outsourcingu. Dostawcy będą bowiem zobligowani zobowiązać akceptantów w umowach z nimi zawieranych m.in. do wdrożenia środków bezpieczeństwa IT, stosowania systemów umożliwiających silne uwierzytelnienie posiadacza karty oraz zapewnienia wyraźnego oddzielenia procesów dokonywania płatności od dokonywania zakupów online, aby klient miał świadomość, na jakim etapie komunikuje się z dostawcą usługi, a kiedy – z odbiorcą płatności.

Rekomendacja KNF ma charakter przejściowy. Bardziej kompleksowe regulacje w tym zakresie zostaną wprowadzone na mocy dyrektywy PSD 2 oraz tzw. regulacyjnych standardów technicznych, jakie w tym zakresie przyjmie KE. Jednak już teraz Rekomendacja powinna być interpretowana, na ile to możliwe, biorąc pod uwagę treść i cele dyrektywy PSD 2.

Agata Jankowska-Galińska, Managing Associate, Deloitte Legal