Převody „lusknutím prstu“
Některé bankovní domy již předběhly účinnost zákona i PSD2, neboť umožňují převod účtu z jedné banky do druhé, a to převážně návštěvou na pobočce, nebo (což bývalo vzácnější) pomocí webového rozhraní, kdy se na pár kliků vytvořil nový účet a většina trvalých příkazů a plateb se automaticky přenesla k nové bance. Díky PSD2 budou nově muset toto poskytovat všechny banky. Na klientovi pak bude jen nahlásit změnu účtu v zaměstnání, na pojišťovně apod.
Nově platby bez karty
Nová je služba tzv. platební iniciace, kdy třetí strana přes své bankovní rozhraní umožní iniciovat platbu klienta z jeho účtu, aniž bude tento klient potřebovat platební kartu. K iniciaci dochází prostřednictvím softwarového mostu mezi internetovými stránkami obchodníka a platformou pro internetové bankovnictví banky.
Tato služba byla k dispozici již dříve, měla ale jedno drobné úskalí – při jejím využití jste museli poskytovateli dát k dispozici přihlašovací údaje ke svému účtu a ten díky strojovému čtení uživatelského rozhraní mohl zajistit potřebnou platbu. Díky tomu se ale mohl dostat i k informacím, které by v určitých případech mohly vést ke zneužití účtu.
PSD2 a na něj navazující zákon 370/2017 Sb. nahrazují toto řešení novým způsobem. Nyní se ukládá povinnost jednotlivým bankám zpřístupnit klientské informace autorizovaným třetím stranám pomocí zvláštního rozhraní (API). Díky němu může třetí strana iniciovat platbu, aniž se dostane ke klientským detailům účtu.
Zabezpečení třetích stran
Každá organizace, která se bude chtít do systému zapojit, bude muset projít nelehkým licenčním řízením. V rámci něj i nadále na ni jsou kladeny přísné nároky, mezi jinými musí dodržovat například kapitálovou přiměřenost a musí být pojištěná. Vše je pod dohledem ČNB. O náročnosti a zdlouhavosti procesu svědčí fakt, že dosud v ČR není subjekt, který by jím prošel za méně než deset měsíců. A není se čemu divit – dodnes totiž platilo, že pokud vám kvůli službám třetích stran někdo zcizil účet, vina dopadla na vás. V budoucnu půjde ale škoda za bankou.
Máme se bát zneužití?
Systémy, které zpracovávají citlivé údaje o platbách, musejí být navržené tak, aby bylo vyloučeno jejich zneužití. Principiálně jde o aplikaci víceúrovňové ochrany, kdy ten, kdo se k datům dostane (administrátor), jim nesmí rozumět (data musejí být zakódována), a kdo je umí dekódovat (programátor), se k nim zase nesmí dostat. Nad tím vším musí bdít monitorovací systém, který loguje veškeré operace, které se s daty uskutečnily, a podává o dané činnosti průběžné zprávy. Celý systém musí být ještě doplněn systémem vícevrstvé kontroly, kombinujícím technická, procesní a organizační opatření, tak aby nebylo možné kontrolu obejít prostým vyřazením jedné vrstvy.
Běžný uživatel není schopen rozpoznat, do jaké míry poskytovatel služeb skutečně splňuje deklarovaná opatření a do jaké míry jsou jeho prohlášení pouze líbivými hesly. Do hry dále vstupují certifikáty nezávislých auditorů, které by měly poskytnout alespoň základní informaci o tom, jak si který poskytovatel na poli zabezpečení stojí.
Obecný certifikát řady ISO 27000 sice naznačuje, že společnost se o problematiku datové bezpečnosti alespoň nějak zajímá, v oblasti ochrany citlivých údajů o platbách však nic negarantuje. Lépe jsou na tom subjekty, které prošly certifikací např. na PCI-DSS (Payment Card Industry Data Security Standard). Ta zahrnuje zavedené postupy zabraňující zneužití citlivých údajů o platebních kartách a kromě jejich pracovních postupů a organizaci práce vyhovuje bezpečnostním požadavkům i platební aplikace. To znamená, že i když se zadává do webového formuláře číslo platební karty a další údaje v nezakódované a snadno čitelné podobě, po opuštění formuláře se již toto číslo ani další citlivé údaje nikdy nikde v platebním systému neobjeví.
Díky PSD2 se služby třetích stran změní. Nepůjde o „Velkého bratra“, který má přehled o všech aktivitách na účtu, ale o ověřeného služebníka, který pomůže např. při platbách na e-shopech nebo při zahraničních nákupech a podobně. Samozřejmostí je, že k veškerým těmto operacím bude třeba souhlasu klienta.
Autor pracuje jako bezpečnostní specialista ve společnosti Anect.
