ABE: Ghid final privind securitatea platilor pe internet

La data de 19 decembrie 2014, Autoritatea Bancara Europeana („ABE”) a publicat Ghidul final privind securitatea platilor pe internet menit sa stabileasca un set de cerinte minime in domeniul securitatii serviciilor de plata oferite prin intermediul internetului (servicii de plata pe internet). Ghidul a fost emis ca raspuns la nivelul ridicat de frauda incident la nivelul serviciilor de plata pe internet, avand data limita de implementare 1 August 2015. Cerinte mai stricte urmeaza sa fie implementate la un moment ulterior, in baza viitoarei Directive privind serviciile de plata 2.

Ghidul se bazeaza pe dispozitiile Directivei 2007/64/CE cu privire la serviciile de plata („Directiva privind serviciile de plata”) referitoare la cerintele de informare pentru serviciile de plata si obligatiile prestatorilor de servicii de plata. Trebuie mentionat ca pe langa cerintele minime prevazute in Ghid, este responsabilitatea prestatorilor de servicii de plata sa monitorizeze si sa evalueze riscurile implicate de operatiunile lor de plata, sa isi dezvolte propriile politici detaliate de securitate si sa puna in aplicare masuri proportionale cu riscurile inerente serviciilor de plata prestate. Autoritatea competenta poate decide sa solicite prestatorilor de servicii de plata sa raporteze autoritatii competente daca indeplinesc conditiile prevazute de Ghid.

Domeniu de aplicare. Ghidul se adreseaza institutiilor financiare, astfel cum sunt definite la art. 4 alin. (1) din Regulamentul nr. 1093/2010, si autoritatilor competente, astfel cum sunt definite la art. 4 alin. (2) din Regulamentul nr. 1093/2010 si sunt aplicabile in cazul serviciilor de plata pe internet, indiferent de dispozitivul de acces utilizat. Serviciile cuprind: executarea platilor cu cardul pe internet, inclusiv plata cu carduri virtuale, precum si inregistrarea datelor de plata cu cardul pentru utilizarea in „solutii de tip portofel”; executarea transferurilor-credit pe internet; emiterea si modificarea mandatelor electronice de debitare directa; transferurile de bani electronici intre doua conturi de moneda electronica prin internet.

Principalele prevederi. Sunt 14 cerinte specifice, fiecare avand un numar de sub-cerinte detaliate si o lista de 13 bune practici, care pot fi clasificate in doua categorii, avand in vedere urmatoarele: 1) masuri specifice de control si de securitate pentru platile pe internet si 2) constientizarea din partea clientului, instruirea si comunicarea cu clientii.

1. Cerinte privind masuri specifice de control si de securitate pentru platile pe internet

Guvernanta. Prestatorii de servicii de plata trebuie sa puna in aplicare si sa revizuiasca periodic o politica de securitate formala pentru serviciile de plata pe internet care trebuie sa defineasca obiectivele de securitate si apetitul de risc. Potrivit bunelor practici, politica de securitate ar putea fi stabilita intr-un document dedicat.

Evaluarea riscurilor. Prestatorii de servicii de plata trebuie sa efectueze si sa documenteze evaluari detaliate ale riscurilor in ceea ce priveste securitatea platilor pe internet si a serviciilor conexe, atat inainte de initierea serviciului (serviciilor) cat si ulterior.

Monitorizarea si raportarea incidentelor. Prestatorii de servicii de plata trebuie sa asigure monitorizarea, procesarea si urmarirea coerenta si integrata a incidentelor de securitate, inclusiv a reclamatiilor clientilor legate de securitate si de asemenea sa stabileasca o procedura pentru raportarea incidentelor majore legate de securitatea platilor, catre autoritatile competente. Prestatorii de servicii de plata trebuie sa asigure prin mijloace contractuale cooperare ecomerciantilor in cazul incidentelor majore legate de securitatea platilor,asa cum sunt acestea definite in Ghid.

Controlul si reducerea riscurilor. Prestatorii de servicii de plata trebuie sa puna in aplicare masuri de securitate care trebuie sa includa mai multe linii de aparare, in conformitate cu politicile lor respective de securitate, in scopul de a reduce riscurile identificate si ar trebui sa fie supusi periodic unui audit independent. Acest tip de masuri de securitate sunt unele din cele mai importante aspecte asupra carora Ghidul are impact, intrucat acestea vor afecta retelele, datele de plata sensibile, externalizarea si tehnologia folosite de prestatorii de servicii de plata. Acestia trebuie sa se asigure ca e-comerciantii si orice alti prestatori externi sa puna in aplicare acelasi tip de masuri.

Trasabilitatea. Prestatorii de servicii de plata trebuie sa aiba procese care sa asigure faptul ca toate operatiunile (inclusiv fluxul procesului e-mandat) sunt urmarite in mod corespunzator. Bunele practici prevad ca prestatorii de servicii de plata le-ar putea solicita prin contract e-comerciantilor care stocheaza informatii de plata sa dispuna de procese adecvate care sa asigure trasabilitatea.

Informatiile si identificarea initiala a clientului. Clientii trebuie sa fie identificati in mod corespunzator, in conformitate cu legislatia europeana privind combaterea spalarii banilor si trebuie sa-si confirme disponibilitatea de a efectua plati pe internet folosind serviciile inainte de a primi accesul la astfel de servicii. Potrivit bunelor practici, clientul ar putea semna un contract de servicii dedicat efectuararii operatiunilor de plata pe internet (in loc ca termenii sa fie inclusi intr-un contract mai larg de servicii generale incheiat cu prestatorul de servicii de plata). De asemenea, clientilor ar trebui sa le fie oferite instructiuni clare si simple care sa le explice responsabilitatile pentru utilizarea securizata a serviciului.

Autentificarea stricta a clientului. Prestatorii de servicii de plata trebuie sa se asigure ca initierea platilor pe internet, precum si accesul la datele sensibile de plata sunt protejate prin autentificarea stricta a clientului, in conformitate cu definitia prevazuta in Ghid. Exemple de autentificare stricta a clientului pot include elemente care leaga autentificarea de o anumita suma si un anumit beneficiar. Bunele practici prevad ca, din motive de comoditate pentru client, prestatorii de servicii de plata ar putea lua in considerare utilizarea unui singur instrument de autentificare stricta a clientului, pentru toate serviciile de plata pe internet.

Inscrierea pentru instrumente si/sau programe software de autentificare livrate clientului si furnizarea acestora. Prestatorii de servicii de plata trebuie sa se asigure ca inscrierea clientului pentru instrumente de autentificare si furnizarea initiala a acestor instrumente, necesare pentru a utiliza serviciul de plata pe internet si/sau livrarea programelor software pentru plata catre clienti se efectueaza intr-un mod securizat.

Incercarile de logare, expirarea sesiunii, valabilitatea autentificarii. Prestatorii de servicii de plata trebuie sa limiteze numarul de incercari de logare sau de autentificare, sa defineasca reguli pentru expirarea sesiunilor serviciilor de plata pe internet si sa stabileasca limite de timp pentru validitatea autentificarii.

Monitorizarea operatiunilor. Mecanismele de monitorizare a operatiunilor, care au scopul de a preveni, de a detecta si de a bloca operatiunile de plata frauduloase trebuie sa fie rulate inainte de autorizatia finala a prestatorului de servicii de plata. De asemenea, operatiunile suspecte sau cu risc ridicat trebuie sa faca obiectul unei examinari specifice si al unei proceduri de evaluare. Trebuie sa existe, de asemenea, mecanisme echivalente de monitorizare a securitatii si de autorizare pentru emiterea de e-mandate.

Protectia datelor de plata sensibile. Ghidul prevede, in mod clar, ca datele de plata sensibile trebuie sa fie protejate atunci cand acestea sunt stocate, procesate sau transmise. In cazul in care e-comerciantii proceseaza date de plata sensibile, acesti prestatori de servicii de plata trebuie sa le solicite prin contract ecomerciantilor sa dispuna de masurile necesare pentru a proteja aceste date. In acest scop, potrivit bunelor practici, este de dorit ca e-comerciantii care proceseaza date de plata sensibile sa isi instruiasca in mod corespunzator personalul de gestionare a fraudelor si sa actualizeze aceasta instruire, in mod regulat, pentru a se asigura ca instruirea ramane relevanta pentru un mediu de securitate dinamic.

2. Ghidul cu privire la constientizarea din partea clientului, instruirea si comunicarea cu clientii

Instruirea clientului si comunicarea cu clientii. Prestatorii de servicii de plata trebuie sa ofere asistenta si indrumare clientilor, dupa caz, in ceea ce priveste utilizarea securizata a serviciilor de plata pe internet. Cel putin un canal securizat pentru comunicarea continua cu clientii in ceea ce priveste utilizarea corecta si sigura a serviciului de plata pe internet ar trebui sa fie disponibil. De asemenea, potrivit bunelor practici este de dorit ca prestatorii de servicii de plata prin acceptarea cardurilor sa organizeze programe de instruire referitoare la prevenirea fraudei pentru ecomerciantii lor.

Notificari, stabilirea de limite. Inainte de a-i oferi unui client serviciile de plata pe internet, prestatorii de servicii de plata trebuie sa stabileasca limite aplicabile acestor servicii (de exemplu, o suma maxima pentru fiecare plata individuala sau o suma cumulata pe o anumita perioada de timp) si trebuie sa isi informeze clientii in consecinta. Prestatorii de servicii de plata trebuie sa le permita clientilor sa dezactiveze functionalitatea de plata pe internet.

Accesul clientilor la informatii despre starea de initiere si executie a platii. Prestatorii de servicii de plata trebuie sa le confirme clientilor initierea platii si sa le ofere clientilor in timp util informatiile necesare pentru a verifica daca o operatiune de plata a fost initiata si/sau executata in mod corect. Extrasele electronice detaliate trebuie sa fie puse la dispozitie prin intermediul unui mediu sigur si de incredere. Canalele alternative, cum ar fi SMS, e-mail sau scrisoare nu sunt considerate un mediu sigur si de incredere si prin urmare, datele de plata sensibile nu trebuie sa fie incluse in astfel de comunicari sau, in cazul in care sunt incluse, acestea trebuie sa fie mascate.

Implementare. Autoritatea competenta romana trebuie sa notifice ABE daca se conformeaza sau intentioneaza sa se conformeze cu prezentul ghid sau sa comunice motivele neconformarii pana la 5 mai 2015. In absenta unei notificari pana la acest termen, ABE va considera ca autoritatea competenta nu respecta cerintele continute de Ghid.

Autori:

Andrei Burz-Pinzaru

Avocat – Reff & Asociatii SCA

+40 21 207 52 05

Irina Albusel

Avocat – Reff & Asociatii SCA

+40 21 207 54 26