Révision de la Directive sur les Services de Paiement … O N S E I L E N P A I E M E N T S E T S E...
-
Upload
truongliem -
Category
Documents
-
view
216 -
download
1
Transcript of Révision de la Directive sur les Services de Paiement … O N S E I L E N P A I E M E N T S E T S E...
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
Révision de la Directive sur les Services de Paiement (DSP2)
CONSULTING – ORGANISATION64 rue des Mathurins – 75008 Paris – Tél : 01 44 71 90 04 – Fax : 01 44 71 01 03 – E-mail : [email protected]'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000€ - RCS PARIS B 389 663 832 – SIRET 389 663 832 00027
Septembre 2016
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
A RETENIR
2
Réaffirmation du principe de recours à l’Authentification Forte, reposant sur l’authentification à double facteurs
Définition des exemptions à l’Authentification Forte
Accès au compte sous condition Paiement sans contact exonéré (50€/transaction et 150€ cumulés)
Protection de la confidentialité et de l’intégrité des PSC de l’utilisateur
Approche basée sur édiction de principes Détaillée dans les Guidelines : Security Measures
Communication entre les différents PSP (TPP et Banques gestionnaires de comptes) :
Pas de définition ni d’imposition de standards techniques et réglementaires spécifiques par l’EBA
Obligation pour les banques d’avoir une interface dédiée sécurisée (autre ou banque en ligne) avec le même niveau de services, fonctionnalités et accessibilité
Développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes
Emission des certificats par un tiers de confiance qualifié retenue pour l’authentification des TPP pour accéder aux informations des utilisateurs de services de paiement
Calendrier :
Une transposition pour janvier 2018
Une entrée en vigueur des standards au plus tard en septembre 2018.
JANVIER 2016Entrée en vigueur
DSP
AOÛT – OCTOBRE 2016Consultation publique
JANVIER 2017Projet de RTS sur AF et
communications sécurisées
JANVIER 2018Fin du délai de
Transposition DSP 2
SEPTEMBRE 2018Entrée en vigueur du RTS
sur l’AF et communications sécurisées
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
CHAMP D’APPLICATION DE LA DSP 2
3
DSP 2
COMPLÉMENTS
Introduction de nouveaux acteurs :
DSP 2 encadre, régule et fait entrer dans son champ d’application 2 activités existantes qui n’étaient pas précédemment régulées :
Agrégation de comptes et Initialisation de paiement
Comment ? Création de 2 nouveaux statuts :
DSP 1
Réaffirmation des principes du recours à l’AF* pour les transactions à distance et cadrage des règles d’exemption
Sécurité des données
Authentification des utilisateurs de données
Interfaces d’accès aux comptes de paiement et échanges entre PSP
Responsabilité en cas de fraude
1 2
4
* Authentification Forte
Élargissement du champs d’application aux transactions n’impliquant qu’un seul PSP situé dans l’UE (il suffit d’un seul.)
3
PISP
Payment Initiation Service Providers
Initiation de paiement par accès direct au compte du client via la banque en ligne
AISP
Account Information Service Providers
Agrégation de compte par accès direct au compte des clients via la banque en ligne
Procédure d’agrément EP spécifique
Elargissement du droit des EP Emetteurs d’instruments de paiement :
Autorisation à interroger la Banque gestionnaire du compte pour connaitre la disponibilité des fonds mise en cohérence avec les nouveaux statuts d’acteurs
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S 4
CONCRÈTEMENT COMMENT CELA SE TRADUIT?
DSP 2
COMPLÉMENTSDSP 1
1
2
Introduction de nouveaux acteurs
Élargissement des droits des EP
3
4
Élargissement du champs d’application
Réaffirmation de l’AF*
MANDAT POUR ÉDITER LES STANDARDS TECHNIQUES RENFORCEMENT RÔLE DE L’EBA
Surveiller les activités financières existantes et nouvelles
Harmoniser les règles prudentielles
Assurer la coordination entre les autorités de supervision nationales
Elaborer les projets de normes techniques de règlementation, de nomes d’exécution et d’orientation et recommandation (RTS)
Arbitrer en cas de conflits d’interprétation entre les autorités de tutelles nationales
Centraliser les reporting relatifs à la gestion des risques et statistiques fraudes
Gérer le registre central électronique relatif aux PSP agréés au sein de l’EEE.
Guidelines RTS
Soumis à la CE
Force de loi
Comply or Explain
Force d’application
Passeporting notification & supervision
Central Contact Point
Co
ord
inat
ion
su
per
visi
on
RTS/ITS on EBA Register
Reg
istr
e
Authentification forte et communication sécurisée
Sécu
rité
PI Insurance for PSPs
Compliants Procedures
Autorisation des EP
Reporting/notification des incidents
Mesures sécuritairesSécu
rité
P
rote
ctio
n d
u
Co
nso
mm
ateu
r A
uto
risa
tio
n* Authentification Forte
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
POINT 1: EXIGENCES DE L’AUTHENTIFICATION FORTE
5
Champ d’application de l’AF*
Applicable au payeur et requise dans les cas suivants :
Accès à son compte de paiement en ligne
Initialisation d’une opération de paiement en ligne
Réalisation/exécution de toute action à distance (tout support) impliquant un risque de fraude.
Moyens de paiement concernés
Virements
Prélèvements (avec mandat électronique)
Paiement électronique
Paiement par carte
AU MOINS 2 FACTEURS DES 3 FACTEURS
Ce que l’on sait (connaissance)
Ce que l’on est (inhérence)
Ce que l’on possède (possession)
Indépendance des éléments
Protéger la confidentialité des données
RAPPEL : AUTHENTIFICATION FORTE
*Authentification Forte
Réaffirmation des principes de l’AF* basée sur une authentification à double facteur
Pas de définition plus poussée par l’EBA
Les données comportementales ne peuvent pas être considérées comme un élément d’authentification forte (inhérence)
Réaffirmation du principe d’utilisation prioritaire des credentials de la Banque gestionnaire du compte
Ainsi le modèle de référence proposé par l’EBA repose sur les credentials de la Banque, teneuse de comptes.
Reconnaissance du principe de neutralité dans le modèle décrit par l’EBA en terme de business models et de technologies
Les PSP doivent assurer la confidentialité et l’intégrité des credentials de la banque gestionnaire du compte ainsi que de tous les moyens d’authentification (devices et software)
L’authentification est à double facteur avec génération d’un code à usage unique
Dans le cadre d’un paiement, ce code doit être lié au montant et bénéficiaire de la transaction (« Dynamic linking »)
Cela n’exonère pas les acteurs de mettre en place en amont des dispositifs de prévention, détection et de blocage des transactions de paiement frauduleuses.
Possibilité à terme d’utiliser les services de types cartes d’identité électroniques émises par l’état comme des éléments d ’authentification
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
POINT 2 : EXEMPTIONS
6*AF= Authentification Forte
Précisions sur les conditions d’exemption pour lesquelles le recours à l’Af* n’est pas appliqué
Non application des exemptions uniquement au choix de la Banque gestionnaire de comptes
Responsabilité de l’authentification
Décision d’appliquer ou non l’exemption.
Dans le cadre de services exclusivement de consultation (AISP), l’exemption à l’utilisation de l’AF* ne s’appliquera que si les 2 conditions suivantes sont réunies :
Le service de consultation est limité à des informations de paiement non sensibles
Il ne s’agit pas de la 1ère connexion au service et cette connexion est réalisée dans le délai d’un mois après la dernière connexion authentifiée.
Définition des données de paiement sensibles : « données incluant les crédentials qui peuvent être utilisées pour commettre des transactions frauduleuses »
Le nom et le numéro de compte ne sont pas considéré comme des données de paiement sensibles dans le cadre d’initialisation de paiement et d’agrégation de comptes.
Sont exemptées les transactions sans contact au point de vente dans la limite de 50 € par opération et de 150 € cumulés
Réaffirmation du principe que les moteurs d’analyses des transactions ne constituent pas des réponses/alternatives à l’AF*
Dérogations /exemptions
Basées sur les critères suivants :
Niveau de risque lié au service fourni
Montant et / ou fréquence de l’opération
Canal utilisé pour exécuter l’opération
Liste d’exemptions applicables dans la version finale des RTS
Services de consultation des données de paiement non sensibles (sauf 1ère connexion et 1 fois par mois)
Paiement sans contact POS : 50€/opération et 150€cumulés
Virement vers une liste de bénéficiaires de confiance
Virement de compte à compte d’un même PSU ouvert auprès d’un même PSP
Paiement électronique à distance : les opérations de <10€ en montant unitaire et 100€ en montant cumulés
Pas d’exemption prévue par l’EBA à l’obligation de protection, des données de sécurité personnalisées
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
POINT 3 : PROTECTION DE LA CONFIDENTIALITÉ ET DE L’INTÉGRITÉ DES PSC DE L’UTILISATEUR
7*AF= Authentification Forte
Obligation d’informer les utilisateurs qu’il y a un risque de confier ses credentials
Approche basée sur l’édiction de principes demandant aux PSP de mettre en place des dispositifs /mesures visant à protéger la création, l’association avec les utilisateurs de services de paiement, la livraison et la destruction des credentials, tout en garantissant :
La confidentialité et l’intégrité des credentials
Et leur livraison ou leur possession auprès des utilisateurs de services de paiement.
Cf. Guidelines « Security Measures »
PSC
Personalised Security Credentials :
Éléments personnalisés de sécurité permettantl’authentification d’un utilisateur par les PSP.
Ceux de référence dans les RTS sont ceux fournis par laBanque gestionnaire du compte.
Si le TPP décide de s’appuyer sur ces proprescrédentials alors il devra contractualiser avec labanque gestionnaire du compte (hors DSP 2).
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
POINT 4 : STANDARDS ET PROTOCOLES DE COMMUNICATION ENTRE ACTEURS
8*AF= Authentification Forte
Pas de définition ni d’imposition de standards techniques et réglementaires spécifiques par l’EBA.
Mais définition d’un certain nombre d’obligations :
Fourniture par toute banque d’au moins une interface sécurisée dédiée aux AISP et PISP qui doit être toujours accessible, avec un même niveau de fonctionnalités et de services, etun support technique suffisant, que l’interface de banque en ligne proposée à ses clients par la banque gestionnaire de compte.
L’interface de communication doit s’appuyer sur les procédures d’authentification définies au préalable.
Elle doit être développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes. (recommandationde l’utilisation des éléments de la norme ISO 20022.
Les standards de communication sur Internet génériques tels que HTPP, HTPPS, TLS et SSL ont été « rejeté » par l’EBA.
Dans le cadre de l’agrégation de compte, l’AISP a le droit d’accéder au compte à chaque demande réalisée par le client et pas plus de deux fois par jour sans demande express du client.
Modalités d’authentification pour les TPP pour accéder aux informations des utilisateurs de services de paiement :
Consensus autour de l’utilisation de certificats
Option préférentielle retenue lors de groupes de travail : Emission des certificats par un tiers de confiance qualifié.
Assurance par les PSP que leur sous-traitants appliquent/respectent les RTS.
C O N S E I L E N P A I E M E N T S
E T S E R V I C E S F I N A N C I E R S
ADN’co64 rue des Mathurins – 75008 Paris Tél : 01 44 71 90 04 – Fax : 01 44 71 01 03 - E-mail : [email protected]
ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000€ - RCS PARIS B 389 663 832 – SIRET 389 663 832 00027