Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0
wyzwania_informatyki_bankowej_0
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Nowe środki bezpieczeństwa<br />
Dyrektywa PSD 2 wprowadza pojęcie silnego uwierzytelnianie klienta, które<br />
oznacza uwierzytelnianie w oparciu o zastosowanie co najmniej dwóch<br />
elementów należących do trzech poniższych kategorii (coś wiem, coś mam,<br />
czymś jestem):<br />
• wiedza (coś, o czym wie tylko użytkownik np. hasło czy numer PIN),<br />
• posiadanie (coś, co posiada wyłącznie użytkownik np. spersonalizowane<br />
tokeny),<br />
• cechy klienta (coś, co jest charakterystyczne dla samego użytkownika np.<br />
układ linii papilarnych, a zatem kwestia biometrycznej identyfikacji użytkownika).<br />
Silne uwierzytelnianie ma na celu odpowiednią ochronę poufności danych<br />
uwierzytelniających. W praktyce wiele instytucji finansowych stosuje już ten<br />
rodzaj uwierzytelniania, a Komisja Nadzoru Finansowego w wydanej w listopadzie<br />
2015 r. rekomendacji dotyczącej bezpieczeństwa transakcji płatniczych<br />
wykonywanych w internecie („Rekomendacja KNF”) jednoznacznie<br />
wskazała na potrzebę stosowania przez dostawców usług płatniczych procedury<br />
silnego uwierzytelniania klienta. Niemniej Dyrektywa PSD 2 wyraźnie<br />
przewiduje, że państwa członkowskie w pewnych sytuacjach (np. możliwość<br />
dostępu do rachunku on-line czy uruchomienie elektronicznej transakcji płatniczej)<br />
będą musiały wprowadzić na poziomie prawa powszechnie obowiązującego<br />
nakaz stosowania silnego uwierzytelniania klienta. Standardy techniczne<br />
odnośnie silnego uwierzytelniania klienta zostaną opracowane przez<br />
EUNB, a samo wdrożenie konieczności korzystania z tego środka bezpieczeństwa<br />
jest odroczone i będzie obowiązywało później niż większość przepisów<br />
Dyrektywy PSD 2. Zatem mimo czasowego braku obowiązku stosowania tego<br />
rodzaju uwierzytelniania i tak znajdą zastosowanie bardziej rygorystyczne<br />
zasady odpowiedzialności dostawcy usług płatniczych, które aktualizują się<br />
w razie braku stosowania silnego uwierzytelniania klienta.<br />
Transpozycja<br />
Implementacja Dyrektywy PSD 2 przez państwa członkowskie, co do zasady,<br />
musi nastąpić najpóźniej 13 stycznia 2018 r, z wyjątkiem nowych środków bezpieczeństwa<br />
(m.in. silnego uwierzytelniania klienta oraz standardów komu-<br />
206 Maciej Gawroński, Sławomir Szepietowski, Adam Łukaszewski, Bird & Bird