12.02.2023, 15:05
Количество просмотров 992

Европейский регулятор разъяснил применение требований строгой аутентификации клиентов к цифровым кошелькам

Европейская служба банковского надзора (EBA) 6 февраля 2023 года опубликовала три вопроса и ответа, которые вместе с другими вопросами и ответами, опубликованными EBA ранее, всеобъемлюще разъясняют применение строгой аутентификации клиентов (strong customer authentication, SCA) к цифровым кошелькам в соответствии с пересмотренной второй Директивой о платежных услугах (PSD2).
Европейский регулятор разъяснил применение требований строгой аутентификации клиентов к цифровым кошелькам

В пресс-релизе EBA содержится краткое изложение этих вопросов и ответов. Данный документ направлен на обеспечение единообразия в понимании применимых требований всеми заинтересованными участниками рынка.

Шесть вопросов и ответов разъясняют применение SCA при регистрации платежной карты в цифровом кошельке и инициировании платежных транзакций с использованием цифровой версии платежной карты. Они также разъясняют требования, применимые к передаче поддержки SCA на аутсорсинг провайдерам цифровых кошельков.

Так, например, применяя SCA, поставщик платежных услуг (payment service provider, PSP) удаленно проверяет, что пользователь платежных услуг (payment service user, PSU) является законным пользователем платежной карты, и связывает PSU и цифровую версию платежной карты с соответствующим устройством.

Разъясняется также, что PSP, выпустивший платежную карту (эмитент), должен применять SCA при добавлении платежной карты в цифровой кошелек и несет ответственность за предоставление PSU соответствующих элементов SCA. Эмитент также должен обеспечить наличие надлежащих мер безопасности для защиты конфиденциальности и целостности персональных учетных данных.

Что касается аутсорсинга, то приведенные EBA ответы в целом разъясняют, что эмитенты могут передавать предоставление и проверку элементов SCA третьей стороне (например, посредством заключения с ней договорных соглашений). Такой третьей стороной может выступать провайдер цифрового кошелька. Однако ответственность за соблюдение требований SCA не может быть передана на аутсорсинг, и эмитенты по-прежнему несут полную ответственность за соблюдение требований PSD2 и Регламентирующих технических стандартов (Regulatory Technical Standards, RTS) в отношении SCA&CSC (CSC - Common & Secure Communication).

Наконец, в пресс-релизе EBA разъясняется, что разблокировка мобильного телефона с помощью биометрических данных (например, отпечатка пальца) или ПИН-кода/пароля не может считаться допустимым элементом SCA для добавления платежной карты в цифровой кошелек, если механизм блокировки экрана мобильного устройства не является процессом, находящимся под контролем эмитента. Также уточняется, что для выпуска нового токена, заменяющего ранее существовавший, и привязки его к устройству/пользователю также требуется применение SCA.

Рубрика:
{}Регуляторы
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube