Audyt PSD2 w Banku Spółdzielczym – przegląd nowych wymagań i zmian

Dyrektywa PSD2 stanowi niewątpliwie wyzwanie dla Banków Spółdzielczych jednym z podstawowych założeń regulacji jest umożliwienie dostępu do rachunku bankowego podmiotom zewnętrznych tzw. TPP (Third Party Providers). Działanie to według regulatora ma prowadzić do zwiększenia konkurencyjności na rynku. W tym artykule opiszemy najważniejsze aspekty wprowadzonych zmian i postaramy się przekazać własne wskazówki dla prawidłowego wdrożenia PSD2 tj. wewnętrzny Audyt PSD2 w Bankach Spółdzielczych. Pominiemy w tym tekście aspekty biznesowe korzystania z różnych usług finansowych przez banki w roli procesora jak i inicjatora.

Silne uwierzytelnienie "SCA"

Mechanizm ten ma służyć zapobieganiu, wykrywaniu i blokowaniu nieuprawnionych płatności przed ostateczną ich autoryzacją. Silne uwierzytelnienie dosłownie oznacza niezależne uwierzytelnienie, które ma zostać oparte o dwa różne elementy z kategorii:

  • Wiedza (coś, o czym wie wyłącznie użytkownik)
  • Posiadanie (coś, co posiada wyłącznie użytkownik)
  • Cechy klienta (coś, czym jest użytkownik) – zwykle czynnik biometryczny

Bank powinien wymagań stosowania silnego uwierzytelnienia klienta, co najmniej przy dokonywaniu przez użytkownika następujących czynności:

  • Uzyskiwanie dostępu do rachunku płatniczego online (np. przez kanały bankowości internetowej lub mobilnej)
  • Inicjowanie elektronicznej transakcji płatniczej
  • Przeprowadzeniu za pomocą kanału zdalnego czynności, która może wiązać się z ryzykiem oszustwa płatniczego lub innego nadużyć – wymaganie badania każdej z transakcji zabezpieczenie operacji w sposób silny (wymóg ogólny)

Wskazówki dla Banku:

  • Dokonaj przeglądu stosowanych form uwierzytelnienia dla klientów fizycznych jak i korporacyjnych, mamy nadzieje że wycofałeś karty kodów jednorazowych, a token programowy nie został zainstalowany na tym samym komputerze z którego klient dokonuje przelewów.
  • Przeanalizuj system bankowości elektronicznej pod kątem jego możliwości wykrywania i zapobiegania nieuprawnionym płatnością.
  • Zaktualizuj procedury w zakresie dostępnych metod autoryzacji i powiadom o tym dział obsługi klienta.

Ryzyko operacyjne i postępowanie z incydentami

Dyrektywa PSD2 nakłada dodatkowe dotyczące monitorowania oszustw dla zdalnych płatności elektronicznych realizowanych w oparciu o kartę oraz zdalnych elektronicznych poleceń przelewów. Oszustwa mają być nie tylko monitorowane ale również obliczane i porównywane z przyjętymi referencyjnymi wskaźnikami oszustw. Oprócz tego wystąpienie oszustwa jest obarczone obowiązkiem zgłoszenia incydentu organom wewnętrznym i zewnętrznym w tym powiadamiania KNF o poważnych incydentach.

Wskazówki dla Banku:

  • Dokonaj przeglądu i aktualizacji regulacji w zakresie ryzyka operacyjnego i zarządzania incydentami bezpieczeństwa pod kątem ich klasyfikacji, przekazywania informacji w Systemie Informacji Zarządczej oraz gotowości do raportowania poważnych incydentów do KNF.
  • Przeanalizuj rozwiązania i procedury w zakresie ciągłości działania uwzględniając poważne zdarzenia w komunikacji z podmiotami zewnętrznymi oraz bankowości elektronicznej.
  • Może czas również aby poddać przeglądowi i aktualizować procedury i środki bezpieczeństwa IT w Banku od czasu wejścia w życie Rekomendacji D upłynęły 4 lata.

Chcesz przeprowadzić audyt sprawdzający wdrożenie PSD2? Skontaktuj się z Elit Partner:

 Kontakt
Udostępnij Treść
Inne Artykuły

Diagnoza cyberbezpieczeństwa JST

DODO a RODO

Ochrona sygnalistów w Urzędzie

Kontrola Komisji Rewizyjnej a RODO

Spółdzielnie Mieszkaniowe RODO

Straż Miejska a RODO i DODO

BIP a RODO

RODO a praca radnych – darmowy poradnik