Jesteś tutaj:
Majątek i pieniądze
14.07.2022 - Autor zewnętrzny
Kliknij, aby ocenić:
 
5/6

Czy usługa dostępu do informacji zgromadzonych na rachunku bankowym (AIS) jest bezpieczna

Dyrektywa PSD2 wprowadziła tzw. otwartą bankowośći umożliwiła wdrożenie wielu innowacyjnych rozwiązań w zakresie usług płatniczych i bankowych. Nowe przepisy, otworzyły jednocześnie dostęp do danych, które wcześniej były zarezerwowane wyłącznie dla banków, podmiotom trzecim (TPP), tzn. fintechom, serwisom płatniczym, innym bankom.

Wobec wprowadzonych zmian istotna stała się kwestia bezpieczeństwa analizowanych, przetwarzanych i udostępnianych danych.
Jedną z usług, które wprowadziła otwarta bankowość( o tym czym jest Open banking pisaliśmy tutaj) jest AIS, czyli usługa dostępu do informacji z rachunku bankowego. Polega ona na tym, że zewnętrzny dostawca za zgodą i na zlecenie użytkownika loguje się do systemu bankowości elektronicznej, uzyskuje dostęp do informacji o rachunku lub rachunkach płatniczych klienta, które dostępne są on-line. Dane w postaci np. salda rachunków, transakcji płatniczych, wydatków, opłat, przychodów może następnie udostępnić w jednym miejscu. Dane z rachunku bankowego mogą być również poddawane analizie, przetworzeniu, agregacji, a wnioski z przeprowadzonego badania podmiot uprawiony może następnie przekazać np. wynajmującemu mieszkanie, ubezpieczycielowi, czy innemu podmiotowi, którego działalność wiąże się z weryfikacją klienta. Szerzej o usłudze AIS pisaliśmy w artykule” Zalety zastosowania usługi AIS w biznesie i dla konsumenta”

 


Wspomniana wyżej dyrektywa doprowadziła do tego, że banki muszą udostępniać dane klientów poprzez dedykowany interfejs API, co ma pozwolić na ich integrację z różnymi systemami innych podmiotów.
 

Na czym polega bezpieczeństwo usługi AIS?
 

1.    Skorzystanie z usługi AIS przez klienta możliwe jest tylko w przypadku, gdy klient złoży stosowne zlecenie i wyrazi w sposób świadomy i niebudzący wątpliwościwolę skorzystania z usługi na dostęp przez podmiot zewnętrzny do jego rachunku bankowego. Zgoda dotyczy uzyskania przez TPP dostępu do rachunku bankowego klienta i bez niej żaden uprawniony podmiot nie będzie miał wglądu do rachunku czy rachunków płatniczych klienta. Tylko jeśli wyrazimy odpowiednie zgody, informacje zgromadzone na rachunku bankowym będą mogły być przekazane innemu podmiotowi.
 

Informacje o rachunku bankowym, które zostaną uzyskane przez zewnętrznego dostawcę na podstawie zgody klienta nie mogą być:
•    uzyskiwane, używane ani przechowywane przez niego do innych celów niż wykonanie usługi AIS
•    TPP nie może również żądać żadnych szczególnie chronionych danych dotyczących płatności powiązanych z tym rachunkiem klienta.
 

2.    Usługa AIS może być świadczona wyłącznie przez podmioty, które muszą wcześniej uzyskać zgodę i odpowiedni wpis do rejestru Komisji Nadzoru Finansowego, która jest organem nadzorczym. Podmiot trzeci (TPP) który zamierza świadczyć taką usługę musi wraz z wnioskiem do KNF o wpis do rejestru lub wydanie stosownego zezwolenia przekazać szczegółowe informacje dotyczące bezpieczeństwa tej usługi, m.in. na temat systemu zarządzania ryzykiem, procedur dotyczących dokumentowania i monitorowania szczególnie chronionych danych oraz ograniczenia dostępu do tych danych, przyjętej strategii w zakresie bezpieczeństwa, oceną ryzyka w odniesieniu do świadczonej usługi oraz środków kontroli bezpieczeństwa i ograniczania ryzyka podjętych w celu odpowiedniej ochrony klientów przed zidentyfikowanym ryzykiem, w tym oszustwami i nielegalnym wykorzystywaniem szczególnie chronionych danych i danych osobowych. 
 

3.    TPP, czyli podmiot zewnętrzny, który może świadczyć usługę AIS powinien zadeklarować zgodność świadczenia usług z przepisami dotyczącymi ochrony danych osobowych wynikających z unijnego rozporządzenia RODO w odniesieniu do udzielania zgód na gromadzenie i przetwarzanie danych osobowych klienta. Nadzór nad poprawnością gromadzenia i przetwarzania danych osobowych sprawuje Prezes Urzędu Ochrony Danych Osobowych.
 

4.    TPP mogą korzystać z danych zawartych na rachunkach bankowych klientów (wyłącznie on-line) udostępnianych im przez banki za pośrednictwem interfejsu API (Polish API)– to specjalny interfejs dostępowy, udostępniany przez bank uprawnionym podmiotom trzecim. To dedykowane API eliminuje możliwość ujawnienia danych dostępowych klienta do systemu bankowości elektronicznej. Pozostają one znane wyłącznie klientowi i bankowi.

 

Z takiego API korzysta m.in. system firmy TryPay S.A, właściciela portalu OpiniaBankowa.pl, umożliwiającego wygenerowanie Certyfikatu Wiarygodności Płatniczej. W przeciwieństwie do wielu firm konkurencyjnych, system Trypay, który obsługuje OpiniaBankowa.pl nie wchodzi wposiadanie danych do logowania, a jedynie korzystając ze współpracy z bankami, z którymi połączył się poprzez PolishAPI pozyskuje dane przekazane przez bank, na udostępnienie których klient wcześniej wyraził zgodę. Trypay posiada kwalifikowane certyfikaty wystawione przez Krajową Izbę Rozliczeniową a cała komunikacja z bankiem jest szyfrowana, podobnie jak serwery Trypay, nie ma więc możliwości dostępu do analizowanych danych przez osoby trzecie. Pozyskiwane, przetwarzane i przekazywane użytkownikowi dane są szyfrowane sprzętowo, stąd brak jest możliwości dostępu do nich przez inne osoby. Wszystkie zastosowane rozwiązania sprawiają, że Klient korzystając z OpiniaBankowa.pl otrzymuje w bezpieczny sposób Certyfikat Płynności Finansowej, który może wykorzystać do uzyskania produktu lub usługi, jak również spersonalizowanej oferty na korzystniejszych warunkach.



5.    Rozwiązania technologiczne, które używane są do świadczenia usługi AIS muszą gwarantować, aby dane klienta - indywidualne dane uwierzytelniające, nie były dostępne dla podmiotów innych niż użytkownik i dostawca prowadzący rachunek były przekazywane za pośrednictwem bezpiecznych, zaszyfrowanych i wydajnych kanałów,Ma to na celu ograniczenie ryzyka oszustwa lub ujawnienia danych wrażliwych. Podmioty trzecie komunikując się z bankiem w celu wykonania usługi AIS muszą zidentyfikować się stosownym kwalifikowanym certyfikatem elektronicznym, co tylko upewnia bank, że usługa świadczona jest przez uprawniony do jej świadczenia podmiot.


Szereg zastosowanych rozwiązań, które wymagane są przez obecnie obowiązujące przepisy prawa, ma na celu zapewnienie bezpieczeństwa korzystania z usług otwartej bankowości, w tym usługi AIS. Stosowane rozwiązania są cały czas udoskonalane i dopracowywane. Fintechy, operatorzy płatności, banki współpracują ze sobą na wielu płaszczyznach, aby zapewnić gwarancje bezpieczeństwa oferowanych usług.  
Wszystkie wyżej opisane wymagania spełnia m.in. firma TryPay S.A., która dostarcza rozwiązania technologiczne dla portalu OpiniaBankowa.pl pośrednicząc w świadczeniu usługi AIS. Warto wspomnieć, że portal OpiniaBankowa.pl umożliwia wygenerowanie Certyfikatu Wiarygodności Płatniczej, który znaleźć zastosowanie może w branży nieruchomości, najmu samochodów czy innych opartych na weryfikacji klientów. Jednocześnie każdy konsument może samodzielnie skorzystać z generatora certyfikatu oferowanego przez OpiniaBankowa.pl, aby sprawdzić na co go stać i podejmować świadome decyzje finansowe.


 



 


 

 

Autor/Źródło: Autor zewnętrzny



Wasze komentarze
Nasi partnerzy
  • InTENSO - outsourcing IT, leasing pracowniczy
  • Jakość obsługi
  • Biuro Informatyki Stosowanej FORMAT
  • Competitive Skills - Szkolenia biznesowe, rekrutacja i headhunting, doradztwo
  • Kaspersky
  • elsa
  • CBIT.pl
  • Enterprise-Gamification
  • Lazarski
  • Secret Client - tajemniczy klient, tajny klient, mystery shopping
  • Atlassian
Zobacz także
  • Kanały RSS
  • Facebook
® 2008 - 2022 SerwisPrawa.pl sp. z o.o. Korzystanie z portalu oznacza akceptacją regulaminu.