Čo je PSD2?
Dňom 13. januára 2018 nadobudol účinnosť zákon č. 281/2017 Z.z., ktorým sa mení a dopĺňa zákon č. 429/2009 Z.z. o platobných službách, v ktorom bola transponovaná smernica Európskeho parlamentu a Rady (EÚ) 2015/2366 z 25. novembra 2015 o platobných službách na vnútornom trhu (Payment Services Directive 2 alebo aj „PSD2“).
Ktoré sú najdôležitejšie zmeny?
Prístup tretích strán
Novela zákona o platobných službách rozširuje okruh poskytovateľov platobných služieb o nové subjekty, tzv. tretie strany (Third Party Payment Service Providers – TPP), ktoré môžu poskytovať nové online platobné služby v prostredí internetu: platobnú iniciačnú službu (Payment Initiation Services alebo aj „PIS“) a službu informovania o platobnom účte (Account Information Services alebo aj „AIS“), a poskytovanie informácie o dostupnosti peňažných prostriedkov na platobnom účte klienta (Payment Instrument Issuer Service aj „PIIS“).
Tretia strana ako poskytovateľ platobných služieb poskytuje nové platobné služby na základe povolenia národnej autority za podmienok stanovených zákonom o platobných službách v podmienkach Slovenskej republiky na základe povolenia Národnej banky Slovenska. Prístup k platobnému účtu banky, ktorá vedie platobný účet, bude umožnený len so súhlasom majiteľa tohto platobného účtu, ktorý udelí tretej strane.
Platobnou iniciačnou službou sa rozumie online iniciovanie platobného príkazu na pokyn platiteľa vo vzťahu k platobnému účtu, ktorý je prístupný online prostredníctvom internet bankingu a je vedený u iného poskytovateľa platobných služieb. To znamená, že platiteľ môže prostredníctvom tretej strany zadať platobný príkaz z účtu vedeného v inej banke a autorizuje ho (udelí súhlas na jeho vykonanie) prostredníctvom bezpečnostných prvkov vydaných bankou, ktorá vedie účet tohto klienta.
Službou informovania o platobnom účte sa rozumie online služba zabezpečovaná prostredníctvom internetu alebo iného elektronického distribučného kanála, spočívajúca v poskytovaní konsolidovaných informácií o jednom alebo viacerých platobných účtoch, ktoré sú prístupné online prostredníctvom internetu, a ktoré má používateľ platobných služieb vedené u iného alebo u viacerých poskytovateľov platobných služieb. To znamená, že klient môže prostredníctvom tretej strany, ktorej udelil súhlas, získať informáciu o zostatku na platobnom účte alebo na účtoch vedenom alebo vedených v inej banke a tiež históriu transakcií.
Poskytovanie informácie o dostupnosti peňažných prostriedkov na účte klienta umožňuje vydavateľovi platobných prostriedkov viazaných na platobnú kartu (tretej strane) na základe súhlasu klienta udeleného priamo banke, ktorá vedie platobný účet, získať informáciu, či sú na platobnom účte klienta dostupné peňažné prostriedky na vykonanie platobnej operácie.
API (Application Programming Interface) je komunikačné rozhranie, ktoré umožní tretím stranám bezpečne komunikovať s bankou. Cez API banka sprístupní tretím stranám platobné účty za účelom poskytovania nových platobných služieb.
Čo sú RTS?
Regulačné technické predpisy (delegované nariadenie Komisie 20184/389 alebo „Regulatory Technical Standards“ alebo aj „RTS“) upravuje podrobné technické a bezpečnostné podmienky, podľa ktorých môžu byť vykonávané platobné služby, ako napr. princíp silnej autentifikácie klienta (Strong Customer Authentication alebo aj „SCA“), bezpečná komunikácia medzi tretími stranami a bankou cez API.
RTS budú účinné od 14. septembra 2019. Do času účinnosti RTS hovoríme o tzv. prechodnom období, ktoré sa riadi v rámci ustanovení zákona o platobných službách.
PSD2 a RTS prinášajú novú terminológiu a pravidlá pri platbách v rámci Európskeho hospodárskeho priestoru.
Čo je silná autentifikácia používateľa?
PDS2 vyžaduje silnú autentifikáciu používateľa pre prístup k platobnému účtu online cez elektronické bankovníctvo pri vykonávaní platobného príkazu v elektronickej forme cez elektronické bankovníctvo alebo platobnou kartou v prostredí internetu a pri vykonávaní akejkoľvek činnosti v elektronickom bankovníctve.
Autentifikáciou sa rozumie postup, ktorý umožňuje poskytovateľovi platobných služieb (banke) overiť totožnosť používateľa platobných služieb alebo oprávnenosť použitia konkrétneho platobného prostriedku, vrátane použitia personalizovaných bezpečnostných prvkov používateľa platobných služieb.
Silná autentifikácia používateľa je autentifikácia na základe použitia dvoch alebo viacerých prvkov, ktorými sú vedomosť, vlastníctvo a charakteristické znaky používateľa platobných služieb, pričom vedomosťou je to čo, vie len samotný používateľ platobných služieb (napr. heslo), vlastníctvom je to, čo vlastní alebo drží len používateľ platobných služieb (napr. SMS kód je vlastníctvom mobilného telefónu) a charakteristické znaky používateľa platobných služieb slúžia na špecifikáciu (napr. fyzická biometria). Tieto prvky sú od seba nezávislé a vytvorené takým spôsobom, že narušenie jedného prvku nenaruší spoľahlivosť ostatných prvkov a ani dôvernosť autentifikačných údajov.
Ukončenie používania GRID karty v Internet bankigu Privatbanky
Nový spôsob autentifikácie používateľa s pasívnym prístupom do Internet bankingu.
Ako sa znižuje zodpovednosť platiteľa za neautorizované platby?
PDS2 znižuje zodpovednosť platiteľa zo 100 € na 50 € pri všetkých neautorizovaných platbách spôsobených použitím strateného alebo odcudzeného platobného prostriedku alebo jeho zneužitím neoprávnenou osobou v dôsledku nedbanlivosti platiteľa pri zabezpečení personalizovaných bezpečnostných prvkov.
Ako sa mení lehota na vykonanie reklamácie?
Podľa PDS2 o reklamácii používateľov platobných služieb rozhodne poskytovateľ platobných služieb (banka) najneskôr do 15 pracovných dní od doručenia reklamácie. V odôvodnených prípadoch, ak lehotu 15 dní nie je možné dodržať, je poskytovateľ platobných služieb (banka) povinný poskytnúť predbežnú odpoveď na reklamáciu a termín na doručenie konečnej odpovede nesmie presiahnuť 35 pracovných dní.
Kedy býva technická údržba systému?
Technická údržba vyhradeného rozhrania a elektronického bankovníctva prebieha v pracovných dňoch medzi 23:00 a 04:00 hod. V prípade potreby dlhšieho časového obdobia pre vykonávanie údržby je údržba realizovaná počas dní pracovného voľna alebo dní pracovného pokoja bez časových obmedzení. Presný termín vykonávania údržby vyhradeného rozhrania a elektronického bankovníctva nájdete na adrese https://ibank.privatbanka.sk.
Požiadavky na ďalšie informácie k implementácii smernice PSD2 smerujte na e-mailovú adresu privatbanka@privatbanka.sk.
Zverejňovanie štvrťročných štatistík:
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2024
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 1. kvartál 2024
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2023
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2023
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2023
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 1. kvartál 2023
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 4. kvartál 2022
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 3. kvartál 2022
Štvrťročná štatistika o dostupnosti a výkonnosti vyhradeného API rozhrania - 2. kvartál 2022
Informácie pre vývojárov
Vyhradené rozhranie API PSD2 je implementované podľa slovenského národného štandardu (SBAS). Pre autorizáciu požiadaviek je použitý autentizačný protokol OAuth 2.0, pre komunikačné rozhranie API sa používa transportný protokol REST (Representational State Transfer).
Pre formát zápisu dát požiadavky aj odpovede cez API je použitý JSON (JavaScript Object Notation) – výnimkou je formát dát pre požiadavku typu inicializácia platby, v ktorom je použitý formát XML.
Komunikácia medzi aplikáciou tretej strany a bankou je zabezpečená pomocou TLS 1.2 protokolu s minimálne 256-bitovým šifrovaním.
Tretia strana bude svoje požiadavky zasielať na vystavené endpointy. Popis jednotlivých metód, ktoré budú pre tretiu stranu k dispozícii, sú detailnejšie uvedené v priloženom dokumente.
Privatbanka umožňuje prístup pre licencovaných poskytovateľov platobných služieb (tretie strany) poskytujúcich službu informovania o účte (AISP) a nepriame udelenie platobného príkazu (PISP) za podmienky, že sa v banke jednoznačne identifikujú. Všetky potrebné informácie na zabezpečenie prístupu sú uvedené v API dokumentácii a príslušných XSD schémach.
V prípade nedodržania uvedenej postupnosti krokov budeme musieť tretej strane prístup zamietnuť. Akékoľvek nezákonné zneužitie informácií alebo realizovanie platieb z účtov našich klientov inou cestou, ako je špecifikované vo zverejnenej dokumentácii, bude oznámené Národnej banke Slovenska a orgánom činným v trestnom konaní.
Požiadavky na ďalšie informácie k implementácii smernice PSD2 smerujte na e-mailovú adresu privatbanka@privatbanka.sk.
DOKUMENTÁCIA K VYHRADENÉMU ROZHRANIU