Iedereen weet waar enz. a.u.b. en t.a.v. voor staan. Voor het geval u dat niet weet, staan ze voor enzovoort, alstublieft en ter attentie van.
Nog een andere afkorting, de PSD2, is de tweede aflevering van een reeds bestaande richtlijn voor betaaldiensten uit 2007 (in het Engels, Payment Service Directive 2). Met ingang van september 2019 beoogt deze fraude en kwaadwillende activiteiten aan te pakken, de veiligheid voor online transacties te vergroten en meer concurrentie in de betalingssector aan te moedigen door open banking. De PSD2-richtlijn is van toepassing op alle lidstaten van de EU (Europese Unie - eenvoudig!) En vereist van alle financiële instellingen dat zij hun klantinformatie en betalingsnetwerken openstellen voor PSP's (Payment Service Providers) en andere TPP's (Third Party Providers).
Zoals u kunt zien, is er een overvloed aan acroniemen rond open banking en PSD2, waardoor het moeilijk is om uit te zoeken welke gevolgen PSD2 echt heeft voor bedrijven in de financiële sector.
Blijf lezen om meer te weten te komen over deze nieuwste richtlijn die van invloed is op de beveiligingsindustrie in de EU. Voor een snelle en downloadbare lijst van alle afkortingen scrolt u naar de woordenlijst van PSD2 aan het einde van het artikel. Als u relevante termen tegenkomt die we vergeten zijn, plaats deze dan in het commentaar gedeelte en we zullen ze toevoegen.
SCA, CSC en RTS – wat betekent dit?
Nadat de EU de vereisten voor PSD2 had gepubliceerd, werkte de EBA (Europese Bankautoriteit) samen met de Europese Commissie om een reeks RTS (technische reguleringsnormen) te creëren. Deze normen zijn van toepassing op financiële instellingen (bijv. Banken) en PSP's (betalingsdienstaanbieders - snapt u het?) en hebben betrekking op SCA (sterke klant authenticatie) en de CSC (algemene en beveiligde open normen van communicatie) en verduidelijken aan welke specifieke beveiligingsmaatregelen en implementaties die vereist zijn om te voldoen aan PSD2.
Wat houden SCA en CSC in?
SCA geeft aan dat, om een klant online betalingen te laten doen of toegang tot betaalrekeningen te laten krijgen, de identiteit van de klant moet worden geverifieerd met behulp van ten minste twee factoren (dit heeft ook een acroniem - 2FA ook bekend als tweefactor-authenticatie). Tweefactor-authenticatie verwijst naar de combinatie van twee van de volgende: iets wat de klant weet (bijvoorbeeld wachtwoord), iets dat hij heeft (bijvoorbeeld telefoon of token), of iets dat de klant is (bijvoorbeeld biometrische gegevens). De SCA-vereisten zijn een stap vooruit om fraude aan te pakken en online betalingen veiliger te maken.
PSD2 stelt dat financiële instellingen, zoals banken, toegang moeten hebben tot de informatie- en betalingsnetwerken van hun klanten voor PSP's en andere TPP's. Maar natuurlijk is al deze informatie zeer vertrouwelijk, dus het CSC-aspect van de RTS specificeert welke communicatiekanalen kunnen worden gebruikt en vereist dat elke communicatie tussen de verschillende partijen veilig wordt gecodeerd.
De wie is wie van Open Banking
Er zijn veel verschillende partijen betrokken bij open banking, maar dit zijn de belangrijkste spelers:
- ASPSP: Account Service Payment Service Provider (Accountdienst betalingsdienstaanbieder)
Ze bieden en onderhouden de betaalrekening van de klant. In het open bank-ecosysteem publiceren ze op standaarden gebaseerde API's (Applicatieprogrammeringsinterface) om externe providers toegang te geven tot klanttransactiegegevens. Op die manier kunnen ze accountinformatie of betalingsinitiatiediensten bieden. Alleen financiële instellingen (bijvoorbeeld banken) kunnen ASPSP's zijn. - AISP: Account Information Service Provider (Accountinformatie dienstaanbieder)
Ze verzamelen online informatie van meerdere betaalrekeningen. Een klant kan bijvoorbeeld alle financiële informatie van meerdere banken op één plek zien. - PISP: Payment Initiation Service Provider (Aanbieder van betalingsinitiatieven)
Ze kunnen namens de persoon rechtstreeks online betalingen van de bank van de persoon initiëren. Een klant die online winkelt, kan de e-retailer bijvoorbeeld toestaan om het betalingsrecht van zijn bank te initiëren, zonder zijn accountgegevens aan de e-retailer te hoeven geven. - CBPII: Card-Based Payment Instrument Issuer (Op kaart gebaseerde uitgever van betaalinstrumenten)
Ze geven betalingsinstrumenten uit, vaak op kaarten gebaseerd, zoals bankpassen of creditcards. - TPP: Third Party Provider (Externe aanbieder)
Ze hebben geen betaalrekening voor hun klanten. In plaats daarvan gebruiken ze de door ASPSP geleverde API's om toegang te krijgen tot deze accounts om accountinformatie of betalingsinitiatiediensten te bieden. TPP's kunnen alleen AISP's en/of PISP's zijn omdat ze geen toegang hebben tot de betaalrekeningen.
Wat zijn NCA's en wat is hun rol?
De NCA's (nationale bevoegde autoriteiten) in heel Europa registreren en autoriseren providers die gekwalificeerd zijn om de vereiste gekwalificeerde certificaten te gebruiken. Omdat het om zeer vertrouwelijke gegevens gaat, is het belangrijk dat alleen erkende financiële instellingen de certificaten krijgen waarmee ze kunnen deelnemen aan open banking. Een QTSP (Gekwalificeerd verlener van vertrouwensdienstenr) controleert het NCA-register voordat QWAC's (Qualified Web Authentication Certificates) of QSealCs (Gekwalificeerd elektronisch zegelcertificaten) worden uitgegeven en gebruikt de door de NCA verstrekte informatie binnen de certificaten zelf.
Hoe past GlobalSign daarin?
GlobalSign is een toonaangevende, wereldwijd erkende QTSP en bevindt zich in de laatste fasen van het accreditatieproces om QWAC's en QSealC's te kunnen uitgeven voor bedrijven in de EU die PSD2-conformiteit wensen te bereiken.
We begrijpen hoe moeilijk het kan zijn om te navigeren door complexe compliance-eisen, vooral met een berg nieuwe acroniemen. Als u een samenvatting van de vele afkortingen nodig hebt, staat hieronder de woordenlijst met een paar extra relevante definities voor een goede maatregel. Als u meer wilt weten over hoe de robuuste portfolio van identiteits- en beveiligingsoplossingen van GlobalSign u kan helpen compliance te bereiken of uw meest waardevolle informatie te beschermen, neem dan vandaag nog contact met ons op.
PSD2 Verklarende Woordenlijst
2FA – Twee-factor authenticatie
AISP – (Account Information Service Provider) Account-informatie Service Provider
AMS – Account Management System
API – (Application Programming Interface) Toepassingsprogrammeringsinterface
ASPSP – (Account Service Payment Service Provider) Accountdienst betalingsdienstaanbieder
CBPII – (Card-based Payment Instrument Issuer) Op kaart gebaseerde uitgever van betaalinstrumenten
CMA – (Competition and Markets Authority) Autoriteit competitie en markten
CSC – (Common and Secure Open Standards of Communication) Gemeenschappelijke en veilige open communicatienormen
EBA – (European Banking Authority) Europese Bankautoriteit
eIDAS – (Electronic IDentification, Authentication and Trust Services) Elektronische identificatie, authenticatie en vertrouwensdiensten
EU – Europese Unie
EUTL – (European Union Trusted Lists) Vertrouwde lijsten van de Europese Unie
GDPR – (General Data Protection Regulation) Algemene verordening databescherming
NCA – (National Competent Authority) Nationale bevoegde autoriteit
PISP – (Payment Initiation Service Provider) aanbieder van betalingsinitiatieven
PSD2 – Payment Services Directive 2, de herziene richtlijn van de betaaldienstrichtlijn
PSP – (Payment Service Providers) Betalingsdienstaanbieders
QSealC – (Qualified Electronic Seal Certificate) gekwalificeerd elektronisch zegelcertificaat
QTSP – (Qualified Trust Service Provider) Gekwalificeerd verlener van vertrouwensdiensten
QWAC – (Qualified Web Authentication Certificates) Gekwalificeerde webauthenticatiecertificaties
RTS – (Regulatory Technical Standards) Technische reguleringsnormen
SCA – (Strong Customer Authentication)Sterke klantauthenticatie
SEPA – (Single Euro Payments Area) Gemeenschappelijke betalingsruimte voor de euro
TPP – (Third Party Providers) Externe providers
XS2A – (Access to Account) Toegang tot account