CA Technologies - Adatvédelmi Szabályzás: GDPR, PSD2

2017. január 12-én zajlott a CA Technologies technikai szakértői és a DLA Piper jogi szakemberei szervezésében az új EU GDPR (General Data Protection Regulation), az Általános Adatvédelmi Szabályozás használatára felkészítő workshop.http://www.adatvedelmirendelet.hu/a-rendelet-szovege

A téma időszerű; a vállalatok digitális átalakulása megteremti a lehetőséget rendszereik és az infrastrukturális hálózatok biztonságának megfelelő kialakítására. Az új EU szabályozás jogi kerete túlnyúlik az adatközpontok határán, hatása az adatok megosztásának, és mozgatásának körülményeire is befolyással van.

A rendezvény előadói:

Balogh Gergely, a CA Technologies magyarországi kereskedelmi vezetője

Kozma Zoltán, tanácsadó, Head of Technology, Media & Telecommunication Horváth & Partners DLA Piper Law Firm

David Matìjù, biztonsági konzulens, CA Technologies

Kimmel Jenő, rangidős munkatárs, Horváth & Partners DLA Piper Law Firm

Marijan Franoviè, biztonsági konzulens, CA Technologies

A rendezvény során tárgyalt témák:

Hogyan törekedjünk egyensúlyra a digitális átalakulás során a szabályozási körülmények betartásával, és a személyekhez köthető adatok védelmével, miközben kezelni tudjuk ügyfeleink valós és digitális identitását?

A „Privacy by Design" („beépített biztonság") módszertana az, ami a megbízható digitális kapcsolatok kialakításán keresztül biztosítja a vállatok számára a gazdasági növekedést.

http://www.jogiforum.hu/files/adatvedelem/Az_EU_uj_adatvedelmi_szabalyozasa.pdf

http://europrivacy.info/2015/06/09/privacy-design-privacy-default

http://www.linguee.hu/angol-magyar/ford%C3%ADt%C3%A1s/privacy+by+design.html

A megbízható digitális kapcsolatok használata, mint a GDPR megfelelés alapja.GDPR hatása az adatok belső, és külső megosztását illetően.Hogyan tudjuk a GDPR szabályozást a fogyasztók javára fordítani?

A PSD2 az EU irányelveként kifejezetten a bankok, és a pénzügyi ipar résztvevőire vonatkozik, s 2018. januárjától lép életbe.

(PSD: azonnali fizetés szolgáltatás)

https://www.treasurers.org/ACTmedia/EACT_position_paper_PSDII.PDF

A pénzforgalmi szabályozások megújításáról szóló PSD2 Európai Uniós irányelvet 2015. decemberében fogadták el. Az irányelv korábbi, 2007-es változata alapján fogadta el a magyar jogalkotó is a 2009. évi 85-ös törvényt a pénzforgalmi szolgáltatások szabályairól, ehhez kapcsolódik a 18/2009-es Magyar Nemzeti Bank (MNB) rendelet is. Az új irányelv, a PSD2, 2016. január 13-án lépett hatályba. Előírja, hogy a szabályozott követelményekre vonatkozó magyar jogi szabályozást is két éves határidővel, tehát 2018. január 13-ig el kell fogadni, ki kell hirdetni és alkalmazásba kell vonni. A felkészülésre tehát egy év áll rendelkezésre.

Ezen általános szabályozás alól létezik egy kivétel, ami az IT biztonsági követelményekre vonatkozik.

Az irányelv felállít bizonyos általános szabályokat, követelményeket, de ezek alapján majd az Európai Bankfelügyeleti Hatóságnak (European Banking Authority, EBA) kell kidolgoznia un. szabályozástechnikai standard tervezeteket, melyeket az Európai Bizottság saját rendeletként fog kihirdetni.

http://www.linguee.com/english-hungarian/translation/european+banking+authority.html

https://europa.eu/european-union/about-eu/institutions-bodies/european-commission_hu

Ezen rendeletek elfogadásától számított 18 hónap múlva kell alkalmazni az új Általános Biztonsági Követelményeket. Így, kb. 2018. októberétől válik élessé az új IT biztonsági szabályrendszer.

2017. tehát a felkészülésről szól, második felében elfogadásra kerülnek az új általános magyar implementációs szabályok.

A PSD2 többfajta célt követ, kiemelhető az új piaci szereplők megjelenésével kapcsolatos szabályozási feladatok teljesítése. Az un. megbízásos online átutalási szolgáltatók, ill. a számlainformáció összesítő szolgáltatók, valamint a kártya alapú készpénz-helyettesítő fizetési eszközkibocsátók oly módon biztosítanak kártyás fizetési lehetőséget, hogy nem ők vezetik azt a számlát, amelynek terhére a fizetési művelet majd teljesül. Ez nagyon fontos újdonság!

A PSD2 elfogadása kapcsán és a jogalkotási folyamatban is a leghangsúlyosabb kérdések között szerepelt, hogy ezeket a bizonyos tagállamokban már létező szolgáltatókat bevonják a PSD2 hatálya alá, s az is, hogy ez milyen szinten történjen.

Milyen (jogi) újdonságokat találunk a PSD2-ben?

Kiterjesztésre kerül az Európai Uniós szintű pénzforgalmi szabályozás azokra a fizetési műveletekre is, ahol az egyik közreműködő pénzforgalmi szolgáltató van csak az EU-n belül, a másik pénzforgalmi szolgáltató pedig az EU-n kívül működő szervezet.

Ezekre a műveletekre eddig nem kellett alkalmazni a korábbi PSD-t, az új szabályokat azonban alkalmazni kell annyiban, hogy az ilyen, EU-s határon átnyúló fizetési műveletek vonatkozásában az EU-ban végrehajtott intézkedésekre is vonatkoznak a különböző információs kötelezettségek.

Tájékoztatni kell az ügyfeleket a felmerülő költségekről és a végrehajtás egyéb körülményeiről, függetlenül attól, hogy milyen pénznemben történik a művelet. Tehát, akár nemEU-s tagállamok pénznemében végrehajtott, uniós határokon átnyúló fizetési műveletekre is alkalmazni kell az új szabályokat, a fizetési művelet teljesítésénél alkalmazott pénznemtől függetlenül.

Jogászok számára érzékeny kérdés a kivételek pontosítása, azon szolgáltatások pontos meghatározása, amelyek nem tartoznak a PSD hatálya alá. Különböző megfontolásokból, már a korábbi szabályozás is meghatározott egy viszonylag hosszú listát azokról a szolgáltatásokról, amelyek gyakorlatilag fizetési műveletek teljesítését jelentik, de mégsem tartoznak ezen szabályozás hatálya alá. A PSD2 változtat azokon a feltételeken, amelyek mellett ezek a szolgáltatások kivételt képezhetnek.

Egyik ilyen terület a távközlési szolgáltatók által nyújtott fizetési megoldások, pl. a parkolásos szolgáltatások. Az ilyen jellegű távközlési szolgáltatásokra továbbra is áll, hogy akkor nem minősülnek pénzforgalmi szolgáltatásnak, ha a távközlési szolgáltató valamilyen saját szolgáltatást is nyújt.

A parkolásnál egyfajta kényelmi szolgáltatást nyújt az ügyfeleknek; nem kell felkeresniük az automatát, hanem sms-ben oldhatják meg a fizetést. Ez olyan plusz szolgáltatást jelent, amivel a távközlési szolgáltató nem csak egyszerűen közreműködik a fizetés lebonyolításában, hanem ő maga is nyújt valami plusz elemet, így ilyenkor nem tartozik a PSD hatálya alá.

Ez a felállás továbbra is érvényben lesz, de ezentúl a fizikai árúk megvásárlásával kapcsolatos fizetési műveletek ilyen esetben sem mentesülnek a PSD alól, csak a digitális tartalmak és hang-alapú szolgáltatások. Pl. a csengő-hangok vásárlásakor mentesül a távközlési szolgáltató a követelmények alól, amennyiben a fizetési művelet nem haladja meg az 50 eurót, vagy havi összesítésben a 300 eurót.

További kivételes részlet-szabályok vonatkoznak a kereskedelmi ügynökök alkalmazásával zajló műveletekre, vagy zártkörű hálózatokban történő értékesítésre, ill. független ATM üzemeltetőkre.

Zártkörű hálózatokban történő értékesítésnél monitorozás céljából be kell jelenteni ezeket a szolgáltatásokat. A pénzforgalmi szolgáltatók egyik altípusát jelentik a szabályozásban megnevezett pénzforgalmi intézmények (bankok és egyéb szereplők), amelyeket a szabályzás pénzügyi intézményeknek nevez.

A pénzügyi intézmények vonatkozásában eddig nem volt pontos szabályozás arra vonatkozólag, hogy hogyan bánjanak azon ügyfél-pénzekkel, amelyeket az ügyfelek a fizetési teljesítés céljából bocsátanak a pénzügyi intézmények rendelkezésére. Az ügyfél-pénzek szegregálására vonatkozó szabályok most bekerülnek a PSD2-be.

Ezek egyszerűsítik és harmonizálják a tagállami szabályokat. A pénzforgalmi intézmények az ügyfelek által rendelkezésre bocsátott pénzeket vagy kötelesek egy banknál elkülönítve, egyszámlán elhelyezni és kezelni, vagy pedig kötelesek olyan biztosítást, vagy garancia-nyújtást igénybe venni, amely fedezetet nyújt az általuk átvett teljes összegre.

További újdonság, hogy a különböző tagállamokban engedélyezett, vagy bejelentett pénzforgalmi intézményeknek lesz egy központi, EU-szintű regisztere, amit az Európai Bankfelügyeleti Hatóság vezet. Ily módon nyilvántarthatóvá válik minden piaci szereplő.

A PSD(1)-ben is létezett egy egyszerűsített szabályrendszer az un. kisforgalmú pénzhivatali intézményekre, akkor esett valaki ezen könnyített rezsim alá, ha a havi fizetési forgalma nem haladta meg a 3 millió eurót. Ez a szabály nem változik, viszont a tagállamok most már saját döntésük függvényében, egy alacsonyabb értékhatárt is meghatározhatnak, szigoríthatják és szűkíthetik a kedvezményezetti kört az egyszerűbb szabályokra.

Fizetési csalások, ill. kártyával való visszaélések, vagy jóvá nem hagyott fizetési tranzakciók esetén az eddigi szabályok szerint, ha az ügyfél ebben ártatlan volt, azaz áldozatul esett ezen visszaéléseknek, a kár egy bizonyos részét, egy minimum összeget akkor is neki kellett állnia. A szolgáltató csak a 45 ezer Ft. (150 euró nemzetközi viszonylatban) feletti kárösszeget térítette meg.

Fontos újdonság, hogy ez az összeg most 50 euróra fog csökkenni, a PSD2-ben pedig lesz egy általános tilalom; a kártyát elfogadó kereskedők által a fogyasztókra nem lehet áthárítani azokat a díjakat, vagy pótdíjakat, amiket a kártyakibocsátók, ill. a kártya-társaságok terhelnek a kereskedőkre. Ez a „seach-charging" tilalma.

Új még, hogy a PSD2 az ügyfélnek biztosítja a feltétlen visszatérítési jogot beszedések esetén is. Tehát nem csak átutalások esetén, hanem azonnali beszedések esetén is kérheti visszatéríteni az átutalt összeget. Ezt a SEPA alapú azonnali beszedések vonatkozásában biztosítja az EU-s jogrend, ezt terjesztik ki a majdnem tisztán nemzeti alapú azonnali beszedésekre is, feltétlen visszatérítési ügyféljogként.

http://www.sepahungary.hu/index.php/sepa-hu/fizetesiinstrumentumok/sct-hu.html

További újdonságot jelentenek a fokozott IT biztonsági követelmények, és a fentemlített új szolgáltatói kör. Ezek egyike a megbízásos online átutalás (payment initiation service, PIS).

http://jogero.blogspot.hu/2015/10/payment-initiation-services-account.html

(Az irányelv magyar verziójával nagy óvatosság ajánlott, mivel rendszeresen félrefordítják, vagy olyan kifejezést használnak a magyar szövegben, ami félreértésekre adhat okot.)

PIS esetében olyan szolgáltatóról van szó, aki helyettünk a fizetési műveletet kezdeményezi a mi számlavezető pénzforgalmi szolgáltatónknál; felépít egy szoftver-hidat bankunk és azon kereskedő között, akinél valamilyen terméket, vagy szolgáltatást vásárolunk. Megadjuk ezen szolgáltató számára a fizetés kezdeményezéséhez szükséges adatokat, személyes hitelesítési elemeket. Ezek felhasználásával fogja helyettünk kezdeményezni a fizetési művelet megindítását. Annak megtörténtével erről a címről azonnal tájékoztatja a kereskedőt, s így módon ösztönzi arra, hogy ő a megvásárolt terméket, vagy szolgáltatást azonnal indítsa is útra az ügyfél felé.

Bizonyos tagállamokban már léteznek ilyen szolgáltatások, de eddig nem estek az európai szintű szabályozás hatálya alá.

Új szolgáltatás a számlainformációk összesítése, az Account Information Service.

http://prudentiz.eu/payment-services-directive-ii

Ilyenkor egy szolgáltatónak hozzáférést biztosítunk a különböző bankoknál, vagy különböző szolgáltatóknál vezetett számláinkra vonatkozó információkhoz; a számlaegyenleghez és a tranzakciók történetéhez. Ezekből a számlainformációösszesítő szolgáltató egy alkalmazás segítségével össze tud állítani számunkra különböző riportokat arról, hogy mire költöttük a pénzünket. Ehhez hozzáférésre van szüksége számlaadatainkhoz. A művelethez szükséges IT az APIS (Application Programming Interface).

http://industry4.hu/hu/fogalomtar/api-application-programming-interfaces

Ez az interfész teszi lehetővé a számlaösszesítő szolgáltatónak számlaadataink megismerését.

Ugyanez az igény merül fel annál a szolgáltatónál is, aki olyan kártyát bocsát ki, amelynek alapján ő úgy tud egy általunk adott fizetési műveletet teljesíteni, hogy nem ő vezeti a számlánkat. Ennek az a feltétele, hogy ez a szolgáltató meg tudjon győződni arról, hogy a mi számlánkon meg van a fedezete annak az összegnek, amit ő helyettünk megelőlegez a fizetés során. Információra van szüksége a számlavezetőnktől, hogy a szükséges egyenleg ott van-e a számlánkon.

Ennél a szolgáltatás-típusnál is szükség van tehát arra, hogy az új szolgáltató hozzáférjen bizonyos számlaadatainkhoz. Ebben az esetben egyetlen számlaadathoz férhet hozzá, ami jelzi, ott van-e a szükséges egyenleg a számlánkon, vagy sem. Semmi máshoz.

A PSD2 által bevezetett IT információknak két vonulata létezik:

Általános jellegűek, amelyek a fent tárgyalt szolgáltatókhoz nem kapcsolódnak Olyan IT biztonsági követelmények, amelyek az új szolgáltatás-típusoknak az igénybe vételéhez kapcsolódnak, s összefüggenek az információs kapcsolattal, amit létre kell hoznunk az új szolgáltatók és a számlavezető szolgáltatók között.

Az általános biztonsági követelmények egy része megjelenik már a pénzforgalmi intézmények engedélyezési folyamatában is, mert ahhoz, hogy egyáltalán engedélyt kapjon egy pénzforgalmi intézmény, be kell nyújtania különböző szabályzatokat az IT biztonsági követelmények betartására vonatkozóan.

A legfontosabb új követelmények az általános IT biztonság körében:

Eseménykezelési eljárások kialakítása, évente egyszer riportolni kell az incidensekre a felügyeleti hatóságoknak felé is.

Még fontosabb az erős ügyfélhitelesítés követelménye. Ezt egy 2015-ös Európai Bankfelügyeleti ajánlás is bevezette, s az új szabályok hatályba lépéséig működik, módosítani fogja a PSD2.

Az erős ügyfélhitelesítés jelentése; kötelező olyan alkalmazott hitelesítési eljárást bevezetni, melynek során három biztonsági összetevőből legalább kettő érvényesül.

Ezek a biztonsági elemek vagy olyan momentumokhoz kapcsolódnak, amit kizárólag csak az ügyfél ismerhet, ez az un. knowledge-alapú megoldás, vagy pedig olyan elem(ek)ről lehet szó, amely(ek) magára az ügyfélre vonatkoznak, mint pl. valamily biometrikus adat, ill. olyan elemről is szó lehet, ami kizárólag az ügyfél által birtokolt eszközre vonatkozik.

Knowledge-alapú hitelesítési elem lehet pl. a jelszó, birtoklás alapú hitelesitési elem lehet a biztonságos aláíró eszköz, az ügyfélre vonatkozó egyedi jellemző pedig lehet az ügyfél valamilyen biopmetrikus jellemzője. Úgy kell kialakítani ezeket a hitelesítési eljárásokat, hogy a szolgáltató meggyőződjön róla, ki a szóban forgó egyetlen személy és megbizonyosodról róla, hogy egy bizonyos, meghatározott eszközt használnak a fizetési művelet kezdeményezésére.

A teljesítéséhez olyan eljárást kell kialakítani, ami a három összetevőből legalább kettőt felhasznál, s biztosítani kell, hogy ezek az összetevők egymástól függetlenek legyenek, azaz, ha valamelyiket meghamisítják, vagy valamelyikkel visszaélnek, akkor a másik összetevő még önmagában alkalmas legyen a megbízható hitelesítésre.

További követelmény vonatkozik a távoli elektronikus fizetési műveletekre; ezeknél olyan egyedi, dinamikus hitelesítő kód előállítása szükséges, ami összekapcsolja az adatfizetési műveletet a konkrét kedvezményezettel, akinek fizetni akarunk valamint a kifizetni kívánt összeggel.

A legfontosabb újdonság tehát az erős ügyfélhitelesítés.

A PSD2-ben megjelenik az a speciális IT biztonsági követelmény is, hogy a pénzforgalmi szolgáltató által az ügyfél számára a hitelesítés céljából adott személyes elemek, az un. személyes hitelesítő adatok biztonságos kezelését, bizalmasságát és integritását is meg kell oldania a szolgáltatóknak. Az új szolgáltatóknak kell biztosítaniuk a velük való biztonságos kommunikáció megoldását is.

Az új, megbízásos online átutalású szolgáltatók, a számlainformáció összesítéses szolgáltatók, és a számlát nem vezető kártyakibocsátók csak akkor nyújthatják szolgáltatásukat, ha az ügyfél azt kifejezetten jóváhagyta, és csak olyan információkhoz juthatnak hozzá, csak olyan információt tárolhatnak, ami nekik kizárólag az adott szolgáltatás nyújtásához kell, s ezt az információt nem is adhatják tovább.

Fontos, hogy a számlavezető szolgáltatóval való kommunikáció során biztonságosan módon tudjanak kommunikálni a számlavezető szolgáltatóval. Ennek módjára, követelményeire vonatkozóan az Európai Bankfelügyeleti Hatóság (EBA) dolgoz ki un. szabályozás-technikai standardokat. Ez a munka már megkezdődött s a jóváhagyásra váró ideiglenes tervezetek már rendelkezésre állnak.

Az EBA honlapján elérhető standardok négy területre összpontosítanak; az erős ügyfélhitelesítés követelményei,mikor nincs szükség erős ügyfélhitelesítésre, a személyes hitelesítési adatok biztonságos kezelésének követelményei,az új szolgáltatók és a számlavezető szolgáltatók közötti közös és biztonságos nyílt kommunikációs standardok összefoglalása.

Az erős ügyfélhitelesítést illetően az EBA tervezete a technológiától független módon fogalmazza meg az általános elvárásokat és követelményeket. Olyan erős ügyfélhitelesítési eljárásokat kell kidolgozni, s ehhez olyan algoritmusokat és egyéb összetevőket kell felhasználni, amelyek biztosítani tudják, hogy mielőtt még a fizetési művelet jóváhagyása lezárulna, blokkolni lehessen a visszaélésszerű, vagy kifejezetten csalásra irányuló törekvéseket.

Ennek érdekében az erős ügyfélhitelesítési mechanizmusoknak biztosítani kell, hogy csak egy bizonyos időtartamra jöjjön létre a kommunikációs kapcsolat. Biztosítani kell azt is, hogy csak korlátozott számú kísérletet tehessen az ügyfél a belépésre. Korábban volt egy olyan felvetés, hogy kötelező legyen az elektronikus aláírásra vonatkozó mechanizmusok alkalmazása az erős ügyfélazonosítás érdekében, de ezt elvetették. Mindenki tetszés szerinti technológiát választhat, lényeg, hogy teljesüljenek az EBA előírt követelményei.

Az EBA szerint akkor nem kell erős ügyfélhitelesítést alkalmazni, ha az ügyfél összeállította azon kedvezményezett személyek listáját, akiknek ő fizetni akar, akiket ismer és akikben megbízik, amennyiben olyanok számára kezdeményez kifizetést, akik ezen a listán szerepelnek,

ha az ügyfél csak a számla egyenleget akarja megtekinteni, s fizetési műveletet nem kezdeményez, kivéve az első alkalmat, ill. a havonta egyszeri hitelesítést,ha kisösszegű kifizetési műveletet kezdeményez az ügyfél, ami alkalmanként 10 eurót, vagy havonta összesítve legfeljebb 100 eurót jelent, az előző erős ügyfélhitelesítési művelettől számítva, ha ugyanaz az ügyfél ugyannál a szolgáltatónál vezeti a számláit, s azok között hajt végre fizetési műveletet,

„contactless payment" esetében, azaz érintéses fizetési művelet kezdeményezésekor, de itt is van egy max. 50 eurós határ, az előző művelettől számított 150 eurós összesítés értékéig, ez azt jelenti, hogy addig nem kell a pin-kódot beütnöm a paypass kártyámmal, amíg a 150 eurós összköltés fel nem halmozódik.

https://en.wikipedia.org/wiki/Contactless_payment

A különböző, harmadik személyű szolgáltatók és a számlavezető szolgáltatók közötti kommunikációs standardok felsorolása megtalálható az EBA szabályozástechnikai tervezetben.

Ezek négy részre oszlanak;a kommunikációs interfészekre vonatkozó eljárások,az új szolgáltatást nyújtó szolgáltatók ön-azonosítási megoldása a számlavezető szolgáltatók felé, a kommunikációs kapcsolat biztonságának megoldása,az adatcsere vonatkozásai.

A számlavezető szolgáltatónak biztosítania kell egy olyan interfészt, amelyen keresztül vele kommunikálni tudnak azok a szolgáltatók, akiknek valamilyen számlainformációra van szükségük.

Az interfész;

képes legyen biztosítani a kapcsolódó szolgáltató azonosítását, a biztonságos kommunikációt a számlainformáció lekérdezésekor, a fizetési művelet kezdeményezésekor, ill. a fedezet lekérdezésekor, biztosítsa az újfajta szolgáltató számára, hogy amikor megadja az ügyfélhitelesítési adatokat, akkor ugyanolyan ügyfélhitelesítés menjen végbe, mintha az ügyfél maga csatlakozna a banki rendszerhez, s így meg tudjanak bízni a banki hitelesítés eredményében,ehhez az interfésznek biztosítania kell, hogy a hitelesítési folyamatot a kapcsolódó szolgáltató képes legyen megindítani, létre tudja hozni és fenntartani a kommunikációs kapcsolatot, s képes legyen biztosítani a személyes és hitelesítési adatok integritását.

Az interfész kidolgozásakor ISO 2022-es elemeket kell alkalmazni. Az interfészre vonatkozó dokumentációkat összesíteni kell és elérhetővé kell tenni a kapcsolódó szolgáltatók számára, ill. biztosítani kell számukra tesztelési lehetőséget is.

https://www.naih.hu/adatvedelmi-szotar.html

http://www.linguee.hu/angol-magyar/ford%C3%ADt%C3%A1s/privacy+by+design.html

Adatvédelmi rendelet az Európai Unióban:

http://www.adatvedelmirendelet.hu

http://www.jogiforum.hu/files/adatvedelem/Az_EU_uj_adatvedelmi_szabalyozasa.pdf

EU GDPR portál:

http://www.eugdpr.org

EU irányelvek a fizetős szolgáltatásokról (PSD):

http://ec.europa.eu/finance/payments/framework/index_en.htm

A szektorra érvényes változások:

https://www.finextra.com/blogposting/12668/psd2—what-changes

Az elhangzott előadások PDF formátumban: