Kaj je PSD2 revizija?

PSD2 revizija
Objavljeno 2.1.2021

V zadnjih letih je bil v Uniji dosežen precejšen napredek pri integraciji odprtega bančništva, zlasti v okviru Direktive (EU) 2015/2366 in Delegirane uredbe komisije (EU) 2018/389 z dne 27. novembra 2017 s katerima je bil dodatno dopolnjen pravni okvir za izvajanje plačilnih storitev.

Dopolnjen je bil tako s stališča prej omenjenega odprtega bančništva in dopolnitve regulativnih tehničnih standardov za varnejše izvajanje transakcij in nenazadnje večje transparentnosti plačil.

Vendar novi predpisi za kreditne institucije in izdajatelje elektronskega denarja zahtevajo določene tehnične spremembe in redno opravljanje revizij. Podlaga za izvajanje revizij je v 3. in 1. členu Delegirane uredbe komisije (EU) 2018/389.

Solwall ponuja dve vrsti PSD2 revizij, ki sta med seboj neodvisni:

  • Pregled varnostnih ukrepov glede na zahteve podane v 1. členu PSD2 RTS.
  • TRA revizija mehanizmov za spremljanje transakcij za ponudnike plačilnih storitev, ki uporabljajo izjemo močne avtentikacije (pregled metodologije, modela in sporočenih stopenj goljufije)
PSD2 Audit

PSD2 revizija

Kaj obsega PSD2 revizija?

Pregled varnostnih ukrepov (1. člen PSD2 rts)

V prvem delu PSD2 revizije se preverijo tehnične kontrole uporabe postopka močne avtentikacije (SCA):

  • Zahteve glede šifre za avtentikacijo
  • Uporaba dveh neodvisnih elementov (kategorija znanja, lastništva, inherence)
  • Zahteve glede elementov avtentikacije
  • Dinamično povezovanje

V naslednji fazi se izvede revizija zaščite zaupnosti in celovitosti osebnih varnostnih elementov uporabnika plačilnih storitev in vzpostavitve skupnih in varnih odprtih standardov za komuniciranje med ponudniki plačilnih storitev:

  • Prikrivanje osebnih varnostnih elementov
  • Hramba poverilnic
  • Ustvarjanje in prenos, dostava varnostnih elementov
  • Obnovitev osebnih varnostnih elementov, uničenje, deaktivacija in preklic
  • Pregled obveznosti za vmesnike za odprt dostop

TRA revizija

Kreditne in plačilne institucije, ki uporabljajo izvzetja močne uporabniške avtentikacije morajo opravljati notranje in zunanje revizije metodologije, modela in stopenj tveganja. Revizijo opravi preskušen revizor po standardu ISAE 3000.

  • Pregled celovitosti podatkov in metod zajema podatkov
  • Pregled algoritma za izračun stopnje tveganja
  • Pregled dokumentacije

Obveznost izvajanja PSD2 revizije

Revizija varnostnih ukrepov in revizija TRA se izvajata vsakoletno s pomočjo strokovnjaka s strokovnim znanjem s področja informacijsko-tehnološke varnosti.

Revizija TRA se izvede prvič in na 3 leta z neodvisnim preskušenih revizorjem.

Kot rezultat revizije se pripravi poročilo in ocena skladnosti varnostnih ukrepov naročnika skladno z zahtevami iz te uredbe. Kontaktirajte nas v kolikor želite izvedeti več ali organizirati uvodni sestanek, da ugotovim, kaj lahko storimo za vas.

Garancija

V primeru nezadovoljstva z našimi storitvami plačilo ni potrebno.

Dokazano strokovno znanje

Ekipa za penetracijski test se določi glede na potrebno znanje za vašo aplikacijo.

Uporabnost

Poročilo vsebuje podrobne ugotovitve s predlogi za odpravo pomanjkljivosti.