Uvod
Revidirana direktiva o platnim uslugama (PSD2) je direktiva o podacima i tehnologiji koja ima za cilj potaknuti povećanu konkurenciju, inovacije i transparentnost na europskom tržištu plaćanja, uz istodobno poboljšanje sigurnosti plaćanja putem interneta i pristupa računu.
Između ostalog [PSD2] sadrži propise o novim uslugama kojima će upravljati tzv. pružatelji platnih usluga treće strane (TPP) u ime korisnika platne usluge (PSU).
Te nove usluge su:
Za provedbu ovih novih usluga (ovisno o pristanku PSU) TPP treba pristupiti računu PSU. Računom obično upravlja drugi PSP koji se zove davatelj usluga plaćanja (ASPSP). Kako bi podržao TPP u pristupu računima kojima upravlja ASPSP, svaki ASPSP mora osigurati "pristup sučelju računa" (XS2A sučelje).
Odgovornosti i prava TPP-a i ASPSP-a koje se odnose na interakciju na sučelju XS2A definirane su i regulirane [PSD2]. Dodatno, detaljniji zahtjevi za implementaciju i rad XS2A sučelja definirani su od [EBA-RTS].
Ključni ciljevi:
Osnova regulatornih zahtjeva su sljedeći dokumenti:
Platne usluge (PSD2) - Direktiva (EU) 2015/2366
Regulatorni tehnički standardi (RTS) o jakoj provjeri autentičnosti korisnika (SCA) i osiguravanje otvorenih standarda komunikacije (CSC)
Lokalni zakon o prijenosu: "Zakon o platnom prometu" (ZPP), objavljen u službenom glasilu 66/2018 20. srpnja 2018. godine.
Berlin Grupa NextGenPSD2
Inicijativa NextGenPSD2 je zasebna radna skupina Berlinske grupe s ciljem stvaranja otvorenog, zajedničkog i usklađenog europskog API (Application Programming Interface) standarda koji će omogućiti trećim stranama (TPPs) pristup bankovnim računima prema revidiranoj Direktivi o platnim uslugama ( PSD2). U jedinstvenom partnerstvu, sudionici NextGenPSD2 rade zajedno sa zajedničkom vizijom da su otvoreni i usklađeni standardi PSD2 XS2A sučelja za procese, podatke i infrastrukturu neophodni gradivni elementi otvorenog, interoperabilnog tržišta. Prava interoperabilnost ključna je komponenta konkurentnih paneuropskih usluga PSD2 XS2A i pridonijet će daljnjem napretku prema europskom jedinstvenom tržištu i koristit će industriji plaćanja općenito te posebno europskim potrošačima i poduzećima.
Iako je usklađeno XS2A sučelje bitno za omogućavanje XS2A usluga da sazrijevaju na ljestvici i uz relativno niske troškove, puni PSD2 XS2A ekosustav pokriva druge tehničke, funkcionalne, operativne i upravljačke domene s (ponekad i opcionalnim) komplementarnim uslugama, kao što prikazuje sljedeća slika:
Ključne značajke okvira NextGenPSD2:
CBA PSD2 API dokumentacija
Hrvatska bankarska asocijacija pridružila se berlinskoj grupi u rujnu 2017. godine. Čak i u to vrijeme u ranim fazama, NextGenPSD2 je viđena kao inicijativa koja bi mogla donijeti nedostatak zajedničkog API standarda među kreditnim institucijama. Danas se standard API-ja Grupe Berlin smatra dominantnom inicijativom PSD2 API standarda koju podržavaju kreditne institucije u cijeloj EU.
Najnovija verzija CBA PSD2 API dokumentacije je 1.0 i može se naći ovdje.. Verzija 1.0 upućuje se na Smjernice za implementaciju NextGenPSD2 1.3.
API dokumentacija
Kao član Berlinske grupe temeljna dokumentacija vezana uz PSD2 API u Hrvatskoj je dokumentacija NextGenPSD2. CBA PSD2 dokumentacija proizlazi iz NextGenPSD2 API dokumentacije.
PSD2 API dokumentacija za hrvatsko tržište može se podijeliti u tri hijerarhijska dijela:
Ovisnosti između svake grupe dokumenata opisane su na sljedećoj slici
Dokumentacija API-ja za NextGenPSD2
Sam okvir NextGenPSD2 izgrađen je od 4 artefakta, koji su svi objavljeni besplatno pod Creative Commons (CC-BY-ND):
Dokumenti se koriste od strane banaka i TPP-ova za provedbu pristupa bankovnom računu potrebnog za PSD2.
Najnovije izdanje okvira NextGenPSD2 možete preuzeti ovdje.
Životni ciklus dokumentacije
Prema RTS-u: pružatelji usluga platnog prometa koji vode račun moraju osigurati da, osim u izvanrednim situacijama, svaka promjena tehničke specifikacije njihovog sučelja bude dostupna ovlaštenim davateljima usluga iniciranja plaćanja, davateljima usluga pružanja informacija o računu i pružateljima platnih usluga koji izdaju kartice- platnih instrumenata ili pružatelja usluga platnog prometa koji su se obratili svojim nadležnim tijelima za relevantno ovlaštenje, unaprijed što je prije moguće, a najmanje 3 mjeseca prije provedbe promjene.
Kako bismo bili u tijeku s najnovijom dokumentacijom, potičemo TPP-ove da se pretplate na sve promjene u dokumentaciji koje mogu utjecati na API. Sve promjene API-ja bit će objavljene prema pravilima RTS-a.
Dokumenti i reference
[X2A-ImplG] | NextGenPSD2 XS2A okvir, smjernice za implementaciju, Zajednička inicijativa Berlinske grupe na XS2A sučelju u skladu s PSD2, verzija 0.99, objavljena 02. listopada 2017. godine. |
[eIDAS] | Uredba EU br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93 / EZ |
[PSD2] | Direktiva (EU) 2015/2366 Europskog parlamenta i Vijeća o platnim uslugama na unutarnjem tržištu, objavljena 25.11.2015. |
Open API | https://www.openapis.org/ https://swagger.io/specification/ |
EBA RTS | Mišljenje Europskog nadzornog tijela za bankarstvo o provedbi RTS-a o SCA i CSC-u od 13. lipnja 2018. godine |
Smjernice EBA-e | Smjernice o uvjetima koje treba ispuniti kako bi se iskoristilo izuzeće od nepredviđenih mjera u skladu s člankom 33. stavkom 6. Uredbe (EU) 2018/389 (RTS za SCA i CSC) |
EBA eIDAS | Mišljenje o upotrebi certifikata eIDAS u okviru RTS-a za SCA i CSC |
Kratice
Kratica | Opis |
---|---|
AIS | Servis za informiranje o računu AIS-a u skladu s člankom 4. stavkom 16. [PSD2] i kako je uređeno člankom 67. [PSD2]. (eng. Account Information Service) |
AISP | Pružatelj usluga pružanja informacija o AISP računu nudi AIS svojim klijentima. Vidi članak 4 (19) [PSD2]. (eng. Account Information Service Provider) |
API | Aplikacijsko programsko sučelje. |
ASPSP | Pružatelj usluga platnog prometa koji pruža i održava račun za plaćanje za platitelja. Vidi članak 4 (17) [PSD2]. (eng. Account Servicing Payment Service Provider) |
CBA | Hrvatska udruga banaka (eng. Croatian Banking Association) |
EBA | Europsko nadzorno tijelo za bankarstvo (eng. European Banking Authority) |
EIDAS | Usluge elektroničke identifikacije, autentifikacije i povjerenja (eng. Electronic Identification, Authentication and Trust Services) |
IAM | Globalna arhitektonska komponenta koja upravlja identitetom i pristupom |
OAuth2 | Ovaj protokol, koji omogućuje aplikacijama trećih strana odobravanje ograničenog pristupa HTTP usluzi. |
PIISP | Davatelj usluga izdavatelja platnog instrumenta prema članku 4. stavcima 14. i 45. [PSD2]. PIISP može koristiti uslugu "Potvrda o dostupnosti sredstava" kako je uređeno člankom 65. [PSD2]. (eng. Payment Instrument Issuer Service Provider) |
PIS | Usluga plaćanja u skladu s člankom 4 (15) [PSD2] i kako je uređeno člankom 66. [PSD2]. (eng. Payment Initiation Service) |
PISP | Pružatelj platnih usluga koji nudi PIS svojim klijentima. Vidi članak 4 (18) [PSD2]. |
PSP | Pružatelj platnih usluga u skladu s člankom 4 (11) [PSD2]. (eng. Payment Service Provider) |
PSU | Korisnik platnih usluga sukladno članku 4 (10) [PSD2]. (eng. Payment Service User) |
RTS | Regulatorni tehnički standardi EBA-e o jakoj provjeri autentičnosti korisnika i zajedničkoj i sigurnoj komunikaciji. (eng. Regulatory Technical Standards) |
SCA | Strong Customer Authentication - postupak provjere autentičnosti temeljen na dva faktora sukladna zahtjevima [PSD2] i [EBA-RTS]. |
SCT | SEPA kreditni transfer. (eng. SEPA Credit Transfer) |
SDD | SEPA izravno zaduženje. (eng. SEPA Direct Debit.) |
TPP | Davatelj usluga treće strane TE - generički naziv za AISP / PIISP / PISP. (eng. Third Party Provider) |
X2A | Pristup sučelju korisničkog računa - sučelje koje osigurava ASPSP za TPP za pristup računima. (= API / sučelje) eng. Access to Account interface |