Révision de la Directive sur les Services de Paiement (DSP2)

Documents pareils
Connaître les Menaces d Insécurité du Système d Information

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

BANQUE CENTRALE EUROPÉENNE

Décret n XXX du XX relatif aux effacements de consommation d électricité

Principales dispositions du projet de règlement

Les planificateurs financiers

Réussir votre migration à SEPA. Mode d emploi à destination des entreprises

CONTRAT DE SOUSCRIPTION OFFRE PUSH-CLASSIQUE

SF ou ECS: quel statut choisir? Le reporting prudentiel des SF

Les nouvelles règles de fonctionnement des Services de Paiement

CONVENTION INDIVIDUELLE D HABILITATION. «Expert en automobile indépendant» (convention complète)

MBA Spécialisé en Alternance

CONDITIONS GENERALES D ACHAT

Nouveau Programme Formation Monétique

Crowdfunding. Présentation conférence EIFR -18 décembre2014

CONVENTION INDIVIDUELLE D HABILITATION. «société d assurance indépendante» (Convention complète)

SERVICES ELECTRONIQUES DE CONFIANCE. Service de Cachet Electronique de La Poste

Règlement grand-ducal du 18 décembre 2009 relatif aux taxes à percevoir par la Commission de surveillance du secteur financier.

Guide SEPA «Votre guide pour préparer la migration de vos flux vers l Europe des Moyens de Paiement»

OBJECTIF DU GUIDE 1-L ENCADREMENT JURIDIQUE DES ACTIVITES D ASSURANCE

NOS SOLUTIONS DE BANQUE ELECTRONIQUE

Reporting AIFM : quelles obligations pour quels gestionnaires? Guide pratique pour répondre aux exigences de la directive AIFM

au service de vos clients Nos services d'experts

PRESTATIONS DE NETTOYAGE DES LOCAUX, NETTOYAGE DES VITRES, FOURNITURES de PRODUITS CONSOMMABLES et ADAPTES

Le Groupe Yves Rocher

Charte de contrôle interne

AVIS D OUVERTURE DE L OFFRE SUR LES ACTIONS DE LA SOCIETE MANUFACTURE DE PANNEAUX BOIS DU SUD «MPBS»

Guide de la migration EBICS

Catalogue «Intégration de solutions»

Comment financer sa stratégie d efficacité énergétique

Migrer à SEPA : c'est indispensable

CREDIT AGRICOLE SUD RHONE ALPES

AVIS D OUVERTURE DE L OFFRE SUR LES ACTIONS DE LA SOCIETE TUNISIENNE INDUSTRIELLE DU PAPIER ET DU CARTON «SOTIPAPIER»

Current challenges for Audit Authorities and Groups of Auditors in ETC and IPA programmes and perspectives for the future

CREDIT AGRICOLE DE CENTRE LOIRE

Cartes entreprises: Grandes étapes et tendances du marché. Angelo Caci, Directeur délégué, ADN co

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

SEVRES ESPACE LOISIRS

Portail de Management de Visioconférence As a Service

FACULTE DES SCIENCES DE L'ADMINISTRATION AUTOMNE 2005 UNIVERSITE LAVAL

AIDE MEMOIRE. Forprev. De l habilitation à la gestion de sessions. Page 1 sur 55

RENSEIGNEMENTS DOSSIER 2014

Programme d appui à la prévention et la prise en charge de la malnutrition aigüe sévère au Mali

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

GUIDE DU FINANCEMENT PARTICIPATIF (CROWDFUNDING) A DESTINATION DES PLATES-FORMES ET DES PORTEURS DE PROJET

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

DATE D'APPLICATION Octobre 2008

FORMULAIRE DE DEMANDE D AGREMENT DES SOCIETES DE BOURSE ET AUTRES INTERMEDIAIRES DE MARCHE

DIPLÔME D ETAT DE LA JEUNESSE DE L EDUCATION POPULAIRE ET DU SPORT

CONDITIONS GENERALES DU SERVICE BANQUE EN LIGNE ECOBANK

Eléments de débat ACPR. Vous trouverez dans ce document :

CONVENTION DE DÉLÉGATION DE PAIEMENT MEDECINS GENERALISTES

Fédération Nationale des Organismes de Gestion des Établissements de l Enseignement Catholique Questions Réponses Le mandat

Une information plus détaillée sur ce document est disponible sur demande écrite.

LES NOUVELLES MESURES RELATIVES À

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

De la réglementation des nouveaux tiers de

CREDIT AGRICOLE SUD RHONE ALPES

Pack Prélèvements Confort et Confort Plus

1. QUELS SONT LES MARCHES CONCERNES? QUELS SONT LES INSTRUMENTS FINANCIERS CONCERNES? QUI DOIT DECLARER?... 2

Comité réglementation et simplification du conseil national de l industrie 16 mai 2014

OFFRE DE FINANCEMENT

C F O N B. Comité Français d Organisation et de Normalisation Bancaires. LE VIREMENT SEPA «SEPA Credit Transfer»

MEMENTO Version

Saisie Prélèvement SEPA sur EDI WEB

BOFIP-GCP du 28/05/2013

Conférence EIFR Marchés financiers-mifid 2/MIFIR

COMPTE DU RÉGIME DE PENSION DE LA GENDARMERIE ROYALE DU CANADA. Comptables agréés Toronto (Ontario) Le 29 avril 2005

StormShield v4.0 StormShield - Version 4.0 Presentation OSSIR 10 juillet 2006

Optimisez les profits de vos sites web. Intégrez la performance à votre projet de création

Acquisition. d une centrale de surveillance des températures CAHIER DES CHARGES. Maître de l'ouvrage :

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

AVIS D OUVERTURE DE L OFFRE SUR LES ACTIONS DE LA SOCIETE «BEST LEASE»

TFC. (Téléphone, Fax, Courrier)

AVIS D OUVERTURE DE L OFFRE SUR LES ACTIONS DE LA SOCIETE DELICE HOLDING

Le crowdfunding : Cadre réglementaire et conditions d immatriculation des conseillers en investissements participatifs (CIP)

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

ORGANISATION ET SURVEILLANCE DES SYSTÈMES DE PAIEMENT

TREETOP ASSET MANAGEMENT S.A. - INFORMATIONS RÉGLEMENTAIRES LA SOCIÉTÉ TREETOP ASSET MANAGEMENT S.A. FORME JURIDIQUE

L Europe devient un espace unique de paiement en euro «SEPA»

CONDITIONS GENERALES DE VENTE DES CHEQUES VOYAGES CLUB VOYAGEUR

S informer sur le nouveau cadre applicable au financement participatif (crowdfunding)

REGLEMENTS FINANCIERS DE L AGIRC ET DE L ARRCO. (avril 2014)

Directive sur les services de paiement

Conditions particulières Infinity Télécom OFFRES ASCENSEURS France Métropolitaine V2.1 - Septembre 2014

Togo. Loi relative aux entreprises d investissement à capital fixe

Marquage CE Mode d emploi SOMMAIRE : I. Les produits concernés

Les aspects paiements de la loi sur l ouverture à la concurrence du marché des jeux d argent et de hasard en ligne

Accès réseau Banque-Carrefour par l Internet Version /06/2005

AVIS D OUVERTURE DE L OFFRE SUR LES ACTIONS DE LA SOCIETE «HANNIBAL LEASE»

Dématérialisation des factures du Secteur Public

MISE EN PLACE D UN PLAN D ACTIONNARIAT SALARIE

COM (2015) 289 final

MBA Spécialisé en Alternance

INSTRUMENTS DE PAIEMENT ET DE CRÉDIT

LA REGLEMENTATION DU COURTAGE D ASSURANCE

Manuel Bucom Version 3.1 Octobre 2008

Transcription:

Révision de la Directive sur les Services de Paiement (DSP2) Septembre 2016 CONSULTING ORGANISATION 64 rue des Mathurins 75008 Paris Tél : 01 44 71 90 04 Fax : 01 44 71 01 03 E-mail : info@adn-conseil.com ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000 - RCS PARIS B 389 663 832 SIRET 389 663 832 00027

A RETENIR Réaffirmation du principe de recours à l Authentification Forte, reposant sur l authentification à double facteurs Définition des exemptions à l Authentification Forte Accès au compte sous condition Paiement sans contact exonéré (50 /transaction et 150 cumulés) Protection de la confidentialité et de l intégrité des PSC de l utilisateur Approche basée sur édiction de principes Détaillée dans les Guidelines : Security Measures Calendrier : JANVIER 2016 Entrée en vigueur DSP Une transposition pour janvier 2018 Une entrée en vigueur des standards au plus tard en septembre 2018. JANVIER 2017 Projet de RTS sur AF et communications sécurisées SEPTEMBRE 2018 Entrée en vigueur du RTS sur l AF et communications sécurisées Communication entre les différents PSP (TPP et Banques gestionnaires de comptes) : Pas de définition ni d imposition de standards techniques et réglementaires spécifiques par l EBA Obligation pour les banques d avoir une interface dédiée sécurisée (autre ou banque en ligne) avec le même niveau de services, fonctionnalités et accessibilité Développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes Emission des certificats par un tiers de confiance qualifié retenue pour l authentification des TPP pour accéder aux informations des utilisateurs de services de paiement AOÛT OCTOBRE 2016 Consultation publique JANVIER 2018 Fin du délai de Transposition DSP 2 2

CHAMP D APPLICATION DE LA DSP 2 DSP 1 COMPLÉMENTS DSP 2 1 Introduction de nouveaux acteurs : 2 Elargissement du droit des EP Emetteurs d instruments de DSP 2 encadre, régule et fait entrer dans son champ d application 2 activités existantes qui n étaient pas précédemment régulées : Agrégation de comptes et Initialisation de paiement paiement : Autorisation à interroger la Banque gestionnaire du compte pour connaitre la disponibilité des fonds mise en cohérence avec les nouveaux statuts d acteurs AISP Comment? Création de 2 nouveaux statuts : Account Information Service Providers Agrégation de compte par accès direct au compte des clients via la banque en ligne PISP Payment Initiation Service Providers Initiation de paiement par accès direct au compte du client via la banque en ligne 3 Élargissement du champs d application aux transactions n impliquant qu un seul PSP situé dans l UE (il suffit d un seul.) Procédure d agrément EP spécifique 4 Réaffirmation des principes du recours à l AF* pour les transactions à distance et cadrage des règles d exemption Sécurité des données Authentification des utilisateurs de données Interfaces d accès aux comptes de paiement et échanges entre PSP Responsabilité en cas de fraude * Authentification Forte 3

Sécurité Sécurité Autorisation Registre Protection du Consommateur Coordination supervision CONCRÈTEMENT COMMENT CELA SE TRADUIT? DSP 1 COMPLÉMENTS DSP 2 1 Introduction de nouveaux acteurs 3 Élargissement du champs d application 2 Élargissement des droits des EP 4 Réaffirmation de l AF* RENFORCEMENT RÔLE DE L EBA MANDAT POUR ÉDITER LES STANDARDS TECHNIQUES Surveiller les activités financières existantes et nouvelles Harmoniser les règles prudentielles Assurer la coordination entre les autorités de supervision nationales Elaborer les projets de normes techniques de règlementation, de nomes d exécution et d orientation et recommandation (RTS) Arbitrer en cas de conflits d interprétation entre les autorités de tutelles nationales Centraliser les reporting relatifs à la gestion des risques et statistiques fraudes Gérer le registre central électronique relatif aux PSP agréés au sein de l EEE. Comply or Explain Force d application Guidelines PI Insurance for PSPs Compliants Procedures Autorisation des EP RTS Soumis à la CE Force de loi Passeporting notification & supervision Central Contact Point RTS/ITS on EBA Register Reporting/notification des incidents Mesures sécuritaires Authentification forte et communication sécurisée 4 * Authentification Forte

POINT 1: EXIGENCES DE L AUTHENTIFICATION FORTE Champ d application de l AF* Applicable au payeur et requise dans les cas suivants : Accès à son compte de paiement en ligne Initialisation d une opération de paiement en ligne Réalisation/exécution de toute action à distance (tout support) impliquant un risque de fraude. Moyens de paiement concernés Virements Prélèvements (avec mandat électronique) Paiement électronique Paiement par carte RAPPEL : AUTHENTIFICATION FORTE AU MOINS 2 FACTEURS DES 3 FACTEURS Ce que l on sait (connaissance) Ce que l on est (inhérence) Ce que l on possède (possession) Indépendance des éléments Réaffirmation des principes de l AF* basée sur une authentification à double facteur Pas de définition plus poussée par l EBA Les données comportementales ne peuvent pas être considérées comme un élément d authentification forte (inhérence) Réaffirmation du principe d utilisation prioritaire des credentials de la Banque gestionnaire du compte Ainsi le modèle de référence proposé par l EBA repose sur les credentials de la Banque, teneuse de comptes. Reconnaissance du principe de neutralité dans le modèle décrit par l EBA en terme de business models et de technologies Les PSP doivent assurer la confidentialité et l intégrité des credentials de la banque gestionnaire du compte ainsi que de tous les moyens d authentification (devices et software) L authentification est à double facteur avec génération d un code à usage unique Dans le cadre d un paiement, ce code doit être lié au montant et bénéficiaire de la transaction («Dynamic linking») Cela n exonère pas les acteurs de mettre en place en amont des dispositifs de prévention, détection et de blocage des transactions de paiement frauduleuses. Possibilité à terme d utiliser les services de types cartes d identité électroniques émises par l état comme des éléments d authentification Protéger la confidentialité des données *Authentification Forte 5

POINT 2 : EXEMPTIONS Dérogations /exemptions Basées sur les critères suivants : Niveau de risque lié au service fourni Montant et / ou fréquence de l opération Canal utilisé pour exécuter l opération Liste d exemptions applicables dans la version finale des RTS Services de consultation des données de paiement non sensibles (sauf 1ère connexion et 1 fois par mois) Paiement sans contact POS : 50 /opération et 150 cumulés Virement vers une liste de bénéficiaires de confiance Virement de compte à compte d un même PSU ouvert auprès d un même PSP Paiement électronique à distance : les opérations de <10 en montant unitaire et 100 en montant cumulés Pas d exemption prévue par l EBA à l obligation de protection, des données de sécurité personnalisées Précisions sur les conditions d exemption pour lesquelles le recours à l Af* n est pas appliqué Non application des exemptions uniquement au choix de la Banque gestionnaire de comptes Responsabilité de l authentification Décision d appliquer ou non l exemption. Dans le cadre de services exclusivement de consultation (AISP), l exemption à l utilisation de l AF* ne s appliquera que si les 2 conditions suivantes sont réunies : Le service de consultation est limité à des informations de paiement non sensibles Il ne s agit pas de la 1 ère connexion au service et cette connexion est réalisée dans le délai d un mois après la dernière connexion authentifiée. Définition des données de paiement sensibles : «données incluant les crédentials qui peuvent être utilisées pour commettre des transactions frauduleuses» Le nom et le numéro de compte ne sont pas considéré comme des données de paiement sensibles dans le cadre d initialisation de paiement et d agrégation de comptes. Sont exemptées les transactions sans contact au point de vente dans la limite de 50 par opération et de 150 cumulés Réaffirmation du principe que les moteurs d analyses des transactions ne constituent pas des réponses/alternatives à l AF* *AF= Authentification Forte 6

POINT 3 : PROTECTION DE LA CONFIDENTIALITÉ ET DE L INTÉGRITÉ DES PSC DE L UTILISATEUR PSC Personalised Security Credentials : Éléments personnalisés de sécurité permettant l authentification d un utilisateur par les PSP. Ceux de référence dans les RTS sont ceux fournis par la Banque gestionnaire du compte. Si le TPP décide de s appuyer sur ces propres crédentials alors il devra contractualiser avec la banque gestionnaire du compte (hors DSP 2). Obligation d informer les utilisateurs qu il y a un risque de confier ses credentials Approche basée sur l édiction de principes demandant aux PSP de mettre en place des dispositifs /mesures visant à protéger la création, l association avec les utilisateurs de services de paiement, la livraison et la destruction des credentials, tout en garantissant : La confidentialité et l intégrité des credentials Et leur livraison ou leur possession auprès des utilisateurs de services de paiement. Cf. Guidelines «Security Measures» *AF= Authentification Forte 7

POINT 4 : STANDARDS ET PROTOCOLES DE COMMUNICATION ENTRE ACTEURS Pas de définition ni d imposition de standards techniques et réglementaires spécifiques par l EBA. Mais définition d un certain nombre d obligations : Fourniture par toute banque d au moins une interface sécurisée dédiée aux AISP et PISP qui doit être toujours accessible, avec un même niveau de fonctionnalités et de services, et un support technique suffisant, que l interface de banque en ligne proposée à ses clients par la banque gestionnaire de compte. L interface de communication doit s appuyer sur les procédures d authentification définies au préalable. Elle doit être développée selon les standards de communication ouverts, universels, émis par les organisations de normalisation internationales ou européennes. (recommandation de l utilisation des éléments de la norme ISO 20022. Les standards de communication sur Internet génériques tels que HTPP, HTPPS, TLS et SSL ont été «rejeté» par l EBA. Dans le cadre de l agrégation de compte, l AISP a le droit d accéder au compte à chaque demande réalisée par le client et pas plus de deux fois par jour sans demande express du client. Modalités d authentification pour les TPP pour accéder aux informations des utilisateurs de services de paiement : Consensus autour de l utilisation de certificats Option préférentielle retenue lors de groupes de travail : Emission des certificats par un tiers de confiance qualifié. Assurance par les PSP que leur sous-traitants appliquent/respectent les RTS. *AF= Authentification Forte 8

ADN co 64 rue des Mathurins 75008 Paris Tél : 01 44 71 90 04 Fax : 01 44 71 01 03 - E-mail : info@adn-conseil.com ADN'co SA : SOCIETE ANONYME AU CAPITAL DE 216 000 - RCS PARIS B 389 663 832 SIRET 389 663 832 00027

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back