Dział 2A - Bezpieczeństwo świadczenia usług płatniczych - Usługi płatnicze.
Dziennik Ustaw
Dz.U.2024.30 t.j.
Akt obowiązujący Wersja od: 9 stycznia 2024 r. do: 31 maja 2024 r.
DZIAŁ IIA
Bezpieczeństwo świadczenia usług płatniczych
Bezpieczeństwo świadczenia usług płatniczych
1.
Dostawca, w ramach systemu zarządzania ryzykiem, podejmuje środki ograniczające ryzyko oraz wprowadza mechanizmy kontroli służące zarządzaniu ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, w szczególności przez:1)
utrzymywanie skutecznej procedury zarządzania incydentami, w tym na potrzeby wykrywania i klasyfikacji poważnych incydentów operacyjnych i incydentów związanych z bezpieczeństwem, w tym o charakterze teleinformatycznym;2)
bieżącą ocenę i aktualizację procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, w tym bezpieczeństwa teleinformatycznego, a także bieżącą ocenę środków ograniczających ryzyko oraz mechanizmów kontroli.2.
Dostawca, o którym mowa w art. 4 ust. 2 pkt 1-4, 6, 9, 11 i 12, corocznie, w terminie do dnia 31 stycznia roku następnego, przekazuje KNF lub innemu właściwemu organowi nadzoru roczną informację o ocenie i aktualizacji procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, a także ocenie środków ograniczających ryzyko oraz mechanizmów kontroli, o których mowa w ust. 1 pkt 2.1.
Dostawca przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym.2.
Jeżeli incydent, o którym mowa w ust. 1, ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu.3.
Informację, o której mowa w ust. 1, KNF lub inny właściwy organ nadzoru przekazują niezwłocznie EUNB i EBC, a jeżeli incydent ma znaczenie dla organu nadzoru innego państwa członkowskiego - także temu organowi.4.
Jeżeli KNF lub inny właściwy organ nadzoru otrzyma od EUNB lub EBC informację o incydencie, który ma znaczenie dla krajowego rynku finansowego, niezwłocznie podejmuje niezbędne działania w celu ochrony bezpieczeństwa systemu finansowego.1.
Dostawca, o którym mowa w art. 4 ust. 2 pkt 1-4, 6, 9, 11 i 12, w okresach półrocznych, w terminie do końca miesiąca następującego po danym półroczu, przekazuje KNF lub innemu właściwemu organowi nadzoru nad tym dostawcą dane dotyczące oszustw związanych z wykonywanymi usługami płatniczymi, uwzględniając różne sposoby świadczenia usług płatniczych.2.
Na podstawie danych otrzymanych zgodnie z ust. 1, KNF oraz inny właściwy organ nadzoru, w terminie do dnia 30 czerwca danego roku, przekazują EUNB i EBC zbiorcze dane dotyczące oszustw związanych z wykonywanymi usługami płatniczymi, uwzględniając różne sposoby świadczenia usług płatniczych.1.
Dostawca stosuje silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:1)
uzyskuje dostęp do swojego rachunku w trybie on-line;2)
inicjuje elektroniczną transakcję płatniczą;3)
przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.2.
Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią Internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.3.
Dostawca stosuje odpowiednie środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających.4.
Przepisy ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej.5.
Przepisy ust. 1 i 3 mają również zastosowanie, w przypadku gdy dostawca świadczący usługę dostępu do informacji o rachunku występuje do dostawcy prowadzącego rachunek o podanie informacji o tym rachunku.6.
Dostawca prowadzący rachunek umożliwia dostawcy świadczącemu usługę inicjowania transakcji płatniczej i dostawcy świadczącemu usługę dostępu do informacji o rachunku świadczenie usług w oparciu o uwierzytelnianie stosowane w relacji między użytkownikiem a dostawcą prowadzącym rachunek zgodnie z ust. 1 i 3, a w przypadku gdy jest zaangażowany dostawca świadczący usługę inicjowania transakcji płatniczej - zgodnie z ust. 1-3.