PSD 2 - seminar om sikker autentisering og sikker kommunikasjon
Publisert: 11. april 2019
Sist endret: 21. mai 2019
Finansdepartementet vedtok den 15. februar 2019 forskrifter, som sammen med tidligere vedtatte lovendringer, implementerer det offentligrettslige regelverket av PSD 2 inn i norsk lov. I tillegg har Justis- og beredskapsdepartementet vedtatt en midlertid forskrift som implementer begrensede deler av det privatrettslige regelverket av PSD 2 inn i norsk lov. Både lovendringene og forskriftsendringene gjelder fra 1. april 2019.
Det følger av forskrift om systemer for betalingstjenester at regler i samsvar med delegert kommisjonsforordning (EU) 2018/389 (RTS SCA & CSC) vil gjelde fra 14. september 2019.
Tilbydere av betalingskontoer som er tilgjengelig på internett, må forholde seg til kommisjonsforordningens bestemmelser i kap. V, del 2, som bl.a. setter minimums krav til grensesnittets tilgjengelige autentiseringsmekanismer og oppfyllelse av internasjonale standarder om sikker elektronisk kommunikasjon.
Med bakgrunn i behovet for å etablere en felles forståelse knyttet til kravene til sikker kommunikasjonen generelt, og håndteringen og bruken av sertifikater spesielt, gjennomførte Finanstilsynet 2. april 2019 et seminar om sikker autentisering og sikker elektronisk kommunikasjon mellom tilbydere av betalingskontoer og tredjepartsaktører som ønsker å tilby fullmaktstjenester regulert av PSD 2.
Finanstilsynet innledet med en kort gjennomgang av de sentrale deler av PSD2 regelverket og norsk relatert lovgivning, med særlig vekt på reglene som gjelder kommunikasjon mellom partene.
Finanstilsynet innledet og oppfordret til diskusjon om følgende temaer:
- Hvor finnes informasjon om foretak som har lisens som betalingsforetak?
- Hvordan går foretakene frem for å få utstedt sertifikat?
- Prosessen når det gjelder testsertifikater og produksjonssertifikater
- Validering av sertifikater og signaturer.
- Tilbakekalling av sertifikater – fullmakter, dokumentasjon, kommunikasjon
- Sertifikater for sikker kommunikasjon vs. sertifikater for signering av transaksjoner
- Hvem er ansvarlig for å signere hva på transaksjonsnivå (applikasjonslaget)?
Deretter redegjorde Brynjel Johnsen fra BITS for Berlin Group-standarden, som er det populære navnet til et grensesnitt for sikker kommunikasjon, utviklet av en rekke europeiske banker i fellesskap.
- Berlin Group-standarden (pdf)
Bent Bentsen fra DNB redegjorde for Open Banking Europe sitt arbeid med etableringen av et PRETA-registeret, som ble lansert samme dag som finanstilsynets seminaret ble avholdt.
- Open Banking Europe (pdf)
Mads Henriksveen fra Buypass redegjorde for eIDAS-standarden, og ulike typer sertifikater og sertifikattjenester i denne forbindelse. Buypass er tildelt status som kvalifisert tilbyder av tillitstjenester av Nasjonal kommunikasjonsmyndighet (Nkom) i henhold til Lov om elektroniske tillitstjenester (eIDAS).
Under seminaret ble det reist en rekke spørsmål. Finanstilsynet vil vurdere disse og publisere tilbakemeldinger på de mest sentrale spørsmålene.