PSD2
Tatra banka prináša bezpečné a moderné API riešenie.
Prístup k účtu klienta získa licencovaná firma po udelení súhlasu klientom.
Základné informácie
Pôvodná smernica o platobných službách (Payment Service Directive, PSD1) vytvorila základný právny rámec, ktorý definoval rovnaké pravidlá pre spracovanie platobných príkazov v rámci Európy. Ďalší vývoj v oblasti platieb však priniesol nové služby, ktoré touto smernicou regulované neboli.
Nová smernica PSD2 má uľahčiť vstup nových poskytovateľov platobných služieb na európsky trh a zároveň priniesť pravidlá, podľa ktorých budú môcť tieto subjekty poskytovať platobné služby koncovým používateľom.
PSD2 so sebou prináša zmeny v oblasti poskytovania platobných služieb. Hlavnou zmenou je povinnosť sprístupniť vybrané služby tzv. tretím stranám prostredníctvom rozhraní API (Application Programming Interface).
Prostredníctvom týchto rozhraní bude možné zadať platobný príkaz alebo získať informácie o platobnom účte - samozrejme, vždy až po klientovom súhlase.
Kto sú to „tretie strany“?
Sú to noví poskytovatelia platobných služieb, tzv. tretie strany alebo Third Party Payment Service Providers (TPP). V praxi sa budeme môcť stretnúť s dvoma typmi poskytovateľov platobných služieb:
- Poskytovateľ služieb informovania o účte – AISP (Account Information Service Provider). Na základe súhlasu klienta spracováva základné informácie o účte a transakciách na účte v banke. Napríklad, ak má klient vedené účty vo viacerých bankách, cez aplikáciu tretej strany môže vidieť zostatky na všetkých týchto účtoch naraz.
- Poskytovateľ platobných inicializačných služieb – PISP (Payment Initiation Service Provider). Na základe žiadosti klienta umožňuje vytvoriť platobný príkaz z účtu vedeného v banke. Napríklad, pri nákupe v e-shope bude mať klient možnosť zvoliť si platbu cez tretiu stranu. Platobný príkaz zadá prostredníctvom aplikácie tretej strany, pričom tento bude následne zrealizovaný z jeho účtu vedeného v banke.
Aplikácie tretích strán
Poskytovateľ služieb informovania o účte - AISP (Account Information Service Provider)
Online poskytovateľ platobných služieb, ktorý na základe súhlasu klienta spracováva základné informácie o účte a transakciách na účte v banke. Poskytovateľ služieb informovania o účte musí:
- Spĺňať podmienky na poskytovanie služieb podľa regulácie o platobných službách (PSD2)
- Mať licenciu na poskytovanie vybranej platobnej služby
- Realizovať technický prístup na účet klienta v banke až na základe súhlasu klienta
- Spĺňať podmienky týkajúce sa ochrany a použitia dát klienta a musí klienta informovať o tom, ako tieto dáta použije
- vo svojom zariadení nainštalujete aplikáciu tretej strany, napr. „Aplikácia TPP“
- vytvoríte si v nej profil a zvolíte si možnosť pridania bankového účtu
- budete presmerovaný na autorizačný portál banky, kde sa prihlásite rovnako ako do Internet bankinguTB
- vyberiete si účty, ku ktorým chcete udeliť prístup aplikácii „Aplikácia TPP“ a svoj výber potvrdíte.
- budete presmerovaný naspäť do aplikácie „Aplikácia TPP“, ktorá si načíta zostatok na účte a históriu pohybov
- v Internet bankinguTB nájdete v menu Nastavenia – Aplikácie tretích strán aplikáciu „Aplikácia TPP“ a môžete jej pridelené prístupy odobrať alebo upraviť
Poskytovateľ platobných inicializačných služieb - PISP (Payment Initiation Service Provider)
Online poskytovateľ platobných služieb, ktorý na základe žiadosti klienta umožňuje zadať platobný príkaz z účtu vedeného v banke. Poskytovateľ platobných inicializačných služieb musí:
- Spĺňať podmienky na poskytovanie služieb podľa regulácie o platobných službách (PSD2)
- Mať licenciu na poskytovanie vybranej platobnej služby
- Iniciovať platobný príkaz výlučne na základe súhlasu klienta
- Spĺňať podmienky týkajúce sa ochrany a použitia dát klienta a musí klienta informovať o tom, ako tieto dáta použije
- vo svojom zariadení nainštalujete aplikáciu tretej strany, napr. „Aplikácia TPP“
- vytvoríte si v nej profil a zvolíte si možnosť vytvorenia platby
- po zadaní platby v „Aplikácia TPP“ odsúhlasíte jej realizáciu cez autorizačný portál banky kódom z aplikácie ČítačkaTB (alebo Karta a čítačkaTB)
Bezpečnosť
PSD2 má za cieľ zvýšiť úroveň bezpečnosti a posilniť dôveru spotrebiteľov k subjektom, ktoré poskytujú platobné služby, ale zároveň nemusia byť bankami.
Tieto inštitúcie musia garantovať rovnakú úroveň bezpečnosti a ochrany klientských dát ako svojim klientom poskytujú banky. Služby tretích strán, platobných inštitúcií, sú dostupné spotrebiteľom v EÚ už dnes. Aktuálne chýbajú v EÚ jednotné legislatívne pravidlá a technické štandardy. Tento stav sa na Slovensku príchodom PSD2 od 13.1.2018 upravil a naďalej sa bude meniť cez regulatórne technologické štandardy (tzv. RTS = "Regulatory technical stadard" dokument), ktorý má vstúpiť do platnosti v roku 2019.
PSD2 zároveň určuje, že tieto subjekty spadajú pod dohľad príslušných národných autorít. Na Slovensku je touto autoritou Národná banka Slovenska. Tretia strana má v smernici PSD2 vymedzené, ako môže so získanými informáciami o účte klienta naložiť. Banka nemá dosah na ďalšie využitie poskytnutých informácií. Z pohľadu bezpečnosti klienta sa využíva dvojfaktorová autentifikácia a autorizácia.
Čo je to dvojfaktorová autentifikácia?
Je to technický spôsob idetifikácie, ktorý sa používa na potvrdenia identity používateľa. Klienti ju poznajú napríklad pri výbere z bankomatu, kedy sa použije karta - „niečo, čo mám“ a PIN kód ako „niečo, čo viem“.
Ak bude klient využívať online služby tretích strán, tretia strana overí jeho identitu na základe svojich individuálnych pravidiel a systémových možností. Následne sa z aplikácie tretej strany klient Tatra banky automaticky presunie na autorizačný portál. Autorizačný portál je zabezpečené rozhranie banky, v ktorom môže klient bez obáv zadávať svoje prihlasovacie údaje. Tie budú rovnaké, ako aktuálne používa na prihlásenie do Internet bankinguTB. V autorizačnom portáli Tatra banky bude klient následne autorizovať prístup na vybraný účet, alebo potvrdzovať platbu prostredníctvom kódu z mobilnej aplikácie ČítačkaTB, alebo cez nástroj Karta a čítačkaTB.
Môže klient odovzdať tretej strane svoje prihlasovacie údaje do Internet bankinguTB?
Tatra banka pripravila svoje riešenia tak, aby klienti mohli komfortne využívať služby tretích strán a zároveň im boli garantované najvyššie bezpečnostné štandardy. Pre svoju bezpečnosť by mal klient zadávať svoje prihlasovacie údaje výlučne v zabezpečenom prostredí Tatra banky, kde zároveň svoju platbu zadanú cez tretiu stranu aj autorizuje. Pri poskytovaní služieb informovania o účte klienta bude mať klient možnosť vopred si priradiť účty, ku ktorým bude mať tretia strana prístup.
Informácie pre vývojárov
Pozývame vás, aby ste spolu s nami inovovali bankovníctvo. Náš hlavný cieľ - spokojnosť klientov, chceme dosiahnuť spojením nápadov a skúseností tretích strán s dôverou a stabilitou Tatra banky. Ako súčasť skupiny Raiffeisen Bank International (RBI) spolupracujeme od leta 2017 na akceleračnom programe Elevator Lab, do ktorého sa prihlásilo viac ako 300 fintechov. Developer portal vám umožňuje naštudovať si technickú dokumentáciu, vyskúšať si API nad testovacími dátami a registrovať svoju firmu a aplikáciu pre vývoj a až po spustenie do produkcie.
Na portáli nájdete detailnú technickú dokumentáciu pre:
- API „Payments“ – prístup pre inicializáciu platby a info pre autorizáciu API volaní a sandbox
- Základné informácie sú dostupné bez prihlásenia. Sandbox je plne funkčný až po prihlásení. Pre prechod do produkčného prostredia je potrebné postupovať podľa pokynov na Developer portáli v časti Dokumentácia.
https://www.tatrabanka.sk/sk/personal/ucet-platby/open-banking/