Ga verder naar contentGa verder naar content en skip ook inhoudsopgave
In- en Uitvoer
Home

Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden (Voor de EER relevante tekst)

Gedelegeerde Verordening (EU) 2018/389 van de Commissie van 27 november 2017 tot aanvulling van Richtlijn (EU) 2015/2366 van het Europees Parlement en de Raad wat betreft technische reguleringsnormen voor sterke cliëntauthenticatie en gemeenschappelijke en veilige open communicatiestandaarden (Voor de EER relevante tekst)

HOOFDSTUK I ALGEMENE BEPALINGEN

Artikel 1 Onderwerp

Door deze verordening worden de vereisten vastgesteld die betaaldienstverleners in acht moeten nemen ten behoeve van de uitvoering van beveiligingsmaatregelen die hen in staat stellen het volgende te doen:

  1. toepassen van de procedure voor sterke cliëntauthenticatie in overeenstemming met artikel 97 van Richtlijn (EU) 2015/2366;

  2. vrijstellen van de toepassing van de beveiligingsvereisten voor sterke cliëntauthenticatie, afhankelijk van nader omschreven en beperkte voorwaarden op basis van de omvang van het risico, het bedrag en de recurrentie van de betalingstransactie en het voor de uitvoering van de betalingstransactie gebruikte betalingskanaal;

  3. beschermen van de vertrouwelijkheid en de integriteit van de persoonlijke beveiligingsgegevens (credentials) van de betaaldienstgebruiker;

  4. vaststellen van gemeenschappelijke en veilige open standaarden voor de communicatie tussen rekeninghoudende betaaldienstverleners, betaalinitiatiedienstverleners, rekeninginformatiedienstverleners, betalers, betalingsbegunstigden en andere betaaldienstverleners met betrekking tot het verlenen en het gebruik van betaaldiensten uit hoofde van titel IV van Richtlijn (EU) 2015/2366.

Artikel 2 Algemene authenticatievereisten

1.

Betaaldienstverleners beschikken over mechanismen voor het monitoren van transacties waarmee zij ongeoorloofde of frauduleuze betalingstransacties voor de toepassing van de onder a) en b) van artikel 1 genoemde veiligheidsmaatregelen kunnen implementeren.

Die mechanismen zijn gebaseerd op de analyse van betalingstransacties, waarbij rekening wordt gehouden met elementen die typisch zijn voor de betaaldienstgebruiker in omstandigheden van normaal gebruik van de persoonlijke beveiligingsgegevens.

2.

Betaaldienstverleners zorgen ervoor dat de mechanismen voor het monitoren van transacties ten minste met elk van de volgende risicofactoren rekening houden:

  1. lijsten van gecompromitteerde of gestolen authenticatie-elementen;

  2. het bedrag van elke betalingstransactie;

  3. bekende fraudescenario's bij het verlenen van betaaldiensten;

  4. tekenen van malwarebesmetting tijdens sessies van de authenticatieprocedure;

  5. ingeval de toegangsapparatuur of -software door de betaaldienstverlener wordt verstrekt, een gebruikslog van de aan de betalingsgebruiker verstrekte toegangsapparatuur of -software en het abnormale gebruik van de toegangsapparatuur of -software.

Artikel 3 Evaluatie van de beveiligingsmaatregelen

1.

De implementatie van de in artikel 1 bedoelde beveiligingsmaatregelen wordt in overeenstemming met het toepasselijke juridische kader van de betaaldienstverlener gedocumenteerd, op gezette tijden getest, geëvalueerd en gecontroleerd door auditors met deskundigheid op het gebied van IT-beveiliging en betalingen, en die operationeel onafhankelijk zijn binnen of ten opzichte van de betaaldienstverlener.

2.

De tijdsspanne tussen de in lid 1 bedoelde audits wordt vastgesteld rekening houdende met het desbetreffende boekhoudkundige en wettelijke auditkader dat op de betaaldienstverlener van toepassing is.

Betaaldienstverleners kunnen evenwel gebruikmaken van de in artikel 18 bedoelde afwijking op voorwaarde dat ten minste eenmaal per jaar een audit van de methodologie, het model en de gemelde fraudepercentages plaatsvindt. De auditor die deze audit uitvoert, beschikt over deskundigheid op het gebied van IT-beveiliging en betalingen, en is operationeel onafhankelijk binnen of ten opzichte van de betaaldienstverlener. In het eerste jaar dat van de afwijking op grond van artikel 18 wordt gebruikgemaakt en vervolgens ten minste om de drie jaar, of vaker op verzoek van de bevoegde autoriteit, wordt deze audit uitgevoerd door een onafhankelijke en gekwalificeerde externe auditor.

3.

Deze audit maakt een evaluatie van en doet verslag over de inachtneming van de in deze verordening vastgestelde vereisten door de beveiligingsmaatregelen van de betaaldienstverlener.

Het volledige verslag wordt aan bevoegde autoriteiten op hun verzoek ter beschikking gesteld.

HOOFDSTUK II BEVEILIGINGSMAATREGELEN VOOR DE TOEPASSING VAN STERKE CLIËNTAUTHENTICATIE

Artikel 4 Authenticatiecode

Artikel 5 Dynamische koppeling

Artikel 6 Vereisten voor de als kennis gekwalificeerde elementen

Artikel 7 Vereisten voor de als bezit gekwalificeerde elementen

Artikel 8 Vereisten voor aan als inherentie gekwalificeerde elementen gekoppelde apparatuur en software

Artikel 9 Onafhankelijkheid van de elementen

HOOFDSTUK III VRIJSTELLINGEN VAN STERKE CLIËNTAUTHENTICATIE

Artikel 10 Toegang tot de betaalrekeninginformatie via een rekeninghoudende betaaldienstverlener

Artikel 10 bis Toegang tot de betaalrekeninginformatie via een rekeninginformatiedienstverlener

Artikel 11 Contactloze betalingen in verkooppunten

Artikel 12 Onbemande betaalautomaten voor vervoerbewijzen en parkeergelden

Artikel 13 Betrouwbare betalingsbegunstigden

Artikel 14 Recurrente transacties

Artikel 15 Overmakingen tussen door dezelfde natuurlijke persoon of rechtspersoon aangehouden rekeningen

Artikel 16 Transacties voor kleine bedragen

Artikel 17 Veilige zakelijke betalingsprocedures en -protocollen

Artikel 18 Analyse van transactierisico's

Artikel 19 Berekening van fraudepercentages

Artikel 20 Stopzetting van vrijstellingen op basis van analyse van transactierisico's

Artikel 21 Monitoring

HOOFDSTUK IV VERTROUWELIJKHEID EN INTEGRITEIT VAN PERSOONLIJKE BEVEILIGINGSGEGEVENS VAN BETAALDIENSTGEBRUIKERS

Artikel 22 Algemene vereisten

Artikel 23 Aanmaken en doorgeven van beveiligingsgegevens

Artikel 24 Koppeling aan de betaaldienstgebruiker

Artikel 25 Levering van beveiligingsgegevens en authenticatieapparatuur en -software

Artikel 26 Vernieuwing van persoonlijke beveiligingsgegevens

Artikel 27 Vernietiging, deactivering en herroeping

HOOFDSTUK V GEMEENSCHAPPELIJKE EN VEILIGE OPEN COMMUNICATIESTANDAARDEN

Afdeling 1 Algemene vereisten voor communicatie

Artikel 28 Identificatievereisten

Artikel 29 Traceerbaarheid

Afdeling 2 Specifieke vereisten voor de gemeenschappelijke en veilige open standaarden voor communicatie

Artikel 30 Algemene verplichtingen voor toegangsinterfaces

Artikel 31 Opties voor toegangsinterfaces

Artikel 32 Voor een speciale interface geldende verplichtingen

Artikel 33 Uitwijkvoorzieningen voor een speciale interface

Artikel 34 Certificaten

Artikel 35 Beveiliging van communicatiesessies

Artikel 36 Gegevensuitwisseling

HOOFDSTUK VI SLOTBEPALINGEN

Artikel 37 Evaluatie

Artikel 38 Inwerkingtreding

BIJLAGE