关于 PSD2 监管和合规性您需要知道的信息
在电子支付市场方面,金融机构和支付提供商有很多共同之处。最值得注意的是,双方正在推动一轮新型在线交易,这相应地也受到严格的监管。在欧洲尤其如此,该地区的支付服务指令 (PSD) 提高了强身份验证、开放银行和合规性的门槛。
请继续阅读以了解 PSD2 合规性的基础知识、它为何如此重要,以及当前您可以做些什么来让您的组织经得起未来考验。
PSD2 是什么?
PSD2 代表支付服务指令的第二版。尽管它专门适用于欧盟 (EU),但被广泛认为是一项具有里程碑意义的支付服务法规,有可能改变银行、支付处理商和类似公司的全球运营方式。
2007 年,欧盟委员会出于以下两个主要原因颁布了最初版支付服务指令:
- 创造一个更加整合、更具竞争力和效率的欧洲支付市场
- 在数字时代让支付更加安全可靠
换句话说,PSD1 旨在通过鼓励非传统机构参与,为所有金融参与者创造公平的竞争环境。它使金融科技公司和第三方支付提供商等新公司能够更轻松地进入市场,还将金融机构统一在单一监管框架下,为所有人制定共同的规则。
PSD1 还为公众提供了更多的透明度和有关费用、债务及消费者权益的信息。而且,由于新的支付提供商更容易进入市场,该法规为消费者提供了更多的选择自由。
但是,随着时间的推移,欧盟认识到需要更新和修订 PSD1。2013 年,欧盟以技术变革和日益增长的安全问题为由正式决定这样做。三年后,欧盟成员国投票通过了定于 2018 年生效的 PSD2。但是,更新后的 PSD2 条例中的某些内容是逐步实施的,这使金融机构有时间进行调整。
PSD2 的主要目的仍是进一步促进整个欧洲支付行业的创新、竞争和安全。
谁需要遵守 PSD2 合规性要求?
PSD2 旨在保护所有欧盟成员国的消费者。因此,它的主要关注点是欧盟金融机构,包括支付处理商、银行、经纪公司、金融科技公司等。
但是,总部在欧洲以外的组织如果在该地区有客户或用户,则仍可能需要遵循 PSD2 合规性要求。在这种情况下, 如果公司目前或计划在欧盟地区开展业务,则别无选择,只能遵守 PSD2 法规。
未能满足 PSD2 要求的机构可能会被处以最高为其年度收益 4% 的罚款。
了解 PSD2 合规性
在满足 PSD2 要求之前,您首先必须了解它如何从根本上改变了整个欧盟的银行业。最值得注意的是,它引入了 "开放银行" 理念。
什么是开放银行?
开放银行是第三方金融服务提供商通过应用程序编程接口 (API) 获得对银行和其他金融机构的个人银行、交易和其他数据的开放访问权限的过程。简而言之,这是双方之间财务信息的安全共享。尽管这个概念已经存在了很长时间,但 PSD2 率先在欧洲将其采用。
开放银行帮助 PSD2 实现了提高市场竞争、透明度和安全性的目标。另一方面,这引入两种新的受监管支付提供商:
- 支付启动服务提供商 (PISP) 允许使用数字银行进行在线支付。简而言之,这类提供商可让您直接从银行账户中付款,而不是通过第三方使用信用卡或借记卡。"支付启动" 一词是指 PISP 通过便于交易的接口连接两个账户所使用的流程。
- 账户信息服务提供商 (AISP) 能够方便地在单一位置收集和存储来自客户银行账户的账户信息。这使消费者能够全面了解自己的财务状况并轻松分析支出。例如,预算应用程序和价格比较网站可能属于账户信息服务提供商类别,因为它们将这些数据存储在单一虚拟管理平台中。
根据 PSD2 法规,这两方必须征得消费者的同意,并受中央银行的监管。
PSD2 如何影响传统金融机构?
现在,只要客户给予许可,银行就必须向第三方提供商 (TPP),也就是 AISP 和 PISP,开放客户账户的访问权限。相应地,符合 PSD2 标准的主要技术要求是创建开放的 API,TPP 需要这些 API 才能访问账户信息。
此外,消费者在支付服务方面有更多选择。他们现在可以根据自己的需求选择最佳选项,这意味着银行将不得不为自己的业务进行更激烈的竞争。
什么是强消费者身份验证?
修订后的支付服务指令还引入了强客户身份验证 (SCA) 的概念。根据 SCA 的要求,消费者必须在所有付款上使用至少两种类型的多重身份验证 (MFA)。这些方法分为三类:
- 知识:客户已经知道的信息,例如密码。
- 固有内容:属于用户的某些东西,例如他们的指纹或面部识别信息。
- 占有内容:他们拥有或可以发送的东西,例如一次性代码。
SCA 要求旨在加强对消费者的保护。由于在用户和敏感财务信息之间存在额外的安全保障,因此强身份验证使不良行为者更难逃脱欺诈的惩罚。
PSD2 有何变化?
为了再次更新支付服务指令以实现持续改进,欧盟委员会决定在 2022 年重新评估该法规。评价的结论是,PSD2 在实现其目标方面取得的成功有限。尽管引入强消费者身份验证大幅打击了欺诈,但新的挑战也随之出现。
"当前已出现 PSD2 无法应对的新型欺诈行为。例如,PSD3 将超越 PSD2 的范围,处理诸如 '欺骗'(冒充欺诈)之类的新型欺诈。此类欺骗模糊了未经授权交易和经授权交易之间的区别,因为欺诈者能够操纵客户对授权交易的同意,例如使用银行的电话号码或电子邮件地址。到目前为止,诸如 SCA 等预防机制不足以防止此类欺诈的发生。"
除了与安全有关的问题外,委员会还发现,支付服务提供商之间仍然存在不公平的竞争环境。因此,在欧洲银行管理局的建议下,委员会决定提出修正案,该修正案将:
- 加强防欺诈策略
- 允许非银行支付服务提供商访问所有欧盟支付系统
- 升级开放银行的功能
- 进一步提升消费者信息情况和权利
- 增加现金的可用性
- 合并适用于电子货币和支付服务的法律框架
关于何时最终确定 PSD3 的合规性要求,尚无明确的时间安排。但是,假设修订后的法规将在 2024 年底之前完成,欧盟成员国将有 18 个月的过渡期。这表明 PSD3 可能会在 2026 年底之前生效。
如何满足您的 PSD2 合规性要求
无论如何变化,金融机构和支付提供商仍然必须满足 PSD 的合规性要求。因此,重要的是要采取必要措施使您的组织经得起未来考验,并走在 PSD3 的前面,尤其是在安全性上。
好在,有很多解决方案可以帮助您超越 SCA 的要求,并为消费者提供尽可能高的保障。 例如,借助像 Entrust 这样的合作伙伴,您可以利用以下功能:
- 防网络钓鱼的多重身份验证:部署一系列强大的身份验证策略,包括基于风险、基于证书的和自适应升级身份验证。结合单点登录 (SSO),用户可以无缝但安全地访问支付服务,整个过程一气呵成。此外,SSO 可防止出现密码疲劳和重复使用,从而保护您(和您的消费者)的使用安全。
- 数字证书:合格网站身份验证证书 (QWAC) 根据 PSD2 对敏感数据进行加密,识别支付服务提供商和金融机构。Entrust 的 QWAC 具有无限制补发和服务器许可证,您可以免费补发和安装证书。
- 交易风险分析:针对不使用卡的交易,交易监控和风险分析考虑设备信誉、自适应身份验证和 3DS 合规性。
- 身份证明:即时验证身份,以改善客户体验并降低放弃概率。Entrust 的身份验证解决方案支持数千份政府签发的文件和多层加强安全性。
- 硬件安全模块 (HSM):Entrust nShield® HSM 生成并存储签名和加密密钥,并通过经过认证的安全设备简化您的加密操作,这样您在颁发证书和加密数据时便知道自己受到强大的信任根的保护。
通过 Entrust 进行安全交易
PSD2 法规的重要性与其合规难度不相上下。但是,借助 Entrust 的 PSD2 和开放银行解决方案系列,您可以大规模轻松实现合规性并满足您的需求。
从多重身份验证和身份证明到数字证书和 HSM,我们随时可以帮助您为客户提供卓越保障。