Článek

PSD2: Účinnost RTS SCA přinesla povinnost auditu

Jak se optimálně připravit?

Regulační technické standardy (RTS SCA), klíčová součást nové směrnice o platebních službách PSD2 přinášející významné změny na evropský trh platebních služeb, se staly účinnými dnem 14. září 2019. Co to v praxi pro banky znamená?

Příslušná ustanovení PSD2 a RTS SCA stanovují řadu požadavků, které musí poskytovatelé platebních služeb uplatňovat za účelem provádění bezpečnostních opatření týkajících se zejména silného ověření klienta a zpřístupnění dat svých klientů třetím stranám prostřednictvím tzv. API rozhraní (Application Programming Interface). 

Poskytovatelé platebních služeb vs. audity

Součástí plnění těchto povinností vycházejících z RTS SCA je audit bezpečnostních opatření (metod), který je povinný pro všechny poskytovatele platebních služeb. Druhým typem auditu je audit metodiky, modelu a oznámené míry podvodů, kterému podléhají poskytovatelé platebních služeb v případě aplikování výjimky ze silného ověření založeného na transakční risk analýze v reálném čase (TRA).

Audit bezpečnostních metod musí být proveden funkčně nezávislým auditorem s odbornými znalostmi v oblasti IT bezpečnosti a plateb. Frekvence auditu se stanovuje s přihlédnutím k příslušnému rámci pro povinný (účetní) audit, který se na poskytovatele platebních služeb vztahuje.

Při využívání výjimky z aplikování SCA na základě TRA musí být audit metodiky, modelu a oznámené míry podvodů během prvního roku používání a poté nejméně jednou za 3 roky vykonán nezávislým a kvalifikovaným externím auditorem. Minimálně jednou ročně by poté mělo dojít k přezkumu ze strany nezávislého auditora s odbornými znalostmi v oblasti IT bezpečnosti a plateb.

Časová osa auditů

image

Služby Deloitte zastřešují i nepovinný před-audit

Služby společnosti Deloitte zastřešují oba typy povinného auditu, vycházejícího z RTS SCA, které budou provedeny experty v oblasti IT bezpečnosti a plateb a v případě TRA auditu ve spolupráci s kvalifikovaným auditorem Deloitte Audit. 

Zároveň společnost Deloitte poskytuje možnost využít služeb nepovinného před-auditu. Před-audit přináší přidanou hodnotu ve smyslu poskytnutí přehledu povinností, které se na poskytovatele platebních služeb vztahují, zjištění, do jaké míry jsou dané požadavky naplněny a doporučení kroků, které by měly být provedeny za účelem nápravy zjištěných nedostatků a docílení plného souladu s příslušnou regulací, a to ještě před oficiálním auditem. 

Silná stránka týmu Deloitte spočívá zejména v rozsáhlých zkušenostech s implementací PSD 2 a RTS SCA požadavků v bankách a dalších institucích nejen v ČR, ale i v rámci Evropy, a v odborných znalostech oblasti bankovnictví, auditu, IT bezpečnosti a platebních služeb.

Nabídka služeb Deloitte: 3 typy auditu, jejichž provedení je vzájemně nezávislé

image
Považujete tyto informace za užitečné?