Audyty banków zgodnie z RTS ws. silnego uwierzytelniania klienta (SCA) i bezpiecznych standardów komunikacji

Artykuł

Audyty banków zgodnie z RTS ws. silnego uwierzytelniania klienta (SCA) i bezpiecznych standardów komunikacji

Typologia audytów wynikających z przepisów rozporządzenia, a także zasady ich przeprowadzania oraz relacji tych audytów z innymi badaniami i testami bezpieczeństwa wynikającymi z kluczowych regulacji sektorowych obejmujących polskie banki.

Biuletyn prawny dla branży finansowej | Listopad 2022 r.

Główną regulacją odnoszącą się do bezpieczeństwa płatności elektronicznych w Europie jest rozporządzenie delegowane 2018/389. Choć większość projektów wprowadzenia mechanizmów bezpieczeństwa przewidzianych jego przepisami zakończyła się już kilka lat temu, samo wdrożenie tych mechanizmów nie wyczerpuje obowiązków banku. Podobnie jak w innych regulacjach dotyczących bezpieczeństwa, inherentnym wymogiem jest również przeprowadzanie regularnych audytów przyjętych rozwiązań technicznych i organizacyjnych. Poniżej omawiamy typologię audytów wynikających z przepisów rozporządzenia, a także zasady ich przeprowadzania oraz relacji tych audytów z innymi badaniami i testami bezpieczeństwa wynikającymi z kluczowych regulacji sektorowych obejmujących polskie banki.


Obowiązki banku w zakresie bezpieczeństwa zgodnie z rozporządzeniem 2018/389

Przed omówieniem tematyki audytowania, warto przypomnieć, że rozporządzenie 2018/389 zostało przyjęte przez Komisję Europejską w oparciu o regulacyjne standardy techniczne opracowane przez Europejski Urząd Nadzoru Bankowego (stąd najczęściej nazywane jest „RTS”). Jego istotą jest dookreślenie zawartych w dyrektywie PSD2 zagadnień dotyczących bezpieczeństwa komunikacji i uwierzytelniania użytkownika usług płatniczych.

Do najważniejszych rozwiązań przewidzianych w rozporządzeniu 2018/389 należy wprowadzenie szczegółowych zasad stosowania silnego uwierzytelniania klienta (SCA) przez dostawców usług płatniczych (w tym sposobu postępowania z indywidualnymi danymi uwierzytelniającymi i wyłączeń spod obowiązku stosowania SCA) oraz obowiązek utrzymywania systemów monitorowania transakcji. Dodatkowo rozporządzenie ustanawia standardy bezpiecznej komunikacji pomiędzy dostawcami prowadzącymi rachunki płatnicze (ASPSP) a podmiotami świadczącymi usługi otwartej bankowości (TPP). Wynika z nich m. in. obowiązek udostępnienia przez ASPSP otwartego interfejsu komunikacyjnego (w Polsce najczęściej interfejsy bazują na jednej z wersji standardu Polish API).

Kluczowym mechanizmem bezpieczeństwa transakcji przewidzianym w przepisach rozporządzenia 2018/389 jest silne uwierzytelnianie klienta (SCA), stanowiące rozbudowanie koncepcji uwierzytelnienia dwuskładnikowego. Obok wymogu zastosowania dwóch z trzech elementów (spośród wiedzy, posiadania lub cech klienta), dostawcy są obowiązani w ramach SCA zapewnić niezależność tych elementów uwierzytelnienia i ich odporność na próby nieuprawnionego użycia. Rozporządzenie przewiduje również liczne wyłączenia od obowiązku stosowania SCA, w tym dla transakcji niskokwotowych, płatności zbliżeniowych, rozwiązań korporacyjnych i transakcji niskiego ryzyka.


Obowiązkowe audytowanie środków bezpieczeństwa

Jeżeli środki bezpieczeństwa wymagane zgodnie z rozporządzeniem 2018/389 zostały wdrożone prawidłowo, na obecnym etapie kluczowe znaczenie ma wymóg okresowego audytowania tych środków przez bank. Warto podkreślić, że przedmiotem takiego audytu jest zgodność wdrożonych środków z rozporządzeniem 2018/389 i powinien on obejmować całość rozwiązań wdrażających przepisy RTS (czyli nie tylko mechanizmy uwierzytelniania użytkownika, ale zasadniczo także m.in. dopuszczalność korzystania z wyjątków od SCA, zasady postępowania z indywidualnymi danymi uwierzytelniającymi i bezpieczeństwo komunikacji z dostawcami usług otwartej bankowości za pośrednictwem API lub innego interfejsu udostępnionego w trybie przepisów PSD2). Z tego względu audyt ten nie ogranicza się do badania odporności przyjętych środków bezpieczeństwa, ale powinien umożliwiać także weryfikację, czy wdrożone środki pozostają zgodne z wymogami określonymi w rozporządzeniu.

Rozporządzenie nie określa w sztywny sposób częstotliwości takich audytów, lecz wymaga uwzględnienia „istotnych ram księgowania i badań ustawowych mających zastosowanie do dostawcy usług płatniczych”. W praktyce polskich banków najpopularniejszym interwałem będzie 12 miesięcy, choć okres roczny został wyraźnie przesądzony tylko dla audytów przeprowadzanych u dostawców, którzy korzystają z wyłączenia SCA dla transakcji niskiego ryzyka na podstawie art. 18 rozporządzenia (będzie o nich mowa w dalszej części tekstu). Z tego względu – przynajmniej w uzasadnionych przypadkach – możliwe byłoby przeprowadzenie takich przeglądów również z częstotliwością mniejszą niż co rok.

Audyt środków bezpieczeństwa powinien być obligatoryjnie przeprowadzany przez podmioty posiadające „wiedzę ekspercką w dziedzinie bezpieczeństwa informatycznego i płatności elektronicznych”. Ze względu na specyfikę problematyki objętej badaniem (m.in. praktyczne trudności z interpretacją i stosowaniem przepisów rozporządzenia dotyczących SCA, w tym wyłączeń, a także interfejsów komunikacyjnych) zespół taki powinien obejmować zarówno osoby z kompetencjami w obszarze bezpieczeństwa informatycznego, jak i w obszarze prawno-regulacyjnym.

Od strony organizacyjnej przepisy nie wymagają, aby audyt każdorazowo przeprowadzała firma zewnętrzna. Jeżeli jednak audyt przeprowadza samodzielnie bank, konieczne jest zapewnienie, że zespół audytowy działa niezależnie w ramach struktury organizacyjnej tego dostawcy. Nie zwalnia to również banku z obowiązku zapewnienia, że audytorzy posiadają wymagane przepisami kwalifikacje.


Audyty metodyki, modelu i wskaźników dla transakcji niskiego ryzyka

Przepisy rozporządzenia 2018/389 znacznie rozszerzają obowiązki banku w przypadku, w którym korzysta on z wyłączenia obowiązku stosowania SCA dla transakcji niskiego ryzyka (w trybie art. 18 rozporządzenia 2018/389). Oprócz obowiązkowego audytu środków bezpieczeństwa, dostawca taki powinien podlegać corocznym audytom metodyki, modelu i zgłoszonych wskaźników oszustw. Choć trudno precyzyjnie wskazać liczbę podmiotów stosujących to wyłączenie w swojej działalności, należy pamiętać, że przepisy rozporządzenia 2018/389 dają podstawę do jego powołania tylko dla przelewów i transakcji kartą płatniczą.

Podobnie jak w przypadku obligatoryjnych audytów zgodności z rozporządzeniem 2018/389, również w tym przypadku przepisy przewidują obowiązek zapewnienia, że audyt jest przeprowadzany przez audytorów posiadających określone przepisami kompetencje i niezależność. Wymóg niezależności został jednak rozszerzony o niezależność organizacyjną – podczas pierwszego roku korzystania z wyłączenia i później przynajmniej co trzy lata badanie powinien wykonać niezależny i uprawniony audytor zewnętrzny. Najczęściej takimi audytorami w praktyce są firmy, posiadające interdyscyplinarne zespoły doradzające we wdrożeniach i testach bezpieczeństwa dla sektora finansowego.


Uprawnienia KNF dotyczące audytów bezpieczeństwa

KNF może na podstawie przepisów rozporządzenia 2018/389 zażądać od banku przedstawienia raportu z obowiązkowego audytu środków bezpieczeństwa, wykonanego w trybie art. 3 ust. 1. Jeśli raport dotyczący zgodności z przepisami rozporządzenia 2018/389 stanowi część szerszego raportu z badania dostawcy (np. z pełnego audytu bezpieczeństwa banku), EBA oczekuje, aby została ona wyodrębniona z pozostałej części raportu (wynika to z Q&A nr 2018_4152).

Ponadto KNF może zażądać od banku, który korzysta z wyłączenia SCA dla transakcji niskiego ryzyka, aby ten poddał się audytowi metodyki, modelu i zgłoszonych wskaźników również przed upływem okresu 3 lat od poprzedniego zewnętrznego audytu. Przepisy rozporządzenia 2018/389 nie przewidują jednak możliwości zażądania takiego audytu w innych przypadkach, gdy dostawca nie korzysta ze wspomnianego wyłączenia. Nie można jednak zupełnie wykluczyć takiej możliwości, zwłaszcza w toku sprawowanego nadzoru lub konkretnego prowadzonego postępowania administracyjnego. Przepisy o nadzorze KNF zawarte w prawie bankowym mogą – co najmniej w pewnych przypadkach, uzasadnionych okolicznościami sprawy – stanowić podstawę do wystosowania takiego żądania.

 

Dodatkowe audyty zgodności środków bezpieczeństwa na żądanie organów administracji

Częstotliwość badań wymaganych przepisami rozporządzenia 2018/389 jest dość duża i nie pozostawia wiele przestrzeni na przeprowadzenie dodatkowych audytów, zwłaszcza jeśli dostawca przeprowadza obowiązkowe audyty w interwale rocznym. Mimo to w niektórych przypadkach takie dodatkowe badanie może być uzasadnione, np. w przypadku prowadzonych postępowań administracyjnych.

KNF może w szczególności oczekiwać przeprowadzenia audytu zgodności w przypadku wniosku o zezwolenie na skorzystanie z wyłączenia SCA dla procesów i protokołów korporacyjnych. W takim przypadku wnioskodawca powinien bowiem wykazać, że metody zlecania płatności będące przedmiotem wniosku „gwarantują poziom bezpieczeństwa równoważny co najmniej poziomowi przewidzianemu w dyrektywie (UE) 2015/2366”. Nie zawsze wykonanie audytu będzie niezbędne, ale w praktyce ułatwi uzyskanie korzystnej decyzji KNF.

Innym postępowaniem, w którym KNF może potencjalnie oczekiwać od banku przedstawienia raportu z przeprowadzonego audytu zgodności – choć w nieco innym zakresie – jest postępowanie o objęcie dostawcy prowadzącego rachunek (ASPSP) wyłączeniem z obowiązku ustanowienia mechanizmów awaryjnych w zakresie dostępu do rachunku lub o cofnięcie takiego wyłączenia. W takim przypadku kluczowym elementem audytu byłaby jednak zgodność udostępnionego przez bank interfejsu z wymogami określonymi w przepisach rozporządzenia 2018/389.


Audyty wynikające z rozporządzenia 2018/389 a inne audyty bezpieczeństwa w banku

Często obowiązkowe audyty są łączone z ogólnymi okresowymi audytami bezpieczeństwa prowadzonymi przez dostawców. EBA we wspomnianym już Q&A nr 2018_4152 wprost przyznaje dopuszczalność takiej praktyki, pod warunkiem spełnienia wymogów określonych w rozporządzeniu (w szczególności dotyczących niezależności audytora) i wspomnianej już możliwości wyodrębnienia z pełnego raportu tej części, która dotyczy zgodności z RTS. Dostawca powinien również zapewnić, że audyty (w tym audyty przeprowadzane przez audytora zewnętrznego, jeśli są wymagane) odbywają się z częstotliwością przewidzianą przepisami rozporządzenia 2018/389.

Podejście EBA ma istotne znaczenie, biorąc pod uwagę, że obowiązek przeprowadzania audytów bezpieczeństwa coraz częściej pojawia się w unijnych regulacjach nakładanych na sektor finansowy, a w szczególności na banki. Wśród obowiązujących regulacji prawnych wymóg przeprowadzania takich audytów i testów bezpieczeństwa wynika między innymi z przepisów rozporządzenia o ochronie danych osobowych, a także z wytycznych organów nadzoru, w szczególności wytycznych EBA w sprawie zarządzania ryzykiem związanym z technologiami i bezpieczeństwem ICT oraz rekomendacji D i komunikatu chmurowego, wydanych przez KNF. W praktyce prowadzenie odrębnych audytów dla potrzeb wykonania każdego z tych obowiązków mijałoby się z celem i zasadne jest dopuszczenie prowadzenia rozbudowanych audytów obejmujących wszystkie elementy wymagane przepisami i oczekiwane przez nadzorców na podstawie soft law.


Audyty na podstawie DORA

Dla obszaru testów i audytów bezpieczeństwa w bankach kluczową regulacją w najbliższych latach będzie DORA, czyli nadchodzące unijne rozporządzenie o cyfrowej odporności operacyjnej. Zgodnie z projektowanymi wymogami, DORA znacząco rozbuduje obowiązki instytucji finansowych w zakresie testowania wykorzystywanych narzędzi i systemów ICT. Testy te powinny obejmować również mechanizmy komunikacji z TPP oraz uwierzytelniania użytkownika. Co trzy lata banki będą zobowiązane również do przeprowadzenia zaawansowanych audytów bezpieczeństwa opartych na testach penetracyjnych, które to testy mają objąć krytyczne i istotne funkcje ICT zidentyfikowane w banku. Z punktu widzenia organizacji całego procesu testowania i audytowania obszaru bezpieczeństwa w bankach, istotnym wymogiem, ułatwiającym nieco zarządzanie wymogami dotyczącymi audytów środków bezpieczeństwa, będzie obligatoryjne opracowanie i utrzymywanie przez banki programów testowania cyfrowej odporności operacyjnej, stanowiących element systemu zarządzania ryzykiem ICT. Szczegóły programów testowania zostaną dookreślone w oddzielnych regulacyjnych standardach technicznych, do których opracowania zostaną na mocy DORA zobowiązane unijne organy nadzoru nad rynkiem finansowym: EBA, ESMA i EIOPA.


Podsumowanie

Z rozporządzenia 2018/389 wynika kilka różnych typów audytów środków bezpieczeństwa, których wykonanie w banku może być niezbędne. Oprócz audytów obowiązkowych, którym podlegają wszyscy dostawcy usług płatniczych, niektóre audyty mogą być uzależnione od korzystania lub zamiaru skorzystania z określonego uprawnienia wynikającego z rozporządzenia. Dodatkowo, wraz ze wzrostem liczby regulacji nakładających obowiązek przeprowadzenia audytu, wzrasta rola samego zarządzania audytami od strony organizacyjnej. Kluczowym instrumentem z punktu widzenia obszaru zgodności w banku będzie program testowania, wymagany zgodnie z projektowanymi przepisami rozporządzenia DORA. Jego zakres powinien obejmować kompleksowo obszar audytów i testów bezpieczeństwa w banku, w tym audytów wynikających z przepisów rozporządzenia 2018/389.

Document

Raport: Dokąd zmierza Buy Now Pay Later w Europie
Najnowsze trendy regulacyjne

W 2022 roku produkty Buy Now Pay Later (BNPL) w dalszym ciągu zyskują zainteresowanie wśród konsumentów oraz merchantów. Wraz z wrastającą popularnością zwróciły one również uwagę regulatorów dbających o bezpieczeństwo konsumentów na rynkach finansowych.

Dowiedz się więcej

Zapraszamy do zapoznania się z naszym Blogiem Prawo Nowych Technologii

Innowacje i wszechobecna cyfryzacja napędzają wzrost przedsiębiorstw i są dziś nieodzownym elementem strategii każdej organizacji. W dynamicznie zmieniającej się rzeczywistości, niezwykle ważna jest umiejętność stosowania odpowiednich regulacji prawnych i podatkowych.

Dowiedz się więcej

Subskrybuj "Biuletyn prawny dla branży finansowej"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.

Czy ta strona była pomocna?