Milena Koreňová
Marcel Laznia
Peter Kopriva
TPP TLS 1.2+ (AEAD) eidas authentication certificate (ETSI 119 495) EV certificate, eidas QWAC a QSeal (in transition preriod) ASPSP
Participant Contracting phase Gateway Processing phase Founds availability Y/N - PISP PO - PISP Account information - AISP TRN for AISP - AISP Special settings On the Client Account NBS Register (EBA Register) $ Bank PISP/AISP/CPISP Accepted CA Contract Specific account information service provider Explicit consent Lic Num PK PK PKI Approval Submited PKI Approval Start Contact Who are you Request PKI OK PKI Approval Cert Authority DataHub PKI OK No TPP Request to register/ Corporate contract PKI NO PKI NO Submited Client Contract YES Corporate Is Tpp in evidence White list Client Contract Exist Corporate contract NO No Correct PISP/AISP Research Not Correct Not Correct No Info No Corporat Client Banking API Based PSD2 API Yes Correct Manage formats And decomposition To requests Decompositioned Requarement transaction Decompositioned Requarement transaction Decompositioned Requarement transaction Correct Manage Rules For single request Fraud detection Ack Client For yes Client gen. Yes/No Based WL or Rules Exist Explicit consent? Yes/No DataHub Yes Service Information No Collect Answ For Client Msg to the Client No Collect Answ For Provider Respons to AISP Client wish list Bank Client Bank Client YES/NO Msg You was asked Push Notification Banking FE app Wish list Certification Authority List of CA PKI Certificate PKI Certificate Cert Authority Cert Authority New DataHub technology Fast processing Fast saving Fast Decomposition and composition of Files Service is a preparation process for processing of one request on one account in one of 4 types
Martin Špaček
PSU TPP (AISP) Authoriz. server Bank API 1 : start 1.1: redirect to Authors. server 2: /authorize Identification and authorization according to RFC 6749 sec. 4.1 step B 2.1: redirect with authorization code 2.1.1: authorization code 2.1.1.1: /token 2.1.1.1.2: access and refresh token 2.1.1.1.1: verify certificate alt [expired access token] 3: /token (grant_type=refresh_token) 3.1: access and refresh token
PSU TPP (AISP) Authoriz. server Bank API loop 5: account information request 5.1: /api/v1/accounts /information 5.3: response 5.2: response 6: account transaction request 6.1: /api/v1/accounts /transactions 6.3: response 6.2: response opt. 4: account list request 4.1: /api/v1/accounts 4.3: response 4.2: response
PSU TPP (PISP) Authoriz. server Bank API alt 1 - One time payment (Pure PISP) [client credential grant] 1: /token 1.1: access token alt 2 - Mixed AISP/PISP approach [authorization code grant] 2: /token 1.1: access and refresh token
PSU TPP (PISP) Authoriz. server Bank API 3 : payment initialisation 3.1: /api/payments/[standard/ecomm]/[iso/sba] 3.3: redirect to Auth. Server, orderid 3.2: response with orderid 4: /authorize with orderid Identification and authorization according to RFC 6749 sec. 4.1 step B 4.1: authorization code 4.1.1: authorization code 4.1.1.1: /token 4.1.1.1.2: access token 4.1.1.1.1: verify certificate 4.1.1.2: /api/payments/submission 4.1.1.3: response
PSU TPP (PISP) Authoriz. server Bank API Payment order status request 5: /api/v1/payment/orderid/status 5.1: response
API endpoint Metóda Charakter Popis
PSU TPP (PIISP) Authoriz. server Bank API alt 1 paper consent registration [client credential grant] 1: /token 1.1: access token alt 2 electronic consent registration [authorization code grant] 2: /token 1.1: access and refresh token
PSU TPP (PIISP) Authoriz. server Bank API 4: /api/v1/account/balancecheck 4.1: responce
Marcel Laznia
Ďakujeme Slovenská banková asociácia Mýtna 48, 811 08 Bratislava - psd2@sbaonline.sk - +421 / 2 / 57 205 301 - www.sbaonline.sk
Príloha: Technické východiská SBAS Transport protocols Applicative protocol Authorization protocol Authentication methods: Character set Data structure Data model origin Character case convention TLS1.2+, HTTP REST OAuth 2.0 (client credential grant, authorization code grant) Based on re-direct UTF-8 JSON (XML in the payment initiation services) ISO 20022 is preferable used for attributes name lowercamelcase
Európsky orgán dohľadu pre bankovníctvo (ďalej len EBA ) v spolupráci s príslušnými zainteresovanými stranami a Európskom centrálnou bankou (ďalej len ECB ) vydal tieto vykonávacie predpisy: 6. Usmernenia o požiadavkách na vykazovanie podvodov podľa článku 96 ods. 6 smernice (EÚ) 2015/2366 (PDS2). Usmernenia o oznamovaní podvodov, ktoré sa vydávajú v súlade s článkom 96 ods. 6 smernice PSD2. Členským štátom z tohto usmernenia vyplýva povinnosť zabezpečiť, aby poskytovatelia platobných služieb poskytovali svojim príslušným orgánom aspoň raz ročne štatistické údaje o podvodoch súvisiacich s rôznymi platobnými prostriedkami. Uvedené štatistické údaje následne poskytne NBS orgánu EBA a ECB. Ešte nevydaný materiál 7. Regulačný technický predpis (ďalej aj RTS ) o silnej autentifikácii a bezpečnej komunikácii. RTS ustanovujúce požiadavky na silnú autentifikáciu zákazníka a požiadavky na spoločné a bezpečné otvorené komunikačné normy podľa článku 98 smernice PSD2. RTS je kľúčovým dokumentom pre dosiahnutie účelu PSD2, ktorým je zlepšenie ochrany spotrebiteľa, podpora inovácií a zvýšenie bezpečnosti poskytovania platobných služieb v rámci Európskej únie. RTS boli schválené Európskou komisiou dňa 27. 11. 2017 8. Regulačný technický štandard určujúci vhodné kritéria na zriadenie a funkcie centrálneho kontaktného miesta podľa článku 29 ods. 4 podľa smernice (EÚ) 2015/2366. Ustanovenia RTS obsahujú kritériá, ktoré sa majú uplatniť pri určovaní okolností, za ktorých je stanovenie ústredného kontaktného bodu vhodné, ako aj funkcií týchto kontaktných bodov podľa článku 29 ods. 4 smernice PSD2. Taktiež sa predpisom upravujú kritériá, pri splnení ktorých budú členské štáty vyžadovať od zahraničných platobných inštitúcií, ktoré poskytujú na ich území platobné služby prostredníctvom agentov na základe práva usadiť sa, zriadenie centrálneho kontaktného bodu 9. Regulačný technický štandard ukladajúci technické požiadavky na vytvorenie, fungovanie a zriadenie elektronického centrálneho registra a na vstup obsahujúcich informácii podľa článku 15 ods. 4 smernice (EÚ) 2015/2366 a Implementujúci technický štandard (ďalej len ITS ) o podrobnostiach a štruktúre informácii zadávanými príslušnými orgánmi v ich verejných registroch podľa článku 15 ods. 5 smernice 2015/2366 (PSD2). V RTS sa stanovujú technické požiadavky týkajúce sa vytvorenia, prevádzky a údržby elektronického centrálneho registra a prístupu k údajom, ktoré obsahuje podľa článku 15 ods. 4 smernice PSD2, a ITS upravuje podrobnosti a štruktúru údajov, ktoré majú príslušné orgány uvádzať vo svojich verejných registroch, a oznamovať EBA podľa článku 15 ods. 5 smernice PSD2. 10. Regulačný technický štandard o spolupráci medzi príslušnými orgánmi domovského a hostiteľského členského štátu o dohľade nad výkonom činností platobných inštitúcií poskytujúcich služby cezhranične podľa článku 29 ods. 6 Smernice PSD2. V RTS sa vymedzuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi domovského členského štátu a hostiteľského členského štátu. 11. Regulačné technické štandardy o spolupráci a výmene informácií medzi príslušnými orgánmi, týkajúce sa oznamovania cezhraničného poskytovania služieb platobnými inštitúciami. Delegovaným nariadením sa ustanovuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi pri oznamovaní platobných inštitúcií, ktoré vykonávajú svoju činnosť cezhranične podľa článku 28 ods. 5 smernice PSD2.