Być jak PayU, czyli kilka słów o usłudze inicjowania płatności (Payment Initiation Service)

Bez wątpienia można stwierdzić, że usługi inicjowania płatności zrewolucjonizowały rynek e-commerce. Dzięki rozwiązaniom, które oferuje chociażby PayU czy Przelewy24 transakcje pomiędzy klientem a przykładowo sklepem lub usługodawcą odbywają się na bieżąco. Nie musimy już czekać na potwierdzenia dokonania przelewów, a tym bardziej ich przesyłać odbiorcom płatności. Usługa payment initation service została również dostrzeżona przez prawodawców, czego efektem jest jej wyraźne wprowadzenie w PSD2.

Usługa inicjowania płatności polega na zainicjowaniu zlecenia płatniczego przez dostawcę (Payment Initiation Service Providers – PISP) i na wniosek użytkownika rachunku bankowego – transakcji płatniczej. Innymi słowy, posiadacz rachunku w banku za pomocą innego dostawcy (bank również jest dostawcą, ale rachunku!) zleca dokonania zapłaty określonej sumy na rachunek bankowy odbiorcy. Dzięki temu transakcje odbywają się błyskawicznie. Należy przy tym podkreślić, że z usługi tej użytkownik może skorzystać jedynie w przypadku, gdy rachunku dostępnego on-line.

Najpierw poinformuj klienta…

Abstrahując od wymogów organizacyjnych dla takiego dostawcy (to temat na odrębny artykuł – tutaj pisałem o małych instytucjach płatniczych), na PISP ciążą pewne obowiązki. Przede wszystkim, zaraz po złożeniu zlecenia dostawca ma obowiązek przekazać i udostępnić płatnikowi (użytkownikowi rachunku, a w niektórych przypadkach również odbiorcy) trzy podstawowe informacje: (i) potwierdzenie prawidłowego złożenia zlecenia w banku; (ii) numer identyfikacyjny transakcji; (iii) informacje o kwocie transakcji i łącznej kwocie opłat. Z oczywistych względów PISP musi również przekazać bankowi numer identyfikacyjny transakcji.

A potem…

Zadbaj o spełnienie określonych wymogów. PISP nie może wejść w posiadanie środków pieniężnych płatnika w związku ze świadczeniem usługi. Dostawca ten musi również zapewnić, aby indywidualne dane uwierzytelniające (np. login) (IDU) nie były dostępne dla podmiotów trzecich (z wyłączeniem banku użytkownika). Te dane muszą być również przekazywane za pośrednictwem bezpiecznych i wydajnych kanałów. Niezwykle istotne jest więc ich szyfrowanie i stosowanie odpowiednich metod kryptograficznych. Przy okazji inne dane niż IDU mogą być przekazywane wyłącznie odbiorcy i za zgodą użytkownika (wyraźną!).

W aspekcie technicznym PISP musi zidentyfikować się wobec banku i za pomocą bezpiecznych kanałów w sposób określony w Rozporządzeniu 2018/389 (popularny RTS – spójrz art. 28 i 29). Ponadto, istnieje wyraźny zakaz przechowywania danych szczególnie chronionych, a więc takich jak IDU czy danych, które mogą być wykorzystywane do dokonywania oszustw. PISP nie może również żądać od użytkownika innych danych niż te, które są niezbędne do wykonania usługi. Danych, które pozyskał w związku z realizacją usługi nie może również wykorzystywać do innych celów. Co oczywiste, dostawca ten nie może również zmieniać kwoty, odbiorcy ani innych danych dotyczących transakcji.

I to w zasadzie tyle. Nie wspomniałem tutaj oczywiście o wymaganiach w zakresie zarządzania ryzykiem operacyjnym i bezpieczeństwa, które są opisane chociażby tutaj – wytycznych EBA (to temat na odrębny artykuł), czy obowiązków raportowania do KNF. Powyższe wymagania odnoszą się stricte do kwestii realizacji usługi PISP.

Skoro mowa o identyfikacji…

Kwestia bezpieczeństwa płatności jest bardzo istotna. Z tego względu RTS nakłada na dostawców obowiązki w zakresie identyfikowalności transakcji. Ma to szczególne znaczenie w przypadku stosowania aplikacji mobilnych. PISP jest więc zobowiązany do posiadania procesów zapewniających identyfikowalność wszystkich transakcji i innych interakcji z użytkownikiem czy innymi dostawcami – na wszystkich etapach transakcji.

Obejmuje to m.in. zapewnienie, aby wszystkie sesje komunikacyjne opierały się na niepowtarzalny identyfikatorze sesji, mechanizmach bezpieczeństwa umożliwiających rejestrowanie transakcji. To bardzo istotne kwestie, które wpływają na bezpieczeństwo transakcji i środków pieniężnych użytkowników.