Milena Koreňová

•

•

•

•

•

•

Marcel Laznia

•

•

•

•

•

•

•

Peter Kopriva

TPP ASPSP

TLS 1.2+ (AEAD)eIDAS authentication certificate

(ETSI 119 495)

EV certificate, eIDAS QWAC a QSeal(in transition preriod)

•

•

•

•

•

•

•

•

•

•

Decompositioned Requarement transactionDecompositioned Requarement transaction

Decompositioned Requarement transaction

$

Bank

Bank Client

PISP/AISP/CPISP

Participant Contracting phase

Account information - AISP

Specific account information service provider

Correct

Respons to AISP

Processing phase

Service Information

MsgYou was asked

Push Notification

Client wish list

Banking FE appWish list

Contract

Special settingsOn the

Client AccountGateway

Request to register/Corporate contract

Research

No InfoRequest

Submited

Exist Corporatecontract

Submited Is Tpp in evidence

Yes

No

No CorrectPISP/AISP

YESCorporate

No

TP

P

Correct

Not Correct

PKI Approval

PKI OK

CertAuthority

PKI Certificate

Explicit consent

LicNum

PK

PKI NO

White listClient Contract

Cli

en

t C

on

tra

ct

Manage formatsAnd decomposition

To requestsNot Correct

Manage RulesFor single requestFraud detection

Ack Client For yes

Bank Client YES/NO

Ye

s/N

o

Exist Explicit consent?

NoNo

Client gen. Yes/NoBased WL or Rules

Yes

CertificationAuthority

CertAuthority

PKI Approval PKI NO

PKI OK

Msg

to

th

e C

lie

nt

Collect AnswFor Provider

Collect AnswFor Client

TRN for AISP - AISP

PO - PISPFounds availability Y/N - PISP

List of CA

Accepted CA

DataHub

Service is a preparation process for processing of

one request on one account in one of 4 types

NBS Register(EBA Register)

DataHub

New DataHub technologyFast processing

Fast savingFast Decomposition and composition of Files

Corporat ClientBanking API

Based PSD2 API

NO

PKI Certificate

PK

ContactWho are you

CertAuthority

PKI Approval

Start

Martin Špaček

Authoriz. serverTPP (AISP)PSU Bank API

1 : start

Identification and authorization according to RFC 6749 sec. 4.1 step B

2: /authorize

1.1: redirect to Authors. server

2.1: redirect with authorization code

2.1.1: authorization code 2.1.1.1: /token

2.1.1.1.2: access and refresh token

2.1.1.1.1: verify certificate

3: /token (grant_type=refresh_token)

3.1: access and refresh token

[expired access token]alt

Authoriz. serverTPP (AISP)PSU Bank API

loop

opt.4: account list request

4.3: response

4.1: /api/v1/accounts

4.2: response

5: account information request

5.3: response

5.1: /api/v1/accounts /information

5.2: response

6: account transaction request

6.3: response

6.1: /api/v1/accounts /transactions

6.2: response

Authoriz. serverTPP (PISP)PSU Bank API

1: /token

1.1: access token

[client credential grant]

alt 1 - One time payment (Pure PISP)

2: /token

1.1: access and refresh token

[authorization code grant]

alt 2 - Mixed AISP/PISP approach

Authoriz. serverTPP (PISP)PSU Bank API

3 : payment initialisation

Identification and authorization according to RFC 6749 sec. 4.1 step B

3.3: redirect to Auth. Server, orderID

4.1: authorization code

4.1.1: authorization code 4.1.1.1: /token

4.1.1.1.2: access token

4.1.1.1.1: verify certificate

4: /authorize with orderId

3.1: /api/payments/[standard/ecomm]/[iso/sba]

3.2: response with orderId

4.1.1.2: /api/payments/submission

4.1.1.3: response

Authoriz. serverTPP (PISP)PSU Bank API

5: /api/v1/payment/orderId/status

5.1: response

Payment order status request

API endpoint Metóda Charakter Popis

Authoriz. serverTPP (PIISP)PSU Bank API

1: /token

1.1: access token

[client credential grant]

alt 1 – paper consent registration

2: /token

1.1: access and refresh token

[authorization code grant]

alt 2 – electronic consent registration

Authoriz. serverTPP (PIISP)PSU Bank API

4: /api/v1/account/balanceCheck

4.1: responce

Marcel Laznia

Ďakujeme

Slovenská banková asociácia – Mýtna 48, 811 08 Bratislava - psd2@sbaonline.sk - +421 / 2 / 57 205 301 - www.sbaonline.sk

Príloha: Technické východiská SBAS

Transport protocols TLS1.2+, HTTP

Applicative protocol REST

Authorization protocol OAuth 2.0 (client credential grant, authorization code grant)

Authentication methods: Based on re-direct

Character set UTF-8

Data structure JSON (XML in the payment initiation services)

Data model origin ISO 20022 is preferable used for attributes name

Character case convention lowerCamelCase

•

•

Európsky orgán dohľadu pre bankovníctvo (ďalej len „EBA“) v spolupráci s príslušnými zainteresovanými stranami a Európskom centrálnou bankou (ďalej len „ECB“) vydal tieto vykonávacie predpisy:

6. Usmernenia o požiadavkách na vykazovanie podvodov podľa článku 96 ods. 6 smernice (EÚ) 2015/2366 (PDS2). Usmernenia o oznamovaní podvodov, ktoré sa vydávajú v súlade s článkom

96 ods. 6 smernice PSD2. Členským štátom z tohto usmernenia vyplýva povinnosť zabezpečiť, aby poskytovatelia platobných služieb poskytovali svojim príslušným orgánom aspoň raz ročne

štatistické údaje o podvodoch súvisiacich s rôznymi platobnými prostriedkami. Uvedené štatistické údaje následne poskytne NBS orgánu EBA a ECB. Ešte nevydaný materiál

7. Regulačný technický predpis (ďalej aj „RTS“) o silnej autentifikácii a bezpečnej komunikácii. RTS ustanovujúce požiadavky na silnú autentifikáciu zákazníka a požiadavky na spoločné a

bezpečné otvorené komunikačné normy podľa článku 98 smernice PSD2. RTS je kľúčovým dokumentom pre dosiahnutie účelu PSD2, ktorým je zlepšenie ochrany spotrebiteľa, podpora

inovácií a zvýšenie bezpečnosti poskytovania platobných služieb v rámci Európskej únie. RTS boli schválené Európskou komisiou dňa 27. 11. 2017

8. Regulačný technický štandard určujúci vhodné kritéria na zriadenie a funkcie centrálneho kontaktného miesta podľa článku 29 ods. 4 podľa smernice (EÚ) 2015/2366. Ustanovenia RTS

obsahujú kritériá, ktoré sa majú uplatniť pri určovaní okolností, za ktorých je stanovenie ústredného kontaktného bodu vhodné, ako aj funkcií týchto kontaktných bodov podľa článku 29 ods. 4

smernice PSD2. Taktiež sa predpisom upravujú kritériá, pri splnení ktorých budú členské štáty vyžadovať od zahraničných platobných inštitúcií, ktoré poskytujú na ich území platobné služby

prostredníctvom agentov na základe práva usadiť sa, zriadenie centrálneho kontaktného bodu

9. Regulačný technický štandard ukladajúci technické požiadavky na vytvorenie, fungovanie a zriadenie elektronického centrálneho registra a na vstup obsahujúcich informácii podľa článku 15

ods. 4 smernice (EÚ) 2015/2366 a Implementujúci technický štandard (ďalej len „ITS“) o podrobnostiach a štruktúre informácii zadávanými príslušnými orgánmi v ich verejných registroch podľa

článku 15 ods. 5 smernice 2015/2366 (PSD2). V RTS sa stanovujú technické požiadavky týkajúce sa vytvorenia, prevádzky a údržby elektronického centrálneho registra a prístupu k údajom,

ktoré obsahuje podľa článku 15 ods. 4 smernice PSD2, a ITS upravuje podrobnosti a štruktúru údajov, ktoré majú príslušné orgány uvádzať vo svojich verejných registroch, a oznamovať EBA

podľa článku 15 ods. 5 smernice PSD2.

10. Regulačný technický štandard o spolupráci medzi príslušnými orgánmi domovského a hostiteľského členského štátu o dohľade nad výkonom činností platobných inštitúcií poskytujúcich služby

cezhranične podľa článku 29 ods. 6 Smernice PSD2. V RTS sa vymedzuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi domovského členského štátu a hostiteľského

členského štátu.

11. Regulačné technické štandardy o spolupráci a výmene informácií medzi príslušnými orgánmi, týkajúce sa oznamovania cezhraničného poskytovania služieb platobnými inštitúciami.

Delegovaným nariadením sa ustanovuje rámec spolupráce a výmeny informácií medzi príslušnými orgánmi pri oznamovaní platobných inštitúcií, ktoré vykonávajú svoju činnosť cezhranične

podľa článku 28 ods. 5 smernice PSD2.