Oto opinie i podziękowania (fragment) Sz. Słuchaczy:
„dziękuję za świetne szkolenie 🙂
Dziękuję
Dziękuję 🙂
Dziękujemy za cenną dawkę wiedzy
Dziękuję 🙂
dziekiuje
Dziękuje„
Potwierdzam; bardzo merytoryczne, praktyczne i pragmatyczne. Dołączam się do podziękowań dla WYKŁADOWYCY Sz. Kol. Andrzeja Dubisa.
Na szkoleniu o PSD2 Sz. Kol. Andrzej Dubis omówił pytania ostatniej (DZISIEJSZEJ, 23 VIII) ankiety SCA nr 2.
Wykładowca odniósł się do nast. pytań:
1. Proszę wskazać jakie rozwiązania w zakresie silnego uwierzytelnienia wprowadził/wprowadza Bank
1a. Proszę uwzględnić harmonogram wdrażania przedmiotowego rozwiązania
2. Czy Bank skutecznie poinformował klientów o wdrożonych/planowanych zmianach
2a. Jeżeli TAK, to kiedy i w jaki sposób?
3.Proszę wskazać czy Bank zindetyfikował jakiekolwiek problemy w przedmiotowym zakresie
3a. Jeżeli TAK, to w jakie działania podjął w celu ich zminimalizowania/wyeliminowania?
4. Proszę przekazać informację na temat skali i zakresu reklamacji wpływających do Banku w przedmiotowej sprawie oraz sposobu ich procedowania.
Ponadto wykładowca omówił dokładnie poprzednią ankietę KNF – z dn. 22 VII 2019. Ankieta dzisiejsza jest uzupełnieniem tej z 22 VII.
Informacja z jednego z BS-ów:
„[…] przed chwilą otrzymałam e-mail wyjaśniający na jakim etapie jest SGB z HUB SGB i jest informacja >>W chwili obecnej nie jest planowane składanie wniosków do KNF o zwolnienie z opcji fallback dla interfejsów on-line<< ze względu … na niemożliwość spełnienia wymogu, bo nie zgłosił się żaden TPP”
Ja z kolei zadam pytanie otwarte: czy ktoś z Państwa orientuje się na jakim etapie jest SGB Bank jeśli chodzi o budowę huba PSD2?
Jeden z BS-owców napisał:
„SGB nie wysyła żadnych informacji, wielka niewiadoma”
Podsumowując informacje, które spływają do BS BLOG-a od BS-owców:
Nasuwa się pytanie, czy w SGB Banku już działa interfejs „podstawowy” (hub PSD2)?? Jeden z BS-owców napisał:
„SGB nie wysyła żadnych informacji, wielka niewiadoma”
Temat zwolnienia z interfejsu zapasowego został omówiony przez Sz. Kom. Andrzeja Dubisa bardzo dokładnie. Oto kilka uwag uczestników dzisiejszego szkolenia o PSD2 nt. złożenia wniosku o zwolnienie z fallback-u:
„jesteśmy przekonani, co do braku możliwości złożenia wniosku”
„bardzo przekonani”
„braku możliwości technicznych dla niezbyt dużego bs”
„najprawdopodobniej było to spowodowane brakiem wiadomości, szczegółów nt. jak to wszystko wygląda, ten komplet działań jest to ewidentne zniechęcanie przez KNF
„wszyscy co są do huba zrzeszającego są zablokowani co do fallback”
Zachęcam do lektury art. z portala KPMG: Dyrektywa PSD2 zmieni oblicze sektora finansowego – KPMG Poland
Oto fragment publikacji:
„Zdaniem 41 proc. przedstawicieli banków w pierwszym roku po wdrożeniu PSD2 ich główną konkurencją będą inne banki, jednak w perspektywie 3 lat banki najbardziej obawiają się konkurencji ze strony firm technologicznych (32 proc.) i tzw. GAFA (Google, Apple, Facebook, Amazon) – 53 proc. Równocześnie ponad 60 proc. ankietowanych konsumentów w Polsce wskazuje, że pomimo wejścia w życie nowych regulacji, nie przekaże innym podmiotom historii transakcji, nawet w zamian za lepiej dopasowaną ofertę finansową.”
Źródło powyższej grafiki i cytowanego tekstu: http://home.kpmg
Czy uważa Pani / Pan, że decyzja KNF o zablokowaniu utworzenia nowego zrzeszenia (wokół Banku PBA) była SŁUSZNA?: Tak
Prosimy w kilku słowach uzasadnić powyższą odpowiedź:: Skoro
merdające ogonkami pieski próbujące dotrwać do emerytury pobiegły
stadnie ratować pogrążone w złych aktywach banki zrzeszające nawet bez
kija czy marchewki co co inni mają mieć lepiej. Co sobie myśleli, że
wyjdą z bagna otrzepią się i pójdą? Żeby dołek zasypać potrzebne są
ciała wszystkich baranków.
Czy uważa Pani / Pan, że decyzja KNF o zablokowaniu utworzenia nowego zrzeszenia (wokół Banku PBA) była SŁUSZNA?: Nie
Prosimy w kilku słowach uzasadnić powyższą odpowiedź:: Było to zrobione nieprawnie i po terminie. To tylko za rządów PIS mogło mieć
miejsce. Sami złodzieje i oszuści.
Właściwie zadawane jest pytanie za pytaniem – widać, że zainteresowanie tematem jest bardzo duże. Na zdjęciu – zrzut ekranu z webinarowego chatu.
Przypuszczam, że szkolenie nie skończy się o czasie… 🙂 🙂 Jeden z uczestników napisał humorystycznie: ” to chyba dwudniowa impreza 🙂 „
Trwa szkolenie – pytań do Wykładowcy jest mnóstwo; Sz. Kol. Andrzej Dubis odpowiada na bieżąco. Minęło raptem pół godziny szkolenia a Wykładowca odpowiedział już na – myślę – ok. 20 – 30 pytań. Spotkanie ma charakter silnie warsztatowy, praktyczny i mocno, mocno interaktywny.
Jeden z uczestników szkolenia polecił art. na portalu Interia „Banki testują nowe narzędzie„. Przekazuję link:
Rozpoczęło się właśnie szkolenie „Wdrożenie PSD2 w Banku„. Szkolenie prowadzi Sz. Kol. Andrzej Dobis (PBS).
W szkoleniu bierze udział 50 osób.
Właśnie mowa o zwolnieniu z opcji fallback.
Sam także z dużym zaciekawieniem wezmę w nim udział – jako słuchacz. Sz. Kol. Andrzej Dubis ma na temat PSD2 dużo ciekawego do powiedzenia; brałem udział w pierwszej edycji szkolenia (kilka miesięcy temu), ale od tego czasu pojawiło się wiele kontrowersji i pytań związanych ze zwolnieniem z opcji fallback.
Ostatnio Bank Zrzeszający zmienił zdanie (być może inspirowany stanowiskiem UKNF) i twierdzi, że jednak będzie budował interfejs zapasowy. W takim układzie, składanie wniosku o zwolnienie nie byłoby zasadne.
Czy to ostateczne stanowisko BZ? – trudno powiedzieć. Ciekaw jestem, jak jutro ten temat skomentuje Sz. Kol. Andrzej. Tak więc do jutra – do „zobaczenia” na szkoleniu „Wdrożenie PSD2 w Banku„. Frekwencja jest bardzo dobra – ok. 50 osób weźmie udział w wydarzeniu. Tu program imprezy:
Program szkolenia ON-LINE „Wdrożenie dyrektywy PSD2 w Banku” (23 VIII)
Cały czas spływają zgłoszenia na piątkowe szkolenie o PSD2. Ponieważ uczestników będzie naprawdę dużo, zdecydowaliśmy, że – aby wszyscy mieli pewność, że wiedzą jak się połączyć i że kanały audio-wideo działają poprawnie – w czwartek o g. 12 uruchomimy połączenie testowe.
Zapraszamy zatem wszystkie osoby zarejestrowane na szkolenie „Wdrożenie PDS2 w Banku” na połączenie testowe.
Natomiast Ci z Państwa, którzy chcą się jeszcze na szkolenie zarejestrować zarejestrować zapraszamy do kontaktu z Koordynatorem Szkoleń i Konferencji, p. Katarzyną Wiśniewską (katarzyna.wisniewska@kerberos.pl, kom. 600 873 667 )
Mam wrażenie, że Sz. Kom. AD VOCEM nie do końca sprawiedliwie mnie ocenia. Pisze tak:
„I o takie podejście do audytu chyba chodzi. Przecież Panie Albercie jest Pan cenionym audytorem, co potwierdzają kontrolujący banki regulatorzy.”
Odpowiadam: Dziękuję, bardzo miło mi czytać takie słowa… 🙂
„Bo w Bankach rzeczywiście będzie potrzebny audyt PSD2, ale nie w kontekście określonym w ofercie. Czy nie warto działać tak jak dotychczas? Bez niepotrzebnego wprowadzającego banki w błąd sztucznego tworzenia popytu na audyty służące do zwolnienia z opcji fall back (nierealne od samego początku), z sugestią zwolnienia z interfejsu awaryjnego (nie ma czegoś takiego).”
Odpowiadam: Obawiam się, że Sz. Komentator jest całkowitym błędzie:
„A potem pozostaje w bankach pewien niesmak i poczucie, że ktoś ich oszukał.”
Odpowiadam: To chyba słowa, które powinny być skierowane nie do nas, a do tej organizacji, która jest źródłem informacji, że do zwolnienia z fallback-u trzeba będzie wykonać AuPSD2. Zresztą; nie sądzę, że zrzeszenie zrobiło tu coś złego – wtedy była koncepcja składania wniosków o zwolnienie (która teraz padła) i być może pomysł obligatoryjnych dla tego wniosku audtów PSD2 nie był pomysłem zrzeszenia, a KNF-u. Tak, czy siak, nie sądzę, by ktokolwiek (czy to zrzeszenie, czy KNF) tratować jako „winnego”. Wypracowano taką koncepcję i już.
Powtórzę, pomysł, że do zwolnienia z fallback-u trzeba wykonać AuPSD2 NIE JEST NASZYM POMYSŁEM – koncepcja została nam przekazana jako pochodząca ze zrzeszenia. Chyba słowa Sz. Komentatora są zbyt surowe wobec mnie…
Powoli dochodzimy do 50(!) osób zarejestrowanych na szkolenie on-line o PSD2 🙂 🙂 🙂 – właśnie wykupujemy dodatkowe dostępy u operatora platformy webinarowej, na której będzie prowadzone szkolenie.
Wygląda na to, że pomysł szkolenia okazał się strzałem w 10! – temat jest na czasie, wszak 14 IX ma wystartować produkcyjny tryb PSD2. Myślę, że bardzo pozytywny wpływ na rosnącą frekwencję ma osoba Sz. Kol. Andrzeja Dubisa (Dyr. Dep. IT PBS) – wykładowcy prowadzącego webinarium. Sz. Kol. Andrzej dał się poznać jako bardzo komunikatywny i zaawansowany merytorycznie prelegent na licznych konferencjach, jakie zorganizowaliśmy dla środowiska.
Nie bez znaczenia jest też to, szkolenie odbędzie się w trybie ON-LINE, co nie implikuje żadnych kosztów logistycznych (dojazd, hotel) i konieczności tracenia czasu na podróż. To już któreś z rzędu szkolenie w tej formie – została ona pozytywnie przyjęta przez BS-owców. Szkoda, że wcześniej nie wdrożyliśmy tej formuły edukacji…
O zainteresowaniu tematem PSD2 świadczy też dyskusja nt. wdrożenia tej dyrektywy w Bankach Spółdzielczych, jaka obecnie toczy się na BS BLOG-u.
Tu program szkolenia:
Program szkolenia ON-LINE „Wdrożenie dyrektywy PSD2 w Banku” (23 VIII)
Andrzej Dubis, Podkarpacki Bank Spółdzielczy
Pełnomocnik Zarządu, Dyrektor Departamentu Informatyki
Absolwent Wyższej Szkoły Informatyki i Zarządzania z siedzibą w Rzeszowie na kierunku Informatyka i Ekonometria z specjalnością Systemy i Sieci komputerowe oraz Politechniki Rzeszowskiej na kierunku Informatyka. W Podkarpackim Banku Spółdzielczym pracuje od maja 1999r. Dodatkowo pełni funkcję Administratora Systemów Informatycznych.
Realizował szereg Projektów informatycznych m.in.: obsługa klientów banku za pomocą identyfikacji biometrycznej (Projekt Roku 2010 ZBP), system obsługi kart, system bankowości elektronicznej, system wsparcia procesów kredytowych.
Informacja z UKNF:
„[…] informujemy, że w serwisie internetowym UKNF dostępny jest formularz zgłoszeniowy na seminarium CEDUR pt. „Wymogi regulacyjne w zakresie zarządzania ryzykiem stopy procentowej w księdze bankowej (IRRBB)”, skierowane do pracowników banków komercyjnych i spółdzielczych odpowiedzialnych za pomiar i monitorowanie ryzyka stopy procentowej w księdze bankowej.
Spotkanie odbędzie się w dniu 5 września 2019 r. (w godz. 10:30 – 14:15) w Centrum Konferencyjno-Szkoleniowym UOKiK (vis-a-vis hotelu Gromada), pl. Powstańców Warszawy 1 w Warszawie.
Termin: 23 VIII, koszt: 490 zł + VAT, tryb: ON-LINE, prowadzenie: Andrzej Dubis (Dyrektor Dep. IT Podkarpackiego BS), zgłoszenia: katarzyna.wisniewska@kerberos.pl
P R O G R A M
Podczas szkolenia omówione zostaną m.in. kwestie zw. z opisem interfejsów w zakresie PSD II, sposobów traktowania przez dyrektywę PSD II bezpieczeństwa danych oraz wymogów wykonania API, bezpieczeństwem płatności elektronicznych po umożliwieniu dostępu do rachunku osobom trzecim czy problematycznym tematem czy Dyrektywa naprawdę zwiększy konkurencyjność podmiotów finansowych. Przedstawiony zostanie aktualny status prac w zakresie PolishAPI oraz inne dostępne na rynku API możliwe do wykorzystania.
Zagadnienia omawiane na szkoleniu
I. Dostęp do rachunku bankowego podmiotów trzecich (TPP)
Na jakich zasadach. Podstawowe rodzaje usług AIS, PIS, COF. Rola Banku w realiach PSD2 – obowiązki i prawa.
II. Silne uwierzytelnienie klienta (SCA)
Co trzeba spełnić aby być zgodnym. Jakie operacje/czynności użytkownika trzeba silnie autoryzować a gdzie można zrobić wyjątki. Monitoring transakcji wykonywanych przez bankowość internetową. Kto odpowiada za nieautoryzowane transakcje.
III. Polish Api
Jak wygląda budowa otwartego standardu. Aktualny status prac. Co uwzględnione zostało w projekcie jako wymóg a co będzie usługami typu Premium. Rodzaje i obszary usług w API. Rola HUB-a w KIR z uwzględnieniem założeń biznesowych.
IV. Budowa własnego API z pomocą dostępnych narzędzi informatycznych
Czy warto stworzyć własne API. Dostępne na rynku oprogramowanie na przykładzie. Wady i zalety takiego rozwiązania.
V. Czy Banki zostaną tylko procesorem usług – jaką rolę uczestnika procesu wybrać ?
Omówienie czterech głównych możliwych scenariuszy. Wady i zalety poszczególnych rozwiązań. Którą opcje wybrać w zależności od możliwości finansowych i oczekiwań biznesu.
Sz. Kom. AD VOCEM zadał następujące pytania:
” I po raz drugi zapytam czy przedmiotem badania w przypadku dostawców będzie mechanizm interfejsu awaryjnego i czy powstał on w oparciu o interfejs klienta czy inny mechanizm (w tym przypadku co gwarantuje jego działanie na poziomie skuteczności jak interfejsu klienta?)
Bo na dziś w przypadku huba PSD2 BPS, nie z winy dostawców mamy niezgodność, więc jestem ciekaw jak wyniki dotychczasowych audytów…. „
Odpowiadam: Tak. będzie.
Natomiast jeśli chodzi o wyniki Audytów PSD2 u dostawców; właśnie zaczęliśmy pierwszy tego typu projekt (w sensie: badanie dostawcy). Więc na odpowiedź na takie pytanie trzeba będzie poczekać.
Odnoszę się do słów Sz. Kom. AD VOCEM:
” Chyba że spojrzymy na audyt nie z punktu zwolnienia z opcji fall back tylko z punktu wymaganego przez RTS audytowi „wdrażanie środków bezpieczeństwa” z art 3., ale to wymaga oprócz wiedzy eksperckiej z dziedziny bezpieczeństwa wiedzy eksperckiej z zakresu płatności elektronicznych.”
Odpowiadam: A może po prostu spojrzeć na AuPSD2 z p. widzenia chęci sprawdzenia, czy jesteśmy zgodni z PSD2? Czy nasz dostawca zrobił wszystko tak jak trzeba? I pal licho kwestię „zwolnienia z opcji fallback”, czy art. 3 RTS… 🙂
„Bo przypominam, zwolnienie z opcji fall back to nie jest zwolnienie z posiadania interfejsu zapasowego (co sugeruje oferta audytu) tylko sposobu implementacji tego interfejsu (co wyraźnie podkreśla EBA w swoich materiałach).”
Odpowiadam: Wiele wskazuje na to, że zrzeszenia i dostawcy zapewnią opcję fallback i cała dyskusja o zwolnieniu stanie się bezzasadna.
Odnoszę się do tez Sz. Kom. AD VOCEM:
„W kontekście kolejności zapytam wprost: Czy warto jechać na przegląd samochodem, którego producent nie uzyskał dopuszczenia do ruchu drogowego. Z punktu właściciela samochodu wydaje mi się że nie, natomiast z punktu widzenia właściciela stacji kontroli pojazdów jak najbardziej tak.„
Odpowiadam: Moim skromnym zdaniem porównanie nie oddaje istoty rzeczy. Zrobienie audytu PSD2 w Banku pomaga uświadomić personelowi, czego powinien wymagać i oczekiwać od dostawcy. A chyba o to chodzi, żeby Bank był świadomy, gdzie spełnia wymogi PSD2, a gdzie ich nie spełnia. I miał zdanie, czego ew. żądać od swojego dostawcy. Własne zdanie. A pozyskanie tego własnego zdania jest zupełnie niezależne od tego czy dostawca zrobił audyt, czy nie, czy go zrobił przed audytem w Banku, czy po.
Uważam, że porównanie Sz. Komentatora jest nietrafne, uważam tak na bazie własnych doświadczeń. Ja sam osobiście wstawiam co jakiś czas mój samochód do mechanika głównie po to, żeby sprawdził, co jest nie tak, co wymaga naprawy. Robię to zupełnie niezależnie od przymusowych badań – ba, nawet gdyby ich nie było, też bym to robił. Dla bezpieczeństwa mojego własnego i wszystkich osób, które podróżują moim autem.
Myślę, że punkt widzenia BS-owców, którzy decydują się na zrobienie audytu PSD2 jest w bardzo dużym stopniu zbieżny z moim spojrzeniem na sprawę; oni chcą sami sprawdzić (niekoniecznie opierając się na zapewnieniach dostawcy) czy są zgodni z PSD2.
Sz. Kom. AD VOCEM pisze:
W moim pytaniu nie chodzi mi o audyt prawny w zakresie kar umownych. A o audyt w zakresie dostosowania przez dostawcę systemu interfejsu klienta do korzystania przez TPP z tego kanału jako awaryjnego, w sposób nie narażający Banku na niezgodność z przepisami Dyrektywy PSD2. I nad samymi mechanizmami awaryjnymi udostępnianymi przez dostawcę Bankowi. I jednak kolejność tu ma znaczenie – po co badać bank, jeśli system z którego korzysta jest niezgodny i wynika to z audytu przeprowadzonego u dostawcy ?
Mój komentarz: Istotnie, zgadzam się z tym, że dostawcy systemów BI i hub-ów też powinni poddać się audytowi PSD2. Natomiast podtrzymuję moje zdanie na temat kolejności – w moim odczuciu kolejność audytowania nie ma znaczenia, ponieważ i tak badamy jedno zagadnienie, tyle że z różnych perspektyw. Tematyka badania Banku i dostawcy jest mocno spójna, a w przeważającej części wręcz tożsama. To wniosek z Audytów PSD2, które już przeprowadziliśmy.
W niektórych Bankach Spółdzielczych – począwszy od początku współpracy datowanej od roku 2012/2013 – robimy już 4-ty, czy nawet 5-ty projekt audytorski, więc mamy pewien ogląd sytuacji, który pozwala nam stwierdzić, że Audyty Bezpieczeństwa wypadają coraz lepiej.
Oczywiście w warstwie technicznej zawsze będą pojawiać się nowe luki bezpieczeństwa, bo technologia „żyje”. Tak jak systemy antywirusowe wciąż wykrywają nowe wirusy, tak też jest i z lukami bezpieczeństwa; skanery ciągle coś nowego identyfikują.
Dlatego warto byłoby AuB robić co roku. Plus mniej więcej raz na kwartał wewnętrzne służy IT w Banku powinny samodzielnie skanery bezpieczeństwa „odpalić”, by wykryć luki i samodzielnie połatać systemy. W moim odczuciu, audyt techniczny zewnętrzny powinien być raz na rok wykonywany, by systemy były w miarę „czyste”. Plus – powtórzę – co kwartał wewnętrzny, samodzielny skan. No cóż, jeżeli chcemy mieć jako taki poziom bezpieczeństwa zachowany, to tak musimy robić; robienie audytu co 2,3 czy nawet 4 lata to zdecydowanie za rzadko – „komercja” robi audyty zewnętrzne co rok.
Obszar proceduralno – dokumentacyjne też powinien podlegać (i podlega) corocznym weryfikacjom, ale tu jest znacznie lepiej. Obszar ten nie wykazuje tak dużej dynamiki zmian jak warstwa informatyczna.
Co zatem wypada najgorzej z obszaru procedur i dokumentacji? Otóż nadal PCD – tu jeszcze BS-y mają sporo do zrobienia.
Ale generalnie jest znacznie, znacznie lepiej niż było na początku bieżącej dekady.
Mój Szanowny Kolega z BS-u (którego serdecznie pozdrawiam :-)) przekazał dla BS BLOG-a następującą informację zaczerpniętą bezpośrednio z BPS-u:
” – BPS pracuje nad interfejsem zapasowym dla całego Zrzeszenia
– aby złożyć wniosek o zwolnienie z fallback według prawników, należy na dzień 14 września, czyli wejścia w życie ustawy być zgodnym z tą ustawą. A co za tym idzie: posiadać fallback 😀 – to po co składać?
Myślę, że postawią drugiego huba, a z naszej strony będzie musiała być zapewniona łączność zapasowa do naszej bankowości (co większość banków już ma jako backup połączenia do BPS po LTE).
Nie wiem tylko, czy KNF to zaakceptuje jako fallback. Także czekamy co wymyślą.”
Ostatnie szkolenie o PSD2, prowadzone przez Sz. Kol. A. Dubisa (Dyrektor Departamentu IT PBS – na zdjęciu) cieszyło się dużą frekwencją. W związku z tym, 23 sierpnia organizujemy kolejną jego edycję.
Temat jest mocno „na czasie”, bowiem 14 września ma być uruchomione w Bankach środowisko produkcyjne PSD2. Co to oznacza? Co ma zrobić Bank, a co dostawca systemu BI? Kto może chcieć skorzystać ze środowiska produkcyjnego i czego będzie od Banku oczekiwał. Czego BS-owcy mogą wymagać od swoich dostawców systemów core’owych i systemów BI?
Na te pytania odpowie 23 sierpnia Dyrektor Departamentu IT Podkarpackiego BS Sz. Kol. Andrzej Dubis. W tym właśnie dniu odbędzie szkolenie prezentujące kompleksowo zagadnienia dyrektywy PSD2, a więc m.in. kwestię uruchomienia i udostępnienia środowiska produkcyjnego.
Koszt szkolenia to 490 zł + VAT. Odbędzie się ono w trybie ON-LINE Szczegółowych informacji udziela kol. Katarzyna Wiśniewska (katarzyna.wisniewska@kerberos.pl)
PROGRAM
Czytaj dalej „Kolejna edycja szkolenia o PSD2 (ON-LINE, 23 sierpnia)”
Sz. Kom. AD VOCEM pyta:
Może najpierw wypadałoby przeaudytować dostawców w zakresie zgodności a potem Banki?
Odpowiadam: niewątpliwie dobrze byłoby, żeby dostawcy systemów BI poddali się takim audytom. Może niekoniecznie „najpierw” (w sensie: przed BS-ami), bo kolejność audytowania może być tu dowolna.
Na razie 2 (spośród 5) dostawców zwróciło się do nas z tą kwestią; niewykluczone, że kolejni też będą zainteresowani… Póki co – czekamy.
Sz. Kom. AD VOCEM odnosi się do mojego pytania:
Bardzo dobre pytanie. A w tym przypadku Bank powinien przeanalizować czy zapisy umowne gwarantują mu pokrycie wszystkich ryzyk związanych ze współpracą z dostawcą. Kar za niedostosowanie się do przepisów prawnych.
Do właściciela Blogu mam jeszcze ciekawsze pytanie. Czy audyt w zakresie PSD2 dostawców który zamówili u Pana obejmie również ten zakres? Czy celowy jest również audyt w Bankach korzystających z rozwiązania tego dostawcy, jeśli jego rozwiązanie nie spełnia tych warunków? Banki przecież w zakresie umów outsourcingowych mogą zlecać audytorom kontrolę u dostawcy w zakresie świadczonej usługi. Może najpierw wypadałoby przeaudytować dostawców w zakresie zgodności a potem Banki?
Odpowiadam: Oczywiście, że nasz audyt tego nie obejmuje; pozwolę sobie przypomnieć, że jesteśmy firma robiącą audyty informatyczne, a nie kancelarią prawną 🙂 Takim kwestiami jak kary za niedostosowanie się dostawców do przepisów prawnych zajmują w BS-ach się prawnicy, a nie informatycy z firm audytorskich – i to chyba jest logiczne…
Natomiast podczas naszych AuPSD2 badamy bardzo dużo kwestii dotyczących spełnienia przez dostawcę różnorodnych wymogów PSD2 w rozwiązaniach dostarczonych Bankowi – to naturalne, że takie rzeczy sprawdzamy; sprawdzamy ich całe multum. Ale w kwestie „kar umownych”, czy cedowania odpowiedzialności w umowach utrzymaniowych z dostawcami Banków naturalnie nie wchodzimy 🙂 – to robią prawnicy BS-ów.
Sz. Kom. AD VOCEM odnosi się do poruszonej przeze mnie kwestii:
Proszę bardzo.
Interfejs klienta to interfejs bankowości elektronicznej banku udostępniony klientowi
Zacznijmy od czasów, kiedy bankowość elektroniczne nie zamierzała być otwarta. Niektórzy dostawcy zewnętrzni np. dla potrzeb badania zdolności kredytowej klienta prosili klienta o dostęp do historii jego rachunku udostępnianego przez bankowość elektroniczną banku klienta. I mieliśmy powszechną kompromitację poświadczeń tych klientów. To popularny mechanizm zwany „Screen scrapingiem”. Takie zachowanie było naganne i nawet nasz regulator i związek banków polskich zaczęli zwalczać ten proceder. To nie było wyłącznie zjawisko z terenów Polski, nie jesteśmy aż tacy twórczy za jakich się uważamy. Problem był ogólnoeuropejski. I nawet jeden wczesny „TPP” wygrał sprawę w kontekście ograniczania swobody gospodarczej. O którą tak walczy Właściciel Bloga. Stąd zapisy w dyrektywie PSD2 na temat stosowania otwartych interfejsów. Aby uniknąć pokus ze strony banków działań dyskryminujących TPP (różna jakość interfejsu API i interfejsu dla klienta) ustawodawca dopuszcza „screen scraping” na interfejsie klienta, ale przy zachowaniu warunków bezpieczeństwa i ograniczenia zakresu danych prezentowanych TPP.
Aby mechanizm był zgodny z przepisami to interfejs klienta musi przyjmować również żądania od TPP:
1. TPP nawiązuję kontakt z interfejsem klienta (jak nie działa API, bo wtedy TPP ma do tego prawo jeśli ASPSP nie posiada zwolnienia z opcji Fall Back)
2. ASPSP weryfikuje czy ma do czynienia z TPP
3. Po pozytywnej weryfikacji TPP klient chcący skorzystać z usług bankowych poprzez TPP przekierowywany jest do procedury uwierzytelniania Bankowości Elektronicznej
4. Po prawidłowym uwierzytelnieniu TPP na zasadzie screen scrapingu może wykorzystywać funkcjonalność interfejsu bankowości elektronicznej banku.
5. Zarówno Dyrektywa PSD2 jaki i RTS wyraźnie określają katalogi informacji z których może skorzystać/żądać TPP i symetrycznie jakie ASPSP może udostępnić. I tu właśnie tkwi problem implementacyjny.
6. Dodatkowe światło na katalog danych które może żądać TPP id ASPSP rzuca RTS a konkretnie art 11. Bez silnego uwierzytelnienia można pokazać 90 dniową historię rachunku. Przy korzystaniu przez klienta z usług AIS nie ma wymogu stosowania silnego uwierzytelnienia (poza udzieleniem zgody klienta do konkretnego rachunku u ASPSP za pierwszym razem i odnowieniem tej zgody po 90 dniach). AISP ma prawo do pobrania 4x dziennie historii rachunku,bez silnego uwierzytelnienia i bez udziału klienta na podstawie tokenu zgody. Ponieważ pobranie to nie jest silnie uwierzytelnione PISP nie może zażądać historii dłuższej niż 90 dni..
Podsumowując bez zwolnienia z opcji Fall Back zarówno klient jak i klient przy udziale TPP może skorzystać z interfejsu klienta. Ale interfejs klienta musi zostać dostosowany do korzystania z niego przez TPP tak aby wyeliminować wady bezpieczeństwa „screen scrapingu”, aby było możliwe funkcjonowanie TPP przy stosowaniu procedur uwierzytelniania klienta bez ryzyka kompromitacji poświadczeń.
Tyle i aż tyle.
Zarządy i Rady Nadzorcze Banków Spółdzielczych podejmują wiele ważnych decyzji zarządczych o charakterze strategicznym. Właściwe zarządzanie oparte jest na rzetelnej wiedzy i miarodajnych danych.
Czy na przykład było zasadne inwestowanie przez Bank zrzeszający środków w budowę centralnego, core’owego systemu IT? Czy BS-y chcą na odpowiednią skalę z takiego rozwiązania korzystać?
Czy utrzymywanie komórek zakupowo – wdrożeniowych IT (bądź celowych spółek zależnych) przez Banki zrzeszające jest uzasadnione? Czy świadczą one należyte wsparcie dla BS-ów? Czy BS-y chcą korzystać z dostarczanych przez nie usług / produktów, czy też wolą dokonywać samodzielnych zakupów? – takimi tematami zajęła się już Fundacja Naukowa OBBS w ramach swoich prac badawczych. I są wyniki tych badań – może gdyby prowadzić takie analizy zawczasu, PRZED ROZPOCZĘCIEM DZIAŁAŃ I INWESTYCJI, ich środowiskowa akceptacja byłaby szersza, ponieważ byłyby pomysłami bardziej trafionymi… A właściwe decyzje, to lepiej wydane pieniądze, to mniej chybionych pomysłów biznesowych, to mniejsze i bardziej racjonalne koszty.
Właśnie z tego powodu prace Fundacji Naukowej OBBS mogą wesprzeć procesy decyzyjne zapadające na szczeblach zarządów i zrzeszeń Banków Spółdzielczych.
Sz. Kom. AD VOCEM podniósł zagadnienia poruszone w art. „Nie taki diabeł straszny, czyli komunikat KNF w sprawie zwolnienia z obowiązku stosowania mechanizmu awaryjnego (API)” Sz. P. Mec. Michała Nowakowskiego.
Ponieważ temat jest bardzo na czasie w BS-ach, polecam lekturę wspomnianej publikacji a tu link:
Sz. Kom. AD VOCEM pisze:
Zastanawiam się po co ten cały szum na temat zwolnienia z opcji Fall Back:
polecam: https://finregtech.pl/2018/12/18/zwolnienie-z-obowiazku-stosowania-srodkow-awaryjnych-fall-back-mechanism-w-swietle-wytycznych-eba/
Czytuję: „W przypadku awarii konieczne jest wprowadzenie odpowiednich środków, które umożliwiają tym dostawcom dostęp do interfejsu banku, aby zapewnić ciągłość usług dla klientów. Jednym z takich środków jest obowiązek udostępnienia interfejsu, który jest w normalnych warunkach dostępny dla użytkowników rachunków banku. ”
1. Zwolnienie dotyczy braku konieczności dostosowania przez dostawcę oprogramowania interfejsu klienta dla potrzeb TPP (ograniczenie zakresu prezentowanych danych), a nie zwolnienia ze stosowania środków awaryjnych.
2. Dla banków posiadających umowę z dostawcą na dostosowanie systemów do wymogów prawnych w ramach umowy serwisowej występowanie o zwolnienie jest zupełnie bezcelowe i generuje niepotrzebne koszty. Proszę mi wskazać choć jeden argument przemawiający za zwolnieniem.
3. KNF za wiarygodny środek awaryjny na pewno uzna dostęp poprzez interfejs klienta. Jeśli interfejs klienta nie będzie działał, to klient nie będzie miał dostępu online do rachunku i tym samy bank jest zwolniony z obowiązku działania API. Każdy inny środek awaryjny może być nieakceptowalny „bo ten awaryjny również może nie zadziałać, a jak wtedy jeszcze działa interfejs klienta to mamy niezgodność”
4. To nie bank zrzeszający ma opracować interfejs awaryjny ale dostawcy, W ramach huba zrzeszeniowego trzeba tylko udostępnić mechanizm weryfikacji TPP
5. W przypadku kiedy dostawca dostarcza rozwiązanie dla grupy banków spółdzielczych koszt tego rozwiązania rozkłada się na wiele banków. W przypadku 30 banków to 1/30. Występowanie o zwolnienie to koszt taki sam dla każdego banku czyli mamy 30x(wniosek+audyt). A zapewniam znając realia że odrzucenie wniosku banku spółdzielczego będzie dziecinnie proste. Powiadomienie konsumenta, zgodność regulacji ze stanem faktycznym, adekwatny interfejs awaryjny…. mam wymieniać dalej ? No i na moment złożenia wniosku trzeba już być zgodnym z brakiem zwolnienia.
6. Trzeba oszacować kosz zwolnienia i koszt dostosowania. Koszt zwolnienia być może w dużych bankach komercyjnych jest mniejszy niż dostosowanie systemu dedykowanego dla banku. Ale w spółdzielczym ?.
Podsumowując – Bank Zrzeszający podjął jedyne słuszne działanie i nie ma się co oglądać na jego działania, zawracać sobie głowy zwolnieniami tylko zwrócić się do dostawcy i ewentualnie wesprzeć go finansowo w dostosowaniu interfejsu klienta do bycia awaryjnym.
Tyle w temacie zwolnienia – bo widzę że na blogu panuje chaos informacyjny i warto byłoby go uporządkować. Chyba że nie warto?
Dziękuję Sz. Kom. za wypowiedź w sprawie zwolnienia z fallback. Ponieważ jest Pan / Pani osobą – jak widać – dobrze zorientowaną w zagadnieniu PSD2, pozwolę sobie poprosić o interpretację poniższego (fragment z komentarza Sz. Komentatora):
” W przypadku awarii konieczne jest wprowadzenie odpowiednich środków, które umożliwiają tym dostawcom dostęp do interfejsu banku, aby zapewnić ciągłość usług dla klientów. Jednym z takich środków jest obowiązek udostępnienia interfejsu, który jest w normalnych warunkach dostępny dla użytkowników rachunków banku.”
Chodzi mi o wytłuszczoną cześć cytatu; jak Sz. Kom. widzi tu kwestię następującą:
Jak zatem TPP dokona autoryzacji tym „normalnym” kanałem? – przecież klient nie przekaże mu danych autoryzujących. A rozumiem, że cały czas chodzi o dostęp przez TPP – jeżeli jestem w błędzie, proszę mnie poprawić.
Cieszę się, że Sz. Kom. dotknął tego tematu – chodzi mi on po głowie już jakiś czas i nie mam wypracowanego rozwiązania. Może Sz. Kom. AD VOCEM coś mi podpowie (i innym bywalcom BS BLOG-a) – będę zobowiązany…
Mam jeszcze jedno pytanie do Sz. Kom. AD VOCEM. Sz. Kom. pisze:
„Dla banków posiadających umowę z dostawcą na dostosowanie systemów do wymogów prawnych w ramach umowy serwisowej występowanie o zwolnienie jest zupełnie bezcelowe i generuje niepotrzebne koszty. Proszę mi wskazać choć jeden argument przemawiający za zwolnieniem.”
Pytanie brzmi: a co w sytuacji gdy dostawca – pomimo takiego obowiązku umownego wobec Banku – nie zaimplementuje mechanizmu alternatywnego dostępu? Albo zaimplementowany mechanizm nie będzie działał? Zawini dostawca, ale odpowiedzialny będzie Bank.
I pytanie do Sz. Czytelników: czy Państwa dostawcy zaimplementowali / zdążą zaimplementować do 14 września opcje fallback?
Dotychczas na stronach Fundacji Naukowej OBBS (www.obbs.pl) opublikowany został cykl artykułów opisujących wyniki badań dotyczących dwóch kategorii tematycznych:
Publikacje te dostępne są pod adresem: www.obbs.pl Sukcesywnie na stronach Fundacji Naukowej OBBS pojawiać się będą kolejne publikacje prezentujące wyniki prowadzonych badań.
(re-edycja) Państwo chce sterować sektorem bankowym w sposób niezwykle inwazyjny. Wchodząc w środowisko BS-ów ok. 7 lat temu, miałem oczy szeroko otwarte ze zdumienia, widząc że prywatna firma jest tak uzależniona od decyzji urzędniczych i zrzeszeniowych (zapadających czy to na poziomie zarządów zrzeszeń, czy na poziomie zgromadzeń prezesów). Powstaje zasadnicze pytanie, czy kolegialny (zrzeszeniowy) model funkcjonowania BS-ów jest przez nie powszechnie i świadomie akceptowany, czy jest im jedynie narzucony. Prościej rzecz ujmując; czy gdyby nie było de facto obowiązku zrzeszania się, to czy BS-y by się zrzeszały. Część pewnie tak, część – nie; pytanie o proporcję. Kiedyś robiliśmy taką ankietę dotyczącą zrzeszania się; zwykłą ankietę – nie badanie naukowe. Ale Fundacja Naukowa OBBS ma w planach takie badania.
Tak więc to, jak funkcjonują BS-y było dla mnie przed 7 laty – nazwijmy to – lekkim szokiem (a byłem myślę w kilkuset firmach z różnych sektorów; niektóre poznałem dość dobrze, więc mam porównanie). Teraz już się trochę do tego przyzwyczaiłem, ale bardzo niedobrze, że tak jest, jak jest. Etatyzm szaleje: regulacje, nadzory, kontrole, raporty, koncesje, zgody czy braki zgód. Powtórzę słowa słowa Mussoliniego zapisane w wydanej w 1932 r. „Doktrynie faszyzmu”: „Wszystko w państwie, nic bez państwa, nic przeciwko państwu.”
Blog na WordPress.com. Autor motywu: Anders Noren.
Najnowsze komentarze