Szkolenie PSD2: połączenie testowe w czwartek g. 12

Cały czas spływają zgłoszenia na piątkowe szkolenie o PSD2. Ponieważ uczestników będzie naprawdę dużo, zdecydowaliśmy, że – aby wszyscy mieli pewność, że wiedzą jak się połączyć i że kanały audio-wideo działają poprawnie – w czwartek o g. 12 uruchomimy połączenie testowe.

Zapraszamy zatem wszystkie osoby zarejestrowane na szkolenie „Wdrożenie PDS2 w Banku” na połączenie testowe.

Natomiast Ci z Państwa, którzy chcą się jeszcze na szkolenie zarejestrować zarejestrować zapraszamy do kontaktu z Koordynatorem Szkoleń i Konferencji, p. Katarzyną Wiśniewską (katarzyna.wisniewska@kerberos.pl, kom. 600 873 667 )

Reklamy

Oj, chyba Sz. Kom. AD VOCEM niezbyt sprawiedliwie mnie ocenia :-)

Mam wrażenie, że Sz. Kom. AD VOCEM nie do końca sprawiedliwie mnie ocenia. Pisze tak:

„I o takie podejście do audytu chyba chodzi. Przecież Panie Albercie jest Pan cenionym audytorem, co potwierdzają kontrolujący banki regulatorzy.”

Odpowiadam: Dziękuję, bardzo miło mi czytać takie słowa… 🙂

„Bo w Bankach rzeczywiście będzie potrzebny audyt PSD2, ale nie w kontekście określonym w ofercie. Czy nie warto działać tak jak dotychczas? Bez niepotrzebnego wprowadzającego banki w błąd sztucznego tworzenia popytu na audyty służące do zwolnienia z opcji fall back (nierealne od samego początku), z sugestią zwolnienia z interfejsu awaryjnego (nie ma czegoś takiego).”

Odpowiadam: Obawiam się, że Sz. Komentator jest całkowitym błędzie:

• informacja, że AuPSD2 jest potrzebny do zwolnienia z fall-back POCHODZIŁA Z JEDNEGO ZE ZRZESZEŃ (tak mi przekazano i taką informację zamieściłem na BS BLOG-u)
• na blogu pojawiła się nie jako nasz pomysł, ale jako wieść przekazana przez jednego z Czytelników po spotkaniu koordynatorów w tym zrzeszeniu (proszę poszukać odpowiednich art.)

„A potem pozostaje w bankach pewien niesmak i poczucie, że ktoś ich oszukał.”

Odpowiadam: To chyba słowa, które powinny być skierowane nie do nas, a do tej organizacji, która jest źródłem informacji, że do zwolnienia z fallback-u trzeba będzie wykonać AuPSD2. Zresztą; nie sądzę, że zrzeszenie zrobiło tu coś złego – wtedy była koncepcja składania wniosków o zwolnienie (która teraz padła) i być może pomysł obligatoryjnych dla tego wniosku audtów PSD2 nie był pomysłem zrzeszenia, a KNF-u. Tak, czy siak, nie sądzę, by ktokolwiek (czy to zrzeszenie, czy KNF) tratować jako „winnego”. Wypracowano taką koncepcję i już.

Powtórzę, pomysł, że do zwolnienia z fallback-u trzeba wykonać AuPSD2 NIE JEST NASZYM POMYSŁEM – koncepcja została nam przekazana jako pochodząca ze zrzeszenia. Chyba słowa Sz. Komentatora są zbyt surowe wobec mnie…

W szybkim tempie przybywa zarejestrowanych na szkolenie PSD2 – zbliżamy się do 50 osób!

Powoli dochodzimy do 50(!) osób zarejestrowanych na szkolenie on-line o PSD2 🙂 🙂 🙂 – właśnie wykupujemy dodatkowe dostępy u operatora platformy webinarowej, na której będzie prowadzone szkolenie.

Wygląda na to, że pomysł szkolenia okazał się strzałem w 10! – temat jest na czasie, wszak 14 IX ma wystartować produkcyjny tryb PSD2. Myślę, że bardzo pozytywny wpływ na rosnącą frekwencję ma osoba Sz. Kol. Andrzeja Dubisa (Dyr. Dep. IT PBS) – wykładowcy prowadzącego webinarium. Sz. Kol. Andrzej dał się poznać jako bardzo komunikatywny i zaawansowany merytorycznie prelegent na licznych konferencjach, jakie zorganizowaliśmy dla środowiska.

Nie bez znaczenia jest też to, szkolenie odbędzie się w trybie ON-LINE, co nie implikuje żadnych kosztów logistycznych (dojazd, hotel) i konieczności tracenia czasu na podróż. To już któreś z rzędu szkolenie w tej formie – została ona pozytywnie przyjęta przez BS-owców. Szkoda, że wcześniej nie wdrożyliśmy tej formuły edukacji…

O zainteresowaniu tematem PSD2 świadczy też dyskusja nt. wdrożenia tej dyrektywy w Bankach Spółdzielczych, jaka obecnie toczy się na BS BLOG-u.

Tu program szkolenia:

Program szkolenia ON-LINE „Wdrożenie dyrektywy PSD2 w Banku” (23 VIII)

O prelegencie szkolenia „Wdrożenie PSD2 w Banku” (on-line, 23 VIII)

Andrzej Dubis, Podkarpacki Bank Spółdzielczy

Pełnomocnik Zarządu, Dyrektor Departamentu Informatyki

Absolwent Wyższej Szkoły Informatyki i Zarządzania z siedzibą w Rzeszowie na kierunku Informatyka i Ekonometria z specjalnością Systemy i Sieci komputerowe oraz Politechniki Rzeszowskiej na kierunku Informatyka. W Podkarpackim Banku Spółdzielczym pracuje od maja 1999r. Dodatkowo pełni funkcję Administratora Systemów Informatycznych.

Realizował szereg Projektów informatycznych m.in.: obsługa klientów banku za pomocą identyfikacji biometrycznej (Projekt Roku 2010 ZBP), system obsługi kart, system bankowości elektronicznej, system wsparcia procesów kredytowych.

Seminarium CEDUR „Wymogi regulacyjne w zakresie zarządzania ryzykiem stopy procentowej w księdze bankowej (IRRBB)”, 5.09.19

Informacja z UKNF:

„[…] informujemy, że w serwisie internetowym UKNF dostępny jest formularz zgłoszeniowy na seminarium CEDUR pt. „Wymogi regulacyjne w zakresie zarządzania ryzykiem stopy procentowej w księdze bankowej (IRRBB)”, skierowane do pracowników banków komercyjnych i spółdzielczych odpowiedzialnych za pomiar i monitorowanie ryzyka stopy procentowej w księdze bankowej.

Spotkanie odbędzie się w dniu 5 września 2019 r. (w godz. 10:30 – 14:15) w Centrum Konferencyjno-Szkoleniowym UOKiK (vis-a-vis hotelu Gromada), pl. Powstańców Warszawy 1 w Warszawie.

Więcej informacji„

Program szkolenia ON-LINE „Wdrożenie dyrektywy PSD2 w Banku” (23 VIII)

Termin: 23 VIII, koszt: 490 zł + VAT, tryb: ON-LINE, prowadzenie: Andrzej Dubis (Dyrektor Dep. IT Podkarpackiego BS), zgłoszenia: katarzyna.wisniewska@kerberos.pl

P R O G R A M

Podczas szkolenia omówione zostaną m.in. kwestie zw. z opisem interfejsów w zakresie PSD II, sposobów traktowania przez dyrektywę PSD II bezpieczeństwa danych oraz wymogów wykonania API, bezpieczeństwem płatności elektronicznych po umożliwieniu dostępu do rachunku osobom trzecim czy problematycznym tematem czy Dyrektywa naprawdę zwiększy konkurencyjność podmiotów finansowych. Przedstawiony zostanie aktualny status prac w zakresie PolishAPI oraz inne dostępne na rynku API możliwe do wykorzystania.

Zagadnienia omawiane na szkoleniu

I. Dostęp do rachunku bankowego podmiotów trzecich (TPP)

Na jakich zasadach. Podstawowe rodzaje usług AIS, PIS, COF. Rola Banku w realiach PSD2 – obowiązki i prawa.

II. Silne uwierzytelnienie klienta (SCA)

Co trzeba spełnić aby być zgodnym. Jakie operacje/czynności użytkownika trzeba silnie autoryzować a gdzie można zrobić wyjątki. Monitoring transakcji wykonywanych przez bankowość internetową. Kto odpowiada za nieautoryzowane transakcje.

III. Polish Api

Jak wygląda budowa otwartego standardu. Aktualny status prac. Co uwzględnione zostało w projekcie jako wymóg a co będzie usługami typu Premium. Rodzaje i obszary usług w API. Rola HUB-a w KIR z uwzględnieniem założeń biznesowych.

IV. Budowa własnego API z pomocą dostępnych narzędzi informatycznych

Czy warto stworzyć własne API. Dostępne na rynku oprogramowanie na przykładzie. Wady i zalety takiego rozwiązania.

V. Czy Banki zostaną tylko procesorem usług – jaką rolę uczestnika procesu wybrać ?

Omówienie czterech głównych możliwych scenariuszy. Wady i zalety poszczególnych rozwiązań. Którą opcje wybrać w zależności od możliwości finansowych i oczekiwań biznesu.

AD VOCEM pyta: „czy przedmiotem badania w przypadku dostawców będzie mechanizm interfejsu awaryjnego […]?”

Sz. Kom. AD VOCEM zadał następujące pytania:

” I po raz drugi zapytam czy przedmiotem badania w przypadku dostawców będzie mechanizm interfejsu awaryjnego i czy powstał on w oparciu o interfejs klienta czy inny mechanizm (w tym przypadku co gwarantuje jego działanie na poziomie skuteczności jak interfejsu klienta?)
Bo na dziś w przypadku huba PSD2 BPS, nie z winy dostawców mamy niezgodność, więc jestem ciekaw jak wyniki dotychczasowych audytów…. „

Odpowiadam: Tak. będzie.

Natomiast jeśli chodzi o wyniki Audytów PSD2 u dostawców; właśnie zaczęliśmy pierwszy tego typu projekt (w sensie: badanie dostawcy). Więc na odpowiedź na takie pytanie trzeba będzie poczekać.

Być może cała dyskusja o zwolnieniu z fallback-u stanie się bezzasadna

Odnoszę się do słów Sz. Kom. AD VOCEM:

” Chyba że spojrzymy na audyt nie z punktu zwolnienia z opcji fall back tylko z punktu wymaganego przez RTS audytowi „wdrażanie środków bezpieczeństwa” z art 3., ale to wymaga oprócz wiedzy eksperckiej z dziedziny bezpieczeństwa wiedzy eksperckiej z zakresu płatności elektronicznych.”

Odpowiadam: A może po prostu spojrzeć na AuPSD2 z p. widzenia chęci sprawdzenia, czy jesteśmy zgodni z PSD2? Czy nasz dostawca zrobił wszystko tak jak trzeba? I pal licho kwestię „zwolnienia z opcji fallback”, czy art. 3 RTS… 🙂

„Bo przypominam, zwolnienie z opcji fall back to nie jest zwolnienie z posiadania interfejsu zapasowego (co sugeruje oferta audytu) tylko sposobu implementacji tego interfejsu (co wyraźnie podkreśla EBA w swoich materiałach).”

Odpowiadam: Wiele wskazuje na to, że zrzeszenia i dostawcy zapewnią opcję fallback i cała dyskusja o zwolnieniu stanie się bezzasadna.

O Audytach PSD: bo chcę wiedzieć…

Odnoszę się do tez Sz. Kom. AD VOCEM:

„W kontekście kolejności zapytam wprost: Czy warto jechać na przegląd samochodem, którego producent nie uzyskał dopuszczenia do ruchu drogowego. Z punktu właściciela samochodu wydaje mi się że nie, natomiast z punktu widzenia właściciela stacji kontroli pojazdów jak najbardziej tak.„

Odpowiadam: Moim skromnym zdaniem porównanie nie oddaje istoty rzeczy. Zrobienie audytu PSD2 w Banku pomaga uświadomić personelowi, czego powinien wymagać i oczekiwać od dostawcy. A chyba o to chodzi, żeby Bank był świadomy, gdzie spełnia wymogi PSD2, a gdzie ich nie spełnia. I miał zdanie, czego ew. żądać od swojego dostawcy. Własne zdanie. A pozyskanie tego własnego zdania jest zupełnie niezależne od tego czy dostawca zrobił audyt, czy nie, czy go zrobił przed audytem w Banku, czy po.

Uważam, że porównanie Sz. Komentatora jest nietrafne, uważam tak na bazie własnych doświadczeń. Ja sam osobiście wstawiam co jakiś czas mój samochód do mechanika głównie po to, żeby sprawdził, co jest nie tak, co wymaga naprawy. Robię to zupełnie niezależnie od przymusowych badań – ba, nawet gdyby ich nie było, też bym to robił. Dla bezpieczeństwa mojego własnego i wszystkich osób, które podróżują moim autem.

Myślę, że punkt widzenia BS-owców, którzy decydują się na zrobienie audytu PSD2 jest w bardzo dużym stopniu zbieżny z moim spojrzeniem na sprawę; oni chcą sami sprawdzić (niekoniecznie opierając się na zapewnieniach dostawcy) czy są zgodni z PSD2.

AD VOCEM: I jednak kolejność [wykonania AuPS2] tu ma znaczenie

Sz. Kom. AD VOCEM pisze:

W moim pytaniu nie chodzi mi o audyt prawny w zakresie kar umownych. A o audyt w zakresie dostosowania przez dostawcę systemu interfejsu klienta do korzystania przez TPP z tego kanału jako awaryjnego, w sposób nie narażający Banku na niezgodność z przepisami Dyrektywy PSD2. I nad samymi mechanizmami awaryjnymi udostępnianymi przez dostawcę Bankowi. I jednak kolejność tu ma znaczenie – po co badać bank, jeśli system z którego korzysta jest niezgodny i wynika to z audytu przeprowadzonego u dostawcy ?

Mój komentarz: Istotnie, zgadzam się z tym, że dostawcy systemów BI i hub-ów też powinni poddać się audytowi PSD2. Natomiast podtrzymuję moje zdanie na temat kolejności – w moim odczuciu kolejność audytowania nie ma znaczenia, ponieważ i tak badamy jedno zagadnienie, tyle że z różnych perspektyw. Tematyka badania Banku i dostawcy jest mocno spójna, a w przeważającej części wręcz tożsama. To wniosek z Audytów PSD2, które już przeprowadziliśmy.

Audyty Bezpieczeństwa wypadają w BS-ach coraz lepiej

W niektórych Bankach Spółdzielczych – począwszy od początku współpracy datowanej od roku 2012/2013 – robimy już 4-ty, czy nawet 5-ty projekt audytorski, więc mamy pewien ogląd sytuacji, który pozwala nam stwierdzić, że Audyty Bezpieczeństwa wypadają coraz lepiej.

Oczywiście w warstwie technicznej zawsze będą pojawiać się nowe luki bezpieczeństwa, bo technologia „żyje”. Tak jak systemy antywirusowe wciąż wykrywają nowe wirusy, tak też jest i z lukami bezpieczeństwa; skanery ciągle coś nowego identyfikują.

Dlatego warto byłoby AuB robić co roku. Plus mniej więcej raz na kwartał wewnętrzne służy IT w Banku powinny samodzielnie skanery bezpieczeństwa „odpalić”, by wykryć luki i samodzielnie połatać systemy. W moim odczuciu, audyt techniczny zewnętrzny powinien być raz na rok wykonywany, by systemy były w miarę „czyste”. Plus – powtórzę – co kwartał wewnętrzny, samodzielny skan. No cóż, jeżeli chcemy mieć jako taki poziom bezpieczeństwa zachowany, to tak musimy robić; robienie audytu co 2,3 czy nawet 4 lata to zdecydowanie za rzadko – „komercja” robi audyty zewnętrzne co rok.

Obszar proceduralno – dokumentacyjne też powinien podlegać (i podlega) corocznym weryfikacjom, ale tu jest znacznie lepiej. Obszar ten nie wykazuje tak dużej dynamiki zmian jak warstwa informatyczna.

Co zatem wypada najgorzej z obszaru procedur i dokumentacji? Otóż nadal PCD – tu jeszcze BS-y mają sporo do zrobienia.

Ale generalnie jest znacznie, znacznie lepiej niż było na początku bieżącej dekady.

BPS pracuje nad interfejsem zapasowym dla całego Zrzeszenia – donosi mój Sz. Kolega z BS-u

Mój Szanowny Kolega z BS-u (którego serdecznie pozdrawiam :-)) przekazał dla BS BLOG-a następującą informację zaczerpniętą bezpośrednio z BPS-u:

” – BPS pracuje nad interfejsem zapasowym dla całego Zrzeszenia

– aby złożyć wniosek o zwolnienie z fallback według prawników, należy na dzień 14 września, czyli wejścia w życie ustawy być zgodnym z tą ustawą. A co za tym idzie: posiadać fallback 😀 – to po co składać?

Myślę, że postawią drugiego huba, a z naszej strony będzie musiała być zapewniona łączność zapasowa do naszej bankowości (co większość banków już ma jako backup połączenia do BPS po LTE).

Nie wiem tylko, czy KNF to zaakceptuje jako fallback. Także czekamy co wymyślą.”

Kolejna edycja szkolenia o PSD2 (ON-LINE, 23 sierpnia)

Ostatnie szkolenie o PSD2, prowadzone przez Sz. Kol. A. Dubisa (Dyrektor Departamentu IT PBS – na zdjęciu) cieszyło się dużą frekwencją. W związku z tym, 23 sierpnia organizujemy kolejną jego edycję.

Temat jest mocno „na czasie”, bowiem 14 września ma być uruchomione w Bankach środowisko produkcyjne PSD2. Co to oznacza? Co ma zrobić Bank, a co dostawca systemu BI? Kto może chcieć skorzystać ze środowiska produkcyjnego i czego będzie od Banku oczekiwał. Czego BS-owcy mogą wymagać od swoich dostawców systemów core’owych i systemów BI?

Na te pytania odpowie 23 sierpnia Dyrektor Departamentu IT Podkarpackiego BS Sz. Kol. Andrzej Dubis. W tym właśnie dniu odbędzie szkolenie prezentujące kompleksowo zagadnienia dyrektywy PSD2, a więc m.in. kwestię uruchomienia i udostępnienia środowiska produkcyjnego.

Koszt szkolenia to 490 zł + VAT. Odbędzie się ono w trybie ON-LINE Szczegółowych informacji udziela kol. Katarzyna Wiśniewska (katarzyna.wisniewska@kerberos.pl)

PROGRAM

Czytaj dalej „Kolejna edycja szkolenia o PSD2 (ON-LINE, 23 sierpnia)” →

AD VOCEM: może najpierw wypadałoby przeaudytować dostawców w zakresie zgodności [z PSD2] a potem Banki?

Sz. Kom. AD VOCEM pyta:

Może najpierw wypadałoby przeaudytować dostawców w zakresie zgodności a potem Banki?

Odpowiadam: niewątpliwie dobrze byłoby, żeby dostawcy systemów BI poddali się takim audytom. Może niekoniecznie „najpierw” (w sensie: przed BS-ami), bo kolejność audytowania może być tu dowolna.

Na razie 2 (spośród 5) dostawców zwróciło się do nas z tą kwestią; niewykluczone, że kolejni też będą zainteresowani… Póki co – czekamy.

AD VOCEM o sytuacji, w której dostawca BI nie zaimplementuje fallback-u

Sz. Kom. AD VOCEM odnosi się do mojego pytania:

Bardzo dobre pytanie. A w tym przypadku Bank powinien przeanalizować czy zapisy umowne gwarantują mu pokrycie wszystkich ryzyk związanych ze współpracą z dostawcą. Kar za niedostosowanie się do przepisów prawnych.
Do właściciela Blogu mam jeszcze ciekawsze pytanie. Czy audyt w zakresie PSD2 dostawców który zamówili u Pana obejmie również ten zakres? Czy celowy jest również audyt w Bankach korzystających z rozwiązania tego dostawcy, jeśli jego rozwiązanie nie spełnia tych warunków? Banki przecież w zakresie umów outsourcingowych mogą zlecać audytorom kontrolę u dostawcy w zakresie świadczonej usługi. Może najpierw wypadałoby przeaudytować dostawców w zakresie zgodności a potem Banki?

Odpowiadam: Oczywiście, że nasz audyt tego nie obejmuje; pozwolę sobie przypomnieć, że jesteśmy firma robiącą audyty informatyczne, a nie kancelarią prawną 🙂 Takim kwestiami jak kary za niedostosowanie się dostawców do przepisów prawnych zajmują w BS-ach się prawnicy, a nie informatycy z firm audytorskich – i to chyba jest logiczne…

Natomiast podczas naszych AuPSD2 badamy bardzo dużo kwestii dotyczących spełnienia przez dostawcę różnorodnych wymogów PSD2 w rozwiązaniach dostarczonych Bankowi – to naturalne, że takie rzeczy sprawdzamy; sprawdzamy ich całe multum. Ale w kwestie „kar umownych”, czy cedowania odpowiedzialności w umowach utrzymaniowych z dostawcami Banków naturalnie nie wchodzimy 🙂 – to robią prawnicy BS-ów.

AD VOCEM: bez zwolnienia z opcji Fall Back zarówno klient jak i klient przy udziale TPP może skorzystać z interfejsu klienta

Sz. Kom. AD VOCEM odnosi się do poruszonej przeze mnie kwestii:

Proszę bardzo.
Interfejs klienta to interfejs bankowości elektronicznej banku udostępniony klientowi
Zacznijmy od czasów, kiedy bankowość elektroniczne nie zamierzała być otwarta. Niektórzy dostawcy zewnętrzni np. dla potrzeb badania zdolności kredytowej klienta prosili klienta o dostęp do historii jego rachunku udostępnianego przez bankowość elektroniczną banku klienta. I mieliśmy powszechną kompromitację poświadczeń tych klientów. To popularny mechanizm zwany „Screen scrapingiem”. Takie zachowanie było naganne i nawet nasz regulator i związek banków polskich zaczęli zwalczać ten proceder. To nie było wyłącznie zjawisko z terenów Polski, nie jesteśmy aż tacy twórczy za jakich się uważamy. Problem był ogólnoeuropejski. I nawet jeden wczesny „TPP” wygrał sprawę w kontekście ograniczania swobody gospodarczej. O którą tak walczy Właściciel Bloga. Stąd zapisy w dyrektywie PSD2 na temat stosowania otwartych interfejsów. Aby uniknąć pokus ze strony banków działań dyskryminujących TPP (różna jakość interfejsu API i interfejsu dla klienta) ustawodawca dopuszcza „screen scraping” na interfejsie klienta, ale przy zachowaniu warunków bezpieczeństwa i ograniczenia zakresu danych prezentowanych TPP.
Aby mechanizm był zgodny z przepisami to interfejs klienta musi przyjmować również żądania od TPP:
1. TPP nawiązuję kontakt z interfejsem klienta (jak nie działa API, bo wtedy TPP ma do tego prawo jeśli ASPSP nie posiada zwolnienia z opcji Fall Back)
2. ASPSP weryfikuje czy ma do czynienia z TPP
3. Po pozytywnej weryfikacji TPP klient chcący skorzystać z usług bankowych poprzez TPP przekierowywany jest do procedury uwierzytelniania Bankowości Elektronicznej
4. Po prawidłowym uwierzytelnieniu TPP na zasadzie screen scrapingu może wykorzystywać funkcjonalność interfejsu bankowości elektronicznej banku.
5. Zarówno Dyrektywa PSD2 jaki i RTS wyraźnie określają katalogi informacji z których może skorzystać/żądać TPP i symetrycznie jakie ASPSP może udostępnić. I tu właśnie tkwi problem implementacyjny.
6. Dodatkowe światło na katalog danych które może żądać TPP id ASPSP rzuca RTS a konkretnie art 11. Bez silnego uwierzytelnienia można pokazać 90 dniową historię rachunku. Przy korzystaniu przez klienta z usług AIS nie ma wymogu stosowania silnego uwierzytelnienia (poza udzieleniem zgody klienta do konkretnego rachunku u ASPSP za pierwszym razem i odnowieniem tej zgody po 90 dniach). AISP ma prawo do pobrania 4x dziennie historii rachunku,bez silnego uwierzytelnienia i bez udziału klienta na podstawie tokenu zgody. Ponieważ pobranie to nie jest silnie uwierzytelnione PISP nie może zażądać historii dłuższej niż 90 dni..
Podsumowując bez zwolnienia z opcji Fall Back zarówno klient jak i klient przy udziale TPP może skorzystać z interfejsu klienta. Ale interfejs klienta musi zostać dostosowany do korzystania z niego przez TPP tak aby wyeliminować wady bezpieczeństwa „screen scrapingu”, aby było możliwe funkcjonowanie TPP przy stosowaniu procedur uwierzytelniania klienta bez ryzyka kompromitacji poświadczeń.
Tyle i aż tyle.

Jak Fundacja Naukowa OBBS może przysłużyć się Bankom Spółdzielczym?

Zarządy i Rady Nadzorcze Banków Spółdzielczych podejmują wiele ważnych decyzji zarządczych o charakterze strategicznym. Właściwe zarządzanie oparte jest na rzetelnej wiedzy i miarodajnych danych.

Czy na przykład było zasadne inwestowanie przez Bank zrzeszający środków w budowę centralnego, core’owego systemu IT? Czy BS-y chcą na odpowiednią skalę z takiego rozwiązania korzystać?

Czy utrzymywanie komórek zakupowo – wdrożeniowych IT (bądź celowych spółek zależnych) przez Banki zrzeszające jest uzasadnione? Czy świadczą one należyte wsparcie dla BS-ów? Czy BS-y chcą korzystać z dostarczanych przez nie usług / produktów, czy też wolą dokonywać samodzielnych zakupów? – takimi tematami zajęła się już Fundacja Naukowa OBBS w ramach swoich prac badawczych. I są wyniki tych badań – może gdyby prowadzić takie analizy zawczasu, PRZED ROZPOCZĘCIEM DZIAŁAŃ I INWESTYCJI, ich środowiskowa akceptacja byłaby szersza, ponieważ byłyby pomysłami bardziej trafionymi… A właściwe decyzje, to lepiej wydane pieniądze, to mniej chybionych pomysłów biznesowych, to mniejsze i bardziej racjonalne koszty.

Właśnie z tego powodu prace Fundacji Naukowej OBBS mogą wesprzeć procesy decyzyjne zapadające na szczeblach zarządów i zrzeszeń Banków Spółdzielczych.

Polecam art. „Nie taki diabeł straszny, czyli komunikat KNF w sprawie zwolnienia z obowiązku stosowania mechanizmu awaryjnego (API)”

Sz. Kom. AD VOCEM podniósł zagadnienia poruszone w art. „Nie taki diabeł straszny, czyli komunikat KNF w sprawie zwolnienia z obowiązku stosowania mechanizmu awaryjnego (API)” Sz. P. Mec. Michała Nowakowskiego.

Ponieważ temat jest bardzo na czasie w BS-ach, polecam lekturę wspomnianej publikacji a tu link:

Nie taki diabeł straszny, czyli komunikat KNF w sprawie zwolnienia z obowiązku stosowania mechanizmu awaryjnego (API) – www.finregtech.pl

AD VOCEM: […] po co ten cały szum na temat zwolnienia z opcji Fall Back?

Sz. Kom. AD VOCEM pisze:

Zastanawiam się po co ten cały szum na temat zwolnienia z opcji Fall Back:
polecam: https://finregtech.pl/2018/12/18/zwolnienie-z-obowiazku-stosowania-srodkow-awaryjnych-fall-back-mechanism-w-swietle-wytycznych-eba/
Czytuję: „W przypadku awarii konieczne jest wprowadzenie odpowiednich środków, które umożliwiają tym dostawcom dostęp do interfejsu banku, aby zapewnić ciągłość usług dla klientów. Jednym z takich środków jest obowiązek udostępnienia interfejsu, który jest w normalnych warunkach dostępny dla użytkowników rachunków banku. ”
1. Zwolnienie dotyczy braku konieczności dostosowania przez dostawcę oprogramowania interfejsu klienta dla potrzeb TPP (ograniczenie zakresu prezentowanych danych), a nie zwolnienia ze stosowania środków awaryjnych.
2. Dla banków posiadających umowę z dostawcą na dostosowanie systemów do wymogów prawnych w ramach umowy serwisowej występowanie o zwolnienie jest zupełnie bezcelowe i generuje niepotrzebne koszty. Proszę mi wskazać choć jeden argument przemawiający za zwolnieniem.
3. KNF za wiarygodny środek awaryjny na pewno uzna dostęp poprzez interfejs klienta. Jeśli interfejs klienta nie będzie działał, to klient nie będzie miał dostępu online do rachunku i tym samy bank jest zwolniony z obowiązku działania API. Każdy inny środek awaryjny może być nieakceptowalny „bo ten awaryjny również może nie zadziałać, a jak wtedy jeszcze działa interfejs klienta to mamy niezgodność”
4. To nie bank zrzeszający ma opracować interfejs awaryjny ale dostawcy, W ramach huba zrzeszeniowego trzeba tylko udostępnić mechanizm weryfikacji TPP
5. W przypadku kiedy dostawca dostarcza rozwiązanie dla grupy banków spółdzielczych koszt tego rozwiązania rozkłada się na wiele banków. W przypadku 30 banków to 1/30. Występowanie o zwolnienie to koszt taki sam dla każdego banku czyli mamy 30x(wniosek+audyt). A zapewniam znając realia że odrzucenie wniosku banku spółdzielczego będzie dziecinnie proste. Powiadomienie konsumenta, zgodność regulacji ze stanem faktycznym, adekwatny interfejs awaryjny…. mam wymieniać dalej ? No i na moment złożenia wniosku trzeba już być zgodnym z brakiem zwolnienia.
6. Trzeba oszacować kosz zwolnienia i koszt dostosowania. Koszt zwolnienia być może w dużych bankach komercyjnych jest mniejszy niż dostosowanie systemu dedykowanego dla banku. Ale w spółdzielczym ?.
Podsumowując – Bank Zrzeszający podjął jedyne słuszne działanie i nie ma się co oglądać na jego działania, zawracać sobie głowy zwolnieniami tylko zwrócić się do dostawcy i ewentualnie wesprzeć go finansowo w dostosowaniu interfejsu klienta do bycia awaryjnym.
Tyle w temacie zwolnienia – bo widzę że na blogu panuje chaos informacyjny i warto byłoby go uporządkować. Chyba że nie warto?

Prośba do AD VOCEM o interpretację

Dziękuję Sz. Kom. za wypowiedź w sprawie zwolnienia z fallback. Ponieważ jest Pan / Pani osobą – jak widać – dobrze zorientowaną w zagadnieniu PSD2, pozwolę sobie poprosić o interpretację poniższego (fragment z komentarza Sz. Komentatora):

” W przypadku awarii konieczne jest wprowadzenie odpowiednich środków, które umożliwiają tym dostawcom dostęp do interfejsu banku, aby zapewnić ciągłość usług dla klientów. Jednym z takich środków jest obowiązek udostępnienia interfejsu, który jest w normalnych warunkach dostępny dla użytkowników rachunków banku.”

Chodzi mi o wytłuszczoną cześć cytatu; jak Sz. Kom. widzi tu kwestię następującą:

• ten interfejs dostępny w „normalnych warunkach” to po prostu interfejs WWW systemu Bankowości Internetowej,
• dostęp za jego pomocą, rzecz jasna, wymaga autoryzacji klienta,
• parametry autoryzacji (id, hasło stałe, hasło jednorazowe ew.) zna klient,
• cały czasu mówimy tu o dostępie realizowanym przez TPP (czy za pośrednictwem TPP) – jako alternatywie dla API.

Jak zatem TPP dokona autoryzacji tym „normalnym” kanałem? – przecież klient nie przekaże mu danych autoryzujących. A rozumiem, że cały czas chodzi o dostęp przez TPP – jeżeli jestem w błędzie, proszę mnie poprawić.

Cieszę się, że Sz. Kom. dotknął tego tematu – chodzi mi on po głowie już jakiś czas i nie mam wypracowanego rozwiązania. Może Sz. Kom. AD VOCEM coś mi podpowie (i innym bywalcom BS BLOG-a) – będę zobowiązany…

A co jeśli dostawca BI nie zaimplementuje fallback-u?

Mam jeszcze jedno pytanie do Sz. Kom. AD VOCEM. Sz. Kom. pisze:

„Dla banków posiadających umowę z dostawcą na dostosowanie systemów do wymogów prawnych w ramach umowy serwisowej występowanie o zwolnienie jest zupełnie bezcelowe i generuje niepotrzebne koszty. Proszę mi wskazać choć jeden argument przemawiający za zwolnieniem.”

Pytanie brzmi: a co w sytuacji gdy dostawca – pomimo takiego obowiązku umownego wobec Banku – nie zaimplementuje mechanizmu alternatywnego dostępu? Albo zaimplementowany mechanizm nie będzie działał? Zawini dostawca, ale odpowiedzialny będzie Bank.

I pytanie do Sz. Czytelników: czy Państwa dostawcy zaimplementowali / zdążą zaimplementować do 14 września opcje fallback?

Dotychczas opublikowane na stronach OBBS wyniki badań naukowych

Dotychczas na stronach Fundacji Naukowej OBBS (www.obbs.pl) opublikowany został cykl artykułów opisujących wyniki badań dotyczących dwóch kategorii tematycznych:

• centralizacja core’owych systemów IT BS-ów w Bankach zrzeszających
• wsparcie świadczone przez Banki zrzeszające na rzecz BS-ów w zakresie zakupów systemów i rozwiązań IT. 

Publikacje te dostępne są pod adresem: www.obbs.pl  Sukcesywnie na stronach Fundacji Naukowej OBBS pojawiać się będą kolejne publikacje prezentujące wyniki prowadzonych badań.

Wchodząc w środowisko BS-ów ok. 7 lat temu, miałem oczy szeroko otwarte ze zdumienia…

(re-edycja) Państwo chce sterować sektorem bankowym w sposób niezwykle inwazyjny. Wchodząc w środowisko BS-ów ok. 7 lat temu, miałem oczy szeroko otwarte ze zdumienia, widząc że prywatna firma jest tak uzależniona od decyzji urzędniczych i zrzeszeniowych (zapadających czy to na poziomie zarządów zrzeszeń, czy na poziomie zgromadzeń prezesów). Powstaje zasadnicze pytanie, czy kolegialny (zrzeszeniowy) model funkcjonowania BS-ów jest przez nie powszechnie i świadomie akceptowany, czy jest im jedynie narzucony. Prościej rzecz ujmując; czy gdyby nie było de facto obowiązku zrzeszania się, to czy BS-y by się zrzeszały. Część pewnie tak, część – nie; pytanie o proporcję. Kiedyś robiliśmy taką ankietę dotyczącą zrzeszania się; zwykłą ankietę – nie badanie naukowe. Ale Fundacja Naukowa OBBS ma w planach takie badania.

Tak więc to, jak funkcjonują BS-y było dla mnie przed 7 laty – nazwijmy to – lekkim szokiem (a byłem myślę w kilkuset firmach z różnych sektorów; niektóre poznałem dość dobrze, więc mam porównanie). Teraz już się trochę do tego przyzwyczaiłem, ale bardzo niedobrze, że tak jest, jak jest. Etatyzm szaleje: regulacje, nadzory, kontrole, raporty, koncesje, zgody czy braki zgód. Powtórzę słowa słowa Mussoliniego zapisane w wydanej w 1932 r. „Doktrynie faszyzmu”:  „Wszystko w państwie, nic bez państwa, nic przeciwko państwu.”

BIBEUSZ o kredytach frankowych: „Ten wyrok niewiele zmieni w naszym kraju”

Sz. Kom. BIBEUSZ nie zgadza się z opinią TYLERA DURDENA w spr. kredytów frankowych:

„Ten wyrok niewiele zmieni w naszym kraju. Będzie to kolejny argument w rozmowach z właścicielami banków, który w razie potrzeby będzie użyty.”

TYLER DURDEN o kredytach frankowych: „Wyrok TSUE zmieni wszystko”

Sz. Kom. TYLER DURDEN o spodziewanym wyroku TSUE w sprawie kredytów frankowych:

„Wyrok TSUE zmieni wszystko. Sądy zaleje fala pozwów od kredytobiorców, a szacuje się, że rzutcy polscy sędziowie będą potrzebowali 100 lat na rozpatrzenie wszystkich umów frankowych. Dlatego Sejm przyszłej kadencji rozwiąże problem frankowy ustawą po linii orzeczenia TSUE. Tak scenariusz wycenia w tej chwili rynek.”

BS-owcy zgłaszają się na szkolenie o PSD2 (ON-LINE, 23 VIII)

Spływają nowe zgłoszenia na prowadzone przez Sz. Kol. Andrzeja Dubisa (Dyr. Dep. IT PBS) – wygląda na to, że szkolenie będzie mieć niezłą frekwencję.

Faktycznie – temat jest na czasie, ponieważ 14 IX ma „ruszyć” produkcyjne środowisko PSD2. Nadal nie wiadomo jak będzie ze zwolnieniem z opcji fallback; wprawdzie BPS deklaruje, że odpowiedniego wniosku składać nie będzie, ale co jeśli interfejs zapasowy nie będzie gotowy? Wówczas, żeby być w zgodzie z PSD2, należałoby uzyskać od KNF rzeczone zwolnienie. Myślę, że trzeba poczekać; drogi są dwie

• albo fallback zaistnieje,
• albo konieczne będzie zwolnienie. Zobaczymy, co czas przyniesie…

Sz. Kol. Andrzej Dubis prowadzi szkolenie w sposób bardzo kompetentny; miałem przyjemność uczestniczyć w jego pierwszej edycji i stwierdzam, że wykład nacechowany jest głębokim rozpoznaniem tematu. Z pewnością warto tegoż wykładu posłuchać, zwłaszcza, że można to zrobić nie wychodząc ze swojego banku (czy domu) – szkolenie odbędzie się w trybie ON-LINE (23 VIII)

Startujemy z Audytem PSD2 w I-BS.pl

Umowa o realizację AuPSD2 została dziś podpisana; projekt startuje, wizyty audytorskie umówione.

Naszym zadaniem będzie zbadanie zgodności systemów i rozwiązań firmy I-BS.pl z wymogami dyrektywy PSD2 i RTS.

BPS podjął decyzję o nieskładaniu wniosku o zwolnienie z opcji fall-back

Z informacji przekazanych nam przez BS-owców wynika, że BPS podjął decyzję o nieskładaniu wniosku o zwolnienie z interfejsu zapasowego.

Trudno ocenić, czy to decyzja ostateczna, czy tymczasowa – zapewne przedstawiciele BPS też jeszcze tego nie wiedzą.

W zaistniałej sytuacji dostępne są następujące alternatywy:

• BPS stworzy interfejs zapasowy,
• BPS nie stworzy interfejsu zapasowego i jednak wystąpi o zwolnienie z fall-back-u,
• BPS nie stworzy interfejsu zapasowego i pozostanie w niezgodzie z dyskutowanym wymogiem PSD2

Myślę, że te sprawy się rozstrzygają i jeszcze trzeba będzie poczekać na ostateczne rozwiązanie.

Jak samodzielnie sprawdzić przygotowanie Banku do PSD2? – poradnik, cz.VIII

• Weryfikacja przygotowanych na potrzeby API certyfikatów.

Zgodnie z art. 34 RST, dostawcy usług płatniczych powinni stosować w swoich witrynach internetowych kwalifikowane certyfikaty.

Komentarz: jest to wymóg powszechnie spełniony w środowisku.

Do polityki powinni iść ludzie majętni (a przynajmniej zamożni)

Wiele przypadków pokazuje, że do polityki powinni iść ludzie MAJĘTNI, a przynajmniej zamożni. Majętni, bądź przynajmniej potrafiący samodzielnie się utrzymać – bez diety poselskiej, bez ministerialnej pensji, bez urzędniczej posady nadanej przez partyjnych kolegów.

Politykiem powinien być KAPITALISTA, który żyje ze swojego kapitału; ze swoich nieruchomości, z procentów od lokat, z pracy zatrudnionych w swoich firmach pracowników. On nie musi sam pracować; żyje z pracy innych ludzi, czy z aktywów, których jest posiadaczem. Tymczasem polityk o niskim statusie majątkowym przeważnie (choć nie zawsze – wszak są idealiści i ludzie niezłomni) zrobi wszystko, żeby pozostać na kroplówce z budżetowych pieniędzy. Zrobi cokolwiek lud zechce, byleby tylko lud wybrał go ponownie. A najczęściej będzie przekupował lud jego własnymi pieniędzmi – jakkolwiek głupie i szkodliwe to by było.

Bardzo wielu polityków tak robiło. Do tego oczywiście jest dorabiana taka, czy inna ideologia (sprawiedliwość społeczna, wyrównywanie szans, niwelowanie nierówności czy inne bzdury), to naturalne – taki polityk musi przecież jakoś oszukać swój elektorat, a przede wszystkim – siebie. Tak, polityka to nie miejsce dla wszystkich, a dla ludzi z kapitałem, z majątkiem.

Rzecz jasna, posiadanie majątku nie gwarantuje uczciwości i lojalności wobec narodu, ale to sprawa na oddzielny felieton…

Czy nastąpi przełom w dziedzinie kredytów frankowych? – TYLER DURDEN komentuje

Sz. Kom. TYLER DURDEN pisze:

„Życie przyniosło ciekawy epilog do dyskusji na temat kredytów frankowych, która przetoczyła się na BS Blogu 2 lata temu. Otóż w najbliższym czasie zapadnie wyrok TSUE w tej sprawie, który najprawdopodobniej będzie kosztował banki dziesiątki miliardów złotych. W efekcie, pomimo niezłej koniunktury gospodarczej, indeks WIG Banki właśnie ustanowił 2 letnie minimum.

Pan Bóg nierychliwy, ale sprawiedliwy:)”

Kredyty frankowe: jestem w opozycji do TYLERA DURDENA

Przypuszczam, że wielu Sz. Czytelnikom moje stanowisko się nie spodoba, ale cóż – właśnie od to chodzi na BS BLOG-u, żeby każdy mógł napisać co myśli. Także i ja 🙂

Otóż z tonu komentarza Sz. Kom. TYLERA DURDENA wynika, że jest On zadowolony z faktu, że TSUE prawdopodobnie wyda orzeczenie w sprawie kredytów frankowych na korzyść frankowiczów, a nie na korzyść banków. Nie lubię korporacji, świata banków komercyjnych i tych wszystkich „starszych i mądrzejszych” którzy urządzają na naszym bożym świecie ustrój zwany korpocjalizmem. Rozumiem też dramatyczną (w sensie finansowym) sytuację rodzin „utopionych” w kredytach we franku – znam takich ludzi i im współczuję.

Ale sięgnijmy do zasad: pacta sunt servanda – umów się dotrzymuje. Otóż każdy frankowicz:

• z własnej, nieprzymuszonej woli podpisał umowę kredytu we frankach (czy denominowanego we frankach),
• wiedział, że kurs franka może ulec i ulega zmianom (widział to co miesiąc, obserwując przeliczenie raty frankowej na złotową),
• wiedział, że nie ma żadnych „widełek” ograniczających zmianę kursu – ani z góry, ani z dołu.

W pewnym okresie kredyt we frankach się opłacał. Frankowicze zyskiwali w stosunku do złotówkowiczów; ci drudzy musieli płacić więcej, ci pierwsi – zyskiwali. „Stratni” byli więc złotówkowicze (póki co, nie słyszałem o roszczeniach z ich strony). Potem sytuacja się zmieniła; operacje finansowo – kapitałowe obarczone są ryzykiem. Kiedyś grając na giełdzie straciłem kilkadziesiąt tysięcy zł. – no cóż; moje decyzje, moje ryzyko. Nikt mnie to tego grania nie zmuszał – nie wysuwam więc z tego tytułu żadnych roszczeń. Moja wolna, nieprzymuszona wola stała za tym, by akcjami handlować. Nikt mnie nie zmuszał – tak jak nikt nie zmuszał frankowicza.

Powtórzę, choć wiem, że wielu Czytelnikom moja opinia się nie spodoba: rozumiem trudną sytuację rodzin zaangażowanych w kredyty frankowe, znam takich ludzi i im współczuję. Ale pacta sunt servanda…

Refleksje po urlopie, czyli czy warto dużo pracować?

Podczas urlopu miałem okazję uczestniczyć w imprezie, w której wzięło udział 6 osób, z czego 3 stanowili lekarze; pani anestezjolog i dwóch panów: ginekolog i internista-diabetolog. Impreza odbyła się w nowo-wybudowanym wielkim domu (zdaje się 300 metrów, czy więcej), przed domem stały dwa najnowsze modele volvo gospodarzy, w planach budowa basenu w ogrodzie…

Sukces finansowy? – tak. Ale okupiony ogromną pracowitością. Pan ginekolog spóźnił się na imprezę nieco, ponieważ do 20:30 przyjmował pacjentki. Pani anestezjolog mówiła mi, że jej córka (też lekarka) chce wyjechać za granice ponieważ tam „będzie mogła pracować tylko 8 godzin dziennie”. Pan internista-diabetolog już to zrobił; na co dzień jest poza Polska i istotnie pracuje „tylko” 8 godzin dziennie. Ponadto pani anestezjolog wspominała, że czasem nie ma jej w domu po 2-3 dni, ponieważ bierze „pod rząd” dyżury w szpitalu.

Patrząc z boku, ktoś niewiele zarabiający mógłby powiedzieć: „tym to się powodzi” – powiedzieć to z lekką zazdrością, czy nawet z nutką zawiści. Ale podziwiam pracowitość takich ludzi i cieszę się ich sukcesem. Ich ogromny trud został nagrodzony gratyfikacją; trud studiowania, robienia specjalizacji, odbywania staży, wreszcie trud codziennej pracy lekarskiej.

Mam w całkiem bliskiej rodzinie czworo lekarzy; wiem, ile trudu włożyli w swoje wykształcenie. Jeden z moich kuzynów, kiedy jeszcze był na Akademii Medycznej powiedział mi, iż jego największym, absolutnie największym marzeniem jest móc nie uczyć się. Wynikało to ogromnego przepracowania.

Takich ludzi trzeba stawiać za wzór, oni pokazują, że bogactwo bierze się z pracy; nie z dotacji unijnych, 500+, czy socjalistycznej redystrybucji, a właśnie z pracy i z prywatnego kapitału. Dlatego kapitalizm jest najlepszym z ustrojów (choć ma swoje wady), a socjalizm wiedzie ku dziadostwu, biedzie i niesprawiedliwości społecznej.

Jak samodzielnie sprawdzić przygotowanie Banku do PSD2? – poradnik, cz.IX

• Weryfikacja szyfrowania transmisji

Zgodnie z art. 35 RTS, dostawcy usług płatniczych powinni zabezpieczać sesję komunikacyjną. Zagadnienie jest ujęte szeroko, w różnych aspektach świadczenia usług płatności:

„Dostawcy usług płatniczych prowadzący rachunek, dostawcy usług płatniczych wydający instrumenty płatnicze oparte na karcie, dostawcy świadczący usługę dostępu do informacji o rachunku i dostawcy świadczący usługę inicjowania płatności zapewniają, aby podczas wymiany danych za pośrednictwem internetu w komunikacji między komunikującymi się stronami stosowano bezpieczne szyfrowanie danych przez cały czas trwania odpowiednich sesji komunikacyjnych w celu zabezpieczenia poufności i integralności danych, wykorzystując do tego silne i powszechnie uznawane techniki szyfrowania.”

Komentarz: z racji powszechności stosowania technik typu SSL, czy VPN, wymóg powyższy jest praktycznie zawsze spełniony. Jak Państwo widzą, część zapisów dyrektywnych czy w PSD2, czy w RTS, odzwierciedla już wdrożone rozwiązania. Podobnie było w przypadku Rekomendacji KNF dot. bezpieczeństwa płatności internetowych z roku – zdaje się – 2015; zawarte w tym dokumencie zalecenia były niemal w 100% spełnione już w momencie emisji dokumentu (dlatego nazwałem tę rekomendację w jednej z publikacji „spóźnioną rekomendacją”).

Wróciłem z urlopu; witam serdecznie :-) – wkrótce nowe wpisy…