niedziela, Listopad 18

Poważne incydenty na rynku usług płatniczych. Jak wykonać obowiązek raportowy do UKNF?

Google+ Pinterest LinkedIn Tumblr +

Bezpieczeństwo transakcji płatniczych to jeden z głównych celów wprowadzenia dyrektywy PSD2. Użytkownicy powinni mieć pewność, że wszelkie incydenty, które mogą zagrozić ich środkom finansowym, jak i osobistym danym, są wykrywane i w należyty sposób eliminowane. Jednym z elementów, które mają w tym pomóc jest obowiązek raportowania przez dostawców usług płatniczych, w tym również banki, do właściwego organu nadzoru. Dzisiaj Komisja Nadzoru Finansowego opublikowała komunikat, w którym doprecyzowuje aspekty technicznego raportowania.

Nie każdy incydent należy raportować. Tylko te incydenty operacyjne lub związane z bezpieczeństwem, które mają charakter poważny podlegają takiemu obowiązkowi. Definicję incydentu określają wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA). Sam incydent operacyjny lub związany z bezpieczeństwem to po prostu zdarzenie lub ich ciąg, które w sposób nieplanowany wpływają lub mogą wpływać na integralność, dostępność, poufność, uwierzytelnianie i/lub ciągłość usług związanych z płatnościami. EBA wprowadziła konkretne kryteria ilościowe i jakościowe, które mają dostawcom ułatwić sklasyfikowanie incydentu jako poważnego.

W celu sklasyfikowania incydentu jako poważnego należy dokonać oceny czy dany incydent spełnia jedno lub więcej kryteriów na “poziomie posiadania dużego wpływu” lub spełnia trzy lub więcej kryteriów na “poziomie posiadania niewielkiego wpływu”. Przykładowo, incydent który może spowodować straty na poziomie powyżej 100.000 euro, ale mnie niż 5.000.000 milionów i zagrożenie dla więcej niż 5.000 użytkowników, ale mniej niż 50.000 nie będzie stanowił poważnego incydentu (kryteria ilościowe są oczywiście inne w przypadku mniejszej skali działalności dostawcy). Jeżeli jednak dodamy do tego wpływ na innych dostawców płatniczych, to taki incydent może już spełniać kryteria poważnego incydentu.

Wyjaśnienia wymaga jedno kryterium, tj. “przekazanie na wyższy szczebel“. Należy je ocenić jako sprawdzenie, czy dyrektor lub inna osoba odpowiedzialna za bezpieczeństwo, głównie informatyczne, została powiadomiona o incydencie poza normalną procedurą powiadamiania (np. okresowe sprawozdania). Jeżeli tak, to kryterium należy zaliczyć do oceny jako spełnione.

Informujemy KNF. A co z klientami?

Tak przedstawia się definicja poważnego incydentu. Jak więc widać każdy przypadek wystąpienia zagrożenia dla prawidłowego świadczenia usług płatniczych należy oceniać indywidualnie. W praktyce posłużyć temu mają odpowiednie systemy, którym towarzyszą procedury wdrażane obowiązkowo przez dostawcę.

Sam proces przekazywania informacji o incydencie nie jest przesadnie skomplikowany. Powiadomienie KNF następuje niezwłocznie, a jeżeli dodatkowo spełnione jest kryterium wpływu (lub potencjalnego wpływu) na interesy finansowe użytkowników, to  powiadomić należy także użytkowników usług tego dostawcy. Przekazanie informacji użytkownikom następuje bez zbędnej zwłoki (to nie to samo co niezwłocznie!). Jest to związane z innym obowiązkiem, który temu towarzyszy. Dostawca musi bowiem wskazać użytkownikom z jakich środków mogą skorzystać, aby incydent nie wpłynął negatywnie na ich sytuację. W praktyce dostawca przekazuje również informacje o podjętych przez niego środkach. Takie przekazanie informacji następuje najczęściej w formie komunikatu, np. w bankowości elektronicznej czy aplikacji mobilnej.

Sklasyfikowaliśmy incydent jako poważny. Co dalej?

Należy wypełnić odpowiedni formularz, którego struktura różni się w zależności od typu dostawcy usług płatniczych (formularze są dostępne tutaj). Formularze przygotowane zostały w formacie .ods lub .xlsx (Excel). Zgłoszenia dokonuje się  za pośrednictwem elektronicznej skrzynki podawczej KNF, która jest dostępna na platformie ePUAP. Potrzeba więc odpowiedniego certyfikatu (profil zaufany) w celu uwierzytelnienia się względem KNF.

W pierwszym kroku KNF należy złożyć tzw. sprawozdanie wstępne, które powinno znaleźć się na “biurku” Urzędu w  4 godziny od momentu pierwszego wykrycia incydentu. Chyba, że nie ma możliwości poinformowania KNF ze względów technicznych, to wtedy dokonać tego należy najszybciej jak to tylko możliwe. Uzupełnienia wymagają m.in. dane identyfikujące dostawcę, osoby kontaktowe, opis incydentu, dane dotyczące daty wystąpienia incydentu, osoby, która wykryła incydent, czy też potencjalnego wpływu na inne państwa członkowskie (KNF może przekazać informację EBA i/lub EBC). Należy również podać datę przewidywanej aktualizacji zgłoszenia (nie później niż 3 dni od zgłoszenia incydentu KNF).

Następnym krokiem związanym z raportowaniem jest przesłanie sprawozdania okresowego, które przekazywane jest kiedy zachodzi taka konieczność, ale nie później niż w dniu zaplanowanej aktualizacji. Zakres informacji, które należy podać jest szerszy. Przede wszystkim należy podać możliwie najwięcej szczegółów związanych z incydentem. Raport zawiera również wskazanie spełnienia kryteriów wagi incydentu. Dostawca ma obowiązek wskazać jakie działania podjął w celu jego eliminacji. Konieczne jest wskazanie daty kolejnej aktualizacji. Jeżeli usługa została przywrócona i działa “normalnie”, tj. jak przed incydentem, to powstaje obowiązek złożenia ostatniego raportu okresowego. W sytuacji, w której incydent został wyeliminowany przed upływem 4 godzin na złożenie raportu wstępnego, to takiemu przekazaniu powinno towarzyszyć złożenie raportu okresowego. W praktyce może to być jednak trudne do wykonania.

To nie koniec

Po przekazaniu ostatniego raportu okresowego należy przeprowadzić dokładną analizę przyczyn incydentu. Analiza powinna znaleźć się w raporcie końcowym, który również jest przekazywany do KNF. W dokumencie należy określić nie tylko zidentyfikowane przyczyny, ale także wnioski wyciągnięte w związku z podjętymi działaniami oraz zakres środków naprawczych, które zostały wdrożone. Sprawozdanie końcowe przekazywane jest do Urzędu w terminie 2 tygodni od ostatniego sprawozdania okresowego (chyba, że dostawca nadal nie funkcjonuje poprawnie). I podobnie jak w przypadku wyeliminowania skutków incydentu przed upływem 4 godzin, pożądanym jest przekazanie wszystkich trzech raportów.

A jak to wygląda operacyjnie? Może outsourcing?

To dobre rozwiązanie, ale wymaga spełnienia szeregu obowiązków, w tym poinformowania KNF o tym fakcie. Obowiązków formalnych jest dużo, dlatego przedstawię je odrębnym artykule poświęconemu outsourcingowi na rynku usług płatniczych.

W związku z koniecznością szybkiego reagowania na incydenty, w tym w zakresie analizy ich “ważności” istotne jest wdrożenie odpowiedniej polityki operacyjnej i bezpieczeństwa, która określa również kwestie organizacyjne związane z raportowaniem. Ważne jest wyraźne określenie jednostek/osób odpowiedzialnych za poszczególne elementy, tak aby maksymalnie zabezpieczyć klientów, jak i spełnić wszystkie wymogi regulacyjne. Niezwykle istotna jest również ścisła współpracą pomiędzy IT i Security a pozostałymi aktorami systemu kontroli wewnętrznej.

 

Udostępnij.

Zostaw komentarz