Gjennomgang av forskriften om systemer for betalingstjenester

Når vi tar i bruk de teknologiske fremskrittene som omgir oss, er det uunngåelig at vi også møter utfordringer. En av disse utfordringene er sikkerhet, særlig innen betalingstjenester. I denne artikkelen vil vi dykke dypere inn i reguleringsstrukturen som er satt opp for å sikre betalingstjenester i Norge – Forskriften om systemer for betalingstjenester.

Forskriften om systemer for betalingstjenester gir et bredt spekter av institusjoner som den er relevant for. Disse inkluderer banker, kredittinstitusjoner, e-pengeforetak, betalingsforetak, opplysningsfullmektiger og filialer av slike foretak med hovedsete i en annen EØS-stat. Men det er verdt å merke seg at betalingsforetak med begrenset tillatelse er unntatt fra disse reglene.

Et av hovedprinsippene i denne forskriften er risikovurdering og etterlevelse av regelverk. Forskriften pålegger betalingstjenestetilbydere å utføre risiko- og sårbarhetsvurderinger før en ny betalingstjeneste lanseres og ved hendelser eller endringer som har betydning for sikkerhetsnivået. Den krever også betalingstjenestetilbydere å ha systemer og kontrollmekanismer for å håndtere operasjonell og sikkerhetsmessig risiko. Dette inkluderer overvåkning av datatrafikk for å sikre sikkerhetsnivået og avdekke og forhindre uautorisert bruk av tjenesten.

Hvis det oppstår en hendelse som påvirker eller kan påvirke brukernes økonomiske interesser, skal betalingstjenestetilbydere informere brukerne om hendelsen uten ugrunnet opphold. Meldingen skal inneholde informasjon om tiltak brukeren kan iverksette.

Forskriften er også detaljert om kravene til sikker ytelse av betalingstjenester. Betalingstjenestetilbydere skal etablere tiltak for å sikre nødvendig konfidensialitet, integritet og tilgjengelighet for tjenestene basert på risiko- og sårbarhetsvurderingen. I tillegg skal betalingstjenestetilbyderen sørge for at tjenesten i sin helhet er beskyttet gjennom logiske og fysiske sikringstiltak.

I et forsøk på å gi ytterligere beskyttelse til brukerne, inneholder forskriften også krav til sterk kundeautentisering. Dette betyr at betalingstjenestetilbydere skal bruke sterke autentiseringsmetoder når brukeren logger seg inn på sin betalingskonto via nettet, initierer en elektronisk betalingstransaksjon, eller gjennomfører handlinger som kan innebære risiko for svindel eller annet misbruk.

Forskriften omfatter også detaljerte krav til betalingsfullmakttjenester og kontoinformasjonstjenester. Disse kravene fokuserer på legitimasjon, sikker kommunikasjon, og beskyttelse av brukerens personlige sikkerhetsinformasjon.

Til slutt, er det verdt å merke seg at forskriften også setter noen plikter for kontotilbyderen. Kontotilbyderen skal gi fullmaktforetaket nødvendig tilgang til brukerens egne internettbaserte betalingskontoer, med mindre det foreligger objektivt begrunnede og dokumenterte forhold som gir grunn til å tro at nødvendig autorisasjon for utføring av avtale om betalingsfullmakt eller kontoinformasjonstjeneste mangler.

Ring oss