Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Bezpieczeństwo płatności online - jak je zachować?

Bezpieczeństwo płatności online - jak je zachować?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Bezpieczeństwo płatności online reguluje m.in. Ustawa z dnia 19 sierpnia 2011 roku o usługach płatniczych, jak również Rozporządzenie delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 roku dotyczące standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji (dalej: „Rozporządzenie”). Przeczytaj poniższy artykuł i dowiedz się, jakie zasady zgodnie z przepisami zobowiązani są stosować dostawcy płatności, by zapewnić bezpieczeństwo zdalnych transakcji.

Silne uwierzytelnienie użytkownika

Zgodnie z ustawą o usługach płatniczych dostawca ma obowiązek stosować silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:

  • uzyskuje dostęp do swojego rachunku w trybie online;

  • inicjuje elektroniczną transakcję płatniczą;

  • przeprowadza za pomocą kanału zdalnego czynność, która może wiązać się z ryzykiem oszustwa związanego z wykonywanymi usługami płatniczymi lub innych nadużyć.

Zgodnie z ww. ustawą silne uwierzytelnianie użytkownika to uwierzytelnianie zapewniające ochronę poufności danych na podstawie zastosowania co najmniej 2 elementów należących do kategorii:

  • wiedza o czymś, o czym wie wyłącznie użytkownik;

  • posiadanie czegoś, co posiada wyłącznie użytkownik;

  • cechy charakterystyczne użytkownika

 – będących integralną częścią tego uwierzytelniania oraz niezależnych w taki sposób, że naruszenie 1 z tych elementów nie osłabia wiarygodności pozostałych.

Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca ma obowiązek stosować silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.

Dostawca płatności zobowiązany jest ponadto stosować odpowiednie środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających.

Kod uwierzytelniający a bezpieczeństwo płatności online

W razie uwierzytelnienia transakcji za pomocą kodu uwierzytelniającego dostawca usług płatniczych zobowiązany jest przyjąć środki bezpieczeństwa zapewniające spełnienie każdego z określonych poniżej wymogów:

  • z ujawnionego kodu uwierzytelniającego nie można pozyskać żadnych informacji dotyczących elementów składających się na służące do uwierzytelnienia,

  • wygenerowanie nowego kodu uwierzytelniającego nie jest możliwe na podstawie znajomości żadnego innego kodu uwierzytelniającego wygenerowanego wcześniej,

  • kodu uwierzytelniającego nie można sfałszować.

Dostawca usług płatniczych przyjmuje kod uwierzytelniający wyłącznie 1 raz.

Dostawcy usług płatniczych zapewniają, aby uwierzytelnianie poprzez generowanie kodu uwierzytelniającego obejmowało następujące środki:

  • jeżeli uwierzytelnianie na potrzeby dostępu zdalnego, zdalnych płatności elektronicznych i wszelkich innych czynności przeprowadzanych za pomocą kanału zdalnego, które mogą wiązać się z ryzykiem oszustwa płatniczego lub innych nadużyć, nie wygenerowało kodu uwierzytelniającego, nie jest możliwe ustalenie, który z elementów, o których mowa w tym ustępie, był błędny;

  • liczba mogących nastąpić po sobie nieudanych prób uwierzytelnienia, po której przekroczeniu wykonanie czynności, zostaje tymczasowo lub stale zablokowane, nie przekracza 5 prób w określonym okresie;

  • sesje komunikacyjne są chronione przed przechwyceniem danych uwierzytelniających przekazywanych podczas uwierzytelniania oraz przed manipulacją ze strony osób niepowołanych;

  • maksymalny czas bezczynności płatnika po jego uwierzytelnieniu na potrzeby dostępu do jego rachunku płatniczego w trybie online nie przekracza 5 minut.

Zabezpieczenie za pomocą dynamicznego połączenia wg Rozporządzenia

Jeżeli dostawca usług płatniczych ma w danym przypadku obowiązek stosować oprócz kodu uwierzytelniającego również dynamiczne połączenie, dostawca zobowiązany jest przyjąć obowiązkowo środki bezpieczeństwa spełniające każdy z następujących wymogów:

  • płatnika powiadamia się o kwocie transakcji płatniczej oraz o odbiorcy;

  • wygenerowany kod uwierzytelniający jest przypisany do kwoty transakcji płatniczej oraz do odbiorcy, które płatnik zaakceptował podczas inicjowania transakcji;

  • kod uwierzytelniający przyjęty przez dostawcę usług płatniczych odpowiada pierwotnej konkretnej kwocie transakcji płatniczej oraz tożsamości odbiorcy, które płatnik zaakceptował;

  • wszelkie zmiany kwoty lub odbiorcy skutkują unieważnieniem wygenerowanego kodu uwierzytelniającego.

Bezpieczeństwo płatności online, integralność i poufność wg Rozporządzenia

Dostawcy usług płatniczych zobowiązani są zapewnić poufność i integralność indywidualnych danych uwierzytelniających użytkowników usług płatniczych, w tym kodów uwierzytelniających, na wszystkich etapach uwierzytelniania.

Dostawcy usług płatniczych zapewniają na potrzeby realizacji powyższego celu spełnienie każdego z określonych poniżej wymogów:

  • indywidualne dane uwierzytelniające są maskowane podczas ich wyświetlania i nie można ich w pełni odczytać, kiedy użytkownik usług płatniczych wprowadza je podczas uwierzytelnienia;

  • indywidualnych danych uwierzytelniających w formacie danych oraz materiałów kryptograficznych powiązanych z szyfrowaniem indywidualnych danych uwierzytelniających nie przechowuje się jako zwykłego tekstu;

  • tajny materiał kryptograficzny jest chroniony przed nieautoryzowanym ujawnieniem.

Polecamy:

Arkusz spis z natury - wzór z omówieniem

Zasady przetwarzania danych użytkowników przez ser...
Domena internetowa - sposoby ochrony oraz zagrożen...
Listopad 2024
23
Sobota
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  4. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  5. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Odpowiedzialność odszkodowawcza w RODO - co warto wiedzieć?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Prowadzisz biuro rachunkowe? Nie może Cię zabraknąć na tym wydarzeniu!
Konferencja "Zmiany podatkowe 2025"
Zapraszamy na Global Leadership Summit Polska 2024!
No Code Days 2024 – klucz do świata technologii bez programowania
KONFERENCJA KADRY PŁACE 2024/2025 – bieżące problemy oraz nowe wyzwania na 2025 rok Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów