Så följer du PSD2 och dess tekniska regler

EU:s reviderade betaltjänstedirektiv (revised Payment Services Directive, PSD2) ställer höga krav på finansindustrin att höja säkerheten och öppna för tredjepartsaktörer. Detaljerade tekniska regler för PSD2 har nu släppts. Bjørn Søland, teknisk expert på identitets- och säkerhetsföretaget Nexus Group, förklarar vad reglerna innebär och hur du följer dem.

PSD2 kommer att göra elektroniska betalningar både online och i butik säkrare, och direktivet kommer att ge konsumenter tillgång till bekväma, kostnadseffektiva och innovativa betaltjänstlösningar från tredjepartsaktörer. Den 27 november 2017 offentliggjorde EU-kommissionen äntligen de tekniska tillsynsstandarderna (regulatory technical standards, RTS) för PSD2. RTS är den tekniska implementationen av PSD2, och de väntas träda i kraft i september 2019.

”De tekniska tillsynsstandarderna är resultatet av en lång process, genom vilken EU-kommissionen, banker och betaltjänstaktörer har arbetat fram ett regelverk som ganska väl speglar vanligt sunt säkerhetstänkande. Det är inte perfekt, men det är ett tydligt steg i rätt riktning för att minska cyberrisker och samtidigt öka konkurrensen i det europeiska banksystemet”, säger Bjørn Søland.

Det här innebär de tekniska tillsynsstandarderna – och så följer du dem:

“Det finns bara några få undantag: betalningar med låga värden och speciella fall såsom parkering”, säger Bjørn Søland.


Ladda ned vårt whitepaper: Så här implementerar du tvåfaktorsautentisering (2FA) till Office 365 med Nexus Personal Mobile


  • Så kallad webbskrapning är inte längre tillåten.

“Termen webbskrapning (screen scraping) hänvisar till ett vanligt förfarande som innebär att användaren lämnar över sina inloggningsuppgifter till en tredje part, som sedan kan logga in på uppdrag av användaren. Den tredje parten kan sedan webbskrapa all information som presenteras för användaren”, säger Bjørn Søland.

Webbskrapning är enkelt att implementera – men problematiskt på ett antal sätt: att lämna över inloggningsuppgifter till någon annan är normalt explicit förbjudet i bankens avtal med användaren, banken kan inte implementera sökning efter skadlig programvara på klientsidan, och det finns inget sätt att begränsa vilken information den tredje parten får tillgång till.

”Vägen framåt går via korrekt autentiserad server–server-kommunikation och väldefinierade applikationsprogrammeringsgränssnitt (application programming interfaces, APIs). Det här är goda nyheter för alla på lång sikt – även tredje parter som i dag webbskrapar kommer att vinna på det här”, säger Bjørn Søland.

  • Banker måste erbjuda API:er med hög operativ stabilitet och samma autentiseringsnivå som de erbjuder sina egna kunder.

“Enligt de tekniska tillsynsstandarderna verkar det klart att tredje parter har rätt att förlita sig på bankens användarautentisering. Det betyder att bankerna måste erbjuda tvåfaktorsautentisering inte bara för att skydda sina egna tjänster, men också indirekt för att skydda tredjepartstjänsterna”, säger Bjørn Søland.

  • En friktionsfri användarupplevelse krävs.

“De tekniska tillsynsstandarderna är teknik- och affärsmodellneutrala, och användare rör sig snabbt mellan olika tekniker. Det betyder att banker inte längre kan förlita sig på autentiseringsplattformar som bara klarar av ett användningsområde och som har begränsad flexibilitet. Sådana plattformar stödjer inte nödvändigtvis den nya affärsmiljön och, ännu viktigare, erbjuder inte en friktionsfri användarupplevelse”, säger Bjørn Søland.

Istället rekommenderar han användning av så kallade hybridlösningar, som kan användas för åtkomst till så väl webb- och molnresurser som till lokala resurser, och som stödjer många olika inloggningsmetoder och låter användaren byta mellan dem.

”Ett exempel på en sådan lösning är Nexus autentiseringsplattform Hybrid Access Gateway, som kan användas tillsammans med autentiseringsappen Nexus Personal Mobile och många andra användarvänliga autentiseringsmetoder”, säger Bjørn Søland.