Συνεταιριστική Τράπεζα Θεσσαλίας - "Μηχανισμός έκτακτης ανάγκης"

Σε περίπτωση που η ειδική διεπαφή (API) που θέλετε να χρησιμοποιήσετε δεν είναι διαθέσιμη, προσφέρουμε την δυνατότητα χρήσης του "μηχανισμού έκτακτης ανάγκης (Fallback)" σύμφωνα με την οδηγία (ΕΕ) 2015/2366 (PSD2). Ο συγκεκριμένος μηχανισμός παρέχεται μόνο σε Τρίτους Παρόχους Υπηρεσιών Πληρωμών (TPPs) οι οποίοι είναι αδειοδοτημένοι και καταχωρημένοι στην αρμόδια Εθνική Ρυθμιστική Αρχή.

Όπως έχει υλοποιηθεί, ο "μηχανισμός έκτακτης ανάγκης" πληροί δύο στόχους:

1. Ασφαλής και αξιόπιστος έλεγχος ταυτότητας του Τρίτου Παρόχου Υπηρεσιών Πληρωμών(TPP), έτσι ώστε η πρόσβαση στα δεδομένα των Χρηστών Υπηρεσιών Πληρωμών (PSU) να χορηγείται μόνο σε εξουσιοδοτημένες οντότητες.
2. Ενεργοποίηση της πρόσβασης στο Τρίτο Πάροχο Υπηρεσιών Πληρωμών (TPP) για τη χρήση της διεπαφής της απευθείας πρόσβασης στον λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (PSU) διαδικτυακά.

Για τον "μηχανισμό έκτακτης ανάγκης" προσφέρουμε την διεπαφή της απευθείας πρόσβασης στον λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (PSU) διαδικτυακά, που διατίθεται για τους Πελάτες μας (e-banking) https://www.e-thesbank.gr. Προκειμένου να αποκτήσετε πρόσβαση στον "μηχανισμό έκτακτης ανάγκης (Fallback)" πριν αποκτήσετε πρόσβαση στην διεπαφή της απευθείας πρόσβασης στον λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (ΧΥΠ), πρέπει να συνδεθείτε στην ακόλουθη διεύθυνση URL:

https://tpp.bankofthessaly.gr

Για να χρησιμοποιήσετε τον "μηχανισμό έκτακτης ανάγκης", ο Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) θα πρέπει να έχει στην κατοχή του ένα έγκυρο πιστοποιητικό eIDAS QWAC.

Προκειμένου να χρησιμοποιηθεί ο μηχανισμός "έκτακτης ανάγκης", ο Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) θα πρέπει να ακολουθήσει μία από τις παρακάτω μεθόδους:

• Να ενσωματώσει το eIDAS QWAC πιστοποιητικό στις κλήσεις του σαν Client Certificate, είτε μέσω εργαλείων browser, είτε μέσω API testing εργαλείων (π.χ Postman)
• Να συμπεριλαμβάνει το eIDAS QWAC πιστοποιητικό στις REST κλήσεις που εκτελούνται στον παραπάνω σύνδεσμο, στην Header παράμετρο tpp-qwac-certificate

Εφόσον το eIDAS πιστοποιητικό του Τρίτου Παρόχου Υπηρεσιών Πληρωμών (TPP) είναι έγκυρο, πιστοποιείται η άδεια του καθώς και οι αντίστοιχοι ρόλοι που έχει λάβει σαν Τρίτος Πάροχος (AISP, PISP, PIISP or ASPSP). Στην συνέχεια ακολουθείται η παρακάτω διαδικασία:

1. Με έγκυρο eIDAS πιστοποιητικό, o Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) ανακατευθύνεται σε ειδική διεπαφή της Τράπεζας με την ίδια λειτουργικότητα της απευθείας πρόσβασης στον λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (PSU) διαδικτυακά, που διατίθεται για τους Πελάτες μας (e-banking). Στη διεπαφή αυτή παρουσιάζεται ειδικη σελίδα αυθεντικοποίησης με στοιχεία του χρήστη (PSU), όπως ακριβώς συμβαίνει για λύσεις που χρησιμοποιούν screen scraping μηχανισμούς
2. Ο Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) εισάγει τα στοιχεία (credentials) του χρήστη προκειμένου να γίνει αυθεντικοποίηση. Η διεπαφή του “μηχανισμού έκτακτης ανάγκης” είναι συνδεδεμένη με τα υφιστάμενα συστήματα της Τράπεζας μέσω ασφαλών APIs, και τα στοιχεία ταυτοποίησης του χρήστη ελέγχονται έναντι της βάσης δεδομένων των χρηστών της Τράπεζας
3. Αν τα στοιχεία ταυτοποίησης (credentials) του χρήστη είναι ακριβή, ο Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) λαμβάνει απάντηση από την ειδική διεπαφή σε μορφή JSON, περιέχοντας όλα τα απαραίτητα στοιχεία για τους λογαριασμούς του χρήστη που αυθεντικοποιήθηκε, καθώς και ειδικούς συνδέσμους που μπορεί να χρησιμοποιήσει για να ανακτήσει συγκεκριμένα δεδομένα λογαριασμών ή να εκτελέσει μια πληρωμή (μεταφορά) .

Σύμφωνα με το άρθρο 66 παράγραφος 3 στοιχείο δ) της οδηγίας PSD2 προβλέπεται ότι οι Πάροχοι Υπηρεσιών Εκκίνησης Πληρωμών (PISP) θα πρέπει κάθε φορά που διενεργείται έναρξη πληρωμής, να ταυτοποιούνται στον Πάροχο Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSP) κατά τρόπο ασφαλή”. Παρομοίως, το άρθρο 67 παράγραφος 2 στοιχείο γ) της οδηγίας PSD2 για κάθε κύκλο επικοινωνίας, οι Πάροχοι Υπηρεσιών Πληροφοριών Λογαριασμού (AISP) θα πρέπει να ταυτοποιούνται στον Πάροχο Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSP), "για κάθε συνεδρία επικοινωνίας". Αυτός είναι ο λόγος για τον οποίο πρέπει να καλείται η εναλλακτική λύση πριν από κάθε συνεδρία(session) Πελάτη (Χρήστη Υπηρεσιών Πληρωμών) που ανοίγεται από τον Τρίτο Πάροχο Υπηρεσιών Πληρωμών (TPP).

Η παρεχόμενη υποδομή του“μηχανισμού έκτακτης ανάγκης” απαιτεί να αποδείξει την ταυτότητα του ο Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) με την παροχή του απαιτούμενου πιστοποιητικού eIDAS. O Τρίτος Πάροχος Υπηρεσιών Πληρωμών (TPP) θα πρέπει να ακολουθεί αυτή τη συγκεκριμένη διαδικασία κάθε φορά που ζητείται πρόσβαση του “μηχανισμού έκτακτης ανάγκης”, δηλαδή όταν το API Open Banking της Συνεταιριστικής Τράπεζας Θεσσαλίας δεν είναι διαθέσιμο ή δεν συμπεριφέρεται ποιοτικά όπως πρέπει (με βάση τα όσα περιγράφονται στην οδηγία PSD2 και στα RTS (Ρυθμιστικά Τεχνικά Πρότυπα). Όμοια όπως συμβαίνει και με την χρήση της ειδικής διεπαφής, θα πιστοποιηθείτε με βάση το eIDAS πιστοποιητικό QWAC. Μετά τον επιτυχή έλεγχο ενός έγκυρου eIDAS πιστοποιητικού QWAC, θα μεταφερθείτε στην διεπαφή απευθείας πρόσβασης στο λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (PSU) διαδικτυακά (e-banking).

Σημειώστε ότι σύμφωνα με την Άρθ. 33 (5) των Ρυθμιστικών Τεχνικών Προτύπων (RTS) οι Τρίτοι Πάροχοι Υπηρεσιών Πληρωμών (TPPs) όταν κάνουν χρήση “μηχανισμού έκτακτης ανάγκης” μέσω της διεπαφής απευθείας πρόσβασης στον λογαριασμό πληρωμών των Χρηστών Υπηρεσιών Πληρωμών (PSU) διαδικτυακά, θα πρέπει:

• λαμβάνουν τα απαιτούμενα μέτρα προκειμένου να διασφαλίσουν ότι δεν έχουν πρόσβαση σε, δεν αποθηκεύουν ούτε επεξεργάζονται δεδομένα για σκοπούς άλλους πέραν της παροχής της υπηρεσίας που έχει ζητήσει ο χρήστης υπηρεσιών πληρωμών
• συμμορφώνονται αδιαλείπτως με τις υποχρεώσεις που απορρέουν από το άρθρο 66 παράγραφος 3 και από το άρθρο 67 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366 αντίστοιχα
• προβαίνουν σε ημερολογιακή καταγραφή των δεδομένων στα οποία παρέχεται πρόσβαση μέσω της διεπαφής που ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτει στη διάθεση των χρηστών υπηρεσιών πληρωμών του, και παρέχουν, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τα αρχεία ημερολογιακής καταγραφής στην αρμόδια εθνική αρχή τους.

Περιορισμοί κανονιστικής συμμόρφωσης

Με την αναθεωρημένη οδηγία για τις υπηρεσίες πληρωμών, οι Πάροχοι Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSP) υποχρεούνται να παρέχουν στους Τρίτους Παρόχους Υπηρεσιών Πληρωμών (TPPs) - υπό όρους με βάση τις απαιτήσεις της οδηγίας PSD2 και των Ρυθμιστικών Τεχνικών Προτύπων(RTS) - πρόσβαση στους λογαριασμούς των Πελατών τους (PSU). Για το σκοπό αυτό, oi Πάροχοι Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSP) έχουν υλοποιήσει ειδικές διεπαφές μέσω των οποίων οι Τρίτοι Πάροχοι Υπηρεσιών Πληρωμών (TPPs) έχουν πρόσβαση στα συστήματα τους και, συνεπώς, στους τραπεζικούς λογαριασμούς των Πελατών τους (PSU).

Η ειδική διεπαφή επιτρέπει στο Πάροχο Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSP) όχι μόνο να παρέχει στους Τρίτους Παρόχους Υπηρεσιών Πληρωμών (TPPs) μέσω ελέγχου των πιστοποιητικών eIDAS, αλλά να παρέχει ένα ασφαλές περιβάλλον πρόσβασης για την προστασία των δεδομένων των Πελατών τους (PSU).

Όσον αφορά την απόδοση και τη διαθεσιμότητα της ειδικής διεπαφής, η EBA ζητά από τους Παρόχους Υπηρεσιών Πληρωμών Εξυπηρέτησης Λογαριασμού (ASPSPs) να παρακολουθούν και τα δύο και να παρέχουν μηχανισμούς έκτακτης ανάγκης σε περίπτωση που η ειδική διεπαφή δεν λειτουργεί σωστά ή δεν είναι διαθέσιμη. Άρθρο 33 παράγραφοι 4 και 5 των Ρυθμιστικών Τεχνικών Προτύπων (RTS)

Στο πλαίσιο του μηχανισμού έκτακτης ανάγκης, οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 επιτρέπεται να κάνουν χρήση των διεπαφών που διατίθενται στους χρήστες υπηρεσιών πληρωμών για την εξακρίβωση της γνησιότητας και την επικοινωνία με τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού τους, έως ότου αποκατασταθεί το επίπεδο διαθεσιμότητας και επίδοσης της ειδικής διεπαφής σύμφωνα με τα προβλεπόμενα στο άρθρο 32.

Για τον σκοπό αυτόν, οι πάροχοι υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού μεριμνούν ώστε οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 να μπορούν να ταυτοποιηθούν και να μπορούν να βασιστούν στις διαδικασίες εξακρίβωσης που παρέχονται από τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού στον χρήστη υπηρεσιών πληρωμών. Όταν οι πάροχοι υπηρεσιών πληρωμών που αναφέρονται στο άρθρο 30 παράγραφος 1 κάνουν χρήση της διεπαφής που αναφέρεται στην παράγραφο 4:

1. λαμβάνουν τα απαιτούμενα μέτρα προκειμένου να διασφαλίσουν ότι δεν έχουν πρόσβαση σε, δεν αποθηκεύουν ούτε επεξεργάζονται δεδομένα για σκοπούς άλλους πέραν της παροχής της υπηρεσίας που έχει ζητήσει ο χρήστης υπηρεσιών πληρωμών.
2. συμμορφώνονται αδιαλείπτως με τις υποχρεώσεις που απορρέουν από το άρθρο 66 παράγραφος 3 και από το άρθρο 67 παράγραφος 2 της οδηγίας (ΕΕ) 2015/2366 αντίστοιχα.
3. προβαίνουν σε ημερολογιακή καταγραφή των δεδομένων στα οποία παρέχεται πρόσβαση μέσω της διεπαφής που ο πάροχος υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού θέτει στη διάθεση των χρηστών υπηρεσιών πληρωμών του, και παρέχουν, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τα αρχεία ημερολογιακής καταγραφής στην αρμόδια εθνική αρχή τους.
4. αιτιολογούν δεόντως στην αρμόδια εθνική αρχή τους, κατόπιν αιτήματος και χωρίς αδικαιολόγητη καθυστέρηση, τη χρήση της διεπαφής που τίθεται στη διάθεση των χρηστών υπηρεσιών πληρωμών για απευθείας πρόσβαση στον λογαριασμό πληρωμών τους διαδικτυακά.
5. ενημερώνουν σχετικά τον πάροχο υπηρεσιών πληρωμών εξυπηρέτησης λογαριασμού (ASPSP).