নিরাপদ যোগাযোগের উপর PSD2 মান:একটি ভারসাম্যমূলক কাজ


ইউরোপীয় কমিশন সংশোধিত অর্থপ্রদান পরিষেবা নির্দেশিকা (PSD2) এর অধীনে শক্তিশালী গ্রাহক প্রমাণীকরণ এবং সাধারণ সুরক্ষিত যোগাযোগের চূড়ান্ত নিয়ন্ত্রক প্রযুক্তিগত মান (RTS) প্রকাশ করেছে। এই চূড়ান্ত সংস্করণে, কমিশন নিশ্চিত করেছে যে স্ক্রিন স্ক্র্যাপিং [1] ইউরোপীয় ব্যাংকিং অথরিটি (ইবিএ) এবং নিরাপত্তা সম্পর্কিত অন্যান্য স্টেকহোল্ডারদের দ্বারা উদ্বেগ প্রকাশ করে, আরটিএস কার্যকর হওয়ার পরে আর অনুমতি দেওয়া হবে না। যাইহোক, অ্যাকাউন্ট সার্ভিসিং পেমেন্ট সার্ভিস প্রোভাইডারদের (এএসপিএসপি) এখনও থার্ড পার্টি প্রোভাইডার (টিপিপি) এর সাথে যোগাযোগ সেশনের সময় অনুপলব্ধতার ক্ষেত্রে বা তাদের ডেডিকেটেড ইন্টারফেসের কার্যকারিতা কম হলে জরুরি ব্যবস্থা গ্রহণ করতে হবে।

নতুন জরুরি ব্যবস্থা

হালনাগাদ করা নিয়মের অধীনে, ASPSPs-কে তাদের সমস্ত যোগাযোগ ইন্টারফেসের প্রযুক্তিগত বৈশিষ্ট্য, ডেডিকেটেড হোক বা না হোক, সর্বজনীনভাবে উপলব্ধ, আরটিএস-এর আবেদনের তারিখের অন্তত ছয় মাস আগে অফার করতে হবে, একটি সুবিধা যা অর্থপ্রদান পরিষেবা প্রদানকারীদের সক্ষম করে। ইন্টারফেস পরীক্ষা করতে এবং তাদের সঠিক কার্যকারিতা নিশ্চিত করতে। ডেডিকেটেড ইন্টারফেসের ক্ষেত্রে, ASPSP-গুলিকে স্বচ্ছ মূল কর্মক্ষমতা সূচক এবং পরিষেবা স্তরের লক্ষ্যগুলিও সংজ্ঞায়িত করতে হবে, যেগুলি ASPSP-এর গ্রাহকদের দ্বারা ব্যবহৃত অনলাইন পেমেন্ট এবং ব্যাঙ্কিং প্ল্যাটফর্মগুলির জন্য সেটগুলির মতো অন্তত ততটা কঠোর হতে হবে। ন্যাশনাল কম্পিটেন্ট অথরিটিস (NCAs) ডেডিকেটেড ইন্টারফেসের কার্যকারিতা স্ট্রেস-টেস্ট এবং নিরীক্ষণ করবে।

উপরোক্ত ছাড়াও, ASPSPs-কে একটি তথাকথিত ফলব্যাক মেকানিজম স্থাপন করতে হবে, যেটির উপর TPP নির্ভর করতে পারে যদি ডেডিকেটেড ইন্টারফেস 30 সেকেন্ডের বেশি সময় ধরে অনুপলব্ধ থাকে, অথবা যদি তারা সেট করা সাধারণ অপারেশনাল প্রয়োজনীয়তা পূরণ না করে। RTS-এ।

RTS-এর আগের খসড়ার মতো, এই ধরনের একটি ফলব্যাক পদ্ধতির মধ্যে থাকবে ASPSPs ব্যবহারকারী-মুখী ইন্টারফেসকে অর্থপ্রদানের সূচনা এবং অ্যাকাউন্ট তথ্য পরিষেবার জন্য একটি নিরাপদ যোগাযোগের চ্যানেল হিসাবে খোলার। যাইহোক, এবং গুরুত্বপূর্ণভাবে, কমিশন এখন সুনির্দিষ্ট করেছে যে, ফলব্যাক বিকল্প ব্যবহার করার সময়, টিপিপিগুলিকে নিশ্চিত করা উচিত যে তারা ASPSPs দ্বারা চিহ্নিত করা যেতে পারে; ভোক্তা যে ডেটাতে সম্মত হয়েছেন তা নিশ্চিত করার জন্য প্রয়োজনীয় ব্যবস্থা গ্রহণ করুন; তারা যে ডেটা অ্যাক্সেস করে তা লগ করুন এবং অনুরোধ করা হলে তা প্রাসঙ্গিক NCA-এর কাছে উপলব্ধ করুন; এবং অনুরোধের ভিত্তিতে, ইন্টারফেসের ব্যবহার NCA-কে ন্যায্যতা দিন।

NCAs, EBA-এর সাথে পরামর্শ করে, পৃথক ASPSP-কে এই ধরনের ফলব্যাক মেকানিজম স্থাপন করা থেকে অব্যাহতি দিতে সক্ষম হবে, যদি তাদের ডেডিকেটেড কমিউনিকেশন ইন্টারফেস প্রযুক্তিগত মান দ্বারা সংজ্ঞায়িত মানের মানদণ্ড পূরণ করে। ডেডিকেটেড ইন্টারফেসের গুণমানের মূল্যায়ন সদস্য রাষ্ট্র জুড়ে সামঞ্জস্যপূর্ণ তা নিশ্চিত করার জন্য EBA দায়ী থাকবে। একটি ডেডিকেটেড কমিউনিকেশন ইন্টারফেস যদি পরপর দুই ক্যালেন্ডার সপ্তাহের বেশি মানের মানদণ্ড পূরণ না করে তাহলে NCAs দ্বারা ছাড় প্রত্যাহার করা হবে। এই ক্ষেত্রে, ফলব্যাক মেকানিজম ASPSP দ্বারা সম্ভব সর্বনিম্ন সময়সীমার মধ্যে স্থাপন করতে হবে, এবং দুই মাসের বেশি নয়৷

নিরাপত্তা এবং প্রতিযোগিতার ভারসাম্য বজায় রাখা

কমিশন প্রাথমিকভাবে ইবিএর প্রস্তাব প্রত্যাখ্যান করেছিল, ফেব্রুয়ারির শুরুতে, স্ক্রিন স্ক্র্যাপিং ব্যবহার নিষিদ্ধ করার জন্য। ফিনটেক সেক্টর দ্বারা শেয়ার করা তার উদ্বেগ ছিল যে এই ধরনের নিষেধাজ্ঞা টিপিপিগুলিকে এমন ক্ষেত্রে একটি অসুবিধায় ফেলে দেবে যেখানে একটি ডেডিকেটেড ইন্টারফেস ব্যর্থ হবে, কারণ যখন একটি ব্যাঙ্ক তার গ্রাহক-মুখী ইন্টারফেসের মাধ্যমে নিজস্ব অর্থপ্রদান পরিষেবাগুলি অফার করতে সক্ষম হবে, তখন টিপিপিগুলি ডেডিকেটেড ইন্টারফেসের কার্যকারিতা পুনরুদ্ধার না হওয়া পর্যন্ত তা করতে সক্ষম হবে না।

অন্যদিকে, স্ক্রিন স্ক্র্যাপিং-এর অনিয়ন্ত্রিত ব্যবহারের অনুমতি একটি আকস্মিক ব্যবস্থা হিসাবে ASPSP এবং গ্রাহকদের জন্য একটি উপাদান নিরাপত্তা ঝুঁকি প্রবর্তন করবে। এর কারণ হল TPPs তাদের অনলাইন ব্যাঙ্কিং প্ল্যাটফর্মে গ্রাহকদের কাছে উপলব্ধ যেকোন তথ্য অ্যাক্সেস করতে সক্ষম হবে, যেন তারা লগ ইন করেছে, এটিকে খুব কঠিন বা অসম্ভব করে তোলে, ASPSPs-এর জন্য TPP-গুলি সনাক্ত করতে এবং কেবলমাত্র অনুমোদিত ডেটাতে অ্যাক্সেস সীমিত করতে পারে। একজন গ্রাহকের সম্মতি।

তাই, কমিশনের একটি অপ্রতিরোধ্য কাজ ছিল একটি মান তৈরি করা যা টিপিপি এবং এএসপিএসপিগুলির মধ্যে একটি সমান খেলার ক্ষেত্র নিশ্চিত করার প্রয়োজনীয়তার সাথে সমন্বয় করতে পারে, যাতে ভোক্তাদের সুরক্ষা দেওয়া এবং অর্থপ্রদান পরিষেবাগুলিকে সুরক্ষিত রাখা যায়। চূড়ান্ত RTS এটি করার চেষ্টা করে, সংক্ষেপে, একটি ফলব্যাক প্রক্রিয়া হিসাবে স্ক্রিন স্ক্র্যাপিংয়ের একটি আরও সংযত সংস্করণ - যেখানে এনসিএগুলিকে প্রমাণ করতে সক্ষম হওয়ার জন্য TPPs-এর উপর দায়িত্ব দেওয়া হয় যে তারা PSD2 নিয়ম অনুসারে কাজ করছে। , এবং গ্রাহকদের কাছ থেকে প্রাপ্ত সম্মতি।

তত্ত্ব বনাম অনুশীলন

নীতিগতভাবে এই সমঝোতা নিরাপত্তা এবং প্রতিযোগিতার মধ্যে একটি ভাল ভারসাম্য অর্জন করে, কিন্তু বাস্তবে, নতুন আনুষঙ্গিক ব্যবস্থাগুলি ফার্ম এবং NCA উভয়ের জন্য বাস্তবায়নের জন্য কিছুটা অবাস্তব প্রমাণিত হতে পারে। তাদের অনিচ্ছাকৃত পরিণতিও হতে পারে।

বর্ধিত খরচ, জটিলতা এবং ফ্র্যাগমেন্টেশন

যেমন ইবিএ পূর্বে পর্যবেক্ষণ করেছে, একটি ফলব্যাক মেকানিজম প্রবর্তন করলে ASPSPs এবং TPPs উভয়ের জন্যই খরচ বাড়তে পারে, কারণ তাদের একাধিক সংযোগ সমাধান ডিজাইন ও বজায় রাখতে হবে। বিশেষ করে TPP-গুলিকে ডেডিকেটেড এবং ব্যবহারকারী-মুখী উভয় ইন্টারফেসের জন্য প্রতিটি ASPSP-এর জন্য বিভিন্ন সংযোগ সমাধান তৈরি এবং বজায় রাখতে হবে। এবং যদিও TPP গুলি নিজেদেরকে চিহ্নিত করার জন্য দায়ী থাকবে, ASPSP গুলিকে এখনও তাদের ব্যবহারকারী-মুখী ইন্টারফেসগুলিকে এটি সম্ভব করার জন্য আপগ্রেড করতে হবে৷ যেহেতু ASPSPs নিশ্চিত হতে পারে না যে তাদের NCAs দ্বারা তাদের ছাড় দেওয়া হবে, অথবা নিশ্চিত হতে পারে যে এটি স্বল্প নোটিশে প্রত্যাহার করা হবে না, তাই তাদের প্রতিরোধমূলক ব্যবস্থা হিসাবে ফলব্যাক মেকানিজম স্থাপন করতে হতে পারে।

এটি কিছু ASPSP-কে ডেডিকেটেড ইন্টারফেস তৈরি করা থেকে নিরুৎসাহিত করতে পারে, যা ফলস্বরূপ প্রমিত অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেসের বিকাশকে ধীর করে দিতে পারে এবং বাজারে আন্তঃকার্যক্ষমতা এবং প্রতিযোগিতা কমাতে পারে। RTS-এর আবেদনের তারিখের অন্তত ছয় মাস আগে প্রযুক্তিগত বৈশিষ্ট্য প্রকাশ এবং PSP-গুলির জন্য একটি পরীক্ষার সুবিধা প্রদানের প্রয়োজনীয়তার কারণে এই ঝুঁকি আরও বাড়তে পারে। এটি কার্যকরভাবে ASPSP-দের তাদের সুরক্ষিত যোগাযোগ সমাধানগুলিকে এক তৃতীয়াংশ বিকাশ করার সময়কে কার্যকরভাবে হ্রাস করে৷

অবশেষে, স্ট্রেস-টেস্টিং, ছাড় ব্যবস্থাপনা, এবং ডেডিকেটেড ইন্টারফেসের কার্যকারিতা নিরীক্ষণ সহ এই জৈবিক ব্যবস্থাগুলির তত্ত্বাবধান ও প্রয়োগ করা, NCAs এবং EBA-এর জন্য উল্লেখযোগ্য অপারেশনাল চ্যালেঞ্জও তৈরি করবে, তাদের ইতিমধ্যেই সীমাবদ্ধ সংস্থানগুলির উপর আরও চাপ সৃষ্টি করবে৷

পরবর্তী ধাপগুলি

ইউরোপীয় ইউনিয়নের অফিসিয়াল জার্নালে প্রকাশের 18 মাস পরে RTS প্রযোজ্য হবে। ইউরোপীয় কাউন্সিল এবং পার্লামেন্টের চুক্তি সাপেক্ষে, যার চূড়ান্ত পাঠ্য যাচাই করার জন্য তিন মাস সময় আছে, RTS বর্তমানে সেপ্টেম্বর 2019 এর কাছাকাছি প্রযোজ্য হবে বলে আশা করা হচ্ছে।

[1] নিজেকে সনাক্ত না করেই একটি ওয়েবসাইট থেকে ডেটা অনুলিপি করার জন্য একটি কম্পিউটার প্রোগ্রাম ব্যবহার করার ক্রিয়া।

এই পোস্টটি UK  Deloitte এর রিস্ক অ্যাডভাইজরি টিম এবং EMEA সেন্টার ফর রেগুলেটরি স্ট্র্যাটেজি দ্বারা লেখা এবং প্রথম Deloitte Financial Services UK ব্লগে প্রকাশিত হয়েছিল৷


ব্যাংকিং
  1. বৈদেশিক মুদ্রা বাজারে
  2. ব্যাংকিং
  3. বৈদেশিক মুদ্রার লেনদেন