ЧЕСТО ПОСТАВУВАНИ ПРАШАЊА
Нашата платформа на отворено банкарство им обезбедува на давателите на услугата – плаќање од трети страни (TPP) иновативен пристап за заедничко креирање апликации и деловни случаи, создавајќи нови дигитални услуги преку API услугите.
ЕУ Директивата за платежни услуги на внатрешниот пазар (PSD2) стапи на сила во Европската унија на 12 јануари 2016 година и се применува од 13 јануари 2018 година. Еден од 11-те мандати доделени на EBA (Европско надзорно тело за банкарство), како што е наведено во членот 95 од PSD2, се однесува на развивањетонасоки за безбедносните мерки за оперативните и безбедносните ризици на платежните услуги во блиска соработка со Европската централна банка (ECB). PSD2 е ревидирана Директива за платежни услуги која е одобрена во 2016 година. Таа произлегува од PSD1, која е одобрена во 2009 година. Втората Директива за платежни услуги бара од Европските банки да дадат на регулирани даватели на услугата – плаќање од трети страни (TPP) пристап до информациите за сметките на корисницитеи иницирање плаќања со дозвола и согласност на корисниците.
Отвореното банкарство е регулирано со Законот за платежни услуги и платни системи (ЗПУПС) кој што е усогласен со PSD2. Овој закон стапи во сила на 20 април 2022 и се применува од 1 јануари 2023.
RTS за SCA е збир на правила според кои давателите на платежни услуги мора да се придржуваат за да се усогласат со PSD2 Регулативата. Улогата на RTS е да ги дефинира посебните безбедносни мерки кои беа опфатени само преку општите принципи во PSD2 и да обезбеди ефективна и сигурна комуникација помеѓу релевантните учесници. Засилената автентикација е методологија со која PSD2 предвидува безбедни плаќања. Засилената автентикација на корисниците има за цел да ги намали измамите при извршување на плаќањата и се базира врз автентицирано иницирање на плаќањето со користење на повеќе фактори кои вклучуваат знаење, владение и својственост.
Идентитетот на корисникот мора да се верификува, со користење на двe од следниве три точки:
• Нешто што знае (ПИН, лозинка);
• Нешто што поседува (картичка, мобилен, хардверски токен);
• Нешто што го идентификува (отпечаток на прст, идентификација на лице и глас).
За сите далечински трансакции потребен е единствен автентикациски код кој динамички ја поврзува трансакцијата со определен износ и определен примател на средствата со детали за трансакцијата.
Можни исклучоци на SCA:
• За далечински плаќања – мала вредност;
• За бесконтактни плаќања со картичка со мала вредност;
• На терминали за плаќање без надзор за транспортни и паркинг тарифи;
• За корпоративни плаќања, доколку се користат наменски процеси за плаќање и протоколи (и доколку за Националното надлежно тело е задоволително нивото на безбедност);
• За корпоративни плаќања, доколку се користат наменски процеси за плаќање и протоколи (и доколку за Националното надлежно тело е задоволително нивото на безбедност);
• Кога се користи сметката за онлајн плаќање, SCA е потребна само првиот пат и на секои 90 дена.
Анг. Common and secure communication - CSC (Заедничка и сигурна комуникација) е вториот главен принцип опишан во RTS. CSC ја дефинира комуникацијата помеѓу главните учесници:
• Даватели на услугата – плаќање од трети страни (TPP) – овие даватели не отвораат и одржуваат платежни сметки за своите корисници:
• Даватели на услуги за давање информации за платежни сметки (AISP) – збир на онлајн информации за повеќе платежни сметки со цел да се понуди целосен преглед на дневните финансии на корисникот на едно место, што би им помогнало подобро да управуваат со своите парични средства;
• Даватели на услуги за иницирање плаќања (PISP) – Давател на услуги кој може да врши плаќања во име на корисникот.
• Давател на платежни услуги којшто ја одржува платежната сметка - ASPSP – давател на платежни услуги којшто ја отвора и одржува платежната сметка за корисници, на пример банки и други платежни институции.
RTS CSC регулира како пристапот до платежната сметка на корисникот се споделува помеѓу ASPSP и TPP (AISP или PISP). Ги вклучува барањата за Согласност и Каналот за безбедна комуникација.
Оваа одлука е за утврдување на барањата за засилена автентикација и општи, сигурни и отворени стандарди за комуникација (Одлука за засилена автентикација) која што беше усвоена од Советот на Народната банка на Република Северна Македонија во декември 2022 година. Одлуката за засилена автентикација се состои од истите барања како и RTS.
Berlin Group е паневропска иницијатива за интероперабилност на плаќањата и инцијатива за хармонизација со примарна цел да се дефинираат отворени и заеднички стандарди кои се независни од шемата и процесорот во меѓубанкарски домен помеѓу банката доверител и банката должник
PSD2 ги има усогласено API услугите за пристап до платежната сметка дефиниран од Европското надзорно тело за банкарство - Регулаторни технички стандарди (EBA-RTS). Тој мора да биде обезбеден од давателот на платежни услуги којшто ја одржува платежната сметка (ASPSP) и да се користи од давателите на услугата – плаќање од трети страни (TPP).
Поддржана е верзијата 1.3.12 на Berlin Group, спецификација X2SA.
За да пристапите до нашиот портал, најпрво треба да се регистрирате со пополнување на формуларот за регистрација. Потоа, на вашата e-mail адреса ќе ви биде испратен линк за активирање на профилот. Следете го линкот со цел да го завршите процесот на регистрација. По успешно завршување на процесот на регистрација, подготвени сте да пристапите до документацијата на API услугите и да ги пробате нашите API услуги.
Ви препорачуваме прво да ја прочитате документацијата за API услугите, а потоа да поминете на Sandbox и да ги тестирате нашите API услуги.
API услугите според ЗПУПС се целосно бесплатни.
• Mozilla Firefox 50 или понова верзија
• Google Chrome 55 или понова верзија
• Safari 12.0.3 или понова верзија
Доколку сакате да користите API услуги според ЗПУПС, треба да добиете соодветна дозвола за давател на услуги за иницирање плаќања (PISP), давател на услуги за давање информации за платежни сметки (AISP) и/или давател на услуги за издавање платежни инструменти (PIISP) од Народна Банка на Република Македонија.
Со API услугите можете:
• Да добиете листа на платежни сметки;
• Да иницирате трансфер на средства во име на корисникот;
• Да добиете состојби за дадена листа на платежни сметки;
• Да добиете информација за трансакција за дадена платежна сметка;
• Да потврдите расположливост на средства на платежната сметка. Повеќе информации се достапни во документацијата за API услугите.
eIDAS е кратенка за електронски идентитет и доверливи услуги за електронски трансакции. Согласно Одлуката за засилена автентикација, користењето на QWAC или QSeal сертификатите е задолжителна, но според Berlin Group спецификацијата, користењето на QWAC е задолжително, а QSeal опционално.
QSeal сертификатот му овозможува на сопственикот на сертификатот да креира електронски печати на сите податоци што обезбедува интегритет и точност на потеклото (односно, автентичност) на потпишаните податоци. Ова значи дека лицата кои примаат дигитално потпишани податоци може да бидат сигурни кој ги потпишал податоците, дека податоците не се изменети од нивното потпишување и дека тие може да ги презентираат овие потпишани податоци на трети страни како доказ кој ги потпишал податоците и дека истите не се изменети по нивното потпишување. QSeal се користи за да ги заштити податоците и пораките во апликативниот слој за време или по комуникацијата, но тоа не обезбедува доверливост на податоците (односно, нема криптирање на податоците од апликацијата).
QWAC овозможува да се воспостави канал за комуникација со субјектот на сертификатот користејќи го протоколот за безбедност на транспортното ниво (TLS), кој гарантира доверливост, интегритет и автентичност на сите податоци пренесени преку каналот. Ова значи дека лицето или системот што се поврзува со веб страната што го презентира сертификатот може да биде сигурен кој ја ,,поседува” крајната точка на комуникацискиот канал (сопственикот на сертификатот), дека податоците не се изменети помеѓу крајните точки и дека никој друг не можел да ги прочита податоците додека траело движењето на истите. Сепак, податоците доставени од QWAC се заштитени само додека се движат низ каналот кој користи TLS протокол. Поради тоа, лицето или системот што се поврзува на веб страната може да биде сигурно со кого комуницира, но не може да го докаже тоа на трети страни, што значи дека QWAC не дава законски доказ за трансакцијата.