什么是支付服务指令2 (PSD2) ?

支付服务指令(PSD)最初于 2007 年通过,是单一欧元支付区(SEPA)的法律基础。PSD2 是修订后的支付服务指令。“2” 是指修订后的指令,因为它取代了原始支付服务指令(PSD)。PSD2 中概述的法规旨在保护消费者及其数据,其中包括更加安全可靠的支付选项、更快的支付周转,还定了退款权。

PSD2 图

PSD 旨在使欧洲支付委员会 74 个成员国之间付款更便捷,并改善对欧盟成员国公民的消费者保护。PSD 的首要目标是通过将支付服务提供商集合在一套法规和标准之下,加强欧洲支付行业的参与和竞争。它适用于银行、金融机构以及非金融企业。

PSD2 指令有豁免权,主要适用于小型交易或被认为是低风险的交易。这包括小额非接触式支付、“白名单” 企业支付、经常性交易以及被视为 “低风险” 欺诈机会的其他交易。

该指令旨在向欧洲支付行业引入公平的做法和规则,这主要是通过 “最大限度协调” 的概念来实现的。最大限度的协调是指在考虑支付服务提供商的权利和义务的同时,也考虑到保护消费者的必要性。其目的是通过设立加强竞争、保护用户、加速支付流程以及明确界定所有参与者的权利和适当程序的法规,在两者之间取得平衡。

创建全新开放银行生态系统!
创建全新开放银行生态系统!
了解创造不公平优势所需的 5 项技术。

PSD2 的元素

该指令包括两个主要组成部分:商业行为规则和市场规则。商业行为规则规定了在提出数据请求时要求支付服务提供商提供哪些信息。它们还详细说明了支付服务提供商与客户的额外权利和义务,包括授权和执行交易的准则,并概述了在发放退款或撤销时应遵循的责任和流程。此外,该指令为每个参与成员规定了一个 “主管当局”,以监督本国境内所有提供支付服务的机构。

市场规则在单一欧元支付区(SEPA)中引入了 “支付机构” 一词。这些规则概述了哪些机构有资格管理支付服务,并为这些机构申请成为授权支付机构提供指导。

此后,为了解决以前被忽视的几个问题,对 PSD2 进行了修订。例如,该指令最初的范围相当有限;最初只涵盖欧洲经济区各国之间发生的交易。

PSD2 所需的技术

PSD2 通过授权消费者和机构使用第三方支付服务提供商进行交易和管理财务,从而鼓励参与和竞争。第三方提供商包括金融公司、通过数字应用提供服务的金融科技公司或单独的独立支付提供商。

该指令要求支付服务提供商公开开放的 应用程序接口(API),使消费者能够通过第三方提供商安全地访问自己的银行账户和信息。这些支付服务提供商分为三大类:

  • 账户信息服务提供商 (AISP) 可以访问敏感数据,以便分析支出模式,从而获得更多的商业智能
  • 支付启动服务提供商 (PisP) 是为消费者和组织发起交易的服务提供商。
  • 账户服务支付服务提供商 (ASSP) 是提供可在线访问的支付账户的金融机构,包括银行、房屋信贷互助会、财富管理公司和投资公司。

这些机构处理个人消费者和组织的敏感个人数据,包括卡数据、银行账户信息、全名、政府签发的身份证号码等。因此,遵守 PSD2 的机构还必须遵守欧盟通用数据保护条例 (GDPR) 合规性法规。

鉴于通过开放式 API 访问的客户信息的敏感性,PSD2 规定了严格的安全数据保护规则,包括通过强客户身份验证来验证用户身份以及允许客户授权同意并指定数据使用偏好。该指令要求对电子支付进行强客户认证。它还规定,企业必须遵守通用和安全通信实践。通过采用这些做法,支付服务提供商与其消费者之间可以更快、更安全地共享数据。

PSD2 对数字化业务的影响

PSD2 通过整合整个欧洲的支付市场,帮助推动欧洲金融行业朝着正确的方向前进。修正案背后的动机是能够在欧洲经济区内颁布开放式银行标准。开放式银行是建立在通过结合传统银行、金融科技创业公司和其他新技术来实现银行现代化的理念之上的。

开放式银行利用 API 来实现与第三方应用程序和服务器的集成。它还促使各机构采用开源技术,这意味着采用最新的数据隐私标准。无论机构位于欧洲经济区,还是接受来自欧盟内部组织的电子付款,您都必须遵守 PSD2 法规。

使用 TIBCO 打击金融犯罪
使用 TIBCO 打击金融犯罪
如果您只能使用一个平台来检测所有类型的重大金融犯罪会怎么样?

安全和隐私修订

修订后的指令通过执行更严格的安全法规和现代化支付流程,更好地保护消费者。随着在线和移动支付的创新以及开放式银行的发展,国际交易需要更安全的流程才能保护消费者信息。

其他修订包括实施 “强客户身份验证” 作为 “通用和安全通信” 标准。这两项措施对于防止交易欺诈和确保持卡人数据安全至关重要。

强消费者认证标准规定了支付服务提供商以何种方式必须验证其电子交易的合法性。在发生每一笔付款以及消费者每次访问其支付账户时都必须遵守这些规则。

强消费者身份验证标准的一项关键规则是,必须至少使用两项安全措施进行验证。这可以包括密码、PIN、指纹扫描、卡片身份验证或唯一生成的身份验证码。满足安全和通用通信标准的最常用的安全协议之一是 3DS2 或 3-D Secure。

通用和安全通信标准强制要求对交易过程所涉各方之间的所有通信进行认证。这些标准要求各机构建立安全渠道,通过这些渠道与第三方提供商进行通信,以便安全地访问敏感的消费者和支付数据。第三方提供商是指利用开放式银行 API 向金融消费者提供创新服务、支付选项、工具或洞见的任何组织。

遵守 PSD2

遵守指令中针对交易过程中每个参与者的所有义务就能满足 PSD2 的合规性。通用和安全通信标准需要认证才能满足合规性,但只需使用合法的身份验证方法即可满足强消费者身份验证标准。