PSD2 是什麼?

支付服務指令(PSD)自 2007 年開始推行,是單一歐元支付區(SEPA)的法律基礎。PSD2 是修訂後的支付服務指令,用以取代原來的支付服務指令(PSD),「2」代表這個指令經過修訂。PSD2 中概述的法規,旨在保護消費者及其數據,納入更安全的支付選項,加速支付處理時間,以及定義退款權利。

PSD2 圖

PSD 旨在讓歐洲支付委員會的 74 個成員國之間支付更容易,並改善對歐盟成員國公民的消費者保護。PSD 的首要目標是,以一套法規和標準來集中管制所有的支付服務提供者,藉此增加歐洲支付產業的參與度和競爭性。它適用於銀行、金融機構,以及非金融公司。

PSD2 指令有一些豁免條款,主要適用於小額交易或被視為低風險的交易。這包括小額非接觸式支付、「白名單」企業所進行的支付、設為定期重複的交易,以及其他被認為「低風險」欺詐機會的交易。

此指令旨在為歐洲支付產業,引入公平的做法和規則,並以「最大程度協調」為主要實施概念。最大程度協調是指同時考量支付服務提供者的權利和義務,在兩者之間取得平衡,同時還要考慮到保護消費者的需求。其方法是增加競爭、保護使用者、加快支付過程,並明確規定所有相關人員的權利以及所有涉及事務的適當處理程序。

建立全新的開放銀行生態系統!
建立全新的開放銀行生態系統!
了解創造不公平優勢所需的 5 種技術。

PSD2 的元素

此指令主要包含兩部分:商業行為規範和市場規則。商業行為規範用於規定在提出數據請求時,要求支付服務提供者提供哪些資訊。它們還詳細列出支付服務提供者和客戶的其他權利和義務,包括授權和執行交易的指導方針,並概述在退款或撤銷交易時,應遵循的責任和程序。此外,此指令也為每個參與成員設立一個「主管當局」,以便監督其國內所有提供支付服務的機構。

市場規則在單一歐元支付區(SEPA)引入了「支付機構」(payment institutions)一詞,這些規則概述哪些機構有資格管理支付服務,並指導這些機構申請成為授權支付機構。

此後 PSD2 也進行過修訂,以解決之前被忽視的幾個問題。例如,該指令最初的範圍非常有限,一開始只涵蓋在歐洲經濟區國家之間進行的交易。

PSD2 所需的技術

PSD2 讓消費者和機構能夠使用第三方支付服務提供者來進行交易和管理其財務,藉此鼓勵參與和競爭。第三方提供者包括金融公司、透過數位應用程式提供服務的金融科技公司,或個別的獨立支付提供者。

此指令要求支付服務提供者採用開放式 API,使消費者能夠透過第三方提供者,安全地存取自己的銀行帳戶和資訊。這些支付服務提供者分為三大類:

  • 帳戶資訊服務提供者(AISP)可以存取敏感數據,以分析支出模式,從而獲得更多的商業情報
  • 支付發起服務提供者(PISP)是為消費者和機構發起交易的服務提供者。
  • 帳戶處理支付服務提供者(ASPSP)是提供支付帳戶的金融機構,可以線上存取服務,包括銀行、建築協會、財富管理公司和投資公司。

這些機構會處理個人消費者和機構的敏感個資,包括信用卡數據、銀行帳戶資訊、姓名和政府頒發的身份證號碼等。因此,遵守 PSD2 的機構,也必須遵守 GDPR 合規性規定。

有鑑於透過開放 API 存取客戶資訊的敏感性質,PSD2 規定嚴格的安全資料保護規則,包括透過嚴格的客戶身份驗證措施來驗證使用者身份,並讓客戶可以同意及指定數據使用偏好。該指令也要求對電子支付進行嚴格的客戶認證。它還規定公司必須遵守通用安全通訊做法。透過採用這些做法,可以在支付服務提供者及其消費者之間,更快且安全地共享數據。

PSD2 對數位業務的影響

PSD2 透過整合整個歐洲的支付市場,幫助推動歐洲金融業朝向正確的方向發展,所做修訂的背後動機是為了能夠在歐洲經濟區內,制定開放銀行標準。成立開放銀行的理念是,結合傳統銀行、金融科技新創公司和其他新技術,共同實現銀行現代化。

開放銀行利用 API ,與第三方應用程式和伺服器的整合。它還迫使機構採用開放原始碼技術,意味著它也採用最新的數據隱私標準。無論您的機構位於歐洲經濟區,還是接受來自歐盟內機構的電子支付,都必須遵守 PSD2 規定。

與 TIBCO 一起打擊金融犯罪
與 TIBCO 一起打擊金融犯罪
面對花招百出的各種大型金融犯罪,要是只需一個平台就能進行偵測,該有多好?

安全和隱私修訂

修訂後的指令透過執行更嚴格的安全法規並將支付過程現代化,為消費者提供更好的保護。隨著線上和行動支付的創新技術,以及開放銀行的發展,國際交易需要更安全的程序來保護消費者資訊。

其他修訂包括實施「嚴格客戶身份認證」,做為「通用安全通訊」的標準,這兩項措施對於防止交易欺詐和確保持卡人資訊安全是非常重要的。

嚴格的消費者身份認證標準規定支付服務提供者必須如何驗證其電子交易的合法性,在每次支付發生時,以及每次消費者存取其支付帳戶時,都必須遵守這些標準。

嚴格消費者身份認證標準的關鍵規則,是必須使用至少兩種安全措施來進行驗證。這可以包括密碼、個人識別號碼(PIN)、指紋掃描、卡片驗證或單次產生的驗證代碼,符合通用安全通訊標準的最常用安全協議為 3DS2 或 3-D Secure。

通用安全通訊標準強制在交易過程中,驗證所有涉及各方之間的通訊,該標準要求機構建立安全通道,這些通道可以與第三方提供者進行通訊,以便安全存取敏感的消費者和支付資訊。第三方提供者是指任何利用開放銀行 API 向金融消費者,提供創新服務、支付選項、工具或見解的機構。

嚴格遵守 PSD2

唯有在交易過程中,嚴格遵守針對每個參與者的具體指令所概述的所有義務,才能確實符合 PSD2 合規性。通用安全通訊標準需要經過認證才算合規,但只需使用合法的身份驗證方法,即可滿足嚴格消費者身份驗證標準。