ODLUKAO TEHNIČKIM STANDARDIMA ZA POUZDANU AUTENTIFIKACIJU KORISNIKA I ZAJEDNIČKIM I BEZBEDNIM OTVORENIM STANDARDIMA KOMUNIKACIJE("Sl. glasnik RS", br. 102/2024) |
1. Ovom odlukom utvrđuju se zahtevi koje su pružaoci platnih usluga dužni da ispunjavaju za uspostavljanje i sprovođenje mera sigurnosti pri pružanju platnih usluga, a kojima se obezbeđuje da ti pružaoci:
1) primenjuju pouzdanu autentifikaciju korisnika platnih usluga (u daljem tekstu: korisnik);
2) primenjuju izuzeća od pouzdane autentifikacije korisnika;
3) zaštite poverljivost i integritet personalizovanih sigurnosnih elemenata korisnika;
4) uspostave zajedničke i bezbedne otvorene standarde komunikacije između pružalaca platnih usluga koji vode platne račune, pružalaca usluga iniciranja plaćanja, pružalaca usluga pružanja informacija o računu, platioca, primaoca plaćanja i drugih pružalaca platnih usluga.
2. Pojedini pojmovi u smislu ove odluke imaju sledeće značenje:
1) pouzdana autentifikacija korisnika označava autentifikaciju upotrebom dva ili više elemenata, odnosno kombinacije tih elemenata, koji moraju biti međusobno nezavisni - što znači da otkrivanje jednog elementa ne umanjuje pouzdanost drugih elemenata - koja je osmišljena tako da štiti poverljivost podataka o autentifikaciji, a elementi koji se upotrebljavaju pri ovoj autentifikaciji moraju spadati u najmanje dve od sledećih kategorija:
- kategorija znanja (nešto što korisnik zna) - podrazumeva upotrebu elementa koji samo korisnik zna (npr. lozinke, ličnog identifikacionog broja (eng. PIN), odgovora na specifično pitanje, šablona brzog prevlačenja ekrana i sl.),
- kategorija posedovanja (nešto što korisnik poseduje) - podrazumeva upotrebu elementa koji samo korisnik poseduje (npr. uređaja ili broja telefona koji je evidentiran i dokazan slanjem jednokratnih lozinki (eng. OTP - One Time Password), uređaja koji je dokazan putem digitalnog potpisa ili standardizovane dvodimenzionalne oznake - QR kôda (eng. QR - Quick Response), kriptografskog ključa, aplikacije koja je dokazano povezana sa uređajem i sl.),
- kategorija svojstvenosti (nešto što korisnik jeste) - podrazumeva upotrebu elementa koji je svojstven samo korisniku (npr. biometrijske karakteristike, kao što je otisak prsta, očna dužica, glas i sl. ili određene radnje ili ponašanja koje se zbog načina njihovog izvođenja prepoznaju kao isključivo korisnikove, kao što je potpis, rukopis, način pritiska tastera, način kucanja i sl.);
2) elektronska platna transakcija označava platnu transakciju iniciranu i izvršenu na način koji uključuje korišćenje elektronske platforme ili uređaja, a ne obuhvata platne transakcije inicirane platnim nalogom na papiru;
3) interfejs označava logičku komponentu informaciono-komunikacionog sistema preko koje se, u skladu sa unapred definisanim skupom rutina i protokola, uspostavlja kanal komunikacije i vrši razmena informacija s drugim sistemima;
4) onlajn povezivanje je povezivanje između pružaoca i korisnika određene usluge putem javno dostupne komunikacione mreže (npr. interneta);
5) platna kartica označava platni instrument u obliku fizičke ili elektronske kartice koji se koristi za iniciranje platne transakcije, koji omogućava imaocu tog instrumenta plaćanje robe i usluga preko prihvatnog uređaja ili iniciranjem platne transakcije na daljinu i/ili koji omogućava isplatu gotovog novca, odnosno korišćenje drugih usluga na bankomatu ili drugom samouslužnom uređaju;
6) platni instrument zasnovan na platnoj kartici i platna aplikacija imaju značenje utvrđeno zakonom kojim se uređuju međubankarske naknade i posebna pravila poslovanja kod platnih transakcija na osnovu platnih kartica;
7) pojmovi autentifikacija, personalizovani sigurnosni elementi (kredencijali), osetljivi podaci o plaćanju, platna transakcija na daljinu i transfer odobrenja imaju značenje utvrđeno Zakonom o platnim uslugama (u daljem tekstu: Zakon);
8) elektronska komunikaciona mreža ima značenje utvrđeno zakonom kojim se uređuju elektronske komunikacije.
II POUZDANA AUTENTIFIKACIJA KORISNIKA
1. Opšti zahtevi za autentifikaciju
Mehanizmi za praćenje transakcija
3. Pružaoci platnih usluga dužni su da uspostave efikasne mehanizme za praćenje transakcija koji će im omogućiti da identifikuju neodobreno ili prevarno iniciranje platne transakcije, odnosno zloupotrebe kod tih transakcija, u cilju primene mera sigurnosti iz tačke 1. odredbe pod 1) i 2) ove odluke.
Mehanizmi iz stava 1. ove tačke zasnivaju se na analizi platnih transakcija koja uzima u obzir elemente koji su tipični za određenog korisnika u okviru njegove uobičajene upotrebe personalizovanih sigurnosnih elemenata.
Pružaoci platnih usluga dužni su da obezbede da mehanizmi za praćenje transakcija uključuju najmanje sledeće faktore rizika:
1) spisak kompromitovanih ili ukradenih elemenata za autentifikaciju;
2) iznos svake platne transakcije;
3) poznate slučajeve prevara koje se dešavaju pri korišćenju, odnosno pružanju platnih usluga;
4) znakove koji ukazuju na prisustvo zlonamernog softvera u bilo kojoj fazi postupka autentifikacije;
5) zapise o upotrebi uređaja ili softvera za pristup koji su dostavljeni korisniku i neuobičajena upotreba uređaja ili softvera za pristup, ako je te uređaje, odnosno softver tom korisniku obezbedio pružalac platnih usluga.
Preispitivanje mera sigurnosti
4. Sprovođenje mera sigurnosti iz tačke 1. ove odluke kod pružaoca platnih usluga dokumentuju, periodično testiraju, ocenjuju i proveravaju revizori sa iskustvom u oblasti bezbednosti informaciono-komunikacionih sistema i platnih usluga koji su nezavisni u obavljanju ovih poslova unutar pružaoca platnih usluga (interni revizori) ili te poslove obavljaju nezavisno od pružaoca platnih usluga (spoljni revizori).
Revizija iz stava 1. ove tačke vrši se najmanje jednom godišnje, kao i nakon značajnih promena u informaciono-komunikacionom sistemu.
Izuzetno od stava 1. ove tačke, kada pružalac platnih usluga primenjuje izuzetak od pouzdane autentifikacije iz tačke 20. ove odluke - proveru metodologije, modela i izveštavanja o zloupotrebama/prevarama koji se odnose na tu primenu mora sprovesti spoljni revizor tokom prve godine primene tog izuzetka, kao i najmanje na svake tri godine tokom njegove primene ili češće - ako to zahteva Narodna banka Srbije.
Revizija iz stava 1. ove tačke sadrži ocenu i izveštaj o usklađenosti mera sigurnosti pružaoca platnih usluga sa zahtevima utvrđenim ovom odlukom. Pružalac platnih usluga dužan je da taj izveštaj na zahtev dostavi Narodnoj banci Srbije.
2. Mere sigurnosti za primenu pouzdane autentifikacije korisnika
Kôd za proveru autentičnosti
5. Ako pružalac platnih usluga primenjuje pouzdanu autentifikaciju korisnika, ta autentifikacija treba da bude zasnovana na dva ili više elemenata koji su utvrđeni u tački 2. odredba pod 1) ove odluke i čija primena treba da rezultira generisanjem kôda za proveru autentičnosti.
Kôd za proveru autentičnosti iz stava 1. ove tačke može biti prihvaćen samo jednom od strane pružaoca platnih usluga, kada platilac koristi taj kôd za pristup platnom računu preko interneta, za iniciranje elektronske platne transakcije ili da bi izvršio druge aktivnosti putem interneta, odnosno uređaja koji se može koristiti za komunikaciju na daljinu, koje sa sobom mogu nositi rizik od prevarnih radnji u vezi s plaćanjem ili drugih vidova zloupotreba.
Za potrebe primene st. 1. i 2. ove tačke, pružalac platnih usluga usvaja mere sigurnosti koje obezbeđuju ispunjenost sledećih uslova:
1) da se otkrivanjem kôda za proveru autentičnosti ne može utvrditi nijedna informacija o bilo kom elementu iz stava 1. ove tačke;
2) da nije moguće generisanje novog kôda za proveru autentičnosti na osnovu saznanja o bilo kom drugom prethodno generisanom kôdu za proveru autentičnosti;
3) da se kôd za proveru autentičnosti ne može falsifikovati.
Pružalac platnih usluga obezbeđuje da primena autentifikacije putem kôda za proveru autentičnosti uključuje sledeće mere:
1) ako se kôd za proveru autentičnosti u smislu stava 1. ove tačke neuspešno generiše pri autentifikaciji radi pristupa platnom računu na daljinu, iniciranja elektronskih platnih transakcija na daljinu ili vršenja drugih aktivnosti putem interneta, odnosno uređaja koji se može koristiti za komunikaciju na daljinu a koje mogu imati uticaj na ispoljavanje rizika od prevarnih radnji ili druge zloupotrebe u vezi sa izvršenjem platne transakcije - da nije moguće utvrditi koji od elemenata iz stava 1. ove tačke nije bio ispravan;
2) da broj uzastopnih neuspešnih pokušaja autentifikacije, nakon koga se radnje iz člana 75v stav 1. Zakona privremeno ili trajno blokiraju - nije veći od pet;
3) da obezbedi da vreme važenja kôda za proveru autentičnosti bude ograničeno na period koji je potreban za obavljanje autentifikacije, a koji nije duži od 180 sekundi;
4) da su komunikacione sesije zaštićene od krađe ili neovlašćenog uvida u podatke koji se prenose tokom autentifikacije, kao i od rukovanja od strane neovlašćenih lica u skladu sa odredbama Glave III ove odluke;
5) da najduži period tokom kog platilac ne preduzima nikakve radnje nakon što se autentifikuje za pristup platnom računu - nije duži od pet minuta.
U slučaju privremene blokade iz stava 4. odredba pod 2) ove tačke, trajanje te blokade i broj ponovnih pokušaja utvrđuju se na osnovu obeležja usluge koja se pruža korisniku i svih relevantnih rizika, uzimajući u obzir najmanje faktore rizika iz tačke 3. stav 3. ove odluke.
Pružalac platnih usluga dužan je da pre nego što blokada iz stava 4. odredba pod 2) i stava 5. ove tačke postane trajna, o tome obavesti platioca.
Pružalac platnih usluga dužan je da uspostavi bezbednu proceduru na osnovu koje platilac može početi da ponovo koristi elektronski platni instrument nakon njegove trajne blokade iz stava 6. ove tačke.
Dinamičko povezivanje
6. Kada pružalac platnih usluga primenjuje pouzdanu autentifikaciju korisnika u slučaju iniciranja platne transakcije na daljinu, pored zahteva iz tačke 5. ove odluke, dužan je da primenjuje i mere sigurnosti kojima se obezbeđuje sledeće:
1) da je platilac obavešten o iznosu platne transakcije i o primaocu plaćanja;
2) da je kôd za autentifikaciju posebno generisan baš u odnosu na iznos platne transakcije i primaoca plaćanja koje je platilac naznačio pri iniciranju te transakcije;
3) da kôd za autentifikaciju koji je pružalac platnih usluga prihvatio odgovara izvorno navedenom iznosu platne transakcije i identitetu primaoca plaćanja koje je platilac naznačio;
4) da svaka promena iznosa ili primaoca plaćanja dovodi do poništavanja generisanog kôda za autentifikaciju.
Radi postupanja u skladu sa stavom 1. ove tačke, pružalac platnih usluga uspostavlja mere sigurnosti kojima se obezbeđuje poverljivost, autentičnost i integritet:
1) podataka o iznosu platne transakcije i primaocu plaćanja tokom svih faza pouzdane autentifikacije korisnika;
2) informacija koje se prikazuju platiocu tokom svih faza pouzdane autentifikacije korisnika, uključujući generisanje, prenos i upotrebu kôda za proveru te autentičnosti.
Radi postupanja u skladu sa stavom 1. ove tačke, moraju biti ispunjeni sledeći zahtevi za kôd za autentifikaciju:
1) u slučaju platne transakcije na osnovu platne kartice za koju je platilac dao saglasnost za tačan iznos novčanih sredstava koja će se rezervisati u skladu s članom 49a stav 1. Zakona, kôd za autentifikaciju posebno je generisan baš u odnosu na iznos za čije je rezervisanje platilac dao saglasnost i koji je pri iniciranju transakcije naznačio;
2) u slučaju platnih transakcija za koje je platilac dao saglasnost za izvršenje niza elektronskih platnih transakcija na daljinu, upućenih prema jednom ili više primalaca plaćanja, kôd za autentifikaciju posebno je generisan baš u odnosu na ukupan iznos niza platnih transakcija i za naznačene primaoce plaćanja.
Zahtevi za elemente koji pripadaju kategoriji znanja
7. Pružalac platnih usluga dužan je da uspostavi mere za ublažavanje rizika da neovlašćena lica neposredno ili preko drugih lica otkriju elemente za pouzdanu autentifikaciju korisnika koji pripadaju kategoriji znanja.
Pri upotrebi elemenata iz stava 1. ove tačke od strane platioca, pružalac platnih usluga primenjuje mere za ublažavanje rizika radi sprečavanja otkrivanja tih elemenata neovlašćenim licima.
Zahtevi za elemente koji pripadaju kategoriji posedovanja
8. Pružalac platnih usluga dužan je da uspostavi mere za ublažavanje rizika da neovlašćena lica upotrebe elemente za pouzdanu autentifikaciju korisnika koji pripadaju kategoriji posedovanja.
Pri upotrebi elemenata iz stava 1. ove tačke od strane platioca, pružalac platnih usluga primenjuje mere za ublažavanje rizika kojima se sprečava replikacija tih elemenata.
Zahtevi za uređaje i softver koji su povezani sa elementima koji pripadaju kategoriji svojstvenosti
9. Pružalac platnih usluga dužan je da uspostavi mere za ublažavanje rizika da neovlašćena lica otkriju elemente za pouzdanu autentifikaciju korisnika koji pripadaju kategoriji svojstvenosti a koje učitavaju pristupni uređaji i softver koji su dati platiocu.
Pružalac platnih usluga dužan je da obezbedi najmanje da pri korišćenju pristupnih uređaja i softvera iz stava 1. ove tačke postoji veoma nizak nivo verovatnoće da se neovlašćeno lice nađe u svojstvu platioca umesto samog platioca, odnosno da takvo lice bude autentifikovano kao platilac.
Pri upotrebi elemenata iz stava 1. ove tačke od strane platioca, pružalac platnih usluga primenjuje mere kojima se garantuje otpornost pristupnih uređaja i softvera na neovlašćenu upotrebu tih elemenata u slučaju pristupa tim uređajima i softveru.
Nezavisnost elemenata za pouzdanu autentifikaciju korisnika
10. Pružalac platnih usluga dužan je da obezbedi da se pri upotrebi elemenata za pouzdanu autentifikaciju korisnika iz tač. 7. do 9. ove odluke primenjuju i mere kojima se obezbeđuje da neovlašćeno korišćenje, odnosno kompromitacija jednog od tih elemenata, u pogledu tehnologije, algoritama i parametara, ne umanjuje pouzdanost ostalih elemenata.
Pružalac platnih usluga, u slučaju upotrebe bilo kojeg elementa za pouzdanu autentifikaciju korisnika ili samog kôda za proveru autentičnosti preko višenamenskog uređaja, dužan je da uspostavi mere sigurnosti radi ublažavanja rizika koji bi mogao nastati usled zloupotrebe višenamenskog uređaja.
Radi postupanja u skladu sa stavom 2. ove tačke, pružalac platnih usluga dužan je da uspostavi sledeće mere za ublažavanje rizika:
1) korišćenje odvojenih bezbednih okruženja za izvršavanje, pomoću softvera instaliranog na višenamenskom uređaju;
2) mehanizme kojima se obezbeđuje da platilac ili treća strana ne mogu da modifikuju softver ili uređaj;
3) mehanizme kojima se u slučaju modifikacije softvera ili uređaja ublažavaju posledice te modifikacije.
3. Izuzeci od primene zahteva za pouzdanu autentifikaciju korisnika
Neposredan pristup informacijama o platnom računu kod pružaoca platnih usluga koji vodi račun
11. Pružalac platnih usluga koji vodi račun korisnika nije dužan da primeni pouzdanu autentifikaciju korisnika pri onlajn pristupu korisnika tom platnom računu ako u svakom slučaju postupa u skladu sa opštim zahtevima za autentifikaciju iz tačke 3. ove odluke i pod uslovom da taj pristup ne dovodi do otkrivanja osetljivih podataka o plaćanju i da je ograničen na uvid u:
1) stanje na jednom ili više utvrđenih platnih računa; ili
2) platne transakcije izvršene u poslednjih 90 dana preko jednog ili više utvrđenih platnih računa.
Pružalac platnih usluga ne može da koristi izuzetak od primene pouzdane autentifikacije iz stava 1. ove tačke ako je ispunjen najmanje jedan od sledećih uslova:
1) korisnik prvi put pristupa informacijama iz tog stava;
2) prošlo je više od 180 dana od kada je korisnik poslednji put pristupio informacijama iz tog stava uz primenu pouzdane autentifikacije tog korisnika.
Posredan pristup informacijama o platnom računu putem pružaoca usluga pružanja informacija o računu
12. Pružalac platnih usluga ne primenjuje pouzdanu autentifikaciju korisnika pri pristupu korisnika njegovom platnom računu preko interneta putem pružaoca usluga pružanja informacija o računu - ako u svakom slučaju postupa u skladu sa opštim zahtevima za autentifikaciju iz tačke 3. ove odluke i pod uslovom da taj pristup ne dovodi do otkrivanja osetljivih podataka o plaćanju i da je ograničen na uvid u:
1) stanje na jednom ili više utvrđenih platnih računa; ili
2) platnu transakciju izvršenu u poslednjih 90 dana preko jednog ili više utvrđenih platnih računa.
Izuzetno od stava 1. ove tačke, pružalac platnih usluga dužan je da primeni pouzdanu autentifikaciju iz tog stava ako je ispunjen najmanje jedan od sledećih uslova:
1) korisnik prvi put pristupa informacijama iz tog stava;
2) prošlo je više od 180 dana od kada je korisnik poslednji put pristupio informacijama iz tog stava uz primenu pouzdane autentifikacije tog korisnika.
Izuzetno od stava 1. ove tačke, kada za to ima objektivno opravdane i dokazive razloge koji se odnose na neovlašćen ili prevarni pristup računu - pružalac platnih usluga može da primenjuje pouzdanu autentifikaciju korisnika kada korisnik pristupa svom računu preko interneta putem pružaoca usluga pružanja informacija o računu. U tom slučaju, pružalac platnih usluga dužan je da na zahtev Narodne banke Srbije dokumentuje i opravda razloge za primenu pouzdane autentifikacije korisnika.
Pružalac platnih usluga koji vodi račun i koji je uspostavio namenski interfejs iz tačke 32. ove odluke nije dužan da primenjuje izuzetak iz stava 1. ove tačke za nepredviđene okolnosti iz tačke 35. stav 5. te odluke kada ne primenjuje izuzetak iz tačke 11. ove odluke putem direktnog interfejsa koji se koristi za autentifikaciju i komunikaciju s njegovim korisnicima.
Beskontaktna plaćanja na prodajnom mestu
13. Ako postupa u skladu sa opštim zahtevima iz tačke 3. ove odluke, pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika kada platilac inicira beskontaktnu elektronsku platnu transakciju, uz ispunjenost najmanje jednog od sledećih uslova:
1) pojedinačni iznos beskontaktne elektronske platne transakcije ne prelazi 6.000 dinara, a ukupna vrednost prethodnih beskontaktnih elektronskih platnih transakcija koje su inicirane platnim instrumentom koji poseduje beskontaktnu funkciju u periodu od datuma poslednje primene pouzdane autentifikacije korisnika ne prelazi 18.000 dinara;
2) broj uzastopnih beskontaktnih elektronskih platnih transakcija koje su inicirane platnim instrumentom koji poseduje beskontaktnu funkciju, u periodu od poslednje primene pouzdane autentifikacije tog korisnika - nije veći od pet.
Samouslužni terminali za plaćanje prevoza i naknada za parkiranje
14. Ako postupa u skladu sa opštim zahtevima iz tačke 3. ove odluke, pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika kada platilac inicira elektronsku platnu transakciju na samouslužnom terminalu za plaćanje usluga prevoza ili naknada za parkiranje.
Pouzdani primaoci plaćanja
15. Pružalac platnih usluga primenjuje pouzdanu autentifikaciju korisnika kada platilac kreira ili menja listu pouzdanih primalaca plaćanja preko pružaoca platnih usluga koji vodi račun.
Ako postupa u skladu sa opštim zahtevima iz tačke 3. ove odluke, pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika kada platilac inicira platnu transakciju, a primalac plaćanja se nalazi na listi pouzdanih primalaca plaćanja iz stava 1. ove tačke koju je prethodno kreirao platilac.
Ponavljajuće transakcije
16. Pružalac platnih usluga primenjuje pouzdanu autentifikaciju korisnika kada platilac kreira, menja ili prvi put inicira platne transakcije koje se sa istim iznosom i istim primaocem plaćanja ponavljaju u određenim vremenskim intervalima (niz ponovljenih platnih transakcija).
Ako postupa u skladu sa opštim zahtevima iz tačke 3. ove odluke, pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika pri iniciranju svih naknadnih platnih transakcija koje su sastavni deo niza ponovljenih platnih transakcija iz stava 1. ove tačke.
Transferi odobrenja između platnih računa čiji je imalac isto fizičko ili pravno lice
17. Ako postupa u skladu sa opštim zahtevima iz tačke 3. ove odluke, pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika u slučaju iniciranja transfera odobrenja kada su platilac i primalac plaćanja isto fizičko ili pravno lice i kada se oba platna računa vode kod istog pružaoca platnih usluga.
Transakcije male vrednosti
18. Pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika kada platilac inicira elektronsku platnu transakciju na daljinu - ako su ispunjeni sledeći uslovi:
1) da iznos elektronske platne transakcije na daljinu ne prelazi 3.600 dinara; i
2) da ukupna vrednost prethodnih elektronskih platnih transakcija na daljinu koje je platilac inicirao od poslednje primene pouzdane autentifikacije korisnika ne prelazi 12.000 dinara; ili
3) da broj prethodnih uzastopnih elektronskih platnih transakcija na daljinu koje je platilac inicirao od poslednje primene pouzdane autentifikacije korisnika nije veći od pet.
Sigurni korporativni procesi i protokoli plaćanja
19. Pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika u odnosu na pravna lica i preduzetnike koji iniciraju elektronske platne transakcije, ako je omogućio da se te transakcije iniciraju korišćenjem namenskih procesa ili protokola plaćanja koji su stavljeni na raspolaganje samo platiocima koji nisu potrošači, i ako je najmanje 30 dana pre dana početka pružanja platne usluge koja uključuje takvo iniciranje elektronskih platnih transakcija - o tome obavestio Narodnu banku Srbije i dostavio joj dokaze da ti procesi ili protokoli plaćanja obezbeđuju nivoe bezbednosti koji su najmanje jednaki zahtevima koji su u tom pogledu utvrđeni Zakonom i ovom odlukom.
Analiza rizika transakcije
20. Pružalac platnih usluga nije dužan da primeni pouzdanu autentifikaciju korisnika kada platilac inicira elektronsku platnu transakciju na daljinu za koju je pružalac platnih usluga utvrdio da predstavlja nizak rizik, u skladu s mehanizmima za praćenje platnih transakcija iz tačke 3. ove odluke.
Elektronska platna transakcija predstavlja nizak rizik u smislu stava 1. ove tačke ako su ispunjeni sledeći uslovi:
1) stopa prevare za tu vrstu transakcije prijavljena u izveštajima pružaoca platnih usluga i izračunata u skladu s tačkom 21. ove odluke - jednaka je referentnoj stopi prevare datoj u Prilogu 1, koji je odštampan uz ovu odluku i njen je sastavni deo, ili je niža od te stope;
2) iznos transakcije ne prelazi relevantnu vrednost praga izuzeća koja je utvrđena u Prilogu 1;
3) pružalac platnih usluga sprovođenjem analize rizika u realnom vremenu nije utvrdio nijedno od sledećeg:
- neuobičajeni obrazac potrošnje ili ponašanja platioca;
- neuobičajene informacije o pristupu uređaju/softveru od strane platioca;
- primenu malicioznog programskog kôda u bilo kojoj sesiji sprovođenja procedure autentifikacije korisnika;
- poznati scenario prevare u vezi s pružanjem platnih usluga;
- neuobičajenu lokaciju platioca;
- visokorizičnu lokaciju primaoca plaćanja.
Pružalac platnih usluga koji namerava da elektronske platne transakcije na daljinu iz stava 1. ove tačke izuzme od primene pouzdane autentifikacije korisnika na osnovu procene da predstavljaju nizak rizik, dužan je da uzme u obzir najmanje sledeće faktore rizika:
1) prethodne obrasce potrošnje konkretnog korisnika na čije bi se platne transakcije taj izuzetak primenjivao;
2) istoriju platnih transakcija svih korisnika platnih usluga tog pružaoca platnih usluga;
3) lokaciju platioca i primaoca plaćanja u trenutku iniciranja platne transakcije, ako pristupni uređaj ili softver obezbeđuje taj pružalac platnih usluga;
4) identifikaciju neuobičajenih obrazaca plaćanja konkretnog korisnika na čije bi se platne transakcije ovaj izuzetak primenjivao, uzimajući u obzir istoriju plaćanja tog korisnika.
Pružalac platnih usluga utvrđuje ocenu rizika za svaku pojedinačnu transakciju uzimajući u obzir sve faktore rizika iz stava 3. ove tačke, kako bi utvrdio da li konkretno plaćanje treba da odobri bez pouzdane autentifikacije korisnika.
Izračunavanje stopa prevare
21. Pružalac platnih usluga dužan je da obezbedi da su ukupne stope prevare za elektronske platne transakcije na daljinu na osnovu platnih kartica i za elektronske transfere odobrenja na daljinu, kojima su obuhvaćene platne transakcije koje su izvršene primenom pouzdane autentifikacije korisnika i transakcije izvršene primenom izuzetaka iz tač. 15. do 20. ove odluke - jednake referentnoj stopi prevare za tu vrstu transakcije datoj u Prilogu 1 ili niže od te stope.
Ukupna stopa prevare za svaku vrstu transakcije iz stava 1. ove tačke izračunava se kao ukupna vrednost neodobrenih transakcija na daljinu ili transakcija na daljinu povezanih s prevarnim radnjama, bez obzira na to da li su sredstva vraćena ili ne, podeljena sa ukupnom vrednošću svih platnih transakcija na daljinu za tu vrstu transakcije, bez obzira na to da li su one izvršene primenom pouzdane autentifikacije korisnika ili primenom izuzetaka iz tač. 15. do 20. ove odluke, na tromesečnoj osnovi (90 dana).
Pružalac platnih usluga dokumentuje metodologiju i modele koje koristi za izračunavanje stopa prevare iz stava 1. ove tačke, kao i dobijene stope prevare, i na zahtev ih dostavlja Narodnoj banci Srbije.
Prestanak primene izuzeća na osnovu analize rizika transakcije
22. Pružalac platnih usluga koji ne primenjuje pouzdanu autentifikaciju korisnika u skladu s tačkom 20. ove odluke dužan je da Narodnoj banci Srbije bez odlaganja prijavi ako stopa prevare za određenu kategoriju platnih transakcija iz Priloga 1 bude viša od referentne stope prevare utvrđene za tu kategoriju platnih transakcija u tom prilogu, kao i da istovremeno dostavi opis mera koje namerava da preduzme kako bi obezbedio da stopa prevare za ovu kategoriju platnih transakcija ne bude viša od te referentne stope.
Pružalac platnih usluga iz stava 1. ove tačke dužan je da bez odlaganja primenjuje pouzdanu autentifikaciju korisnika za sve platne transakcije navedene u Prilogu 1 u određenom rasponu vrednosti praga izuzeća, kada stopa prevare koju prati za dva uzastopna tromesečja pređe referentnu stopu prevare koja je primenljiva za taj platni instrument ili za tu vrstu platne transakcije u tom rasponu vrednosti praga izuzeća.
U slučaju iz stava 2. ove tačke, pružalac platnih usluga dužan je da pouzdanu autentifikaciju korisnika sprovodi sve dok izračunata stopa prevare koju prati za jedno tromesečje ne bude jednaka referentnoj stopi prevare za tu vrstu platne transakcije u tom rasponu vrednosti praga izuzeća ili niža od nje.
Pružalac platnih usluga koji namerava ponovo da prestane da primenjuje pouzdanu autentifikaciju korisnika u skladu s tačkom 20. ove odluke - dužan je da najkasnije 30 dana pre tog nameravanog prestanka o tome obavesti Narodnu banku Srbije i da uz to obaveštenje dostavi dokaze o ponovnoj usklađenosti stope prevare koju prati s referentnom stopom prevare za taj raspon vrednosti praga izuzeća u skladu sa stavom 3. ove tačke.
Praćenje platnih transakcija
23. Pružalac platnih usluga koji ne primenjuje pouzdanu autentifikaciju korisnika u skladu s tač. 11. do 20. ove odluke dužan je da, najmanje na tromesečnoj osnovi, s detaljnim pregledom platnih transakcija na daljinu i platnih transakcija koje se ne izvršavaju na daljinu - za svaku vrstu platne transakcije evidentira i prati sledeće podatke:
1) ukupnu vrednost neodobrenih platnih transakcija ili platnih transakcija povezanih s prevarnim radnjama u skladu sa odredbama Zakona kojima se uređuju uslovi i način izvršenja platne transakcije, kao i ukupnu vrednost svih platnih transakcija i dobijene stope prevare, uključujući detaljan pregled platnih transakcija koje su inicirane primenom pouzdane autentifikacije korisnika i primenom svakog pojedinačnog izuzeća u skladu sa odredbama ove odluke;
2) prosečnu vrednost transakcije, uključujući raspodelu platnih transakcija iniciranih primenom pouzdane autentifikacije korisnika i primenom svakog pojedinačnog izuzeća u skladu sa odredbama ove odluke;
3) za svako pojedinačno izuzeće koje se primenjuje u skladu sa odredbama ove odluke - broj platnih transakcija za koje je primenjeno izuzeće i njihov procenat u ukupnom broju platnih transakcija.
Pružalac platnih usluga podatke o rezultatima praćenja iz stava 1. ove tačke na zahtev dostavlja Narodnoj banci Srbije.
4. Poverljivost i integritet personalizovanih sigurnosnih podataka korisnika
Opšti zahtevi za poverljivost i integritet personalizovanih sigurnosnih elemenata
24. Pružalac platnih usluga dužan je da obezbedi poverljivost i integritet personalizovanih sigurnosnih elemenata korisnika, uključujući kôdove za autentifikaciju, tokom svih faza te autentifikacije.
Radi postupanja u skladu sa stavom 1. ove tačke, pružalac platnih usluga obezbeđuje ispunjenost sledećih zahteva:
1) personalizovani sigurnosni elementi moraju biti prikriveni tokom prikaza i ne smeju biti u potpunosti čitljivi kada ih korisnik unosi tokom autentifikacije;
2) personalizovani sigurnosni podaci u formatu računarskih podataka, kao i kriptografski materijali povezani sa šifrovanjem personalizovanih sigurnosnih podataka čuvaju se u šifrovanom obliku kao tekst koji nije čitljiv;
3) tajni kriptografski materijal mora biti zaštićen od neovlašćenog otkrivanja.
Pružalac platnih usluga dužan je da dokumentuje proces upravljanja kriptografskim materijalom koji se koristi da se personalizovani sigurnosni podaci šifruju ili na drugi način učine nečitljivim.
Pružalac platnih usluga obezbeđuje da se obrada i preusmeravanje personalizovanih sigurnosnih podataka i kôdova za autentifikaciju korisnika koji su generisani u skladu sa tač. 5. do 10. ove odluke - vrše u bezbednom okruženju u skladu s propisima kojima se uređuje ovu oblast i pouzdanim i opštepriznatim standardima koji se primenjuju na ove radnje pri pružanju platnih usluga.
Kreiranje i prenos personalizovanih sigurnosnih podataka
25. Pružalac platnih usluga dužan je da obezbedi da se personalizovani sigurnosni elementi stvaraju u bezbednom okruženju.
Pružalac platnih usluga dužan je da - pre uručivanja, odnosno dostavljanja platiocu personalizovanih sigurnosnih elemenata i uređaja i softvera za autentifikaciju korisnika - primeni mere za ublažavanje rizika od neovlašćene upotrebe tih elemenata, uređaja i softvera kao posledice njihovog gubitka, krađe ili kopiranja.
Povezivanje s korisnikom
26. Pružalac platnih usluga dužan je da obezbedi da je samo korisnik, i to na siguran način, povezan s personalizovanim sigurnosnim elementima, uređajima i softverom za autentifikaciju tog korisnika.
Radi postupanja u skladu sa stavom 1. ove tačke, pružalac platnih usluga dužan je da obezbedi sledeće:
1) povezivanje identiteta korisnika s personalizovanim sigurnosnim elementima (kredencijalima), uređajima i softverom koji se koriste za autentifikaciju korisnika vrši se u bezbednom okruženju za koje je odgovoran pružalac platnih usluga, što obuhvata najmanje prostorije pružaoca platnih usluga, internet okruženje koje obezbeđuje pružalac platnih usluga ili bezbedne internet stranice (veb-sajtovi) koje koristi pružalac platnih usluga i usluge bankomata koje koristi pružalac platnih usluga, uzimajući u obzir rizike u vezi sa uređajima i osnovnim komponentama koji se koriste u procesu povezivanja a za koje pružalac platnih usluga nije odgovoran;
2) povezivanje identiteta korisnika s personalizovanim sigurnosnim elementima (kredencijalima), uređajima i softverom koji se koriste za autentifikaciju korisnika koje se vrši na daljinu - obavlja se uz primenu pouzdane autentifikacije korisnika.
Dostavljanje personalizovanih sigurnosnih elemenata, uređaja i softvera za autentifikaciju korisnika
27. Pružalac platnih usluga dužan je da obezbedi da se dostavljanje personalizovanih sigurnosnih elemenata, uređaja i softvera za autentifikaciju korisnika obavlja na siguran način, kojim se vodi računa o rizicima povezanim s neovlašćenom upotrebom u slučaju njihovog gubitka, krađe ili kopiranja.
Radi postupanja u skladu sa stavom 1. ove tačke, pružalac platnih usluga dužan je da primenjuje najmanje sledeće mere:
1) efikasne i bezbedne mehanizme dostave kojima se obezbeđuje dostavljanje personalizovanih sigurnosnih elemenata, uređaja i softvera za autentifikaciju zakonitom korisniku;
2) mehanizme koji pružaocu platnih usluga omogućavaju da proveri autentičnost softvera za autentifikaciju korisnika koji je dostavljen korisniku preko interneta;
3) aranžmane kojima se, u slučaju dostavljanja personalizovanih sigurnosnih elemenata izvan poslovnih prostorija pružaoca platnih usluga ili sa udaljenosti, obezbeđuje da:
- neovlašćeno lice ne može dobiti više od jednog obeležja personalizovanih sigurnosnih elemenata, uređaja ili softvera za autentifikaciju korisnika kada se isporučuju istim kanalom,
- dostavljeni personalizovani sigurnosni elementi, uređaji i softver za autentifikaciju korisnika zahtevaju aktivaciju pre upotrebe;
4) aranžmane kojima se, u slučaju obavezne aktivacije personalizovanih sigurnosnih elemenata, uređaja ili softvera za autentifikaciju korisnika, pre njihove prve upotrebe, obezbeđuje da se aktivacija odvija u bezbednom okruženju, u skladu s tačkom 26. ove odluke.
Obnavljanje i ponovna aktivacija personalizovanih sigurnosnih elemenata
28. Pružalac platnih usluga dužan je da obezbedi da se obnavljanje ili ponovna aktivacija personalizovanih sigurnosnih podataka sprovodi u skladu sa zahtevima za kreiranje, povezivanje i dostavljanje personalizovanih sigurnosnih podataka i uređaja za autentifikaciju iz tač. 25. do 27. ove odluke.
Uništenje, deaktivacija i opoziv
29. Pružalac platnih usluga dužan je da uspostavi efikasne procese kojima obezbeđuje primenu sledećih sigurnosnih mera:
1) sigurno uništenje, deaktivaciju ili opoziv personalizovanih sigurnosnih podataka, uređaja i softvera za autentifikaciju korisnika;
2) kada pružalac platnih usluga stavlja na raspolaganje uređaje i softver za autentifikaciju korisnika koji su namenjeni za višekratnu upotrebu - uspostavlja se, dokumentuje i sprovodi sigurna ponovna upotreba uređaja ili softvera, pre njihovog stavljanja na raspolaganje drugom korisniku;
3) deaktivaciju ili opoziv informacija povezanih sa personalizovanim sigurnosnim elementima sačuvanim u sistemima i bazama podataka pružaoca platnih usluga i, kada je primenljivo, javnim registrima.
III ZAJEDNIČKI I BEZBEDNI OTVORENI STANDARDI KOMUNIKACIJE
1. Opšti zahtevi za komunikaciju
Zahtevi za identifikaciju
30. Pružalac platnih usluga dužan je da obezbedi bezbednu identifikaciju tokom komunikacije između uređaja koji koristi platilac i uređaja koje koristi primalac plaćanja za primanje elektronskih plaćanja, uključujući terminale za plaćanje, ali ne ograničavajući se na njih.
Pružalac platnih usluga dužan je da primeni takve mere kojima će obezbediti da su efikasno ublaženi rizici od pogrešnog usmeravanja komunikacije prema neovlašćenim licima u mobilnim aplikacijama i drugim interfejsima koji korisnicima nude elektronske platne usluge.
Mogućnost praćenja
31. Pružalac platnih usluga dužan je da uspostavi procese kojima se obezbeđuje mogućnost praćenja svih platnih transakcija i drugih interakcija s korisnikom, drugim pružaocima platnih usluga i drugim subjektima, uključujući trgovce, u vezi s pružanjem platne usluge i da obezbedi naknadne (lat. ex post) informacije o svim događajima relevantnim za elektronsku platnu transakciju u svim različitim fazama.
Radi postupanja u skladu sa stavom 1. ove tačke, pružalac platnih usluga obezbeđuje da se za svaku komunikacionu sesiju koja je uspostavljena s korisnikom, drugim pružaocima platnih usluga i drugim subjektima, uključujući trgovce, koriste:
1) jedinstveni identifikator komunikacione sesije;
2) sigurnosni mehanizmi za detaljno kreiranje evidencije o transakciji, uključujući broj transakcije, elektronski vremenski žig transakcije i sve druge relevantne podatke o transakciji;
3) elektronski vremenski žig komunikacione sesije.
Elektronski vremenski žig iz stava 2. odredbe pod 2) i 3) ove tačke mora biti zasnovan na jedinstvenom vremenskom sistemu i sinhronizovan sa izvorom referentnog vremena u Republici Srbiji.
2. Posebni zahtevi za zajedničke i sigurne otvorene standarde komunikacije
Opšti zahtevi u vezi sa pristupnim interfejsima
32. Pružalac platnih usluga koji vodi račune i koji platiocu nudi platni račun kojem se može pristupiti onlajn - dužan je da obezbedi najmanje jedan pristupni interfejs koji ispunjava sledeće zahteve:
1) pružaoci usluge pružanja informacija o računu, pružaoci usluge iniciranja plaćanja i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice mogu da se identifikuju pred pružaocem platnih usluga koji vodi račune;
2) pružaoci usluge pružanja informacija o računu mogu sigurno da komuniciraju kada zahtevaju i primaju informacije o jednom ili više utvrđenih platnih računa i s njima povezanim platnim transakcijama;
3) pružaoci usluge iniciranja plaćanja mogu sigurno da komuniciraju kada iniciraju platni nalog s platnog računa platioca i kada primaju sve informacije o iniciranju platne transakcije i sve informacije o izvršenju platne transakcije koje su dostupne pružaocu platne usluge koji vodi račune.
Radi autentifikacije korisnika, interfejs iz stava 1. ove tačke mora da omogući pružaocima usluge pružanja informacija o računu i pružaocima usluge iniciranja plaćanja korišćenje svih procedura za autentifikaciju korisnika koje pružalac platnih usluga koji vodi račun pruža korisniku.
Interfejs iz stava 1. ove tačke mora da ispunjava najmanje sledeće zahteve:
1) pružalac usluge iniciranja plaćanja ili pružalac usluge pružanja informacija o računu može dati instrukciju pružaocu platnih usluga koji vodi račun da pokrene autentifikaciju korisnika na osnovu saglasnosti korisnika;
2) komunikacione sesije između pružaoca platnih usluga koji vodi račun, pružaoca usluge pružanja informacija o računu, pružaoca usluge iniciranja plaćanja i bilo kojeg pojedinačnog korisnika uspostavljaju se i održavaju tokom celokupnog postupka autentifikacije tog korisnika;
3) obezbeđeni su integritet i poverljivost personalizovanih sigurnosnih podataka i kôdova za proveru autentičnosti koje pružalac usluge iniciranja plaćanja ili pružalac usluge pružanja informacija o računu prenosi ili se preko njega prenose.
Sva komunikacija između pružalaca usluge pružanja informacija o računu i pružalaca usluge iniciranja plaćanja i pružalaca platnih usluga koji vodi račun odvija se putem namenskih interfejsa razvijenih od strane Narodne banke Srbije.
Pružalac platnih usluga koji vodi račune obezbeđuje testno okruženje, uključujući i podršku, za testiranje povezivanja i funkcionisanja koje ovlašćenim pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu i pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice ili licima koja su Narodnoj banci Srbije podnela zahtev za davanje dozvole za pružanje bilo koje od tih platnih usluga omogućava testiranje njihovih softvera i aplikacija koji se koriste za pružanje platnih usluga korisnicima platnih usluga.
Testno okruženje iz stava 5. ove tačke treba da omogući testiranje interfejsa na način utvrđen tačkom 5. stav 5. iz Priloga 2, koji je odštampan uz ovu odluku i njen je sastavni deo, i treba da bude dostupno pre datuma određenog za stavljanje u upotrebu pristupnog interfejsa iz stava 1. ove tačke.
Testno okruženje iz stava 5. ove tačke ne može da se koristi za razmenu osetljivih informacija, a naročito osetljivih podataka o plaćanju.
U slučaju da interfejs iz stava 1. ove tačke nije usklađen sa zahtevima utvrđenim ovom odlukom, pružalac platnih usluga koji vodi račune dužan je da obezbedi da pružanje usluga iniciranja plaćanja i informacija o računu u bilo kojem trenutku nije sprečeno niti poremećeno do nivoa koji bi značio da pružaoci tih usluga nisu usklađeni sa zahtevima iz tačke 35. st. 6. i 7. ove odluke.
Narodna banka Srbije u vezi s namenskim interfejsom iz stava 4. ove tačke obezbeđuje testno okruženje, shodnom primenom odredaba st. 5 do 7. ove tačke.
Opcije za uspostavljanje pristupnog interfejsa
33. Pružalac platnih usluga koji vodi račune dužan je da uspostavi jedan ili više interfejsa iz tačke 32. ove odluke, uspostavljanjem namenskog interfejsa, omogućavanjem korišćenja namenskog interfejsa iz tačke 32. stav 4. ove odluke ili dozvoljavanjem pružaocima platnih usluga iz tačke 32. stav 1. ove odluke korišćenja interfejsa koji se upotrebljavaju za proveru autentičnosti korisnika i komunikaciju s korisnicima pružaoca platnih usluga koji vodi račune.
Obaveze u vezi s namenskim interfejsom
34. Ne dovodeći u pitanje odredbe tač. 32. i 33. ove odluke, pružalac platnih usluga koji vodi račune i koji je uspostavio vezu sa namenskim interfejsom - dužan je da u svakom trenutku obezbedi isti nivo dostupnosti i performansi, uključujući i podršku, kao interfejsi koji su korisnicima stavljeni na raspolaganje za direktan onlajn pristup njihovim platnim računima.
Pružalac platnih usluga koji vodi račune a koji je uspostavio vezu sa namenskim interfejsom utvrđuje transparentne ključne indikatore performansi i ciljne nivoe usluga koje pruža putem namenskog interfejsa, koji su najmanje podjednako strogi kao oni koji su definisani za interfejs koji koriste korisnici njegovih platnih usluga, i to kako u pogledu dostupnosti tako i u pogledu podataka koji se razmenjuju u skladu s tačkom 38. ove odluke.
Pružalac platnih usluga vrši testiranje otpornosti na stres u vezi sa pružanjem usluga putem namenskog interfejsa iz stava 2. ove tačke.
Pružalac platnih usluga koji vodi račune a koji je uspostavio vezu sa namenskim interfejsom obezbeđuje da se putem tog interfejsa ne stvaraju prepreke za pružanje usluge iniciranja plaćanja i pružanje usluge pružanja informacija o računu.
Prepreke iz stava 4. ove tačke, naročito obuhvataju onemogućavanje pružaocima platnih usluga iz tačke 32. stav 1. ove odluke da upotrebljavaju sigurnosne podatke koje su pružaoci platnih usluga koji vode račune izdali svojim korisnicima, nametanje preusmeravanja na funkciju za proveru autentičnosti ili druge funkcije pružaoca platnih usluga koji vodi račune, zahtevanje dodatnih odobrenja i registracija, osim onih utvrđenih Zakonom, ili zahtevanje dodatnih provera saglasnosti koje su korisnici dali pružaocima usluge iniciranja plaćanja i pružaocima usluge pružanja informacija o računu.
Narodna banka Srbije uspostavlja namenske interfejse iz tačke 32. stav 4. ove odluke u skladu sa zahtevima utvrđenim ovom tačkom i na način da omogući pružaocima platnih usluga iz tačke 32. stav 1. ove odluke da ispune obaveze utvrđene ovom odlukom.
Narodna banka Srbije prati dostupnost i performanse namenskog interfejsa iz tačke 32. stav 4. ove odluke i na svojoj internet stranici objavljuje tromesečne statističke podatke o dostupnosti i performansama namenskih interfejsa.
Pružalac platne usluge koji vodi račune dužan je da prati dostupnost i performanse i da na svojoj internet stranici objavljuje tromesečne statističke podatke o interfejsima koje koriste korisnici njegovih platnih usluga.
Mere u slučaju nepredviđenih okolnosti u vezi s namenskim interfejsom
35. Uspostavljanje namenskog interfejsa iz tačke 32. stav 4. ove odluke uključuje izradu strategije i planova u vezi s merama za nepredviđene okolnosti u slučaju da interfejs ne funkcioniše u skladu s tačkom 34. ove odluke, kao i u slučaju da dođe do neplanirane nedostupnosti interfejsa ili do kvara sistema.
Pretpostavlja se da je došlo do neplanirane nedostupnosti namenskog interfejsa ili do kvara sistema u smislu stava 1. ove tačke, ako se na pet uzastopnih zahteva za pristup informacijama radi pružanja usluge iniciranja plaćanja ili pružanja usluge informacija o računu ne odgovori u roku od 30 sekundi.
Mere za nepredviđene okolnosti iz stava 1. ove tačke uključuju planove za informisanje i komunikaciju s pružaocima platnih usluga koji koriste namenski interfejs o merama za oporavak sistema i opis odmah dostupnih alternativnih rešenja koje ti pružaoci platnih usluga mogu koristiti u međuvremenu.
Pružaoci platnih usluga koji vode račune, kao i pružaoci platnih usluga iz tačke 32. stav 1. ove odluke dužni su da, bez odlaganja, Narodnoj banci Srbije prijave probleme u vezi s namenskim interfejsom iz st. 1. i 2. ove tačke.
Pružalac platnih usluga koji vodi račune dužan je da uspostavi mehanizam za nepredviđene okolnosti, kojim se pružaocima platnih usluga iz tačke 32. stav 1. ove odluke omogućava da koriste interfejse koji su stavljeni na raspolaganje njegovim korisnicima platnih usluga za autentifikaciju korisnika i komunikaciju s njim, sve dok se ne obezbedi nivo dostupnosti i performansi namenskog interfejsa iz tačke 33. ove odluke.
Radi postupanja u skladu sa stavom 5. ove tačke, pružalac platnih usluga koji vodi račune obezbeđuje da se pružaoci platnih usluga iz tačke 32. stav 1. ove odluke mogu identifikovati i da mogu da koriste procedure za autentifikaciju koje pružalac platnih usluga koji vodi račun pruža korisniku.
Pružaoci platnih usluga iz tačke 32. stav 1. ove odluke pri korišćenju interfejsa iz stava 5. ove tačke dužni su da:
1) preduzimaju neophodne mere kako bi obezbedili da ne pristupaju podacima, ne čuvaju podatke ili ne obrađuju podatke u druge svrhe osim za pružanje usluge u skladu sa zahtevom korisnika;
2) obezbede postupanje u skladu s pravilima iz člana 46b stav 2. i člana 46v stav 2. Zakona;
3) evidentiraju podatke kojima se pristupa preko interfejsa kojim upravlja pružalac platnih usluga koji vodi račune za potrebe korisnika njegovih platnih usluga i bez odlaganja dostave podatke iz te evidencije Narodnoj banci Srbije na njen zahtev;
4) na zahtev Narodne banke Srbije bez odlaganja obrazlože upotrebu interfejsa koji je korisnicima stavljen na raspolaganje za direktan onlajn pristup njihovim platnim računima;
5) na odgovarajući način obaveštavaju pružaoca platnih usluga koji vodi račune o korišćenju interfejsa.
Narodna banka Srbije može da odredi da pružalac platnih usluga koji vodi račune a koji koristi namenski interfejs nije dužan da uspostavi mehanizam za nepredviđene okolnosti iz stava 5. ove tačke, ako na osnovu informacija i podataka koje dostavi taj pružalac platnih usluga u vezi sa interfejsom koji je stavljen na raspolaganje njegovim korisnicima platnih usluga za autentifikaciju korisnika i komunikaciju s njim ispunjavaju sledeće uslove:
1) pristupni interfejs koje taj pružalac platnih usluga stavlja na raspolaganje ispunjava iste uslove u pogledu nivoa dostupnosti i performansi, uključujući i podršku, kao i dodatne zahteve utvrđene u Prilogu 2 ove odluke;
2) pristupni interfejs je osmišljen i testiran u skladu s tačkom 32. st. 5. do 7. ove odluke na način koji je prihvatljiv pružaocima platnih usluga iz tačke 32. stav 5. ove odluke;
3) pružaoci platnih usluga koristili su taj interfejs najmanje tri meseca radi pružanja usluge informacija o računu, usluge iniciranja plaćanja i pružanja potvrde o raspoloživosti sredstava za plaćanja na osnovu platnih kartica.
Ako pružalac platne usluge iz stava 8. ove tačke ne ispunjava uslove iz odredaba pod 1) i 4) tog stava - dužan je da uspostavi mehanizam za nepredviđene okolnosti iz stava 5. te tačke, najkasnije u roku od dva meseca od utvrđivanja neispunjenosti tih uslova.
Sertifikati
36. Radi identifikacije iz tačke 32. stav 1. odredba pod 1) ove odluke, pružaoci platnih usluga dužni su da koriste kvalifikovani sertifikat za elektronski pečat ili kvalifikovani sertifikat za autentikaciju veb sajta, u smislu zakona kojim se uređuju elektronski dokument, elektronska identifikacija i usluge od poverenja u elektronskom poslovanju a koji će izdavati Narodna Banka Srbije.
Sertifikat iz stava 1. ove tačke mora da, na srpskom ili engleskom jeziku, sadrži i sledeće podatke:
1) ulogu pružaoca platnih usluga i to:
- vođenje računa,
- iniciranje plaćanja,
- pružanje informacija o računu, i/ili
- izdavanje platnih instrumenata na osnovu platnih kartica;
2) naziv "Narodna banka Srbije" kao označenje organa koji je pružaocu platnih usluga izdao dozvolu za pružanje platnih usluga.
Podaci iz stava 2. ove tačke ne mogu uticati na međusobnu kompatibilnost (interoperabilnost) i priznavanje kvalifikovanih sertifikata za elektronski pečati ili autentikaciju veb sajta.
Sigurnost komunikacione sesije
37. Pružaoci platnih usluga koji vode račune, pružaoci usluge pružanja informacija o računu, pružaoci usluge iniciranja plaćanja i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice - dužni su da obezbede da se pri razmeni podataka preko interneta primenjuje sigurno šifrovanje između učesnika u komunikaciji tokom cele komunikacione sesije, upotrebom opštepriznatih tehnika šifrovanja, radi zaštite poverljivosti i integriteta podataka.
Pružaoci usluge pružanja informacija o računu, pružaoci usluge iniciranja plaćanja i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice dužni su da, u najvećoj mogućoj meri, ograniče trajanje pristupnih sesija koje nude pružaoci platnih usluga koji vode račune i aktivno prekidaju sesiju čim je zahtevana radnja završena.
U slučaju održavanja paralelnih mrežnih sesija s pružaocem platnih usluga koji vodi račune, pružaoci usluge pružanja informacija o računu i pružaoci usluge iniciranja plaćanja dužni su da obezbede da su te sesije sigurno povezane sa odgovarajućim sesijama uspostavljenim s jednim ili više korisnika, kako bi se sprečila mogućnost pogrešnog usmeravanja poruka ili informacija koje se razmenjuju tokom komunikacije.
Radi sprečavanja mogućnosti pogrešnog usmeravanja poruka ili informacija koje se razmenjuju tokom komunikacije, pružaoci usluge pružanja informacija o računu, pružaoci usluge iniciranja plaćanja i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice dužni su da s pružaocem platnih usluga koji vodi račune obezbede nedvosmislenu referencu za svaku od sledećih stavki:
1) jednog ili više korisnika i odgovarajuću komunikacionu sesiju kako bi se razlikovali različiti zahtevi istog, odnosno istih korisnika;
2) za usluge iniciranja plaćanja - jedinstveno identifikovanu iniciranu platnu transakciju;
3) za potvrdu raspoloživosti sredstava - jedinstveno identifikovani zahtev u vezi sa iznosom potrebnim za izvršenje platne transakcije na osnovu platne kartice.
Pružaoci platnih usluga koji vode račune, pružaoci usluge pružanja informacija o računu, pružaoci usluge iniciranja plaćanja i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice obezbeđuju da ni u jednom trenutku pri razmeni personalizovanih sigurnosnih podataka i kôdova za autentifikaciju ti podaci i kôdovi nisu, ni direktno ni indirektno, čitljivi zaposlenom ili drugom licu angažovanom kod tih pružalaca platnih usluga.
U slučaju kompromitovanja poverljivosti personalizovanih sigurnosnih podataka, pružaoci platnih usluga iz stava 5. ove tačke u okviru čijeg pružanja platnih usluga je došlo do tog narušavanja, dužni su da o tome bez odlaganja obaveste korisnika i izdavaoca tih personalizovanih sigurnosnih podataka.
Razmena podataka
38. Pružalac platnih usluga koji vodi račune dužan je da:
1) pružaocima usluge pružanja informacija o računu pruža iste informacije sa utvrđenih platnih računa i s njima povezanih platnih transakcija koje se stavljaju na raspolaganje korisniku kada direktno zahteva pristup informacijama o računu, pod uslovom da te informacije ne uključuju osetljive podatke o plaćanju;
2) odmah nakon prijema platnog naloga, pružaocima usluge iniciranja plaćanja pruža iste informacije o iniciranju i izvršenju platne transakcije koje se pružaju ili stavljaju na raspolaganje korisniku kada direktno inicira platnu transakciju;
3) na zahtev pružalaca platnih usluga, bez odlaganja, u jednostavnom "da ili ne" formatu, potvrđuje da li je iznos potreban za izvršenje platne transakcije raspoloživ na platnom računu platioca.
U slučaju neočekivanog događaja ili greške nastale tokom procesa identifikacije, provere autentičnosti korisnika ili razmene elemenata podataka - pružalac platnih usluga koji vodi račune šalje poruku pružaocu usluge iniciranja plaćanja ili pružaocu usluge pružanja informacija o računu i pružaocu platnih usluga koji izdaje platni instrument na osnovu platne kartice sa objašnjenjem razloga neočekivanog događaja ili greške.
Kada pružalac platnih usluga koji vodi račune obezbeđuje namenski interfejs u skladu sa tačkom 34. ove odluke, taj interfejs mora da omogući prosleđivanje poruka o neočekivanim događajima ili greškama koje bilo koji pružalac platnih usluga koji otkrije takav događaj ili grešku treba da dostavi drugim pružaocima platnih usluga koji učestvuju u komunikacionoj sesiji.
Pružalac usluge pružanja informacija o računu mora da raspolaže prikladnim i efikasnim mehanizmima kojima se sprečava pristup informacijama, osim informacijama sa utvrđenih računa za plaćanje i s njima povezanih platnih transakcija, uz izričitu saglasnost tog korisnika.
Pružalac usluge iniciranja plaćanja dostavlja pružaocu platnih usluga koji vodi račune iste informacije koje se od korisnika traže kada direktno inicira platnu transakciju.
Pružalac usluge pružanja informacija o računu može, za potrebe pružanja usluge informacija o računu, pristupiti informacijama sa utvrđenih platnih računa i s njima povezanih platnih transakcija koje poseduju pružaoci platnih usluga koji vode račune - u sledećim situacijama:
1) kada korisnik aktivno zahteva te informacije;
2) kada korisnik ne zahteva aktivno te informacije - ne više od četiri puta u toku 24 časa, osim u slučaju da je, uz saglasnost korisnika, mogućnost veće učestalosti zahtevanja tih informacija dogovorena između pružaoca usluge pružanja informacija o računu i pružaoca platnih usluga koji vodi račun.
39. Pružaoci platnih usluga dužni su da svoje unutrašnje akte usklade sa odredbama ove odluke najkasnije mesec dana pre početka njene primene i da u tom roku Narodnoj banci Srbije dostave obaveštenje o tome, zajedno sa usklađenim unutrašnjim aktima.
40. Ova odluka ne primenjuje se na banku koja se pripaja drugoj banci, ako je banka kojoj se banka pripaja podnela Narodnoj banci Srbije uredan zahtev za davanje saglasnosti na to pripajanje najkasnije do dana početka primene ove odluke a planirani datum registracije statusne promene pripajanja je najkasnije 31. decembar 2026. godine.
Na banku koja je najkasnije do dana početka primene ove odluke dostavila Narodnoj banci Srbije obaveštenje i odluku nadležnog organa banke da planira migraciju podataka na novi sistem glavnih poslovnih aplikacija u smislu odluke kojom se uređuju minimalni standardi upravljanja informacionim sistemom finansijske institucije - odredbe ove odluke primenjivaće se od 30. juna 2026. godine.
41. Ova odluka stupa na snagu osmog dana od dana objavljivanja u "Službenom glasniku Republike Srbije", a primenjuje se od 1. januara 2026. godine.
|
Referentna stopa prevare (%) za: |
|
Vrednost praga izuzeća (ETV) |
Elektronske platne transakcije |
Elektronski transferi |
60.000 dinara |
0,01 |
0,005 |
30.000 dinara |
0,06 |
0,01 |
12.000 dinara |
0,13 |
0,015 |
DODATNI ZAHTEVI ZA PRUŽAOCA PLATNIH USLUGA KOJI VODI RAČUNE U VEZI SA IZUZEĆEM OD OBAVEZE USPOSTAVLJANJA MEHANIZMA ZA NEPREDVIĐENE OKOLNOSTI
Pružalac platnih usluga koji vodi račune, za izuzeće od obaveze uspostavljanja mehanizma za nepredviđene okolnosti iz tačke 35. stav 5. ove odluke mora da ispunjava dodatne zahteve u skladu sa ovim prilogom.
Zahtevi u pogledu nivoa usluge, dostupnosti i performansi
1. Prilikom utvrđivanja ciljnog nivoa usluge pružalac platnih usluga koji vodi račune utvrđuje i zahteve po pitanju rešavanja problema, podrške van radnog vremena, praćenja i održavanja pristupnog interfejsa koji koriste korisnici njegovih platnih usluga.
U pogledu dostupnosti pristupnog interfejsa, pružalac platnih usluga koji vodi račune utvrđuje najmanje sledeće ključne indikatore performansi:
1) vreme ispravnog rada po danu za svaki interfejs;
2) vreme zastoja u radu po danu za svaki interfejs.
U pogledu performansi pristupnog interfejsa pružalac platnih usluga koji vodi račune utvrđuje najmanje sledeće ključne indikatore učinka:
1) prosečno vreme (u milisekundama) u toku dana, po zahtevu, iskorišćeno da pružalac platnih usluga koji vodi račune dostavi pružaocu usluge iniciranja plaćanja sve potrebne informacije u skladu sa odredbama Zakona i tačkom 38. stav 1. odredba pod 2) ove odluke;
2) prosečno vreme (u milisekundama) u toku dana, po zahtevu, iskorišćeno da pružalac platih usluga koji vodi račune dostavi pružaocu usluge informacija o računu sve potrebne informacije u skladu sa tačkom 38. stav 1. odredba pod 1) ove odluke;
3) prosečno vreme (u milisekundama) u toku dana, po zahtevu, iskorišćeno da pružalac platnih usluga koji vodi račune dostavi pružaocu platnih usluga koji izdaje platni instrument na osnovu platne kartice ili pružaocu usluge iniciranja plaćanja potvrdu u "da" ili "ne" formatu u skladu sa odredbama Zakona i tačkom 38. stav 1. odredba pod 3) ove odluke;
4) dnevnu stopu odgovora na greške - izračunatu kao broj poruka o greškama koje se mogu pripisati pružaocu platnih usluga koji vodi račune, a koje je on, u toku jednog dana, poslao pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu i pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice u skladu sa tačkom 38. stav 2. ove odluke, podeljen sa brojem zahteva koje je pružalac usluge koji vodi račune istog dana primio od pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice.
Radi izračunavanja indikatora dostupnosti pristupnog interfejsa koji su utvrđeni u tački 2. stav 1. ovog priloga pružalac platnih usluga koji vodi račune treba da:
1) računa vreme ispravnog rada izraženo u procentima ukupnog vremena rada, i to tako što će procenat ukupnog vremena rada (100% ukupnog vremena rada) umanjiti za onaj procenat tog vremena (X% ukupnog vremena rada) tokom koga je došlo do zastoja u radu;
2) računa vreme zastoja u radu izraženo u procentima, i to kao odnos ukupnog broja sekundi nedostupnosti namenskog interfejsa u periodu od 24 časa u kojem je došlo do te nedostupnosti, koji počinje u ponoć jednog, a završava se u ponoć narednog dana, sa ukupnim brojem sekundi u tom periodu;
3) smatra da je interfejs nedostupan kada na pet uzastopnih zahteva za pristup informacijama u svrhu pružanja usluge iniciranja plaćanja, pružanja usluge informacija o računu ili dobijanja potvrde o raspoloživosti sredstava nije odgovoreno u roku od 30 sekundi, bez obzira na to da li su ti zahtevi potekli od jednog ili više različitih pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu ili pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice. U tom slučaju, pružalac platnih usluga koji vodi račune vreme nedostupnosti treba da meri od trenutka prijema prvog zahteva iz niza pet uzastopnih zahteva na koje nije odgovoreno u roku od 30 sekundi, ako u periodu između tih pet zahteva nije bilo nijednog uspešnog zahteva na koji je pružen odgovor.
Zahtevi u pogledu objavljivanja statističkih podataka
2. Radi utvrđivanja ispunjenosti uslova iz tačke 34. stav 8. ove odluke, pružalac platnih usluga koji vodi račune dostavlja Narodnoj banci Srbije plan tromesečne objave dnevnih statističkih podataka o dostupnosti i performansama svakog pristupnog interfejsa iz tač. 2. st. 2. i 3. ovog priloga koji je stavljen na raspolaganje njegovim korisnicima za direktan pristup njihovim računima za plaćanje uz onlajn povezivanje, sa informacijom o mestu na kojem će ti statistički podaci biti objavljeni i datumu prve objave.
Objavljivanje statističkih podataka u skladu sa stavom 1. ove tačke treba da omogući pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu, pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice i korisnicima da na dnevnoj osnovi mogu da uporede dostupnost i performanse namenskog interfejsa sa dostupnošću i performansama svakog od interfejsa koje je pružalac platnih usluga koji vodi račune stavio na raspolaganje njegovim korisnicima za direktan pristup njihovim računima za plaćanja uz onlajn povezivanje.
Zahtevi u pogledu testiranja otpornosti na stres pristupnog interfejsa
3. Radi testiranja otpornosti na stres pristupnog interfejsa, pružalac platnih usluga koji vodi račune treba da ima uspostavljene procese za utvrđivanje i ocenjivanje funkcionisanja namenskog interfejsa u situaciji izuzetno velikog broja zahteva koje su uputili pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice, u pogledu uticaja koji takav stres ima na dostupnost i performanse pristupnog interfejsa i definisani ciljni nivo usluga.
Testiranje otpornosti na stres pristupnog interfejsa sprovodi se na način da uključuje, ali ne ograničava se na:
1) sposobnost da podrži pristup od strane više pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice;
2) sposobnost da u kratkom vremenskom periodu, bez greške, odgovori na izuzetno velik broj zahteva koje su uputili pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice;
3) korišćenje izuzetno velikog broja paralelnih sesija koje su aktivne u isto vreme radi zahteva u vezi sa iniciranjem plaćanja, pružanjem informacija o računu i pružanjem potvrde o raspoloživosti sredstava; i
4) zahteve za velike količine podataka.
Pružalac platnih usluga koji vodi račune dostavlja Narodnoj banci Srbije rezime rezultata testiranja otpornosti na stres, uključujući pretpostavke koje su se koristile kao osnova za testiranje otpornosti na stres svakog elementa iz stava 2. ove tačke i informacije o načinu postupanja u vezi sa bilo kojim identifikovanim problemom.
4. Pružalac platnih usluga koji vodi račune Narodnoj banci Srbije dostavlja:
1) rezime metoda koje se koriste za izvršavanje procedura za autentifikaciju korisnika koje podržava pristupni interfejs, tj. metoda preusmeravanja, odvojena metoda, ugrađena metoda ili njihova kombinacija; i
2) objašnjenje razloga zbog kojih metode iz odredbe pod 1) ove tačke ne predstavljaju prepreku u smislu člana 34. st. 4. i 5. ove odluke, kao i načina na koji te metode omogućavaju pružaocima usluge iniciranja plaćanja i pružaocima usluge pružanja informacija o računu da se oslone na sve procedure za autentifikaciju korisnika koje pružalac platnih usluga koji vodi račune stavlja na raspolaganje svojim korisnicima, uz dokaze da pristupni interfejs ne stvara nepotrebno odlaganje ili poteškoće korisnicima i ne utiče negativno na njihovo zadovoljstvo kada se pristupa njihovom računu preko pružaoca usluge iniciranja plaćanja, pružaoca usluge pružanja informacija o računu ili pružaoca platnih usluga koji izdaje platni instrument na osnovu platne kartice, i ne dovodi do pogoršanja drugih atributa, uključujući nepotrebne ili suvišne korake ili upotrebu nejasnog ili obeshrabrujućeg jezika, koji bi direktno ili indirektno odvratili korisnika od korišćenja usluga koje nude pružaoci usluge iniciranja plaćanja, pružaoci usluge informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice.
Objašnjenje iz stava 1. odredba pod 2) ovog priloga treba da sadrži potvrdu da:
1) pristupni interfejs ne sprečava pružaoce usluge iniciranja plaćanja i pružaoce usluge informacija o računu da se oslone na procedure za autentifikaciju korisnika koje pružalac platnih usluga koji vodi račune stavlja na raspolaganje svojim korisnicima;
2) se od pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu, pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice ne zahtevaju dodatna odobrenja ili registracije, osim onih utvrđenih Zakonom;
3) pružalac platnih usluga koji vodi račune ne sprovodi dodatne provere saglasnosti iz tačke 34. stav 5. ove odluke, koje su korisnici dali pružaocu usluge iniciranja plaćanja ili pružaocu usluge pružanja informacija o računu radi pristupa informacijama o računima za plaćanje koje poseduje pružalac platnih usluga koji vodi račune ili radi iniciranja plaćanja.
Zahtevi u pogledu osmišljavanja i testiranja pristupnog interfejsa na način koji je prihvatljiv pružaocima platnih usluga
5. Pružalac platnih usluga koji vodi račune Narodnoj banci Srbije dostavlja:
1) dokaze da pristupni interfejs ispunjava propisane uslove u vezi sa pristupom i podacima, a naročito:
- opis funkcionalnih i tehničkih specifikacija koje je pružalac platnih usluga koji vodi račune primenio;
- rezime načina na koji se primenom tih tehničkih specifikacija ispunjavaju propisani zahtevi; i
2) informaciju da li i na koji način pružalac platnih usluga koji vodi račune sarađuje sa pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu i pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice.
Ako pružalac platnih usluga koji vodi račune primenjuje standard koji je razvijen u okviru tržišne inicijative:
1) informacije iz stava 1. odredba pod 1) alineja prva ove tačke a mogu se sastojati od podataka o tome koji standard tržišne inicijative primenjuje pružalac platnih usluga koji vodi račune, da li je odstupio od nekog posebnog aspekta tog standarda, i ako jeste, na koji način je odstupio i kako ispunjava propisane zahteve;
2) informacije iz stava 1. odredba pod 1) alineja druga ove tačke mogu da sadrže rezultate ispitivanja usaglašenosti koje je osmišljeno u okviru tržišne inicijative, kada su dostupni, kojima se potvrđuje usklađenost interfejsa sa odgovarajućim standardom tržišne inicijative.
Tržišna inicijativa, u smislu stava 2. odredba pod 2) ove tačke označava grupu zainteresovanih strana koja je razvila funkcionalne i tehničke specifikacije za pristupne interfejse, i za te potrebe, dobila inpute od pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice.
Radi utvrđivanja ispunjenosti uslova iz tačke 35. stav 8. odredba pod 2) ove odluke, pružalac platnih usluga koji vodi račune dostavlja Narodnoj banci Srbije dokaze da je, u skladu sa tačkom 32. st. 6. i 7. te odluke, stavio na raspolaganje tehničke specifikacije pristupnog interfejsa ovlašćenim pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu i pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice ili licu koje je Narodnoj banci Srbije podnelo zahtev za izdavanje dozvole za pružanje neke od ovih usluga, najmanje tako što je, na svojoj internet stranici objavio rezime specifikacije pristupnog interfejsa u skladu sa tačkom 32. stav 6. te odluke.
Testno okruženje treba da omogući pružaocima platnih usluga koji vode račune, ovlašćenim pružaocima usluge iniciranja plaćanja, pružaocima usluge pružanja informacija o računu i pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice ili licu koje je Narodnoj banci Srbije podnelo zahtev za davanje dozvole za pružanje neke od ovih usluga, da testiraju pristupni interfejs u sigurnom, namenskom okruženju u kojem se ne upotrebljavaju stvarni podaci o korisnicima, proverom:
1) stabilne i sigurne veze;
2) mogućnosti razmene odgovarajućih sertifikata između pružalaca platnih usluga koji vode račune i ovlašćenih pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice, u skladu sa tačkom 36. ove odluke;
3) mogućnost slanja i prijema poruka o greškama u skladu sa tačkom 38. stav 2. ove odluke;
4) mogućnosti pružalaca usluge iniciranja plaćanja da šalju i pružalaca platnih usluga koji vode račune da primaju naloge za iniciranje plaćanja, kao i mogućnosti pružalaca platnih usluga koji vode račune da dostave informacije koje se zahtevaju u skladu sa odredbama Zakona i tačkom 38. stav 1. odredba pod 2) ove odluke;
5) mogućnosti pružalaca usluge pružanja informacija o računu da šalju i pružalaca platnih usluga koji vode račune da primaju zahteve za pristup podacima o računu za plaćanje, kao i mogućnosti pružalaca platnih usluga koji vode račune da dostave informacije koje se zahtevaju u skladu sa tačkom 38. stav 1. odredba pod 1) ove odluke;
6) mogućnosti pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice i pružalaca usluge iniciranja plaćanja da šalju i pružalaca platnih usluge koji vode račune da primaju zahteve od pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice i pružalaca usluge iniciranja plaćanja, kao i mogućnosti pružaoca platnih usluga koji vodi račune da u "da" ili "ne" formatu šalje potvrdu pružaocima platnih usluga koji izdaju platni instrument na osnovu platne kartice i pružaocima usluge iniciranja plaćanja, u skladu sa tačkom 38. stav 1. odredba pod 3) ove odluke; i
7) mogućnosti pružalaca usluge iniciranja plaćanja i pružalaca usluge informacija o računu da se oslone na sve procedure za autentifikaciju korisnika koje pružalac platnih usluga koji vodi račune stavlja na raspolaganje svojim korisnicima.
Pružalac platnih usluga koji vodi račune dostavlja Narodnoj banci Srbije rezime rezultata testiranja iz tačke 32. stav 10. ove odluke, za svaki element koji je potrebno testirati u skladu sa stavom 5. odredbe pod 1) do 7) ove tačke, uključujući informaciju o broju pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice koji su koristili testno okruženje, povratne informacije koje je pružalac platnih usluga koji vodi račune primio od tih pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice, podatke o identifikovanim problemima uz opis načina postupanja u vezi sa tim problemima.
Pri proceni ispunjenosti uslova iz tačke 35. stav 8. odredba pod 2) ove odluke mogu se uzeti u obzir i svi problemi povezani sa stavom 5. ove tačke koje su pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice prijavili Narodnoj banci Srbije.
Zahtevi u vezi sa obimom korišćenja interfejsa
6. Radi utvrđivanja ispunjenosti uslova iz tačke 35. stav 8. odredba pod 3) ove odluke, pružalac platnih usluga koji vodi račune dostavlja Narodnoj banci Srbije:
1) opis upotrebe pristupnog interfejsa u periodu definisanom u tački 35. stav 8. odredba pod 3) ove odluke uključujući, ali ne ograničavajući se na:
- informaciju o broju pružalaca usluge iniciranja plaćanja, pružalaca usluge pružanja informacija o računu i pružalaca platnih usluga koji izdaju platni instrument na osnovu platne kartice koji su koristili interfejs radi pružanja usluge korisnicima; i
- informaciju o broju zahteva koje su ti pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice poslali pružaocu platnih usluga koji vodi račune preko pristupnog interfejsa, a na koje je pružalac platnih usluga koji vodi račune odgovorio;
2) dokaze da je pružalac platnih usluga koji vodi račune uložio razumne napore da obezbedi dostupnost pristupnog interfejsa, uključujući slanje obaveštenja o njegovoj dostupnosti putem odgovarajućih kanala koji, ako je relevantno, uključuju internet stranicu pružaoca platnih usluga koji vodi račune, društvene mreže, strukovna udruženja trgovaca (prema sektorima), saradnju sa učesnicima na tržištu.
Prilikom procene ispunjenosti uslova iz tačke 35. stav 8. odredba pod 3) ove odluke, mogu se uzeti u obzir i informacije koje su Narodnoj banci Srbije dostavljene saglasno tač. 6. i 7. ovog priloga.
Period od tri meseca iz tačke 35. stav 8. odredba pod 3) ove odluke može da uključi i vreme u kojem se vrši testiranje iz tačke 32. stav 10. ove odluke.
Zahtevi u vezi sa rešavanjem problema
7. Radi utvrđivanja ispunjenosti uslova iz tačke 34. stav 1. ove odluke pružalac platnih usluga koji vodi račune Narodnoj banci Srbije dostavlja:
1) informacije o uspostavljenim sistemima ili procedurama za praćenje i rešavanje problema, a naročito problema koje su prijavili pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice; i
2) objašnjenje problema, koji nisu rešeni u skladu sa ciljnim nivoom usluga iz tačke 2. stav 1. ovog priloga, a naročito problema koje su prijavili pružaoci usluge iniciranja plaćanja, pružaoci usluge pružanja informacija o računu i pružaoci platnih usluga koji izdaju platni instrument na osnovu platne kartice.
Zahtevi u vezi s namenskim interfejsom
8. Narodna banka Srbije obezbeđuje tehničku dokumentaciju u vezi s namenskim interfejsom iz tačke 32. stav 4. ove odluke, koju pružaoci platnih usluga koji vode račune stavljaju na raspolaganje pružaocima platnih usluga iz tačke 32. stav 1. ove odluke radi pružanja platnih usluga njihovim korisnicima platnih usluga.