Αυστηρά πρότυπα για την ασφάλεια των πληρωμών

Να διασφαλίσει -στον βαθμό που είναι εφικτό- τα συστήματα πληρωμών από ενδεχόμενο κίνδυνο επιχειρεί η Ευρωπαϊκή Αρχή Τραπεζών (EBA), διαβλέποντας πέραν πάσης αμφιβολίας πως η διασυνδεσιμότητα καθιστά τράπεζες και χρηματοοικονομικές υπηρεσίες εξαιρετικά ευάλωτες. 

Οι ελληνικές τράπεζες -που τώρα εμφανίζονται απολύτως θωρακισμένες- κατά το πρόσφατο παρελθόν αντιμετώπιζαν σοβαρό πρόβλημα στο πλαίσιο εξαγορών και συγχωνεύσεων. και με δεδομένο πως τα πληροφοριακά τους συστήματα δεν «χτίζονταν» από την αρχή. Οι ελληνικές τράπεζες, στην παρούσα φάση, αναβαθμίζουν διαρκώς τα συστήματα πληρωμών τους, όμως με βάση την παραπάνω διαβούλευση θα πρέπει να ακολουθήσουν ακόμη αυστηρότερα πρότυπα.

Η EΒΑ δημοσίευσε τις τελικές οδηγίες για τη διαχείριση κινδύνου στα συστήματα τεχνολογίας πληροφοριών και επικοινωνιών ICT.

Οι οδηγίες αυτές θεσμοθετούν απαιτήσεις για τους πιστωτικούς οργανισμούς, τις επενδυτικές εταιρείες και τους παρόχους υπηρεσιών πληρωμών όσον αφορά τη διαχείριση κινδύνων από το ICT και όσον αφορά την ασφάλεια με στόχο να υπάρχει μια συνεπής και ισχυρή προσέγγιση. 

Κατευθυντήριες γραμμές

Η αυξανόμενη ψηφιοποίηση του χρηματοοικονομικού τομέα και η αυξανόμενη διασυνδεσιμότητα μεταξύ των χρηματοοικονομικών οργανισμών και των τρίτων μερών καθιστούν τις εργασίες των χρηματοοικονομικών οργανισμών ευάλωτες σε εσωτερικούς και εξωτερικούς κινδύνους που συνδέονται με την ασφάλεια και με το ICT, οι οποίοι εν δυνάμει θα μπορούσαν να δημιουργήσουν προβλήματα ακόμη και στη βιωσιμότητα των εργασιών των πιστωτικών ιδρυμάτων.

Αυτό έχει ως αποτέλεσμα μια ισχυρή διαχείριση των κινδύνων και των θεμάτων ασφαλείας για το ICT να αποτελεί το κλειδί για να επιτύχουν οι χρηματοοικονομικοί οργανισμοί τους στρατηγικούς εταιρικούς και λειτουργικούς τους στόχους, αλλά και να διατηρήσουν τη φήμη τους.

Οι κατευθυντήριες γραμμές θέτουν επίσης τις προσδοκίες για το πώς όλοι οι χρηματοοικονομικοί οργανισμοί θα πρέπει να διαχειρίζονται τους εσωτερικούς και εξωτερικούς κινδύνους για την ασφάλεια και το ICT στους οποίους μπορεί να είναι εκτεθειμένοι.

Στο πλαίσιο αυτό, οι οδηγίες της ΕΒΑ παρέχουν στους χρηματοοικονομικούς οργανισμούς καλύτερη κατανόηση του τι περιμένουν οι εποπτικές αρχές όσον αφορά το management των προαναφερόμενων κινδύνων, καθώς καλύπτουν τις απαιτήσεις ισχυρής εσωτερικής διακυβέρνησης και ασφάλειας πληροφοριών, τις εργασίες ICT.

Επίσης καλύπτουν τη διαχείριση στις σχέσεις μεταξύ των PSP, δηλαδή των παρόχων υπηρεσιών πληρωμών με τους χρήστες των υπηρεσιών πληρωμών προκειμένου να διασφαλίσουν πως οι χρήστες είναι ενήμεροι για τους κινδύνους ασφάλειας που συνδέονται με τις υπηρεσίες πληρωμής και ότι οι χρήστες έχουν στη διάθεσή τους τα εργαλεία για να απενεργοποιήσουν ειδικές λειτουργίες πληρωμής και να παρακολουθούν τις συναλλαγές πληρωμών. Οι οδηγίες της ΕΒΑ απευθύνονται σε πιστωτικούς οργανισμούς και επενδυτικές εταιρείες, όπως αυτοί προσδιορίζονται στην οδηγία κεφαλαιακών απαιτήσεων CRD (Capital Requirements Directive) για όλες τους τις δραστηριότητες και στους παρόχους υπηρεσιών πληρωμών που είναι υποκείμενοι στην αρμοδιότητα της αναθεωρημένης οδηγίας για τις υπηρεσίες πληρωμής.