Ustawa o usługach płatniczych

1.

Dostawca, w ramach systemu zarządzania ryzykiem, podejmuje środki ograniczające ryzyko oraz wprowadza mechanizmy kontroli służące zarządzaniu ryzykiem operacyjnym oraz ryzykiem naruszenia bezpieczeństwa w zakresie świadczenia usług płatniczych, w szczególności przez:

2.

Dostawca, o którym mowa w art. 4 dostawca usług płatniczych ust. 2 pkt 1–4, 6, 9, 11 i 12, corocznie, w terminie do dnia 31 stycznia roku następnego, przekazuje KNF lub innemu właściwemu organowi nadzoru roczną informację o ocenie i aktualizacji procedur w zakresie zarządzania ryzykiem operacyjnym i ryzykiem naruszenia bezpieczeństwa, a także ocenie środków ograniczających ryzyko oraz mechanizmów kontroli, o których mowa w ust. 1 pkt 2.

1.

Dostawca przekazuje niezwłocznie KNF lub innemu właściwemu organowi nadzoru informację o poważnym incydencie operacyjnym lub incydencie związanym z bezpieczeństwem, w tym o charakterze teleinformatycznym.

2.

Jeżeli incydent, o którym mowa w ust. 1, ma lub może mieć wpływ na interesy finansowe użytkowników, dostawca bez zbędnej zwłoki powiadamia o incydencie użytkowników korzystających z usług tego dostawcy oraz informuje ich o dostępnych środkach, które mogą podjąć w celu ograniczenia negatywnych skutków incydentu.

3.

Informację, o której mowa w ust. 1, KNF lub inny właściwy organ nadzoru przekazują niezwłocznie EUNB i EBC, a jeżeli incydent ma znaczenie dla organu nadzoru innego państwa członkowskiego – także temu organowi.

4.

Jeżeli KNF lub inny właściwy organ nadzoru otrzyma od EUNB lub EBC informację o incydencie, który ma znaczenie dla krajowego rynku finansowego, niezwłocznie podejmuje niezbędne działania w celu ochrony bezpieczeństwa systemu finansowego.

1.

Dostawca, o którym mowa w art. 4 dostawca usług płatniczych ust. 2 pkt 1–4, 6, 9, 11 i 12, w okresach półrocznych, w terminie do końca miesiąca następującego po danym półroczu, przekazuje KNF lub innemu właściwemu organowi nadzoru nad tym dostawcą dane dotyczące oszustw związanych z wykonywanymi usługami płatniczymi, uwzględniając różne sposoby świadczenia usług płatniczych.

2.

Na podstawie danych otrzymanych zgodnie z ust. 1, KNF oraz inny właściwy organ nadzoru, w terminie do dnia 30 czerwca danego roku, przekazują EUNB i EBC zbiorcze dane dotyczące oszustw związanych z wykonywanymi usługami płatniczymi, uwzględniając różne sposoby świadczenia usług płatniczych.

1.

Dostawca stosuje silne uwierzytelnianie użytkownika, w przypadku gdy płatnik:

2.

Jeżeli płatnik inicjuje elektroniczną transakcję płatniczą z wykorzystaniem połączenia z siecią Internet lub za pośrednictwem środków, które mogą być wykorzystywane do porozumiewania się na odległość, dostawca stosuje silne uwierzytelnianie użytkownika obejmujące elementy, które dynamicznie łączą transakcję płatniczą z określoną kwotą transakcji oraz określonym odbiorcą.

3.

Dostawca stosuje odpowiednie środki bezpieczeństwa w celu ochrony poufności i integralności indywidualnych danych uwierzytelniających.

4.

Przepisy ust. 2 i 3 mają również zastosowanie, w przypadku gdy płatności są inicjowane za pośrednictwem dostawcy świadczącego usługę inicjowania transakcji płatniczej.

5.

Przepisy ust. 1 i 3 mają również zastosowanie, w przypadku gdy dostawca świadczący usługę dostępu do informacji o rachunku występuje do dostawcy prowadzącego rachunek o podanie informacji o tym rachunku.

6.

Dostawca prowadzący rachunek umożliwia dostawcy świadczącemu usługę inicjowania transakcji płatniczej i dostawcy świadczącemu usługę dostępu do informacji o rachunku świadczenie usług w oparciu o uwierzytelnianie stosowane w relacji między użytkownikiem a dostawcą prowadzącym rachunek zgodnie z ust. 1 i 3, a w przypadku gdy jest zaangażowany dostawca świadczący usługę inicjowania transakcji płatniczej – zgodnie z ust. 1–3.