Obligațiile referitoare la respectarea confidențialității datelor sensibile privind plățile sunt conținute în Directiva (UE) 2015/2366. Aceasta se află în proces de transpunere în România, proiectul de lege relevant fiind recent adoptat tacit de Senat. Pentru a se aplica însă, acesta trebuie să treacă și de Camera Deputaților.
În concret, firmele care oferă servicii de plată vor trebui să acorde o atenție deosebită datelor financiare legate de plăți ale persoanelor și care pot fi folosite în scop de fraudare. Deocamdată, îndatoririle legate de protecția și confidențialitatea unor astfel de date nu se aplică, însă s-ar putea să nu mai treacă mult timp până la transpunerea directivei în dreptul intern. Puteți citi mai multe despre aceste chestiuni și despre ideea de date sensibile privind plățile, aici.
Pentru a facilita înțelegerea și respectarea noului cadru legislativ, Autoritatea Bancară Europeană a pregătit un raport referitor la modalitatățile concrete de implementare a măsurilor de protecție și de garantare a confidențialității datelor sensibile (raportul conține, însă, și alte elemente legate de securitatea plăților pe internet). Conform Autorității Bancare Europene:
1. Măsurile de securitate sunt esențiale. Totul pornește de la mijloace sigure de autentificare: directiva însăși prevede o serie de măsuri de autentificare care să garanteze securitatea datelor sensibile privind plățile. E vorba, în esență, de mijloace de autentificare ce ar conține cel puțin două din următoarele trei elemente: elemente care țin de cunoștințele și informațiile deținute de clienți (precum parole sau PIN-uri); elemente ce țin de ce posedă clientul (de exemplu, telefonul sau un token); și elemente ce țin de persoana clientului (recunoaștere facială sau amprente). Puteți citi mai multe despre acestea, aici.
2. Respectarea constantă a principiului minimizării prelucrării datelor: la fel ca în cazul datelor prevăzute de Regulamentul general privind protecția datelor (GDPR), și datele la care se referă Directiva 2015/1366 trebuie prelucrate cât mai puțin posibil, nedepășind ceea ce este, cu adevărat, necesar.
3. În același context al măsurilor de securitate, este foarte importantă existența unei infrastructuri care să garanteze protecția datelor sensibile privind plățile: scopul acesteia este de a restrânge accesul la date precum cele menționate mai sus și de a permite urmărirea lor, constant. De asemenea, este recomandat să existe rețele, baze de date, module de securitate, precum și o evidență a activităților desfășurate cu privire la datele în cauză.
4. Nu este suficient că măsurile interne ale firmelor care oferă servicii de plată să fie eficiente: atunci când o entitate oferă servicii de plată, ea trebuie să se asigure că și canalele de comunicație beneficiază de securitate adecvată. De aceea, se recomandă folosirea de sisteme de criptare. În special în cazurile când informația privind datele sensibile referitoare la plăți circulă pe internet, este necesară folosirea de astfel de sisteme de criptare.
5. Stabilirea clară a rolurilor și a responsabilităților, în cadrul politicii de securitate: în acest context, este relevantă stabilirea rolurilor cu privire la gestionarea riscului (stabilirea acestuia, precum și controlul și diminuarea riscului).
6. Trebuie să existe cooperare între diversele entități implicate într-un proces de procesare a plăților: mai exact, firmele care oferă servicii de plată trebuie să urmărească să obțină cooperare din partea firmelor care fac comerț online și care sunt implicate în activitatea de procesare a plății. Cooperarea trebuie încurajată și din perspectiva firmelor care fac comerț online, în privința comunicării acestora cu autoritățile. Acest lucru este relevant, în special, când apar incidente de securitate.
7. În privința celor care fac comerț online, firmele care oferă servicii de plată trebuie să se asigure că primii au implementat măsuri de securitate care să garanteze protecția datelor sensibile privind plățile: soluția e ca firmele care oferă servicii de plată să introducă astfel de cerințe în contractele încheiate cu comercianții și, dacă cei din urmă, nu se conformează, primele să ia măsurile relevante în scopul conformării. Dacă, nici așa, nu există conformare, ar urma o reziliere a contractului. În plus, este recomandat ca firmele care oferă servicii de plată să încurajeze comercianții să nu stocheze date sensibile privind plățile.
8. Informările clienților cu privire la plățile făcute, în special cele prin SMS, email sau scrisori, să fie făcute cu respectarea unor garanții privind datele sensibile referitoare la plăți: este recomandat ca, în cazul mijloacelor de comunicații precum cele enumerate mai sus, datele sensibile să nu fie incluse sau să fie mascate.
Atenție! Obligațiile referitoare la datele sensibile privind plățile nu se aplică, deocamdată. Pentru aceasta, e nevoie ca legea de transpunere a Directivei 2015/1366 să fie adoptată de Parlament, promulgată de președintele României și publicată în Monitorul Oficial. Acest lucru s-ar putea să se întâmple în viitorul apropiat. Proiectul tocmai a trecut de Senat, urmând să ajungă la Camera Deputaților, pentru a fi adoptat și trimis spre promulgare.