Zgodność

Osiągnięcie zgodności w środowiskach ściśle uregulowanych określonymi przepisami

Wybrane prawa, przepisy, standardy i ramy prawne

Cyberbezpieczeństwo i silne uwierzytelnianie

Obie Ameryki

NYDFS: Wymogi w zakresie bezpieczeństwa cybernetycznego dla przedsiębiorstw świadczących usługi finansowe

NYDFS reguluje działalność około 1,5 tys. banków i instytucji finansowych. Są to zarówno instytucje amerykańskie, jak i wiele instytucji międzynarodowych działających w Nowym Jorku.

 

Wymogi w zakresie bezpieczeństwa cybernetycznego dla przedsiębiorstw świadczących usługi finansowe składają się z 22 przepisów, które wymagają od organizacji usług finansowych lepszej ochrony danych. Instytucje finansowe muszą wdrażać skuteczne mechanizmy kontroli w celu zapobiegania nieupoważnionemu dostępowi do systemów informatycznych lub informacji niepublicznych poprzez ocenę ryzyka, a środki, za pomocą których mogą one to robić, obejmują uwierzytelnianie wieloczynnikowe, uwierzytelnianie biometryczne , lub uwierzytelnianie oparte na ryzyku.

 

Dowiedz się więcej na tym blogu: Wymagania NYDFS dotyczące cyberbezpieczeństwa dla firm świadczących usługi finansowe

 

 

EMEA

PSD2: Dyrektywa w sprawie usług płatniczych 2

Instytucje finansowe muszą zastosować się do tych wymogów do września 2019 r. Instytucje finansowe muszą zastosować się do tych wymogów do września 2019 r. Jednak konkretni dostawcy usług płatniczych (PSP) mogą kwalifikować się do wyjątkowego przedłużenia w kontekście płatności kartą w handlu elektronicznym zgodnie z niedawna opinia EUNB .

 

Zawierają one pięć kryteriów zgodności:

 

  • Silne uwierzytelnianie: Uwierzytelnienie powinno opierać się na dwóch lub więcej czynnikach, w tym na hasłach lub PIN-ie, tokenach, urządzeniach mobilnych, lub danych biometrycznych.

 

  • Analiza ryzyka transakcji: Upoważnia do wykorzystywania analizy ryzyka przy transakcjach w celu powstrzymania płatności dokonywanych w sposób nieuczciwy.

 

  • Ochrona przed klonowaniem: Dyrektywa PSD2 nakazuje stosowanie w aplikacjach dedykowanych środków zaradczych w zakresie klonowania aplikacji mobilnych.

 

  • Dynamiczne łączenie: W przypadku transakcji płatniczych kod uwierzytelniający powinien być dynamicznie powiązany zarówno z kwotą, jak i odbiorcą płatności.

 

  • Elementy niezależne: Dostawcy usług płatniczych powinni przyjąć środki bezpieczeństwa w celu ograniczenia ryzyka związanego z narażonymi na niebezpieczeństwo urządzeniami przenośnymi.

Europejskie ramy certyfikacji cyberbezpieczeństwa

Nowe Unijne Ramy Certyfikacji Bezpieczeństwa Cybernetycznego, zaproponowane pierwotnie w 2017 r., zostały opracowane w celu poprawy bezpieczeństwa cybernetycznego usług internetowych oraz urządzeń konsumenckich, w tym urządzeń IoT. Po formalnym zatwierdzeniu przez Parlament Europejski, zostaną one opublikowane w Dzienniku Urzędowym Unii Europejskiej i niezwłocznie wejdą oficjalnie w życie. Więcej informacji można znaleźć w oficjalnym komunikacie prasowym.

Saudyjski urząd ds. monetarnych (SAMA)

Aby zwiększyć odporność na zagrożenia cybernetyczne, w maju 2017 r. Saudyjski Urząd ds. Monetarnych (SAMA) wprowadził Ramy Bezpieczeństwa Cybernetycznego SAMA. Takie działania podążają za globalnym trendem, w ramach którego organy regulacyjne sektora rządowego i bankowego na całym świecie wprowadzają standardy i wytyczne dotyczące bezpieczeństwa cybernetycznego.

 

Cztery kluczowe aspekty ram obejmują:

 

  • Zarządzanie tożsamością i dostępem
  • Bezpieczny kanał komunikacji dla bankowości internetowej i mobilnej
  • Osłanianie aplikacji mobilnych
  • Wykrywanie i zapobieganie oszustwom

Dowiedz się więcej na tym blogu: Zgodność z SAMA Cyber Security Framework

 

Turcja: rozporządzenie w sprawie systemów informatycznych banków i usług bankowości elektronicznej

15 marca 2020 r.Turecka Agencja Regulacji i Nadzoru Bankowego opublikowała rozporządzenie w sprawie systemów informatycznych banków i usług bankowości elektronicznej.
Regulacja weszła w życie 1 lipca 2020 r. I ma znaczący wpływ na banki, firmy audytorskie, firmy technologiczne oferujące bankom usługi outsourcingowe oraz firmy oferujące otwarte rozwiązania bankowe.

 

Rozporządzenie dotyczy:

 

  • Tworzenie i zarządzanie systemami informatycznymi banków
  • Bezpieczeństwo informacyjne banków
  • Usługi bankowości elektronicznej

Dowiedz się, jaki wpływ ma SMS-OTP, 2FA, bezpieczeństwo aplikacji mobilnych, bezpieczeństwo transakcji i nie tylko: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey

Region azji i pacyfiku

SINGAPUR Wytyczne dotyczące zarządzania ryzykiem technologicznym (TRM) oraz zarządzania ciągłością działania (BCM)

Urząd ds. Monetarnych Singapuru (MAS) wydał Wytyczne dotyczące Zarządzania Ryzykiem Technologicznym (TRM) oraz Zarządzania Ciągłością Działania (BCM)

 

Wytyczne TRM określają kierunki w zakresie bezpieczeństwa opracowywania oprogramowania, nadzoru cybernetycznego, symulacji ataków cybernetycznych oraz zarządzania ryzykiem cybernetycznym stwarzanym przez koncepcję Internetu rzeczy. Zawierają one również sekcję dotyczącą „Bezpieczeństwa usług finansowych online”, która obejmuje następujące zagadnienia:

 

  • Art. 14.1.7 Urządzenia mobilne, które mają zainstalowany profil ze zmienionymi uprawnieniami lub usunięte zabezpieczenia producenta powinny być blokowane przed dostępem do aplikacji mobilnych instytucji finansowych przy przeprowadzaniu transakcji finansowych, ponieważ urządzenia takie są bardziej podatne na złośliwe oprogramowanie i luki w zabezpieczeniach

  • Art. 14.2.1 „Uwierzytelnianie wieloczynnikowe powinno być stosowane przy logowaniu do usług finansowych online w celu zabezpieczenia procesu uwierzytelniania klienta.”

  • Art. 14.2.4 „Instytucje finansowe mogą stosować podejście oparte na ryzyku i wdrażać odpowiednie uwierzytelnianie, oparte na ryzyku lub adaptacyjne, które przedstawia klientom opcje uwierzytelniania, które są współmierne do poziomu ryzyka transakcji oraz poufności informacji.”

  • Art. 14.2.8 „W przypadku gdy token programowy jest wykorzystywany w procesie uwierzytelniania klienta, należy wdrożyć odpowiednie środki, takie jak weryfikacja tożsamości klienta, wykrywanie i blokowanie urządzeń, które mają zainstalowany profil ze zmienionymi uprawnieniami lub usunięte zabezpieczenia producenta, a także funkcję łączenia urządzeń w procesie dostarczania tokena programowego.”

  • Art. 14.3.1 „Instytucje finansowe powinny wdrażać systemy monitorowania lub nadzoru oszustw w czasie rzeczywistym w celu identyfikacji oraz blokowania podejrzanych lub nieuczciwych transakcji internetowych.”

Światowy

PCI DSS 3.2

Standard bezpieczeństwa danych w sektorze kart płatniczych

 

PCI DSS 3.2 to standard bezpieczeństwa informacji dla organizacji, które obsługują markowe karty kredytowe głównych marek kart. Został on wprowadzony aby przeciwdziałać zagrożeniom dla bezpieczeństwa informacji dotyczących płatności klientów. Wszystkie podmioty zaangażowane w przetwarzanie kart płatniczych muszą spełniać wymogi PCI DSS, w tym nabywcy, emitenci, handlowcy, podmioty przetwarzające i dostawcy usług. Dotyczy to również wszystkich innych podmiotów, które przechowują, przetwarzają lub przekazują dane posiadacza karty.

 

Wymóg 8.3, który stał się obowiązkowy w 2018 r., wymaga od organizacji wprowadzenia wieloczynnikowego uwierzytelniania dla wszystkich zdalnych przypadków dostępu do środowiska danych posiadacza karty, jak również zdalnego dostępu do sieci pochodzącego spoza sieci podmiotu.

 

Program bezpieczeństwa klienta swift csp

Aby dostosować się do zmieniającego się środowiska zagrożeń i wyprzedzić cyberprzestępców, SWIFT wprowadziło specjalne Ramy Kontroli Bezpieczeństwa (SWIFT Security Controls Framework) oraz Customer Security Programme (CSP). Więcej informacji na temat tego, jak SWIFT pomaga zapewnić bezpieczeństwo i integralność systemów, które łączą się z siecią SWIFT, można znaleźć na tym blogu

 

Prywatność i ochrona danych osobowych

Obie ameryki

Ustawa gramm-leach-bliley: zasady bezpieczeństwa i ochrony prywatności

Amerykańska Federalna Komisja Handlu (FTC) ogłosiła w marcu 2019 r. swoje plany wprowadzenia zmian do przepisów dotyczących zasad bezpieczeństwa i ochrony prywatności w ramach ustawy Gramm-Leach-Bliley. Obejmują one:

 

  • Zasada bezpieczeństwa:
    Obowiązująca od 2003 r. zasada bezpieczeństwa zobowiązuje instytucje finansowe do wprowadzenia środków mających na celu zapewnienie bezpieczeństwa informacji o klientach. Instytucje są również odpowiedzialne za zapewnienie, aby ich podmioty stowarzyszone i usługodawcy zabezpieczały informacje o klientach. (Najlepszą praktyką do osiągnięcia tego celu jest wdrożenie wieloczynnikowego uwierzytelniania.)

 

  • Zasada ochrony prywatności:
    Od 2000 r. zasada ochrony prywatności wymaga, aby instytucja finansowa informowała klientów o swoich praktykach w zakresie przekazywania informacji i umożliwiała im rezygnację z udostępniania swoich informacji określonym osobom trzecim.

 

Zasada o ochronie danych osobowych HIPAA

Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych z 1996 roku (HIPAA) Zasada o ochronie danych osobowych określa standardy i wytyczne dotyczące odpowiedniej ochrony dokumentacji medycznej pacjenta i jego osobistych informacji zdrowotnych. Ma ona zastosowanie do planów zdrowotnych, izb rozrachunkowych opieki zdrowotnej oraz podmiotów świadczących usługi zdrowotne, które prowadzą wybrane transakcje drogą elektroniczną.

 

Nasze rozwiązanie w zakresie podpisu elektronicznego – usługa OneSpan Sign, ułatwia spełnienie wszystkich wymogów HIPAA, jako że mają one zastosowanie do partnerów biznesowych.

Kalifornijska ustawa o ochronie prywatności konsumentów

Kalifornijska ustawa o ochronie prywatności konsumentów jest wzorowana na ustawie RODO i ma na celu ochronę danych Kalifornijczyków. Obejmuje ona wiele aspektów podobnych do RODO, w tym:

 

  • Wymogi dotyczące rozszerzonej zgody
  • Prawo do dostępu
  • Prawo do bycia zapomnianym

 

Ponadto wiele stanów w USA jest w trakcie uchwalania przepisów wzorowanych przynajmniej częściowo na kalifornijskiej ustawie o ochronie prywatności konsumentów.
 

USA: Ustawy o ochronie danych osobowych w ubezpieczeniach stanowych


Kilka stanów USA przyjęło ustawodawstwo mające na celu egzekwowanie wymogów uwierzytelniania wieloczynnikowego (MFA) w odniesieniu do każdej osoby mającej dostęp do „informacji niepublicznych”, w tym prywatnych informacji dotyczących ubezpieczenia.

 

  • Karolina Południowa Ustawa nr 171  została wprowadzona w życie z dniem 1 stycznia 2019 r., nakładając na licencjobiorców z Karoliny Południowej obowiązek wdrożenia programu bezpieczeństwa informacji do dnia 1 lipca 2019 r. Do dnia 1 lipca 2020 r. muszą oni również spełnić wymogi należytej staranności wobec usługodawców będących osobami trzecimi.

 

  • Michigan: Ustawa House Bill 6491  wejdzie w życie 20 stycznia 2021 r., zobowiązując licencjobiorców z Michigan do wdrożenia programu bezpieczeństwa informacji do dnia 20 stycznia 2022 r. Do 20 stycznia 2023 r. muszą oni również spełnić wymogi należytej staranności wobec usługodawców będących osobami trzecimi.

 

  • Ohio: Ustawa Senate Bill 273  została wprowadzona w życie 20 marca 2019 r. i ma zastosowanie do wszystkich ubezpieczycieli w Ohio. Przewiduje ona środki bezpieczeństwa, które muszą zostać wprowadzone w życie do 20 marca następnego roku.

 

  • Mississippi: Ustawa Senate Bill 2831  weszła w życie 1 lipca 2019 roku. Licencjobiorcy są zobowiązani do wprowadzenia uwierzytelniania wieloczynnikowego do dnia 1 lipca 2020 r. Ponadto do dnia 1 lipca 2021 r. muszą oni również spełnić wymogi należytej staranności wobec usługodawców będących osobami trzecimi.

Kanada Ustawa o ochronie danych osobowych i dokumentach elektronicznych (PIPEDA)

PIPEDA jest federalnym rozporządzeniem regulującym wymogi bezpieczeństwa w zakresie gromadzenia, wykorzystywania i ujawniania danych osobowych w Kanadzie. Odnosi się zarówno do organizacji rządowych, jak i prywatnych, które zbierają, wykorzystują i ujawniają dane osobowe w ramach prowadzenia działalności gospodarczej, takich jak instytucje finansowe.

EMEA

UE: Ogólne rozporządzenie o ochronie danych (RODO)

Ogólne rozporządzenie Parlamentu Europejskiego o ochronie danych osobowych (RODO) ma zastosowanie do ochrony danych osobowych dotyczących wszystkich obywateli UE. Rozporządzenie to odnosi się do każdej firmy, która przetwarza lub gromadzi dane osobowe od obywatela UE, niezależnie od tego, czy firma ta ma siedzibę w UE lub w innym kraju na całym świecie.

 

RODO określa siedem kluczowych zasad:

 

  • Zgodność z prawem, rzetelność i przejrzystość
  • Ograniczenie celu
  • Minimalizacja danych
  • Poprawność
  • Ograniczenie przechowywania
  • Uczciwość i poufność (bezpieczeństwo)
  • Poczucie obowiązku

 

Pod Artykuł 32 firmy uważane za administratorów lub procesorów danych osobowych są zobowiązane do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających poziom bezpieczeństwa adekwatny do ryzyka. ” ENISA, Agencja Unii Europejskiej ds.Bezpieczeństwa Sieci i Informacji, doradza państwom członkowskim i organizacjom sektora prywatnego w zakresie wdrażania prawodawstwa UE i jako taka udziela wskazówek, jak podjąć odpowiednie środki w celu zapewnienia zgodności z RODO.

 

  • Kontrola dostępu i uwierzytelnianie: ENISA poleca wdrożenie uwierzytelniania dwuskładnikowego w przypadkach wysokiego ryzyka oraz w niektórych przypadkach o średnim wpływie, jak następuje: „W celu uzyskania dostępu do systemów przetwarzających dane osobowe najlepiej jest stosować uwierzytelnianie dwuskładnikowe. Czynnikami uwierzytelniającymi mogą być hasła, tokeny zabezpieczające, pamięci USB z tajnym tokenem, dane biometryczne itp.”

 

  • Urządzenia mobilne: ENISA zaleca, aby zachować szczególną ostrożność w celu zapewnienia, że dane dotyczące działalności gospodarczej nie zostaną narażone na żadne ryzyko. W związku z tym ich wytyczne stanowią, że „przy uzyskiwaniu dostępu do urządzeń przenośnych należy uwzględnić uwierzytelnianie dwupoziomowe, a dane osobowe przechowywane na urządzeniu przenośnym powinny być szyfrowane.”
     
  • Rozwój aplikacji: ENISA zaleca zapewnienie, że bezpieczeństwo danych osobowych jest brane pod uwagę. W trakcie cyklu rozwojowego obejmuje to „przestrzeganie najlepszych praktyk, aktualnego stanu wiedzy i uznanie bezpiecznych praktyk rozwojowych, ram lub standardów”, nawet w przypadkach niskiego ryzyka. Learn more about two factor authentication w tym blogu.

 

Ponadto, żadne dane osobowe nie mogą być przetwarzane bez podstawy prawnej. Jedną z tych podstaw stanowi „zgoda”. Każda organizacja oceniająca swoją politykę i mechanizmy udzielania zgody na stosowanie się do RODO może rozważyć wykorzystanie podpisów elektronicznych – zwłaszcza w przypadku przetwarzania poufnych danych osobowych, takich jak osobiste informacje finansowe lub dokumentacja medyczna. Podpisy elektroniczne są bezpiecznym, dającym się kontrolować i łatwym w użyciu rozwiązaniem, które pomaga we wdrażaniu środków technicznych i organizacyjnych zgodnie z wytycznymi RODO. Technologia ta jest dla administratorów danych odpowiednią metodą uzyskiwania zgody, spełniania wymogu „opt-in” oraz wykazywania szczegółów dotyczących sposobu uzyskania zgody, w tym tego, na co, kiedy i przez kogo wyrażono zgodę. Dowiedz się więcej na temat uzyskiwania zgody klientów w tym blogu.

Ameryka Południowa

Chile Ustawa nr 19.628 o ochronie życia prywatnego lub ustawa o ochronie danych osobowych

Ustawa ta określa wymogi dotyczące przetwarzania danych osobowych zarówno w publicznych, jak i prywatnych bazach danych.

Brazylia: Lei Geral de Proteção de Dados (LGPD)

Lei Geral de Proteção de Dados (LGPD) wchodzi w życie w sierpniu 2020 roku. Rozporządzenie zawiera niektóre z przepisów dotyczących RODO w Europie. Stosuje ona jednak również dodatkowe obowiązki w zakresie zgodności z przepisami w odniesieniu do organizacji, które przetwarzają dane lub oferują usługi osobom fizycznym w Brazylii. Przedsiębiorstwa są zobowiązane do uzyskania wyraźnej zgody osoby fizycznej przed przystąpieniem do gromadzenia danych. Osoba fizyczna musi być dokładnie poinformowana o tym, jakie dane są gromadzone, jaki jest powód ich gromadzenia oraz jak długo będą one przechowywane. Ponadto, w momencie gdy przedsiębiorstwo nie potrzebuje już nabytych danych, należy je zniszczyć.

Region azji i pacyfiku

Tajlandia Ustawa o ochronie danych osobowych B.E. 2562 (2019) (PDPA)

Zatwierdzona w maju 2019 r. i mająca wejść w życie w 2020 r., ustawa PDPA definiuje dane osobowe jako wszelkie informacje, które mogą być wykorzystane do identyfikacji osoby fizycznej. Ta szeroka definicja ma zastosowanie do wszelkich danych należących do klientów, pracowników i firm, do których gromadzenia i wykorzystania PDPA stosuje istotne ograniczenia.

 

Ponadto PDPA przewiduje prawa podmiotu danych osobowych podobne do RODO, takie jak prawo dostępu, prawo do usunięcia danych, prawo do sprzeciwu i prawo do przenoszenia danych.
 

Podpis elektroniczny

Obie ameryki

ESIGN & UETA

W USA, prawo federalne i stanowe nadaje podpisom elektronicznym taki sam status prawny jak podpisom odręcznym. Ustawa o podpisach elektronicznych w handlu globalnym i krajowym (ESIGN) zapewnia prawne uznanie podpisów elektronicznych i rejestrów w celu spełnienia wymogów prawnych „na piśmie” w odniesieniu do transakcji, w tym ujawniania informacji, i zezwala organizacjom na spełnienie ustawowych wymogów dotyczących przechowywania rejestrów wyłącznie poprzez wykorzystanie rejestrów elektronicznych. ESIGN wymaga zgody danej osoby na prowadzenie działalności gospodarczej drogą elektroniczną.

 

Na szczeblu państwowym czterdzieści siedem stanów, Dystrykt Kolumbia, Portoryko i Wyspy Dziewicze przyjęły Ustawę o Jednolitych Transakcjach Elektronicznych (UETA). Ponadto federalna ustawa ESIGN stanowi, że podpisy elektroniczne są prawnie egzekwowalne w handlu wewnątrzkrajowym oraz w tych stanach, które nie przyjęły UETA.

Ustawa IDEA XXI wieku

W dniu 20 grudnia 2018 roku została podpisana ustawa o Zintegrowanym Cyfrowym Procesie Obsługi XXI wieku (Ustawa IDEA 21 wieku). Tworzy on minimalne standardy funkcjonalności i bezpieczeństwa dla agencji federalnych w USA w celu poprawy cyfrowych interakcji między obywatelami a rządem. Na przykład wymaga ona od agencji oferowania cyfrowych wersji wszystkich usług w formie papierowej i przyjmowania podpisów elektronicznych od obywateli.

 

Dowiedz się więcej na tym blogu.
 

Urząd Regulacji Sektora Finansowego (FINRA)

Amerykańskiego Urzędu Regulacji Sektora Finansowego wymagała wcześniej od firm brokerskich uzyskania podpisu składanego mokrym tuszem każdej wskazanej osoby fizycznej upoważnionej do zachowania dyskrecji na koncie przed otwarciem konta. W dniu 16 kwietnia 2019 r. Amerykańska Komisja Papierów Wartościowych i Giełd (SEC) przyjęła proponowaną zmianę do art. 4512 lit. a) pkt 3, dającą członkom możliwość uzyskania podpisu elektronicznego zamiast podpisu składanego mokrym tuszem.

 

Dowiedz się więcej na tym blogu.

Stanowe ustawy o zdalnym uwierzytelnianiu notarialnym przez Internet

Wiele stanów w Stanach Zjednoczonych przyjęło lub rozważa przyjęcie przepisów, które upoważniłyby ich stanowych notariuszy do wykonywania zdalnych notarialnych czynności notarialnych przez Internet. Obejmuje to:

 

Kanada Prawo prowincji

Podobnie jak amerykańskie prawo UETA, kanadyjskie prawo prowincji dotyczące podpisu elektronicznego nadaje mu taki sam status prawny jak podpisowi odręcznemu.

 

W całej Kanadzie wprowadzono zasadniczo jednolite przepisy dotyczące handlu elektronicznego i podpisu elektronicznego. Wszystkie prowincje i terytoria posiadają autonomiczne ustawy o handlu elektronicznym o powszechnym zastosowaniu, oparte na wzorcowych ustawach promulgowanych przez ONZ i Uniform Law Conference of Canada (ULCC).

 

Na przykład w Ontario ustawa o Handlu Elektronicznym z 2000 r. (ECA) dotyczy stosowania dokumentów elektronicznych w transakcjach handlowych. W raporcie zatytułowanym „Podpisy elektroniczne w prawie kanadyjskim”, wiodąca kanadyjska firma prawnicza Stikeman Elliott LLP stwierdza: „Chociaż istnieją pewne różnice, lokalne ustawy o handlu elektronicznym generalnie stanowią, że podpisy, dokumenty i oryginały nie są nieważne lub nieegzekwowalne tylko dlatego, że są w formie elektronicznej.”

 

Aby dowiedzieć się więcej, przeczytaj poradnik prawny Stikemana Elliotta na temat podpisów elektronicznych.

EMEA

eIDAS

Rozporządzenie z 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w zakresie transakcji elektronicznych na rynku wewnętrznym (eIDAS) weszło w życie w całej Unii Europejskiej w dniu 1 lipca 2016 r., zastępując dyrektywę 1999/93/WE w sprawie podpisów elektronicznych. W przeciwieństwie do dyrektywy, rozporządzenie w sprawie systemu eIDAS ma zastosowanie w równym stopniu do każdego państwa członkowskiego UE.

 

eIDAS ułatwia transgraniczne uznawanie podpisów elektronicznych i e-tożsamości. Określa on również trzy poziomy podpisu elektronicznego: prosty, zaawansowany i kwalifikowany podpis elektroniczny.

 

Dowiedz się o prawnej wykonalności trzech poziomów podpisu elektronicznego w niniejszej białej księdze: eIDAS i podpis elektroniczny: Perspektywa prawna, autorstwa Lorny Brazell z Osborne Clarke LLP.

Turcja: ustawa nr 7247

26 czerwca 2020 r. W Dzienniku Ustaw została opublikowana ustawa nr 7247.Ustawa zmienia kilka istniejących przepisów dotyczących umów elektronicznych. Zmiany upoważniają teraz firmy świadczące usługi finansowe do akceptowania podpisów elektronicznych przy otwieraniu rachunków bankowych, ubieganiu się o pożyczki i leasing oraz kartach kredytowych.
 

Dowiedz się więcej szczegółów na tym blogu: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey

Ameryka Południowa

Brazylia

W Brazylii stosowanie podpisów elektronicznych dzieli się na dwie kategorie:

 

  • Neutralne technologicznie: prawo brazylijskie zezwala na podpis elektroniczny w przypadkach użycia, w których rodzaj podpisu nie jest określony przez prawo. W tym podejściu podpis elektroniczny musi zapewniać integralność podpisanego dokumentu i autentyczność autorstwa podpisu, ale prawo nie określa technologii. Wolność formy w prawie brazylijskim wynika z tego neutralnego technologicznie podejścia.
  • Specyficzne dla technologii: niektóre typy dokumentów i osób podpisujących wymagają użycia certyfikatu cyfrowego wydanego osobie podpisującej przez infrastrukturę ICP-Brasil. Jest to system specyficzny dla technologii, w którym certyfikaty ICP-Brasil zapewniają zaufaną zewnętrzną weryfikację podpisu elektronicznego.ICP-Brasil ustanawia infrastrukturę klucza publicznego dla kraju, która zapewnia niezbędne znaczniki czasu i zasady tworzenia odpowiednika kwalifikowanego podpisu elektronicznego (QES).

Dowiedz się więcej z tej portugalskiej białej księgi na temat Podpisy elektroniczne i prawo w Brazylii , napisany we współpracy z Opice Blum LLP.

Kolumbia

Ustawa 527 z 1999 r. Ustanowiła podpis elektroniczny jako odpowiednik podpisów odręcznych. Nadaje podpisom elektronicznym taką samą ważność i skutek prawny jak podpis odręczny, pod warunkiem że podpis elektroniczny spełnia wymogi dotyczące niezawodności określone w dekrecie 2364 z 2012 r.

 

Dowiedz się więcej z tej hiszpańskiej białej księgi na temat Podpisy elektroniczne a prawo w Kolumbii , napisany we współpracy z Erickiem Rinconem Cardenasem, partnerem w Rincon Cardenas & Moreno.

Peru

W 2000 roku Kongres Republiki Peru zatwierdził ustawę nr 27269 o podpisach cyfrowych i certyfikatach, która brzmi następująco: „Celem tej ustawy jest uregulowanie stosowania podpisów elektronicznych, nadanie im takiej samej mocy prawnej i skuteczności jako podpisy odręczne lub podobne, które oznaczają oświadczenie woli. ”

 

Dowiedz się więcej z tej hiszpańskiej białej księgi na temat Podpisy elektroniczne a prawo w Peru , napisany we współpracy z Erickiem Rinconem Cardenasem, partnerem w Rincon Cardenas & Moreno.

Region azji i pacyfiku

Australia Ustawa o transakcjach elektronicznych

W 1999 roku parlament australijski przyjął ustawę o transakcjach elektronicznych, która została zmieniona w 2011 roku. Ustawa o transakcjach elektronicznych nadaje podpisowi elektronicznemu taki sam status prawny jak podpisowi własnoręcznemu.

 

Według rządu australijskiego, „jeśli prawo Australii wymaga od ciebie podania informacji na piśmie, złożenia odręcznego podpisu, przedstawienia dokumentu w formie materialnej lub zapisania bądź zachowania informacji, ustawa o transakcjach elektronicznych oznacza, że możesz wykonywać te czynności elektronicznie.”

 

Dowiedz się więcej z naszego eBooka, Podpisy elektroniczne a prawo: Global Legislation Review
 

Japonia Ustawa o podpisach elektronicznych i certyfikacji biznesowej

Obowiązująca od 2001 roku japońska Ustawa o podpisie elektronicznym i certyfikacji uznaje prawną wykonalność dwóch rodzajów podpisów elektronicznych stosowanych na całym świecie: Zaawansowane podpisy elektroniczne oraz kwalifikowane podpisy elektroniczne.

 

Dowiedz się więcej z naszego eBooka, Podpisy elektroniczne a prawo: Global Legislation Review .

Ustawa o transakcjach elektronicznych Singapuru (ETA)

Wprowadzona w 1998 r. ustawa ta stanowi podstawę prawną dla podpisów elektronicznych oraz daje przewidywalność i pewność umów zawieranych drogą elektroniczną. Według rządu Singapuru „w świecie elektronicznym podpisy odręczne mogą być zastąpione podpisami cyfrowymi. Podobnie jak podpisy ręczne, podpisy cyfrowe mogą być używane do ustalenia tożsamości strony lub do podjęcia zobowiązań prawnych. Ustawa o transakcjach elektronicznych przewiduje uznawanie podpisów elektronicznych zgodnie z prawem singapurskim.”

 

Dowiedz się więcej z naszego eBooka, Podpisy elektroniczne a prawo: Global Legislation Review.

 

Otwarta bankowość

EMEA

UE: PSD2: Dyrektywa w sprawie usług płatniczych 2

Otwarta bankowość obiecuje odblokować innowacje, które w znacznym stopniu poprawią doświadczenia bankowe i wprowadzą nowe usługi finansowe. Na przykład zewnętrzni dostawcy usług (TPPs) mogą udostępniać aplikacje umożliwiające konsumentom przeglądanie wielu rachunków bankowych z jednej aplikacji lub aplikacje ułatwiające przedsiębiorstwom dzielenie się danymi ze swoimi księgowymi.

 

Zgodnie z dyrektywą PSD2 banki powinny oferować interfejs umożliwiający im komunikację z zewnętrznymi dostawcami usług. W ten sposób, gdyby konsument chciał skorzystać z usług dostawców usług finansowych innych niż bank, dostawcy ci mogą uzyskać dostęp do systemów banku i obsługiwać klientów banku za pośrednictwem otwartego interfejsu komunikacyjnego.

 

Wprowadzenie otwartych interfejsów API uzależnia banki od bezpieczeństwa zewnętrznych dostawców usług korzystających z tych interfejsów. Banki powinny przyjąć szereg technicznych i organizacyjnych środków bezpieczeństwa w celu przeciwdziałania tym i innym zagrożeniom. W kontekście otwartej bankowości banki mogą ograniczać ryzyko na wiele sposobów,w tym poprzez:

 

  1. Wykorzystanie analizy ryzyka transakcji
  2. Wybranie odpowiedniego modelu uwierzytelniania
  3. Ochronę kanału komunikacyjnego z zewnętrznymi dostawcami usług
  4. Otrzymywanie od zewnętrznych dostawców usług niezależnych sprawozdań z audytu bezpieczeństwa
  5. Unikanie luk w zabezpieczeniach we wdrażaniu API

Aby dowiedzieć się więcej, przeczytaj ten blog Otwarte API bankowe w ramach PSD2

Bahrajn Zasady Centralnego Banku Bahrajnu (CBB) dla Otwartej Bankowości

Bank Centralny Bahrajnu (CBB) posiada kilka zasad dotyczących otwartej bankowości: Obejmuje to zasadę, że dostawcy usług inicjowania płatności (PISP) muszą wdrożyć silny proces uwierzytelniania klienta. (Dowiedz się więcej o poświadczenie )

 

Oznacza to, że klienci będą udostępniać swoje dane do logowania bezpośrednio zewnętrznym dostawcom usług, a nie poprzez mechanizm przekierowania, w którym klient jest przekazywany na ekran logowania obsługiwany przez ich bank.

 

Dostawcy świadczący usługi dostępu do informacji o rachunku (AISP) nie będą mieli dostępu do informacji o kliencie w zakresie wykraczającym poza dane znajdujące się na wyznaczonym koncie lub w zakresie przechowywania danych z powodów innych niż świadczenie usługi „wyraźnie zażądanej przez klienta”.

Turcja: Ustawa o systemach płatności i rozrachunku papierów wartościowych, usługach płatniczych i instytucjach pieniądza elektronicznego

W listopadzie 2019 r.zmieniono turecką ustawę o płatnościach i systemach rozrachunku papierów wartościowych, usługach płatniczych i instytucjach pieniądza elektronicznego ( Ustawa nr 7192 ) zostały uchwalone. 
 

Pierwotne prawo z 2013 r. Zapewniało ramy prawne dla firm płatniczych, systemów płatności i rozrachunku papierów wartościowych oraz firm obsługujących pieniądz elektroniczny.

Zmieniona ustawa weszła w życie 1 stycznia 2020 r. Znacząco ulepsza obowiązujące prawo dotyczące otwartej bankowości w Turcji.
 

Uczyć się więcej: https://www.onespan.com/blog/financial-regulatory-landscape-in-turkey

Region azji i pacyfiku

Nowa Zelandia Standardy API otwartej bankowości

Payments NZ to grupa banków, podmiotów przetwarzających i dostawców infrastruktury w branży płatniczej. Po rocznym okresie pilotażu, grupa opublikowała standardy API.

 

Standardy ograniczają się do inicjowania płatności i usług informacji o rachunku, ale przypominają inicjatywy w zakresie bankowości otwartej w innych krajach.

 

Nowozelandzkie Stowarzyszenie Bankierów stwierdziło, że krajowe banki „w pełni popierają” wspólny standard.

Hong Kong Otwarte wytyczne API dla banków

Władze monetarne Hongkongu (HKMA) opublikowały wytyczne Open API dla banków i instytucji finansowych działających w Hongkongu.

 

W początkowych etapach ramy koncentrują się wyłącznie na bankowości detalicznej, ale jeśli inne banki uznają to za stosowne, HKMA zachęca je do rozszerzenia standardu na inne linie biznesowe.

Japonia Zmiany w Ustawie o bankowości

W czerwcu 2018 r. Japonia uchwaliła zmiany w swojej ustawie o bankowości, które wprowadzają wymogi dotyczące partnerstwa między instytucjami finansowymi a operatorami płatności w dziedzinie technologii finansowych.

Republika Korei Zmiany w Ustawie o elektronicznych transakcjach finansowych z 2007 r.

W celu zwiększenia konkurencji i innowacyjności w sektorze usług finansowych i sektorze technologii finansowych Republika Korei zmieniła ustawę o elektronicznych transakcjach finansowych. Zmiany zobowiązują banki koreańskie do otwarcia swoich systemów płatniczych dla zewnętrznych organizacji typu fintech, jak również dla innych banków.

 

To posunięcie daje klientom możliwość dostępu do ich rachunków w różnych bankach i dokonywania płatności z jednej aplikacji.

Obie Ameryki

Kanada Konsultacje otwartej bankowości

We wrześniu 2018 r. Departament Finansów Kanady powołał Komitet Doradczy w celu zbadania możliwości wprowadzenia polityki otwartej bankowości. Następnie komisja opublikowała dokument konsultacyjny w celu przeprowadzenia publicznych rozmów na temat tego, czy otwarta bankowość zapewniłaby znaczące korzyści; w jaki sposób należy zarządzać ryzykiem związanym z ochroną konsumentów, prywatnością i bezpieczeństwem; oraz jaką rolę powinien odgrywać rząd w jakimkolwiek wdrażaniu.

USA: API otwartej bankowości i wymiana danych finansowych

Wymiana Danych Finansowych (FDX) jest organizacją non-profit z branży finansowej i spółką zależną Centra Wymiany i Analizy Informacji o Usługach Finansowych (FS-ISAC). Jej misją jest stworzenie wspólnego, interoperacyjnego i nieodpłatnego standardu, który zapewni przedsiębiorstwom i konsumentom bezpieczny dostęp do ich własnych danych finansowych.

Meksyk LABORA

National Digital Office (CEDN), we współpracy z Narodową Komisją Bankowości i Papierów Wartościowych (CNBV), C Minds, Open Data Institute oraz Dev.f poczyniły wysyłki na rzecz opracowania standardu otwartej bankowości. Standard ten koncentrował się w szczególności na standaryzacji API i otwartych danych poprzez opracowanie pilotażu.

 

Pilotaż, o nazwie LABORA, miał na celu potwierdzenie wykonalności wdrożenia otwartego standardu bankowego w Meksyku. Poddał on testowi od trzech do czterech punktów końcowych i przeprowadził kontrolowaną implementację z udziałem ekspertów w celu oceny użyteczności, interoperacyjności i wartości istniejących API, jak również implementacji punktów końcowych zdefiniowanych przez standard.  
 

Informacje zawarte w niniejszym dokumencie mają charakter wyłącznie informacyjny i nie powinny być traktowane jako porady prawne ani stanowić podstawy do określenia, w jaki sposób prawo ma zastosowanie do twojej działalności lub organizacji. Niniejszy dokument nie stanowi porady prawnej. Zaleca się zwrócenie się do swojego radcy prawnego o wskazówki dotyczące prawa mającego zastosowanie konkretnie do danej firmy lub organizacji oraz sposobu zapewnienia zgodności z przepisami.