Otevřené bankovnictví

Směrnice o platebním styku

Evropská směrnice o platebních službách (dále jen PSD2) ^[1] zavádí nová pravidla na ochranu a bezpečnost klienta a definuje pravidla pro bankovní a rovněž i nebankovní poskytovatele platební služeb (tzv. třetí strany, dále jen „TPP“). Tato směrnice byla do české legislativy implementována zákonem č. 370/2017 Sb., o platebním styku, který nabyl účinnosti dne 13. 1. 2018.

Evropská směrnice o platebních službách ukládá bankám, aby TPP se souhlasem klienta zpřístupnily data klienta prostřednictvím tzv. API (Application Programming Interface). Klienti budou moci nově prostřednictvím API spravovat své účty u různých bank na jednom místě. Získají tak informace o svých účtech, mohou provádět nepřímé zadání platebního příkazu, nebo ověřit dostupnost prostředků.

[1] Směrnice Evropského parlamentu a Rady (EU) 2015/2366 ze dne 25.11.2015 o platebních službách na vnitřním trhu, kterou se mění směrnice 2002/65/ES, 2009/110/ES a 2013/36/EU a nařízení (EU) č. 1093/2010 a zrušuje směrnice 2007/64/ES.

Jaké služby PSD2 přináší?

Nepřímé zadání platebního příkazu (PIS): klient zadá v aplikaci TPP platební příkaz. Je možné provádět domácí a zahraniční platbu.
Informace o klientských účtech (AIS): klient může v aplikaci TPP zobrazit informaci o svých klientských účtech, historii transakcí a zůstatcích.
Ověření dostupnosti prostředků (CISP): TPP může na žádost klienta v SAB Finance a.s. ověřit dostatek prostředků pro provedení platební transakce.

Co jsou TPP, neboli třetí strany?

TPP jsou poskytovatelé internetových a mobilních aplikací. Nyní je možné propojit internetové bankovnictví klienta s aplikací TPP. Toto propojení je dobrovolné a není zřízeno automaticky, proto musí dát klient k propojení vždy výslovný souhlas. Tímto souhlasem dává si je klient vědom, že aplikace TPP mohou získat přístup k určitým klientským datům. TPP mohou klientská data použít pouze k účelům, ke kterým je opravňuje příslušná legislativa. Získaná data nemohou v žádném případě předávat dalšímu subjektu.

TPP nás v případě dotazů mohou kontaktovat na: openapi@sab.cz

Bezpečnost

Bezpečnost pro oblast PSD2 je ošetřena regulatorními technickými standardy (RTS), které upravují zejména oblast zabezpečení, autentizace, výměny informací a spolupráce v oblasti dohledu. Nutností je také to, aby každá TPP, která bude chtít svou aplikaci připojit k účtu klienta, byla zároveň ověřeným partnerem, tedy musí mít licenci České národní banky pro přístup k osobním bankovním údajům.

Klientům pak doporučujeme dodržovat základní bezpečnostní pravidla a zásady. Zadávání přihlašovacích údajů do webové aplikace ProStream mimo stránky naší banky může vést k jejich zneužití. Pokud by TPP vyžadovala jejich zadání přímo, nese klient zodpovědnost za jejich případné zneužití.

Testovací prostředí:

SAB Finance a.s. umožňuje vývojářům dle platné legislativy PSD2 využít testovacího prostředí, tzv. sandbox API, kde si třetí strany (TPP) mohou nové API služby testovat (formou provolávání jednotlivých služeb) a připravit se na napojení na produkční API.

Předpoklady a návod, jak API volat naleznete v dokumentu (verze 0.1, verze 0.2, verze 1.0.0).
V případě dotazů nebo pomoci nás kontaktujte na emailu: openapi@sab.cz

Technická specifikace API:

Kompletní popis všech služeb, které jsou vystaveny v rámci API naleznete ZDE.

Produkční prostředí je k dispozici ZDE.

Záložní mechanismus

Pokud je výše dedikované rozhraní nedostupné, poskytovatelům platebních služeb je poskytnut přístup k účtům prostřednictvím záložního produkčního prostředí. Pro toto prostředí platí stejná specifikace jako pro prostředí produkční.

Záložní produkční prostředí je k dispozici na adrese ZDE.