通过新的 ZAIT 通知,BaFin为《支付服务监管法》中的特殊规定创造了法律确定性。

在信息技术和网络安全的使用方面,支付和电子货币机构必须遵守哪些适当业务管理的监管要求?BaFin在其关于IT支付服务监管要求的新通知中简要解释了这一点扎伊特.这通过与支付服务监管法(ZAG)的特殊规定相协调,创造了法律确定性。

因此,它补充了BaFin的一系列IT通知:银行监管机构、保险监管机构和IT资本管理监管要求(饵,增值税和凯特).

乍看上去

支付和电子货币机构

在联邦金融监管局目前监管80个多家机构支付服务监管法案(的ZAG)。

这些包括E货币业务以及金融转移和收购业务等经典支付服务。

然而,几乎三分之一的受监管公司提供支付启动或账户信息服务。

这些事实有时反映了非常技术性的商业模式。

例如,以用户的名义在其网上银行发起转账,以及在中央应用程序中聚合多个账户的账户信息。

在这两种情况下,公司都使用用户的帐户凭据。

严格的IT要求适用于它们的使用、存储、技术处理和相关流程。

公司必须使用基于PSD 的服务的帐户访问接口2个是在信贷机构创建的。

由于商业模式非常不同,公司规模也非常不同,BaFin特别注意比例原则。

迄今为止,与风险管理最低要求 (MaRisk) 相关的BAIT已类似地应用于支付和电子货币机构。

有了 ZAIT,未来可以更好地考虑支付和电子货币机构的个体特征,同时考虑到相称性原则。

在内容方面,该通告非常接近于BAIT。

特别是,它包含从需求的指引,欧洲银行业管理局(EBA的)管理信息和通信技术和安全风险和EBA准则外购。

ICT代表信息和通信技术。

来自网络攻击的威胁越来越大

例如,ZAIT 解释了信息风险和信息安全管理的监管要求。

鉴于网络攻击的威胁不断增加,这些对于加强机构的IT安全至关重要。

机构及时识别安全事件并能够通过适当的措施确保正常的业务流程是很重要的。

其基础是有效的风险管理,它必须适合各个业务模式和各个机构的规模。

该通告还包含对IT操作流程、IT基础设施和业务连续性管理的基本要求。

特别是,这些旨在确保机构能够保证其服务的高可用性,并且使用的IT设备通常是最先进的。

这对于避免IT安全漏洞至关重要,尤其是对于软件应用程序。

此外,每个机构都必须能够证明基本操作流程在中断后的合理时间内再次可用。

IT流程外包

该通知的另一个重要部分规定了对将IT流程或IT活动外包给另一家公司的机构的监管要求。

在实践中,机构使用云服务提供商来处理业务流程、存储数据或只是为了能够使用灵活的IT能力。

机构必须在委托服务提供商之前应对此类外包的风险。

由于他们仍对监管法律规定的所有外包IT流程和活动负责,因此他们必须始终监控其服务提供商是否正确完成订单,并不断关注外包风险。

BaFin 正在审查实施情况

该联邦金融监管局是审慎IT在支付和考试Ë随身携带的货币机构来监控ZAIT的实施。

-企服快车