1. Un prestataire de services de paiement gestionnaire de comptes qui propose à un payeur un compte de paiement accessible en ligne met en place au moins une interface qui remplit chacune des exigences suivantes:
|
a) |
les prestataires de services d'information sur les comptes, les prestataires de services d'initiation de paiement et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte sont en mesure de s'identifier auprès du prestataire de services de paiement gestionnaire du compte; |
|
b) |
les prestataires de services d'information sur les comptes sont en mesure de communiquer de manière sécurisée afin de demander et de recevoir des informations concernant un ou plusieurs comptes de paiement désignés et les opérations de paiement associées; |
|
c) |
les prestataires de services d'initiation de paiement sont en mesure de communiquer de manière sécurisée pour initier un ordre de paiement à partir du compte de paiement du payeur et de recevoir toutes les informations sur l'initiation de l'opération de paiement et toutes les informations auxquelles le prestataire de services de paiement gestionnaire du compte a accès concernant l'exécution de l'opération de paiement. |
2. Aux fins de l'authentification de l'utilisateur de services de paiement, l'interface visée au paragraphe 1 permet aux prestataires de services d'information sur les comptes et aux prestataires de services d'initiation de paiement de s'appuyer sur l'ensemble des procédures d'authentification proposées par le prestataire de services de paiement gestionnaire du compte à l'utilisateur de services de paiement.
L'interface remplit au moins l'ensemble des exigences suivantes:
|
a) |
un prestataire de services d'initiation de paiement ou un prestataire de services d'information sur les comptes est en mesure de donner instruction au prestataire de services de paiement gestionnaire du compte de commencer l'authentification sur la base du consentement de l'utilisateur de services de paiement; |
|
b) |
les sessions de communication entre le prestataire de services de paiement gestionnaire du compte, le prestataire de services d'information sur les comptes, le prestataire de services d'initiation de paiement et tout utilisateur de services de paiement concerné sont établies et maintenues tout au long de l'authentification; |
|
c) |
l'intégrité et la confidentialité des données de sécurité personnalisées et des codes d'authentification transmis par ou via le prestataire de services d'initiation de paiement ou le prestataire de services d'information sur les comptes sont garanties. |
3. Les prestataires de services de paiement gestionnaires de comptes veillent à ce que leurs interfaces suivent des normes de communication publiées par des organisations européennes ou internationales de normalisation.
Les prestataires de services de paiement gestionnaires de comptes veillent également à ce que les spécifications techniques des interfaces fassent l'objet d'une documentation mentionnant une série de routines, de protocoles et d'outils dont les prestataires de services d'initiation de paiement, les prestataires de services d'information sur les comptes et les prestataires de services de paiement qui émettent des instruments de paiement liés à une carte ont besoin pour permettre l'interopérabilité de leurs logiciels et applications avec les systèmes des prestataires de services de paiement gestionnaires de comptes.
Au minimum, les prestataires de services de paiement gestionnaires de comptes, au moins six mois avant la date d'application visée à l'article 38, paragraphe 2, ou avant la date prévue pour le lancement sur le marché de l'interface d'accès lorsque ce lancement a lieu après la date visée à l'article 38, paragraphe 2, mettent gratuitement à disposition cette documentation à la demande des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou des prestataires de services de paiement qui ont demandé l'agrément nécessaire à leurs autorités compétentes, et publient sur leur site internet un résumé de cette documentation.
4. Outre les dispositions prévues au paragraphe 3, les prestataires de services de paiement gestionnaires de comptes veillent à ce que, sauf en cas d'urgence, toute modification des spécifications techniques de leur interface soit mise à la disposition des prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou des prestataires de services de paiement qui ont demandé l'agrément nécessaire à leurs autorités compétentes, dans les plus brefs délais et au moins trois mois avant la mise en œuvre de la modification.
Les prestataires de services de paiement décrivent par écrit les situations d'urgence dans lesquelles les modifications ont été mises en œuvre et mettent cette documentation à la disposition des autorités compétentes sur demande.
5. Les prestataires de services de paiement gestionnaires de comptes mettent à disposition un dispositif d'essai, comprenant une assistance et permettant des tests de connexion et de fonctionnement, afin que les prestataires agréés de services d'initiation de paiement, de services d'information sur les comptes et de services de paiement qui émettent des instruments de paiement liés à une carte ou les prestataires de services de paiement qui ont demandé l'agrément nécessaire puissent tester les logiciels et applications qu'ils utilisent pour proposer un service de paiement aux utilisateurs. Il convient que ce dispositif d'essai soit mis à disposition au moins six mois avant la date d'application visée à l'article 38, paragraphe 2, ou avant la date prévue pour le lancement sur le marché de l'interface d'accès lorsque ce lancement a lieu après la date visée à l'article 38, paragraphe 2.
Aucune information sensible n'est toutefois partagée par l'intermédiaire du dispositif d'essai.
6. Les autorités compétentes veillent à ce que les prestataires de services de paiement gestionnaires de comptes respectent à tout moment les obligations prévues par les présentes normes en ce qui concerne l'interface ou les interfaces qu'ils ont mises en place. Si un prestataire de services de paiement gestionnaire de comptes ne remplit pas les exigences relatives aux interfaces définies par les présentes normes, les autorités compétentes veillent à ce que la prestation des services d'initiation de paiement et des services d'information sur les comptes ne soit pas empêchée ou perturbée, dans la mesure où les prestataires respectifs de ces services satisfont aux conditions définies à l'article 33, paragraphe 5.