标准简介
PSD2 是由 欧盟 发布的有效标准,常用于金融银行、科技、服务业、零售等行业,并适用于欧盟、欧洲经济区等市场。
本页汇总了 PSD2 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义欧盟支付服务合规范围
识别 PSD2 覆盖的产品、服务、系统、实体、司法辖区、团队、供应商、数据流和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括支付服务授权、强客户认证、安全通信、开放银行接口、运营和安全风险、事件报告、资金保护、客户信息、投诉、责任、外包和监管报告。
评估义务和差距
将当前实践与预期的欧盟支付服务合规方法进行比较。审查牌照治理、SCA 实施、API 安全、同意管理、欺诈监控、事件报告、资金保护控制、客户披露、投诉处理、外包监督、运营风险控制和监管沟通,并按法律暴露、用户或安全影响、客户承诺、运营依赖、报告期限和保证准备度排列差距优先级。
实施控制和证据
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护授权文件、政策、SCA 测试结果、API 日志、同意记录、欺诈警报、事件报告、资金保护对账、客户沟通、投诉日志、外包文件、风险报告和监管往来作为可追溯证据。
评审、报告并改进
开展管理评审、内部检查、适用情况下的技术测试或独立评估、纠正措施和变更评审。当产品、供应商、法律、事件、报告周期或相关方期望变化时刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与保证
常见问题解答
谁需要 PSD2?
expand_more
PSD2 最适用于在欧盟/欧洲经济区运营的支付机构、电子货币机构、账户服务支付服务提供商、第三方提供商、银行、金融科技公司和支付平台。具体范围取决于产品、服务、司法辖区、报告义务、客户承诺、技术要求,以及组织在相关生态中的角色。
PSD2 是否可认证?
expand_more
PSD2 是通过成员国法律和监管技术标准实施的欧盟法律框架,不是认证。支付服务提供商需要授权、治理、安全、客户权利和报告控制。
实施时应先关注什么?
expand_more
先定义范围、义务、责任人,以及监管机构、客户、审计师、保证提供方或治理机构期望的证据。然后对照当前控制开展差距评估,并按风险和期限确定整改优先级。
PSD2 需要哪些证据?
expand_more
有用证据包括授权文件、政策、SCA 测试结果、API 日志、同意记录、欺诈警报、事件报告、资金保护对账、客户沟通、投诉日志、外包文件、风险报告和监管往来。证据应进行版本控制,能够追溯到责任人,关联义务和控制,并按所需评审或审核期间保留。
项目应多久评审一次?
expand_more
应按计划周期评审,并在法律、产品、供应商、事件、报告周期、客户承诺、技术标准或保证期望变化时评审。较高风险义务应更频繁地监控并向管理层报告。