Continue Compliant Elektronisch Betalingsverkeer

Transcriptie

1 Continue Compliant Elektronisch Betalingsverkeer Auteur: Drs. Ingrid Terlien CISSP CISM Studentnr.: Datum:

2

3 INHOUDSOPGAVE 1. INLEIDING AANLEIDING OPDRACHTFORMULERING Probleemstelling Centrale vraagstelling Deelvragen Scope AANPAK ONDERZOEK STRUCTUUR EN OPBOUW ELEKTRONISCH BETALINGSVERKEER ALGEMEEN PROCESSING (AUTORISATIE EN CLEARING) SETTLEMENT INFRASTRUCTUUR CLEARINGHUIS TOEKOMSTIGE ONTWIKKELINGEN RICHTLIJNEN BETALINGSVERKEER SINGLE EUROPEAN PAYMENT AREA (SEPA) PAYMENT CARD INDUSTRY DATA SECURITY STANDARD (PCI-DSS) Inleiding De standaard Assessment en non-compliance CONTINUE MONITORING, AUDITING & ASSURANCE BEGRIPPEN EN SAMENHANG FREQUENTIE VAN CONTINUE CONTINUE MONITORING PROCES BEVINDINGEN THEORETISCH ONDERZOEK BEHEERSMAATREGELEN BEHEERSMAATREGEL: INRICHTING INFRASTRUCTUUR BEHEERSMAATREGEL: INRICHTING CONTINUE COMPLIANCE BEHEERSMAATREGEL: INRICHTING CONTINUE MONITORING VAN DE TECHNISCHE INFRASTRUCTUUR BEHEERSMAATREGEL: BEWIJSVOERING VOOR AANTONEN CONTINUE COMPLIANCE

4 6. BEVINDINGEN EMPIRISCH ONDERZOEK BEHEERSMAATREGELEN OPZET PRAKTIJKONDERZOEK BEHEERSMAATREGEL: INRICHTING INFRASTRUCTUUR BEHEERSMAATREGEL: INRICHTING CONTINUE COMPLIANCE BEHEERSMAATREGEL: INRICHTING CONTINUE MONITORING VAN DE TECHNISCHE INFRASTRUCTUUR BEHEERSMAATREGEL: BEWIJSVOERING VOOR AANTONEN CONTINUE COMPLIANCE VRAAGSTELLING, BEANTWOORDING EN AANBEVELINGEN DEELVRAGEN EN BEANTWOORDING CENTRALE VRAAGSTELLING EN BEANTWOORDING AANDACHTSPUNTEN EN AANBEVELINGEN PERSOONLIJKE REFLECTIE DANKWOORD BIJLAGE LITERATUURLIJST VRAGENLIJST

5 1. Inleiding 1.1. Aanleiding Een veilig en betrouwbaar betalingsverkeer draagt bij aan de borging van een stabiel financieel stelsel. Dit betekent dat onder andere laagwaardige betalingen (zoals betalingen in winkels of het overmaken van geld door middel van een betaalopdracht) veilig en zonder verstoringen moeten plaatsvinden. De afhandeling van laagwaardige betalingen wordt door verschillende partijen uitgevoerd. Transacties via geld- en betaalautomaten worden door een Processor uitgevoerd. De afhandeling van betalingstransacties via internet worden door de zogenaamde Payment Service Providers verzorgd. Gezien het grote volume in aantallen transacties en geld, kan het voorkomen dat Processors en Payment Service Providers doelwit worden van frauduleuze of criminele handelingen. Hierbij valt te denken aan ongeoorloofde toegang, het wijzigen, vernietigen of misbruik van gegevens. Het is daarom van groot belang dat de beveiliging van de systemen van een zodanig hoog niveau zijn dat het risico minimaal is. Naast dat de Processors en Payment Service Providers zelf hoge eisen aan de beveiliging van de systemen stellen, worden stringente eisen vanuit wet- en regelgeving opgelegd. Een regelgeving waaraan moet worden voldaan is PCI-DSS (Payment Card Industry Data Security Standard). Deze eis wordt door de creditcard maatschappijen (onder andere Mastercard en Visa) opgelegd. In deze regelgeving worden zowel technische als procedurele eisen opgelegd en deze worden jaarlijks middels een audit getoetst. Het is vereist dat ten alle tijden kan worden aangetoond dat aan de eisen van PCI-DSS wordt voldaan. Dit houdt in dat niet alleen tijdens een audit moet worden aangetoond dat de organisatie compliant is maar, in tegenstelling tot ISO en ISAE3402, dient een organisatie zelfs aan te tonen dat zij aan de eisen van PCI-DSS voldeed ten tijde van een data breach, waarbij inbreuk op de beschikbaarheid, integriteit en/of vertrouwelijkheid plaatsvindt. 3

6 Indien de organisatie dit niet kan aantonen, zullen sancties worden opgelegd door de Payment Brands. Dit betekent dat een organisatie op een zodanige wijze moet worden ingericht dat continue assurance kan worden afgegeven en dat continue monitoren van de omgeving een minimale vereiste is om te voldoen aan de eisen. Een van de belangrijkste taken van een Security Officer is de continuïteit (24/7) en de veiligheid op het gebied van betalingen voor de IT infrastructuur te borgen. Hierbij dient de IT infrastructuur op een zodanig manier ingericht te worden dat het zowel continue gemonitord als ge-audit kan worden. De vraag op welke wijze de IT infrastructuur ingericht moet worden, zodat op een efficiënte en effectieve wijze continue op de verschillende niveaus (operationeel, tactisch en strategisch) gemonitord en geacteerd kan worden bracht mij tot dit onderzoek Opdrachtformulering Probleemstelling De core business van zowel Processors als Payment Service Providers is het leveren van een betrouwbaar, integer en beschikbaar proces voor het betalingsverkeer waarin zij dient als intermediair. Daarnaast spelen factoren zoals wet- en regelgeving en concurrentie voor deze organisaties een belangrijke rol. Het probleem dat hierbij ontstaat is dat enerzijds de organisatie een kwalitatief hoogwaardige dienst moet leveren waarbij de risico s geminimaliseerd zijn terwijl anderzijds de organisatie competitief moet blijven in de markt. Dit laatste houdt in dat zij de kosten dient te beheersen en haar processen zo efficiënt en effectief mogelijk dient in te richten. Dit kan leiden tot conflicterende belangen binnen de organisatie. 4

7 Centrale vraagstelling Op basis van de aanleiding en de probleemstelling is de centrale vraagstelling als volgt: Op welke wijze dienen organisatie en beheer van de IT infrastructuur bij vitaal elektronisch betalingsverkeer ingericht te worden om continue te voldoen aan de regelgeving van PCI-DSS op een continue aantoonbare wijze? Deelvragen Om de hoofdvraag te kunnen beantwoorden, is het onderzoek gesplitst in verschillende deelvragen, te weten: Op welke wijze is het elektronische betalingsverkeer ingericht en wat is haar dynamiek? Wat houdt de regelgeving PCI-DSS in en aan welke eisen moeten worden voldaan? Welke inzichten met betrekking tot continue monitoring en continue audit zijn beschreven in het elektronische betalingsverkeer? Op welke wijze is de technische infrastructuur bij Processors en Payment Service Providers ingericht? Voldoet de huidige inrichting aan de regelgeving van PCI-DSS en welke maatregelen worden thans genomen? Op welke wijze worden maatregelen getroffen om middels bewijsvoering continue aantoonbaar in control te zijn? Scope De scope van het onderzoek is beperkt tot de technische infrastructuur. De technische infrastructuur wordt gedefinieerd als het geheel van technologische componenten, systeem- en toepassingssoftware, procedures en documentatie die nodig zijn voor het beschikbaar stellen van een of meerdere informatiesystemen (ITIL). 5

8 De componenten zijn (bron: [34]): Verwerkingsapparatuur c.q. infrastructuur verwerkingssystemen De apparatuur en de programmatuur die nodig zijn om de toepassingen te laten functioneren. Dit betreft de hardware, operating system en virtuele machine. Opslagapparatuur c.q. infrastructuur opslagsystemen De apparatuur en programmatuur die nodig zijn om de gegevensverzamelingen op te slaan, zoals storage (SAN/NAS, e.d.), databases (en het daarbij behorende databasemanagementsysteem) en andere middleware voor de koppeling van verschillende computerplatformen en applicaties. Communicatie- of netwerkinfrastructuur De communicatieverbindingen tussen verwerkingsapparatuur onderling en tussen verwerkingsapparatuur en opslagapparatuur. Organisatie-infrastructuur Het beleid, processen, procedures en werkinstructies die nodig zijn voor de inrichting en beheer van de technische infrastructuur. De scope van het onderzoek beperkt zich tot de technische infrastructuur omdat de configuratie instellingen in deze infrastructuur altijd na ingebruikname kunnen worden gewijzigd door de beheerder. Daarnaast zal alleen ingegaan worden op de security standaard PCI-DSS (Payment Card Industry Data Security Standard) omdat deze standaard toeziet op het continue compliant zijn. Andere wet- en regelgeving vallen buiten de scope van het onderzoek. De informatiesystemen zelf vallen buiten de scope van dit onderzoek. De beweegreden hiervoor is dat bij informatiesystemen de beveiligingseisen tijdens het software ontwikkelingstraject worden geïmplementeerd. Een eenmaal opgeleverd informatiesysteem kan later niet worden gewijzigd doordat de source code is gecompileerd. 6

9 1.3. Aanpak onderzoek Om antwoord te kunnen krijgen op de deelvragen en de uiteindelijke centrale vraag, is de toegepaste onderzoeksmethode een combinatie van een literatuurstudie en een praktijkstudie. Op basis van de literatuurstudie wordt nagegaan in hoeverre al onderzoek is gedaan naar het onderwerp continue compliant infrastructuur in het elektronische betalingsverkeer. Met behulp van de literatuur wordt een beeld gevormd op welke wijze een continue compliant technisch infrastructuur zou moeten worden ingericht en welke eisen hieraan gesteld worden. Daarnaast wordt inzicht gegeven in de huidige stand van zaken ten aanzien van continue compliance bij betalingsverwerkers. De praktijkstudie is uitgevoerd middels een schriftelijke vragenlijst die is uitgestuurd naar twee Processors en drie Payment Service Providers. Tevens hebben diverse expert interviews plaatsgevonden met de PCI-DSS auditor van deze organisaties. Tenslotte is gebruik gemaakt van de eigen opgebouwde kennis en ervaring. Door zowel de input van mensen uit de organisatie als de IT Auditor wordt een beeld verkregen dat verschillende invalshoeken belicht. De resultaten van het praktijkonderzoek in vergelijking met het literatuuronderzoek zullen de input vormen voor de beantwoording van de centrale vraag van dit onderzoek Structuur en opbouw Het document is opgebouwd uit vier delen. De inleiding beschrijft de aanleiding tot het onderzoek, de probleemstelling, de centrale onderzoeksvraag en bijbehorende deelvragen. Tevens wordt de scope gedefinieerd en de wijze waarop het onderzoek is aangepakt. De hoofdstukken 2, 3 en 4 bestaan uit het literatuuronderzoek waarin de deelvragen worden uitgewerkt. In hoofdstuk 2 wordt de deelvraag Op welke wijze is het elektronisch betalingsverkeer ingericht en wat is haar dynamiek beantwoord. In hoofdstuk 3 wordt de regelgevingen die betrekking heeft op het elektronische betalingsverkeer beschreven en zal ingegaan worden op de richtlijn Single European Payment Area (SEPA) en de standaard 7

10 Payment Card Industry Data Security Standard (PCI-DSS). Tot slot zal hoofdstuk 4 de inzichten met betrekking tot continue monitoring en continue auditing worden belicht. In de hoofdstukken 5 en 6 worden de bevindingen van de beheersmaatregelen die genomen moeten worden beschreven. De bevindingen van het theoretische onderzoek zijn in hoofdstuk 5 uitgewerkt en hoofdstuk 6 de bevindingen van het empirisch onderzoek. Tot slot wordt in hoofdstuk 8 de centrale vraag en deelvragen beantwoord. Tevens worden in dit hoofdstuk aanbevelingen gegeven die van belang zijn voor een goede implementatie van het continue compliance proces. 8

11 2. Elektronisch betalingsverkeer 2.1. Algemeen De infrastructuur van het betalingsverkeer geeft aan op welke wijze transacties worden verwerkt en verrekend. Er zijn diverse manieren waarop transacties worden verwerkt, maar over het algemeen wordt hetzelfde business model gebruikt. Het business model wordt ook wel het 4-party model genoemd en ziet er als volgt uit: Betaler (kaarthouder) Ontvanger (Verkoper) Issuing Bank Clearing house Acquiring Bank Figuur 1: 4-party model In de vier hoeken van het 4-party-model staan de partijen die betrokken zijn bij een transactie, te weten: de betaler, ontvanger, Issuing bank (uitgever van de betaalkaart en bank van de betaler) en de Acquiring bank (bank van de ontvanger). In dit model is een vijfde partij toegevoegd, het Clearinghuis. Dit is een tussenpartij die zorgt dat transacties administratief en financieel worden afgehandeld. De dienst die geleverd wordt door het Clearinghuis is afhankelijk van het type Clearinghuis (zie paragraaf 2.4). Naast de genoemde partijen, bestaat de infrastructuur tevens uit de volgende elementen: Processing (autorisatie en clearing): Processing bestaat uit de deelprocessen autorisatie en clearing. In het autorisatieproces wordt de verificatie en de autorisatie van een transactie uitgevoerd. In het clearingproces worden de transacties tussen een Issuing- en Acquiring bank verzameld, gesorteerd, het te vereffenen bedrag berekend en de informatie hierover uitgewisseld. 9

12 Settlement (vereffening): Dit houdt in dat de bank het te vereffenen bedrag van haar klant uitvoert. Dit is dus de daadwerkelijke betaling van het over te boeken bedrag van de bank van de betaler naar de bank van de ontvanger. Betalingsinstrument: Dit is het hulpmiddel waarmee toestemming kan worden verleend om een transactie in te dienen. In dit onderzoek zijn dat de betaalkaarten (debet- en creditkaarten). Voorbeeld: Transactie met gebruik van een betaalkaart: A. De consument koopt een product bij een winkel. In het geval dat de consument in de winkel zelf is, betaalt de consument aan de kassa (POS-terminal) met de betaalkaart. Het is ook mogelijk dat de consument bijvoorbeeld bij een webwinkel een aankoop verricht. De betaling wordt dan uitgevoerd met behulp van de gegevens van de betaalkaart. B. Het betaalsysteem dat de ontvanger gebruikt is aangesloten bij de Acquiring bank en na invoeren van de gegevens in het betaalsysteem wordt autorisatie aangevraagd. De aanvraag kan lopen via: I. Acquiring bank (in figuur pijl B I ) II. Clearinghuis (in figuur pijl B II ) C. De autorisatie wordt doorgestuurd naar de Issuing bank. Dit kan via de Acquiring bank (pijl C I ) of via het Clearinghuis (pijl C II ). D. De Issuing bank controleert of de consument het transactiebedrag van de rekening mag afhalen. Als de het tegoed van de consument toereikend genoeg is om de transactie af te ronden zal de Issuing bank een akkoord geven aan de partij die het autorisatie verzoek heeft gedaan. Dit kan de Acquiring bank (zie pijl D I ) van de winkel zijn of het Clearinghuis (pijl D II ). E. Het betaalsysteem krijgt via de Acquiring bank (pijl E I ) of via het Clearinghuis (pijl E II ) door of de betaling akkoord is en afgerond mag worden. Betaler Ontvanger (kaarthouder) A B II E II (verkoper) Betaalsysteem POS-terminal Webwinkel B I E I Issuing Bank C II D II Clearing house C I D I Acquiring Bank 10

13 2.2. Processing (autorisatie en clearing) Processing bestaat uit de deelprocessen autorisatie en clearing. In het autorisatieproces wordt de verificatie en de autorisatie van een transactie uitgevoerd. Via het betaalsysteem wordt bij de bank van de betaler (Issuing bank) geverifieerd of de betaler de transactie mag uitvoeren (authenticatie). Vervolgens wordt geverifieerd of de betaler geautoriseerd is om het bedrag van de rekening af te halen (autorisatie). Indien de betaler voldoet aan de eisen, wordt de transactie door de Issuing bank goedgekeurd. In het clearingproces worden de transacties tussen de Issuing- en Acquiring banken verzameld, gesorteerd en het te vereffenen bedrag per bank berekend. Het te vereffenen bedrag kan bestaan uit miljoenen individuele transacties per dag en is daarom een geheel geautomatiseerd proces. De transacties kunnen zowel intra bancair als interbancair zijn. Een intra bancaire transactie (ook wel concernverkeer genoemd) betreft een transactie tussen een betaler en een ontvanger van dezelfde bank. Dit proces is niet meer dan een eenvoudig boekhoudkundig proces omdat het alleen een overboeking betreft van de rekening van de betaler naar de rekening van de ontvanger en geen geld wordt overgeboekt naar een andere bank. Bij interbancair betalingsverkeer houden de betaler en de ontvanger een rekening aan bij verschillende banken. In dit geval vindt zowel het boekhoudkundige proces, de boeking van de betaling, als de daadwerkelijke verplaatsing van geld tussen de verschillende banken plaats. Dit laatste kan worden uitgevoerd door een derde partij, ook wel Clearinghuis genoemd. Om de miljoenen transacties efficiënt en correct te verwerken wordt gebruik gemaakt van het clearingproces. Het clearingproces bestaat uit de volgende activiteiten: Het sorteren van betaalinstructies per bank naar de verschillende begunstigde banken en het berekenen van de te vereffenen bedragen; Het sturen van settlement instructies; Het sturen van alle relevante informatie over de individuele betalingen en over de te vereffenen bedragen aan de betrokken banken. 11

14 Het clearingproces is een volledig geautomatiseerd proces. Voor de verschillende typen betalingen zijn verschillende clearing systemen in gebruik. Voor betalingen met betrekking tot betaalkaarten, waar dit onderzoek zich op richt, wordt gebruik gemaakt van het systeem STEP2. Het clearingproces kan door de bank zelf worden uitgevoerd, maar meestal wordt het uitgevoerd door een Clearinghuis. Een Clearinghuis ontvangt van de aangesloten banken de te verwerken transactiegegevens. Het clearingproces is een administratief proces. De transacties worden boekhoudkundig verwerkt op de rekening van de betaler en ontvanger, maar de daadwerkelijke geldtransactie vindt hier nog niet plaats. Dat wordt pas gerealiseerd in het settlementproces Settlement Het settlementproces is de uiteindelijke verrekening van transacties tussen de betrokken banken en is tevens een volledig geautomatiseerd proces. De settlement vindt plaats bij een centrale bank. De centrale bank debiteert de rekening van de Issuing bank en crediteert de rekening van de Acquiring bank. De settlementprocedure zelf is onafhankelijk van het feit of er één of meerdere transacties tegelijk aan de settlement instructie ten grondslag liggen. Voorbeeld betalingsverkeer: clearing en settlementproces De laatste stap in het vorige voorbeeld was dat de betaling geautoriseerd was door de Issuing bank (actie D). In het clearingproces (C) worden de volgende stappen uitgevoerd: C1. De Issuing en Acquiring bank sturen de transactiegegevens naar het Clearinghuis. C2. Het Clearinghuis sorteert deze en andere binnenkomende transacties en berekent het te vereffenen bedrag. C3. Het Clearinghuis stuurt de settlementinstructie naar de Settlement Agent C4. Het Clearinghuis stuurt informatie over de individuele betalingen naar de Acquiring bank en settlementinformatie naar de Issuing bank. 12

15 Het settlementproces(s) voert vervolgens de volgende stap uit: S1. Het settlementsysteem (TARGET2) checkt het saldo op de rekening van de Issuing bank en als dit toereikend is, wordt de rekening gedebiteerd en de rekening van de begunstigde, de Acquiring bank, gecrediteerd. Het sturen van de saldo- en transactie informatie naar de betaler en ontvanger valt buiten het clearing en settlementproces en wordt door de bank zelf uitgevoerd. Betaler (kaarthouder) Ontvanger (Verkoper) Issuing Bank S1 C1 C4 Clearing house C2 C3 Settlement Agent C1 C4 Acquiring Bank S Infrastructuur Clearinghuis Voor de clearing en settlement infrastructuur, ook wel het Clearing & Settlement Mechanism (CSM) genoemd, zijn regels vastgelegd waaraan deze infrastructuur moet voldoen. Er is onderscheid gemaakt tussen de volgende typen clearinghuizen: Payment Service Provider Clearinghuis voor transactieverwerking van internet betalingen. Zij biedt de mogelijkheid om betalingen op een webwinkel van een winkelier af te handelen. Processors Clearinghuis voor alleen debet- en credit cards transacties. De transacties gaan niet rechtstreeks naar de banken, maar moeten eerst worden verstuurd naar de credit card maatschappijen (VISA, Mastercard, etc.). Vervolgens worden de transacties doorgezonden naar een (Pan European) Automated Clearing House (PE-)ACH en de (PE-) ACH stuurt de 13

16 gegevens door naar het settlementproces. Voor de betalingen worden dezelfde netwerken en apparatuur gebruikt als voor betalingen die via een (PE-)ACH lopen. Processors, die alleen debet en credit kaart transacties afhandelen, hoeven niet te voldoen aan de SEPA (Single European Payment Area) 1 richtlijnen, maar wel aan de richtlijnen die voor de debet-/creditcard maatschappijen gelden. Het betreft hier vaak processors die voor een bepaalde keten/branche de clearing verrichten. ACH (Automated Clearing House) Dit type Clearinghuis verwerkt alle betalingstransacties, zowel kaart als betalingsopdrachten. De ACH biedt zowel de clearing (zoals een Processor) als de settlement functionaliteit aan. De betalingsopdrachten worden uitgewisseld tussen de verschillende deelnemende partijen middels een elektronisch clearing systeem. Vervolgens worden de opdrachten verzameld en aangeboden aan het settlement systeem om de daadwerkelijke betalingen te verrichten. De clearinghuizen zijn compliant voor één of meerdere SEPA betaalmiddelen. Het gaat hier om commercieel verwerkende partijen die voor de gehele sector (bijvoorbeeld hotels, tankstations, etc.) werken. Voorbeelden zijn First Data Corporation en TSYS. PE-ACH (Pan European Automated Clearing House) Dit zijn Clearinghuizen die voldoen aan de SEPA eisen die zijn opgesteld voor het verwerken van Europese betalingen en door het Clearing & Settlement Mechanism. De Clearinghuizen kunnen zowel domestic als cross-border betalingen afhandelen. Dit betekent dat betalingen van alle banken in de eurolanden en in eigen land verwerkt kunnen worden, hetzij indirect via intermediaire banken of direct door middel van koppelingen tussen infrastructuren. Het betreft hier vaak het interbancair betalingsverkeer. Voorbeelden zijn Equens SE (Nederland, Duitsland), VocaLink (Verenigd Koninkrijk), STET (Frankrijk). Het Multi-CSM model (zie figuur 2), is ontwikkeld door de European Automated Clearing House Association (EACHA), en geeft weer op welke wijze de infrastructuur kan worden ingericht voor het clearing en settlement om operabiliteit te kunnen borgen. In dit model zijn 1 Single European Payment Area. Zie hoofdstuk

17 de deelnemende CSM s op elkaar aangesloten, zodat zij naast hun eigen klanten (intra-csm) ook elkaars klanten (inter-csm) kunnen bereiken voor het verwerken van transacties. Intra CSM Bank Bank Bank PE-ACH Bank Bank ACH Bank PE-ACH Bank Inter CSM ACH Figuur 2: Multi-CSM model Bank 2.5. Toekomstige ontwikkelingen Sinds de introductie van de euro is de markt voor het elektronische betalingsverkeer volop in beweging. Diverse ontwikkelingen zijn gaande waardoor de stabiele monopolistisch positie van Clearinghuizen verleden tijd wordt. De belangrijkste ontwikkelingen in de markt voor de betalingsverkeer zijn: Groei non-cash payments De trend in de betalingsverkeer is dat cash payments in loop der tijd minimaal zullen worden en de non-cash payments (zoals betaalkaart betalingen, micro betalingen, e- wallets) enorm zullen toenemen. De Clearinghuizen zullen zich moeten voorbereiden om de grotere volumes te kunnen verwerken. Veeleisende klanten Grote corporaties (bijvoorbeeld: IKEA, Shell, Vodafone) verlangen steeds hogere kwaliteit voor concurrerende prijzen. Zij sturen nadrukkelijk op het verlagen van de kosten van hun betalingsverkeer. Daarnaast wordt de verwerking van betalingen soms bij meerdere Clearinghuizen uitgevoerd. Deze ontwikkeling zal leiden tot een consolidatieslag waarbij alle transacties in de toekomst bij slechts één Clearinghuis wordt ondergebracht. Transparantie markt Op Europees niveau is besloten om te komen tot een gemeenschappelijke, transparante 15

18 betaalmarkt. Binnen de eurozone kunnen bedrijven voor hun betalingsverkeer diensten afnemen bij vele aanbieders. Sinds de Directive on Payment Services (PSD) van kracht is, is het juridische kader vastgelegd voor interne competitie op de Europese betaalmarkt. Standaardisatie Vanuit regelgeving (SEPA) wordt standaardisatie van betalingsverwerking geëist. Deze standaardisatie maakt differentiatie moeilijker, waardoor de concurrentie zich voornamelijk zal richten op prijs, kwaliteit en service niveau. Dit vergt een andere benadering van de markt en een andere manier waarop de business wordt gedreven. Nieuwe toetreders Door de transparantie van de markt en de standaardisatie zien diverse marktpartijen (ATOS, EDS, IBM etc.) kansen in de markt voor betalingsverkeer. Het betreft grote spelers in de outsourcing-branche. De ervaring die zij hebben in outsourcing en relatiebeheer van grote wereldwijde ondernemingen zetten zij in om de markt open te breken. Fusies, joint ventures en overnames Door de open markt zullen er zowel veel nieuwe toetreders als fusies, joint ventures en overnames plaatsvinden. Grote partijen proberen in diverse Europese landen marktpositie te verkrijgen. Wet- en regelgeving Door nieuwe en verscherpte wet- en regelgeving (SEPA, Basel III, ISEA 3402, PCI-DSS) zullen investeringen moeten worden gedaan om aan deze wet- en regelgeving te kunnen voldoen. Daarnaast zullen de kosten om compliant te blijven toenemen. Dit maakt het in de toekomst moeilijker om winstgevend te blijven en zal er een efficiency slag moeten plaatsvinden. Geconcludeerd kan worden dat de wereld van transacties en betalingen heftig in beweging is, dat veroorzaakt wordt door technologische ontwikkelingen, veranderingen in wet- en regelgeving, invoering van marktwerking, consolidatie, en door het toetreden van nieuwe partijen. Deze dynamiek vormt een bedreiging voor de huidige partijen, maar biedt ook kansen voor nieuwe partijen. 16

19 3. Richtlijnen betalingsverkeer Er zijn diverse richtlijnen opgesteld voor de infrastructuur van het elektronisch betalingsverkeer. De richtlijnen zijn onder andere de Single European Payment Area (SEPA) en Payment Card Industry Data Security Standard (PCI-DSS). De richtlijnen die SEPA voorschrijft, zorgen voor standaardisatie van het Europese betalingsverkeer. De PCI-DSS richtlijnen zorgen voor de beveiliging van het betalingsverkeer van betaalkaarten (zie hoofdstuk 3.2). Voor beide richtlijnen geldt dat clearinghuizen compliant moeten zijn om deze betalingen te mogen verwerken Single European Payment Area (SEPA) De richtlijnen die moeten worden gevolgd om betalingen te kunnen verwerken, zijn vastgelegd in de SEPA (Single European Payment Area) Directive. SEPA is ontstaan na invoering van de euro. De invoering van de euro maakt het mogelijk om met één enkele valuta contante betalingen te verrichten in het gehele eurogebied (nu 17 landen). Naast de standaardisatie van de contante betalingen is door middel van SEPA ook de standaardisatie van het elektronische betalingsverkeer in de eurolanden tot stand gekomen en vastgelegd. Om ervoor te zorgen dat de standaarden in alle eurolanden worden uitgevoerd is door de Economische Commissie een richtlijn opgesteld die de rechten en plichten heeft vastgelegd voor de gebruiker en aanbieder van betaaldiensten. Deze richtlijn is uitgewerkt in de Payment Service Directive (PSD) en vormt een juridische basis voor SEPA. Om tot een standaardisatie te komen hebben Europese banken zich verenigd in de European Payment Council (EPC). Het EPC heeft specifieke regelgeving, afspraken en standaarden opgesteld, die geïmplementeerd moeten worden om het Europese betalingsverkeer in euro s mogelijk te maken. 17

20 De standaarden hebben betrekking op: Verwerking van betalingen tussen banken: - SEPA Credit Transfer (overboekingen) - SEPA Direct Debit (incasso s) Dit zijn de zogenaamde rulebooks die beogen: - Technische standaardisatie: Het realiseren van gestandaardiseerde verwerking van transacties tussen banken onderling; - Stroomlijning van verwerkingsprocessen: Meer uniforme interpretatie en werkwijze tussen banken onderling (bijvoorbeeld bij het terugdraaien van betaalopdrachten); - Interoperabiliteit: De verwerking van overschrijvingen en incasso s is bij alle verwerkers in SEPA hetzelfde. Hierdoor zullen banken uit veel meer verwerkers ('Processors') van betalingsverkeer kunnen kiezen dan nu. Opzet en structuur van de markt: - SEPA Cards Framework (SCF): Raamwerk voor debet- en creditkaarten waarin vastgesteld is waaraan verschillende uitgevers, systemen en ook banken moeten voldoen. - PE-ACH/CSM Framework (Pan European- Automated Clearing House/Clearing & Settlement Mechanism): Raamwerk waarin de regels voor Processoren in het eurogebied zijn vastgelegd. De EBA(European Banking Association) en de EACHA (European Automated Clearing House Association) hebben hiervoor verschillende infrastructuren beschreven. Waarbij de EBA zich voornamelijk richt op de inrichting van PE-ACH, terwijl de EACHA meer gericht is op de operabiliteit van de ACHs. Het raamwerk beoogt voornamelijk: - Ontvlechting en verbetering van de governance: De nationale verwerker van betalingen kan niet gelijktijdig ook de productbeheerder zijn. - Transparantie: Open en heldere regels voor zowel banken als verwerkers. 18

21 - Verbeterde toegang en marktwerking: Door de rollenscheiding en transparantie wordt het makkelijker voor banken en verwerkers om grensoverschrijdend uit te breiden. - Interoperabiliteit: De back office verwerking is in SEPA overal hetzelfde voor alle transacties en alle verwerkers van betalingsverkeer. Banken zullen hierdoor uit veel meer verwerkers van betalingsverkeer kunnen kiezen en winkeliers uit veel meer leveranciers van betaaldiensten voor kaartbetalingen dan nu het geval is. De SEPA standaard gaat primair over uniformiteit en organisatie van het betalingsverkeer tussen banken (de back office') in een open Europese markt. Er zijn geen kant-en-klare gezamenlijke producten gemaakt. Het is aan de (individuele) banken om producten te ontwikkelen. De toezicht op naleving wordt door de Europese Centrale Bank (ECB) uitgevoerd. De ECB volgt de voortgang van SEPA in de eurolanden en daarnaast ziet de ECB toe op de kwaliteit van de implementatie van SEPA. De richtlijnen en de samenhang tussen de verschillende partijen zijn in onderstaand figuur samengevat: Figuur 3: Richtlijnen en samenhang SEPA Naast de Europese richtlijnen is tevens een begin gemaakt met het opstellen van regels, standaarden, procedures en richtlijnen voor het internationale betalingsverkeer gericht op basis van de ISO Norm (gelijk aan SEPA). Hiervoor is het International Payment Framework Association (IPFA) opgericht. De IPFA heeft als doel de regels voor het uitwisselen van 19