신용정보관리업, PSD2, RTS, GDPR 개요 정리

[마이데이터 표준 API 관련 보안고려사항 ]

1. 네트워크

- 핀테크 업체(AISP)와 금융회사(ASPSP) 간 통신 안정성 => PSD2

- 

[주요 참고자료]

- 금결원 오픈 API(한국)

- 코스콤 오픈 API(한국)

- Berlin Group(독일)

- Polish API(폴란드)

- STET (프랑스)

- API Evaluation Group(EU) : API 표준 개설 중

- Open Banking(영국) - 9개 은행 참가

  - 2018년 1월 런칭

  - PSD2보다 더 확대적(예 : 가격 비교 가능)

  - Monzo 은행 : 개별 API => Open Banking 표준과 비슷

 - PSD2 관련 업종

  - Kreditech(신용정보 조사, 스페인, 폴란드, 신용기록없이 신용정보 분석 및 제공)

  - PPRO(페이먼트, 영국, 독일, 

* CFPS RR2018_06(Europe Payments Revolution)

[PSD2, GDPR 목적]

* General Data Protection Regulation

* Payment Service Directive II

- 개인정보에 대한 본인 제어권 부여

- 사용자 동의 시 추가 서비스 제공

- 명시적 동의의 의미가 다름 (PSD2, GDPR)

 * PSD2는 추가적인 계약을 통해 명시적 동의를 획득

[주요경과]

- 2015.8     : PSD2 개정 

- 2018.1.13 : PSD2 시행

- 2018.3.13 : RTS 승인

- 2018.3.25 : GDPR 시행

- 2019.9.13 : RTS 시행

[PSD2]

1. 개요

- EU의 2차 지급결제서비스 지침(Payment Service Directive)

- 사용자 인증 절차 강화, 인증정보 관리 보안 강화, 신규서비스 활성화를 위한 오픈 API 구현을 의무화

- 세부 구현은 별도 제정하여 19.9월 시행

* 용어정리

- AISP(Account Information Service Provider) : 은행별 계좌 정보 제공 서비스

- PISP(Payment Initiation Service Provider) : 은행간 자금 이체 서비스

- ASPSP(Account Servicing Payment Service Provider) : 계좌 제공 지급서비스 제공자(은행 등)

2. 주요 내용

- AISP, PISP의 의무규정 명문화

1) 주기적 테스트(1년이내마다), 이상거래 모니터링 수행

2) 사용자 인증 강화 : 2 Factor 인증, 거래정보 연동, 예외조항 규정(편의성 고려)

3) 인증정보 보호, 사기율 관리 등

4) 안전한 통신 표준 규정

- 거래 단말기간 상호 식별 및 거래내역 기록

- 기관간 통신 인터페이스 구현(오픈 API)

- PSP(Payment Service Provider) 유형

1) 계좌 입금/출급

2) 자금이체 기반 지불 (자동이체/직불이체/계좌이체)

3) 신용한도 기반 지불 (자동이체/직불이체/계좌이체)

4) 지불수단발행/지불거래취득

5) 송금

6) PISP, AISP

[GDPR] 

1. 개요

- 유럽연합의 개인정보보호법, General Data Protection Regulation

2. 주요 내용

1) 사전 동의(Consent)

EU 거주자에 대해 개인별로 식별 가능한 정보를 수집, 저장, 처리하는 조직(=정보 관리자, Controller)은 정보 주체로부터 사전 동의를 받아야 합니다. 동의를 구할 때에는 간략하고, 명확하고, 모든 법률적, 전문적 용어를 빼고 쉽게 어떤 정보 처리를 위해 어떤 동의가 필요하다는 것을 명확하게 설명해야 합니다.

2) 정보 수집, 처리 기록(Records of processing activities)

정보 주체로부터 개인정보를 수집하는 모든 조직은 어떤 목적에서 정보를 수집하고 있는지, 무슨 이유로 어떻게 해당 정보를 사용하거나 처리할 것이며 누구와 공유할 것인지 반드시 기록으로 남겨야 합니다.

3) 정보 침해 공지(Data breach notification)

정보 관리자는 개인정보 및 보안에 위협이 될 만한 모든 침해 사실에 대해 정보 주체에게 공지할 의무가 있습니다. 이 같은 공지는 침해 사실이 발견된 지 72시간 내에 전달되어야 합니다. 또한 정보 관리자를 위해 정보를 처리하는 모든 조직(=정보 처리자, Processor)은 모든 침해 사실에 대해 정보 관리자에게 지체 없이 알려야 합니다. 그리고, 기업은 자국의 정보 보호 당국에도 침해 사실을 보고하도록 규정합니다. 단, 특정한 경우 공지 의무에서 면제될 수 있습니다. 특정 경우란 정보가 암호화 되어 있거나, 가명 처리 등 비식별화된 경우를 말합니다. 침해된 정보로 각 개인의 신원을 직접적으로 밝힐 수 없거나 침해 발생 이후라도 신원 정보가 드러나는 것을 막기 위한 추후 조치를 했다면, 반드시 공지해야 할 의무는 없습니다.

4) 정보 보호를 위한 기술적, 조직적 조치(Data protection by design and by default)

EU 거주자의 정보를 다루는 조직은 제품과, 서비스를 계획하는 기본 단계부터 개인 정보 보호를 포함하고 전체 라이프 사이클 전반에 걸쳐 개인정보를 보호하는 것을 권장합니다. 개인 정보 침해를 막기 위한 조직적 절차나 적절한 기술적 제어 등을 통해 사전에 조치하고, 시행할 의무가 있습니다. 정보 관리자는 특정 상황에서 개인 정보 영향 평가(Data protection impact assessment)를 시행하여야 합니다. 개인 정보의 노출, 도용 위험이 있는 신기술의 사용이나 특정 정보 처리를 하는 경우, 영향도를 사전에 예상하여 정보를 확인하는 사람이 누구든지 해당 정보의 주체를 바로 식별할 수 없는 형태로 정보를 가공하도록 권고합니다.

5) 정보 열람권(Right of access)

정보 주체는 자신과 관련한 정보 관리자가 가진 개인 정보에 대해 사본을 요구하고 확보할 수 있습니다. 조직은 요청을 받으면 각 개인에게 현재 어디서, 무슨 목적으로 처리되고 있는지에 대해 답변을 해야 합니다. GDPR은 조직이 어떤 개인 정보를 보유하고 있는지, 현재 어떻게 사용되고 있는지, 누구와 공유하고 있는지, 어디서 해당 개인 정보를 얻었는지 기록하기 위해 알기 쉽고 명확한 수단을 보유하라고 요구하고 있습니다.

6) 정보 이동권(Right to data portability)

EU 거주자는 자신의 개인 정보를 한 정보 관리자로부터 다른 정보 관리자로 이동시키라고 요구할 권리를 가집니다. 정보 관리자는 표준적이고, 기기가 읽을 수 있는 형태로 요구 받은 정보를 제공해야 하며, 이러한 요구에 대해 어떠한 요금도 책정해서는 안됩니다.

7) 정보 삭제권(Right to erasure)

정보 주체는 조직에게 자기 개인 정보를 삭제하도록 요구할 권리를 가집니다. 또한 정보 주체는 정보 관리자에게 자기 개인 정보를 제 3자에게 전파, 공유, 처리하는 것을 중지하라고 요청할 권리가 있습니다. 정보 삭제는 개인 정보가 특정 조건을 위해 더 이상 필요치 않은 상황이나, 정보 주체가 해당 정보의 사용에 대한 동의를 철회하는 모든 상황에서 요구됩니다.

8) DPO(Data protection officer)의 지정

조직은 데이터 보호 책임을 지는 데이터 보호 관리자를 지정할 의무가 있으며, 특히 공공기관인 경우 더욱 중요합니다. 지정된 데이터 보호 관리자는 정보 관리자와 정보 처리자에게 개인 정보 처리 시 GDPR에서의 의무를 공지 및 조언하고, 해당 의무를 준수하는지 규칙적이고 체계적인 모니터링을 통해 감시해야 합니다. 또한 데이터 보호 관리자는 개인 정보 처리를 포함한 여러 사안과 관련해 연락책 역할을 수행할 책임이 있습니다.