Υλοποίηση μηχανισμού εφαρμογής του Γ.Κ.Π.Δ. σε συνδυασμό με την οδηγία P.S.D.2 για χρηματοπιστωτικά ιδρύματα εντός της Ευρωπαϊκής ένωσης

Abstract

Από το Μάιο του 2018 εφαρμόζεται καθολικά ο Γενικός Κανονισμός για την Προστασία των Δεδομένων (General Data Protection Regulation GDPR) σε όλα τα κράτη μέλη της Ευρωπαϊκής ένωσης. Με αυτόν το κανονισμό οι όλες οι επιχειρήσεις που διαχειρίζονται δεδομένα προσωπικού χαρακτήρα είναι υποχρεωμένες να διασφαλίζουν τη προστασία αυτών, τη συγκατάθεση συλλογής και επεξεργασίας τους και την επιλογή διαγραφής τους από τα πρόσωπα που αφορά. Περίπου την ίδια περίοδο εφαρμογής του ΓΚΠΔ, εφαρμόζεται σταδιακά και η οδηγία από όλα τα χρηματοπιστωτικά ιδρύματα της Ευρωπαϊκής ένωσης για όλα τα κράτη μέλη της, η PSD2. Η συγκεκριμένη οδηγία αποσκοπεί στην ενίσχυση της ασφάλειας των ηλεκτρονικών συναλλαγών πάσης φύσεως και στην εισαγωγή των Παρόχων Υπηρεσιών Πληρωμών οι οποίοι αναλαμβάνουν να διεκπεραιώνουν τις ηλεκτρονικές συναλλαγές πολιτών κατά ανάγκη αυτών σε συνεργασία με τις εκάστοτε τράπεζες που έχουν τους λογαριασμούς με τα χρήματα. Καλείται λοιπόν πλέον η κάθε τράπεζα να μοιράζεται με τους παρόχους αυτούς κατά απαίτηση των πελατών συγκεκριμένες πληροφορίες με τα στοιχεία τους. Έτσι λοιπόν χρειάζονται να δημιουργηθούν νέες υλοποιήσεις στα συστήματα των τραπεζών και των παρόχων ώστε να διασφαλίζεται η ισχυρή ασφάλεια και η ισχυρή ταυτοποίηση των ατόμων που επιλέγουν να κάνουν ηλεκτρονικές συναλλαγές με αυτό το τρόπο. Στη παρούσα εργασία θα αναφέρουμε κάποια σημεία του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR) τα οποία αποτελούν και θέμα προβληματισμού για την πλήρη εφαρμογή του νόμου σε ένα χρηματοπιστωτικό ίδρυμα. Στη συνέχεια επίσης θα επεκταθούμε σε κάποια σημεία της Payment Services Directive (PSD2) οδηγίας τα οποία επίσης αποτελούν θέμα προβληματισμού κατά την εφαρμογή της για τον ίδιο σκοπό. Τέλος περιγράφεται η υλοποίηση ενός συστήματος στα πλαίσια της παρούσας εργασίας που καλείται να εφαρμόσει κάποια σημεία του GDPR και της PSD2 και για τις ανάγκες του οποίου δημιουργήθηκαν δύο διεπαφές προγραμματισμού εφαρμογών ανεξάρτητες μεταξύ τους και ένα γραφικό επίσης ανεξάρτητο με τα δύο, περιβάλλον στο οποίο ο χρήστης εκτελεί τις συναλλαγές του. Οι διεπαφές εκ των οποίων η μία αφορά για παράδειγμα μια τράπεζα μη έχοντας καθόλου στοιχεία προσωπικού χαρακτήρα και η άλλη αφορά το πάροχο υπηρεσιών πληρωμών (για τους σκοπούς της εργασίας ας υποθέσουμε ότι είναι η Google) που έχει μόνο στοιχεία προσωπικού χαρακτήρα. Ο χρήστης με ένα απλό γραφικό περιβάλλον μπορεί να δημιουργήσει λογαριασμό στη τράπεζα χρησιμοποιώντας το λογαριασμό που έχει ήδη με τα προσωπικά του στοιχεία στη Google δίχως αυτά να χρειάζεται να τα κρατήσει η τράπεζα και να τα μοιραστεί μαζί της. Εν συνεχεία πραγματοποιεί συναλλαγές ηλεκτρονικές κατά τις οποίες για να ταυτοποιήσει η τράπεζα το χρήστη, επικοινωνεί με το πάροχο και εξουσιοδοτείται έτσι η πληρωμή. Στη συγκεκριμένη υλοποίηση χρησιμοποιείται αυστηρή εξακρίβωση ταυτότητας χρήστη (strong authentication) καθώς και διπλή ταυτοποίηση (two factor authentication). Ακόμα έχουν χρησιμοποιηθεί και όλα τα τελευταία πρότυπα κρυπτογράφησης και ασφάλειας των επικοινωνιών όπως η κρυπτογράφηση των προσωπικών στοιχείων εξακρίβωσης ταυτότητας δεδομένων με τη χρήση Argon2 hash generator.