Chapitre 2 - Évaluation des TIC des PSP (« PSP ICT
Circulaire CSSF 25/880 sur la gestion des relations avec les utilisateurs de services de paiement et l'évaluation TIC des PSP · CSSF 25/880
Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») 8. Conformément à l’article 105-1, paragraphe 2, de la LSP, les PSP ont l’obligation de fournir à la CSSF une évaluation des risques à jour et exhaustive en matière de services de paiement (ci-après « PSP ICT Assessment »). La CSSF a développé un formulaire standardisé pour le PSP ICT Assessment à utiliser par tous les PSP. L’objectif de ce formulaire standardisé du PSP ICT Assessment est de mettre à la disposition des PSP des lignes directrices sur les attentes de la CSSF par rapport aux informations à fournir par le biais du PSP ICT Assessment, et ainsi atteindre un certain degré d’harmonisation et de comparabilité entre les différents PSP ICT Assessments.
9. En ce qui concerne le champ d’application du PSP ICT Assessment, il est à noter que :
a) Les établissements dont le modèle d’affaires n’inclut pas la prestation de services de paiement (tels que définis à l’article 1er, point 38), de la LSP), n’ont pas à fournir de PSP ICT Assessment. À partir du moment où le modèle d’affaires d’un établissement
6 Tels que définis à l’article 1er, point 46), de la LSP
comprend la prestation de services de paiement, l’établissement doit soumettre à la CSSF, pour l’année civile en question, un PSP ICT Assessment. b) Les succursales originaires d’un État membre de l’EEE établies au Luxembourg, qui offrent des services de paiement, n’ont pas à fournir de PSP ICT Assessment à la CSSF. Par contre, les PSP luxembourgeois qui ont établi des succursales dans d’autres pays de l’EEE et qui fournissent des services de paiement, doivent inclure ces succursales dans leur PSP ICT Assessment. Dans le cas de figure où l’évaluation des risques liés aux TIC et à la sécurité pour ces succursales s’écarte de celle du PSP, ceci est à préciser dans le PSP ICT Assessment 7.
10. Tous les PSP doivent soumettre le formulaire PSP ICT Assessment, dûment complété, à la CSSF sur une base annuelle, au plus tard le 31 mars de chaque année et couvrant l’année civile précédente.
11. Le formulaire PSP ICT Assessment est disponible sur le portail eDesk de la CSSF à l’adresse suivante : https://edesk.apps.cssf.lu/.
Le PSP ICT Assessment doit être validé par l’organe de direction du PSP, c’est-à-dire au moins par le membre de l’organe de direction responsable de la fonction TIC. Cette validation est à préciser dans la section du PSP ICT Assessment y relative.
Le PSP ICT Assessment, dûment complété et validé, doit être soumis sur une base annuelle par un membre de l’organe de direction à la CSSF exclusivement par le portail eDesk de la CSSF.
Au Luxembourg, le PSP ICT Assessment est ancre dans l'article 105-1, paragraphe 2 de la loi du 10 novembre 2009 relative aux services de paiement (LSP), et la CSSF impose un formulaire standardisé exclusivement via le portail eDesk, sans tolerance pour les soumissions hors canal. La validation par le membre de l'organe de direction responsable de la fonction TIC est une condition de recevabilite : une soumission non validee est considérée comme non deposee, exposant le PSP a une procédure de sanction administrative de la CSSF au titre de l'article 111 LSP.
Pratique Luxgap : nous integrons systématiquement la chaîne de signature LuxTrust dans le workflow de validation et nous archivons la preuve dans un coffre-fort probatoire eIDAS, opposable en cas de contrôle sur place CSSF.