Chapitre 2 - Évaluation des TIC des PSP (« PSP ICT
CSSF Circular 25/880 on payment service user relationships and PSP ICT assessment · CSSF 25/880
Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») 8. Conformément à l’article 105-1, paragraphe 2, de la LSP, les PSP ont l’obligation de fournir à la CSSF une évaluation des risques à jour et exhaustive en matière de services de paiement (ci-après « PSP ICT Assessment »). La CSSF a développé un formulaire standardisé pour le PSP ICT Assessment à utiliser par tous les PSP. L’objectif de ce formulaire standardisé du PSP ICT Assessment est de mettre à la disposition des PSP des lignes directrices sur les attentes de la CSSF par rapport aux informations à fournir par le biais du PSP ICT Assessment, et ainsi atteindre un certain degré d’harmonisation et de comparabilité entre les différents PSP ICT Assessments.
9. En ce qui concerne le champ d’application du PSP ICT Assessment, il est à noter que :
a) Les établissements dont le modèle d’affaires n’inclut pas la prestation de services de paiement (tels que définis à l’article 1er, point 38), de la LSP), n’ont pas à fournir de PSP ICT Assessment. À partir du moment où le modèle d’affaires d’un établissement
6 Tels que définis à l’article 1er, point 46), de la LSP
comprend la prestation de services de paiement, l’établissement doit soumettre à la CSSF, pour l’année civile en question, un PSP ICT Assessment. b) Les succursales originaires d’un État membre de l’EEE établies au Luxembourg, qui offrent des services de paiement, n’ont pas à fournir de PSP ICT Assessment à la CSSF. Par contre, les PSP luxembourgeois qui ont établi des succursales dans d’autres pays de l’EEE et qui fournissent des services de paiement, doivent inclure ces succursales dans leur PSP ICT Assessment. Dans le cas de figure où l’évaluation des risques liés aux TIC et à la sécurité pour ces succursales s’écarte de celle du PSP, ceci est à préciser dans le PSP ICT Assessment 7.
10. Tous les PSP doivent soumettre le formulaire PSP ICT Assessment, dûment complété, à la CSSF sur une base annuelle, au plus tard le 31 mars de chaque année et couvrant l’année civile précédente.
11. Le formulaire PSP ICT Assessment est disponible sur le portail eDesk de la CSSF à l’adresse suivante : https://edesk.apps.cssf.lu/.
Le PSP ICT Assessment doit être validé par l’organe de direction du PSP, c’est-à-dire au moins par le membre de l’organe de direction responsable de la fonction TIC. Cette validation est à préciser dans la section du PSP ICT Assessment y relative.
Le PSP ICT Assessment, dûment complété et validé, doit être soumis sur une base annuelle par un membre de l’organe de direction à la CSSF exclusivement par le portail eDesk de la CSSF.
In Luxembourg, the PSP ICT Assessment is anchored in article 105-1(2) of the law of 10 November 2009 on payment services (LSP), and the CSSF imposes a standardised form exclusively via the eDesk portal, with no tolerance for off-channel submissions. Validation by the management body member responsible for the ICT function is an admissibility condition: an unvalidated submission is deemed not filed, exposing the PSP to administrative sanction proceedings by the CSSF under article 111 LSP.
Luxgap practice: we systematically integrate the LuxTrust signature chain in the validation workflow and archive proof in an eIDAS evidentiary vault, opposable in case of CSSF on-site inspection.