Heute informieren wir Sie über die aktuellen Aktivitäten des Bank-Verlags zur Umsetzung der PSD2-Anforderungen. Basierend auf unseren Erfahrungen mit unseren Online-Banking-Services, den dazugehörigen Sicherheitsthemen und den Anforderungen der MaSI sind wir der richtige Ansprechpartner, wenn es um – aktive oder passive – Lösungen rund um das Thema PSD2 geht. 

Wir liefern Ihnen fristgerecht das „Rundum-sorglos-Paket“, das neben der verpflichtend bereit zu stellenden Schnittstelle eine Vielzahl weiterer Dienstleistungen rund um die PSD2 abdeckt. Dabei unterstützen wir sowohl Institute, die bereits unsere E-Banking-Plattform nutzen, als auch Banken mit eigenen Anwendungen, indem wir Ihnen einzelne Komponenten liefern, die Sie in bestehende Systeme integrieren können.

Wir bieten Ihnen einen umfassenden Service im Umgang mit den Anfragen von Drittdienstleistern (TPP) im Rahmen der PSD2 an, einschließlich der notwendigen Sicherheitsmaßnahmen zur Ablehnung gesperrter TPP und dem Consent Management für Kunden der jeweiligen Bank. Systemkomponenten wie Limit-Prüfungen und Fraud Management stehen selbstverständlich auch im Rahmen der PSD2-Services zur Verfügung. 

Die PSD2-Schnittstelle wird zur Anbindung des TPP gemäß Berlin Group Standard V 1.3 (Embedded Approach) umgesetzt. Folgende Services können damit realisiert werden:

• Zahlungsauslösedienst: Service für TPP, um Zahlungen im Auftrag der Kunden des Auftraggebers einzureichen.
• Kontoinformationsdienst: dient der Abholung von Kontodetails, -transaktionen und -salden durch den TPP)
• Deckungsabfragedienst: Deckungsabfrage eines Zahlungsdienstleisters für einen bestimmten Betrag gegen ein bestimmtes Konto – nach vorheriger Karten-/Kontenzuordnung durch den Auftraggeber.

Diese Services werden ergänzt durch 

• Zugriffshistorie: Der Bank-Verlag stellt eine Zugriffshistorie zur Verfügung, damit sichtbar wird, welcher TPP auf die jeweiligen Konten mit welchem Geschäftsvorfall zugegriffen hat.
• Monitoring der PSD2-Schnittstelle: Im Rahmen des Monitorings werden Performance- und Verfügbarkeitsstatistiken zur Verfügung gestellt.
• In Verbindung mit Fraud Management-System BV Detect des Bank-Verlags kann auch das Fraud Reporting als weitere Monitoring-Funktion bereitgestellt werden.

Vorab stellt der Bank-Verlag den TPP ein entsprechendes Testsystem zur Verfügung. Zu dem Testsystem wird der entsprechende Entwicklersupport (z. B. Best Practice/FAQ) geleistet. Darüber hinaus liefert der Bank-Verlag die Schnittstellendokumentation für die TPP, in welcher der genaue Leistungsumfang (z. B. API-Endpoints, SCA-Ansatz) definiert ist.

Zusatzdienste (Additional Offered Services)

Mit Zusatzdiensten hat die Bank die Möglichkeit zur Monetarisierung der Schnittstelle gegenüber Dritten, z. B.:

• Abruf zusätzlicher Konten (z. B. Depotkonten) gegen Gebühr
• Liquiditätsplanung (Vormerkposten werden berücksichtigt)
• Zinsauswertungen

Die Schnittstelle ist flexibel an die jeweiligen Anforderungen der Banken anpassbar.

Ausnahmeregelung bei der Zweifaktorauthentifizierung

Für folgende Geschäftsvorfalle kann der Verzicht auf den zweiten Faktor im Rahmen der Strong Customer Authorization (SCA) bei der Zweifaktorauthentifizierung festgelegt werden:

• Abruf von Kontoinformationen innerhalb von 90 Tagen
• Zahlungsauslösung für Empfänger, die sich auf der White-List (vertrauenswürdiger Begünstigter) befinden
• Zahlungsauslösung für Kleinstbetragszahlungen (max. 30€/Transaktion und max. 100€ seit letzter SCA oder max. 5 Transaktionen seit letzter SCA).

Die Bank kann die gewünschten Ausnahmeregelungen selber über ein zur Verfügung gestelltes Modul verwalten.

Aktive PSD2-Lösung

Sollte die Bank selbst eine aktive Rolle in der PSD2 wahrnehmen wollen, liefert der Bank-Verlag ein modernes multibankfähiges Online-Banking auf Basis der PSD2-Schnittstellen u. a. mit folgenden Eigenschaften:

• Responsive-Design-Technologie ermöglicht die komfortable Nutzung auf allen möglichen Endgeräten
• Trennung nach Privat- und Geschäftskonten, damit für Privatkunden und kleinere Gewerbetreibende ideal nutzbar
• Kategorisierung von Umsätzen
• Auswertungen nach Liquidität, Salden usw.

PSD2-konforme Legitimationsverfahren

Mittels der zentralen Authentifikationsplattform BV Secure des Bank-Verlags wird die einfache und sichere Umsetzung PSD2-konformer Legitimationsverfahren mit folgenden Eigenschaften ermöglicht:

• Alle Legitimationsverfahren in einem zentralen, hochsicheren und hochverfügbaren System
• Alle Legitimationsdaten über HSM verschlüsselt in der Datenbank gespeichert
• Einfach zu bedienende Schnittstelle zur Bank über https mit Client-Authentifizierung
• Anbindung der Autorisierungszentrale aus dem kartengestützten Zahlungsverkehr für Sperrlistenprüfung
• Anbindung Druckstraße zum Druck jeder Art von Sicherheitsformularen (z. B. PIN- und Aktivierungs-Briefe)
• Anbindung an SMS-Provider für mobiles TAN-Verfahren

Die neuen Legitimationsverfahren „photoTAN“ und „BV AppTAN“  in BV Secure sind in vollem Umfang PSD2-konform.

PSD2-Fraudmanagement-System BV Detect

BV Detect ist bereits seit Einführung der MaSI (Mindestanforderung an die Sicherheit von Internetzahlungen) in 2015 im produktiven Betrieb. Es wurde seither immer weiter an neue Anforderungen angepasst und zeichnet sich u. a. durch folgende Eigenschaften aus:

• Analyse in Echtzeit
• Bewertung von Vorgängen einer Anwendung mittels verschiedenster Sensoren
• Gewinnung technischer und fachlicher Indikatoren für die Risikobewertung von Transaktionen
• System mit stetig erweiterbarer Sensorik, die der aktuellen Bedrohungslage angepasst wird
• Auswertung der historischen Daten durch statistische Analysen
• Prüfung einer Transaktion gegen alle verfügbaren Sensoren
• Auswertung der Sensorergebnisse anhand eines Entscheidungsbaums
• Sensoren können auch risikomindernd sein z. B. durch Whitelisting

PSD2-konforme Zertifikate

Der Bank-Verlag befindet sich in der Zulassung als Vertrauensdiensteanbieter nach eIDAS für qualifizierte Fernsignaturen und Fernsiegel durch die Bundesnetzagentur. Außerdem erfolgt auch die erforderliche Zulassung für PSD2-Website-Zertifikate durch das BSI.

Was bedeutet das konkret?

Für den Zugang zu Zahlungskonten müssen sich Dritte als Kontoinformationsdienst oder Zahlungsauslösedienst identifizieren. Der EBA RTS, Artikel 20 fordert, dass die Identifizierung der Dritten auf der Nutzung von Zertifikaten gemäß der eIDAS-Verordnung basieren muss. Dadurch wird das benötigte Vertrauensniveau der Identifizierung sichergestellt, da die Ausgabe der Zertifikate durch Vertrauensdiensteanbieter erfolgt, die das benötigte Sicherheitsniveau erfüllen. Über die Trusted Lists der Aufsichtsbehörden ist eine grenzüberschreitende Anerkennung der Zertifikate sichergestellt. Die Verwendung von qualifizierten Zertifikaten ist über ETSI TS 119 495 V1.1.2 (2018-07) geregelt.

Mit Hilfe der eIDAS-Webseitenzertifikate werden folgende Punkte nachgewiesen:

• Der Absender (TPP) verfügt über eine entsprechende Zulassung durch die nationale Aufsichtsbehörde.
• Diese Zulassung wurde nicht entzogen.
• Durch den Inhalt des Zertifikats kann der TPP (europaweit) eindeutig identifiziert werden.
• Durch den Inhalt des Zertifikats ist erkennbar, welche Zugriffsrechte der Dritte hat, d. h. in welcher Rolle er den Zugriff durchführt.

Der Inhalt dieser Zertifikate umfasst

• den Namen der nationalen Aufsichtsbehörde,
• die Registrierungsnummer des TPP sowie
• die Rolle des TPP.

Schon heute kann der Bank-Verlag entsprechende Testzertifikate erstellen. Im Rahmen der Ausstellung der Zertifikate durch den Bank-Verlag werden die Zertifikatsanfragen der TPP gegen öffentliche Register validiert.

Schnittstelle zwischen Bank und Bank-Verlag

Für Banken, die bereits heute die E-Banking-Services des Bank-Verlags nutzen, erfolgt die Datenanlieferung auf Basis der vorhandenen technischen Infrastruktur. Banken mit eigenen E-Banking-Anwendungen können die Services ebenfalls nutzen. Die Datenanlieferung wäre dann separat abzustimmen, z. B. über Webservices oder FinTS.

Aktueller Umsetzungsplan