Anzeige

PSD2

Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist

Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

Warum mischt sich die EU überhaupt in den Zahlungsverkehr ein?

Die PSD2 ist der zweite Teil der bereits bestehenden Zahlungsdiensterichtlinie aus dem Jahr 2007. Ihr Ziel ist es, Betrug und böswillige Aktivitäten zu bekämpfen und für mehr Sicherheit bei Online-Zahlungen zu sorgen. Außerdem soll sie Open Banking fördern und mehr Wettbewerb schaffen. 

In den letzten Jahren hat es bereits zahlreiche Initiativen gegeben, um die Nutzung digitaler Dokumente zu fördern und die digitale Sicherheit zu erhöhen. Der kontinuierliche Aufstieg von Finanztechnologieunternehmen (auch FinTechs genannt) ist Beweis genug.

Was bedeutet RTS SCA/CSC für PSD2?

Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) gleichermaßen einhalten müssen, um PSD2-konform zu sein.

Die RTS sind vor kurzem in Kraft getreten. Ein zentrales Prinzip dieser Standards ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen, welche die Authentizität und Integrität der Daten gewährleisten.

Die Rolle von qualifizierten Zertifikaten in PSD2

Die RTS spezifizieren zwei Hauptanforderungen, zu denen die Verwendung von Zertifikaten zählt:

  • Identifikation des Zahlungsdienstleisters (Artikel 34 der RTS) - PSPs müssen sich gegenüber der API des Finanzinstituts identifizieren. Die RTS verlangen zu diesem Zweck speziell die Verwendung eines Qualifizierten Zertifikats für die Website-Authentifizierung (QWAC) oder von Qualifizierten Zertifikaten für elektronische Siegel (QSealC).
  • Zwischen allen kommunizierenden Parteien muss eine sichere Verschlüsselung eingesetzt werden (Artikel 35 der RTS) – Die RTS schreiben hier nicht die Verwendung von QWACs vor, sondern verlangen lediglich, dass "starke und allgemein anerkannte Verschlüsselungstechniken" verwendet werden. Die Verwendung von SSL/TLS-Protokollen durch QWACs erfüllt diese Anforderung.

Welche Art von qualifizierten Zertifikaten brauche ich?

Um beide der oben genannten Anforderungen zu erfüllen, empfiehlt die EBA (Europäische Bankenaufsichtsbehörde) die Verwendung von QWACs und QSealCs.

QWACs sind im Wesentlichen qualifizierte SSL/TLS-Zertifikate. Sie werden verwendet, um Endpunkte wie Banken und Drittanbieter zu identifizieren und Daten während der Übertragung zu verschlüsseln und zu schützen.

QSealCs hingegen schützen Daten und Dokumente vor Manipulationen und identifizieren die Herkunft der Daten.

Die Verwendung beider Zertifikatstypen ist ideal, weil die Folgendes sicherstellen:

  • PSPs können sich gegenüber Finanzinstituten identifizieren. Sowohl QWAC als auch QSealC authentifizieren die Parteien anhand der Zertifikate.
  • Vertraulichkeit und Integrität für die Kommunikation zwischen allen Parteien. QWAC verwendet SSL/TLS zur Verschlüsselung der Sitzungen und zum Schutz der Daten während der Übertragung.
  • Alle Daten stammen tatsächlich von dem im Zertifikat identifizierten PSP. QSealC identifiziert, woher die Daten stammen, und schützt sie vor Manipulationen.
Lea Toms, Regional Marketing Manager
Lea Toms
Regional Marketing Manager, GlobalSign Ltd.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!