Anzeige

PSD2

Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist

Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

Warum mischt sich die EU überhaupt in den Zahlungsverkehr ein?

Die PSD2 ist der zweite Teil der bereits bestehenden Zahlungsdiensterichtlinie aus dem Jahr 2007. Ihr Ziel ist es, Betrug und böswillige Aktivitäten zu bekämpfen und für mehr Sicherheit bei Online-Zahlungen zu sorgen. Außerdem soll sie Open Banking fördern und mehr Wettbewerb schaffen. 

In den letzten Jahren hat es bereits zahlreiche Initiativen gegeben, um die Nutzung digitaler Dokumente zu fördern und die digitale Sicherheit zu erhöhen. Der kontinuierliche Aufstieg von Finanztechnologieunternehmen (auch FinTechs genannt) ist Beweis genug.

Was bedeutet RTS SCA/CSC für PSD2?

Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) gleichermaßen einhalten müssen, um PSD2-konform zu sein.

Die RTS sind vor kurzem in Kraft getreten. Ein zentrales Prinzip dieser Standards ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen, welche die Authentizität und Integrität der Daten gewährleisten.

Die Rolle von qualifizierten Zertifikaten in PSD2

Die RTS spezifizieren zwei Hauptanforderungen, zu denen die Verwendung von Zertifikaten zählt:

  • Identifikation des Zahlungsdienstleisters (Artikel 34 der RTS) - PSPs müssen sich gegenüber der API des Finanzinstituts identifizieren. Die RTS verlangen zu diesem Zweck speziell die Verwendung eines Qualifizierten Zertifikats für die Website-Authentifizierung (QWAC) oder von Qualifizierten Zertifikaten für elektronische Siegel (QSealC).
  • Zwischen allen kommunizierenden Parteien muss eine sichere Verschlüsselung eingesetzt werden (Artikel 35 der RTS) – Die RTS schreiben hier nicht die Verwendung von QWACs vor, sondern verlangen lediglich, dass "starke und allgemein anerkannte Verschlüsselungstechniken" verwendet werden. Die Verwendung von SSL/TLS-Protokollen durch QWACs erfüllt diese Anforderung.

Welche Art von qualifizierten Zertifikaten brauche ich?

Um beide der oben genannten Anforderungen zu erfüllen, empfiehlt die EBA (Europäische Bankenaufsichtsbehörde) die Verwendung von QWACs und QSealCs.

QWACs sind im Wesentlichen qualifizierte SSL/TLS-Zertifikate. Sie werden verwendet, um Endpunkte wie Banken und Drittanbieter zu identifizieren und Daten während der Übertragung zu verschlüsseln und zu schützen.

QSealCs hingegen schützen Daten und Dokumente vor Manipulationen und identifizieren die Herkunft der Daten.

Die Verwendung beider Zertifikatstypen ist ideal, weil die Folgendes sicherstellen:

  • PSPs können sich gegenüber Finanzinstituten identifizieren. Sowohl QWAC als auch QSealC authentifizieren die Parteien anhand der Zertifikate.
  • Vertraulichkeit und Integrität für die Kommunikation zwischen allen Parteien. QWAC verwendet SSL/TLS zur Verschlüsselung der Sitzungen und zum Schutz der Daten während der Übertragung.
  • Alle Daten stammen tatsächlich von dem im Zertifikat identifizierten PSP. QSealC identifiziert, woher die Daten stammen, und schützt sie vor Manipulationen.
Lea Toms, Regional Marketing Manager
Lea Toms
Regional Marketing Manager, GlobalSign Ltd.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!