Anzeige

Inwiefern unterscheiden sich qualifizierte Zertifikate für PSD2 von „normalen“ qualifizierten Zertifikaten?

QWACs und QSealCs fallen in die Kategorie der qualifizierten elektronischen Zertifikate. Zusätzlich zu den üblichen Zertifikatfeldern, wie O für Organisation, OU für Organisationseinheit und C für Land, enthalten sie drei zusätzliche Felder:

  • Die Autorisierungsnummer des TPP
  • Die PSD2-Rolle(n) des TPP
  • Den Namen der zuständigen nationalen Behörde

Wie genau funktioniert das? 

Das klingt alles kompliziert - die PSD2-Gesetzgebung bringt nicht nur eine Menge Akronyme und Abkürzungen mit sich, sondern es sind auch viele verschiedene Parteien beteiligt. Wir haben eine Grafik erstellt, um das Verfahren zu visualisieren:

PSD2 Stakeholder

  • Zuerst muss sich der PSP bei der jeweils zuständigen nationalen Behörde registrieren.
  • Diese wird sich dann an einen QVDA (qualifizierter Vertrauensdiensteanbieter (QTSP = Qualified Trust Service Provider)) wie etwa GlobalSign wenden, um ein qualifiziertes Zertifikat anzufordern.
  • GlobalSign verwendet das öffentliche Register, das die zuständige nationale Behörde erstellt, um den Zahlungsdienstleister zu validieren und stellt das QWAC und/oder QSealC für den PSP aus.
  • Der Zahlungsdienstleister verwendet die API(s) des Finanzinstituts, um auf Kundeninformationen und Zahlungsnetzwerke zuzugreifen. QWACs und QSealCs werden verwendet, um den PSP zu identifizieren, die gesamte Kommunikation zwischen dem PSP und dem Kunden zu verschlüsseln und Daten vor Manipulationen zu schützen.
  • Wenn ein Endkunde Daten anfordert, werden die Daten sicher vom Finanzinstitut über den PSP an den Endkunden gesendet.

Was heißt das für Banken? 

Finanzinstitute haben den Auftrag, bis September 2019 Open Banking zu ermöglichen. Jeder Drittanbieter, der auf Daten zugreifen möchte, muss bei seiner zuständigen nationalen Behörde (National Competent Authority NCA) registriert und von dieser genehmigt worden sein. Mit einer erfolgreich erworbenen Lizenz kann man dann QWACs und QSeals erwerben und im Gegenzug Zugang zu den APIs der Finanzinstitute beantragen. 

Wie bekomme ich ein QWAC oder QSealC für PSD2?

Diese Zertifikate sind von QVDAs wie GlobalSign erhältlich. PSPs und andere Drittanbieter (Third Party Providern, TPP) können sie erwerben, nachdem sie von der zuständigen nationalen Behörde genehmigt wurden.

Lea Toms, Regional Marketing Manager
Lea Toms
Regional Marketing Manager, GlobalSign Ltd.

Weitere Artikel

Cyber-Lockdown

Ein Jahr im Cyber-Lockdown. Was haben wir gelernt?

Als die aktuelle Pandemie Anfang letzten Jahres aufkam, fühlte sich nicht jeder Arbeitnehmer wohl bei der Umstellung auf eine digitalisierte Arbeitswelt – besonders da dieser Wechsel praktisch von heute auf Morgen passierte.
Phishing

Nutzer sind besser gegen COVID-19-bezogene Phishing-Angriffe gewappnet

KnowBe4, Anbieter der Plattform für Security Awareness Training und Phishing-Simulationen, gab die Ergebnisse seiner Phishing-Untersuchungen für das 1. Quartal 2021 bekannt.
Cyber Security

Nur zwölf Prozent der Unternehmen haben SASE vollständig eingeführt

NetMotion, ein Anbieter von Sicherheitslösungen für die weltweit wachsende Zahl mobiler und aus der Ferne tätiger Arbeitskräfte, hat die Ergebnisse seiner ersten globalen SASE-Studie bekannt gegeben.
Asset Management

Wie Sicherheitsteams nicht sichtbare Assets aufdecken können

Fünf Fragen und Antworten wie Sicherheitsteams nicht sichtbare Assets aufdecken können, beantwortet von Todd Carroll, CISO/VP CyberOperations bei CybelAngel.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.