Anzeige

PSD2

Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist

Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.

Warum mischt sich die EU überhaupt in den Zahlungsverkehr ein?

Die PSD2 ist der zweite Teil der bereits bestehenden Zahlungsdiensterichtlinie aus dem Jahr 2007. Ihr Ziel ist es, Betrug und böswillige Aktivitäten zu bekämpfen und für mehr Sicherheit bei Online-Zahlungen zu sorgen. Außerdem soll sie Open Banking fördern und mehr Wettbewerb schaffen. 

In den letzten Jahren hat es bereits zahlreiche Initiativen gegeben, um die Nutzung digitaler Dokumente zu fördern und die digitale Sicherheit zu erhöhen. Der kontinuierliche Aufstieg von Finanztechnologieunternehmen (auch FinTechs genannt) ist Beweis genug.

Was bedeutet RTS SCA/CSC für PSD2?

Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) gleichermaßen einhalten müssen, um PSD2-konform zu sein.

Die RTS sind vor kurzem in Kraft getreten. Ein zentrales Prinzip dieser Standards ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen, welche die Authentizität und Integrität der Daten gewährleisten.

Die Rolle von qualifizierten Zertifikaten in PSD2

Die RTS spezifizieren zwei Hauptanforderungen, zu denen die Verwendung von Zertifikaten zählt:

  • Identifikation des Zahlungsdienstleisters (Artikel 34 der RTS) - PSPs müssen sich gegenüber der API des Finanzinstituts identifizieren. Die RTS verlangen zu diesem Zweck speziell die Verwendung eines Qualifizierten Zertifikats für die Website-Authentifizierung (QWAC) oder von Qualifizierten Zertifikaten für elektronische Siegel (QSealC).
  • Zwischen allen kommunizierenden Parteien muss eine sichere Verschlüsselung eingesetzt werden (Artikel 35 der RTS) – Die RTS schreiben hier nicht die Verwendung von QWACs vor, sondern verlangen lediglich, dass "starke und allgemein anerkannte Verschlüsselungstechniken" verwendet werden. Die Verwendung von SSL/TLS-Protokollen durch QWACs erfüllt diese Anforderung.

Welche Art von qualifizierten Zertifikaten brauche ich?

Um beide der oben genannten Anforderungen zu erfüllen, empfiehlt die EBA (Europäische Bankenaufsichtsbehörde) die Verwendung von QWACs und QSealCs.

QWACs sind im Wesentlichen qualifizierte SSL/TLS-Zertifikate. Sie werden verwendet, um Endpunkte wie Banken und Drittanbieter zu identifizieren und Daten während der Übertragung zu verschlüsseln und zu schützen.

QSealCs hingegen schützen Daten und Dokumente vor Manipulationen und identifizieren die Herkunft der Daten.

Die Verwendung beider Zertifikatstypen ist ideal, weil die Folgendes sicherstellen:

  • PSPs können sich gegenüber Finanzinstituten identifizieren. Sowohl QWAC als auch QSealC authentifizieren die Parteien anhand der Zertifikate.
  • Vertraulichkeit und Integrität für die Kommunikation zwischen allen Parteien. QWAC verwendet SSL/TLS zur Verschlüsselung der Sitzungen und zum Schutz der Daten während der Übertragung.
  • Alle Daten stammen tatsächlich von dem im Zertifikat identifizierten PSP. QSealC identifiziert, woher die Daten stammen, und schützt sie vor Manipulationen.
Lea Toms, Regional Marketing Manager
Lea Toms
Regional Marketing Manager, GlobalSign Ltd.

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

E-Mail security

Sichere E-Mail-Kommunikation - gerade jetzt

Verschlüsselung ist wichtiger denn je, denn aufgrund der Einschränkungen, die das Coronavirus mit sich bringt, kommunizieren Unternehmen und Privatpersonen mehr denn je via Collaboration-Tools und Video-Konferenzen, aber auch via E-Mail. Nachfolgend daher ein…
Web Security

Neuer JavaScript-Scanner

Einfaches Scannen moderner Webanwendungenverspricht Crashtest Security mit einem neuen JavaScript-Scanner. Zusätzlich veröffentlicht das Unternehmen ein Update, das agilen Sicherheitsbedürfnissen mit vollständigen SaaS-Funktionen.
Hijacking

Best Practices gegen Kontenmissbrauch durch Cyberkriminelle

Die Cloud bietet Cyberkriminellen eine große Angriffsfläche, da enorme Datenmengen an einem Ort gespeichert sind. Cloud Account Hijacking auf Unternehmensebene ist besonders verheerend, wenn dadurch vertrauliche oder geschäftskritische Daten durchsickern oder…
Cyber Resilience

5 Tipps für eine widerstandsfähige Unternehmens-IT

Das Risiko für Cyber-Angriffe steigt. Auch mit den besten Security-Maßnahmen wird es nie gelingen, es ganz auszumerzen. Um auch im Ernstfall betriebsfähig zu bleiben, sollten Unternehmen einen Zustand der nachhaltigen Widerstandsfähigkeit anstreben. Aber wie…
Homeoffice

Unsichere Home-IT wird plötzlich zur Arbeitsumgebung

Das Home-Office, vor kurzem noch eine Option für wenige Mitarbeiter in wenigen Unternehmen, wird vor dem Hintergrund der Corona-Krise vielerorts zum Rückgrat des Geschäftsbetriebes. Die Verlagerung von Büroarbeitsplätzen vom Unternehmen in die eigenen vier…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!