© Unitone Vector/Shutterstock.com
PHP Magazin
Neuerungen, nicht nur im Finanzsektor

Bezahlen? Aber sicher!


Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Ein nicht unwesentlicher Bestandteil der PSD2 sind die Regelungen zur starken Kundenauthentifizierung (engl.: Strong Customer Authentication, kurz: SCA). Die SCA soll bewirken, dass ein elektronischer Zahlungsvorgang einer bestimmten Person zugeordnet werden kann, um Missbrauch möglichst zu verhindern. Zu der bisher üblichen Authentifizierung durch bloße Eingabe einer Kreditkartennummer oder PayPal-Kennung muss also eine zweite Stufe hinzukommen. Zu diesem Zweck muss eine Zwei-Faktor-Authentifizierung zum Einsatz kommen, die zwei von drei gesetzlich vorgegebenen Methoden verwendet:

  • Methode Wissen: Information, die nur der Kunde kennt (Passwörter, Sicherheitsfragen, PINs o. ä.)

  • Methode Besitz: Sache, die nur der Kunde hat (Karte, Smartphone-App etc.)

  • Methode Inhärenz: Eigenschaft, die dem Kunden „anhaftet“ (z. B. Fingerabdruck, Irisscan, Stimm- oder Gesichtserkennung)

Die meisten werden das schon z. B. von ihrer Hausbank kennen, weil sie inzwischen das Log-in in den eigenen Kundenbereich via Browser noch zusätzlich mittels App bestätigen müssen. Da die Vorgaben der PSD2 nicht starr sind, gibt es verschiedene Varianten der Umsetzung. Wichtig ist nur, dass mindestens zwei Faktoren aus den genannten Bereichen verwendet werden.

Die Europäische Bankenaufsichtsbehörde (EBA) hat die technischen Standards zur Umsetzung der PSD2-Vorgaben bewusst technologieneutral gestaltet, um Innovationen zu ermöglichen. Dadurch können (und sollen) ganz unterschiedliche Technologien zum Einsatz kommen. Unabhängig davon erfolgt der Zugriff auf Kontodaten jedoch immer nur nach ausdrücklicher Einwilli...

PHP Magazin
Neuerungen, nicht nur im Finanzsektor

Bezahlen? Aber sicher!

Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Michael Rohrlich


Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Ein nicht unwesentlicher Bestandteil der PSD2 sind die Regelungen zur starken Kundenauthentifizierung (engl.: Strong Customer Authentication, kurz: SCA). Die SCA soll bewirken, dass ein elektronischer Zahlungsvorgang einer bestimmten Person zugeordnet werden kann, um Missbrauch möglichst zu verhindern. Zu der bisher üblichen Authentifizierung durch bloße Eingabe einer Kreditkartennummer oder PayPal-Kennung muss also eine zweite Stufe hinzukommen. Zu diesem Zweck muss eine Zwei-Faktor-Authentifizierung zum Einsatz kommen, die zwei von drei gesetzlich vorgegebenen Methoden verwendet:

  • Methode Wissen: Information, die nur der Kunde kennt (Passwörter, Sicherheitsfragen, PINs o. ä.)

  • Methode Besitz: Sache, die nur der Kunde hat (Karte, Smartphone-App etc.)

  • Methode Inhärenz: Eigenschaft, die dem Kunden „anhaftet“ (z. B. Fingerabdruck, Irisscan, Stimm- oder Gesichtserkennung)

Die meisten werden das schon z. B. von ihrer Hausbank kennen, weil sie inzwischen das Log-in in den eigenen Kundenbereich via Browser noch zusätzlich mittels App bestätigen müssen. Da die Vorgaben der PSD2 nicht starr sind, gibt es verschiedene Varianten der Umsetzung. Wichtig ist nur, dass mindestens zwei Faktoren aus den genannten Bereichen verwendet werden.

Die Europäische Bankenaufsichtsbehörde (EBA) hat die technischen Standards zur Umsetzung der PSD2-Vorgaben bewusst technologieneutral gestaltet, um Innovationen zu ermöglichen. Dadurch können (und sollen) ganz unterschiedliche Technologien zum Einsatz kommen. Unabhängig davon erfolgt der Zugriff auf Kontodaten jedoch immer nur nach ausdrücklicher Einwilli...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang