© Unitone Vector/Shutterstock.com
PHP Magazin
Neuerungen, nicht nur im Finanzsektor

Bezahlen? Aber sicher!

Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Michael Rohrlich


Ein nicht unwesentlicher Bestandteil der PSD2 sind die Regelungen zur starken Kundenauthentifizierung (engl.: Strong Customer Authentication, kurz: SCA). Die SCA soll bewirken, dass ein elektronischer Zahlungsvorgang einer bestimmten Person zugeordnet werden kann, um Missbrauch möglichst zu verhindern. Zu der bisher üblichen Authentifizierung durch bloße Eingabe einer Kreditkartennummer oder PayPal-Kennung muss also eine zweite Stufe hinzukommen. Zu diesem Zweck muss eine Zwei-Faktor-Authentifizierung zum Einsatz kommen, die zwei von drei gesetzlich vorgegebenen Methoden verwendet:

Methode Wissen: Information, die nur der Kunde kennt (Passwörter, Sicherheitsfragen, PINs o. ä.) Methode Besitz: Sache, die nur der Kunde hat (Karte, Smartphone-App etc.) Methode Inhärenz: Eigenschaft, die dem Kunden „anhaftet“ (z. B. Fingerabdruck, Irisscan, Stimm- oder Gesichtserkennung)

Die meisten werden das schon z. B. von ihrer Hausbank kennen, weil sie inzwischen das Log-in in den eigenen Kundenbereich via Browser noch zusätzlich mittels App bestätigen müssen. Da die Vorgaben der PSD2 nicht starr sind, gibt es verschiedene Varianten der Umsetzung. Wichtig ist nur, dass mindestens zwei Faktoren aus den genannten Bereichen verwendet werden.

Die Europäische Bankenaufsichtsbehörde (EBA) hat die technischen Standards zur Umsetzung der PSD2-Vorgaben bewusst technologieneutral gestaltet, um Innovationen zu ermöglichen. Dadurch können (und sollen) ganz unterschiedliche Technologien zum Einsatz kommen. Unabhängig davon erfolgt der Zugriff auf Kontodaten jedoch immer nur nach ausdrücklicher Einwilligung des Kunden und wird über die betreffende Bank abgewickelt. Vor einem erstmaligen Abfragen der Kontoinformationen muss der Kunde dem also zustimmen. Anschließend ist dem anfragenden Anbieter der Kontozugriff für 90 Tage möglich, danach muss in einen weiteren Zugriff erneut eingewilligt werden.

Außerdem dürfen die Daten nur für den konkret vorgesehenen Zweck genutzt werden. Ein maschinengesteuertes Auslesen von Konten, insbesondere von Girokonten, ist nicht zulässig, denn es sollen keine umfänglichen Informationen über alle Eingänge, Zahlungen oder Gewohnheiten einsehbar sein. Selbstverständlich sind alle Kreditinstitute, Zahlungsanbieter oder andere Dienstleister dazu verpflichtet, nach dem Stand der Technik geeignete technische und organisatorische Maßnahmen (TOM) zu realisieren, um so die Sicherheit ihrer Kunden sowie deren Kontodaten zu gewährleisten. Solche TOMs mussten aber auch...

PHP Magazin
Neuerungen, nicht nur im Finanzsektor

Bezahlen? Aber sicher!

Zum 14.09.2019 endete die Umsetzungsfrist der sogenannten zweiten Zahlungsdiensterichtlinie der EU, die auf Englisch als Second Payment Services Directive, kurz: PSD2, bezeichnet wird. Die Richtlinie muss in den einzelnen EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Daher sind ihre Regelungen, die im folgenden Beitrag vorgestellt werden, seit dem Stichtag Mitte September bindend.

Michael Rohrlich


Ein nicht unwesentlicher Bestandteil der PSD2 sind die Regelungen zur starken Kundenauthentifizierung (engl.: Strong Customer Authentication, kurz: SCA). Die SCA soll bewirken, dass ein elektronischer Zahlungsvorgang einer bestimmten Person zugeordnet werden kann, um Missbrauch möglichst zu verhindern. Zu der bisher üblichen Authentifizierung durch bloße Eingabe einer Kreditkartennummer oder PayPal-Kennung muss also eine zweite Stufe hinzukommen. Zu diesem Zweck muss eine Zwei-Faktor-Authentifizierung zum Einsatz kommen, die zwei von drei gesetzlich vorgegebenen Methoden verwendet:

Methode Wissen: Information, die nur der Kunde kennt (Passwörter, Sicherheitsfragen, PINs o. ä.) Methode Besitz: Sache, die nur der Kunde hat (Karte, Smartphone-App etc.) Methode Inhärenz: Eigenschaft, die dem Kunden „anhaftet“ (z. B. Fingerabdruck, Irisscan, Stimm- oder Gesichtserkennung)

Die meisten werden das schon z. B. von ihrer Hausbank kennen, weil sie inzwischen das Log-in in den eigenen Kundenbereich via Browser noch zusätzlich mittels App bestätigen müssen. Da die Vorgaben der PSD2 nicht starr sind, gibt es verschiedene Varianten der Umsetzung. Wichtig ist nur, dass mindestens zwei Faktoren aus den genannten Bereichen verwendet werden.

Die Europäische Bankenaufsichtsbehörde (EBA) hat die technischen Standards zur Umsetzung der PSD2-Vorgaben bewusst technologieneutral gestaltet, um Innovationen zu ermöglichen. Dadurch können (und sollen) ganz unterschiedliche Technologien zum Einsatz kommen. Unabhängig davon erfolgt der Zugriff auf Kontodaten jedoch immer nur nach ausdrücklicher Einwilligung des Kunden und wird über die betreffende Bank abgewickelt. Vor einem erstmaligen Abfragen der Kontoinformationen muss der Kunde dem also zustimmen. Anschließend ist dem anfragenden Anbieter der Kontozugriff für 90 Tage möglich, danach muss in einen weiteren Zugriff erneut eingewilligt werden.

Außerdem dürfen die Daten nur für den konkret vorgesehenen Zweck genutzt werden. Ein maschinengesteuertes Auslesen von Konten, insbesondere von Girokonten, ist nicht zulässig, denn es sollen keine umfänglichen Informationen über alle Eingänge, Zahlungen oder Gewohnheiten einsehbar sein. Selbstverständlich sind alle Kreditinstitute, Zahlungsanbieter oder andere Dienstleister dazu verpflichtet, nach dem Stand der Technik geeignete technische und organisatorische Maßnahmen (TOM) zu realisieren, um so die Sicherheit ihrer Kunden sowie deren Kontodaten zu gewährleisten. Solche TOMs mussten aber auch...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang