Was bedeutet RTS SCA/CSC für PSD2?
PSD2: Alles, was man wissen muss
Qualifizierte Zertifikate für PSD2
Von Lea Toms, GlobalSign
Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist. Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.
Warum mischt sich die EU überhaupt in den Zahlungsverkehr ein?
Die PSD2 ist der zweite Teil der bereits bestehenden Zahlungsdiensterichtlinie aus dem Jahr 2007. Ihr Ziel ist es, Betrug und böswillige Aktivitäten zu bekämpfen und für mehr Sicherheit bei Online-Zahlungen zu sorgen. Außerdem soll sie Open Banking fördern und mehr Wettbewerb schaffen. In den letzten Jahren hat es bereits zahlreiche Initiativen gegeben, um die Nutzung digitaler Dokumente zu fördern und die digitale Sicherheit zu erhöhen. Der kontinuierliche Aufstieg von Finanztechnologieunternehmen (auch FinTechs genannt) ist Beweis genug.
Was bedeutet RTS SCA/CSC für PSD2?
Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) gleichermaßen einhalten müssen, um PSD2-konform zu sein.
Die RTS sind vor kurzem in Kraft getreten. Ein zentrales Prinzip dieser Standards ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen, welche die Authentizität und Integrität der Daten gewährleisten.
Die Rolle von qualifizierten Zertifikaten in PSD2
Die RTS spezifizieren zwei Hauptanforderungen, zu denen die Verwendung von Zertifikaten zählt:
>> Identifikation des Zahlungsdienstleisters (Artikel 34 der RTS) - PSPs müssen sich gegenüber der API des Finanzinstituts identifizieren. Die RTS verlangen zu diesem Zweck speziell die Verwendung eines Qualifizierten Zertifikats für die Website-Authentifizierung (QWAC) oder von Qualifizierten Zertifikaten für elektronische Siegel (QSealC).
>> Zwischen allen kommunizierenden Parteien muss eine sichere Verschlüsselung eingesetzt werden (Artikel 35 der RTS) – Die RTS schreiben hier nicht die Verwendung von QWACs vor, sondern verlangen lediglich, dass "starke und allgemein anerkannte Verschlüsselungstechniken" verwendet werden. Die Verwendung von SSL/TLS-Protokollen durch QWACs erfüllt diese Anforderung.
Welche Art von qualifizierten Zertifikaten brauche ich?
Um beide der oben genannten Anforderungen zu erfüllen, empfiehlt die EBA (Europäische Bankenaufsichtsbehörde) die Verwendung von QWACs und QSealCs.
QWACs sind im Wesentlichen qualifizierte SSL/TLS-Zertifikate. Sie werden verwendet, um Endpunkte wie Banken und Drittanbieter zu identifizieren und Daten während der Übertragung zu verschlüsseln und zu schützen.
QSealCs hingegen schützen Daten und Dokumente vor Manipulationen und identifizieren die Herkunft der Daten.
Die Verwendung beider Zertifikatstypen ist ideal, weil die Folgendes sicherstellen:
PSPs können sich gegenüber Finanzinstituten identifizieren. Sowohl QWAC als auch QSealC authentifizieren die Parteien anhand der Zertifikate.
Vertraulichkeit und Integrität für die Kommunikation zwischen allen Parteien. QWAC verwendet SSL/TLS zur Verschlüsselung der Sitzungen und zum Schutz der Daten während der Übertragung.
Alle Daten stammen tatsächlich von dem im Zertifikat identifizierten PSP. QSealC identifiziert, woher die Daten stammen, und schützt sie vor Manipulationen.
Die untenstehende Tabelle von PRETA Open Banking Europe bietet einen guten Überblick und einen Vergleich, wann und warum die einzelnen Zertifikate verwendet werden sollten, und verdeutlicht warum es vorteilhaft ist, beide Zertifikate parallel zu benutzen.
Inwiefern unterscheiden sich qualifizierte Zertifikate für PSD2 von "normalen" qualifizierten Zertifikaten?
QWACs und QSealCs fallen in die Kategorie der qualifizierten elektronischen Zertifikate. Zusätzlich zu den üblichen Zertifikatfeldern, wie O für Organisation, OU für Organisationseinheit und C für Land, enthalten sie drei zusätzliche Felder:
>> Die Autorisierungsnummer des TPP
>> Die PSD2-Rolle(n) des TPP
>> Den Namen der zuständigen nationalen Behörde
Wie genau funktioniert das?
Das klingt alles kompliziert - die PSD2-Gesetzgebung bringt nicht nur eine Menge Akronyme und Abkürzungen[LT1] mit sich, sondern es sind auch viele verschiedene Parteien beteiligt. Wir haben eine Grafik erstellt, um das Verfahren zu visualisieren:
>> Zuerst muss sich der PSP bei der jeweils zuständigen nationalen Behörde registrieren.
>> Diese wird sich dann an einen QVDA (qualifizierter Vertrauensdiensteanbieter (QTSP = Qualified Trust Service Provider)) wie etwa GlobalSign wenden, um ein qualifiziertes Zertifikat anzufordern.
>> GlobalSign verwendet das öffentliche Register, das die zuständige nationale Behörde erstellt, um den Zahlungsdienstleister zu validieren und stellt das QWAC und/oder QSealC für den PSP aus.
>> Der Zahlungsdienstleister verwendet die API(s) des Finanzinstituts, um auf Kundeninformationen und Zahlungsnetzwerke zuzugreifen. QWACs und QSealCs werden verwendet, um den PSP zu identifizieren, die gesamte Kommunikation zwischen dem PSP und dem Kunden zu verschlüsseln und Daten vor Manipulationen zu schützen.
>> Wenn ein Endkunde Daten anfordert, werden die Daten sicher vom Finanzinstitut über den PSP an den Endkunden gesendet.
Was heißt das für Banken?
Finanzinstitute haben den Auftrag, bis September 2019 Open Banking zu ermöglichen. Jeder Drittanbieter, der auf Daten zugreifen möchte, muss bei seiner zuständigen nationalen Behörde (National Competent Authority NCA) registriert und von dieser genehmigt worden sein. Mit einer erfolgreich erworbenen Lizenz kann man dann QWACs und QSeals erwerben und im Gegenzug Zugang zu den APIs der Finanzinstitute beantragen.
Wie bekomme ich ein QWAC oder QSealC für PSD2?
Diese Zertifikate sind bei QVDAs erhältlich. PSPs und andere Drittanbieter (Third Party Providern, TPP) können sie erwerben, nachdem sie von der zuständigen nationalen Behörde genehmigt wurden.
Zusätzliche Informationen:
Das Who is Who des Open Banking
Es gibt viele verschiedene Parteien, die an Open Banking beteiligt sind, aber das sind die Hauptakteure:
ASPSP: Account Service Payment Service Provider (kontoführende Zahlungsdienstleister)
Sie stellen das Zahlungskonto des Kunden zur Verfügung und führen es. Im Open Banking-Ökosystem veröffentlichen sie standardbasierte APIs (Application Programming Interface = Programmierschnittstelle), um Drittanbietern Zugriff auf Kundentransaktionsdaten zu gewähren. Auf diese Weise können sie Kontoinformationen oder Zahlungsauslösungsdienste bereitstellen. Nur Finanzinstitute (z. B. Banken) können ASPSPs sein.
AISP: Account Information Service Provider (Anbieter von Kontoinformationsdiensten)
Sie sammeln Online-Informationen von mehreren Zahlungskonten. Ein Kunde kann beispielsweise alle Finanzinformationen mehrerer Banken an einem Ort einsehen.
PISP: Payment Initiation Service Provider (Anbieter von Zahlungsauslösediensten)
Sie können Online-Zahlungen direkt von der Bank des Einzelnen im Namen des Einzelnen auslösen. Ein Kunde, der online einkauft, kann beispielsweise dem Online-Händler gestatten, die Zahlung direkt von seiner Bank auszulösen, ohne dem Online-Händler seine Kontodaten mitteilen zu müssen.
CBPII: Card-based Payment Instrument Issuer (Herausgeber von kartenbasierten Zahlungsinstrumenten)
Sie stellen häufig kartenbasierte Zahlungsinstrumente wie Debit- oder Kreditkarten aus.
TPP: Third Party Provider (Drittanbieter)
Sie führen keine Zahlungskonten für ihre Kunden. Sie verwenden stattdessen die vom ASPSP bereitgestellten APIs um auf diese Konten zuzugreifen und Kontoinformationen oder Zahlungsauslösedienste bereitzustellen. TPPs können nur AISPs und/oder PISPs sein, da sie keinen Zugriff auf die Zahlungskonten haben.
Was sind NCAs und welche Rolle spielen sie?
Die NCAs (National Competent Authorities = zuständige nationale Behörden) in ganz Europa registrieren und autorisieren Anbieter, die zur Verwendung der erforderlichen qualifizierten Zertifikate berechtigt sind. Da hier hoch vertrauliche Daten beteiligt sind, ist es wichtig, dass nur zugelassene Finanzinstitute die Zertifikate erhalten, mit denen sie am Open Banking teilnehmen. Ein QVDA (qualifizierter Vertrauensdiensteanbieter (QTSP = Qualified Trust Service Provider)) überprüft das NCA-Register, bevor er QWACs (Qualified Web Authentication Certificates = Qualifizierte Zertifikate für die Website-Authentifizierung) oder QSealCs (Qualified Electronic Seal Certificates = Qualifizierte Zertifikate für elektronische Siegel) ausstellt, und verwendet die von der NCA in den Zertifikaten selbst bereitgestellten Informationen.
Glossar der wichtigsten PSD2-Begriffe:
>> 2FA Zwei-Faktor-Authentifizierung
>> AISP Account Information Service Provider (Anbieter von Kontoinformationsdiensten)
>> AMS Account Management System (Kontoverwaltungssystem)
>> API Application Programming Interface (Programmierschnittstelle)
>> ASPSP Account Service Payment Service Provider (kontoführender Zahlungsdienstleister)
>>CBPII Card-based Payment Instrument Issuer (Herausgeber von kartenbasierten Zahlungsinstrumenten)
>> CMA Competition and Markets Authority (Wettbewerbs- und Marktaufsichtsbehörde)
>> CSC Common and Secure Open Standards of Communication (Gemeinsame und sichere offene Kommunikationsstandards)
>> EBA European Banking Authority (Europäische Bankenaufsichtsbehörde)
>> eIDAS Electronic Identification, Authentication, and Trust Services (Elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste)
>> EU Europäische Union
>> EUTL European Union Trusted Lists (Vertrauenslisten der Europäischen Union)
>> GDPR General Data Protection Regulation (Datenschutz-Grundverordnung DSGVO)
>> NCA National Competent Authority (Zuständige nationale Behörde)
>> PISP Payment Initiation Service Provider (Anbieter von Zahlungsauslösediensten)
>> PSD2 Payment Services Directive 2 (Zahlungsdiensterichtlinie 2), die überarbeitete Richtlinie der Payment Service Directive (Zahlungsdiensterichtlinie)
>> PSP Payment Service Providers (Zahlungsdienstleister)
>> QSealC Qualified Electronic Seal Certificate (Qualifiziertes Zertifikat für elektronische Siegel)
>> QTSP Qualified Trust Service Provider (Qualifizierter Vertrauensdiensteanbieter)
>> QWAC Qualified Web Authentication Certificates (Qualifizierte Zertifikate für die Website-Authentifizierung)
>> RTS Regulatory Technical Standards (Technische Regulierungsstandards)
>> SCA Strong Customer Authentication (Starke Kundenauthentifizierung)
>> SEPA Single Euro Payments Area (Einheitlicher Euro-Zahlungsverkehrsraum)
>> TPP Third Party Providers (Drittanbieter)
>> XS2A Access to Account (Zugang zum Konto)
(GlobalSign: ra)
eingetragen: 23.02.20
Newsletterlauf: 14.05.20
GMO GlobalSign: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>