Starke Kundenauthentifizierung und sichere Kommunikation im Rahmen der PSD2

Die Geschichte der RTS für starke Kundenauthentifiierung und sichere Kommunikation ist lang. Am 14. September 2019 ist es  soweit, dann treten die neuen SCA-Regeln in Kraft.

Hier ein Überblick über die wichtigsten Milestones zur starken Kundenauthentifizierung und sicheren Kommunikation in gestürzter Reihenfolge, also zuerst die letzten News:

Hier fassen wir die wichigsten Punkte der RTS zusammen:

Starke Kundenauthentifizierung

Die PSD2 sieht strenge Sicherheitsvorkehrungen für die Auslösung und Durchführung elektronischer Zahlungen vor. Diese gelten für alle Zahlungsdienstleister (PSPs). PSPs müssen demnach eine starke Kundenauthentifizierung verlangen, wenn ein Zahler online auf sein Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang auslöst oder über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt. Starke Kundenauthentifizierung ist ein Authentifizierungsverfahren unter Heranziehung von mindestens zwei Elementen der Kategorien

  • Wissen (etwas, das nur der Nutzer weiß, z.B. ein Passwort oder eine PIN),
  • Besitz (etwas, das nur der Nutzer besitzt, z.B. eine Karte oder ein Gerät, das einen Authentifizierungscode generiert) oder
  • Inhärenz (etwas, das der Nutzer ist, z.B. ein Fingerabruck oder eine Stimmenerkennung).

Der Authentifizierungsvorgang muss einen nur einmalig verwendbaren Authentifizierungscodes generieren. Der Code muss zumindest gewährleisten, dass

  • keine auf einem der Elemente Wissen, Besitz und Inhärenz befindliche Information aus dem Authentifizierungscode abgeleitet werden kann,
  • es nicht möglich ist, basierend auf der Kenntnis eines Autentifizierungscodes einen neuen Authentifizierungscode zu generieren, und
  • der Authentifizierungscode nicht gefälscht werden kann.

Das Vefahren soll zudem Mechanismen beinhalten, um den Zeitraum zu beschränken, in dem der Zahler sein Zahlungskonto online erreichen kann. Auch die Zahl der Fehlversuche innerhalb eines zu definierenden Zeitraum soll beschränkt werden. Die Kommunikationsverfahren sollen auch gegen fremde Datenzugriffe und Manipulation geschützt werden. Außerdem sollen betrügerische Zahlungstransaktionen vor Durchführung vermieden, erkannt und geblockt werden.

Die Sicherheit von starken Kundenauthentifizierungsverfahren soll regelmäßig von internen oder externen unabhängigen und zertifizierten Prüfern getestet, evaluiert und geprüft werden.

Ausnahmen von der starken Kundenauthentifizierung

Ausnahmen von der starken Kundenauthentifizierung bestehen nach dem Konsultationsentwurf in folgenden Fällen:

  • Online-Zugriff auf das Konto, ohne dabei sensible Zahlungsdaten anzugeben. Diese Ausnahme gilt nicht beim ersten Zugriff, sowie wenn die letzte starke Kundenauthentifizierung über ein Monat her ist;
  • Auslösung kontaktloser elektronischer Zahlungen bis EUR 50, außer der Gesambetrag davor ausgelöster Transaktionen mittels der Kontaktlosfunktion ohne starker Kundenauthentifizierung übersteigt EUR 150;
  • Zahlungsausgänge an vertrauenswürdige Personen, die vom Kunden als solche festgelegt wurden;
  • Serie von Überweisungen mit demnselben Betrag an denselben Empfänger, außer bei der erstmaligen Einrichtung oder Änderung eines solchen Auftrags;
  • Transfers, bei denen Auftraggeber und Empfänger ident sind und das Empfängerkonto beim selben Zahlungsdienstleister gehalten wird;
  • Kleinstbetragszahlungen im Wege der elektronischen Ferntransaktion bis EUR 30, sofern der kumulierte Betrag der vorherigen Zahlungen EUR 100 nicht übersteigt;
  • bestimmte sichere Unternehmenstransaktionen; und
  • bei Anwendung einer sg "Transaction Risk Analysis" in Echtzeit und bis zu betimmten Schwellenwerten, sofern bestimmte Betrugsraten nicht überschritten werden.

Schnittstelle zwischen kontoführenden PSPs und Drittanbietern

Die RTS legen auch die Anforderungen an die Schnittstelle fest, über die kontoführende PSPs künftig Auslöse-, Kontoinformationsdienstleistern und Emittenten kartengebundener Zahlungsinstrumente Zugriffe auf das Kundenkonto ermöglichen müssen. Die RTS enthalten jedoch keine technischen Spezifikationen, sondern beschränken sich auf funktionale und nichtfunktionale Anforderungen an die technischen Systeme von kontoführenden PSPs.

Konkret müssen kontofüh­r­en­de Zahlungs­dienst­leis­ter, die dem Zah­ler ein Konto mit Online-Zugang anbie­ten, min­des­tens ei­ne Kommunikati­ons­schnitt­stel­le anbie­ten, die TTPs die folgen­den drei Nutzungs­möglichkei­ten zur Verfügung stellen. Mit der Schnittstelle müssen TTPs

  • sich gegenüber dem kontoführenden Zahlungsdienstleister identifizieren können,
  • mit dem kontoführenden Zahlungsdienstleister kommunizieren können, um Zahlungskonteninformationen anzufragen, Zahlungen auszulösen und Bestätigungen zu erhalten, ob der für die Ausführung einer kartenbasierten Zahlung erforderliche Betrag auf dem Zahlungskonto des Zahlers verfügbar ist, und
  • sich auf die Authentifizierungsverfahren des kontoführenden Zahlungsdienstleisters verlassen können.

Die Kommunikationsschnittstelle muss zudem so gestaltet sein, dass die TTPs auf die Authentifizierungsverfahren der kontoführenden Institute vertrauen können. Konkret müssen

  • Zahlungsauslöse- und Kontoinformationsdienstleister damit den kontoführenden Zahlungsdienstleister anweisen können, den Authentifizierungsprozess zu starten,
  • Aufbau und Aufrechterhaltung eines Kommunikationsvorgangs zwischen den beteiligten Parteien während des Authentifizierungsprozesses gewährleistet sein und
  • sie den Schutz der Integrität und Vertraulichkeit der persönlichen Sicherheitsmerkmale und Authentifizierungscodes der Kunden gewährleisten, wenn diese vom Zahlungsauslösedienstleister oder Kontoinformationsdienstleiter übertragen werden.

Die Kommunikationsschnittstellen sollen möglichst ISO 20022 und anderen von europäischen Standardisierungsorganisationen entwickelten Kommunikationsstandards entsprechen.

Weiters müssen kontoführende Institute die technischen Spezifikationen der Kommunikationsschnittstelle dokumentieren und auf ihrer Webseite öffentlich und kostenlos zur Verfügung zu stellen, insbesondere eine Liste von Routinen, Protokollen und Tools, die notwendig sind, um mit der Schnittstelle zu interagieren. Veröffentlichungen von Änderungen an den technischen Spezifikationen sind so früh wie möglich, spätestens jedoch drei Monate vor Implementierung vorzunehmen. Notfälle sind von dieser Frist ausgenommen.