PSD2: Sicher an die Schnittstelle zum Banking der Zukunft

Sie setzen auf Open Banking? Wir setzen die PSD2 sicher mit Ihnen um. Im September 2019 beginnt eine neue Ära im Bankengeschäft.
Mit unseren PSD2-Zertifikaten können Sie Ihre Schnittstellen und Systeme testen. Als einer der ersten qualifizierten Vertrauensdiensteanbieter in Europa bieten wir ab sofort Echtzertifikate an.

Die zweite Payment Service Directive (PSD2) setzt eine Revolution im elektronischen Zahlungsverkehr in Gang: Banken in der EU müssen ab Mitte September 2019 Drittanbietern den Zugang zu den Konten im Echtbetrieb gewährleisten und dafür eine Schnittstelle (API) bereitstellen. Diese wird über qualifizierte Website-Zertifikate (QWACs) abgesichert. Drittanbieter müssen sich im Gegenzug bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)* registrieren und benötigen für den Zugriff auf die Bankkonten ebenfalls qualifizierte Website-Zertifikate bzw. qualifizierte Siegel (QSiegel). Die D-TRUST, ein Tochterunternehmen der Bundesdruckerei, ist einer der wenigen europäischen qualifizierten Vertrauensdiensteanbieter, die diese Zertifikate und Siegel anbieten dürfen.

Ab sofort stehen Echtzertifikate mit PSD2-Erweiterung für den Markttest zur Verfügung.

Jetzt Ihre PSD2-Zertifkate (QWAC und QSiegel) bestellen.

Die PSD2 für FinTechs und Banken - Das Wichtigste im Überblick

Was beinhaltet die neue Richtlinie PSD2 und welche Chancen bietet sie?

Die zweite Payment Services Directive verpflichtet Banken, dritten Anbietern Zugriff auf die Konten ihrer Kunden zu gewähren. Für die neuen Anbieter eröffnet die PSD2 enorme Chancen, doch auch Banken können profitieren – zum Beispiel, indem sie mit Start-ups kooperieren oder ihr eigenes Leistungsportfolio um diese neuen Dienste erweitern. Ohne Frage: die Richtlinie ist im Sinne des Open Bankings und fördert den Wettbewerb. Allerdings legt sie FinTechs auch weitaus strengere Sicherheitsanforderungen auf.

Welche Voraussetzungen müssen Drittanbieter erfüllen?

Eines vorweg: Nur Anbieter von Online-Zahlungsdiensten müssen die PSD2 umsetzen. Um die Schnittstelle der Banken nutzen zu können, brauchen Drittanbieter eine Lizenz für die Zugriffsberechtigungen. Eine solche Lizenz vergibt die BaFin oder eine vergleichbare europäische Behörde. Ist sie erteilt, benötigt der Anbieter ein QWAC, um seine Kommunikation abzusichern. Damit weist er sich gegenüber der Bank als Inhaber der BaFin-Lizenz aus. Die Bank kann darüber hinaus den zusätzlichen Einsatz eines QSiegels verlangen, das signierte Daten vor Veränderungen schützt.

Wie sehen die nächsten Schritte für Drittanbieter aus?

Die Regulierung schreibt für Banken ab Mitte März eine Testphase vor, in denen Drittanbieter die geöffneten Schnittstellen einer Testumgebung (Sandbox) prüfen und ggf. bei der BaFin reklamieren können. Für die Drittanbieter ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Kompatibilität mit den Schnittstellen der Banken überprüfen und bei Bedarf optimieren zu können.

Für diese erste Testphase können Drittanbieter auch ohne BaFin-Lizenz Testzertifikate bei der Bundesdruckerei beantragen. Ab Mitte Juni müssen die Banken in einer zweiten Testphase (Marktbewährungsphase) ihr Produktivsystem öffnen, Drittanbieter können dann auf echte Kundenkonten zugreifen. Die dazu benötigten Echtzertifikate mit PSD2-Erweiterung stellt die Bundesdruckerei seit dem 17. Mai zur Verfügung. Damit können Drittanbieter die bereitgestellte API unter Realbedingungen testen.

Welche Voraussetzungen müssen Banken erfüllen?

Banken müssen den neuen Anbietern eine API zur Verfügung stellen, damit diese auf Bankkonten oder Kontoinformationen zugreifen können. Ihre eigene Identität bestätigen sie durch ein qualifiziertes Website-Zertifikat.

Wie sehen die nächsten Schritte für Banken aus?

Banken müssen einen Test der Schnittstelle ermöglichen und dokumentieren. Nur dadurch kann die gesetzlich vorgeschriebene und teure Fallback-Lösung vermieden und mögliche Klagen von Drittanbietern ausgeschlossen werden. Ab dem 14. September 2019 sind die Geldinstitute dann zum Echtbetrieb verpflichtet. Die erste Phase des Testbetriebs muss spätestens Mitte März beginnen. Hierbei muss ein Testsystem (Sandbox) bereitgestellt werden, in dem auch noch nicht lizensierte Drittanbieter sich mit Testzertifikaten identifizieren und auf Testkonten zugreifen können. In der zweiten Phase des Testbetriebs (Marktbewährungsphase), die spätestens Mitte Juni starten muss, öffnen Banken ihr Produktivsystem mit echten Kundenkonten für lizensierte Drittanbieter. Die dafür benötigten Echtzertifikate werden von der Bundesdruckerei seit dem 17. Mai 2019 zur Verfügung gestellt.

Wo sind PSD2-konforme Zertifikate erhältlich?

Die D-TRUST ist aktuell der einzige deutsche Anbieter, der in der EU-Vertrauensliste als sogenannter qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider) mit Ausgabeberechtigung für QWACs und QSiegel gelistet ist. Das Tochterunternehmen der Bundesdruckerei war auch europaweit das erste Unternehmen mit Ausgabeberechtigung.

Echtzertifikate für die Marktbewährungsphase sind ab sofort bei der Bundesdruckerei bestellbar:

Wie unterscheiden sich QWACs und QSiegel?

Ein qualifiziertes Website-Zertifikat (QWAC) schützt die Kommunikation zwischen Banken und Drittanbietern auf der Transportebene – also die Datenübermittlung. Der Zahlungsdienst authentifiziert sich damit beim kontoführenden Geldinstitut als Inhaber der BaFin-Lizenz. Das QWAC enthält Informationen zur Rolle des Unternehmens sowie seine Registrierungs-ID bei der Finanzaufsichtsbehörde. Zudem verschlüsseln QWACs die gesamte Kommunikation zwischen Bank, Zahlungsdienst und Nutzer.

QSiegel sichern die Daten auf der Anwendungsebene. Das ist vor allem von Vorteil, wenn man im Schadensfall nachweisen will, wer den Zugriff auf die API durchgeführt hat. Dies wird mit dem QSiegel sehr viel einfacher. Eine Bank kann vom Drittanbieter grundsätzlich den Einsatz eines qualifizierten elektronischen Siegels verlangen. Es dokumentiert auch alle Anfragen des Dienstleisters und schützt die signierten Daten vor Veränderungen.

Machen Sie sich PSD2-fest und bestellen Sie schon heute Ihre Echtzertifikate

Ab sofort bietet die Bundesdruckerei über ihre Tochter D-TRUST Echtzertifikate (QWAC und QSiegel), mit denen Sie die API unter Realbedingungen testen und auf echte Kundenkonten zugreifen können. Mit dem Nachweis einer mindestens dreimonatigen Testphase können sich Banken eine teure Fallback-Lösung sparen. Dritte Dienstanbieter können ihre Systeme mit den Schnittstellen der Banken testen und auf Echtkonten zugreifen.

Bestellen Sie hier Ihre Echtzertifikate (QWAC und QSiegel).

Weitere Informationen zu den Zertifikaten finden Sie in unseren FAQs.

Im Januar 2018 ist die EU-Richtlinie PSD2 in Kraft getreten. Unsere Expertin für Trusted Services, Franca Löwenstein, klärt über die Ziele und die Folgen auf.

Ganz im Sinne des Open Bankings fördert die PSD2 den Wettbewerb im europäischen Finanzsektor. Für die Nutzer wird der Zahlungsverkehr bequemer, preiswerter und sicherer. Denn sowohl Banken als auch Zahlungsdienstleister müssen stärker in die Sicherheit ihrer digitalen Services investieren.

Auch zum Nachhören: Der Podcast von digitalkompakt zeigt, was neu ist und welche Voraussetzungen Fintechs erfüllen müssen, um PSD2-Konform zu sein.

Bei weiteren Fragen steht Ihnen unser Support telefonisch unter +49 (0) 30 2598-4054 oder per E-Mail an support [at] bdr.de zur Verfügung.

*In anderen Ländern bei der jeweiligen Bankaufsichtsbehörde. Hier finden Sie eine Übersicht.