PSD2: Sicher an die Schnittstelle zum Banking der Zukunft

Sie setzen auf Open Banking? Wir setzen die PSD2 sicher mit Ihnen um. Im September 2019 beginnt eine neue Ära im Bankengeschäft.
Was viele nicht wissen: die gesetzlich vorgeschriebene Testphase startet schon jetzt. Mit unseren Testzertifikaten können Sie ab sofort Ihre Schnittstellen und Systeme testen.

Die zweite Payment Service Directive (PSD2) setzt eine Revolution im elektronischen Zahlungsverkehr in Gang: Banken in der EU müssen ab Mitte September 2019 Drittanbietern den Zugang zu den Konten im Echtbetrieb gewährleisten und dafür eine Schnittstelle (API) bereitstellen. Diese wird über qualifizierte Website-Zertifikate (QWACs) abgesichert. Drittanbieter müssen sich im Gegenzug bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)* registrieren und benötigen für den Zugriff auf die Bankkonten ebenfalls qualifizierte Website-Zertifikate bzw. qualifizierte Siegel (QSiegel). Die D-TRUST, ein Tochterunternehmen der Bundesdruckerei, ist einer der wenigen europäischen qualifizierten Vertrauensdiensteanbieter, die diese Zertifikate und Siegel anbieten dürfen. Kostenlose Testzertifikate können ab sofort bereitgestellt werden.

Jetzt Testzertifikate anfordern: psd2 [at] bdr.de

Die PSD2 für FinTechs und Banken - Das Wichtigste im Überblick

Was beinhaltet die neue Richtlinie PSD2 und welche Chancen bietet sie?

Die zweite Payment Services Directive verpflichtet Banken, dritten Anbietern Zugriff auf die Konten ihrer Kunden zu gewähren. Für die neuen Anbieter eröffnet die PSD2 enorme Chancen, doch auch Banken können profitieren – zum Beispiel, indem sie mit Start-ups kooperieren oder ihr eigenes Leistungsportfolio um diese neuen Dienste erweitern. Ohne Frage: die Richtlinie ist im Sinne des Open Bankings und fördert den Wettbewerb. Allerdings legt sie FinTechs auch weitaus strengere Sicherheitsanforderungen auf.

Welche Voraussetzungen müssen Drittanbieter erfüllen?

Eines vorweg: Nur Anbieter von Online-Zahlungsdiensten müssen die PSD2 umsetzen. Um die Schnittstelle der Banken nutzen zu können, brauchen Drittanbieter eine Lizenz für die Zugriffsberechtigungen. Eine solche Lizenz vergibt die BaFin oder eine vergleichbare europäische Behörde. Ist sie erteilt, benötigt der Anbieter ein QWAC, um seine Kommunikation abzusichern. Damit weist er sich gegenüber der Bank als Inhaber der BaFin-Lizenz aus. Die Bank kann darüber hinaus den zusätzlichen Einsatz eines QSiegels verlangen, das signierte Daten vor Veränderungen schützt.

Wie sehen die nächsten Schritte für Drittanbieter aus?

Schon jetzt können Drittanbieter auch ohne BaFin-Lizenz per E-Mail unter psd2 [at] bdr.de kostenlose Testzertifikate beantragen. Die Regulierung schreibt für Banken ab Mitte März eine Testphase vor, in denen Drittanbieter die geöffneten Schnittstellen prüfen und ggf. bei der BaFin reklamieren können. Für die Drittanbieter ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Kompatibilität mit den Schnittstellen der Banken überprüfen und bei Bedarf optimieren zu können.
Ab Mitte Juni müssen die Banken ihr Produktivsystem öffnen, Drittanbieter können dann auf echte Kundenkonten zugreifen. Die dazu benötigten Echtzertifikate werden rechtzeitig verfügbar sein.

Welche Voraussetzungen müssen Banken erfüllen?

Banken müssen den neuen Anbietern eine API zur Verfügung stellen, damit diese auf Bankkonten oder Kontoinformationen zugreifen können. Ihre eigene Identität bestätigen sie durch ein qualifiziertes Website-Zertifikat.

Wie sehen die nächsten Schritte für Banken aus?

Banken müssen einen Test der Schnittstelle ermöglichen und dokumentieren. Nur dadurch kann die gesetzlich vorgeschriebene und teure Fallback-Lösung vermieden und mögliche Klagen von Drittanbietern ausgeschlossen werden.
Ab dem 14. September 2019 sind die Geldinstitute dann zum Echtbetrieb verpflichtet. Die erste Phase des Testbetriebs muss spätestens Mitte März beginnen. Hierbei muss ein Testsystem bereitgestellt werden, in dem auch noch nicht lizensierte Drittanbieter sich mit Testzertifikaten identifizieren und auf Testkonten zugreifen können.
In der zweiten Phase des Testbetriebs, die spätestens Mitte Juni starten muss, öffnen Banken ihr Produktivsystem mit echten Kundenkonten für lizensierte Drittanbieter. Die dafür benötigten Echtzertifikate werden rechtzeitig im Mai verfügbar sein.

Wo sind PSD2-konforme Zertifikate erhältlich?

Die D-TRUST ist aktuell der einzige deutsche Anbieter, der in der EU-Vertrauensliste als sogenannter qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider) mit Ausgabeberechtigung für QWACs und QSiegel gelistet ist. Das Tochterunternehmen der Bundesdruckerei war auch europaweit das erste Unternehmen mit Ausgabeberechtigung. Kostenlose Testzertifikate sind bereits jetzt erhältlich: psd2 [at] bdr.de.

Was bringen Testzertifikate?

Mit den Testzertifikaten können Drittanbieter und Banken schon jetzt ihre Systeme und Schnittstellen testen, um im September zu den ersten zu gehören, die in den reibungslosen Echtbetrieb wechseln. Banken sparen zudem viel Geld: Mit dem Nachweis einer erfolgreichen Testphase ihrer Schnittstelle mit Drittanbietern müssen sie im September keine teure Fallback-Lösung zur Verfügung stellen.

Wie unterscheiden sich QWACs und QSiegel?

Ein qualifiziertes Website-Zertifikat (QWAC) schützt die Kommunikation zwischen Banken und Drittanbietern auf der Transportebene – also die Datenübermittlung. Der Zahlungsdienst authentifiziert sich damit beim kontoführenden Geldinstitut als Inhaber der BaFin-Lizenz. Das QWAC enthält Informationen zur Rolle des Unternehmens sowie seine Registrierungs-ID bei der Finanzaufsichtsbehörde. Zudem verschlüsseln QWACs die gesamte Kommunikation zwischen Bank, Zahlungsdienst und Nutzer.

QSiegel sichern die Daten auf der Anwendungsebene. Das ist vor allem von Vorteil, wenn man im Schadensfall nachweisen will, wer den Zugriff auf die API durchgeführt hat. Dies wird mit dem QSiegel sehr viel einfacher. Eine Bank kann vom Drittanbieter grundsätzlich den Einsatz eines qualifizierten elektronischen Siegels verlangen. Es dokumentiert auch alle Anfragen des Dienstleisters und schützt die signierten Daten vor Veränderungen.

Machen Sie sich PSD2-fest und bestellen Sie schon heute Testzertifikate

Ab sofort bietet die Bundesdruckerei über ihre Tochter D-TRUST Testzertifikate, mit denen Sie die API testen können. Mit dem Nachweis einer mindestens dreimonatigen Testphase können sich Banken eine teure Fallback-Lösung sparen. Dritte Dienstanbieter können ihre Systeme mit den Schnittstellen der Banken testen. Rechtzeitig ab Sommer gibt es vom Vertrauensdiensteanbieter dann PSD2-konforme Echtzertifikate.

Jetzt Testzertifikate anfordern: psd2 [at] bdr.de

Weitere Informationen zu den Zertifikaten finden Sie in unseren FAQs.

PSD2 – neue Regelungen im Zahlungsverkehr.

Ganz im Sinne des Open Bankings fördert die PSD2 den Wettbewerb im europäischen Finanzsektor. Für die Nutzer wird der Zahlungsverkehr bequemer, preiswerter und sicherer. Denn sowohl Banken als auch Zahlungsdienstleister müssen stärker in die Sicherheit ihrer digitalen Services investieren. Die Richtlinie im Überblick.

*In anderen Ländern bei der jeweiligen Bankaufsichtsbehörde. Hier finden Sie eine Übersicht.