PSD2: Sicher an die Schnittstelle zum Banking der Zukunft

Sie setzen auf Open Banking? Wir setzen die PSD2 sicher mit Ihnen um. Im September 2019 beginnt eine neue Ära im Bankengeschäft.
Mit unseren PSD2-Zertifikaten können Sie Ihre Schnittstellen und Systeme testen und ab dem 14. September produktiv einsetzen . Als einer der ersten qualifizierten Vertrauensdiensteanbieter in Europa bieten wir eIDAS-konforme Echt- und Testzertifikate für PSD2 an.

Die zweite Payment Services Directive (PSD2) setzt eine Revolution im elektronischen Zahlungsverkehr in Gang: Banken in der EU müssen ab Mitte September 2019 Drittanbietern den Zugang zu ihren Kundenkonten im Echtbetrieb gewährleisten und dafür eine Schnittstelle (API) bereitstellen. Diese wird über qualifizierte Website-Zertifikate (QWACs) abgesichert. Drittanbieter müssen sich im Gegenzug bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)* registrieren und benötigen für den Zugriff auf die Bankkonten ebenfalls qualifizierte Website-Zertifikate bzw. qualifizierte Siegelzertifikate (QSiegel). Die D-TRUST, ein Tochterunternehmen der Bundesdruckerei, ist einer der wenigen europäischen qualifizierten Vertrauensdiensteanbieter, die diese Zertifikate anbieten.

Jetzt Ihre PSD2-Zertifkate (QWAC und QSiegel) bestellen.

Die PSD2 für FinTechs und Banken - Das Wichtigste im Überblick

Was beinhaltet die neue Richtlinie PSD2 und welche Chancen bietet sie?

Die zweite Payment Services Directive verpflichtet Banken, Drittanbietern Zugriff auf die Konten ihrer Kunden zu gewähren. Für die neuen Anbieter eröffnet die PSD2 enorme Chancen, doch auch Banken können profitieren – zum Beispiel, indem sie mit Start-ups kooperieren oder ihr eigenes Leistungsportfolio um diese neuen Dienste erweitern. Ohne Frage: die Richtlinie ist im Sinne des Open Bankings und fördert den Wettbewerb. Allerdings legt sie FinTechs auch weitaus strengere Sicherheitsanforderungen auf.

Welche Voraussetzungen müssen Drittanbieter erfüllen?

Eines vorweg: Nur Anbieter von Online-Zahlungsdiensten müssen die PSD2 umsetzen. Um die Schnittstelle der Banken nutzen zu können, brauchen Drittanbieter eine Lizenz mit definierten Zugriffsberechtigungen. Eine solche Lizenz vergibt die BaFin oder eine vergleichbare europäische Behörde. Ist sie erteilt, benötigt der Anbieter ein QWAC, um seine Kommunikation abzusichern. Damit weist er sich gegenüber der Bank als Inhaber der BaFin-Lizenz aus. Die Bank kann darüber hinaus den zusätzlichen Einsatz eines QSiegels verlangen, das signierte Daten vor Veränderungen schützt.

Wie sehen die nächsten Schritte für Drittanbieter aus?

Die Regulierung schreibt für Banken seit Mitte März eine Testphase vor, in denen Drittanbieter die geöffneten Schnittstellen einer Testumgebung (Sandbox) prüfen und ggf. bei der BaFin reklamieren können. Für die Drittanbieter ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Kompatibilität mit den Schnittstellen der Banken überprüfen und bei Bedarf optimieren zu können.

Für diese erste Testphase können Drittanbieter auch ohne BaFin-Lizenz Testzertifikate bei der Bundesdruckerei beantragen. Seit Mitte Juni mussten die Banken in einer zweiten Testphase (Marktbewährungsphase) ihr Produktivsystem öffnen, Drittanbieter können mit auf echte Kundenkonten zugreifen. Die dazu benötigten Echtzertifikate mit PSD2-Erweiterung stellt die Bundesdruckerei seit Mai zur Verfügung. Damit können Drittanbieter die bereitgestellte API unter Realbedingungen testen und ab dem 14. September produktiv nutzen. Die zuvor genutzten alternativen Konto-Zugänge sind dann, ggf. mit einer Übergangsfrist, nicht mehr zulässig.

Welche Voraussetzungen müssen Banken erfüllen?

Banken müssen den neuen Anbietern eine API zur Verfügung stellen, damit diese auf Bankkontoinformationen zugreifen und Auszahlungen auslösen können. Ihre eigene Identität können sie durch ein qualifiziertes Website-Zertifikat belegen.

Wie sehen die nächsten Schritte für Banken aus?

Seit dem 14. September 2019 sind die Geldinstitute zum Echtbetrieb verpflichtet und müssen allen lizensierten Drittanbietern mit gültigen Echtzertifikaten den Zugang öffnen. Die erste Phase des Testbetriebs begann bereits Mitte März. Hierbei musste ein Testsystem (Sandbox) bereitgestellt werden, in dem auch noch nicht lizensierte Drittanbieter sich mit Testzertifikaten identifizieren und auf Testkonten zugreifen können.

Wo sind PSD2-konforme Zertifikate erhältlich?

Die D-TRUST ist aktuell der einzige deutsche Anbieter, der in der EU-Vertrauensliste als sogenannter qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider) mit Ausgabeberechtigung für QWACs und QSiegel-Zertifikaten gelistet ist. Das Tochterunternehmen der Bundesdruckerei war bereis europaweit das erste Unternehmen, das qualifizierte Zertifikate angeboten hat.

Echt- und Testzertifikate erhalten Sie auf unserer Bestellseite.

Wie unterscheiden sich QWACs und QSiegel?

Ein qualifiziertes Website-Zertifikat (QWAC) schützt die Kommunikation zwischen Banken und Drittanbietern auf der Transportebene – also die Datenübermittlung. Der Zahlungsdienst authentifiziert sich damit beim kontoführenden Geldinstitut als Inhaber der BaFin-Lizenz. Das QWAC enthält Informationen zur Rolle des Unternehmens sowie seine Registrierungs-ID bei der Finanzaufsichtsbehörde. Zudem verschlüsseln QWACs die gesamte Kommunikation zwischen Bank und Zahlungsdienstleister.

QSiegel sichern die Daten auf der Anwendungsebene. Das ist vor allem von Vorteil, wenn man im Schadensfall nachweisen will, wer den Zugriff auf die API durchgeführt hat. Dies wird mit dem QSiegel sehr viel einfacher. Eine Bank kann vom Drittanbieter den Einsatz eines qualifizierten qualifizierten Siegelzertifikat verlangen. Es dokumentiert alle Anfragen des Dienstleisters und schützt die signierten Daten vor Veränderungen. Die Bundesdruckerei bietet qualifizierte Siegelzertifikate alternativ mit und ohne Smartcard an, die kartenlose Variante ist die bevorzugte Option für die meisten Kunden.

Machen Sie sich PSD2-fest und bestellen Sie Ihre Zertifikate

Die Bundesdruckerei biete über ihre Tochter D-TRUST Echtzertifikate (QWAC und QSiegel) an, mit denen Banken und Trittanbietern die APIs unter Realbedingungen mit echten Kundenkonten testen und ab dem 14. September produktiv gehen können.

Bestellen Sie hier Ihre Echt- und Testzertifikate (QWAC und QSiegel).

Weitere Informationen zu den Zertifikaten finden Sie in unseren FAQs.

Im Januar 2018 ist die EU-Richtlinie PSD2 in Kraft getreten. Unsere Expertin für Trusted Services, Franca Löwenstein, klärt über die Ziele und die Folgen auf.

Ganz im Sinne des Open Bankings fördert die PSD2 den Wettbewerb im europäischen Finanzsektor. Für die Nutzer wird der Zahlungsverkehr bequemer, preiswerter und sicherer. Denn sowohl Banken als auch Zahlungsdienstleister müssen stärker in die Sicherheit ihrer digitalen Services investieren.

Auch zum Nachhören: Der Podcast von digitalkompakt zeigt, was neu ist und welche Voraussetzungen Fintechs erfüllen müssen, um PSD2-Konform zu sein.

Bei weiteren Fragen steht Ihnen unser Support telefonisch unter +49 (0) 30 2598-4054 oder per E-Mail an support [at] bdr.de zur Verfügung.

*In anderen Ländern bei der jeweiligen Bankaufsichtsbehörde. Hier finden Sie eine Übersicht.