FAQs PSD2

Informationen und FAQs zu Payment Services Directive

Allgemeines

Was ist das Ziel der PSD2?

Mit der zweiten Edition der Payment Services Directive, kurz PSD2, regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Die PSD2 verpflichtet unter anderem Banken mit Geschäftstätigkeit in der EU, Drittanbietern Zugang zu Kundenkonten zu gewähren. Zusätzlich muss bei Zugriff auf das Konto die Zwei-Faktor-Authentisierung (Strong Customer Authentication, SCA) durch den Kontoinhaber eingesetzt werden.

Für wen ist die PSD2 wichtig?

Die Regelungen der PSD2 gelten für Banken sowie für Drittanbieter wie FinTechs und Zahlungsdienstleister, wenn sie für ihren Geschäftszweck Zahlungen auslösen oder Kontodaten einsehen wollen. Hierzu müssen die Banken eine Schnittstelle öffnen (Application Programming Interface, API).

Welche regulatorischen Voraussetzungen müssen Drittanbieter erfüllen, die auf Konten oder Kontoinformationen der Banken zugreifen möchten?

Für ihre Geschäftstätigkeit innerhalb der EU benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder ihrer zuständigen nationalen Aufsichtsbehörde. Der Lizenztyp bestimmt die Zugriffsrechte des Drittanbieters, die dieser im Rahmen seines Geschäftsmodells für den Zugriff auf die Kontodaten über die Bankenschnittstelle benötigt.

Welche technischen Voraussetzungen benötigen Drittanbieter und Banken?

Um als Drittanbieter Zugang zu Bankkonten zu erhalten, müssen sich Unternehmen beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Auch Banken weisen sich mittels Zertifikat gegenüber den zugreifenden Zahlungsdienstleistern aus. Das Zertifikat gilt als „Unternehmensausweis“ im elektronischen Geschäftsverkehr. Der Artikel 34 der RTS (EU 2018/389) schreibt die Verwendung von qualifizierten Website-Zertifikaten (QWACs) oder qualifizierten Zertifikaten für elektronische Siegel (QSiegel) vor.

Wo bekommen Drittanbieter und Banken ein elektronisches Zertifikat nach PSD2-Vorgaben?

Die nötigen elektronischen Zertifikate werden von einem in der EU gelisteten qualifizierten Trust Service Provider (QTSP), z. B. bei der D-TRUST GmbH, einer Tochter der Bundesdruckerei GmbH, herausgegeben. Die Beantragung erfolgt online. Die Lizenz muss dem Zahlungsdienstleister zuvor durch die BaFin oder seiner nationalen Aufsicht erteilt worden sein. Wenn eine Bank als Drittanbieter agieren will, um ihrerseits auf Konten anderer Banken zuzugreifen, benötigt sie ebenfalls ein QWAC und ggf. ein QSiegel. Eine separate Lizenzierung bei der BaFin oder der zuständigen nationalen Finanzaufsicht ist nicht erforderlich, wenn sie bereits eine Vollbanklizenz besitzt.

Welche Voraussetzungen müssen Anbieter qualifizierter Website-Zertifikate (QWAC) und qualifizierter Zertifikate für elektronische Siegel (QSiegel) erfüllen?

Anbieter qualifizierter Zertifikate sind in der EU-Vertrauensliste aufgeführt, dazu müssen sie u. a. den Betrieb bei ihrer nationalen Aufsichtsstelle anmelden und alle 24 Monate eine Konformitätsbewertung durch eine dritte Stelle durchführen lassen. Die EU-Vertrauensliste erlaubt vertrauenswürdige, authentisierte, verschlüsselte Kommunikationsbeziehungen (z. B. zwischen EU-Bürgern und Websites oder zwischen IT-Systemen).

Wo liegen die Unterschiede im Einsatz der Zertifikatstypen und welche sind einzusetzen?

Es gibt qualifizierte Website-Zertifikate (QWACs), qualifizierte Zertifikate für elektronische Siegel (QSiegel) und Extended-Validation–Zertifikate (EV-Zertifikate). Das QWAC belegt die Identität des zugreifenden Unternehmens und sichert den Kommunikationskanal (Transportschicht). Das Siegel schützt die signierten Daten vor Veränderungen. Es macht nachträgliche Änderungen sichtbar und dokumentiert die Identität des zugreifenden Unternehmens (Anwendungsschicht). Artikel 34 der RTS (EU 2018/389) schreibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Die Empfehlung der European Banking Authority (EBA) ist, ein QWAC und ein QSiegel einzusetzen. Im Standard NextGenPSD2 der Berlin Group ist ein QWAC verpflichtend vorgesehen. Eine Bank kann sich ihrerseits durch ein QWAC oder EV-Zertifikat ausweisen, auch in diesem Fall empfiehlt die EBA ein QWAC.

Was ist beim Einsatz des Siegelzertifikats zu beachten?

Die D-TRUST, ein Unternehmen der Bundesdruckerei, bietet zum Siegeln für den Einsatz bei PSD2 das Produkt Qualified Seal PSD2 ID (Qualifiziertes Siegelzertifikat ohne Siegelkarte für fortgeschrittene Siegel, „Soft-Siegel“) an.

Beim Siegelzertifikat ohne Karte werden die Schlüssel wie beim QWAC bei Ihnen, z.B. auf einem HSM, erzeugt und verwaltet. Sie schicken uns wie beim QWAC einen CSR, der den öffentlichen Schlüssel enthält, und erhalten Ihr Zertifikat per E-Mail. Die Siegelzertifikate ohne Karte ermöglichen die einfache Handhabung und den unbegrenzten Durchsatz für die Anwendung bei PSD2. Die Zertifikatspolicy im Profil ist QCP-l. Der Einsatz eines Qualified Signature Creation Device (QSCD) ist nicht zwingend notwendig.

Beantragung von Echtzertifikaten

Gibt es für die Beantragung eines qualifizierten Website-Zertifikats gemäß PSD2 einen definierten, verbindlichen Prozess?

Ja, die Beantragung eines qualifizierten Website-Zertifikats erfolgt nach einem definierten Prozess. Für produktive Zertifikate muss ein Drittanbieter erst einen Antrag auf Zulassung als Zahlungsdienstleister bei der BaFin oder seiner zuständigen nationalen Finanzaufsichtsbehörde (National Competent Authority, NCA) stellen. Nach der Erteilung der BaFin-Lizenz kann die Zertifikatsausstellung bei der D-TRUST GmbH erfolgen. Eine Beantragung ist auch bereits vor der Zulassung möglich. CRR-Kreditinstitute (Banken), die auch als Zahlungsdienstleister auftreten wollen, benötigen keine zusätzliche Zulassung und können alle Rollen in den Zertifikaten beantragen.

Woher bekomme ich die Aussteller- und Stamm-Zertifikate der D-TRUST und anderer QTSPs für den Produktivbetrieb?

In der EU-Vertrauensliste finden Sie die Aussteller-Zertifikate aller QTSPs. Es besteht keine Notwendigkeit die Stamm-Zertifikate zu prüfen.

Wenn nötig, können die Stamm-Zertifikate direkt auf der Website der D-TRUST heruntergeladen werden, die Informationen dazu finden Sie in den Certification Practice Statements (CPS). Anders als bei den EV-Zertifikaten können Sie sich nicht darauf verlassen, dass die Stamm-Zertifikate über die Browser verteilt und als vertrauenswürdig eingestuft werden.

Warum werden die PSD2 QWAC nicht in den Certificate Tranparency Logs eingetragen?

Für QWACs der D-TRUST erfolgen derzeit keine Einträge in CT-Logs, da dies in den zugrundeliegenden Standards nicht vorgesehen ist. Die Zertifikate sind nicht für die Verwendung in der Kommunikation über den Browser vorgesehen, daher ist ein Eintrag in den CT-Logs nicht notwendig.

Was bedeuten die Rollen PSP_AI, PSP_PI, PSP_AS und PSP_IC im Zertifikat?

Die PSD2-Regulierung (EU 2015/2366) unterscheidet verschiedene Rollen bzw. Berechtigungen für Zahlungsdienstleister. Im ETSI-Standard TS 119 495 sind die genannten Abkürzungen definiert. Die gebräuchlichen Rollen sind Kontoinformationsdienst (account information, PSP_AI) und Zahlungsauslösedienst (payment initiation, PSP_PI). Daneben gibt es noch Kontoführung (account servicing, PSP_AS) und Kartenausgabe (issuing cards, PSP_IC). Zahlungsdienstleister können die Zulassung für eine oder mehrere dieser Rollen bei ihrer nationalen Aufsichtsstelle beantragen, erscheinen dann mit diesen Rollen im Register und können Zertifikate mit diesen Rollen ausgestellt bekommen.

Wie kann der Status der Test- und Produktivzertifikate auf Sperrung geprüft werden?

Im Attribut „Sperrlisten-Verteilungspunkte“ finden Sie URLs für den OCSP-Zugriff und für die CRLs. Alternativ kann für die Echtzertifikate die Prüfung über https://www.bundesdruckerei.de/de/2720-ocsp-abfrage erfolgen.

Wie erzeuge ich einen CSR für die Beantragung eines PSD2 QWAC?

Beachten Sie bitte, dass die folgende Beschreibung nur für PSD2 Zertifikate gilt, für andere Zertifikatstypen gelten andere Vorgaben. Sowohl für die Test- als auch für die Produktivzertifikate erzeugen und verwalten Sie Ihre Schlüssel für QWAC selbst. Verwenden Sie als minimale Schlüssellänge 2048 für QWAC und 3072 für QSeal ID. Daraus generieren Sie einen Certificate Signing Request (CSR), der neben dem öffentlichen Schlüssel genau die Attribute O (Organisation), OU (Organisationseinheit; optional), CN (Common Name, d.h. DNS Name), C (Ländercode), S (stateOrProvince), L (Stadt) enthält. Alle weiteren Attribute werden aus der Antragsseite versorgt. Mit OpenSSL erzeugen Sie den CSR wie folgt:

openssl genrsa -out [privateKeyName].key 3072
openssl req -new -utf8 -key [privateKeyName].key -out [requestName].csr

Sie werden nach allen Attributen gefragt und geben Werte für die genannten Attribute und ‚.‘ (leeres Attribut) für die anderen ein. Bitte geben Sie keine weiteren Attribute wie z.B. eMail an.

Wenn Sie ein anderes Programm verwenden, achten Sie bitte darauf, dass der CSR mit „BEGIN/END CERTIFICATE REQUEST“ beginnt/endet. „BEGIN/END NEW CERTIFICATE REQUEST“ wird zurückgewiesen, editieren Sie den CSR gegebenenfalls.

Wie erfolgt die Domain-Validierung?

Vor der Zertifikatsausstellung prüfen wir, ob die im Zertifikat angeführte Domäne (CN) und alternative Domäne (SAN) unter Ihrer Kontrolle stehen. Als Standardverfahren werden für jede beantragte Domäne Mails mit einem Sicherheitstoken generiert und an die Adressen

admin@, administator@, hostmaster@, webmaster@ and postmaster@

geschickt. Wir erwarten mindestens eine Rückmeldung an die in der Mail angegebene Adresse, die diesen Token enthält – die Absenderadresse wird nicht geprüft. Sie können z. B. unsere Mail an die angegebene Adresse weiterleiten.

Welche Bedeutung haben Certification Authority Authorization (CAA) records?

CAA records dienen dazu festzulegen, dass für gegebene Domains und ihre Subdomains nur ausgewählte CAs Zertifikate erzeugen dürfen. Die Beschreibung wird in RFC6844 definiert und vom CA/B Forum gefordert. Sollten auf Ihren Domänen CAAs eingetragen sein, die nicht d-trust.net enthalten, erhalten Sie eine Fehlermeldung beim Zertifikatsantrag. Bitte entfernen Sie in diesem Fall alle CAAs oder ergänzen Sie sie um d-trust.net.

Welche Werte sind im Antrag für NCA-ID und PSP-Identifier anzugeben?

NCA-ID ist eine durch ETSI TS 119.495 vorgegebene ID der nationalen Finanzaufsicht, z.B. DE-BAFIN, AT-FMA oder GB-FCA. PSP-Identifier ist eine von der NCA bei der Lizenzerteilung vergebene eindeutige nationale ID, in den meisten Ländern sind das 4-9 Ziffern. Die meisten NCAs haben getrennte Register für TPPs und ASPSPs. Zusätzlich existieren noch zentrale Register der EBA für TPPs und ASPSPs. Diese Register haben noch nicht an allen Stellen die richtigen Daten, im Zweifel zählt das nationale Register. Im Zertifikat finden Sie den zusammengesetzten Wert, z.B. PSDGB-FCA-123456, als Attribut des Antragstellers. Den vollständigen Namen der NCA finden Sie zusammen mit den beantragten Rollen im QC-Statement (Anweisungen für qualifiziertes Zertifikat).

Wie erfolgt die Identifizierung einer natürlichen Person?

Für die Ausstellung qualifizierter Zertifikate muss eine natürliche Person identifiziert werden, d.h. es muss eine Unterschriftsbeglaubigung zur Identitätsfeststellung erfolgen. Für QWAC und Qualified Seal PSD2 ID kann ein Zeichnungsbefugter dies an eine andere Person (subscriber’s representative) delegieren. Diese Bevollmächtigung erfolgt durch den Zeichnungsbevollmächtigten auf dem Bestelldokument. In Deutschland verwenden wir zur Identifizierung standardmäßig das PostIdent-Verfahren. Im Ausland bieten wir die Identifizierung durch Vertreter der deutschen Botschaften und Konsulate oder durch zugelassene Notare aus dem europäischen Notarverzeichnis an. Sollten Sie Ihr Land nicht im Notarverzeichnis finden, schicken Sie uns bitte eine Anfrage an support [at] bdr.de.

Wenn Sie mehrere Zertifikate beantragen, ist die Identifikation für jeden Antrag durchzuführen.

Beantragung von Testzertifikaten

Ist ein Antrag bei der BaFin auch für Testzertifikate zu stellen?

Für Testzertifikate gibt es keine Lizenzverpflichtung durch die BaFin. Die D-TRUST erstellt Testzertifikate ohne intensive Prüfungen.

Wie ist der Prozess zur Bestellung und Auslieferung der Testzertifikate?

Seit Juli 2019 sind kostenpflichtige Testzertifikate bei der Bundesdruckerei bestellbar: www.bdr.de/bestellen

Die Schlüsselerstellung für Test PSD2 Website ID und Test PSD2 Seal ID erfolgt bei Ihnen. Den Certificate Signing Request (CSR) laden Sie während des Antrags hoch. Die Auslieferung des Zertifikats erfolgt im Anschluss per E-Mail.

Wichtig: Bitte speichern Sie nach der Beantragung das Bestellformular und senden Sie es uns per Post oder E-Mail zu, weitere Unterlagen wie Ident-Unterlagen oder Handelsregisterauszug sind nicht erforderlich. Auch ein PostIdent ist nicht notwendig.

Bitte beachten Sie, dass wir Testzertifikate nur an Unternehmen, nicht aber an Privatpersonen ausstellen. Wir setzen – anders als bei den Produktivzertifikaten – nicht voraus, dass Sie eine Lizenz als Bank oder Drittanbieter besitzen.

Fragen zu den Testzertifikaten richten Sie bitte per E-Mail an support [at] bdr.de

Wie erfolgt die Integration der kostenpflichtigen Testzertifikate?

Die benötigten Aussteller- und Stammzertifikate zur Integration der Testzertifikate erhalten Sie unter folgenden Links:

Test Seal PSD2 ID
Root: http://www.d-trust.net/cgi-bin/D-TRUST_Root_Test_PU_CA_2_2018.crt
Aussteller: http://www.d-trust.net/cgi-bin/D-TRUST_Test_PU_CA_2-2_2019.crt
Test Website PSD2 ID
Root: http://www.d-trust.net/cgi-bin/D-TRUST_Root_Test_PU_CA_2_2018.crt
Aussteller: http://www.d-trust.net/cgi-bin/D-TRUST_Test_PU_CA_2-1_2018.crt

Diese sind als vertrauenswürdige Zertifikate in den Zertifikatsspeicher einzutragen – sie sind ausschließlich für das Testsystem zu verwenden.

Bei weiteren Fragen steht Ihnen unser Support telefonisch unter +49 (0) 30 2598-4054 oder per E-Mail an support [at] bdr.de zur Verfügung.

Zertifikate für PSD2