Zertifikate für PSD2

Was Unternehmen, Banken und FinTechs für den Einsatz von elektronischen Zertifikaten und Siegeln jetzt wissen müssen.

Informationen und FAQs zu Payment Services Directive

Allgemeines

Mit der zweiten Edition der Payment Services Directive, kurz PSD2, regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Die PSD2 verpflichtet unter anderem Banken mit Geschäftstätigkeit in der EU, Drittanbietern Zugang zu Kundenkonten zu gewähren. Zusätzlich muss bei Zugriff auf das Konto die Zwei-Faktor-Authentisierung (Strong Customer Authentication, SCA) durch den Kontoinhaber eingesetzt werden.
Die Regelungen der PSD2 gelten für Banken sowie für Drittanbieter wie FinTechs und Zahlungsdienstleister, wenn sie für ihren Geschäftszweck Zahlungen auslösen oder Kontodaten einsehen wollen. Hierzu müssen die Banken eine Schnittstelle öffnen (Application Programming Interface, API).
Für ihre Geschäftstätigkeit innerhalb der EU benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder ihrer zuständigen nationalen Aufsichtsbehörde. Der Lizenztyp bestimmt die Zugriffsrechte des Drittanbieters, die dieser im Rahmen seines Geschäftsmodells für den Zugriff auf die Kontodaten über die Bankenschnittstelle benötigt.
Um als Drittanbieter Zugang zu Bankkonten zu erhalten, müssen sich Unternehmen beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Auch Banken weisen sich mittels Zertifikat gegenüber den zugreifenden Zahlungsdienstleistern aus. Das Zertifikat gilt als „Unternehmensausweis“ im elektronischen Geschäftsverkehr. Der Artikel 34 der RTS (EU 2018/389) schreibt die Verwendung von qualifizierten Website-Zertifikaten (QWACs) oder qualifizierten Zertifikaten für elektronische Siegel (QSiegel) vor.
Die nötigen elektronischen Zertifikate werden von einem in der EU gelisteten qualifizierten Trust Service Provider (QTSP), z. B. bei der D-TRUST GmbH, einer Tochter der Bundesdruckerei GmbH, herausgegeben. Die Beantragung erfolgt online. Die Lizenz muss dem Zahlungsdienstleister zuvor durch die BaFin oder seiner nationalen Aufsicht erteilt worden sein. Wenn eine Bank als Drittanbieter agieren will, um ihrerseits auf Konten anderer Banken zuzugreifen, benötigt sie ebenfalls ein QWAC und ggf. ein QSiegel. Eine separate Lizenzierung bei der BaFin oder der zuständigen nationalen Finanzaufsicht ist nicht erforderlich, wenn sie bereits eine Vollbanklizenz besitzt.
Anbieter qualifizierter Zertifikate sind in der EU-Vertrauensliste aufgeführt, dazu müssen sie u. a. den Betrieb bei ihrer nationalen Aufsichtsstelle anmelden und alle 24 Monate eine Konformitätsbewertung durch eine dritte Stelle durchführen lassen. Die EU-Vertrauensliste erlaubt vertrauenswürdige, authentisierte, verschlüsselte Kommunikationsbeziehungen (z. B. zwischen EU-Bürgern und Websites oder zwischen IT-Systemen).
Es gibt qualifizierte Website-Zertifikate (QWACs), qualifizierte Zertifikate für elektronische Siegel (QSiegel) und Extended-Validation–Zertifikate (EV-Zertifikate). Das QWAC belegt die Identität des zugreifenden Unternehmens und sichert den Kommunikationskanal (Transportschicht). Das Siegel schützt die signierten Daten vor Veränderungen. Es macht nachträgliche Änderungen sichtbar und dokumentiert die Identität des zugreifenden Unternehmens (Anwendungsschicht). Artikel 34 der RTS (EU 2018/389) schreibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Die Empfehlung der European Banking Authority (EBA) ist, ein QWAC und ein QSiegel einzusetzen. Im Standard NextGenPSD2 der Berlin Group ist ein QWAC verpflichtend vorgesehen. Eine Bank kann sich ihrerseits durch ein QWAC oder EV-Zertifikat ausweisen, auch in diesem Fall empfiehlt die EBA ein QWAC.

Die Bundesdruckerei bietet zum Siegel zwei alternative Produkte an, die beide für den Einsatz bei PSD2 verwendbar sind.

  • Qualified Seal PSD2 ID (Qualifiziertes Siegelzertifikat ohne Siegelkarte für fortgeschrittene Siegel, „Soft-Siegel“)
  • Qualified Seal Card PSD2 (Qualifiziertes Siegelzertifikat auf Siegelkarte für qualifizierte Siegel)

Bei der Siegelkarte werden die Schlüssel auf der Karte von der Bundesdruckerei erzeugt, die Karte wird Ihnen per Kurier zugeschickt. Zum Einsatz der Siegelkarte benötigen Sie eine spezielle Hardware und Software. 
Beim Zertifikat ohne Karte werden die Schlüssel wie beim QWAC bei Ihnen, z.B. auf einem HSM, erzeugt und verwaltet. Sie schicken uns wie beim QWAC einen CSR, der den öffentlichen Schlüssel enthält, und erhalten Ihr Zertifikat per E-Mail. Durch die einfachere Handhabung und den unbegrenzten Durchsatz ist dieser Typ für die Anwendung bei PSD2 in der Regel deutlich attraktiver als die Karte. Die Zertifikatsinhalte sind identisch. Die Zertifikatspolicy im Profil ist bei der Siegelkarte QCP-l-QSCD und beim Siegelzertifikat ohne Karte QCP-l um anzuzeigen, ob sich der private Schlüssel auf einer Qualified Signature Creation Device befindet.
 

Beantragung von Echtzertifikaten

Ja, die Beantragung eines qualifizierten Website-Zertifikats erfolgt nach einem definierten Prozess. Für produktive Zertifikate muss ein Drittanbieter erst einen Antrag auf Zulassung als Zahlungsdienstleister bei der BaFin oder seiner zuständigen nationalen Finanzaufsichtsbehörde (National Competent Authority, NCA) stellen. Nach der Erteilung der BaFin-Lizenz kann die Zertifikatsausstellung bei der D-TRUST GmbH erfolgen. Eine Beantragung ist auch bereits vor der Zulassung möglich. CRR-Kreditinstitute (Banken), die auch als Zahlungsdienstleister auftreten wollen, benötigen keine zusätzliche Zulassung und können alle Rollen in den Zertifikaten beantragen.

In der EU-Vertrauensliste finden Sie die Aussteller-Zertifikate aller QTSPs. Es besteht keine Notwendigkeit die Stamm-Zertifikate zu prüfen.

Wenn nötig, können die Stamm-Zertifikate direkt auf der Website der D-TRUST heruntergeladen werden, die Informationen dazu finden Sie in den Certification Practice Statements (CPS). Anders als bei den EV-Zertifikaten können Sie sich nicht darauf verlassen, dass die Stamm-Zertifikate über die Browser verteilt und als vertrauenswürdig eingestuft werden.

Für QWACs der D-TRUST erfolgen derzeit keine Einträge in CT-Logs, da dies in den zugrundeliegenden Standards nicht vorgesehen ist. Die Zertifikate sind nicht für die Verwendung in der Kommunikation über den Browser vorgesehen, daher ist ein Eintrag in den CT-Logs nicht notwendig.

Die PSD2-Regulierung (EU 2015/2366) unterscheidet verschiedene Rollen bzw. Berechtigungen für Zahlungsdienstleister. Im ETSI-Standard TS 119 495 sind die genannten Abkürzungen definiert. Die gebräuchlichen Rollen sind Kontoinformationsdienst (account information, PSP_AI) und Zahlungsauslösedienst (payment initiation, PSP_PI). Daneben gibt es noch Kontoführung (account servicing, PSP_AS) und Kartenausgabe (issuing cards, PSP_IC). Zahlungsdienstleister können die Zulassung für eine oder mehrere dieser Rollen bei ihrer nationalen Aufsichtsstelle beantragen, erscheinen dann mit diesen Rollen im Register und können Zertifikate mit diesen Rollen ausgestellt bekommen.

Im Attribut „Sperrlisten-Verteilungspunkte“ finden Sie URLs für den OCSP-Zugriff und für die CRLs. Alternativ kann für die Echtzertifikate die Prüfung über https://www.bundesdruckerei.de/de/2720-ocsp-abfrage erfolgen.

Beachten Sie bitte, dass die folgende Beschreibung nur für PSD2 Zertifikate gilt, für andere Zertifikatstypen gelten andere Vorgaben. Sowohl für die Test- als auch für die Produktivzertifikate erzeugen und verwalten Sie Ihre Schlüssel für QWAC selbst. Verwenden Sie als minimale Schlüssellänge 2048 für QWAC und 3072 für QSeal ID. Daraus generieren Sie einen Certificate Signing Request (CSR), der neben dem öffentlichen Schlüssel genau die Attribute O (Organisation), OU (Organisationseinheit; optional), CN (Common Name, d.h. DNS Name), C (Ländercode), S (stateOrProvince), L (Stadt) enthält. Alle weiteren Attribute werden aus der Antragsseite versorgt. Mit OpenSSL erzeugen Sie den CSR wie folgt:

  • openssl genrsa -out [privateKeyName].key 3072
  • openssl req -new -utf8 -key [privateKeyName].key -out [requestName].csr

Sie werden nach allen Attributen gefragt und geben Werte für die genannten Attribute und ‚.‘ (leeres Attribut) für die anderen ein. Bitte geben Sie keine weiteren Attribute wie z.B. eMail an.

Wenn Sie ein anderes Programm verwenden, achten Sie bitte darauf, dass der CSR mit „BEGIN/END CERTIFICATE REQUEST“ beginnt/endet. „BEGIN/END NEW CERTIFICATE REQUEST“ wird zurückgewiesen, editieren Sie den CSR gegebenenfalls.

Für die Siegelkarte erzeugen wir weiterhin die Schlüssel, ein CSR ist nicht notwendig.

Vor der Zertifikatsausstellung prüfen wir, ob die im Zertifikat angeführte Domäne (CN) und alternative Domäne (SAN) unter Ihrer Kontrolle stehen. Als Standardverfahren werden für jede beantragte Domäne Mails mit einem Sicherheitstoken generiert und an die Adressen

admin@, administator@, hostmaster@, webmaster@ and postmaster@

geschickt. Wir erwarten mindestens eine Rückmeldung an die in der Mail angegebene Adresse, die diesen Token enthält – die Absenderadresse wird nicht geprüft. Sie können z. B. unsere Mail an die angegebene Adresse weiterleiten.

CAA records dienen dazu festzulegen, dass für gegebene Domains und ihre Subdomains nur ausgewählte CAs Zertifikate erzeugen dürfen. Die Beschreibung wird in RFC6844 definiert und vom CA/B Forum gefordert. Sollten auf Ihren Domänen CAAs eingetragen sein, die nicht d-trust.net enthalten, erhalten Sie eine Fehlermeldung beim Zertifikatsantrag. Bitte entfernen Sie in diesem Fall alle CAAs oder ergänzen Sie sie um d-trust.net.

NCA-ID ist eine durch ETSI TS 119.495 vorgegebene ID der nationalen Finanzaufsicht, z.B. DE-BAFIN, AT-FMA oder GB-FCA. PSP-Identifier ist eine von der NCA bei der Lizenzerteilung vergebene eindeutige nationale ID, in den meisten Ländern sind das 4-9 Ziffern. Die meisten NCAs haben getrennte Register für TPPs und ASPSPs. Zusätzlich existieren noch zentrale Register der EBA für TPPs und ASPSPs. Diese Register haben noch nicht an allen Stellen die richtigen Daten, im Zweifel zählt das nationale Register. Im Zertifikat finden Sie den zusammengesetzten Wert, z.B. PSDGB-FCA-123456, als Attribut des Antragstellers. Den vollständigen Namen der NCA finden Sie zusammen mit den beantragten Rollen im QC-Statement (Anweisungen für qualifiziertes Zertifikat).

Für die Ausstellungqualifizierter Zertifikate muss eine natürliche Person identifiziert werden, d.h. es muss eine Unterschriftsbeglaubigung zur Identitätsfeststellung erfolgen. Für Qualified Seal Card PSD2 muss die Identifizierung eines Zeichnungsbefugten erfolgen. Für QWAC und Qualified Seal PSD2 ID kann ein Zeichnungsbefugter dies an eine andere Person (subscriber’s representative) delegieren. Diese Bevollmächtigung erfolgt durch den Zeichnungsbevollmächtigten auf dem Bestelldokument. In Deutschland verwenden wir zur Identifizierung standardmäßig das PostIdent-Verfahren. Im Ausland bieten wir die Identifizierung durch Vertreter der deutschen Botschaften und Konsulate oder durch zugelassene Notare aus dem europäischen Notarverzeichnis an. Sollten Sie Ihr Land nicht im Notarverzeichnis finden, schicken Sie uns bitte eine Anfrage an support [at] bdr.de

Wenn Sie mehrere Zertifikate beantragen, ist die Identifikation für jeden Antrag durchzuführen.

Beantragung von Testzertifikaten

Für Testzertifikate gibt es keine Lizenzverpflichtung durch die BaFin. Die D-TRUST erstellt Testzertifikate ohne intensive Prüfungen.

Seit Juli 2019 sind kostenpflichtige Testzertifikate bei der Bundesdruckerei bestellbar: www.bdr.de/bestellen

Die Schlüsselerstellung für Test PSD2 Website ID und Test PSD2 Seal ID erfolgt bei Ihnen. Den Certificate Signing Request (CSR) laden Sie während des Antrags hoch. Die Auslieferung des Zertifikats erfolgt im Anschluss per E-Mail.

Die Schlüsselerstellung für Test Seal Card PSD2 erfolgt bei der D-TRUST. Sie erhalten per Post eine Siegelkarte auf der Ihre Schlüssel hinterlegt sind und einen separaten PIN-Brief.

Wichtig: Bitte speichern Sie nach der Beantragung das Bestellformular und senden Sie es uns per Post oder E-Mail zu, weitere Unterlagen wie Ident-Unterlagen oder Handelsregisterauszug sind nicht erforderlich. Auch ein PostIdent ist nicht notwendig.

Bitte beachten Sie, dass wir Testzertifikate nur an Unternehmen, nicht aber an Privatpersonen ausstellen. Wir setzen – anders als bei den Produktivzertifikaten – nicht voraus, dass Sie eine Lizenz als Bank oder Drittanbieter besitzen.

Fragen zu den Testzertifikaten richten Sie bitte per E-Mail an support [at] bdr.de

Die benötigten Aussteller- und Stammzertifikate zur Integration der Testzertifikate erhalten Sie unter folgenden Links:

Diese sind als vertrauenswürdige Zertifikate in den Zertifikatsspeicher einzutragen – sie sind ausschließlich für das Testsystem zu verwenden.

Bei weiteren Fragen steht Ihnen unser Support telefonisch unter +49 (0) 30 2598-4054 oder per E-Mail an support [at] bdr.de zur Verfügung.

Service und Support

In unserem Service Portal finden Sie Hilfe bei technischen Problemen, Informationen über Voraussetzungen und Anwendungsmöglichkeiten unserer Lösungen sowie unseren Dokumentationen und Preislisten. Wir helfen Ihnen weiter.