PSD2: Sicher an die Schnittstelle zum Banking der Zukunft

PSD2-Zertifikate

Sichern Sie Schnittstellen und Systeme mit unseren PSD2-Zertifikaten

PSD2: Sicher an die Schnittstelle zum Banking der Zukunft

Sie setzen auf Open Banking? Wir setzen die PSD2 sicher mit Ihnen um. Seit September 2019 läuft eine neue Ära im Bankengeschäft.
Mit unseren PSD2-Zertifikaten können Sie Ihre Schnittstellen und Systeme testen und seit dem 14. September produktiv einsetzen. Als einer der ersten qualifizierten Vertrauensdiensteanbieter in Europa bieten wir eIDAS-konforme Echt- und Testzertifikate für PSD2 an.

Ihre Vorteile auf einen Blick

eIDAS-konforme Echt- und Testzertifikate

datenschutzkonform

Produktdetails

Im Januar 2018 ist die EU-Richtlinie PSD2 in Kraft getreten. Unsere Expertin für Trusted Services, Franca Löwenstein, klärt über die Ziele und die Folgen auf.

Die PSD2 für FinTechs und Banken - Das Wichtigste im Überblick

Die zweite Payment Services Directive (PSD2) setzt eine Revolution im elektronischen Zahlungsverkehr in Gang: Banken in der EU müssen ab Mitte September 2019 Drittanbietern den Zugang zu ihren Kundenkonten im Echtbetrieb gewährleisten und dafür eine Schnittstelle (API) bereitstellen. Diese wird über qualifizierte Website-Zertifikate (QWACs) abgesichert. Drittanbieter müssen sich im Gegenzug bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)* registrieren und benötigen für den Zugriff auf die Bankkonten ebenfalls qualifizierte Website-Zertifikate bzw. qualifizierte Siegelzertifikate (QSiegel). Die D-TRUST, ein Tochterunternehmen der Bundesdruckerei, ist einer der wenigen europäischen qualifizierten Vertrauensdiensteanbieter, die diese Zertifikate anbieten.

Was die neue Richtlinie PSD2 und welche Chancen sie Ihnen bietet.

Die zweite Payment Services Directive verpflichtet Banken, Drittanbietern Zugriff auf die Konten ihrer Kunden zu gewähren. Für die neuen Anbieter eröffnet die PSD2 enorme Chancen, doch auch Banken können profitieren – zum Beispiel, indem sie mit Start-ups kooperieren oder ihr eigenes Leistungsportfolio um diese neuen Dienste erweitern. Ohne Frage: die Richtlinie ist im Sinne des Open Bankings und fördert den Wettbewerb. Allerdings legt sie FinTechs auch weitaus strengere Sicherheitsanforderungen auf.

Welche Voraussetzungen Drittanbieter erfüllen müssen. 

Eines vorweg: Nur Anbieter von Online-Zahlungsdiensten müssen die PSD2 umsetzen. Um die Schnittstelle der Banken nutzen zu können, brauchen Drittanbieter eine Lizenz mit definierten Zugriffsberechtigungen. Eine solche Lizenz vergibt die BaFin oder eine vergleichbare europäische Behörde. Ist sie erteilt, benötigt der Anbieter ein QWAC, um seine Kommunikation abzusichern. Damit weist er sich gegenüber der Bank als Inhaber der BaFin-Lizenz aus. Die Bank kann darüber hinaus den zusätzlichen Einsatz eines QSiegels verlangen, das signierte Daten vor Veränderungen schützt.

So sehen die nächsten Schritte für Drittanbieter aus.

Die Regulierung schreibt für Banken seit Mitte März eine Testphase vor, in denen Drittanbieter die geöffneten Schnittstellen einer Testumgebung (Sandbox) prüfen und ggf. bei der BaFin reklamieren können. Für die Drittanbieter ist die Teilnahme an dieser Testphase empfehlenswert, um das eigene System und die Kompatibilität mit den Schnittstellen der Banken überprüfen und bei Bedarf optimieren zu können.

Für diese erste Testphase können  Drittanbieter auch ohne BaFin-Lizenz Testzertifikate bei der Bundesdruckerei beantragen. Seit Mitte Juni mussten die Banken in einer zweiten Testphase (Marktbewährungsphase) ihr Produktivsystem öffnen, Drittanbieter können mit auf echte Kundenkonten zugreifen. Die dazu benötigten Echtzertifikate mit PSD2-Erweiterung stellt die Bundesdruckerei seit Mai zur Verfügung. Damit können Drittanbieter die bereitgestellte API unter Realbedingungen testen und seit dem 14. September produktiv nutzen. Die zuvor genutzten alternativen Konto-Zugänge sind dann, ggf. mit einer Übergangsfrist, nicht mehr zulässig.

Machen Sie sich PSD2-fest und bestellen Sie Ihre Zertifikate

Die Bundesdruckerei bietet über ihre Tochter D-TRUST Echtzertifikate (QWAC und QSiegel) an, mit denen Banken und Trittanbietern die APIs einbinden können. Ganz im Sinne des Open Bankings fördert die PSD2 den Wettbewerb im europäischen Finanzsektor. Für die Nutzer wird der Zahlungsverkehr bequemer, preiswerter und sicherer. Denn sowohl Banken als auch Zahlungsdienstleister müssen stärker in die Sicherheit ihrer digitalen Services investieren.

Auch zum Nachhören: Der Podcast von digitalkompakt zeigt, was neu ist und welche Voraussetzungen Fintechs erfüllen müssen, um PSD2-Konform zu sein.


*In anderen Ländern bei der jeweiligen Bankaufsichtsbehörde. Hier finden Sie eine Übersicht
 

Weniger Produktdetails

Downloads

Lösungsblatt PSD2

Open Banking - PSD2 sicher und rechtswirksam umsetzen. QWACs und QSiegel für Zahlungsdienstleister

Dateigröße: 596.36 KB | Format: PDF

PSD2 Factsheet Registrierungsprozess

Wie Zahlungsdienstleister die PSD2 rechtskonform umsetzen

Dateigröße: 402.89 KB | Format: PDF

Produktkatalog 2020

Ob Mensch, Objekt oder Maschine: Wir geben allen eine sichere Identität.

Dateigröße: 4.61 MB | Format: PDF

Hier kommt die PSD2 zum Einsatz

Häufig gestellte Fragen

Banken müssen den neuen Anbietern eine API zur Verfügung stellen, damit diese auf Bankkontoinformationen zugreifen und Auszahlungen auslösen können. Ihre eigene Identität können sie durch ein qualifiziertes Website-Zertifikat belegen.

Seit dem 14. September 2019 sind die Geldinstitute zum Echtbetrieb verpflichtet und müssen allen lizensierten Drittanbietern mit gültigen Echtzertifikaten den Zugang öffnen. Die erste Phase des Testbetriebs begann bereits Mitte März. Hierbei musste ein Testsystem (Sandbox) bereitgestellt werden, in dem auch noch nicht lizensierte Drittanbieter sich mit Testzertifikaten identifizieren und auf Testkonten zugreifen können.

Die D-TRUST ist aktuell der einzige deutsche Anbieter, der in der EU-Vertrauensliste als sogenannter qualifizierter Vertrauensdiensteanbieter (Qualified Trust Service Provider) mit Ausgabeberechtigung für QWACs und QSiegel-Zertifikaten gelistet ist. Das Tochterunternehmen der Bundesdruckerei war bereits europaweit das erste Unternehmen, das qualifizierte Zertifikate angeboten hat. 

Echt- und Testzertifikate erhalten Sie auf unserer Bestellseite

Ein qualifiziertes Website-Zertifikat (QWAC) schützt die Kommunikation zwischen Banken und Drittanbietern auf der Transportebene – also die Datenübermittlung. Der Zahlungsdienst authentifiziert sich damit beim kontoführenden Geldinstitut als Inhaber der BaFin-Lizenz. Das QWAC enthält Informationen zur Rolle des Unternehmens sowie seine Registrierungs-ID bei der Finanzaufsichtsbehörde. Zudem verschlüsseln QWACs die gesamte Kommunikation zwischen Bank und Zahlungsdienstleister.

QSiegel sichern die Daten auf der Anwendungsebene. Das ist vor allem von Vorteil, wenn man im Schadensfall nachweisen will, wer den Zugriff auf die API durchgeführt hat. Dies wird mit dem QSiegel sehr viel einfacher. Eine Bank kann vom Drittanbieter den Einsatz eines qualifizierten Siegelzertifikats verlangen. Es dokumentiert alle Anfragen des Dienstleisters und schützt die signierten Daten vor Veränderungen. Die Bundesdruckerei bietet qualifizierte Siegelzertifikate ohne Smartcard an.
 

Sie haben noch weitere Fragen zur PSD2?


Wir helfen Ihnen gern weiter!
Nutzen Sie unseren Support-Bereich und finden Sie weitere Hilfestellungen oder Informationsmaterialen zur PSD2.