Im September 2019 sind sie in vollem Umfang in Kraft getreten: Die überarbeitete Zahlungsdiensterichtlinie (Payment Service Directive), die meist mit der Abkürzung PSD2 bezeichnet wird, und die technischen Regulierungsstandards (Regulatory Technical Standards, RTS), die vorschreiben, wie PSD2 umzusetzen ist.
Die Richtlinie gilt für alle Mitgliedstaaten der Europäischen Union (EU) und verpflichtet sämtliche Finanzinstitute, ihre Kundendaten und Zahlungsnetzwerke für Zahlungsdienstleister (Payment Service Providers, PSP) und andere Drittanbieter (Third Party Providers, TPP) zu öffnen. Ziel der Richtlinie ist es, das Monopol der Finanzinstitute auf die Daten ihrer Nutzer abzuschaffen, den Wettbewerb zu stärken und neue, innovative Finanzlösungen zu fördern sowie gleichzeitig Standards zur Gewährleistung der Interoperabilität und der Sicherheit von Nutzerdaten festzulegen.
Warum mischt sich die EU überhaupt in den Zahlungsverkehr ein?
Die PSD2 ist der zweite Teil der bereits bestehenden Zahlungsdiensterichtlinie aus dem Jahr 2007. Ihr Ziel ist es, Betrug und böswillige Aktivitäten zu bekämpfen und für mehr Sicherheit bei Online-Zahlungen zu sorgen. Außerdem soll sie Open Banking fördern und mehr Wettbewerb schaffen.
In den letzten Jahren hat es bereits zahlreiche Initiativen gegeben, um die Nutzung digitaler Dokumente zu fördern und die digitale Sicherheit zu erhöhen. Der kontinuierliche Aufstieg von Finanztechnologieunternehmen (auch FinTechs genannt) ist Beweis genug.
Was bedeutet RTS SCA/CSC für PSD2?
Die technischen Regulierungsstandards (Regulatory Technical Standards, RTS) für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) und sichere allgemeine offene Kommunikationsstandards (Common and Secure Open Standards of Communication, CSC) erläutern die spezifischen Sicherheitsmaßnahmen und Implementierungsanforderungen, die Finanzinstitute und Drittanbieter (Third Party Providers, TPPs) gleichermaßen einhalten müssen, um PSD2-konform zu sein.
Die RTS sind vor kurzem in Kraft getreten. Ein zentrales Prinzip dieser Standards ist die gemeinsame und sichere Kommunikation zwischen allen Beteiligten. Alle Transaktionen zwischen Zahlungsdienstleistern und Finanzinstituten müssen über gesicherte Kanäle erfolgen, welche die Authentizität und Integrität der Daten gewährleisten.
Die Rolle von qualifizierten Zertifikaten in PSD2
Die RTS spezifizieren zwei Hauptanforderungen, zu denen die Verwendung von Zertifikaten zählt:
- Identifikation des Zahlungsdienstleisters (Artikel 34 der RTS) – PSPs müssen sich gegenüber der API des Finanzinstituts identifizieren. Die RTS verlangen zu diesem Zweck speziell die Verwendung eines Qualifizierten Zertifikats für die Website-Authentifizierung (QWAC) oder von Qualifizierten Zertifikaten für elektronische Siegel (QSealC).
- Zwischen allen kommunizierenden Parteien muss eine sichere Verschlüsselung eingesetzt werden (Artikel 35 der RTS) – Die RTS schreiben hier nicht die Verwendung von QWACs vor, sondern verlangen lediglich, dass “starke und allgemein anerkannte Verschlüsselungstechniken” verwendet werden. Die Verwendung von SSL/TLS-Protokollen durch QWACs erfüllt diese Anforderung.
Welche Art von qualifizierten Zertifikaten brauche ich?
Um beide der oben genannten Anforderungen zu erfüllen, empfiehlt die EBA (Europäische Bankenaufsichtsbehörde) die Verwendung von QWACs und QSealCs.
QWACs sind im Wesentlichen qualifizierte SSL/TLS-Zertifikate. Sie werden verwendet, um Endpunkte wie Banken und Drittanbieter zu identifizieren und Daten während der Übertragung zu verschlüsseln und zu schützen.
QSealCs hingegen schützen Daten und Dokumente vor Manipulationen und identifizieren die Herkunft der Daten.
Die Verwendung beider Zertifikatstypen ist ideal, weil die Folgendes sicherstellen:
- PSPs können sich gegenüber Finanzinstituten identifizieren. Sowohl QWAC als auch QSealC authentifizieren die Parteien anhand der Zertifikate.
- Vertraulichkeit und Integrität für die Kommunikation zwischen allen Parteien. QWAC verwendet SSL/TLS zur Verschlüsselung der Sitzungen und zum Schutz der Daten während der Übertragung.
- Alle Daten stammen tatsächlich von dem im Zertifikat identifizierten PSP. QSealC identifiziert, woher die Daten stammen, und schützt sie vor Manipulationen.