PSD2 fordert Qualifizierte Website-Zertifikate

Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

[datensicherheit.de, 27.09.2019] IT-Sicherheitsexperten der PSW GROUP machend darauf aufmerksam, dass seit dem 14. September 2019 die Zahlungsrichtlinie PSD2 verpflichtend ist. Diese zweite „Payment Service Directive“ geht demnach mit Veränderung für Banken, Zahlungsdienstleister und Kunden einher, beschere ihnen aber auch einen Vorteil: Die Richtlinie werde dem Online-Banking zu gesteigerter Sicherheit verhelfen.

Patrycja Tulinska: „Richtlinie wird Online-Banking zu gesteigerter Sicherheit verhelfen“

Von der Europäischen Kommission im Zahlungsdiensterecht beschlossene EU-Richtlinie

Die neue Vorschrift PSD2 ist laut PSW GROUP eine EU-Richtlinie, welche von der Europäischen Kommission im Zahlungsdiensterecht beschlossen wurde. Sie solle Zahlungsdiensten und Zahlungsdienstleistern in Europa zu einem gerechten Wettbewerb verhelfen. „Hierfür werden Banken verpflichtet, ihre zuvor gesammelten Kundendaten zu veröffentlichen und verlieren gegenüber Nicht-Banken damit einen klaren Vorteil. Dies erfordert natürlich die Zustimmung des Kunden und bietet diesem die Chance, weitere Angebote zu Finanzprodukten von anderen Mitbewerbern zu erhalten und direkt zu vergleichen“, erläutert Patrycja Tulinska, Geschäftsführerin der PSW GROUP. Weiterhin sei auf Kundenseite mit sinkenden Bankgebühren aufgrund des steigenden Wettbewerbs zu rechnen.

Erwerb einer BaFin-Lizenz an langwierigen Prüfprozess des Finanzdienstleisters gekoppelt

Die Umsetzung von PSD2 sei an verschiedene technische Voraussetzungen gekoppelt, um weiterhin sowohl Sicherheit wie auch Transparenz zu garantieren. Tulinska: „Für die Offenlegung von Kundendaten an Nicht-Banken werden Banken zur Nutzung einer sicheren Schnittstelle verpflichtet. Abgesichert werden diese mit qualifizierten Website-Zertifikaten, kurz QWACs genannt. Auch Zahlungsdienstleister, die anschließend Zugriff auf die hinterlegten Kundendaten erhalten möchten, benötigen hierzu diese QWACs respektive qualifizierte Siegel. Weiterhin benötigen Nicht-Banken eine Lizenz der Bundesanstalt für Finanzdienstleitungsaufsicht oder einer anderen nationalen Aufsichtsbehörde.“ Diese Lizenz bestätige, „dass der Finanzdienstleister dazu berechtigt ist, Zugriff auf Kundendaten zu erhalten“. Zudem lege sie den Umfang fest, zu dem der Finanzdienstleister Zugriff auf Informationen erhalten dürfe. Der Erwerb einer BaFin-Lizenz sei an einen langwierigen Prüfprozess des Finanzdienstleisters gekoppelt und könne bis zu drei Monate dauern.

Qualifizierte Website-Zertifikate entsprechend dem eiDAS-Standard

Qualifizierte Website-Zertifikate entsprächen dem „eiDAS“-Standard und würden ausschließlich von qualifizierten „Trust Service“-Providern ausgegeben. Daher gälten sie besonders in der EU als angesehen und vertrauenserweckend: „QWACs belegen die Identität des Zahlungsdienstleisters und erfüllen gleichzeitig die Funktion gewöhnlicher SSL-Zertifikate. Sie verschlüsseln also die Datenübertragung über die Website“, ergänzt Tulinska. PDS2-konforme Zertifikate könnten auch über die PSW GROUP bezogen werden. „Da es sich um eine kompliziertere Beratung handelt, sind diese Zertifikate vorerst nur auf Anfrage erhältlich.“

Weitere Informationen zum Thema:

PSW GROUP, 13.09.2019
Verschlüsselung / PSD2 – Neue Richtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung

datensicherheit.de, 02.08.2019
Fake-WebShops: PSW GROUP gibt Tipps zum Erkennen

datensicherheit.de, 20.07.2019
Neue Zahlungsrichtlinie verpflichtet Banken und Zahlungsdienstleister zu besonderer Verschlüsselung