Informationsveranstaltung der DK - Juni 2017 Deutsche Bank
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Deutsche Bank
Informationsveranstaltung der DK
13. Juni 2017
PSD2 – Im Überblick
Die PSD2 renoviert und ergänzt die innerhalb der PSD1 definierten Regeln. Wesentliche Ziele der PSD2 sind:
Förderung und Unterstützung von Innovation im Zahlungsverkehr und Anpassung des notwendigen rechtlichen Rahmenwerkes und Anforderungen
Wesentliche Ziele der
Verbesserung der Sicherheit von Zahlungen und Zahlungsdienstleistungen
PSD2
Steigerung der Nutzersicherheit
Detailierung von Inhalten und Ausnahmen
PSD2 weitet im Vergleich zum Vorgänger den Geltungsbereich auf alle Währungen im Europäischen Wirtschaftsraum aus. Des weiteren sind ebenfalls Zahlungen betroffen,
Wesentliche bei denen lediglich eine Handelspartei sich im Europäischen Wirtschaftsraum befindet.
Unterschiede zwischen
der PSD1 und der PSD2 Die PSD2 definiert strikte Sicherheitsanforderungen für die Initiierung und Verarbeitung von Zahlungen als auch zum Schutz der kundenbezogenen Finanzdaten.
Sie definiert die Rolle des Drittdienstleisters, dem es erlaubt ist definierte Dienstleistungen um das Produkt Zahlung anzubieten
Die PSD2 Direktive wird durch weitere Standards und Richtlinien ergänzt die von der EBA* entworfen und finalisiert werden. Innerhalb der Transposition in nationales Recht
kann es zu länderspezifischen Ausnahmen kommen.
Sicherheitsanforderungen auf Makro-Niveau erfordern nachhaltige Spezifizierung und Austausch zwischen den Markteilnehmer mit dem Interesse einer einheitlichen
Wesentliche Risiken
Umsetzung.
Der Einfluß auf die Schnittstelle für den Drittdienstleister und deren Sicherheit als auch die Haftung des Drittdienstleisters bleiben bislang noch ein unklarer Risiko- und
Kostenfaktor
2015 2016 2017 2018 2019
23 Dez 2015: 12 Jan 2016: Jan 2017: 13 Jan 2018: Q2 2019:
PSD2 Direktive PSD2 Direktive EBA veröffentlicht die RTS. Es PSD2 tritt in den “Wahrscheinliches” Datum
Implementierung- wird im Offiziellen tritt in Kraft war geplant, daß diese im Ländern in Kraft zu dem die RTS in Kraft
EU Journal Februar durch die Europäische treten können
planung veröffentlicht Kommission abgezeichnet
12 Aug – 12 Okt. 2016: werden. (Verzögerung)
Konsultation zu den April 2019:
Regulatorisch technischen 24 Mai 2017: Frühester Zeitpunkt zu dem
Standards für sichere Die Europäische Kommission gibt die die RTS in Kraft treten
Kommunikation und RTS mit Änderungen an EBA zurück. können (18 Monate nach
Authentifizierung erfolgen EBA hat 6 Wochen Zeit zur Einarbeitung. Veröffentlichung)
Deutsche Bank OliverZeitlinien
Standards/Leitlinien/ Bieserund verantwortliche Organisationen sind in der Direktive aufgeführt:
Deutsche Bank Informationsveranstaltung der DK 1
http://eur-lex.europa.eu/legal-content/D/TXT/?uri=CELEX%3A32015L2366
*Europäische Bankenaufsichtsbehörde
1
PSD2 – Regulatorische Änderungen
Umsetzungs-
Regulatorische Änderung termin
Neu: Banken
Geschäfts
möglich
Banken müssen Drittanbietern eine Schnittstelle kostenfrei zur Verfügung stellen - Auch Banken obliegt die Möglichkeit sich
keiten
müssen Q4 2018/
Schnittstelle zur als Drittdienstleister zu positionieren. Q1 2019*
Verfügung stellen
Banken müssen 2FA sowohl zum Login als auch Transaktionsautorisierung etablieren
NEU:
Authentifizierung Zahlungsautorisierung muß dynamisch mit Attributen der Zahlung verlinkt werden, (z.B. Betrag, Währung, Tag, Uhrzeit) um Q4 2018/
Compliance Segment
mit 2 Faktoren Betrug zu verhindern Q1 2019*
(2FA)
Banken müssen Systeme permanent im Einsatz haben die den Transaktionsverkehr auf Betrugsversuchen überwachen
NEU: Umfang-
Unter die PSD2 fallen alle Zahlungen bei denen mindestens eine der beteiligten Banken sich in der EU befindet – „One Leg In
[OLI] principle“
erweiterung 13. Jan.,
Länder und Zahlungseingänge in Kontowährung sind am Tag des Erhalts dem Kunden gutzuschreiben. 2018
Währungen
Zahlungseingänge mit erforderlicher Währungskonvertierung werden T+2 gutgeschrieben
Bei Zahlungen zwischen zwei in der EU befindlichen Banken in EU/EEA Währung sind Banken verpflichtet den vollen Betrag
Kein Abzug vom zu transferieren 13. Jan.,
Anpassungs Segment
Zahlbetrag 2018
Abzügen vom Zahlbetrag sind weiterhin bei nicht EU/EEA Währungen erlaubt als auch bei One-Leg Transaktionen
Konsumenten- Konsumentenhaftung wird reduziert von 150 € auf 50 € pro Transaktion 13. Jan.,
haftung reduziert Undefiniert bleibt die Haftung des Drittdienstleisters gegenüber der Bank im Verhältnis zum maximalen Transaktionsbetrag 2018
Ausnahmen sind Ausnahmen von der PSD2 sind klar definiert, geschlossenen Netzwerke als auch ein eingeschränktes Warenspektrum 13. Jan.,
definiert qualifizieren hierfür (Douglas Card, Tankkarten, PayPal etc.) 2018
Deutsche Bank Oliver Bieser
Deutsche Bank * Der genaue Termin steht erst fest sobald die Regulatory Technical
Informationsveranstaltung der DK
[Source: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32015L2366] Standards (RTS) vom EU Parlament angenommen wurden . 2
2Die Deutsche Bank ist in 13 Ländern von der PSD2 betroffen
Was bedeutet das für die Deutsche Bank
Die Deutsche Bank muss in allen Ländern, in denen sie online
erreichbare Konten hat, eine PSD2 Schnittstelle für TPP‘s anbieten.
Wie geht die Deutsche Bank das PSD2 Projekt an
Wir haben ein zentrales PSD2 Programm aufgesetzt das über alle
Great Geschäftsbereiche und Länder hinweg die Umsetzung der PSD2
Anforderungen steuert.
Ireland Britain
Netherlands Für die Deutsche Bank haben wir entschieden eine einheitliche
Poland Schnittstelle für alle Geschäftsbereiche und Länder zu
Germany implementieren. Deshalb unterstützen wir die Standardisierung im
Belgium Rahmen der Berlin Group Initiative.
Czech
Luxembourg
Republic
Welche Architektur wurde für die PSD2 Lösung gewählt
Austria Hungary
France Eine standardisierte Schnittstelle erlaubt es uns viele Komponenten
zentral bereitzustellen. Das betrifft neben der Kommunikation zum
TPP über die PSD2 API auch die Umsetzung der neuen
Italy Anforderungen als zentrale Module, z.B. TPP Verzeichnisse, TPP
Portugal Berechtigungen, Ausnahmen von der „Strong Customer
Spain Authentication“.
Länderspezifische Teile verbleiben lokal, werden aber über
einheitliche Service der zentralen PSD2 Engine bereitgestellt.
Beispiel hierfür sind die „Strong Customer Authentication“ Methoden
oder Bestandsdaten der lokalen Kontoführungssysteme.
Deutsche Bank Oliver Bieser
Deutsche Bank Informationsveranstaltung der DK 3
16/06/2017 2010 DB Blue templateNeue Marktteilnehmer
Drittdienstleister (Third Party Providers – TPP) für Zahlungsinitiierung und Kontoinformation
TPPs Bank des Zahlers
Zahler (Account Servicing Payment
(Payment Service User - PSU) (PISPs & AISPs) Service Provider – ASPSP)
Regulatorische / technische Änderungen Was ändert sich für den Kunden
Die EBA wird regulatorisch, technische Standards entwerfen (RTS) die Einfluß TPPs werden dem Kunden ihre Dienstleistung im
auf die Schnittstellenspezifikation zwischen ASPSPs und TPPs hat. Diese Zusammenhang mit Zahlungsinitiierung und der
Diskussion sind zu einigen Details noch nicht abgeschlossen. Prinzipiell gilt: Bereitstellung von Kontoinformationen anbieten
Alle Anfragen von TPPs müssen gleichartig und nicht-diskriminierend TPPs können Kontoinformationen über mehrere Banken
bearbeitet werden hinweg liefern, z.B. Konsolidierung von Kontoständen bei
verschiedenen Banken
Eine über einen TPP initiierte Zahlung kann durch den Zahler nicht gestoppt
werden
Jede Bank (ASPSP) die Konten für Zahlungsverkehr online1 offeriert muß
diese über die Schnittstelle zugänglich machen – Die Bereitstellung einer
Schnittstelle ist verpflichtend Position der Deutschen Bank
Ein vertragliche Beziehung zwischen dem Drittdienstleister (TPP) und der Wir setzen uns in den unterschiedlichen nationalen und
Bank (ASPSP) ist nicht erforderlich europäischen Gremien und Arbeitsgruppen für die
Entwicklung einer einheitlichen Europäischen Schnittstelle
Drittdienstleister (TPPs) müssen die Autorisierung (Prozeß, und
ein und heißen hier auch Unterstützung aus der Industrie
Autorisierungsattribute) die die Bank (ASPSP) dem Kunden ausgegeben hat
willkommen.
wiederverwenden²
Drittdienstleister (TPPs) müssen sich bei jeder Transaktion/Kommunikation
(Zahlungsauftrag, Kontoinformation, Nachfragen) gegenüber der Bank
(ASPSP) identifizieren.
Deutsche Bank 1.
Oliver
Ein Konto Bieser
wird als online definiert, wenn, wenn eine Online Nutzungsvereinbarung zwischen Bank und Kunde getroffen wurde.
Deutsche Bank Informationsveranstaltung der DK 4
Maschine-zu-Maschinen (host2host) Kommunikation wird nicht als Online angesehen.
2. Der Inhalt der Antwortnachricht nach Zahlungsinitiierung ist nicht definiert
16/06/2017 2010 DB Blue template 8Verbesserte Sicherheitsstandards
Starke Kundenauthentifizierung (2FA) wird mit den RTS implementiert
Regulatorische / technische Änderungen Was ändert sich für den Kunden
Starke Kundenauthentifizierung bedeutet, daß die Authentifizierung 2FA wird notwendig werden für den
durch die Nutzung von 2 Faktoren erfolgt, die jeweils einer der Login und die Zahlungsautorisierung
nachfolgenden Kategorien angehört: Wissen (etwas was nur der Neue Authentisierungsfaktoren – in
Kunde weiß), Besitz (etwas was nur der Kunde besitzt) oder Inhärenz Übereinstimmung mit den
(etwas das dem Kunden innewohnt). Die Faktoren müssen Anforderungen von 2FA – werden im
voneinander unabhängig sein, d.h. die Diskriminierung eines Faktors, Laufe des Jahres 2018 von den Banken
darf nicht die Integrität der anderen Faktoren zerstören. an die Kunden ausgegeben
Zahlungsinitiierung über remote Kanäle wird die
Zahlungsautorisierung dynamisch mit Attributen des
Zahlungsauftrages verbunden (Betrag, Währung, Uhrzeit etc.).
Banken (ASPSP) müssen 2FA als zwingende Anforderung in ihren
Systemen und Prozessen integrieren. 2FA wird gefordert werden
wenn der Zahler:
a) Auf sein online Konto zugreifen möchte (Login);
b) Zahlungen autorisieren möchte;
c) Kontotransaktionen und Kontoeinstellungen über einen Remote
Kanal durchführen möchte und damit das Betrugs-
Mißbrauchsrisiko steigt
Deutsche Bank Oliver Bieser
Deutsche Bank Informationsveranstaltung der DK 5
16/06/2017 2010 DB Blue templateOption 1: Properitäre TPP Schnittstelle über das Online Banking
Bei dieser Lösung ist keine Fall-Back Schnittstelle erforderlich
TPP Schnittstelle
Deutsche Bank Oliver Bieser
Deutsche Bank Informationsveranstaltung der DK 6
16/06/2017 2010 DB Blue templateOption 2: Europaweit standardisierte TPP Schnittstelle für PSD2
In der aktuellen Version der Regulatory Standards muss zusätzlich eine Fall-Back Schnittstelle bereitgestellt werden
TPP Schnittstelle
Deutsche Bank Oliver Bieser
Deutsche Bank Informationsveranstaltung der DK 7
16/06/2017 2010 DB Blue templateDefinition der Drittanbieterschnittstelle basierend auf ISO 20022
RESTful WebService im JASON Format (RTS: based on ISO 20022 elements)
Erfassung eines SEPA Auftrages im Online Banking Zugrundeliegende ISO 20022 Datenelemente
Name
IBAN
Amount
Remittance Information
End to End ID
Requested Execution Date (Optional)
Name (Ordering Party)
IBAN (Ordering Party – Pull Down menu)
Vereinfachte Darstellung eins RESTful Webservices (JSON)
POST /transactions {
“debitorName":,
“debitorAccount":,
“creditorName":,
“creditorAccount":,
“instructedAmount":,
“remittanceInformation":,
“endToEndIdentifier":,
“requestedExecutionDate ":,
}
Deutsche Bank Oliver Bieser
Deutsche Bank Informationsveranstaltung der DK 8
16/06/2017 2010 DB Blue templateDisclaimer
Dieses Dokument dient lediglich zu Informationszwecken und bietet einen allgemeinen Überblick über das
Leistungsangebot der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften. Die allgemeinen Angaben in
diesem Dokument beziehen sich auf die Services der Deutsche Bank AG, ihrer Niederlassungen und
Tochtergesellschaften, wie sie den Kunden zum Zeitpunkt der Drucklegung dieses Dokument im Mai 2017 angeboten
werden. Zukünftige Änderungen sind vorbehalten. Dieses Dokument und die allgemeinen Angaben zum
Leistungsangebot dienen lediglich der Veranschaulichung, es können keinerlei vertragliche oder nicht vertragliche
Verpflichtungen oder Haftung der Deutsche Bank AG, ihrer Niederlassungen oder Tochtergesellschaften daraus
abgeleitet werden.
Deutsche Bank AG hat eine Banklizenz nach dem deutschen Kreditwesengesetz (zuständige Behörden: Europäische
Zentralbank und Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)) und ist in Großbritannien durch die Prudential
Regulation Authority autorisiert. Sie unterliegt der Aufsicht der Europäischen Zentralbank und der BaFin, sowie in
begrenztem Umfang der Prudential Regulation Authority und Financial Conduct Authority in Großbritannien. Einzelheiten
zum Umfang der Zulassung und Beaufsichtigung durch diese Behörden sind auf Anfrage erhältlich.
Copyright© Juni 2017 Deutsche Bank AG.
Alle Rechte vorbehalten.
Deutsche Bank Oliver Bieser
Informationsveranstaltung der DK 9
2010 DB Blue templateSie können auch lesen
