Die wichtigsten behördlichen Anforderungen und Sicherheitsvorschriften für Banken im Jahr 2020

Michael Magrath, 24. Februar 2020
Top 2020 Banking Regulations & Security Compliance Requirements

Das rasante Wachstum von Technologie und Digitalisierung in der Finanzbranche treibt weltweit immer wieder neue Vorschriften voran, und im Jahr 2020 ist bereits viel los. Eine Welle von Datenschutzbestimmungen in Nordamerika scheint nach dem kalifornischen Verbraucherschutzgesetz wahrscheinlich, aber das ist nur ein Beispiel. In jeder Region treten neue Vorschriften in Kraft. 

Im Folgenden haben wir die wichtigsten Vorschriften, Gesetze und Standards zusammengestellt, die sich in diesem Jahr auf Finanzinstitute auswirken:

Top Sicherheitsbestimmungen für die Finanzindustrie

PSD2: Richtlinie über Zahlungsdienste 2

Obwohl die Open-Banking-Anforderungen am 14. September 2019 in Kraft traten, veröffentlichte die Europäische Bankenaufsichtsbehörde im Oktober 2019 eine überarbeitete Frist für die Einhaltung der Regulatory Technical Standards (RTS) für eine starke Kundenauthentifizierung (SCA) und eine sichere Kommunikation unter PSD2.  Die neue Frist ist jetzt der 31. Dezember 2020.  Während die meisten Komponentenbehörden der Führung der EBA gefolgt sind, wird die britische Financial Conduct Authority (FCA) die SCA erst am 14. März 2021 durchsetzen.  Die Bank von Frankreich hat die Frist der EBA zum 31. Dezember eingehalten, jedoch von Fall zu Fall eine Nachfrist von drei Monaten hinzugefügt.

PSD2-Kriterien umfassen:

  1. Starke Kundenauthentifizierung :: Die Authentifizierung muss auf zwei oder mehr Faktoren basieren, einschließlich Kennwörtern oder PIN, Token oder Mobilgeräten oder Biometrie.
  2. Transaktionsrisikoanalyse :: PSD2 schreibt die Verwendung einer Transaktionsrisikoanalyse vor, um betrügerische Zahlungen zu verhindern.
  3. Dynamische Verknüpfung :: Der Authentifizierungscode muss dynamisch mit dem Zahlungsempfänger und dem Betrag im Zahlungsverkehr verknüpft sein.
  4. Mobile App-Sicherheit :: Zahlungsdienstleister müssen Sicherheitsmaßnahmen ergreifen, um das Risiko zu minimieren, das sich aus kompromittierten Mobilgeräten ergibt. PSD2 schreibt außerdem die Verwendung dedizierter Gegenmaßnahmen zum Klonen mobiler Apps in Anwendungen vor, die auch als Replikationsschutz bezeichnet werden.

Kanada - Die aktualisierte Anleitung von FINTRAC Know Your Customer ermöglicht digitales Onboarding

Digitales Onboarding hat in Ländern auf der ganzen Welt, einschließlich Hongkong, Singapur und den Vereinigten Staaten, rasch an Akzeptanz gewonnen. Finanzinstitute und Kunden haben sich gleichermaßen für digitales Onboarding entschieden, da es Sicherheit mit Benutzerkomfort in Einklang bringt und gleichzeitig die gesetzlichen Anforderungen erfüllt. 

Kanada treibt die digitale Identität mit der Weiterentwicklung des Pan-Canadian Trust Framework (PCTF) unter der Leitung der kanadischen Regierung und des kanadischen Rates für digitale Identität und Authentifizierung (DIACC) weiter voran.

Am 14. November 2019 veröffentlichte das kanadische Analysezentrum für Finanztransaktionen und -berichte (FINTRAC) eine aktualisieren Anleitungen zu den Anforderungen von Know Your Customer (KYC) mit dem Titel " Methoden zur Überprüfung der Identität einer Person und zur Bestätigung der Existenz eines Unternehmens oder einer anderen Einrichtung als eines Unternehmens ".

FINTRAC unterstützt verschiedene Technologien, einschließlich eines Live-Videointerviews und des Weges der Wahl, auf dem „eine Person aufgefordert werden könnte, ein Selfie-Foto mit der Kamera ihres Mobiltelefons oder elektronischen Geräts aufzunehmen, und eine Anwendung Gesichtserkennungstechnologie anwenden würde um die Merkmale dieses „Selfies“ mit dem Foto auf dem authentischen, von der Regierung ausgestellten Lichtbildausweis zu vergleichen. “

FINTRAC betont, dass „es nicht ausreicht, eine Person und ihr von der Regierung ausgestelltes Lichtbildausweisdokument online über eine Videokonferenz oder eine andere Art von virtueller Anwendung anzuzeigen“. Das Finanzinstitut muss eine Software oder eine Technologie verwenden, mit der das von der Regierung ausgestellte Lichtbildausweis authentifiziert werden kann. Die Finanzinstitute müssen außerdem überprüfen, ob der Name und das Bild mit denen der Person auf dem von der Regierung ausgestellten Lichtbildausweis übereinstimmen. “

Kanada - Änderungen des Gesetzes über Erlös aus Straftaten (Geldwäsche) und Terrorismusfinanzierung (PCMLTFA)

Veröffentlicht von FINTRAC im Juli 2019, die Änderungen wirken sich direkt auf den Austausch von Kryptowährungen aus, die außerhalb vieler Vorschriften lagen. 

Alle Kryptowährungsbörsen in Kanada, die am 1. Juni 2020 beginnen, müssen sich bei FINTRAC registrieren.  Krypto-Börsen werden als Gelddienstleister (MSBs) klassifiziert, die traditionell Devisenwechsel- und Scheckeinlösungsdienste sowie Zahlungsanweisungen anbieten.

Wie bei Finanzinstituten müssen Krypto-Börsen einen Compliance-Beauftragten haben, die KYC-Richtlinien (Know Your Customer) einhalten und verdächtige Transaktionen an FINTRAC melden. Krypto-Börsen können die oben beschriebenen Bestimmungen für digitales Onboarding nutzen.

UNS - Änderungen der Schutz- und Datenschutzbestimmungen nach dem Gramm-Leach-Bliley-Gesetz

Im Jahr 2020 wird die Federal Trade Commission voraussichtlich Änderungen an der Schutzregel und der Datenschutzregel gemäß dem Gramm-Leach-Bliley-Gesetz bekannt geben, nach denen Finanzinstitute ihren Kunden die Richtlinien und Praktiken des Informationsaustauschs der Organisation erläutern müssen Schützen Sie sensible Daten.  

Die überarbeiteten Vorschriften werden wahrscheinlich Rückmeldungen von der vorgeschlagenen Änderungen Die FTC gab 2019 bekannt.

Nach der Safeguards Rule, US Banken und Finanzinstitute müssen Maßnahmen ergreifen, um die Sicherheit von Kundeninformationen zu gewährleisten. Darüber hinaus müssen sie Maßnahmen ergreifen, um sicherzustellen, dass ihre verbundenen Unternehmen und Dienstleister auch die Kundeninformationen in ihrer Obhut schützen. Die Datenschutzregel verlangt von einem FI, dass seine Kunden die Weitergabe ihrer Informationen an bestimmte Dritte ablehnen können, nachdem der Kunde eine Erläuterung der Praktiken des Unternehmens zum Informationsaustausch erhalten hat. Der Vorschlag würde von Finanzinstituten verlangen, alle Kundendaten zu verschlüsseln, die Multifaktorauthentifizierung für den Zugriff auf diese Daten zu verwenden und weitere Zugriffskontrollen zu implementieren, um zu verhindern, dass nicht autorisierte Benutzer auf Kundeninformationen zugreifen.

Diese vorgeschlagenen Änderungen sind den Cybersecurity-Bestimmungen des New Yorker Finanzministeriums nachempfunden, die 2019 in Kraft getreten sind. Die Realität ist, dass nicht jedes Finanzinstitut in den USA den Vorschriften der NYDFS unterliegt. Daher bestehen weiterhin Lücken beim Schutz der Privatsphäre und Sicherheit der Kunden.  Allerdings jedes Finanzinstitut in den USA wird von der FTC geregelt, was bedeutet, dass die von der FTC vorgeschlagenen Regelungen alle Lücken beseitigen.

Europäische Union - Geldwäscherichtlinie 5 (AMLD5)

Im Juli 2018 EU-Richtlinie 2018/843 Die fünfte Fassung der EU-Geldwäscherichtlinie (AMLD5) ist in Kraft getreten und verpflichtet die EU-Mitgliedstaaten, AMLD 5 bis zum 10. Januar 2020 in nationales Recht umzusetzen.

Wie in früheren Versionen gilt AMLD5 für Finanzinstitute, einschließlich Banken und Gelddienstleistungsunternehmen (MSBs), wobei die wesentliche Änderung darin besteht, dass AMLD5 für virtuelle Kryptowährungsbörsen (VCEPs) und Depotbankanbieter („CWPs“) als „Pflichtunternehmen“ gilt EU-Vorschriften. 

VCEPs und CWPs, die zuvor nicht durch die Richtlinie reguliert wurden, müssen nun dieselben Regeln wie jede andere Finanzdienstleistungsorganisation befolgen, einschließlich obligatorischer Identitätsprüfungen für Neukunden.

In Bezug auf die Identitätsprüfung erkennt AMLD5 digitale Identitätstechnologien. 

Zu Punkt 22 gehört: „Die genaue Identifizierung und Überprüfung von Daten natürlicher und juristischer Personen ist für die Bekämpfung von Geldwäsche oder Terrorismusfinanzierung von entscheidender Bedeutung. Die neuesten technischen Entwicklungen bei der Digitalisierung von Transaktionen und Zahlungen ermöglichen eine sichere Fern- oder elektronische Identifizierung. Diese Mittel zur Identifizierung… sollten berücksichtigt werden, insbesondere im Hinblick auf angemeldete elektronische Identifizierungssysteme und Möglichkeiten zur Gewährleistung der grenzüberschreitenden rechtlichen Anerkennung, die sichere Instrumente auf hoher Ebene bieten und einen Maßstab für die auf nationaler Ebene festgelegten Identifizierungsmethoden darstellen kann überprüft werden. Darüber hinaus können andere sichere Fern- oder elektronische Identifikationsprozesse berücksichtigt werden, die von der zuständigen nationalen Behörde auf nationaler Ebene reguliert, anerkannt, genehmigt oder akzeptiert werden. “

Nichtbeachtung kann zu schwerwiegenden Strafen führen, einschließlich Geldbußen von bis zu 5 Mio. EUR oder 10% des Jahresumsatzes. Für das Management könnte Einzelpersonen die Führung eines regulierten Geschäfts untersagt werden, und die Organisation könnte aufgrund von Verstößen gegen die Compliance am Handel gehindert werden.

Einhaltung der Vorschriften

Einhaltung der Vorschriften

Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen.

Mehr erfahren

Datenschutzbestimmungen

Regierungsstellen auf der ganzen Welt erwägen neue Datenschutzbestimmungen. Viele dieser Vorschriften orientieren sich an der DSGVO der EU und bedeuten ein verstärktes Bewusstsein für Datenschutz- und Datenschutzfragen.

California Consumer Privacy Act (CCPA)

CCPA führt neue Datenschutzrechte für Verbraucher ein und wird Unternehmen, die in Kalifornien geschäftlich tätig sind, dazu zwingen, strukturelle Änderungen an ihren Datenschutzprogrammen vorzunehmen. Nach dem Vorbild der Allgemeinen Datenschutzverordnung (DSGVO) der EU trat die CCPA am 1. Januar 2020 in Kraft. Die Durchsetzung begann am 1. Juli 2020.

Die CCPA gilt für Unternehmen, die als „gewinnorientierte Einrichtung“ definiert sind, die personenbezogene Daten von Verbrauchern (in diesem Fall in Kalifornien) sammelt und mindestens eine der folgenden Bedingungen erfüllt:

  1. Das Unternehmen kauft, empfängt, verkauft oder teilt jährlich die persönlichen Daten von 50.000 oder mehr Verbrauchern, Haushalten oder Geräten.
  2. Das Unternehmen hat einen jährlichen Bruttoumsatz von über 25 Millionen US-Dollar.
  3. Das Unternehmen erzielt 50% oder mehr seines Jahresumsatzes mit dem Verkauf persönlicher Verbraucherinformationen. “

Einige der wichtigsten Bestimmungen umfassen das Recht eines Verbrauchers, auf personenbezogene Daten zuzugreifen, diese zu löschen und diese zu portieren. Nach dem Gesetz können Verbraucher bis zu zweimal innerhalb eines Zeitraums von 12 Monaten den Zugriff, die Löschung oder die Portierung der von ihnen an ein Unternehmen übermittelten persönlichen Daten beantragen. 

Wenn man über die digitalen Interaktionen mit einem Unternehmen nachdenkt, gibt es eine enorme Menge an persönlichen Daten. Dies umfasst die üblichen Informationen wie Name, Postanschrift, Telefon, E-Mail-Adresse, Familienstand, Religion und Rasse, aber auch digitale Informationen wie Ihre IP-Adresse, Benutzername, Passwörter, Browserdaten, Einkaufsverlauf und Authentifikatoren. Die Liste der Authentifikatoren enthält ferner biometrische Daten wie Gesichtserkennungsdaten, Sprachabdrücke und Fingerabdrücke. 

Um die Privatsphäre und Sicherheit der Verbraucher zu schützen, schreiben Unternehmen gesetzlich vor, Verfahren zur Überprüfung der Identität und Autorisierung der Verbraucher einzurichten.

Bußgelder für Verstöße gegen das CCPA können steil sein. Unbeabsichtigte Verstöße werden mit einer Höchststrafe von 2.500 US-Dollar geahndet, während vorsätzliche Verstöße mit einer Höchststrafe von 7.500 US-Dollar geahndet werden. Für ein Multi-Milliarden-Dollar-Unternehmen sind diese Beträge ein leichter Schlag auf das Handgelenk. Wo die CCPA Zähne hat, haben die Verbraucher das Recht, Klagen zu erheben. Im Rahmen der CCPA können Verbraucher für jede Veranstaltung zwischen 100 und 750 US-Dollar sammeln. In Zeiten großer Verstöße kann der Verbraucher sogar noch mehr erhalten, wenn der Schaden mehr als 750 US-Dollar beträgt. Situationen wie diese können sich aus Fällen ergeben, in denen die „nicht verschlüsselten oder nicht redigierten persönlichen Daten“ eines Kunden verletzt werden.

Brasiliens allgemeines Datenschutzgesetz (LGPD)

Im Juli 2019 wurde das Allgemeine Datenschutzgesetz (Lei Geral de Proteção de Dados Pessoais) (Gesetz Nr. 13.709 / 2018) ("LGPD") unterzeichnet und tritt am 15. August 2020 in Kraft.

Die LGPD orientiert sich an der DSGVO der EU und gilt für jede natürliche oder juristische Person (unabhängig davon, wo sie sich befindet), die Waren oder Dienstleistungen nach Brasilien anbietet oder liefert, Daten in Brasilien verarbeitet oder in Brasilien gesammelte Daten verarbeitet oder brasilianischen Personen gehört .

Die LGPD verlangt von den für die Verarbeitung Verantwortlichen und Datenverarbeitern, dass sie administrative, technische und Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten vor versehentlichem oder rechtswidrigem Verlust, Zerstörung, Änderung und Kommunikation vor unbefugtem Zugriff zu schützen.   

Die Nationale Datenschutzbehörde (Autoridade Nacional de Proteção de Dados) (ANPD) wird die Datenschutzbestimmungen überwachen und durchsetzen. Es wird erwartet, dass die ANPD im Jahr 2020 technische Mindeststandards veröffentlicht.

Obwohl abzuwarten bleibt, welche technischen Mindeststandards gelten werden, sollten die betroffenen Banken und andere Unternehmen, die derzeit Kundendaten mit statischen Benutzernamen und Kennwörtern schützen, ihre Identitätsmanagement- und Authentifizierungstechnologien um die Multi-Faktor-Authentifizierung erweitern.   

Thailand Gesetz zum Schutz personenbezogener Daten (PDPA)

Im Mai 2019 wurde das Datenschutzgesetz BE 2562 (2019) wurde im thailändischen Amtsblatt veröffentlicht. Das Gesetz sieht eine einjährige Nachfrist vor, deren Einhaltung bis zum 27. Mai 2020 beginnt.

Das PDPA enthält eine Bestimmung zur Einrichtung des Personal Data Protection Committee („PDPC“), das mit der Durchsetzung und Veröffentlichung von Leitlinien beauftragt ist. 

PDPA wurde von verschiedenen Konzepten der DSGVO beeinflusst, stützt sich aber auch auf Konzepte, die aus thailändischer Sicht entwickelt wurden. Gehen Sie nicht davon aus, dass die Einhaltung der DSGVO mit der Einhaltung der PDPA übereinstimmt. Ich empfehle allen in beiden Regionen tätigen internationalen Bankenorganisationen eine gründliche und sorgfältige Prüfung der Unterschiede zwischen diesen beiden Rechtsvorschriften.

Wie bei der DSGVO muss die Zustimmung des Verbrauchers auf leicht verständliche und nicht komplexe Weise eingeholt werden.

Unternehmen müssen ihre Richtlinien und Praktiken zur Verwaltung von Kundendaten festigen, da der PDPA Kundendaten in drei Kategorien einteilt: Erfassung personenbezogener Daten, Datennutzung und Offenlegung von Daten. Unternehmen müssen für jeden Zweck die Zustimmung des Kunden einholen.

Das PDPA ist extraterritorial anwendbar, was bedeutet, dass für die Verarbeitung Verantwortliche und Datenverarbeiter sowohl innerhalb als auch außerhalb Thailands betroffen sein könnten, was viele globale und regionale Banken und andere Finanzinstitute betrifft.

Wie die DSGVO und andere Datenschutzgesetze sieht das PDPA strenge Strafen für Verstöße vor. Dies umfasst Geldstrafen von bis zu 5 Mio. THB für Verstöße gegen die Verwaltungsvorschriften, Freiheitsstrafen von bis zu einem Jahr und / oder Geldstrafen von bis zu 1 Mio. THB sowie Strafschadenersatz bis zur doppelten Höhe des tatsächlichen Schadens. Darüber hinaus erlaubt Thailand den betroffenen Personen nun, Sammelklagen einzureichen, was bedeutet, dass zivilrechtliche Schäden im Rahmen des PDPA vervielfacht werden können. Der Direktor des Unternehmens kann auch mit Strafen belegt werden.

Was sind die wichtigsten Vorschriften, Gesetze und Standards, die sich auf Finanzinstitute im Jahr 2020 auswirken?
  1. PSD2 : Richtlinie über Zahlungsdienste 2
  2. Kanada - FINTRAC Die aktualisierte Anleitung von Know Your Customer ermöglicht digitales Onboarding
  3. Kanada - Änderungen des Erlöses aus Straftaten (Geldwäsche) und Terrorismusfinanzierungsgesetz ( PCMLTFA )
  4. UNS - Änderungen der Schutz- und Datenschutzbestimmungen im Rahmen der Gramm-Leach-Bliley-Akt
  5. Europäische Union - Geldwäscherichtlinie 5 ( AMLD5 )
  6. California Consumer Privacy Act ( CCPA )
  7. Brasiliens allgemeines Datenschutzgesetz ( LGPD )
  8. Thailand Gesetz zum Schutz personenbezogener Daten ( PDPA )

Entwurf einer Leitlinie der Financial Action Task Force (FATF) zur digitalen Identität

Die FATF setzt Standards und "fördert die wirksame Umsetzung von rechtlichen, regulatorischen und operativen Maßnahmen zur Bekämpfung von Geldwäsche, Terrorismusfinanzierung und anderen damit verbundenen Bedrohungen der Integrität des internationalen Finanzsystems". Im Oktober 2019 wurde die Financial Action Task Force („FATF“) veröffentlicht Entwurf eines Leitfadens zur digitalen Identität für öffentliche Kommentare. Der Leitfaden soll Finanzinstituten, Regierungen und anderen Organisationen dabei helfen, einen risikobasierten Ansatz anzuwenden, wenn digitale Identitätssysteme für die Kunden-Due-Diligence-Prüfung (CDD) verwendet werden.

Die FATF-Leitlinien konzentrieren sich auf durchgängige digitale ID-Systeme, die die Prozesse der Identitätsprüfung, Registrierung und Authentifizierung umfassen.

Zu den potenziellen Vorteilen digitaler Identitätssysteme, die in den Leitlinien definiert sind, gehören:

  • Verbessern Sie die Kundenidentifikation und -verifizierung beim Einsteigen
  • Unterstützung der laufenden Prüfung und Due Diligence von Transaktionen während der gesamten Geschäftsbeziehung
  • Erleichterung anderer CDD-Maßnahmen (Customer Due Diligence)
  • Unterstützung der Transaktionsüberwachung zum Erkennen und Melden verdächtiger Transaktionen sowie zum allgemeinen Risikomanagement und zur Betrugsbekämpfung.

Mit 37 Gerichtsbarkeiten (Ländern) und 2 regionalen Organisationen (dem Golfkooperationsrat des Nahen Ostens und der Europäischen Kommission) erwarten wir, dass viele der Gerichtsbarkeiten nach ihrer Fertigstellung die Leitlinien in ihre jeweiligen Vorschriften zur Bekämpfung von Betrug, Identitätsdiebstahl, Geldwäsche und Terrorismusfinanzierung.

Bankvorschriften und -möglichkeiten

2020 ist eine Zeit großer regulatorischer Veränderungen auf der ganzen Welt. Aus diesem Grund ist es unerlässlich, sich über die aktuellen regulatorischen Änderungen sowie über neue Vorschläge, die in den Ländern, in denen Sie tätig sind, diskutiert werden, auf dem Laufenden zu halten. Sie können einen entscheidenden Einfluss auf Ihre Initiativen zur digitalen Transformation haben.

Weitere Informationen zu Sicherheitslösungen und zur Einhaltung gesetzlicher Vorschriften finden Sie auf unserer Seite die Compliance-Herausforderung .

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Vorsitzender der Government Deployment Working Group der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records

Einhaltung der Vorschriften

Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen. Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen. Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen.

Mehr erfahren