PSD2: Wie wirken sich die endgültigen RTS-Anforderungen auf Sie aus? [Aktualisieren]

Brian Royer, 21. Dezember 2017

Am 27. November 2017 hat die Europäische Kommission ihr Finale veröffentlicht Regulatory Technical Standards (RTS) zu starker Kundenauthentifizierung (SCA) und allgemeiner und sicherer Kommunikation (CSC) unter PSD2. Mit der Veröffentlichung der endgültigen PSD2-RTS-Anforderungen können Banken jeder Größe jetzt Maßnahmen ergreifen, um eine Compliance-Strategie zu entwickeln und effektive Sicherheitslösungen für elektronische Fernzahlungstransaktionen zu implementieren.

Die überarbeitete Richtlinie über Zahlungsdienste, bekannt als PSD2, harmonisiert die Sicherheitsanforderungen für Online-Banking und Online-Zahlungen und bietet einen gemeinsamen Rechtsrahmen für die EU. Die Sicherheitsanforderungen im endgültigen RTS basieren auf zwei Hauptzielen von PSD2: Schutz der Verbraucher vor Betrug durch Erhöhung der Zahlungssicherheit und Verbesserung des Wettbewerbs und der Innovation auf dem Zahlungsverkehrsmarkt für Privatkunden.

Am 5. Dezember wurde Frederik Mennes, PSD2-Experte und Sr. Der Manager für Markt- und Sicherheitsstrategie bei OneSpan präsentierte ein Webinar mit dem Titel: PSD2: Bist du bereit für das lang erwartete letzte RTS?


Gemäß Artikel 97 der PSD2 müssen Zahlungsdienstleister einen Benutzer authentifizieren, wenn er auf ein Online-Zahlungskonto zugreift, einen elektronischen Zahlungsvorgang einleitet oder über einen Remote-Kanal Maßnahmen ausführt, die ein Risiko für Zahlungsbetrug beinhalten können. In unserem Webinar erfahren Sie, welche Kategorien von Authentifizierungslösungen diese Anforderungen erfüllen.

In diesem Webinar, das jetzt auf Anfrage erhältlich ist, behandelt er vier Schlüsselthemen:

Letzte RTS-Schlüsselanforderungen für eine starke Kundenauthentifizierung , einschließlich einer ausführlichen Diskussion der Änderungen an:

  • Gemeinsame und sichere Kommunikation . Banken, die TPPs eine dedizierte Schnittstelle anbieten (z. B. Drittanbieter), müssen TPPs keine Fallback-Schnittstelle bereitstellen, wenn die dedizierte Schnittstelle bestimmte Leistungs- und Verfügbarkeitskriterien erfüllt.
  • Starke Kundenauthentifizierung (SCA) . Zahlungen von Unternehmensbenutzern können von der Nationalen zuständigen Behörde (NCA) von den SCA-Anforderungen befreit werden. und
  • Audits . Die Prüfung der Sicherheitsmaßnahmen von Zahlungsdienstleistern (Payment Service Providers, PSPs) muss von einem Prüfer durchgeführt werden, der über Fachkenntnisse in Bezug auf IT-Sicherheit und Zahlungen verfügt und innerhalb oder außerhalb der PSP betriebsunabhängig ist.
PSD2: Bist du bereit für das lang erwartete letzte RTS?
WEBINAR

PSD2: Bist du bereit für das lang erwartete letzte RTS?

Sehen Sie sich dieses kostenlose OneSpan-Webinar an, um die wesentlichen Auswirkungen des endgültigen RTS auf die Art und Weise zu verstehen, wie Banken und Zahlungsdienstleister ihre Kunden authentifizieren.

Jetzt ansehen

Authentifizierungslösungen die diese Anforderungen erfüllen , einschließlich der folgenden Kategorien von Geräten:

  • Zwei-Geräte-Authentifizierung. Das Besitzelement ist das Authentifizierungs- oder Bankgerät, das mit einem Hardware-Token übereinstimmt, das einen QR-Code scannt und eine vertrauenswürdige Anzeige bereitstellt, oder ein mobiles Gerät (z. B. Telefon, Tablet), auf dem eine Mobile-Banking-App ausgeführt wird.
  • Zwei-App-Authentifizierung und Ein-App-Authentifizierung. Das Besitzelement ist das mobile Gerät, das kryptografische Schlüssel speichert, um Authentifizierungscodes mit einem sicheren Kanal und einer Sicherheitssoftware zum Erkennen von Überlagerungen zu generieren. und
  • Außerhalb der Bandbreite. Das Besitzelement ist das Mobiltelefon, auf dem der Benutzer Authentifizierungscodes erhält. Das Wissen über das Inhärenzelement wird auf dem Bankgerät (für die Zwei-Geräte-Authentifizierung) oder dem Mobilgerät (für die Zwei-App- oder Ein-App-Authentifizierung) eingegeben.

So erstellen Sie ein vertrauenswürdiges Mobilgerät, um die Sicherheitsanforderungen für Mobilgeräte zu erfüllen Dazu gehört eine Untersuchung zum Schutz mobiler Anwendungen vor dem Klonen und zum Erstellen einer sicheren Ausführungsumgebung für Apps mithilfe von Application Shielding oder RASPEL Technologie. Beispiele für Mechanismen zum Schutz einer App vor dem Klonen sind:

  • Einschließlich gerätespezifischer Daten in die Berechnung des Authentifizierungscodes;
  • Von der App verwendete Daten verschlüsseln Verwenden eines kryptografischen Schlüssels, der im sicheren Element des Geräts gespeichert ist; und
  • Verwenden eines Passworts oder einer PIN um die Daten zu verschlüsseln, die von der App zum Generieren eines OTP verwendet werden

So reduzieren Sie Betrug durch Risikoanalyse um betrügerische Zahlungen zu verhindern, aufzudecken und zu blockieren, einschließlich des Bewusstseins dafür ::

  • Die Analyse des Transaktionsrisikos ist obligatorisch , auch wenn eine starke Kundenauthentifizierung verwendet wird.
  • Mechanismen zur Bewertung des Transaktionsrisikos sollte auf Elementen wie dem Zahlungsbetrag, bekannten Betrugsszenarien, Anzeichen einer Malware-Infektion in der Zahlungssitzung usw. basieren;
  • Transaktionsrisikoanalyse kann verwendet werden, um ein Subjekt von der Notwendigkeit der Durchführung von SCA zu befreien. Diese Befreiung unterliegt jedoch mehreren entsprechenden Bedingungen.

Alle in der EU tätigen Banken, einschließlich Einzelhandels- und Unternehmenseinheiten, unterliegen der Einhaltung. Das RTS (einschließlich der Authentifizierungsanforderungen) wird im August oder September 2019 anwendbar.

Warten Sie nicht: Erstellen Sie jetzt Ihre Compliance-Strategie für PSD2

Es ist wichtig zu erkennen, dass die RTS technologie- und geschäftsmodellneutral sind. Da es sich bei dem RTS um einen Rechtstext handelt, der weder technisch noch vorschreibend ist, kann er von einer beliebigen Anzahl von Institutionen auf verschiedene Arten interpretiert werden. Angesichts der rechtlichen und finanziellen Probleme stellt sich die eigentliche Frage, wie die effektivste Strategie für die Einhaltung von Vorschriften entwickelt werden kann.

Wenn Sie ein Geschäftsinhaber sind, der Service- und Lieferkanäle in der Bank verwaltet, ein IT-Leiter, der für die Implementierung der Sicherheit in diesen Kanälen verantwortlich ist, oder ein interner Rechtsexperte, Sehen Sie sich das Webinar an Für Expertenwissen zur Interpretation der Standards und zur Einhaltung der endgültigen PSD2-RTS-Anforderungen.

Brian Royer ist Senior Marketing Writer bei OneSpan. Er kam 2015 zu OneSpan und verfügt über 20 Jahre Erfahrung im Bereich Copywriting und Marketing für Sicherheitslösungen.