Aufsicht über die Sicherheit im Zahlungsverkehr nach dem neuen ZAG. Tobias Schmidt Felix Strassmair-Reinshagen Referat GIT 1

Ähnliche Dokumente
Starke Kundenauthentifizierung, sichere Schnittstellen und Meldepflichten

Zahlungsdiensterichtlinie 2 (PSD2)

PSD2 und die Aufsicht der BaFin über die Sicherheit im Zahlungsverkehr

Sicherheit im Zahlungsverkehr einschließlich Meldewesen

Alternative Zahlungsdienste im Lichte der PSD2. Barbara Buchalik (BaFin, Referat BA 51) Nadim Ayyad (BaFin, Referat GW 3)

Leitlinien EBA/GL/2018/ Dezember 2018

DELEGIERTE VERORDNUNG (EU).../... DER KOMMISSION. vom XXX

Software baut Brücken Forum Software

(Text von Bedeutung für den EWR)

2. GSK PSD 2 Konferenz Frankfurt Starke Kundenauthentifizierung nach PSD 2 und RTS 2018/389. Dr. Markus Escher, GSK Stockmann

Umsetzung der PSD II

Leitlinien. über die Anforderungen an die Meldung von Betrugsfällen gemäß Artikel 96 Absatz 6 der Richtlinie (EU) 2015/2366 (PSD2) EBA/GL/2018/05

PSD 2 Konferenz. Rechtliche Einführung zu Drittdienstleistern. Daniela Eschenlohr, GSK Stockmann. Frankfurt am Main, den 17.

GSK PSD 2 Konferenz. Neuer rechtlicher Rahmen für elektronische Zahlungen, Kredit- und Zahlungsinstitute durch das Zahlungsdiensteumsetzungsgesetz

Mastercard Identity Check / EMV 3D-Secure Antworten auf häufige Fragen und wichtige Handlungsempfehlungen für Händler

auf die Kleine Anfrage der Abgeordneten Jörn König, Uwe Kamann, Uwe Schulz, weiterer Abgeordneter und der Fraktion der AfD Drucksache 19/2851

Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht. IT-Aufsicht bei Banken

LEITLINIEN ZUR BERUFSHAFTPFLICHTVERSICHERUNG IM SINNE DER ZAHLUNGSDIENSTERICHTLINIE 2 EBA/GL/2017/08 12/09/2017. Leitlinien

Richtlinie über Zahlungsdienste im Binnenmarkt

Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die repräsentativsten mit einem Zahlungskonto verbundenen Dienste

PSD2 Payment Services Directive 2

Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017

(Kunden-)Identifizierung und -authentifizierung Schwachpunkte des Rechtsrahmens unter der PSD2

Nils Purwin, PPI AG Monetative Jahrestagung 2016

Security of Internet Payments

GWG 2017 NEUE REGULATORISCHE VORGABEN FÜR DAS ONLINE-GLÜCKSSPIEL

Positionspapier zur Nutzung von Screen Scraping im Kontext von Artikel 98 PSD II

Vorblatt. Ziel(e) Inhalt

Stellungnahme. Kontakt: Dr. Christian Koch, Axel Schindler Telefon: / Berlin, 4.

it-recht kanzlei münchen

Das neue Vertrauensdienstegesetz Was hat sich geändert? Dr. Armin Jungbluth BMWi, Leiter des Referats Rechtsrahmen digitale Dienste, Medienwirtschaft

(Text von Bedeutung für den EWR)

Angaben zum Meldeinstitut

Vertrauensdienste gemäß eidas und PSD2

Stellungnahme. zum Entwurf der Bundesregierung für ein Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, BR-Drs. 158/17 vom 17.

Bank of America Merrill Lynch Leitfaden zur starken Kundenauthentifizierung

Textgegenüberstellung. Artikel 2 Änderung des Zahlungsdienstegesetzes

PAYMENT SERVICE DIRECTIVE II

D Frankfurt am Main

Entgeltinformation. Entgelt (in EUR) Allgemeine mit dem Konto verbundene Dienste. Zahlungen (ohne Karten)

Fachverband Hotellerie. Neue EU-Verordnung über Interbankenentgelte

Liste der repräsentativsten mit einem Zahlungskonto verbundenen Dienste gemäß Art. 3 Abs. 5 der Richtlinie 2014/92/EU ( 47 Abs.

Entgeltinformation. Name des Kontoanbieters: PayPal (Europe) S.à r.l. et Cie, S.C.A. ( PayPal )

Veröffentlichung der EBA- Leitlinien zur Sicherheit von Internetzahlungen

Technische Informationen zum Meldeverfahren für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern

Marktplätze und Vermittlungsplattformen ZAG-konform abwickeln

POS und ecommerce-abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der PSD2

Angaben zum Meldeinstitut

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste


APP STATT BANK WAS DARF NUR DIE BANK? Dr. Frank Zingel, lindenpartners

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Elektronische Identifikation und Vertrauensdienste

GZ: BA 17 - K /2006 (Bitte stets angeben)

EUROPÄISCHE ZENTRALBANK

Gesetz zur Umsetzung des zivilrechtlichen Teils der Zweiten Zahlungsdiensterichtlinie

ICH WILL. GSK PSD2 Konferenz UND ZWAR SOFORT. Geschäftsführer, SOFORT GmbH

Verband Hessischer Jagdaufseher e.v.

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

6. Alvara Innovationstage 28./ Leipzig Neue EU-Finanzregulierung und Ausstrahlung auf Bargeldprozesse RA Dr. Markus Escher GSK Stockmann +

Datenbereitstellungsdienste

MaSI Das BaFin-Rundschreiben zu Mindestanforderungen im Zahlungsverkehr OTMR 2015, Leipzig

Verfahrensbeschreibung zur Qualifikation

zu Beschwerdeverfahren bei mutmaßlichen Verstößen gegen die Richtlinie (EU) 2015/2366 (PSD 2)

Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

aufgrund des 217f Absatz 4b SGB V

Meldepflichten von AIF-KVGen nach 35 KAGB

Aktueller Stand zur Vertrauensdiensteverordnung. Fabienne Fuchslocher BMWi, Referentin des Referats Rechtsrahmen digitale Dienste, Medienwirtschaft

Gruppe I Gruppe II Gruppe III Gruppe IV Gruppe V. c a b. Finanzportfolioverwalter, Unternehmen, die. a) ein multilaterales Handelssystem 4

Handelsfrühstück 19. Januar 2017 Kartenzahlung aktuelle Entwicklungen. Christoph Braunsdorf, Vertrieb

Ermittlung der Schutzanforderungen und erforderlicher Maßnahmen anhand einer Datenschutz-Folgenabschätzung

Vertragsrecht III. (12) Zahlungsverkehr

Bundesministerium der Justiz und für Verbraucherschutz (nur per Berlin. Hamburg, 4.

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

windata professional 8

Herzlich Willkommen zur November Versammlung des Gehörlosenverein 1910 Ludwigshafen e.v.

DELEGIERTE VERORDNUNG (EU).../... DER KOMMISSION. vom

Bekanntmachung. Änderung Börsenordnung an der Baden-Württembergischen Wertpapierbörse

Änderungen gegenüber der Vorversion: C. Geschäftsvorfälle... 3

Stellungnahme der Bundesärztekammer

Prüfung und Bearbeitung eines Überweisungsauftrags durch den beauftragten ZDL

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste Kontoführung. Name des Kontoanbieters: Sparkasse Bottrop

CRR II und CRD V: Umsetzung von Basel IV auf europäischer Ebene

Entgeltinformation¹. unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt unbegrenzt

eidas VO Eine Übersicht

des Bundesministeriums der Justiz und für Verbraucherschutz

Transkript:

Aufsicht über die Sicherheit im Zahlungsverkehr nach dem neuen Tobias Schmidt Felix Strassmair-Reinshagen Referat GIT 1

Inhaltsübersicht Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für Dritte Zahlungsdienstleister 2

Inhaltsübersicht Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für Dritte Zahlungsdienstleister 3

Wichtige Meilensteine der Umsetzung 12.12.2017 EBA-Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten (englische Fassung) veröffentlicht 13.01.2018 Inkrafttreten des neuen 13.03.2018 Veröffentlichung der RTS on SCA & CSC als Delegierte Verordnung (EU) 2018/389 im EU-Amtsblatt 07.06.2018 BaFin Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle 13.06.2018 EBA Opinion zur RTS und Konsultation einer Leitlinie dazu 22.06.2018 Freischaltung des EBA Single Rulebook Q&A-Tools auch für PSD2-Fragen 18.07.2018 EBA Leitlinien zur Meldung von Betrugsdaten (englische Fassung) 14.09.2019 Wirksamwerden der Delegierten Verordnung (EU) 2018/389 sowie Inkrafttreten der 45 52, 55 4

Erlaubnisverfahren für Unternehmen, die ZAD oder KID erbringen Unternehmen, die vor dem 13.01.2018 ZAD oder KID erbracht hatten, und bis zum 13.04.2018 einen Antrag eingereicht haben, können bis Verfahrensabschluss erlaubnisfrei tätig sein (vgl. 65 Abs. 5 ) aktueller Stand: 13 Erlaubnisanträge für die Erbringung von ZAD und KID 14 Registrierungsanträge für Erbringung nur von KID eine Erlaubnis für ZAD und KID bereits erteilt Unterlagen für das Antragsverfahren richten sich nach den EBA-Leitlinien zur Zulassung und Eintragung gemäß PSD2 außerdem: alle CRR-Kreditinstitute und E-Geld-Institute bereits jetzt zur Erbringung von ZAD und KID berechtigt 5

Umsetzung der EBA-Maßnahmen in Deutschland EBA -Konkretisierung Umsetzung in Deutschland 53 I EBA Guidelines on Security Measures Erweiterung BAIT in Vorbereitung 54 I EBA Guidelines on Major Incident Reporting BaFin Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle 54 V EBA Guidelines on Fraud Reporting wahrscheinlich BaFin- Rundschreiben 48 52, 55 RTS on Strong Customer Authentication and Secure Communication als Delegierten Verordnung (EU) 2018/389 unmittelbar anwendbares Recht ab 14.09.2019 Übergangszeit MaSI Rundschreiben seit dem 07.06.2018 in Kraft Meldung erst für Transaktionen ab 2019 MaSI (vgl. 68 IV ) 6

Inhaltsübersicht Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für Dritte Zahlungsdienstleister 7

Starke Kundenauthentifizierung (SKA) Begriffsklärung Authentifizierung durch zwei unabhängige Elemente der Kategorien: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist) Die zwei abgefragten Elemente müssen aus unterschiedlichen Kategorien kommen. Auf der Zahlungskarte aufgedruckte Codes können kein Element der Kategorie Wissen sein. Auswirkung auf Kartenzahlungen im Internet! 8

Starke Kundenauthentifizierung Erforderlichkeit Gemäß 55 Abs. 1 ist eine SKA erforderlich, wenn der Zahler: (1) online auf sein Zahlungskonto zugreift; (2) einen elektronischen Zahlungsvorgang auslöst; (3) über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet. Beim elektronischen Fernzahlungsvorgang zusätzlich dynamische Verknüpfung notwendig ( 55 Abs. 2 ). 9

Starke Kundenauthentifizierung Gegenbeispiele zur Erforderlichkeit Vom Zahlungsempfänger ausgelöste Zahlungen Beispiel: Lastschriften (inklusive ELV) Was ist bei Kreditkarten? Vgl. EBA-Opinion Tz. 32; weitere Klärung im Q&A-Prozess Nicht elektronisch ausgelöste Zahlungen Beispiel: Kreditkartenzahlung mit Unterschrift Kartenzahlung, bei denen einer der ZDL außerhalb des EWR sitzt. 10

Starke Kundenauthentifizierung Ausnahmen gemäß der Delegierten Verordnung 2018/389 kontaktlose Zahlungen am POS unbeaufsichtigte Terminals für Verkehrsnutzungsentgelte und Parkgebühren vom Zahler als vertrauenswürdig eingestufte Empfänger wiederkehrende Zahlungsvorgänge Zahlungen an die eigene Person (beim selben Zahlungsdienstleister) Kleinbetragszahlungen bei elektronischen Fernzahlungsvorgängen Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind Transaktionsrisikoanalyse abrufen von Kontostand und Umsätzen der vergangenen 90 Tage 11

Starke Kundenauthentifizierung Beispiel Kleinbetragsausnahme gemäß Art. 16 RTS Fernzahlungsvorgänge über Kleinbeträge (Art. 16 RTS) A: Betrag Zahlung maximal 30 Euro B: Betrag der vorherigen Fernzahlungsvorgänge seit der letzten SKA maximal 100 Euro C: Zahl der vorherigen Fernzahlungsvorgänge seit der letzten SKA maximal fünf Zahlung ohne SKA zulässig, wenn gilt: A und (B oder C) 12

Starke Kundenauthentifizierung Transaktionsrisikoanalyse Anwendungsbeispiel für kartengebundene elektronische Fernzahlungsvorgänge Drei Optionen für den ZDL: Nutzung für Zahlungen mit Betrag: von 0 bis 500 : Betrugsrate max. 0,01 % von 0 bis 250 : Betrugsrate max. 0,06 % von 0 bis 100 : Betrugsrate max. 0,13 % Berechnung der Betrugsrate erfolgt immer für den ZDL (nicht etwa gesondert für einzelne Händler) 13

Inhaltsübersicht Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für Dritte Zahlungsdienstleister 14

Zugang für Dritte Zahlungsdienstleister Berechtigte Für wen muss der Zugang bereitgestellt werden? Zahlungsauslösedienstleister (ZAD) Kontoinformationsdienstleister (KID) ZDL, die kartengebundene Zahlungsinstrumente ausgeben (nicht vergessen) (Zahlungsinstitute mit Zulassung für die jeweiligen Geschäfte sowie CRR-Kreditinstitute und E-Geld-Institute.) 15

Zugang für Dritte Zahlungsdienstleister Formen der Bereitstellung Kundenschnittstelle Dedizierte Schnittstelle (API) ohne Identifizierung mit Identifizierung mit Fallback ohne Fallback mit Befreiung vom Notfallmechanismus X Art. 30, 31 RTS Art. 30, 32 und 33 Abs. 1-5 RTS Art. 30, 32 und 33 Abs. 1-3, sowie 6-7 RTS 16

Zugang für Dritte Zahlungsdienstleister Befreiungsverfahren gemäß Art. 33 Abs. 6 RTS EBA erarbeitet im Moment Leitlinien dazu (Konsultation endete am 13.08.2018) Befreiung erfolgt auf der Ebene des einzelnen ZDL (nicht direkt auf der Ebene der API-Initiativen) BaFin plant vereinfachte Verfahren für Verbünde und Gruppen BaFin wird weitere Informationen zum Antragsprozess bereitstellen Finalisierung der Guidelines sollte nicht zu Verzögerungen führen 17

Konsultationsergebnisse Redirection ist kein Obstacle! konkretere Vorgaben für Stresstests Redirection ist ein Obstacle! Screen Scraping der Redirection- Website möglich? Zustimmung! konkretere Definition von Downtime Anforderungen zu subjektiv Keine Zustimmung! angemessene Anforderungen konkretere Definition von wide usage 18

Zugang für Dritte Zahlungsdienstleister Zeitplan Bereitstellung Testumgebung (Art. 30 Abs. 5 RTS) Beginn Markttest Markttest TEST Beginn Markttest (spätestens) Markttest AUSNAHME erteilt -> Zugriff NUR noch über dedizierte Schnittstelle (Art. 33 Abs. 6 lit c RTS) Inbetriebnahme der dedizierten Schnittstelle (echte Transaktionen) 14.03.2019 14.06.2019 14.09.2019 19

Zugang für Dritte Zahlungsdienstleister Identifizierung beim Zugriff Identifizierungspflicht des Drittdienstleisters gilt bei allen drei Bereitstellungsformen (auch beim Fallback ) Nutzung qualifizierter Zertifikate auf Basis der eidas-verordnung Beantragung bei einem qualifizierten Vertrauensdiensteanbieter es gelten die Regeln dieser Anbieter Zugang zum Zahlungskonto erfolgt aber mit den Zugangsdaten des Kunden 20

Zugang für Dritte Zahlungsdienstleister Welche Daten erhält ein ZAD? Antwort ergibt sich aus Art. 36 Abs. 1 lit. b und c RTS (vgl. EBA Opinion Tz. 22 ff.) Alle Informationen, die auch der Zahlungsdienstnutzer über die Auslösung und Ausführung einer Zahlung erhält bei Echtzeitverarbeitung: Antwort, ob Zahlung ausgeführt wurde hilfsweise (bei Batchverarbeitung): Bestätigung über die Verfügbarkeit eines Geldbetrages höchst hilfsweise: weitere Zahlungskontodaten 21

Zugang für Dritte Zahlungsdienstleister Welche Daten erhält ein KID? Informationen von bezeichneten Zahlungskonten und damit in Zusammenhang stehenden Zahlungsvorgängen Andere Konten sowie Wertpapierdepots sind nicht erfasst Informationen über die Identität des Zahlungsdienstnutzers (z. B. Adresse, Geburtsdatum, Steuer-ID) sind nicht erfasst (EBA Opinion Tz. 27) 22

Vielen Dank für Ihre Aufmerksamkeit Quelle: Eigenes Foto des Autors 23

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback