Starke Kundenauthentifizierung, sichere Schnittstellen und Meldepflichten

Ähnliche Dokumente
Aufsicht über die Sicherheit im Zahlungsverkehr nach dem neuen ZAG. Tobias Schmidt Felix Strassmair-Reinshagen Referat GIT 1

Zahlungsdiensterichtlinie 2 (PSD2)

PSD2 und die Aufsicht der BaFin über die Sicherheit im Zahlungsverkehr

Sicherheit im Zahlungsverkehr einschließlich Meldewesen

Alternative Zahlungsdienste im Lichte der PSD2. Barbara Buchalik (BaFin, Referat BA 51) Nadim Ayyad (BaFin, Referat GW 3)

Leitlinien. über die Anforderungen an die Meldung von Betrugsfällen gemäß Artikel 96 Absatz 6 der Richtlinie (EU) 2015/2366 (PSD2) EBA/GL/2018/05

DELEGIERTE VERORDNUNG (EU).../... DER KOMMISSION. vom XXX

(Text von Bedeutung für den EWR)

2. GSK PSD 2 Konferenz Frankfurt Starke Kundenauthentifizierung nach PSD 2 und RTS 2018/389. Dr. Markus Escher, GSK Stockmann

Leitlinien EBA/GL/2018/ Dezember 2018

Software baut Brücken Forum Software

Umsetzung der PSD II

GSK PSD 2 Konferenz. Neuer rechtlicher Rahmen für elektronische Zahlungen, Kredit- und Zahlungsinstitute durch das Zahlungsdiensteumsetzungsgesetz

Arbeitsschwerpunkte 2018 der Gruppe IT-Aufsicht. IT-Aufsicht bei Banken

PSD 2 Konferenz. Rechtliche Einführung zu Drittdienstleistern. Daniela Eschenlohr, GSK Stockmann. Frankfurt am Main, den 17.

Richtlinie über Zahlungsdienste im Binnenmarkt

Technische Informationen zum Meldeverfahren für schwerwiegende Betriebs- und Sicherheitsvorfälle bei Zahlungsdienstleistern

auf die Kleine Anfrage der Abgeordneten Jörn König, Uwe Kamann, Uwe Schulz, weiterer Abgeordneter und der Fraktion der AfD Drucksache 19/2851

Arbeitsschwerpunkte zur IT-Aufsicht 2016/ 2017

Mastercard Identity Check / EMV 3D-Secure Antworten auf häufige Fragen und wichtige Handlungsempfehlungen für Händler

Security of Internet Payments

Vorblatt. Ziel(e) Inhalt

Stellungnahme. Kontakt: Dr. Christian Koch, Axel Schindler Telefon: / Berlin, 4.

Stellungnahme. zum Entwurf der Bundesregierung für ein Gesetz zur Umsetzung der Zweiten Zahlungsdiensterichtlinie, BR-Drs. 158/17 vom 17.

Verordnung der Finanzmarktaufsichtsbehörde (FMA) über die repräsentativsten mit einem Zahlungskonto verbundenen Dienste

PSD2 Payment Services Directive 2

6. Alvara Innovationstage 28./ Leipzig Neue EU-Finanzregulierung und Ausstrahlung auf Bargeldprozesse RA Dr. Markus Escher GSK Stockmann +

LEITLINIEN ZUR BERUFSHAFTPFLICHTVERSICHERUNG IM SINNE DER ZAHLUNGSDIENSTERICHTLINIE 2 EBA/GL/2017/08 12/09/2017. Leitlinien

(Kunden-)Identifizierung und -authentifizierung Schwachpunkte des Rechtsrahmens unter der PSD2

it-recht kanzlei münchen

Arbeitsschwerpunkte des Referats zur. Dr. Josef Kokert, BaFin Referat IT-Infrastrukturen bei Banken

EUROPÄISCHE ZENTRALBANK

EBA STARTET KONSULTATION ZU LEITLINIEN IM BERICHTSWESEN VON BETRUGSVORFÄLLEN IM ZAHLUNGSVERKEHR

Nils Purwin, PPI AG Monetative Jahrestagung 2016

Veröffentlichung der EBA- Leitlinien zur Sicherheit von Internetzahlungen

FIRDS-Projekt. Financial Instruments Reference Data System bei ESMA

GWG 2017 NEUE REGULATORISCHE VORGABEN FÜR DAS ONLINE-GLÜCKSSPIEL

Fachverband Hotellerie. Neue EU-Verordnung über Interbankenentgelte

(Text von Bedeutung für den EWR)

POS und ecommerce-abwicklung über Zahlungsauslösedienste und technische Dienstleister nach der PSD2

Marktplätze und Vermittlungsplattformen ZAG-konform abwickeln

Angaben zum Meldeinstitut

IT-Informationsblatt

Textgegenüberstellung. Artikel 2 Änderung des Zahlungsdienstegesetzes

MaSI Das BaFin-Rundschreiben zu Mindestanforderungen im Zahlungsverkehr OTMR 2015, Leipzig

(Text von Bedeutung für den EWR)

D Frankfurt am Main

Arbeitsschwerpunkte des Referats BA 57 zur IT-Aufsicht der BaFin 2014/2015. Dr. Josef Kokert, BaFin

Inhaltsübersicht. Die neuen zivilrechtlichen Regelungen zu Zahlungsdiensten (Mehringer) 1

zu Beschwerdeverfahren bei mutmaßlichen Verstößen gegen die Richtlinie (EU) 2015/2366 (PSD 2)

Stand: Januar Sehr geehrte Kundin, sehr geehrter Kunde,

ICH WILL. GSK PSD2 Konferenz UND ZWAR SOFORT. Geschäftsführer, SOFORT GmbH

Angaben zum Meldeinstitut

Raiffeisenbank Fuchstal-Denklingen eg

Sehr geehrte Kundin, sehr geehrter Kunde,

Artikel 1 Verordnung zur Einreichung von Finanzinformationen nach dem Kreditwesengesetz (Finanzinformationenverordnung FinaV)

Meldepflichten von AIF-KVGen nach 35 KAGB

Neuere Entwicklungen im Zahlungsverkehr aus Sicht der Deutschen Bundesbank

Datenbereitstellungsdienste

Vertragsrecht III. (12) Zahlungsverkehr

Gesetz zur Umsetzung des zivilrechtlichen Teils der Zweiten Zahlungsdiensterichtlinie

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste 0,00 EUR 0,00 EUR. Name des Kontoanbieters: Kreissparkasse Groß-Gerau

(Text von Bedeutung für den EWR)

Bekanntmachung. Änderung Börsenordnung an der Baden-Württembergischen Wertpapierbörse

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste 1,90 EUR 22,80 EUR. Name des Kontoanbieters: Kreissparkasse Groß-Gerau

GZ: BA 17 - K /2006 (Bitte stets angeben)

Art. 45 CLP-VO Bewertung und Aspekte der nationalen Umsetzung

Positionspapier zur Nutzung von Screen Scraping im Kontext von Artikel 98 PSD II

APP STATT BANK WAS DARF NUR DIE BANK? Dr. Frank Zingel, lindenpartners

Prüfung und Bearbeitung eines Überweisungsauftrags durch den beauftragten ZDL


Übersicht über den Stand des Gesetzgebungsverfahrens national/europäisch

Verordnung zur Änderung der ZAG-Monatsausweisverordnung

Handelsfrühstück 19. Januar 2017 Kartenzahlung aktuelle Entwicklungen. Christoph Braunsdorf, Vertrieb

Bank of America Merrill Lynch Leitfaden zur starken Kundenauthentifizierung

Entgeltinformation. Name des Kontoanbieters: PayPal (Europe) S.à r.l. et Cie, S.C.A. ( PayPal )

Liste der repräsentativsten mit einem Zahlungskonto verbundenen Dienste gemäß Art. 3 Abs. 5 der Richtlinie 2014/92/EU ( 47 Abs.

Gruppe I Gruppe II Gruppe III Gruppe IV Gruppe V. c a b. Finanzportfolioverwalter, Unternehmen, die. a) ein multilaterales Handelssystem 4

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste Kontoführung. Name des Kontoanbieters: Sparkasse Berchtesgadener Land

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste Kontoführung [Privatgirokonto Online] Name des Kontoanbieters: Stadtsparkasse München

des Bundesministeriums der Justiz und für Verbraucherschutz

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste. Name des Kontoanbieters: Stadtsparkasse München

CRR II und CRD V: Umsetzung von Basel IV auf europäischer Ebene

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste Kontoführung. Name des Kontoanbieters: Kreissparkasse Nordhausen

Bekanntmachung von Änderungen der Allgemeinen Geschäftsbedingungen der Deutschen Bundesbank ab 1. Februar 2014

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste 4,99 EUR 59,88 EUR. Name des Kontoanbieters: Kreissparkasse Groß-Gerau

Entgeltinformation. Entgelt (in EUR) Allgemeine mit dem Konto verbundene Dienste. Zahlungen (ohne Karten)

Merkblatt. Genehmigungsverfahren nach Art. 30 der Verordnung (EU) Nr. 267/2012 des Rates vom 23. März 2012 ( Iran-Embargo-Verordnung ) Inhalt

ERMÄCHTIGUNG DURCH DEN KONTOINHABER ZUR KONTENWECHSELHILFE ( 21 des Zahlungskontengesetzes)

Entgeltinformation. Allgemeine mit dem Konto verbundene Dienste Kontoführung. Name des Kontoanbieters: Sparkasse Berchtesgadener Land

Transkript:

Starke Kundenauthentifizierung, sichere Schnittstellen und Meldepflichten Umsetzung des Abschnitts 10 des neuen ZAG aus Sicht der BaFin Felix Strassmair-Reinshagen BaFin, Referat GIT 1

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 2

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 3

Überblick zum Stand der Umsetzung Wichtige Meilensteine 12.01.2018 EBA-Leitlinien zu Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten 13.01.2018 Inkrafttreten des neuen ZAG 13.03.2018 Veröffentlichung der RTS on SCA & CSC als Delegierte Verordnung (EU) 2018/389 im EU-Amtsblatt 07.06.2018 BaFin Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle 13.06.2018 EBA Opinion zur RTS und Konsultation einer Leitlinie dazu vsl. Q3 2018 EBA Leitlinien zur Meldung von Betrugsdaten 14.09.2019 Wirksamwerden der Delegierten Verordnung (EU) 2018/389 04.07.2018 2. GSK PSD 2 Konferenz 4

Überblick zum Stand der Umsetzung Erlaubnisverfahren Unternehmen, die vor dem 13.01.2018 ZAD oder KID erbracht hatte, und bis zum 13.04.2018 eine Antrag eingereicht haben, können bis Verfahrensabschluss erlaubnisfrei tätig sein (vgl. 65 Abs. 5 ZAG) bisher: 12 Erlaubnisanträge für die Erbringung von ZAD und KID 13 Registrierungsanträge für Erbringung nur von KID Verfahren laufen noch Unterlagen für das Antragsverfahren richten sich nach den EBA-Leitlinien zur Zulassung und Eintragung gemäß PSD2 außerdem: alle CRR-Kreditinstitute und E-Geld-Institute bereits jetzt zur Erbringung von ZAD und KID berechtigt 04.07.2018 2. GSK PSD 2 Konferenz 5

Überblick zum Stand der Umsetzung Weitere Informationsquellen BaFin-Merkblatt - Hinweise zum Zahlungsdiensteaufsichtsgesetz (ZAG) vom 29.11.2017 Folien der BaFin-Veranstaltung am 05.12.2017 Aufsätze im BaFin-Journal 01/2018 und 06/2018 EBA Single Rulebook Q&A-Tool seit 22.06.2018 auch für PSD2-Fragen freigeschaltet 04.07.2018 2. GSK PSD 2 Konferenz 6

Überblick zum Stand der Umsetzung EBA-Papiere ZAG EBA - Konkretisierung 53 I ZAG EBA Guidelines on Security Measures Umsetzung in Deutschland Erweiterung BAIT in Vorbereitung Übergangszeit MaSI 54 I ZAG EBA Guidelines on Major Incident Reporting 54 V EBA Guidelines on Fraud Reporting (voraussichtlich Q3) 48 52, 55 ZAG RTS on Strong Customer Authentication and Secure Communication BaFin Rundschreiben 08/2018 (BA) zur Meldung schwerwiegender Zahlungssicherheitsvorfälle Wahrscheinlich BaFin- Rundschreiben Als Delegierten Verordnung (EU) 2018/389 unmittelbar anwendbares Recht ab 14.09.2019 vorbei Meldung erst für Transaktionen ab 2019 MaSI vgl. 68 IV ZAG 04.07.2018 2. GSK PSD 2 Konferenz 7

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 8

Starke Kundenauthentifizierung Begriffsklärung Authentifizierung durch zwei unabhängige Elemente der Kategorien: Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer besitzt) oder Inhärenz (etwas, das der Nutzer ist) Die zwei abgefragten Elemente müssen aus unterschiedlichen Kategorien kommen. Auf der Zahlungskarte aufgedruckten Codes können kein Element der Kategorie Wissen sein. 04.07.2018 2. GSK PSD 2 Konferenz 9

Starke Kundenauthentifizierung Erforderlichkeit Gemäß 55 Abs. 1 ZAG ist eine SKA erforderlich, wenn der Zahler: (1) online auf sein Zahlungskonto zugreift; (2) einen elektronischen Zahlungsvorgang auslöst; (3) über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs beinhaltet. Beim elektronischen Fernzahlungsvorgang zusätzlich dynamische Verknüpfung notwendig ( 55 Abs. 2 ZAG). 04.07.2018 2. GSK PSD 2 Konferenz 10

Starke Kundenauthentifizierung Gegenbeispiele zur Erforderlichkeit Vom Zahlungsempfänger ausgelöste Zahlungen Beispiel: Lastschriften (inklusive ELV) Was ist bei Kreditkarten? Vgl. EBA-Opinion Tz. 32 Nicht elektronisch ausgelöste Zahlungen Beispiel: Kreditkartenzahlung mit Unterschrift Kartenzahlung, bei denen einer der ZDL außerhalb des EWR sitzt. 04.07.2018 2. GSK PSD 2 Konferenz 11

Starke Kundenauthentifizierung Ausnahmen gemäß VO 2018/389 Kontaktlose Zahlungen Unbeaufsichtigte Terminals für Verkehrsnutzungsentgelte und Parkgebühren Vom Zahler als vertrauenswürdig eingestufte Empfänger Wiederkehrende Zahlungsvorgänge Zahlungen an die eigene Person (beim selben Zahlungsdienstleister) Kleinbetragszahlungen Zahlungsmethoden mit hohem Sicherheitsniveau, zu denen nur Unternehmen zugelassen sind Transaktionsrisikoanalyse Abrufen von Kontostand und Umsätzen der letzten 90 Tage (Details siehe Art. 10 ff. der VO (EU) 2018/389 ) 04.07.2018 2. GSK PSD 2 Konferenz 12

Starke Kundenauthentifizierung Beispiel einer Ausnahme Fernzahlungsvorgänge über Kleinbeträge (Art. 16) A: Betrag Zahlung maximal 30 Euro B: Betrag der vorheriger Fernzahlungsvorgänge seit der letzten SKA maximal 100 Euro C: Zahl der vorheriger Fernzahlungsvorgänge seit der letzten SKA maximal fünf Zahlung ohne SKA zulässig, wenn gilt: A und (B oder C) 04.07.2018 2. GSK PSD 2 Konferenz 13

Starke Kundenauthentifizierung Transaktionsrisikoanalyse Ausnahme kann vom Zahlungsdienstleister (ZDL) des Zahlers aber auch vom ZDL des Zahlungsempfängers genutzt werden (aber letztes Wort beim ZDL des Zahlers) Berechnung der Betrugsrate erfolgt immer für den ZDL (nicht etwa gesondert für einzelne Händler) Was geht in die Berechnung der Betrugsrate ein? Vgl. EBA-Opinion Tz. 46 04.07.2018 2. GSK PSD 2 Konferenz 14

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 15

Zugang für Dritte Zahlungsdienstleister Berechtigte Für wen muss der Zugang bereitgestellt werden? Zahlungsauslösedienstleister (ZAD) Kontoinformationsdienstleister (KID) ZDL, die kartengebundene Zahlungsinstrumente ausgeben (Zahlungsinstitute mit Zulassung für die jeweiligen Geschäfte sowie CRR-Kreditinstitute und E-Geld- Institute.) 04.07.2018 2. GSK PSD 2 Konferenz 16

Zugang für Dritte Zahlungsdienstleister Formen der Bereitstellung Drei Optionen für kontoführende ZDL: Modifizierte Kundenschnittstelle (Art. 30 und 31) Dedizierte Schnittstelle mit Notfall-Mechanismus (Art. 30, 32 und 33 Abs. 1-5) Dedizierte Schnittstelle mit Befreiung vom Notfall- Mechanismus durch die BaFin (Art. 30, 32 und 33 Abs. 1-3, sowie 6-7) 04.07.2018 2. GSK PSD 2 Konferenz 17

Zugang für Dritte Zahlungsdienstleister Zeitplan Meilensteine für eine dedizierte Schnittstelle mit Befreiung wirksam ab dem 14.09.2019 14.03.2019 Bereitstellung einer Testumgebung (Art. 30 Abs. 5) 14.06.2019 Beginn des Markttests (Art. 33 Abs. 6 lit c) 14.09.2019 Zugriffe von Drittdienstleistern laufen nur noch über die dedizierte Schnittstelle 04.07.2018 2. GSK PSD 2 Konferenz 18

Zugang für Dritte Zahlungsdienstleister Welche Daten erhält ein ZAD? Antwort ergibt sich aus Art. 36 Abs. 1 lit. b und c: Alle Informationen, die auch der Zahlungsdienstnutzer über die Auslösung und Ausführung einer Zahlung erhält Unterschiede zwischen Systemen mit Echtzeit- bzw. Batchverarbeitung Bestätigung über die Verfügbarkeit eines Geldbetrages Art. 36 Abs. 1 lit. c nicht nur auf kartenausgebende ZDL anwendbar 04.07.2018 2. GSK PSD 2 Konferenz 19

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 20

Meldung von Sicherheitsvorfälle Grundlagen Pflicht zur Meldung schwerwiegender Sicherheitsvorfälle ergibt sich aus 54 Abs. 1 ZAG BaFin-Rundschreiben 08/2018 (BA) vom 07.06.2018 definiert, welche Vorfälle meldepflichtig sind und bestimmt den Inhalt der Meldungen Meldungen sind (ausschließlich) über das Fachverfahren PSD2-Zahlungssicherheitsvorfälle auf der BaFin-MVP abzugeben Bitte nicht mehr das MaSI-Formular verwenden! 04.07.2018 2. GSK PSD 2 Konferenz 21

Meldung von Sicherheitsvorfälle Meldeverarbeitung Schnittstelle / Web-Formular Meldung BaFin-MVP Melde-DB BaFin GIT 1 Institutsaufsicht Bewertung Ggf. weitere Behörden 04.07.2018 2. GSK PSD 2 Konferenz 22

Meldung von Sicherheitsvorfälle Nicht meldepflichtige Vorfälle Folgende Vorfälle sollten beispielsweise als nicht meldepflichtig betrachtet werden: Einzelner gesprengter oder ausgefallener Geldautomat Geplante Ausfallzeiten (Wartungsfenster) Einzelner Phishing-Angriff Einzelne Brute-Force-Angriffe durch Scriptkiddies 04.07.2018 2. GSK PSD 2 Konferenz 23

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 24

Leitlinien über Sicherheitsmaßnahmen Umsetzung in Deutschland Konkretisieren 53 Abs. 1 ZAG; angelehnt an die MaSI Veröffentlichung der deutschen Fassung im Januar 2018; BaFin hat intends to comply erklärt Viele Überschneidungen mit dem BaFin-Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT) Deshalb derzeitige Planung: Aufnahme der zusätzlichen Anforderungen in die BAIT Anwendung auf die ZAG-Institute klären Nach Umsetzung dieser Leitlinien und Ablauf des 14.09.2019 werden die MaSI aufgehoben 04.07.2018 2. GSK PSD 2 Konferenz 25

Inhaltsverzeichnis Überblick zum Stand der Umsetzung Starke Kundenauthentifizierung Zugang für dritte Zahlungsdienstleister Meldung schwerwiegender Sicherheitsvorfälle Leitlinien über Sicherheitsmaßnahmen Meldung von Betrugsdaten 04.07.2018 2. GSK PSD 2 Konferenz 26

Meldung von Betrugsdaten Grundlagen Gemäß 54 Abs. 5 ZAG sind die ZDL verpflichtet, mindestens einmal jährlich Betrugsstatistiken an die BaFin zu liefern BaFin hat aggregierte Daten an EBA und EZB weiterzuleiten Inhalt und Gliederung dieser Statistiken soll durch eine weitere, own-initiative EBA-Leitlinien geregelt werden Harmonisierung mit Novelle der EZB-Verordnung zur Zahlungsverkehrsstatistik (soweit wie sinnvoll) 04.07.2018 2. GSK PSD 2 Konferenz 27

Meldung von Betrugsdaten Umsetzung Erster Entwurf im August 2017 veröffentlicht; endgültige Leitlinie wahrscheinlich in Q3/2018 Umsetzung in Deutschland voraussichtlich als BaFin- Rundschreiben Enge Zusammenarbeit mit dem Markt, um einen reibungslosen Start zu gewährleisten Übergangszeit für den Aufbau des Berichtswesens (erst Transaktionen ab 2019 zu melden) 04.07.2018 2. GSK PSD 2 Konferenz 28

Vielen Dank für Ihre Aufmerksamkeit 04.07.2018 2. GSK PSD 2 Konferenz 29

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback