Informationsveranstaltung der DK - Deutsche Kreditwirtschaft · Deutsche Bank Deutsche Bank Oliver...
Transcript of Informationsveranstaltung der DK - Deutsche Kreditwirtschaft · Deutsche Bank Deutsche Bank Oliver...
Deutsche Bank
Informationsveranstaltung der DK
13. Juni 2017
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
PSD2 – Im Überblick
1
Wesentliche Ziele der PSD2
Die PSD2 renoviert und ergänzt die innerhalb der PSD1 definierten Regeln. Wesentliche Ziele der PSD2 sind: Förderung und Unterstützung von Innovation im Zahlungsverkehr und Anpassung des notwendigen rechtlichen Rahmenwerkes und Anforderungen Verbesserung der Sicherheit von Zahlungen und Zahlungsdienstleistungen Steigerung der Nutzersicherheit Detailierung von Inhalten und Ausnahmen
Wesentliche Unterschiede zwischen der PSD1 und der PSD2
PSD2 weitet im Vergleich zum Vorgänger den Geltungsbereich auf alle Währungen im Europäischen Wirtschaftsraum aus. Des weiteren sind ebenfalls Zahlungen betroffen, bei denen lediglich eine Handelspartei sich im Europäischen Wirtschaftsraum befindet.
Die PSD2 definiert strikte Sicherheitsanforderungen für die Initiierung und Verarbeitung von Zahlungen als auch zum Schutz der kundenbezogenen Finanzdaten.
Sie definiert die Rolle des Drittdienstleisters, dem es erlaubt ist definierte Dienstleistungen um das Produkt Zahlung anzubieten
Wesentliche Risiken
Die PSD2 Direktive wird durch weitere Standards und Richtlinien ergänzt die von der EBA* entworfen und finalisiert werden. Innerhalb der Transposition in nationales Recht kann es zu länderspezifischen Ausnahmen kommen.
Sicherheitsanforderungen auf Makro-Niveau erfordern nachhaltige Spezifizierung und Austausch zwischen den Markteilnehmer mit dem Interesse einer einheitlichen Umsetzung.
Der Einfluß auf die Schnittstelle für den Drittdienstleister und deren Sicherheit als auch die Haftung des Drittdienstleisters bleiben bislang noch ein unklarer Risiko- und Kostenfaktor
Implementierung-planung
23 Dez 2015: PSD2 Direktive wird im Offiziellen EU Journal veröffentlicht
12 Jan 2016:PSD2 Direktive tritt in Kraft
13 Jan 2018:PSD2 tritt in den Ländern in Kraft
2015 2016 2017 2018 2019
Jan 2017:EBA veröffentlicht die RTS. Es war geplant, daß diese im Februar durch die EuropäischeKommission abgezeichnet werden. (Verzögerung)
Q2 2019: “Wahrscheinliches” Datum zu dem die RTS in Kraft treten können
April 2019:Frühester Zeitpunkt zu dem die RTS in Kraft treten können (18 Monate nach Veröffentlichung)
12 Aug – 12 Okt. 2016:Konsultation zu den Regulatorisch technischen Standards für sichere Kommunikation und Authentifizierung erfolgen
Standards/Leitlinien/ Zeitlinien und verantwortliche Organisationen sind in der Direktive aufgeführt:http://eur-lex.europa.eu/legal-content/D/TXT/?uri=CELEX%3A32015L2366*Europäische Bankenaufsichtsbehörde
24 Mai 2017:Die Europäische Kommission gibt die RTS mit Änderungen an EBA zurück. EBA hat 6 Wochen Zeit zur Einarbeitung.
1
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
PSD2 – Regulatorische Änderungen
2
[Source: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32015L2366]
Regulatorische ÄnderungUmsetzungs-
termin
Neu: Banken müssen
Schnittstelle zur Verfügung stellen
Banken müssen Drittanbietern eine Schnittstelle kostenfrei zur Verfügung stellen - Auch Banken obliegt die Möglichkeit sich als Drittdienstleister zu positionieren.
Q4 2018/Q1 2019*
Ges
chäf
tsm
öglic
h ke
iten
NEU: Authentifizierung
mit 2 Faktoren (2FA)
Banken müssen 2FA sowohl zum Login als auch Transaktionsautorisierung etablieren
Zahlungsautorisierung muß dynamisch mit Attributen der Zahlung verlinkt werden, (z.B. Betrag, Währung, Tag, Uhrzeit) um Betrug zu verhindern
Banken müssen Systeme permanent im Einsatz haben die den Transaktionsverkehr auf Betrugsversuchen überwachen
Q4 2018/Q1 2019*
NEU: Umfang-erweiterung Länder und Währungen
Unter die PSD2 fallen alle Zahlungen bei denen mindestens eine der beteiligten Banken sich in der EU befindet – „One Leg In [OLI] principle“
Zahlungseingänge in Kontowährung sind am Tag des Erhalts dem Kunden gutzuschreiben.
Zahlungseingänge mit erforderlicher Währungskonvertierung werden T+2 gutgeschrieben
13. Jan., 2018 C
ompl
ianc
e Se
gmen
t
Kein Abzug vom Zahlbetrag
Bei Zahlungen zwischen zwei in der EU befindlichen Banken in EU/EEA Währung sind Banken verpflichtet den vollen Betrag zu transferieren
Abzügen vom Zahlbetrag sind weiterhin bei nicht EU/EEA Währungen erlaubt als auch bei One-Leg Transaktionen
13. Jan., 2018
Konsumenten-haftung reduziert
Konsumentenhaftung wird reduziert von 150 € auf 50 € pro Transaktion
Undefiniert bleibt die Haftung des Drittdienstleisters gegenüber der Bank im Verhältnis zum maximalen Transaktionsbetrag13. Jan.,
2018
Ausnahmen sind definiert
Ausnahmen von der PSD2 sind klar definiert, geschlossenen Netzwerke als auch ein eingeschränktes Warenspektrum qualifizieren hierfür (Douglas Card, Tankkarten, PayPal etc.)
13. Jan., 2018 An
pass
ungs
Segm
ent
* Der genaue Termin steht erst fest sobald die Regulatory Technical Standards (RTS) vom EU Parlament angenommen wurden . 2
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Die Deutsche Bank ist in 13 Ländern von der PSD2 betroffen
3
16/06/2017 2010 DB Blue template
France
Germany
Ireland
Austria
Poland
ItalyPortugal
Netherlands
Belgium
Great
Britain
Spain
Czech Republic
Hungary
Wir haben ein zentrales PSD2 Programm aufgesetzt das über alle Geschäftsbereiche und Länder hinweg die Umsetzung der PSD2 Anforderungen steuert.
Für die Deutsche Bank haben wir entschieden eine einheitliche Schnittstelle für alle Geschäftsbereiche und Länder zu implementieren. Deshalb unterstützen wir die Standardisierung im Rahmen der Berlin Group Initiative.
Eine standardisierte Schnittstelle erlaubt es uns viele Komponenten zentral bereitzustellen. Das betrifft neben der Kommunikation zum TPP über die PSD2 API auch die Umsetzung der neuen Anforderungen als zentrale Module, z.B. TPP Verzeichnisse, TPP Berechtigungen, Ausnahmen von der „Strong Customer Authentication“.
Länderspezifische Teile verbleiben lokal, werden aber über einheitliche Service der zentralen PSD2 Engine bereitgestellt. Beispiel hierfür sind die „Strong Customer Authentication“ Methoden oder Bestandsdaten der lokalen Kontoführungssysteme.
Wie geht die Deutsche Bank das PSD2 Projekt an
Welche Architektur wurde für die PSD2 Lösung gewählt
Die Deutsche Bank muss in allen Ländern, in denen sie online erreichbare Konten hat, eine PSD2 Schnittstelle für TPP‘s anbieten.
Was bedeutet das für die Deutsche Bank
Luxembourg
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Neue MarktteilnehmerDrittdienstleister (Third Party Providers – TPP) für Zahlungsinitiierung und Kontoinformation
4
16/06/2017 2010 DB Blue template
Die EBA wird regulatorisch, technische Standards entwerfen (RTS) die Einfluß auf die Schnittstellenspezifikation zwischen ASPSPs und TPPs hat. Diese Diskussion sind zu einigen Details noch nicht abgeschlossen. Prinzipiell gilt:
Alle Anfragen von TPPs müssen gleichartig und nicht-diskriminierend bearbeitet werden
Eine über einen TPP initiierte Zahlung kann durch den Zahler nicht gestoppt werden
Jede Bank (ASPSP) die Konten für Zahlungsverkehr online1 offeriert muß diese über die Schnittstelle zugänglich machen – Die Bereitstellung einer Schnittstelle ist verpflichtend
Ein vertragliche Beziehung zwischen dem Drittdienstleister (TPP) und der Bank (ASPSP) ist nicht erforderlich
Drittdienstleister (TPPs) müssen die Autorisierung (Prozeß, und Autorisierungsattribute) die die Bank (ASPSP) dem Kunden ausgegeben hat wiederverwenden²
Drittdienstleister (TPPs) müssen sich bei jeder Transaktion/Kommunikation (Zahlungsauftrag, Kontoinformation, Nachfragen) gegenüber der Bank (ASPSP) identifizieren.
TPPs werden dem Kunden ihre Dienstleistung im Zusammenhang mit Zahlungsinitiierung und der Bereitstellung von Kontoinformationen anbietenTPPs können Kontoinformationen über mehrere Banken hinweg liefern, z.B. Konsolidierung von Kontoständen bei verschiedenen Banken
Wir setzen uns in den unterschiedlichen nationalen und europäischen Gremien und Arbeitsgruppen für die Entwicklung einer einheitlichen Europäischen Schnittstelle ein und heißen hier auch Unterstützung aus der Industrie willkommen.
Regulatorische / technische Änderungen Was ändert sich für den Kunden
Position der Deutschen Bank
1. Ein Konto wird als online definiert, wenn, wenn eine Online Nutzungsvereinbarung zwischen Bank und Kunde getroffen wurde. Maschine-zu-Maschinen (host2host) Kommunikation wird nicht als Online angesehen.
2. Der Inhalt der Antwortnachricht nach Zahlungsinitiierung ist nicht definiert
Bank des Zahlers(Account Servicing Payment Service Provider – ASPSP)
Zahler(Payment Service User - PSU)
TPPs(PISPs & AISPs)
8
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Verbesserte Sicherheitsstandards Starke Kundenauthentifizierung (2FA) wird mit den RTS implementiert
5
16/06/2017 2010 DB Blue template
Starke Kundenauthentifizierung bedeutet, daß die Authentifizierung durch die Nutzung von 2 Faktoren erfolgt, die jeweils einer der nachfolgenden Kategorien angehört: Wissen (etwas was nur der Kunde weiß), Besitz (etwas was nur der Kunde besitzt) oder Inhärenz (etwas das dem Kunden innewohnt). Die Faktoren müssen voneinander unabhängig sein, d.h. die Diskriminierung eines Faktors, darf nicht die Integrität der anderen Faktoren zerstören.
Zahlungsinitiierung über remote Kanäle wird die Zahlungsautorisierung dynamisch mit Attributen des Zahlungsauftrages verbunden (Betrag, Währung, Uhrzeit etc.).
Banken (ASPSP) müssen 2FA als zwingende Anforderung in ihren Systemen und Prozessen integrieren. 2FA wird gefordert werden wenn der Zahler:
a) Auf sein online Konto zugreifen möchte (Login); b) Zahlungen autorisieren möchte; c) Kontotransaktionen und Kontoeinstellungen über einen Remote
Kanal durchführen möchte und damit das Betrugs-Mißbrauchsrisiko steigt
2FA wird notwendig werden für den Login und die Zahlungsautorisierung
Neue Authentisierungsfaktoren – in Übereinstimmung mit den Anforderungen von 2FA – werden im Laufe des Jahres 2018 von den Banken an die Kunden ausgegeben
Regulatorische / technische Änderungen Was ändert sich für den Kunden
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Option 1: Properitäre TPP Schnittstelle über das Online BankingBei dieser Lösung ist keine Fall-Back Schnittstelle erforderlich
6
16/06/2017 2010 DB Blue template
TPP Schnittstelle
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Option 2: Europaweit standardisierte TPP Schnittstelle für PSD2In der aktuellen Version der Regulatory Standards muss zusätzlich eine Fall-Back Schnittstelle bereitgestellt werden
7
16/06/2017 2010 DB Blue template
TPP Schnittstelle
Deutsche BankDeutsche Bank Oliver Bieser
Informationsveranstaltung der DK
Definition der Drittanbieterschnittstelle basierend auf ISO 20022RESTful WebService im JASON Format (RTS: based on ISO 20022 elements)
8
16/06/2017 2010 DB Blue template
Name <Cdtr><Nm>
IBAN <CdtrAcct><Id><IBAN>
Amount <Amt><InstdAmt>
Remittance Information <RmtInf><Ustrd>
End to End ID <PmtId><EndToEndId>
Requested Execution Date (Optional) <ReqdExctnDt>
Name (Ordering Party) <Dbtr><Nm>
IBAN (Ordering Party – Pull Down menu) <DbtrAcct><Id><IBAN>
Zugrundeliegende ISO 20022 Datenelemente
POST /transactions {
“debitorName":<Ordering Party Name>,
“debitorAccount":<IBAN>,
“creditorName":<Beneficiary Party Name>,
“creditorAccount":<IBAN>,
“instructedAmount":<instructed amount>,
“remittanceInformation":<remittance information max.140 character>,
“endToEndIdentifier":<ID max. 35 character>,
“requestedExecutionDate ":<ISO Date>,
}
Vereinfachte Darstellung eins RESTful Webservices (JSON)
Erfassung eines SEPA Auftrages im Online Banking
Oliver BieserInformationsveranstaltung der DK
Deutsche Bank
Dieses Dokument dient lediglich zu Informationszwecken und bietet einen allgemeinen Überblick über das Leistungsangebot der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften. Die allgemeinen Angaben in diesem Dokument beziehen sich auf die Services der Deutsche Bank AG, ihrer Niederlassungen und Tochtergesellschaften, wie sie den Kunden zum Zeitpunkt der Drucklegung dieses Dokument im Mai 2017 angeboten werden. Zukünftige Änderungen sind vorbehalten. Dieses Dokument und die allgemeinen Angaben zum Leistungsangebot dienen lediglich der Veranschaulichung, es können keinerlei vertragliche oder nicht vertragliche Verpflichtungen oder Haftung der Deutsche Bank AG, ihrer Niederlassungen oder Tochtergesellschaften daraus abgeleitet werden.
Deutsche Bank AG hat eine Banklizenz nach dem deutschen Kreditwesengesetz (zuständige Behörden: Europäische Zentralbank und Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)) und ist in Großbritannien durch die PrudentialRegulation Authority autorisiert. Sie unterliegt der Aufsicht der Europäischen Zentralbank und der BaFin, sowie in begrenztem Umfang der Prudential Regulation Authority und Financial Conduct Authority in Großbritannien. Einzelheiten zum Umfang der Zulassung und Beaufsichtigung durch diese Behörden sind auf Anfrage erhältlich.
Copyright© Juni 2017 Deutsche Bank AG.Alle Rechte vorbehalten.
Disclaimer
9
2010 DB Blue template