PSD2-Meldedatum 14. März:
Diese Fragen sollten gestellt werden
Am 13. Januar 2018 endete für alle EU-Mitgliedsstaaten die Frist, um die Zweite Zahlungsdiensterichtlinie (PSD2) in nationales Recht umzusetzen. Nun nähern sich die Banken dem ersten von zwei Terminen, an denen sie die neuen technischen Standards der Richtlinie erfüllen müssen.
Eine offen zugängliche Testeinrichtung (üblicherweise „Sandbox-Umgebung“ genannt), mit sicheren APIs, Dokumentation und Support.
Sollten Banken nicht in der Lage sein, wie gefordert eine Sandbox-Umgebung einzurichten, müssen sie einen „Notfallmechanismus“ bereitstellen, der Drittanbietern (Third Party Providers – TPPs) den von PSD2 vorgesehenen Zugriff auf Kundenkontodaten ermöglicht. Dabei kann es sich um eine dedizierte, für die Nutzung durch Dritte angepasste webbasierte oder mobile Schnittstelle handeln, bei der einige Features der ursprünglichen Funktionalität eingeschränkt wurden.
Die meisten Finanzdienstleister werden offenes Screen-Scraping nicht dulden. Somit ist dieser „Notfall-Mechanismus“ nicht die beste Option für Ihre Bank. Ihre Kunden werden sich nicht bewusst für unsichere Lösungen entscheiden. Fehlen allerdings sichere Finanz-APIs, werden diejenigen unter ihnen, die mit digitalen Technologien und Finanzmarktangeboten vertraut sind, auch weiterhin verbraucherorientierte Fintech-Apps von Drittanbietern nutzen. Und dazu werden sie ihre Bankzugangsdaten preisgeben.
JA. Was ist der nächste Schritt?
Glückwunsch! APIs, Dokumentation und Supportplan sind also einsatzbereit. Nun stellt sich die Frage, ob Ihre APIs auch sicher sind. Deshalb sollten Sie unbedingt die vorhandenen Komponenten für das Access Management und die Sicherheit evaluieren und prüfen, ob sie speziell für den Schutz von API-Ressourcen ausgelegt sind. Die meisten bestehenden WAM-Systeme sind es nämlich nicht.
Wie moderne API-Sicherheit aus Kunden- und Backend-Perspektive aussieht (inklusive OAuth- und Open ID Connect-Workflows), zeigt Ihnen unsere Quickstart Private Sandbox for PSD2. Dieses Tool beschleunigt Praxistests und vereinfacht den Einsatz von Verbraucher-Fintech-Apps und diverser Kernkomponenten der Ping Intelligent Identity Platform für den Schutz von Banking-APIs. Viele Unternehmen gehen hier aber über die OAuth-Sicherheitsabläufe hinaus und überwachen zudem proaktiv den API-Traffic bzw. setzen auf KI-basierte Cybersicherheitslösungen.
NEIN. Ich brauche noch einen zuverlässigen Partner.
Da der Termin unaufhörlich näher rückt, empfiehlt es sich nicht, die APIs und das Sicherheitsprofil selbst zu erstellen. In Ihrer Situation lässt sich Compliance am schnellsten sicherstellen , wenn Sie passende Technologiepartner finden, die Sie mit schlüsselfertigen, sofort einsetzbaren Finanz-APIs unterstützen können. Das globale Partnernetzwerk von Ping umfasst auch spezialisierte Technologieanbieter für die Finanzbranche. Viele von ihnen haben bereits entsprechende Plattformen entwickelt oder bieten eine API-Ebene bzw. ein API-Portal – oft auch als Managed Service einschließlich all der PSD2-relevanten APIs, die Sie bis zum Endtermin nachweisen müssen.
Zwar können diese Partner die benötigten APIs schneller bereitstellen, aber danach gilt es, diese auch zu schützen – und das ist die Hauptaufgabe von Ping. Statt eigene Access Management- und Sicherheitslösungen zu entwickeln, nutzen viele dieser Unternehmen als Sicherheitskomponente das Funktionsspektrum von Ping, und zwar als White-Label-Modul oder als ausgewiesene Ping Lösung. Ping hilft Banken, die Landschaft der potenziellen Technologiepartner zu evaluieren, passende Anbieter zu definieren und so den Weg zur PSD2-Compliancer zu verkürzen.
Der am häufigsten geäußerte Kritikpunkt an PSD2 ist, dass die Richtlinie Banken zwar zwingt, offene APIs bereitzustellen, dabei aber kein EU-weites API-Standardformat vorgibt. Würde jede Bank eigene, proprietäre API-Schnittstellen entwickeln, hätte das enorm komplexe Netzwerkstrukturen und hohe Kosten zur Folge. Aus diesem Grund unterstützen verschiedene Initiativen in ganz Europa und darüber hinaus die Branche mit der Spezifizierung und Standardisierung von API-Formaten.
OAuth 2.0 and OpenID Connect (OIDC) bilden in zahlreichen Branchen das Rückgrat von API-Standardisierungsprogrammen. Allerdings finden sich marginale Unterschiede zwischen den wichtigeren, speziell für die Finanzwirtschaft entwickelten API-Standardisierungsrahmen, wie z. B. OpenID, Open Banking (UK), Berlin Group und Financial Data Exchange.
Financial-grade API (FAPI) von OpenID
Financial-grade API (FAPI) ist der Spezifikationsentwurf einer internationalen Arbeitsgruppe. Hinter FAPI stehen Technikexperten, die Identity-Sicherheitsstandards für große internationale Industrieanwendungen entwickeln. Mit Blick auf die Anforderungen des Finanzsektors versuchen sie, APIs für Sicherheit und Datenschutz zu optimieren, unter anderen durch sichere OAuth-Token und Empfehlungen für REST/JSON-Datenschemata. Es handelt sich hier um eine offene, globale Community von Entwicklern, Anbietern und Nutzern, die nicht an die politischen und wirtschaftlichen Ziele einer bestimmten Region gebunden ist, was sicherlich als Vorteil anzusehen ist.
Open Banking Standard
Falls Sie in Großbritannien tätig sind, brauchen Sie eigentlich nicht nach Alternativen zu Open Banking Standard zu suchen. Führende britische Banken haben die Open Banking Implementation Entity als frühzeitige Reaktion auf einen drohenden Brexit und um einen Schritt voraus zu sein, ins Leben gerufen. Diese Institution hat den Auftrag, einen Standard zu definieren, einen zuverlässigen Registrar für alle Banken und Drittanbieter zu installieren und Konformität zu gewährleisten, sodass alle Parteien sicher interagieren können. Open Banking entspricht zudem den ISO20022 Standards sowie den Vorgaben der DSGVO für Datenminimierung.
Aber der Nutzen des Open Banking Standard beschränkt sich nicht auf Großbritannien. So nutzen vorausschauende Marktteilnehmer in aller Welt den UK Open Banking Standard als Ausgangspunkt für ihre eigenen leichten Modifikationen, weil dieser bereits frühzeitig verfügbar war und mittlerweile als ausgereift gelten kann. Ebenfalls anzumerken ist, dass der Open Banking Standard sich mittlerweile immer stärker an FAPI ausrichtet. So lässt sich mit einiger Sicherheit sagen, dass der Open Banking Standard und FAPI in Zukunft mehr oder weniger identisch sein werden.
NextGenPSD2 Framework der Berlin Group
Die Berlin Group ist eine europäische Koalition von Banken und Zahlungsdienstleistern und hat, basierend auf den Anforderungen von PSD2 und EBA RTS, das Access to Account (XS2A) Framework entwickelt, das sich in Bezug auf Nachrichtenformate jenseits von JSON und die Anwendererfahrung modifizieren lässt. Während FAPI und Open Banking bindende API-Standards darstellen, ist NextGenPSD2 eher ein flexiblerer Rahmen für die Erstellung eines eigenen Standards.
Das Framework beinhaltet das Datenmodell (auf konzeptioneller, logischer und physischer Datenebene) sowie das entsprechende Messaging für alle in PSD2 erwähnten Nutzungsfälle, einschließlich Bestätigung von Mitteln. Dieses Framework ist für Fintech-Firmen attraktiver als der Open Banking Standard, weil hier eine etwas umfassendere Standardpalette an Datenfeldern in die APIs der Bank integriert ist und diese mit Freigabe der Berlin Group weitere Datenattribute hinzufügen kann.
Durable Data API (DDA) Standard der Financial Data Exchange
Im Oktober 2018 wurde die Financial Data Exchange (FDX) gegründet, um den Durable Data API (DDA) Standard zu unterstützen. Ziel der Maßnahme war es, die Nutzung von Finanzdaten und -Apps für Verbraucher einfacher und sicherer zu machen, um ihnen so eine bessere Entscheidungsgrundlage zu bieten. In den USA sind die Verbraucher sehr um den Datenschutz und die Sicherheit ihrer Finanzdaten besorgt. So ergab eine Umfrage von August 2018 dass 67 % aller Befragten bei der Nutzung von Fintech-Apps „extrem besorgt“ oder „sehr besorgt“ wegen des Datenschutzes sind. 56 % gaben an, dass sie gerne kontrollieren würden, auf welche Kontoattribute und Datentypen Drittanbieter zugreifen können.
Die meisten FDX-Mitglieder stammen aus den USA, wo keine Behörde den Banken die Nutzung offener APIs vorschreibt. Allerdings stimmen hier die meisten Finanzdienstleister überein, dass Screen-Scraping nicht sicher ist und dass Standard-APIs die Lösung sind. Dieser neue Standard erfüllt alle PSD2-Vorgaben, bietet OAuth 2.0 und kann von Banken, Datenaggregatoren und Fintechs ebenso genutzt werden, wie von Versicherungsgesellschaften, Maklern und anderen Marktteilnehmern.
PSD2 API von STET
STET befindet sich im Besitz von sechs bedeutenden französischen Banken und hat PSD2 API v1.4 entwickelt, um europäischen ASPSPs die Möglichkeit zu bieten, serverseitig eine sichere und einfache Palette an Services bereitzustellen. STET arbeitet dabei aktiv mit zahlreichen Partnern sowie Standardisierungsinitiativen in der ganzen EU zusammen. Auf dieser Basis will man eine hochwertige PSD2 API-Lösung entwickeln, die alle europäischen Nutzer zufriedenstellt.
Die Lösung bietet Features für die Authentifizierung, die Autorisierung, das Nachweismanagement und die Betrugserkennung und basiert auf den neuesten Technologiestandards wie REST, OAuth2, JSON und HTTP-Signatur. Für die Strukturierung der Daten und den Austausch zwischen TPPs und ASPSPs werden ISO20022-Elemente genutzt.
Polnischer API-Standard
Der Polnische API-Standard ist die Antwort der polnischen Zahlungsdienstleister auf die Anforderung, die Finanzinnovation in Polen auf nicht-diskriminierende, nachhaltige Weise zu stärken. Der Standard zielt darauf ab, die Kosten der Implementierung von PSD2 für TPPs und ASPSPs zu reduzieren. Die Schöpfer des Standards gehen davon aus, dass dieser sich mit den Änderungen im polnischen und europäischen Markt kontinuierlich weiterentwickeln wird. Bemerkenswert ist, dass der Polnische API-Standard vermutlich als einziger in der gesamten EU nicht auf das Prinzip von RESTful APIs setzt (zumindest nicht in der ersten Version).
Aufgrund der Flexibilität unserer Ping Intelligent Identity Platform sowie unserer Mitarbeit in Standardisierungsgremien für digitale Identitäten können wir Finanzdienstleister heute und in Zukunft kompetent unterstützen, ganz gleich, für welches API-Standardmodell sie sich entscheiden (schließlich verfolgen alle ähnliche Ziele). Wir können derzeit bereits Konformität mit FAPI 2 und Open Banking v2 sicherstellen und arbeiten an Konformitätstests für Open Banking v3. Da NextGenPSD2 von der Berlin Group das Thema aus den verschiedensten Perspektiven angeht, helfen wir Ihnen hier, den für Sie richtigen Blickwinkel und die entsprechenden Sicherheitstechnologien zu identifizieren.
Wenn Sie gerne wissen möchten, wie Ping Identity Ihrer Bank beim Thema PSD2-Lösung helfen kann, lesen Sie, wie Sie durch PSD2-Compliance von einer positiven Kundenerfahrung profitieren können, oder erfahren Sie in unserem technischen Lösungsleitfaden.