„RTS“ - finale technische Regulierungsstandards | KPMG | AT
close
Share with your friends

Finale RTS zu starker Kundenauthentifizierung und sicherer Kommunikation nach PSD II verabschiedet

„RTS“ - finale technische Regulierungsstandards

Am 27. November 2017 wurden von der Europäischen Kommission die finalen technischen Regulierungsstandards („RTS“) zur Payment Service Directive II („PSD II“) verabschiedet.

Für den Inhalt verantwortlich

Senior Manager, Advisory

KPMG Austria

Kontakt

Verwandte Inhalte

Die technischen Regulierungsstandards konkretisieren die Authentifizierung und die Kommunikation und sollen es Verbrauchern ermöglichen, innovative Dienste, wie beispielsweise Zahlungsauslösedienste und Instrumente zur Verwaltung persönlicher Finanzen, von Drittdienstleistern zu nutzen und dabei Sicherheit und Datenschutz gewährleisten.

Die technischen Regulierungsstandards sind auf Zahlungskonten anzuwenden, d.h. ein auf den Namen eines oder mehrerer Zahlungsdienstnutzer(s) lautendes Konto, das für die Ausführung von Zahlungsvorgängen genutzt wird.

Der Schutz von Verbrauchern soll durch die Erhöhung der Sicherheit bei elektronischen Zahlungen erreicht werden, aus diesem Grund sind in den RTS Sicherheitsanforderungen normiert, die Zahlungsdienstanbieter einhalten müssen, wenn sie Zahlungen ausführen oder zahlungsbezogene Dienstleistungen anbieten.

Die technischen Regulierungsstandards sehen Anforderungen und Sicherheitsmaßnahmen, wie beispielsweise Kundenauthentifizierungscodes für die starke Kundenauthentifizierung vor. Die Generierung von Authentifizierungscodes erfolgt durch den Zahlungsdienstleister und hat aus mindestens 2 Elementen der Kategorien Wissen (dabei kann es sich beispielsweise um ein Passwort handeln), Besitz (dabei kann es sich beispielsweise um ein Mobiltelefon handeln) und Inhärenz (dabei kann es sich beispielsweise um eine Fingerabdruckerkennung handeln) zu bestehen.

Des Weiteren wird klargestellt, dass bei der Anwendung starker Kundenauthentifizierung der Zahler über die Höhe des Betrags des Zahlungsvorganges zu informieren ist. Für diesen spezifischen Betrag wird ein Authentifizierungscode generiert. Dabei müssen der Betrag der Transaktion und die Identität des Zahlungsempfängers mit dem des Authentifizierungscodes übereinstimmen. Jede Änderung des Betrags oder des Zahlungsempfängers hat die Ungültigkeit des erzeugten Authentifizierungscodes zur Folge.

In den RTS sind Ausnahmen von der starken Kundenauthentifizierung vorgesehen, hierbei handelt es sich beispielsweise um Ausnahmen für Zahlungen an unbeaufsichtigten Terminals für Transportkosten und Parkgebühren, Überweisungen zwischen Konten derselben natürlichen oder juristischen Person oder Transaktionen von Kleinbeträgen.

Die RTS beschäftigen sich des Weiteren mit Voraussetzung in Bezug auf den Schutz der Vertraulichkeit und der Integrität von personalisierten Sicherheitsmerkmalen von Zahlungsdienstnutzern, wie der Maskierung persönlicher Sicherheitsmerkmale bei der Authentifizierung und der Verschlüsselung der Merkmale bei der Speicherung von solchen personalisierten Sicherheitsmerkmalen.

In weiterer Folge müssen die RTS von der EU-Kommission angenommen werden. Die sich aus den RTS ergebenden Regelungen zur starken Kundenauthentifizierung und sicheren Kommunikation sind 18 Monate nach Annahme der RTS verpflichtend anzuwenden, was voraussichtlich frühestens im September 2019 der Fall sein wird.

EUROPEAN COMMISSION

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden