Informationsveranstaltung der DK - Deutsche Kreditwirtschaft .Deutsche Bank Deutsche Bank Oliver

download Informationsveranstaltung der DK - Deutsche Kreditwirtschaft .Deutsche Bank Deutsche Bank Oliver

of 10

  • date post

    04-Jun-2018
  • Category

    Documents

  • view

    215
  • download

    0

Embed Size (px)

Transcript of Informationsveranstaltung der DK - Deutsche Kreditwirtschaft .Deutsche Bank Deutsche Bank Oliver

  • Deutsche Bank

    Informationsveranstaltung der DK

    13. Juni 2017

  • Deutsche BankDeutsche Bank Oliver Bieser

    Informationsveranstaltung der DK

    PSD2 Im berblick

    1

    Wesentliche Ziele der PSD2

    Die PSD2 renoviert und ergnzt die innerhalb der PSD1 definierten Regeln. Wesentliche Ziele der PSD2 sind: Frderung und Untersttzung von Innovation im Zahlungsverkehr und Anpassung des notwendigen rechtlichen Rahmenwerkes und Anforderungen Verbesserung der Sicherheit von Zahlungen und Zahlungsdienstleistungen Steigerung der Nutzersicherheit Detailierung von Inhalten und Ausnahmen

    Wesentliche Unterschiede zwischen der PSD1 und der PSD2

    PSD2 weitet im Vergleich zum Vorgnger den Geltungsbereich auf alle Whrungen im Europischen Wirtschaftsraum aus. Des weiteren sind ebenfalls Zahlungen betroffen, bei denen lediglich eine Handelspartei sich im Europischen Wirtschaftsraum befindet.

    Die PSD2 definiert strikte Sicherheitsanforderungen fr die Initiierung und Verarbeitung von Zahlungen als auch zum Schutz der kundenbezogenen Finanzdaten.

    Sie definiert die Rolle des Drittdienstleisters, dem es erlaubt ist definierte Dienstleistungen um das Produkt Zahlung anzubieten

    Wesentliche Risiken

    Die PSD2 Direktive wird durch weitere Standards und Richtlinien ergnzt die von der EBA* entworfen und finalisiert werden. Innerhalb der Transposition in nationales Recht kann es zu lnderspezifischen Ausnahmen kommen.

    Sicherheitsanforderungen auf Makro-Niveau erfordern nachhaltige Spezifizierung und Austausch zwischen den Markteilnehmer mit dem Interesse einer einheitlichen Umsetzung.

    Der Einflu auf die Schnittstelle fr den Drittdienstleister und deren Sicherheit als auch die Haftung des Drittdienstleisters bleiben bislang noch ein unklarer Risiko- und Kostenfaktor

    Implementierung-planung

    23 Dez 2015: PSD2 Direktive wird im Offiziellen EU Journal verffentlicht

    12 Jan 2016:PSD2 Direktive tritt in Kraft

    13 Jan 2018:PSD2 tritt in den Lndern in Kraft

    2015 2016 2017 2018 2019

    Jan 2017:EBA verffentlicht die RTS. Es war geplant, da diese im Februar durch die EuropischeKommission abgezeichnet werden. (Verzgerung)

    Q2 2019: Wahrscheinliches Datum zu dem die RTS in Kraft treten knnen

    April 2019:Frhester Zeitpunkt zu dem die RTS in Kraft treten knnen (18 Monate nach Verffentlichung)

    12 Aug 12 Okt. 2016:Konsultation zu den Regulatorisch technischen Standards fr sichere Kommunikation und Authentifizierung erfolgen

    Standards/Leitlinien/ Zeitlinien und verantwortliche Organisationen sind in der Direktive aufgefhrt:http://eur-lex.europa.eu/legal-content/D/TXT/?uri=CELEX%3A32015L2366*Europische Bankenaufsichtsbehrde

    24 Mai 2017:Die Europische Kommission gibt die RTS mit nderungen an EBA zurck. EBA hat 6 Wochen Zeit zur Einarbeitung.

    1

  • Deutsche BankDeutsche Bank Oliver Bieser

    Informationsveranstaltung der DK

    PSD2 Regulatorische nderungen

    2

    [Source: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32015L2366]

    Regulatorische nderungUmsetzungs-

    termin

    Neu: Banken mssen

    Schnittstelle zur Verfgung stellen

    Banken mssen Drittanbietern eine Schnittstelle kostenfrei zur Verfgung stellen - Auch Banken obliegt die Mglichkeit sich als Drittdienstleister zu positionieren.

    Q4 2018/Q1 2019*

    Ges

    chf

    tsm

    glic

    h ke

    iten

    NEU: Authentifizierung

    mit 2 Faktoren (2FA)

    Banken mssen 2FA sowohl zum Login als auch Transaktionsautorisierung etablieren

    Zahlungsautorisierung mu dynamisch mit Attributen der Zahlung verlinkt werden, (z.B. Betrag, Whrung, Tag, Uhrzeit) um Betrug zu verhindern

    Banken mssen Systeme permanent im Einsatz haben die den Transaktionsverkehr auf Betrugsversuchen berwachen

    Q4 2018/Q1 2019*

    NEU: Umfang-erweiterung Lnder und Whrungen

    Unter die PSD2 fallen alle Zahlungen bei denen mindestens eine der beteiligten Banken sich in der EU befindet One Leg In [OLI] principle

    Zahlungseingnge in Kontowhrung sind am Tag des Erhalts dem Kunden gutzuschreiben.

    Zahlungseingnge mit erforderlicher Whrungskonvertierung werden T+2 gutgeschrieben

    13. Jan., 2018 C

    ompl

    ianc

    e Se

    gmen

    t

    Kein Abzug vom Zahlbetrag

    Bei Zahlungen zwischen zwei in der EU befindlichen Banken in EU/EEA Whrung sind Banken verpflichtet den vollen Betrag zu transferieren

    Abzgen vom Zahlbetrag sind weiterhin bei nicht EU/EEA Whrungen erlaubt als auch bei One-Leg Transaktionen

    13. Jan., 2018

    Konsumenten-haftung reduziert

    Konsumentenhaftung wird reduziert von 150 auf 50 pro Transaktion

    Undefiniert bleibt die Haftung des Drittdienstleisters gegenber der Bank im Verhltnis zum maximalen Transaktionsbetrag13. Jan.,

    2018

    Ausnahmen sind definiert

    Ausnahmen von der PSD2 sind klar definiert, geschlossenen Netzwerke als auch ein eingeschrnktes Warenspektrum qualifizieren hierfr (Douglas Card, Tankkarten, PayPal etc.)

    13. Jan., 2018 A

    npas

    sung

    sSe

    gmen

    t

    * Der genaue Termin steht erst fest sobald die Regulatory Technical Standards (RTS) vom EU Parlament angenommen wurden . 2

  • Deutsche BankDeutsche Bank Oliver Bieser

    Informationsveranstaltung der DK

    Die Deutsche Bank ist in 13 Lndern von der PSD2 betroffen

    3

    16/06/2017 2010 DB Blue template

    France

    Germany

    Ireland

    Austria

    Poland

    ItalyPortugal

    Netherlands

    Belgium

    Great

    Britain

    Spain

    Czech Republic

    Hungary

    Wir haben ein zentrales PSD2 Programm aufgesetzt das ber alle Geschftsbereiche und Lnder hinweg die Umsetzung der PSD2 Anforderungen steuert.

    Fr die Deutsche Bank haben wir entschieden eine einheitliche Schnittstelle fr alle Geschftsbereiche und Lnder zu implementieren. Deshalb untersttzen wir die Standardisierung im Rahmen der Berlin Group Initiative.

    Eine standardisierte Schnittstelle erlaubt es uns viele Komponenten zentral bereitzustellen. Das betrifft neben der Kommunikation zum TPP ber die PSD2 API auch die Umsetzung der neuen Anforderungen als zentrale Module, z.B. TPP Verzeichnisse, TPP Berechtigungen, Ausnahmen von der Strong Customer Authentication.

    Lnderspezifische Teile verbleiben lokal, werden aber ber einheitliche Service der zentralen PSD2 Engine bereitgestellt. Beispiel hierfr sind die Strong Customer Authentication Methoden oder Bestandsdaten der lokalen Kontofhrungssysteme.

    Wie geht die Deutsche Bank das PSD2 Projekt an

    Welche Architektur wurde fr die PSD2 Lsung gewhlt

    Die Deutsche Bank muss in allen Lndern, in denen sie online erreichbare Konten hat, eine PSD2 Schnittstelle fr TPPs anbieten.

    Was bedeutet das fr die Deutsche Bank

    Luxembourg

  • Deutsche BankDeutsche Bank Oliver Bieser

    Informationsveranstaltung der DK

    Neue MarktteilnehmerDrittdienstleister (Third Party Providers TPP) fr Zahlungsinitiierung und Kontoinformation

    4

    16/06/2017 2010 DB Blue template

    Die EBA wird regulatorisch, technische Standards entwerfen (RTS) die Einflu auf die Schnittstellenspezifikation zwischen ASPSPs und TPPs hat. Diese Diskussion sind zu einigen Details noch nicht abgeschlossen. Prinzipiell gilt:

    Alle Anfragen von TPPs mssen gleichartig und nicht-diskriminierend bearbeitet werden

    Eine ber einen TPP initiierte Zahlung kann durch den Zahler nicht gestoppt werden

    Jede Bank (ASPSP) die Konten fr Zahlungsverkehr online1 offeriert mu diese ber die Schnittstelle zugnglich machen Die Bereitstellung einer Schnittstelle ist verpflichtend

    Ein vertragliche Beziehung zwischen dem Drittdienstleister (TPP) und der Bank (ASPSP) ist nicht erforderlich

    Drittdienstleister (TPPs) mssen die Autorisierung (Proze, und Autorisierungsattribute) die die Bank (ASPSP) dem Kunden ausgegeben hat wiederverwenden

    Drittdienstleister (TPPs) mssen sich bei jeder Transaktion/Kommunikation (Zahlungsauftrag, Kontoinformation, Nachfragen) gegenber der Bank (ASPSP) identifizieren.

    TPPs werden dem Kunden ihre Dienstleistung im Zusammenhang mit Zahlungsinitiierung und der Bereitstellung von Kontoinformationen anbietenTPPs knnen Kontoinformationen ber mehrere Banken hinweg liefern, z.B. Konsolidierung von Kontostnden bei verschiedenen Banken

    Wir setzen uns in den unterschiedlichen nationalen und europischen Gremien und Arbeitsgruppen fr die Entwicklung einer einheitlichen Europischen Schnittstelle ein und heien hier auch Untersttzung aus der Industrie willkommen.

    Regulatorische / technische nderungen Was ndert sich fr den Kunden

    Position der Deutschen Bank

    1. Ein Konto wird als online definiert, wenn, wenn eine Online Nutzungsvereinbarung zwischen Bank und Kunde getroffen wurde. Maschine-zu-Maschinen (host2host) Kommunikation wird nicht als Online angesehen.

    2. Der Inhalt der Antwortnachricht nach Zahlungsinitiierung ist nicht definiert

    Bank des Zahlers(Account Servicing Payment Service Provider ASPSP)

    Zahler(Payment Service User - PSU)

    TPPs(PISPs & AISPs)

    8

  • Deutsche BankDeutsche Bank Oliver Bieser

    Informationsveranstaltung der DK

    Verbesserte Sicherheitsstandards Starke Kundenauthentifizierung (2FA) wird mit den RTS implementiert

    5

    16/06/2017 2010 DB Blue template

    Starke Kundenauthentifizierung bedeutet, da die Authentifizierung durch die Nutzung von 2 Faktoren erfolgt, die jeweils einer der nachfolgenden Kategorien angehrt: Wissen (etwas was nur der Kunde wei), Besitz (etwas was nur der Kunde besitzt) oder Inhrenz (etwas das dem Kunden innewohnt). Die Faktoren mssen voneinander unabhngig sein, d.h. die Diskriminierung eines Faktors, darf nicht di