NextGenPSD2-Zertifizierung | SRC startet Audits für XS2A
Sind Sie bereit für eine Zertifizierung Ihrer NextGenPSD2-Implementierung?
Die überarbeitete Zahlungsverkehrsdiensterichtlinie (PSD2) verpflichtet Banken, autorisierten Drittanbietern den Zugang zu Kundendaten zu ermöglichen. Diese Drittanbieter (TPP) sollen über eine Programmierschnittstelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungsinitiierungs- und Kontoinformationsdienste anzubieten. Die NextGenPSD2-Zertifizierung fördert die Implementierung auf eines einheitlichen Standards.
Die meisten Banken und API-Anbieter in Europa implementieren die XS2A-Schnittstelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmonisierte Lösung zur Implementierung der PSD2 Vorgaben für die XS2A-Schnittstelle.
Die korrekte Implementierung der XS2A-Schnittstelle befreit das Institut von der Implementierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Implementation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfallkatalog, Compliance Best Practices und Testtool-Anforderungen. Das implementierende Institut bewertet seine Arbeit selbst. Damit ist die Implementierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigenbewertung gegenüber der Aufsichtsbehörde (NCA) als ausreichend betrachtet wird.
Warum Sie eine NextGenPSD2-Zertifizierung durchführen sollten?
Die Eigenbewertung der NextGenPSD2-Implementierung bietet bereits ein hohes Maß an Qualität. Unterschiedliche Interpretationen der Spezifikation können jedoch zu Interoperabilitätsproblemen führen. Zwischen Banken und Drittanbietern existiert derzeit kein dokumentiertes Verständnis über die genaue Implementierung der XS2A-Schnittstelle. Damit steigt die Wahrscheinlichkeit, dass die zuständige Aufsichtsbehörde der Banken die Freistellung von der Implementierung einer Fallback-Schnittstellenlösung verweigert.
Aus dem Engagement bei Spezifikation und Implementierung der XS2A-Schnittstelle im Rahmen von NISP verfügt SRC über eine umfangreiche und detaillierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zertifizierung erarbeitet.
Wie läuft der Prozess zur NextGenPSD2-Zertifizierung ab?
Voraussetzung für die NextGenPSD2-Zertifizierung sind der Testfallkatalog, das Implementierungsprofil und die Testspezifikation des implementierenden Instituts. Diese Voraussetzungen nutzt SRC, um ein vollständiges Funktions‑, Sicherheits- und Belastungsaudit der NextGenPSD2-Implementierung durchzuführen.
Audit-Validierung
In der Validierung wird die Implementierung gegen die Anforderungen der Dokumentation geprüft.
Funktionaler Teil
Im Funktionsteil werden die Testspezifikationen ausgeführt und die Ergebnisse überprüft.
Nicht-funktionaler Teil
Im nicht-funktionalen Teil wird die Verfügbarkeit der Implementierung (Stresstest) an relevanten Punkten ermittelt und bewertet.
Security Test
Im Security Test werden Methoden des Penetrationstestens genutzt. Es wird überprüft, ob die Implementierung der XS2A-Schnittstelle Kundendaten und Transaktionen ausreichenden Schutz vor Betrugsversuchen bietet.
Die Zertifizierung wird in einem abschließenden Bericht dokumentiert. Wenn alle Anforderungen mindestens ausreichend erfüllt sind, erhält das Institut ein SRC-Zertifikat. Mit diesem Zertifikat kann die Konformität der implementierten XS2A-Schnittstelle gegenüber Dritten und der Aufsichtsbehörde nachgewiesen werden. Auf Basis der ersten Zertifizierung können zukünftig ggf. Regressionsaudits durchgeführt werden.
SRC-Beratungsleistungen zur Entwicklungsoptimierung oder zur Erstellung der Testspezifikation können zur Vorbereitung der NextGenPSD-Zertifizierung genutzt werden.
Warum SRC?
Als Mitherausgeber des NextGenPSD2 Frameworks und des NISP Testing Frameworks verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbundenen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testumgebungen mit vielen lizenzierten Auditoren für mehrere Funktions- und Sicherheitsbewertungen nach formalen Zertifizierungsschemata. Infolgedessen ist SRC in der Lage, mit überschaubarem Aufwand ein qualitativ hochwertiges Audit durchzuführen.
Sie sind an einer NextGenPSD2 Zertifizierung interessiert? Dann schreiben Sie an info@src-gmbh.de.