Beiträge

NextGenPSD2-Zertifizierung

NextGenPSD2-Zerti­fi­zierung | SRC startet Audits für XS2A

Sind Sie bereit für eine Zerti­fi­zierung Ihrer NextGenPSD2-Imple­men­tierung?

Die überar­beitete Zahlungs­ver­kehrs­diens­te­richt­linie (PSD2) verpflichtet Banken, autori­sierten Dritt­an­bietern den Zugang zu Kunden­daten zu ermög­lichen. Diese Dritt­an­bieter (TPP) sollen über eine Program­mier­schnitt­stelle (XS2A) nach Zustimmung des Kunden Zugriff erhalten. Mit diesen Daten sind TPPs in der Lage neuartige Zahlungs­in­iti­ie­rungs- und Konto­in­for­ma­ti­ons­dienste anzubieten. Die NextGenPSD2-Zerti­fi­zierung fördert die Imple­men­tierung auf eines einheit­lichen Standards.

Die meisten Banken und API-Anbieter in Europa imple­men­tieren die XS2A-Schnitt­stelle mit Hilfe des NextGenPSD2 Framework der Berlin Group. Dabei handelt es sich um eine offene und europaweit harmo­ni­sierte Lösung zur Imple­men­tierung der PSD2 Vorgaben für die XS2A-Schnitt­stelle.

Die korrekte Imple­men­tierung der XS2A-Schnitt­stelle befreit das Institut von der Imple­men­tierung einer „Fallback“-Schnittstellenlösung. Das NextGenPSD2 Imple­men­tation Support Programm (kurz: NISP) bietet den Teilnehmern ein Testing Framework mit Testkonzept, Testfall­ka­talog, Compliance Best Practices und Testtool-Anfor­de­rungen. Das imple­men­tie­rende Institut bewertet seine Arbeit selbst. Damit ist die Imple­men­tierung derzeit abgeschlossen. Offen ist derzeit, ob diese Eigen­be­wertung gegenüber der Aufsichts­be­hörde (NCA) als ausrei­chend betrachtet wird.

Warum Sie eine NextGenPSD2-Zerti­fi­zierung durch­führen sollten?

Die Eigen­be­wertung der NextGenPSD2-Imple­men­tierung bietet bereits ein hohes Maß an Qualität. Unter­schied­liche Inter­pre­ta­tionen der Spezi­fi­kation können jedoch zu Inter­ope­ra­bi­li­täts­pro­blemen führen. Zwischen Banken und Dritt­an­bietern existiert derzeit kein dokumen­tiertes Verständnis über die genaue Imple­men­tierung der XS2A-Schnitt­stelle. Damit steigt die Wahrschein­lichkeit, dass die zuständige Aufsichts­be­hörde der Banken die Freistellung von der Imple­men­tierung einer Fallback-Schnitt­stel­len­lösung verweigert.

Aus dem Engagement bei Spezi­fi­kation und Imple­men­tierung der XS2A-Schnitt­stelle im Rahmen von NISP verfügt SRC über eine umfang­reiche und detail­lierte Expertise. Auf dieser Grundlage haben wir für Sie die NextGenPSD2-Zerti­fi­zierung erarbeitet.

Wie läuft der Prozess zur NextGenPSD2-Zerti­fi­zierung ab?

Voraus­setzung für die NextGenPSD2-Zerti­fi­zierung sind der Testfall­ka­talog, das Imple­men­tie­rungs­profil und die Testspe­zi­fi­kation des imple­men­tie­renden Instituts. Diese Voraus­set­zungen nutzt SRC, um ein vollstän­diges Funktions‑, Sicher­heits- und Belas­tungs­audit der NextGenPSD2-Imple­men­tierung durch­zu­führen.

Audit-Validierung

In der Validierung wird die Imple­men­tierung gegen die Anfor­de­rungen der Dokumen­tation geprüft.

Funktio­naler Teil

Im Funkti­onsteil werden die Testspe­zi­fi­ka­tionen ausge­führt und die Ergeb­nisse überprüft.

Nicht-funktio­naler Teil

Im nicht-funktio­nalen Teil wird die Verfüg­barkeit der Imple­men­tierung (Stresstest) an relevanten Punkten ermittelt und bewertet.

Security Test

Im Security Test werden Methoden des Penetra­ti­ons­testens genutzt. Es wird überprüft, ob die Imple­men­tierung der XS2A-Schnitt­stelle Kunden­daten und Trans­ak­tionen ausrei­chenden Schutz vor Betrugs­ver­suchen bietet.

Die Zerti­fi­zierung wird in einem abschlie­ßenden Bericht dokumen­tiert. Wenn alle Anfor­de­rungen mindestens ausrei­chend erfüllt sind, erhält das Institut ein SRC-Zerti­fikat. Mit diesem Zerti­fikat kann die Konfor­mität der imple­men­tierten XS2A-Schnitt­stelle gegenüber Dritten und der Aufsichts­be­hörde nachge­wiesen werden. Auf Basis der ersten Zerti­fi­zierung können zukünftig ggf. Regres­si­ons­audits durch­ge­führt werden.

SRC-Beratungs­leis­tungen zur Entwick­lungs­op­ti­mierung oder zur Erstellung der Testspe­zi­fi­kation können zur Vorbe­reitung der NextGenPSD-Zerti­fi­zierung genutzt werden.

Warum SRC?

Als Mither­aus­geber des NextGenPSD2 Frame­works und des NISP Testing Frame­works verfügt SRC über ein tiefes Verständnis der NextGenPSD2-Standards und aller mit dem Testen verbun­denen Aufgaben. Darüber hinaus verfügt SRC über langjährige Erfahrung in der Entwicklung von Testum­ge­bungen mit vielen lizen­zierten Auditoren für mehrere Funktions- und Sicher­heits­be­wer­tungen nach formalen Zerti­fi­zie­rungs­schemata. Infol­ge­dessen ist SRC in der Lage, mit überschau­barem Aufwand ein quali­tativ hochwer­tiges Audit durch­zu­führen.

Sie sind an einer NextGenPSD2 Zerti­fi­zierung inter­es­siert? Dann schreiben Sie an info@src-gmbh.de.

NextGenPSD2

SRC GmbH richtet die NextGenPSD2-Konferenz 2017 in Berlin aus

Der NextGenPSD2-Standard der Berlin Group

Im Rahmen der sechs­wö­chigen öffent­lichen Markt­kon­sul­tation der Berlin Group zu ihrem NextGenPSD2-Standard für den Konto­zugang „Access to Accounts“ (XS2A), der es Dritt­an­bietern ermög­licht, im Rahmen der Bestim­mungen der überar­bei­teten EU-Richt­linie für Zahlungs­dienste (PSD2) auf Zahlungs­konten zuzugreifen, richtet die SRC GmbH ergänzend eine NextGenPSD2-Konferenz aus. Diese findet am 25. Oktober 2017 im Berliner Atrium der Deutschen Bank statt. Die Konferenz bietet ein ausführ­liches Programm, das zeigt, wie NextGenPSD2 eine Brücke in das Banken­system schlägt und die Komple­xität der überar­bei­teten Zahlungs­diens­te­richt­linie (PSD2) sowie die Anfor­de­rungen an den Zugang zu Konten (XS2A) reduziert. Außerdem wird beleuchtet, wie Third Party Payment Service Providern (TPPs) die Bereit­stellung innova­tiver Lösungen für Kunden mithilfe moderner Appli­cation Programming Inter­faces (APIs) für den sicheren Zugriff auf Bankkonten ermög­licht wird.

Verän­derung des Zahlungs­ver­kehrs

Die Konferenz bietet erfah­renen Spezia­listen, Entwicklern, FinTechs, Banken, Verar­beitern und anderen in den PSD2-Standard invol­vierten Fachleuten eine hervor­ra­gende Gelegenheit, detail­liert zu erfahren, wie NextGenPSD2 in den kommenden Jahren den täglichen Zahlungs­verkehr verändern wird. Eine Vielzahl von Policy-Insidern, Experten und Inter­es­sen­ver­tretern wird über den Hinter­grund, die Ziele und Einzel­heiten des offenen und kolla­bo­ra­tiven NextGenPSD2 XS2A-API-Standard infor­mieren. Dementspre­chend bietet das Meeting eine großartige Gelegenheit für eine umfas­sende Erläu­terung des Themas und zur Klärung von offenen Fragen. Die Konferenz wird außerdem durch eine aufschluss­reiche Keynote-Opening-Speech der Europäi­schen Zentralbank geehrt und bietet mehrere Podiums­ge­spräche mit Banken, Aufsichts­be­hörden, FinTechs und Verbrau­cher­or­ga­ni­sa­tionen.

Networking in Microsoft Lounge und Digital Eatery

Ferner bietet die Konferenz auch außer­ge­wöhn­liche Networking-Möglich­keiten: Am Abend des 24. Oktober 2017 (ab 18:00 Uhr) öffnen die Microsoft Lounge und die Digital Eatery ihre Türen für die Teilnehmer und gewähren Zugang zu einem Get-Together-Event mit köstlicher Küche und erfri­schenden Getränken ohne zusätz­liche Kosten.