PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Zum 11. September 2019 sind die neuen gesetzlichen Bestimmungen gem. der zweiten Zahlungsdiensterichtlinie (PSD2) und der Delegierten Verordnung zur starken Kundenauthentifizierung wirksam geworden.

Die neuen Richtlinien im Zahlungsverkehr sollen die Rechte der Verbraucher noch mehr stärken und schützen, indem die Auslösung und Verarbeitung elektronischer Zahlungen mit strengen Sicherheitsanforderungen verbunden ist.

OnlineBanking

Starke Kundenauthentifizierung

Mit PSD2 wurden die Anforderungen an eine starke Kundenauthentifizierung verschärft. Eine starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei voneinander unabhängigen Faktoren legitimieren, also Ihre Identität beweisen, müssen. Hierbei müssen Authentifizierungselemente aus den folgenden Kategorien eingesetzt werden:

  • Wissen, z.B. Ihre PIN
  • Besitz, z.B. Ihre girocard (Debitkarte) mit TAN-Generator oder Ihr Smartphone
  • Inhärenz, z.B. Ihr Fingerabdruck

Wann muss eine starke Kundenauthentifizierung erfolgen?

  • Beim Zugang zum OnlineBanking (Login)

Bei der Anmeldung im OnlineBanking ist mindestens alle 90 Tage eine TAN erforderlich. Das bedeutet, dass neben dem VR-NetKey bzw. Alias und der PIN auch eine TAN eingegeben werden muss.

  • Beim Aufruf von Umsatzinformationen, die älter als 90 Kalendertage sind

Werden nach dem Login Umsatzinformationen, die älter als 90 Kalendertage sind abgerufen, ist eine weitere TAN notwendig. Dabei spielt es keine Rolle, ob beim Login bereits eine TAN eingegeben wurde.

  • Bei der Zahlungsauslösung

Bei der Auslösung von Zahlungen muss eine TAN eingegeben werden.

  • Bei der Anzeige sensibler Daten, mit deren Kenntnis kriminelle Handlungen ermöglicht werden

Ausnahmen von der starken Kundenauthentifizierung

  • Zahlungen bis 30 € pro Transaktion

Dabei ist zu beachten, dass der kumulative Betrag von 100 € bzw. die Anzahl von 5 aufeinanderfolgenden Transaktionen nicht überschritten werden darf.

  • Bei vertrauenswürdigen Händlern (Whitelist)
  • Bei wiederkehrenden Zahlungen

Bei gleichem Betrag und gleichen Empfänger, wenn die erste Bezahlung mit Zwei-Faktor-Authentifizierung erfolgte.

Möchten Sie die Ausnahmen zur starken Kundenauthentifizierung nicht nutzen, können diese individuell für Sie verschärft werden. Eine Zwei-Faktor-Authentifizierung ist dann immer erforderlich.

Session-Timeout im OnlineBanking

Gem. PSD2 darf die maximale Zeitspanne ohne Aktivität im Online-Banking nicht mehr als fünf Minuten betragen. Erfolgt aber innerhalb des Textfeldes ein Tastaturanschlag oder ein Wechsel der verschiedenen Eingabefelder einer Überweisung, wird das Timeout hochgesetzt.

VR Banking App

Gerätebindung

Bei der Anmeldung in der VR Banking App kann die TAN-Eingabe als zweiter Faktor für eine starke Kundenauthentifizierung durch eine Gerätebindung ersetzt werden. Beim Start der App sehen Sie einen entsprechenden Hinweis und können die Gerätebindung direkt durchführen. Alternativ kann dies auch in den Einstellungen der VR Banking App erfolgen. Zur Herstellung der Gerätebindung muss einmalig eine TAN eingegeben werden. Bitte beachten Sie, dass pro VR-NetKey nur ein Gerät für die Gerätebindung registriert werden kann. In den Einstellungen können Sie über den Menüpunkt "Funktion zurücksetzen" die Gerätebindung aufheben. Sollten Sie die Gerätebindung nicht nutzen, wird beim Login zusätzlich eine TAN abgefragt. Auch findet dann zukünftig der Abruf der Umsätze nur noch für maximal 90 Tage statt. Haben Sie eine Gerätebindung hergestellt, ist der Abruf von Umsatzdaten bei zahlungsverkehrfähigen Konten weiterhin ohne Beschränkung möglich.

 

Kontorundruf

In den Einstellungen der VR Banking App können Sie den Kontorundruf konfigurieren. Dieser kann für jede Bankverbindung ein- und ausgeschaltet werden und steuert die automatische Aktualisierung der Daten nach der Anmeldung in der App.

Bereitstellung einer Schnittstelle für Drittdienstleister

Seit 11. September 2019 können Sie das OnlineBanking und die VR Banking App auch mittels sogenannten Drittdienstleistern nutzen. Ihre Einwilligung vorausgesetzt dürfen diese dann für Sie Transaktionen ausführen oder Kontoinformationen abrufen.

 

Zahlungsdienstleister (ZDL) oder Payment Information Service Provider (PISP):

Ein Zahlungsdienstleister beauftragt in Ihrem Namen Zahlungsaufträge, wie z.B. eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto.

 

Kontoinformationsdienstleister (KID) oder Account Information Service Provider (AISP):

Ein Kontoinformationsdienstleister ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie bei einer oder mehreren Banken bzw.  Zahlungsdienstleistern haben. Anhand Ihrer Kontodaten erhalten Sie einen Überblick  über Ihre aktuelle finanzielle Situation. Ein Kontoinformationsdienstleister darf bis zu viermal täglich Kontoinformationen (z.B. Salden, Umsätze) abrufen, ohne dass Sie nochmals aktiv zustimmen.

 

Kartenausgebende Zahlungsdienstleister oder Card Based Payment Instrument Issuer (CBPII):

Ein kartenausgebender Zahlungsdienstleister kann bei Kartenzahlung die Verfügbarkeit des Kaufbetrages anfragen.

 

Um den Überblick über die beauftragten Drittdienstleister zu behalten finden Sie im OnlineBanking eine Zugriffsverwaltung. So können Sie jederzeit kontrollieren, welche Drittanbieber Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Auch können in der Zugriffsverwaltung neue Berechtigungen erteilt oder bestehende Zugriffsberechtigungen wieder entzogen werden.