PSD2 ab 11.09.2019

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Zum 11. September 2019 werden die neuen gesetzlichen Bestimmungen gem. der zweiten Zahlungsdiensterichtlinie (PSD2) und der Delegierten Verordnung zur starken Kundenauthentifizierung wirksam.

Die neuen Richtlinien im Zahlungsverkehr sollen die Rechte der Verbraucher noch mehr stärken und schützen, indem die Auslösung und Verarbeitung elektronischer Zahlungen mit strengen Sicherheitsanforderungen verbunden ist.

Wesentliche Änderungen

Online-Banking

Starke Kundenauthentifizierung

Mit PSD2 werden die Anforderungen an eine starke Kundenauthentifizierung erhöht. Eine starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei voneinander unabhängigen Faktoren legitimieren, also Ihre Identität beweisen, müssen. Hierbei müssen Authentifizierungselemente aus den folgenden Kategorien eingesetzt werden:

  • Wissen, z.B. Ihre PIN
  • Besitz, z.B. Ihre girocard (Debitkarte) mit TAN-Generator oder Ihr Smartphone
  • Inhärenz, z.B. Ihr Fingerabdruck

Wann muss eine starke Kundenauthentifizierung erfolgen?

  • Beim Zugang zum Online-Banking (Login)

Ab 11. September 2019 ist bei der Anmeldung im Online-Banking mindestens alle 90 Tage eine TAN erforderlich. Das bedeutet, dass neben dem VR-NetKey bzw. Alias und der PIN auch eine TAN eingegeben werden muss.

  • Beim Aufruf von Umsatzinformationen, die älter als 90 Kalendertage sind

Werden nach dem Login Umsatzinformationen, die älter als 90 Kalendertage sind abgerufen, ist eine weitere TAN notwendig. Dabei spielt es keine Rolle, ob beim Login bereits eine TAN eingegeben wurde.

  • Bei der Zahlungsauslösung

Bei der Auslösung von Zahlungen muss eine TAN eingegeben werden.

  • Bei der Anzeige sensibler Daten, mit deren Kenntnis kriminelle Handlungen ermöglicht werden
  • Finanzmanager

Beim Aufruf des Finanzmanagers ist grundsätzlich eine TAN erforderlich. Danach können Sie auch weiter als 90 Tage zurückliegende Umsatzinformationen abrufen.

Session-Timeout nach fünf Minuten Inaktivität

Gem. PSD2 darf die maximale Zeitspanne ohne Aktivität im Online-Banking nicht mehr als fünf Minuten betragen. Bitte beachten Sie, dass zur Verlängerung der Session eine Mausbewegung o.ä. nicht ausreicht. Um die Session zu verlängern, muss eine Aktion durchgeführt werden, die den Online-Banking-Server zu einer Reaktion auffordert, z.B. der Abruf von Umsatzdaten, der Aufruf der TAN-Verwaltung/Zugriffsverwaltung, usw.

VR-BankingApp

Mit der neuen Version 19.15, welche voraussichtlich im August 2019 ausgebracht wird, wird die VR-BankingApp PSD2-fähig sein. Grundsätzlich gelten in der VR-BankingApp die gleichen Bestimmungen zu PSD2 wie im Online-Banking, es gibt allerdings einige Besonderheiten:

 

Gerätebindung

Bei der Anmeldung in der VR-BankingApp kann die TAN-Eingabe als zweiter Faktor für eine starke Kundenauthentifizierung durch eine Gerätebindung ersetzt werden. Mit dem Update auf Version 19.15 sehen Sie beim Start der App einen entsprechenden Hinweis und können die Gerätebindung direkt durchführen. Alternativ kann dies auch in den Einstellungen der VR-BankingApp erfolgen. Zur Herstellung der Gerätebindung muss  einmalig eine TAN eingegeben werden. Bei Verwendung von mobileTAN erhalten Sie einen Code per SMS. Sofern Sie Kwitt und/oder VR-mobileCash nutzen, ist die Gerätebindung bereits erfolgt. In diesem Fall müssen Sie nichts weiter unternehmen. Bitte beachten Sie, dass pro VR-NetKey nur ein Gerät für die Gerätebindung registriert werden kann. In den Einstellungen können Sie über den Menüpunkt "Funktion zurücksetzen" die Gerätebindung aufheben. Sollten Sie die Gerätebindung nicht nutzen, wird beim Login zusätzlich eine TAN abgefragt. Auch findet dann zukünftig der Abruf der Umsätze nur noch für maximal 90 Tage statt. Haben Sie eine Gerätebindung hergestellt, ist der Abruf von Umsatzdaten bei zahlungsverkehrfähigen Konten weiterhin ohne Beschränkung möglich.

 

Finanzmanager

Ab 11. September 2019 wird Ihnen der Finanzmanager in der VR-BankingApp nicht mehr  zur Verfügung stehen. Im Finanzmanager werden die Umsätze immer 15 Monate rückwirkend angezeigt und folglich müsste bei jedem Aufruf eine TAN abgefragt werden. Dies ist für Smartphone-User nicht praktikabel, weshalb die Funktion aus der VR-BankingApp entfernt wurde. Im Online-Banking ist der Zugriff auf den Finanzmanager weiterhin möglich.    

             

Kontorundruf

In den Einstellungen der VR-BankingApp können Sie den Kontorundruf konfigurieren. Dieser kann für jede Bankverbindung ein- und ausgeschaltet werden und steuert die automatische Aktualisierung der Daten nach der Anmeldung in der App.

Bereitstellung einer Schnittstelle für Drittdienstleister

Ab 11. September 2019 können Sie das Online-Banking und die VR-BankingApp auch mittels sogenannten Drittdienstleistern nutzen. Ihre Einwilligung vorausgesetzt dürfen diese dann für Sie Transaktionen ausführen oder Kontoinformationen abrufen.

 

Zahlungsdienstleister (ZDL) oder Payment Information Service Provider (PISP):

Ein Zahlungsdienstleister beauftragt in Ihrem Namen Zahlungsaufträge, wie z.B. eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto.

 

Kontoinformationsdienstleister (KID) oder Account Information Service Provider (AISP):

Ein Kontoinformationsdienstleister ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie bei einer oder mehreren Banken bzw.  Zahlungsdienstleistern haben. Anhand Ihrer Kontodaten erhalten Sie einen Überblick  über Ihre aktuelle finanzielle Situation. Ein Kontoinformationsdienstleister darf bis zu viermal täglich Kontoinformationen (z.B. Salden, Umsätze) abrufen, ohne dass Sie nochmals aktiv zustimmen.

 

Kartenausgebende Zahlungsdienstleister oder Card Based Payment Instrument Issuer (CBPII):

Ein kartenausgebender Zahlungsdienstleister kann bei Kartenzahlung die Verfügbarkeit des Kaufbetrages anfragen.

 

Um den Überblick über die beauftragten Drittdienstleister zu behalten finden Sie im Online-Banking eine Zugriffsverwaltung:

  • Banking
    • Service
      • Konten und Verträge
        • Zugriffsverwaltung

Über die Kontoauswahl bestimmen Sie, für welches Zahlungskonto Informationen angezeigt werden sollen. Sind zu dem Konto keine Berechtigungen erteilt worden, ist die Maske bis auf die Schaltfläche "Neue Berechtigung erteilen" leer. Im Bereich unterhalb der Kontoauswahl sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Über das "+" werden weitere Informationen angezeigt. Neben der Anzeige, wann die Berechtigung erteilt wurde, gibt es noch zwei weitere Buttons:

Verfügbarkeitsanfragen anzeigen:

Hier sehen Sie, wann welcher Betrag angefragt wurde und ob die Transaktion durchgeführt wurde.

Berechtigung sperren:

Bevor Sie eine Berechtigung entziehen (sperren) können, erscheint noch eine  Sicherheitsabfrage. Bei Betätigung des Buttons "Berechtigung sperren" wird die Berechtigung entzogen. Anfragen von Drittdienstleistern werden nicht mehr beantwortet.

 

Anlage einer Berechtigung

Um eine Berechtigung für einen Drittdienstleister anzulegen, müssen Sie in die Tabelle die geforderten Daten eingeben und auf "Weiter" mit der TAN-Eingabe bestätigen. Die Berechtigung zur Kontoauskunft wird nach Bestätigung von Ihnen mit einer starken Kundenauthentifizierung hinterlegt. Die Dauer der Gültigkeit beträgt in der Regel 90 Tage.