Erscheinung:05.05.2015 | Geschäftszeichen BA 57-K 3142-2013/0017 | Thema Governance Anschreiben zum Rundschreiben 4/2015 - Mindestanforderungen an die Sicherheit von Internetzahlungen
Mindestanforderungen an die Sicherheit von Internetzahlungen
Sehr geehrte Damen und Herren,
anbei übersende ich Ihnen das Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen, das wortgleich mit dem Inhalt der offiziellen deutschen Übersetzung der Guidelines on the security of internet payments der European Banking Authority (EBA) ist. Damit trage ich den Kritikpunkten aus den Stellungnahmen im Rahmen der Konsultation 02/2015 Rechnung.
Mit dem Rundschreiben wird die Zeit bis zum Inkrafttreten der PSD II (Payment Services Directive II - Zahlungsdiensterichtlinie II) überbrückt. Die BaFin ist aufgrund der gegenüber der EBA bestehenden Verpflichtung der Mitgliedstaaten und § 7b Abs. 1 S. 4 KWG gehalten, die Guidelines on the security of internet payments der EBA im Mai 2015 zu veröffentlichen.
Die Hintergründe für das neue Rundschreiben sind bereits im Anschreiben zur Konsultation vom 04.02.2015 ausführlich dargestellt worden. Es dient der Bekämpfung von Betrug im Zahlungsverkehr und soll das Vertrauen des Verbrauchers in Internetzahlungsdienste stärken. Es deckt wesentliche Aspekte der Sicherheit im Retail-Zahlungsverkehr ab, namentlich die Governance und das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internet-Zahlungsvorgängen. Geschützt werden sowohl die Datensicherheit als auch der Kunde.
Für die im Rundschreiben unter 3.2 geforderten Meldungen von schwerwiegenden Zahlungssicherheitsvorfällen bitte ich Sie - soweit die Aufsichtsbehörden betroffen sind – das Formular in Anlage I zu verwenden. Die Meldungen sind an die BaFin und die Deutsche Bundesbank zu senden. Nutzen Sie dafür die zentralen E-Mail-Adressen Zahlungssicherheitsvorfall-Meldung@bafin.de und Zahlungssicherheitsvorfall-Meldung@bundesbank.de. Ich empfehle ausdrücklich die Nutzung gesicherter E-Mail Kommunikation. Die Hinweise im Formular enthalten dazu weitere Informationen. Zukünftig wird das Meldeverfahren auf eine elektronische Einreichung umgestellt
Im Rundschreiben ist - in wortgleicher Umsetzung der Leitlinien - unter Titel I Nr. 12, 5. Spiegelstrich eine Begriffsbestimmung für den Begriff „Schwerwiegender Zahlungssicherheitsvorfall“ enthalten.
Ich empfehle, für die Meldungen aus Praktikabilitätsgründen von Nachfolgendem auszugehen:
Als schwerwiegend ist ein Zahlungssicherheitsvorfall dann zu betrachten, wenn die Verfügbarkeit, Integrität, Vertraulichkeit oder Authentizität von IT-Systemen, Anwendungen oder Daten mit einem hohen oder sehr hohen Schutzbedarf verletzt oder beeinträchtigt wird.
Als Beispiel für schwerwiegende Zahlungssicherheitsvorfälle sind insbesondere zu nennen:
Ausfälle oder Teilausfälle der nachgenannten bankfachlichen Prozesse über einen Zeitraum von mehr als 1 Stunde:
Bargeldversorgung
Jeglicher Zahlungsverkehr einschließlich Kartenzahlung
Online-Banking einschließlich Mobile-Banking
- Vorfälle, die zu einer Verletzung der Vertraulichkeit analog § 42a BDSG geführt haben;
- Vorfälle, die zu signifikanten Reputationsschäden führen können und
- Vorfälle, die vom Institut als Notfall gewertet werden und bei denen definierte Notfallmaßnahmen zum Einsatz kommen.
Weitere Informationen zum Meldetatbestand entnehmen Sie bitte der vorgenannten Anlage I.
Das Rundschreiben tritt mit Veröffentlichung in Kraft. Um den Instituten trotzdem ausreichende Umsetzungszeiträume einzuräumen, sind die Anforderungen inklusive der Meldungen erst binnen sechs Monaten ab Inkrafttreten umzusetzen. Die Institute müssen also bis zu diesem Tag mit Blick auf diese neuen Anforderungen nicht mit aufsichtlichen Sanktionen rechnen.
Mit freundlichen Grüßen
