BaFin

Konsultation 02/2015 - Mindestanforderungen an die Sicherheit von Internetzahlungen

Geschäftszeichen BA 57-K 3142-2013/0017Datum: 04.02.2015

Entwurf eines Rundschreibens zu den Mindestanforderungen an die Sicherheit von Internetzahlungen

Sehr geehrte Damen und Herren,

die BaFin beabsichtigt, das in der Anlage befindliche Rundschreiben zu erlassen.

Es betrifft Zahlungen im Internet, die von Kunden über Online-Banking ausgelöst werden können.

Grundlage des Rundschreibens sind die Empfehlungen des European Forum on the Security of Retail Payments (SecuRe Pay Forum) vom 01.02.2013, die in dem Rundschreiben deckungsgleich übernommen wurden. Grundlage ist ferner eine ergänzende Empfehlung des SecuRe Pay Forums zur Umsetzung der Meldepflichten für kritische Sicherheitsvorfälle.

Das Rundschreiben dient der Bekämpfung von Betrug im Zahlungsverkehr und soll das Vertrauen des Verbrauchers in Internetzahlungsdienste stärken. Es deckt wesentliche Aspekte der Sicherheit im Retail-Zahlungsverkehr ab, namentlich die Governance und das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internet-Zahlungsvorgängen. Geschützt werden sowohl die Datensicherheit als auch der Kunde.

Zentrale Regelungsgegenstände sind die Einführung einer starken Kundenauthentifizierung, der Schutz sensibler Zahlungsdaten und die Verbesserung des Kundenschutzes.

Bei einer starken Kundenauthentifizierung benutzt der Kunde mindestens zwei Merkmale aus den folgenden drei Kategorien: Etwas, das nur der Kunde weiß (z. B. Passwort, PIN), der Kunde besitzt (z. B. Smart Card, Gerät) oder der Kunde ist (biometrisches Merkmal). Die zwei Merkmale sind gegenseitig unabhängig. Mindestens ein Merkmal kann nicht repliziert, wiederverwendet oder über das Internet gestohlen werden.

Der Schutz sensibler Zahlungsdaten umfasst u. a., dass diese bei Speicherung, Verarbeitung und Übermittlung zu schützen sind. Neben den sensiblen Zahlungsdaten ist auch die Kunden-Web-Schnittstelle auf angemessene Weise gegen Diebstahl, unerlaubten Zugriff und Modifizierung zu schützen.

Die Verbesserung des Kundenschutzes erfolgt auch durch Kundenschulung und Kommunikation, die Festlegung von Limiten sowie den Kundenzugang zu Informationen über den Status der Zahlungsvorgänge.

Das Rundschreiben sieht des Weiteren die Meldung von kritischen Sicherheitsvorfällen vor.

Der Rundschreiben-Entwurf geht in einem Aspekt über die Empfehlungen des SecuRe Pay Forum hinaus, in dem die im Rundschreiben festgelegten Anforderungen entsprechend anzuwenden sind, wenn ein Zahlungsdienstleister Zahlungen per Telefonbanking anbietet. Die Empfehlungen gehen von einer Situation aus, in der die telefonische Zahlungsanweisung akzeptiert wird, weil der Kunde persönlich bekannt ist. Das Rundschreiben dagegen geht von Zahlungen per Telefonbanking aus, bei denen sich der Kunde persönlich identifizieren muss.

Die entsprechende Einhaltung der Anforderungen des Rundschreibens bei Zahlungen per Telefonbanking bedingt die Durchführung und Dokumentation einer Risikoanalyse seitens des Zahlungsdienstleisters zur Vergleichbarkeit (Umfang, Komplexität, Risikogehalt etc.) der Zahlungen per Telefonbanking mit Internetzahlungen. Je nach Vergleichbarkeit sind sodann die Anforderungen des Rundschreibens entsprechend anzuwenden.

Auf die am 19.12.2014 veröffentlichten Guidelines on the security of internet payments der EBA weise ich ergänzend hin.

Es besteht inhaltliche Übereinstimmung mit dem o. g. Rundschreiben-Entwurf; in einem Punkt geht das Rundschreiben über die Guidelines hinaus. Dies betrifft die Anforderung, dass Zahlungsdienstleister (payment services providers) gewährleisten müssen, die Kunden über ihre eigene Verantwortung bezüglich des sicheren Gebrauchs des jeweiligen Zahlungsdienstes ausreichend informiert zu haben. Diese Anforderung ist in den Guidelines lediglich als best practice (BP5) aufgeführt.

Der im Februar 2014 erschienene Assessment guide for the security of internet payments der EZB richtet sich an die Aufseher. Neue Anforderungen wurden durch diesen Leitfaden nicht aufgestellt.

Ich möchte darauf hinweisen, dass die Arbeiten an der PSD 2 (Payment Services Directive - Zahlungsdiensterichtlinie) noch nicht abgeschlossen sind. Insoweit kann es sein, dass die Regelungsinhalte des Rundschreibens nach Veröffentlichung der PSD 2 noch an diese angepasst werden müssen.

Der Erfüllungsaufwand zu dem Rundschreiben stellt sich wie folgt dar:

Für die Bürgerinnen und Bürger fällt kein Erfüllungsaufwand an.

Für die Wirtschaft entsteht durch 41 neue Vorgaben zusätzlicher Erfüllungsaufwand im engeren Sinne von ca. 20,3 Mio. EUR, davon ca. 19,9 Mio. EUR als laufender Erfüllungsaufwand (39 Vorgaben) und ca. 400.000 EUR als Einmalaufwand (2 Vorgaben). Hinzu kommen Bürokratiekosten aus laufenden Informationspflichten in Höhe von ca. 630.000 EUR.

Für die Verwaltung ergibt sich aufgrund des Rundschreibens kein Erfüllungsaufwand.

Das Rundschreiben wird mit Veröffentlichung in Kraft treten. Um den Instituten trotzdem ausreichende Umsetzungszeiträume einzuräumen, sind die Anforderungen erst binnen sechs Monaten ab Inkrafttreten umzusetzen. Die Institute müssen also bis zu diesem Tag mit Blick auf diese neuen Anforderungen nicht mit aufsichtlichen Sanktionen rechnen.

Ich bitte Sie hiermit, der BaFin schriftliche Stellungnahmen zum Entwurf postalisch oder via E-Mail (Konsultation-02-15@bafin.de) zukommen zu lassen. Die v. g. Stellungnahmen sind bis zum 19.03.2015 möglich.

Es ist vorgesehen, Stellungnahmen zum Entwurf auf der Homepage der BaFin zu veröffentlichen, soweit die Verfasser der Stellungnahmen dagegen oder gegen die Weitergabe an Dritte keine Einwände erheben.

Mit freundlichen Grüßen

Im Auftrag

Zusatzinformationen

Anlagen

Stellungnahmen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback