NDGIT NextGenPSD2 Departure

Welche Bedeutung hat diese Aktualisierung der PSD2-Richtlinie?

Am 08. Februar 2018 hat die Berlin Group die aktualisierten Spezifikationen zur Ausgestaltung der PSD2-Richtlinie veröffentlicht. Grundlage dieses Dokuments sind sowohl der aktuellste EBA-RTS als auch die Ergebnisse der Ende 2017 durchgeführten Marktkonsultationen zur Vorgängerversion (0.99) des Frameworks.

In diesem Artikel wollen wir Euch kurz die für uns relevantesten Veränderungen und ihre Auswirkungen aufzeigen:

Neue optionale Endpunkte der API
Für Zahlungsauslösedienste war bisher nur der Endpunkt für Single Payments definiert. Neue Use Cases sind nun Daueraufträge, Sammelaufträge und Terminüberweisungen.
Für Kontoinformationsdienste wird zusätzlich zu den bereits bekannten Services nun auch eine neue Funktion unterstützt, welche dem TPP detaillierte Informationen aller Accounts eines Payment Service Users (PSU) wiedergibt.

Zusätzlicher SCA Approach mit OAuth2
Die überarbeitete Spezifikation definiert nun zwei Wege, OAuth2 als Unterstützung für das Consent Management des PSUs gegenüber dem TPP zu nutzen.
Bereits bekannt war OAuth2 als Pre-Step. Hierbei wird die Authentifizierung des Kunden vor der Transaktion in einen Access Token übersetzt, der dann an der XS2A Schnittstelle genutzt werden kann, ohne den Kunden zum Authentifizierungsserver weiterzuleiten zu müssen.
Neu ist nun die Integration von OAuth2 als OAuth2 SCA Approach zur Autorisierung von Zahlungsauslösungen. Anders als bei der ersten Option, wird der PSU hierbei während der Transaktion auf den Authentifizierungs-Server der Bank weitergeleitet. Nach erfolgreicher Autorisierung durch den PSU können so Zahlungen automatisiert ausgelöst bzw. automatisiert auf den Account Endpunkt zugegriffen werden.

Berücksichtigung von Multiwährungskonten
Bis jetzt konnten Kontoinformationsdienste nur mit regulären Accounts kommunizieren. Multiwährungskonten werden nun erstmals in der Spezifikation berücksichtigt. Darunter versteht man eine Kollektion verschiedener Sub-Accounts, welche alle über die gleiche Kontokennung (z.B. IBAN) erreicht werden. Sub-Accounts sind dabei eigene Accounts, welche sich in ihrer Währung unterscheiden.

Integration digitaler TPP Signaturen
Bekannt war bereits, dass Banken von TPPs die Verwendung qualifizierter Siegelzertifikate basierend auf eIDAS Standards fordern können. Diese können für das Signieren von Nachrichten im Application Layer seitens des TPP verwendet werden und bieten Banken eine zusätzliche Sicherheit. Neu sind die genauen Anforderungen an die Integration der Signaturen in API Calls sowie der Verweis auf ein neues ETSI-Dokument (TS 119 495) welches aktuell schon als Draft zur Verfügung steht. Dieses beinhaltet eine Konkretisierung an qualifizierte Zertifikate für die PSD2.

Individuelle Erweiterungen der API Felder
Banken können sowohl weitere Datenattribute in Response Messages hinzuzufügen, als auch die Zusendung von für TPPs optionalen Datenattributen ermöglichen und so beispielsweise zusätzliche oder erweiterte Services einrichten. Dies ermöglicht den Banken eine höhere Flexibilität in der Kommunikation über das XS2A Interface. Banken sollen vor der Umsetzung erweiterter Datenelemente die Beschreibung der neuen Attribute mit der Berlin Group abstimmen, um auch weiterhin einen harmonisierten Standard sicherzustellen.

Die weiteren Schritte:

Im März 2018 wird das vorliegende Dokument durch eine technische Spezifikation zu OpenAPI, einem detaillierten FAQ Dokument und gelösten/umgesetzten Feedback Konsultationen erweitert werden. Im Sommer wird dann voraussichtlich eine überarbeitete Version (V1.1) des Frameworks erstellt und veröffentlicht.

Bis dahin bleiben weiterhin Fragen offen, wie beispielsweise die Möglichkeit zur Initiierung von API Calls seitens der Bank. Diese werden in den aktuellen Guidelines ausschließlich seitens der TPPs gestartet. Es ist allerdings geplant, das aktuell noch reine Client-Server Protocol zu einem Server-Server Protokoll zu erweitern, in dem auch Banken API Calls initiieren können.

Die Version 1.0 des XS2A Frameworks ist eine solide Grundlage für Banken, mit der Umsetzung der PSD2 zu beginnen. Standard Anbieter von PSD2 Software – wie NDGIT – werden sie nutzen, um PSD2- und Open Banking Produkte effizient zu implementieren.