Die BaFin hat den Entwurf eines Rundschreibens zu den Mindestanforderungen an die Sicherheit von Internetzahlungen veröffentlicht.
Die BaFin hat am 04.02.2015 den Entwurf eines Rundschreibens zu den Mindestanforderungen an die Sicherheit von Internetzahlungen veröffentlicht. Mit diesem Rundschreiben sollen der Betrug im Zahlungsverkehr bekämpft und das Vertrauen der Verbraucher in Internetzahlungsdienste gestärkt werden.
Umgesetzt werden mit diesem Rundschreiben die Empfehlungen des European Forum on the Security of Retail Payments (SecuRe Pay-Forum vom 01.02.2013) sowie eine Empfehlung des SecuRe Pay-Forums zur Umsetzung der Meldepflichten für kritische Sicherheitsvorfälle.
Mit dem Rundschreiben sollen wesentliche Aspekte der Sicherheit im Retail Zahlungsverkehr abgedeckt werden, insbesondere die Governance und das Risikomanagement sowie die Überwachung, Überprüfung und Dokumentation von Internetzahlungsvorgängen. Ebenso sollen die Datensicherheit und auch der Kunde selbst geschützt werden. Die zentralen Regelungsgegenstände des Rundschreibens sind die Einführung einer starken Kundenauthentifizierung, der Schutz sensibler Zahlungsdaten und die Verbesserung des Kundenschutzes.
Starke Kundenauthentifizierung
Eine starke Kundenauthentifizierung liegt dann vor, wenn der Kunde mindestens zwei Merkmale aus den folgenden drei Kategorien benutzt: Etwas, das nur der Kunde weiß (z.B. Passwort, PIN), besitzt (z.B. Smartcard, Gerät) oder der Kunde ist (biometrisches Merkmal). Zwei dieser Merkmale sind gegenseitig unabhängig und mindestens ein Merkmal kann nicht repliziert wiederverwendet oder über das Internet gestohlen werden.
Schutz sensibler Zahlungsdaten
Zu einer Verbesserung des Schutzes sensibler Zahlungsdaten sollen diese bei Speicherung, Verarbeitung und Übermittlung besonders geschützt werden. Darüber hinaus ist auch die Kunden-Web-Schnittstelle auf angemessene Weise gegen Diebstahl, unerlaubten Zugriff und Modifizierung zu schützen.
Verbesserung des Kundenschutzes
Zur Verbesserung des Kundenschutzes sind Kundenschulungen und Kommunikationsanforderungen, die Festlegung von Limits sowie die Schaffung des Kundezugangs zu Informationen über den Status der Zahlungsvorgänge vorgesehen.
Weitere Bestimmungen
Darüber seien kritische Sicherheitsvorfälle zu melden. Es sollen über die Empfehlungen des SecuRe Pay-Forums hinaus weitere Anforderungen anzuwenden sein, wenn ein Zahlungsdienstleister Zahlungen per Telefonbanking anbietet.
Umsetzungsfrist
Es ist vorgesehen, dass das Rundschreiben mit Veröffentlichung in Kraft tritt. Nach Inkrafttreten soll den Instituten jedoch ein Umsetzungszeitraum von sechs Monaten eingeräumt werden, in denen die Institute im Hinblick auf die neuen Anforderungen nicht mit aufsichtlichen Sanktionen rechnen müssen. Stellungnahmen zu dem BaFin-Rundschreiben sind bis zum 19.03.2015 möglich.
Kurze Übergangszeit verlangt schnelles Handeln
Das BaFin-Rundschreiben wird nach Ablauf der Konsultationsfrist voraussichtlich zeitnah veröffentlicht werden. Es liegt an den Instituten, sich aufgrund des relativ geringen Umsetzungszeitraumes von sechs Monaten zeitnah mit den neuen Anforderungen an die Sicherheit von Internetzahlungen vertraut zu machen und ihre Prozesse entsprechend anzupassen.
Zudem sollten Institute berücksichtigen, dass im Rahmen der neuen Zahlungsdiensterichtlinien (Payment Services Directive 2 = PSD 2) mit deren Verabschiedung in Kürze gerechnet wird, eine Anpassung der Regelungsinhalte des Rundschreibens sowie weitere Anforderungen im Hinblick auf die Sicherheit von Internetzahlungen auf die Institute zukommen können.
