Erscheinung:05.05.2015, Stand:geändert am 04.11.2021 | Geschäftszeichen BA 57-K 3142-2013/0017 | Thema Compliance Rundschreiben 4/2015 (BA) - Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSI)
Inhalt
An alle Zahlungsdienstleister in der Bundesrepublik Deutschland
Das Rundschreiben 4/2015 (BA) wurde am 04.11.2021 aufgehoben
Wichtige Hinweise:Gefälschte E-Mails
Das Rundschreiben steht in keinerlei Zusammenhang zu E-Mails, die dazu auffordern, ein angeblich neues „SecureTanV3 Verfahren“ zu nutzen.
Vorbemerkung
Dieses Dokument setzt die offizielle Übersetzung der Guidelines on the security of internet payments der European Banking Authority (EBA) - die Leitlinien zur Sicherheit von Internetzahlungen (nachfolgend „EBA-Leitlinien“) - wortgleich als Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen1 um (nachfolgend „Rundschreiben“).
Titel I – Anwendungsbereich und Begriffsbestimmungen
Anwendungsbereich
1. Dieses Rundschreiben legt eine Reihe von Mindestanforderungen im Bereich der Sicherheit von Internetzahlungen fest. Die EBA-Leitlinien basieren auf den Vorschriften der Richtlinie 2007/64/EG2 („Zahlungsdiensterichtlinie“, „PSD“) über die Informationspflichten für Zahlungsdienste sowie die Pflichten von Zahlungsdienstleistern bei der Erbringung von Zahlungsdiensten. Überdies schreibt Artikel 10 Absatz 4 der PSD vor, dass Zahlungsinstitute über eine solide Unternehmenssteuerung sowie angemessene interne Kontrollmechanismen verfügen müssen.
2. Dieses Rundschreiben gilt für die Erbringung von über das Internet angebotenen Zahlungsdiensten durch Zahlungsdienstleister, die in Artikel 1 der PSD definiert sind.
3. Die EBA-Leitlinien richten sich an Finanzinstitute im Sinne des Artikels 4 Absatz 1 der Verordnung (EU) Nr. 1093/2010 sowie an die zuständigen Behörden im Sinne des Artikels 4 Absatz 2 der Verordnung (EU) Nr. 1093/2010. Die zuständigen Behörden in den 28 Mitgliedstaaten der Europäischen Union sollten sicherstellen, dass die in Artikel 1 der PSD definierten Zahlungsdienstleister unter ihrer Aufsicht die EBA-Leitlinien anwenden.
4. Außerdem können die zuständigen Behörden beschließen, Zahlungsdienstleister aufzufordern, ihre Einhaltung der EBA-Leitlinien gegenüber der zuständigen Behörde anzuzeigen.
5. Die Gültigkeit der „Recommendations for the security of internet payments“ der Europäischen Zentralbank (nachfolgend „der Bericht“3) bleibt von den EBA-Leitlinien unberührt. Insbesondere stellt der Bericht weiterhin das Dokument dar, gegen welches Zentralbanken in ihrer Aufsichtsfunktion für Zahlungssysteme und -instrumente die Einhaltung der Vorschriften bezüglich der Sicherheit von Internetzahlungen prüfen sollten.
6. Dieses Rundschreiben stellt Mindesterwartungen dar. Es lässt die Verantwortung der Zahlungsdienstleister unberührt, die mit ihren Zahlungsvorgängen verbundenen Risiken zu überwachen und einzuschätzen, ihre eigenen ausführlichen Sicherheitsrichtlinien zu erarbeiten und angemessene Sicherheits-, Notfall- und Vorfallmanagementmaßnahmen sowie Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs umzusetzen, welche für die den erbrachten Zahlungsdiensten innewohnenden Risiken angemessen sind.
7. Zweck dieses Rundschreibens ist die Definition von gemeinsamen Mindestanforderungen für die unten aufgeführten Internetzahlungsdienste, unabhängig vom verwendeten Zugangsgerät:
- [Karten] die Ausführung von Kartenzahlungen im Internet einschließlich virtueller Kartenzahlungen, sowie die Registrierung von Kartenzahlungsdaten zur Nutzung in „elektronischen Geldbörsen“,
- [Überweisungen] die Durchführung von Überweisungen im Internet,
- [elektronische Einzugsermächtigung] die Erteilung und Änderung elektronischer Einzugsermächtigungen,
- [E-Geld] die Übertragung von elektronischem Geld zwischen zwei E-Geld-Konten über das Internet.
8. Gibt das Rundschreiben ein Ergebnis vor, kann dieses durch verschiedene Mittel erreicht werden. Neben den im Folgenden angeführten Anforderungen gibt dieses Rundschreiben auch Beispiele für bewährte Vorgehensweisen (im Anhang 1), zu deren Befolgung Zahlungsdienstleister angehalten, jedoch nicht verpflichtet werden.
9. Wird die Bereitstellung von Zahlungsdiensten und -instrumenten über ein Zahlungssystem (z. B. Kartenzahlungssysteme, Überweisungsverfahren, Lastschriftverfahren usw.) angeboten, sollten die zuständigen Behörden und die betreffende Zentralbank mit Aufsichtsfunktion über Zahlungsinstrumente in Zusammenarbeit sicherstellen, dass das Rundschreiben von den Akteuren, die für das Funktionieren des Systems bzw. Verfahrens zuständig sind, einheitlich angewandt werden.
10. Anbieter von Integrationslösungen für Bezahlseiten4, die Zahlungsauslösedienste anbieten, gelten entweder als Internetzahlungsdienste abrechnende Stellen (und somit als Zahlungsdienstleister) oder als externe technische Dienstleister der betreffenden Systeme bzw. Verfahren oder Zahlungsdienstleister. Im letzteren Fall sollten die Anbieter der Integrationslösungen vertraglich zur Einhaltung des Rundschreibens verpflichtet werden.
11. Vom Anwendungsbereich des Rundschreibens ausgeschlossen sind:
- sonstige durch einen Zahlungsdienstleister über seine Zahlungsseite erbrachten Internetdienste (z. B. Online-Brokerage, Online-Verträge),
- Zahlungen, die per Post, über telefonische Bestellung, Voicemail oder mittels SMS-basierter Technologie angewiesen werden,
- mobile Zahlungen mit Ausnahme von browserbasierten Zahlungen,
- Überweisungen, bei denen ein Dritter auf das Zahlungskonto des Kunden zugreift,
- Zahlungsvorgänge, die durch ein Unternehmen über dedizierte Netzwerke vorgenommen werden,
- Kartenzahlungen mittels anonymer und nicht aufladbarer physischer oder virtueller Karten auf Guthabenbasis, bei denen keine dauerhafte Beziehung zwischen dem Aussteller und dem Karteninhaber besteht,
- Clearing und Verrechnung von Zahlungsvorgängen.
Begriffsbestimmungen
12. Im Sinne dieses Rundschreibens und zusätzlich zu den in der PSD dargelegten Definitionen gelten die folgenden Begriffsbestimmungen:
- Authentifizierung bezeichnet ein Verfahren, das dem Zahlungsdienstleister die Überprüfung der Identität eines Kunden ermöglicht.
- Starke Kundenauthentifizierung ist im Sinne dieses Rundschreibens ein Verfahren, das auf der Verwendung zweier oder mehrerer der folgenden Elemente basiert, die als Wissen, Besitz und Inhärenz kategorisiert werden: i) etwas, das nur der Nutzer weiß, z. B. ein statisches Passwort, ein Code, eine persönliche Identifikationsnummer, ii) etwas, das nur der Nutzer besitzt, z. B. ein Token, eine Smartcard, ein Mobiltelefon, iii) eine Eigenschaft des Nutzers, z. B. ein biometrisches Charakteristikum, etwa ein Fingerabdruck. Außerdem müssen die gewählten Elemente unabhängig voneinander sein, d. h. die Verletzung eines Elements darf keinen Einfluss auf das andere bzw. die anderen haben. Mindestens eines der Elemente sollte nicht wiederverwendbar und nicht reproduzierbar (die Inhärenz ausgenommen) sein und nicht heimlich über das Internet entwendet werden können. Das starke Authentifizierungsverfahren sollte so gestaltet sein, dass die Vertraulichkeit der Authentifizierungsdaten gewahrt bleibt.
- Autorisierung bezeichnet ein Verfahren, das prüft, ob ein Kunde oder Zahlungsdienstleister zur Durchführung einer bestimmten Handlung berechtigt ist, z. B. zum Transfer von Geldbeträgen oder für den Zugriff auf sensible Daten.
- Berechtigungsnachweis bezeichnet die Informationen – im Allgemeinen vertraulicher Natur – die zu Authentifzierungszwecken von einem Kunden oder einem Zahlungsdienstleister bereitgestellt werden. Ein Berechtigungsnachweis kann auch den Besitz eines physischen Hilfsmittels bedeuten, welches diese Informationen enthält (z. B. Einmalpasswort-Generatoren, Smartcards), oder etwas, das der Nutzer sich merkt oder das eine Eigenschaft des Nutzers darstellt (z. B. biometrische Charakteristika).
- Schwerwiegender Zahlungssicherheitsvorfall bezeichnet einen Vorfall, der wesentliche Auswirkungen auf die Sicherheit, Integrität oder Kontinuität der Zahlungssysteme des Zahlungsdienstleisters und/oder die Sicherheit sensibler Zahlungsdaten oder -mittel hat oder haben könnte. Bei der Beurteilung der Wesentlichkeit sollte die Anzahl der potenziell betroffenen Kunden, der Risikobetrag und die Folgen für andere Zahlungsdienstleister oder sonstige Zahlungsinfrastrukturen berücksichtigt werden.
- Transaktionsrisikoanalyse bezeichnet die Bewertung des mit einer bestimmten Transaktion verbundenen Risikos unter Berücksichtigung von Kriterien wie zum Beispiel Zahlungsmuster (Verhalten) des Kunden, den Wert der betreffenden Transaktion, die Art des Produkts und das Profil des Zahlungsempfängers.
- Virtuelle Karten bezeichnet ein kartenbasiertes Zahlungsverfahren, bei dem eine alternative vorübergehende Kartennummer mit reduzierter Geltungsdauer, begrenzter Nutzung und einer vorab festgelegten Ausgabenobergrenze generiert wird, die für Internetkäufe eingesetzt werden kann.
- Elektronische Geldbörsen bezeichnet Verfahren, die es einem Kunden ermöglichen, Daten in Verbindung zu einem oder mehreren Zahlungsinstrumenten zu registrieren, um Zahlungen an verschiedene E-Händler auszuführen.
Titel II – Rundschreiben zu den Mindestanforderungen an die Sicherheit von Internetzahlungen
Allgemeines Kontroll- und Sicherheitsumfeld
Governance
1. Zahlungsdienstleister sollten formelle Sicherheitsrichtlinien für Internetzahlungsdienste umsetzen und diese regelmäßig überprüfen.
Risikobewertung
2. Zahlungsdienstleister sollten gründliche Risikobewertungen in Bezug auf die Sicherheit von Internetzahlungen und damit verbundene Dienste durchführen und dokumentieren, sowohl vor Einrichtung dieses Dienstes bzw. dieser Dienste als auch in regelmäßigen Abständen danach.
Vorfallüberwachung und Berichterstattung
3. Zahlungsdienstleister sollten eine einheitliche und integrierte Überwachung, Bearbeitung und Nachbereitung von Sicherheitsvorfällen, einschließlich sicherheitsbezogener Kundenbeschwerden, sicherstellen. Zahlungsdienstleister sollten ein Verfahren zur Meldung solcher Vorfälle an die Geschäftsleistung und – bei schwerwiegenden Zahlungssicherheitsvorfällen – an die zuständigen Behörden einrichten.
Risikokontrolle und -minderung
4. Im Einklang mit ihren jeweiligen Sicherheitsrichtlinien sollten Zahlungsdienstleister Sicherheitsmaßnahmen zur Minderung festgestellter Risiken ergreifen. Diese Maßnahmen sollten mehrere Sicherheitsebenen umfassen, so dass das Versagen einer Sicherheitsebene durch die nächste Sicherheitsebene aufgefangen wird („gestaffeltes Sicherheitskonzept“).
4.4 Bei der Gestaltung8, Entwicklung und Bereitstellung von Internetzahlungsdiensten sollten Zahlungsdienstleister sicherstellen, dass die Datenminimierung9 einen wesentlichen Bestandteil der Kernfunktionalität bildet: Die Erfassung, Weiterleitung, Verarbeitung, Speicherung und/oder Archivierung sowie die Visualisierung sensibler Zahlungsdaten sollte auf ein absolutes Mindestmaß beschränkt werden.
Rückverfolgbarkeit
5. Zahlungsdienstleister sollten über Verfahren verfügen, die sicherstellen, dass sämtliche Transaktionen sowie der Prozessablauf elektronischer Einzugsermächtigungen angemessen zurückverfolgt werden.
Spezifische Kontroll- und Sicherheitsmaßnahmen für Internetzahlungen
Erstidentifikation des Kunden, Information
6. Kunden sollten im Einklang mit den europäischen Geldwäsche-Gesetzen10 ordnungsgemäß identifiziert werden und ihre Bereitschaft bestätigen, die Dienste für Internetzahlungen zu verwenden, bevor ihnen Zugang zu diesen Diensten gewährt wird. Zahlungsdienstleister sollten Kunden in angemessener Weise regelmäßig, vorab und gegebenenfalls kurzfristig über die Voraussetzungen (z. B. Geräte, Verfahren) für die Durchführung sicherer Internetzahlungsvorgänge und die damit verbundenen Risiken informieren.
- die Verfahren, die im Fall des Verlusts oder des Diebstahls des personalisierten Sicherheits-Berechtigungsnachweises oder der Kundenhardware oder -software zur Anmeldung oder zur Durchführung von Transaktionen einzuhalten sind,
- die Verfahren, die bei Entdeckung und Verdacht von Missbrauch einzuhalten sind,
- eine Beschreibung der jeweiligen Zuständigkeiten und Haftungen des Zahlungsdienstleisters und des Kunden hinsichtlich der Nutzung des Internetzahlungsdienstes.
Starke Kundenauthentifizierung
7. Die Auslösung von Internetzahlungen und der Zugang zu sensiblen Zahlungsdaten sollten durch eine starke Kundenauthentifizierung geschützt sein. Zahlungsdienstleister sollten über ein Verfahren für die in dem vorliegenden Rundschreiben definierte starke Kundenauthentifizierung verfügen.
- Zahlungsausgänge zugunsten vertrauenswürdiger Begünstigter, die auf für diesen Kunden im Voraus erstellten weißen Listen verzeichnet sind,
- Transaktionen zwischen zwei Konten desselben Kunden bei demselben Zahlungsdienstleister,
- Transfers innerhalb desselben Zahlungsdienstleisters, die durch eine Transaktionsrisikoanalyse gerechtfertigt werden,
- die in der PSD erwähnten Kleinbetragszahlungen.15
Anmeldung bei Authentifizierungstools und deren Bereitstellung und/oder an den Kunden gelieferte Software
8. Zahlungsdienstleister sollten sicherstellen, dass die Kundenanmeldung bei Authentifizierungstools, die zur Nutzung der Internetzahlungsdienste erforderlich sind, sowie deren Erstbereitstellung und/oder die Lieferung von Zahlungssoftware an Kunden auf eine sichere Weise durchgeführt wird.
- Die damit zusammenhängenden Verfahren sollten in einer sicheren und vertrauenswürdigen Umgebung unter Berücksichtigung möglicher Risiken durchgeführt werden, die von Geräten außerhalb der Kontrolle des Zahlungsdienstleisters ausgehen.
- Für die Lieferung des personalisierten Sicherheits-Berechtigungsnachweises, der Zahlungssoftware und aller personalisierten, für Internetzahlungen relevanten Geräte sollten wirksame und sichere Verfahren eingerichtet sein. Über das Internet gelieferte Software sollte außerdem durch den Zahlungsdienstleister digital signiert werden, um den Kunden die Überprüfung ihrer Authentizität und Unversehrtheit zu ermöglichen.
- [Karten] Bei Kartentransaktionen sollte der Kunde die Option haben, sich unabhängig von einem bestimmten Internetkauf für eine starke Authentifizierung zu registrieren. Wird eine Aktivierung während des Online-Einkaufs angeboten, sollte der Kunde hierfür in eine sichere und vertrauenswürdige Umgebung weitergeleitet werden.
- [Karten] Aussteller sollten Karteninhaber aktiv zu einer Anmeldung für die starke Authentifizierung ermutigen und ihren Karteninhabern nur in Ausnahmefällen und bei einer begrenzten Anzahl von Fällen gestatten, die Anmeldung zu umgehen, wenn das mit dieser bestimmten Kartentransaktion verbundene Risiko dies rechtfertigt.
Anmeldeversuche, Sitzungs-Timeout, Gültigkeit von Authentifizierungen
9. Zahlungsdienstleister sollten die Anzahl der Anmelde- oder Authentifizierungsversuche begrenzen, Regeln für das Sitzungs-Timeout bei Internetzahlungsdiensten festlegen und die Gültigkeit von Authentifizierungen zeitlich befristen.
Transaktionsüberwachung
10. Vor der endgültigen Autorisierung durch den Zahlungsdienstleister sollten Transaktionsüberwachungsmechanismen mit dem Ziel der Verhinderung, Erkennung und Sperrung betrügerischer Zahlungsvorgänge ausgeführt werden. Verdächtige Transaktionen oder solche mit hohem Risiko sollten einem Prüfungs- und Bewertungsprozess unterzogen werden. Entsprechende Mechanismen zur Sicherheitsüberwachung und Autorisierung sollten auch für die Erteilung elektronischer Einzugsermächtigungen eingerichtet sein.
Schutz sensibler Zahlungsdaten
11. Sensible Zahlungsdaten sollten bei ihrer Speicherung, Verarbeitung und Übermittlung geschützt werden.
Kundenaufklärung, -information und -kommunikation
Kundeninformation und -kommunikation
12. Zahlungsdienstleister sollten Kunden Unterstützung und Orientierung bei der sicheren Nutzung der Internetzahlungsdienste bieten. Zahlungsdienstleister sollten mit ihren Kunden auf eine Weise kommunizieren, die den Kunden die Authentizität der empfangenen Nachrichten bestätigt.
- das Verfahren, über das Kunden dem Zahlungsdienstleister (als solche im Verdacht stehende) betrügerische Zahlungen, verdächtige Vorfälle oder Unregelmäßigkeiten während der Sitzung bei Internetzahlungsdiensten und/oder mögliche Versuche von Social Engineering21 melden können,
- die nächsten Schritte, d. h. wie der Zahlungsdienstleister dem Kunden antworten wird,
- wie der Zahlungsdienstleister den Kunden über (potenziell) betrügerische Transaktionen oder ihre Nichtauslösung in Kenntnis setzen oder ihn vor Angriffen (z. B. Phishing-E-Mails) warnen wird.
12.4 Zahlungsdienstleister sollten Programme zur Kundeninformation und -aufklärung einrichten, die sicherstellen sollen, dass die Kunden als Mindestanforderung die Notwendigkeit folgender Vorkehrungen verstehen:
- den Schutz ihrer Passwörter, Sicherheits-Tokens, persönlicher Angaben und sonstiger vertraulicher Daten,
- die ordnungsgemäße Verwaltung der Sicherheit ihres persönlichen Geräts (z. B. ihres Computers) durch die Installierung und Aktualisierung von Sicherheitskomponenten (Virenschutzprogramme, Firewalls, Sicherheits-Patches),
- die Berücksichtigung der erheblichen Bedrohungen und Risiken, die mit dem Herunterladen von Software über das Internet verbunden sind, wenn der Kunde nicht mit hinreichender Sicherheit feststellen kann, ob die Software echt ist und nicht manipuliert wurde,
- die Nutzung der Original-Website des Zahlungsdienstleisters für Internetzahlungen.
Mitteilungen, Festlegung von Grenzwerten
13. Zahlungsdienstleister sollten Grenzwerte für Internetzahlungsdienste festlegen und könnten ihren Kunden innerhalb dieser Grenzen Möglichkeiten zur weitergehenden Risikobegrenzung bieten. Sie können außerdem Warnungs- und Kundenprofilmanagementdienste erbringen.
Zugang des Kunden zu Informationen über den Status der Zahlungsauslösung und -ausführung
14. Zahlungsdienstleister sollten die Zahlungsauslösung ihren Kunden gegenüber bestätigen und den Kunden rechtzeitig die Informationen zur Verfügung stellen, die zur Überprüfung erforderlich sind, ob ein Zahlungsvorgang korrekt ausgelöst und/oder ausgeführt wurde.
Anhang 1: Beispiele für bewährte Vorgehensweisen
Zusätzlich zu den oben dargelegten Anforderungen beschreibt dieses Rundschreiben einige bewährte Vorgehensweisen (BV), zu deren Übernahme Zahlungsdienstleister und die relevanten Marktteilnehmer angehalten, jedoch nicht verpflichtet sind. Zur besseren Übersicht erfolgt eine ausdrückliche Nennung der Kapitel, für die diese bewährten Vorgehensweisen gelten.
Allgemeines Kontroll- und Sicherheitsumfeld
Governance
BV 1: Die Sicherheitsrichtlinien könnten in einem eigens dafür bestimmten Dokument festgelegt
werden.
Risikokontrolle und -minderung
BV 2: Zahlungsdienstleister könnten Sicherheits-Tools (z. B. ordnungsgemäß gesicherte Geräte und/oder kundenspezifisch angepasste Browser) zur Verfügung stellen, um die Kundenschnittstelle gegen rechtswidrige Nutzung oder Angriffe (z. B. „Man-in-the-Browser“-Angriffe) zu schützen.
Rückverfolgbarkeit
BV 3: Zahlungsdienstleister, die Abrechnungsdienste anbieten, könnten E-Händler, die Zahlungsinformationen speichern, vertraglich zur Einrichtung angemessener Prozesse zur Unterstützung der Rückverfolgbarkeit verpflichten.
Spezifische Kontroll- und Sicherheitsmaßnahmen für Internetzahlungen
Erstidentifikation des Kunden, Information
BV 4: Der Kunde könnte einen gesonderten Dienstleistungsvertrag über die Durchführung von Internetzahlungsvorgängen unterzeichnen, anstatt dass die Bedingungen in einen allgemeineren Dienstleistungsvertrag mit dem Zahlungsdienstleister aufgenommen werden.
BV 5: Zahlungsdienstleister könnten auch sicherstellen, dass die Kunden laufend oder gegebenenfalls ad hoc und über angemessene Wege (z. B. Faltblätter, Webseiten) klare und direkten Anweisungen erhalten, die ihre Verantwortung in Bezug auf die sichere Nutzung des Dienstes erläutern.
Starke Kundenauthentifizierung
BV 6: [Karten] E-Händler könnten die starke Authentifizierung des Karteninhabers durch den Aussteller in Kartentransaktionen über das Internet unterstützen.
BV 7: Zum Zwecke der einfacheren Handhabung für den Kunden könnten Zahlungsdienstleister in Erwägung ziehen, für die starke Kundenauthentifizierung ein einziges Tool für alle Internetzahlungsdienste zu verwenden. Dies könnte die Akzeptanz der Lösung bei den Kunden verbessern und die ordnungsgemäße Nutzung erleichtern.
BV 8: Die starke Kundenauthentifizierung könnte Elemente beinhalten, die die Authentifizierung an einen bestimmten Betrag und Zahlungsempfänger knüpfen. Dies könnte Kunden mehr Sicherheit bei der Autorisierung von Zahlungen gewähren. Die Technologie, die die Verknüpfung der starken Authentifizierungsdaten mit den Transaktionsdaten ermöglicht, sollte manipulationssicher sein.
Schutz sensibler Zahlungsdaten
BV 9: Es ist wünschenswert, dass E-Händler, die mit sensiblen Zahlungsdaten umgehen, ihre mit Betrugsbekämpfung befassten Mitarbeiter angemessen schulen und diese Schulungen regelmäßig aktualisieren, um sicherzustellen, dass die Inhalte für eine dynamische Sicherheitsumgebung relevant bleiben.
Kundeninformation und -kommunikation
BV 10: Es ist wünschenswert, dass Zahlungsdienstleister, die Abrechnungsdienste anbieten, für ihre E-Händler Fortbildungsprogramme zum Thema Betrugsbekämpfung organisieren.
Mitteilungen, Festlegung von Grenzwerten
BV 11: Innerhalb dieser festgelegten Grenzwerte könnten Zahlungsdienstleister ihren Kunden eine Vorrichtung zur Verfügung stellen, in der sie die Grenzwerte für Internetzahlungsdienste in einer sicheren und vertrauenswürdigen Umgebung verwalten können.
BV 12: Auf der Grundlage ihrer Risikomanagementrichtlinien könnten Zahlungsdienstleister im Falle von verdächtigen Zahlungsvorgängen oder Zahlungsvorgängen mit hohem Risiko Warnungen für Kunden einrichten, zum Beispiel über Telefonanrufe oder SMS.
BV 13: Zahlungsdienstleister könnten Kunden ermöglichen, allgemeine, personalisierte Regeln als Parameter für ihr Verhalten bei Internetzahlungen und damit verbundenen Diensten festzulegen, z. B. dass sie Zahlungen nur aus bestimmten Ländern auslösen und dass von anderen Standorten aus ausgelöste Zahlungen gesperrt werden sollten, oder dass sie bestimmte Zahlungsempfänger auf weiße oder schwarze Listen aufnehmen können.
Fußnoten
1Leitlinien zur Sicherheit von Internetzahlungen (EBA/GL/2014/12)
2Richtlinie 2007/64/EG des Europäischen Parlaments und des Rates vom 13. November 2007 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 97/7/EG, 2002/65/EG, 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 97/5/EG, ABl. L 319 vom 5.12.2007
3http://www.ecb.europa.eu/press/pr/date/2013/html/pr130131_1.en.html.
4Anbieter von Integrationslösungen für Bezahlseiten stellen dem Zahlungsempfänger (d. h. dem E-Händler) eine standardisierte Schnittstelle zu den durch den Zahlungsdienstleister erbrachten Zahlungsauslösediensten zur Verfügung.
5Zum Beispiel die Anfälligkeit des Systems gegenüber Session-Hijacking beim Bezahlvorgang, SQL-Injection, Cross-Site-Scripting, Pufferüberläufen usw.
6 Zum Beispiel Risiken, die mit der Nutzung von Multimedia-Anwendungen, Browser-Plug-ins, Frames, externen Links usw.verbunden sind.
7„Jedes Programm und jeder berechtigte Nutzer des Systems sollte mit dem geringsten Maß an Zugriffsrechten arbeiten, das zur Erfüllung der Aufgabe erforderlich ist.“ Siehe Saltzer, J. H. (1974), „Schutz und Kontrolle des Informationsaustauschs
in Multics (Protection and the Control of Information Sharing in Multics)“, Communications of the ACM, Bd. 17, Nr. 7, S.388.
8Eingebauter Datenschutz.
9Datenminimierung bezeichnet den Grundsatz, die Erhebung personenbezogener Daten auf das für die Erfüllung einer bestimmten Funktion erforderliche Mindestmaß zu beschränken.
10Zum Beispiel Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates vom 26. Oktober 2005 zur Verhinderung der Nutzung des Finanzsystems zum Zwecke der Geldwäsche und der Terrorismusfinanzierung. ABl. L 309 vom 25.11.2005, S. 15-36. Siehe auch Richtlinie 2006/70/EG der Kommission vom 1. August 2006 mit Durchführungsbestimmungen für die Richtlinie 2005/60/EG des Europäischen Parlaments und des Rates hinsichtlich der Begriffsbestimmung von „politisch exponierten Personen“ und der Festlegung der technischen Kriterien für vereinfachte Sorgfaltspflichten sowie für die Befreiung in Fällen, in denen nur gelegentlich oder in sehr eingeschränktem Umfang Finanzgeschäfte getätigt werden. ABl. L 214 vom 4.8.2006, S. 29-34.
11Zum Beispiel den Pass, den nationalen Personalausweis oder die fortgeschrittene elektronische Signatur.
12Das Kundenidentifikationsverfahren berührt keine Ausnahmen, die in bestehenden Geldwäsche-Gesetzen festgelegt sind. Unter der Voraussetzung, dass bereits eine Kundenidentifikation erfolgt ist, z. B. für andere bestehende Zahlungsdienste
oder bei der Eröffnung eines Kontos, müssen Zahlungsdienstleister kein gesondertes Kundenidentifikationsverfahren für die Internetzahlungsdienste durchführen.
13Diese Information ergänzt Artikel 42 der PSD, der die Informationen anführt, die der Zahlungsdienstleister dem Zahlungsdienstnutzer vor Abschluss eines Vertrags über die Erbringung von Zahlungsdiensten mitteilen muss.
14Siehe Artikel 55 der PSD zur Begrenzung der Nutzung des Zahlungsinstruments.
15Siehe Definition von Kleinbetragszahlungsinstrumenten in Artikel 34 Absatz 1 und Artikel 53 Absatz 1 der PSD.
16Zu den Umgebungen unter der Verantwortung des Zahlungsdienstleisters, in denen eine angemessene Authentifizierung des Kunden und des den Dienst anbietenden Zahlungsdienstleisters sowie der Schutz vertraulicher/sensibler Daten
gewährleistet sind, gehören: i) die Geschäftsräume des Zahlungsdienstleisters, ii) Internetbanking- oder sonstige sichere Websites, z. B. wenn die GA (Governance Authority) vergleichbare Sicherheitsfunktionen wie unter anderem in
Rundschreiben 4. definiert bietet, oder iii) Dienste von multifunktionalen Bankautomaten. (Im Fall von Bankautomaten ist eine starke Kundenauthentifizierung erforderlich. Diese erfolgt üblicherweise mittels Chip und PIN oder Chip und
biometrische Charakteristika.)
17Eine IP-Adresse ist ein eindeutiger Zahlencode, durch den jeder mit dem Internet verbundene Computer identifiziert wird.
18Durch die Ermittlung der „Geo-IP“ kann geprüft werden, ob das erteilende Land mit der IP-Adresse übereinstimmt, von der aus der Nutzer die Transaktion auslöst.
19Bei Ende-zu-Ende-Verschlüsselung erfolgt die Verschlüsselung innerhalb oder beim Ausgangsendsystem und die entsprechende Entschlüsselung ausschließlich innerhalb oder beim Zielendsystem. ETSI EN 302 109 V1.1.1. (2003-06).
20Wie zum Beispiel ein spezielles Postfach auf der Website des Zahlungsdienstleisters oder eine gesicherte Website.
21In diesem Zusammenhang werden mit Social Engineering Techniken bezeichnet, die zur Manipulation von Menschen eingesetzt werden, um Informationen zu erlangen (z. B. über E-Mail oder Telefon), oder das Abrufen von Informationen in
sozialen Netzwerken zu Betrugszwecken oder um sich unbefugt Zugriff zu einem Computer oder Netzwerk zu verschaffen.
22Solche Grenzwerte können entweder global (d. h. für alle Zahlungsinstrumente, die Internetzahlungen ermöglichen) oder individuell gelten.
23Ausgenommen ist die Nichtverfügbarkeit der Einrichtung in Ausnahmefällen aus Gründen der technischen Wartung oder infolge schwerwiegender Vorfälle.