Sie kennen sicher die Kürzel SecuRe Pay (Recommendations for the security of internet payments), PSD II (EU-Zahlungsdiensterichtlinie) und MaSin (Mindestanforderungen an die Sicherheit von Internetzahlungen) der BaFin. Sie beinhalten geplante strenge Sicherheitsvorkehrungen für Banken und Zahlungsdienstleister, die auch gewohnte Bezahlmethoden im Internet für Online- und Versandhändler (wie Sofortüberweisung, Kreditkartenbezahlung etc.) unattraktiv machen könnten. Diese Regelungen verlangen künftig u.a. eine "starke Kundenauthentifizierung", die außer Passwörtern, Kreditkartennummern oder PINs und TANs einen zweiten Identifikationsweg vorschreibt und nur wenige Ausnahmen dieser aufwendigen Zwei-Wege-Authentifizierung zulassen soll.
Die BaFin hat die EU-Vorschläge aufgegriffen und im Februar 2015 das Rundschreiben (Entwurf) zu "Mindestanforderungen an die Sicherheit von Internetzahlungen" (MaSin) herausgegeben. Betroffen sind Banken, Kreditkartenacquirer, Zahlungsdienstleister (Payment Service Provider) und alle, die die relevanten Internet-Zahlungsmethoden anbieten - d.h. auch die Onlinehändler- und Versandhändler!!
Die MaSin sollen für alle Online-Zahlverfahren gelten und u.a. die obligatorische "starke Kundenauthentifizierung", verbindlich einführen. Mit insgesamt 95 Vorgaben sollen Zahlungsdienstanbietern u.a. erstmalig vorgeschrieben werden, wie die Sicherheitsüberprüfung von Transaktionen erfolgen soll:
"Bei einer starken Kundenauthentifizierung benutzt der Kunde mindestens zwei Merkmale aus den folgenden drei Kategorien: Etwas, das nur der Kunde weiß (z.B. Passwort, PIN), der Kunde besitzt (z.B. Smart Card, Gerät) oder der Kunde ist (biometrisches Merkmal). Die zwei Merkmale sind gegenseitig unabhängig. Mindestens ein Merkmal kann nicht repliziert, wiederverwendet oder über das Internet gestohlen werden", so die BaFin.
Neben der "harten" Kundenauthentifizierung beinhaltet die MaSin den Schutz sensibler Zahlungsdaten, insbesondere für die Speicherung, Verarbeitung und Übermittlung bei Zahlungsvorgängen und sieht die Meldung von kritischen Sicherheitsvorfällen an die BaFin vor.
Manche dieser Vorgaben sind, insbesondere für große Online- und Versandhändler, sicherlich schon eine Selbstverständlichkeit, aber gerade für kleine und mittelständische Unternehmen könnte m.E. die Umsetzung der MaSin-Vorgaben hohe IT-Investitionen oder den Verzicht auf bestimmte Bezahlverfahren bedeuten.
Bitte kontaktieren Sie katrin.triebel@bevh.org bei Kritik oder Fragen zu den geplanten Online-Zahlungsmethoden mit einer strengen Kundenauthentifizierung - vielen Dank!
Summary:
The European Commission and the German Federal Authority for Financial Services plan to implement the requirement of „hard authentification“ mechanisms for online payments. bevh insists against unreasonable burdens for online merchants - especially SMEs.