DigiCert QuoVadis

Qualified TSP

Qualified TSP

DigiCert

Kontakt

Für mehr Informationen
+41 71 228 98 00

News/Events

EU verlangt ab September 2019 qualifizierte Zertifikate für PSD2
16 May 2019

EU verlangt ab September 2019 qualifizierte Zertifikate für PSD2

Europäische Zahlungsdienstleister arbeiten auf Hochtouren daran, die technischen PSD2-Standards, die im September 2019 in Kraft treten, zu erfüllen, zu denen auch die Verwendung von qualifizierten TLS- und eSeal-Signaturzertifikaten für die sichere Online-Authentifizierung und -Kommunikation zählt. Über seinen europäischen Qualified Trust Service Provider (TSP) QuoVadis kann DigiCert qualifizierte digitale Zertifikate für PSD2 bereitstellen.

Zahlungsdiensterichtlinie (PSD2) muss ab September 2019 umgesetzt werden

Die Europäische Kommission ist seit langem bemüht, elektronische Zahlungen innerhalb der EU so einfach und sicher zu gestalten wie elektronische Zahlungen innerhalb eines Landes. Auf der Grundlage dieser Bemühungen trat im Januar 2018 die überarbeitete Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) in Kraft. Die PSD2 ist eine EU-Richtlinie, zur Regulierung von Zahlungsdiensten und Zahlungsdienstleistern (EU-Richtlinie 2015/2366) deren Ziele es sind:

  • Die Effizienz und Integration des europäischen Zahlungsverkehrsmarktes zu unterstützen
  • die Wettbewerbsbedingungen für Zahlungsdienstleister zu verbessern.
  • Die Sicherheit im Zahlungsverkehr zu erhöhen.
  • Verbraucher zu schützen.

PSD2 deckt viele Facetten des Marktes für elektronische Zahlungen ab, führt jedoch insbesondere verbesserte Datenschutz- und Online-Sicherheitsmaßnahmen ein, die von allen Zahlungsdienstleistern (Payment Service Providers/PSPs), einschließlich Banken, umgesetzt werden müssen. Die von der European Banking Authority (EBA) entwickelten PSD2 technischen Regulierungsstandards (RTS), die im September 2019 in Kraft treten, beinhalten auch neue Anforderungen wie:

  • Starke Kundenauthentifizierung (SCA) für den elektronischen Zahlungsverkehr.
  • Sichere Kommunikation durch die Zahlungsdienstleister.

Qualifizierte PSD2-Zertifikate

Der PSD2 RTS besagt, dass digitale Zertifikate, die von qualifizierten eIDAS-Vertrauensdiensteanbietern (TSP/EIDAS Qualified Trust Service Providers ) ausgestellt wurden, von PSPs zur Online-Identifizierung und sicheren Kommunikation verwendet werden können.

eIDAS (EU-Verordnung 910/2014) ist das europäische Regelwerk für die Regulierung elektronischer Identifizierung, Authentifizierung und Trust Services. Zertifikate, die von regulierten TSPs gemäß der Verordnung ausgestellt wurden, werden als qualifiziert bezeichnet und haben in bestimmten rechtlichen und regulatorischen Kontexten einen besonderen Status.

Ein neuer ETSI-Standard, ETSI TS 119 495, definiert die TSP-Richtlinien und Profile für Zertifikate, welche die Anforderungen der PSD2 RTS, die auf den anderen eIDAS Qualified Standards aufbauen, erfüllen. Dazu gehört das Definieren von Feldern für die Zertifikate, die Folgendes enthalten: 

  • die nationale zuständige Behörde (NCA) oder Finanzaufsichtsbehörde, bei der der PSP registriert ist. 
  • die von der NCA an den PSP erteilte Autorisierungsnummer. 
  •  die regulierten PSD2-Rollen, für die der PSP von der NCA lizenziert ist.

DigiCert hat auch Ballot SC17 im CA/Browser-Forum empfohlen, mit dem PSD2- und andere organisatorische ID-Felder zu Extended Validation (EV) TLS-Zertifikaten hinzugefügt werden können
Welche PSD2-Zertifikate brauche ich?

Es gibt zwei Arten von digitalen Zertifikaten, die bei PSD2 für die sichere Kommunikation verwendet werden:

  • QWAC: Qualifiziertes Zertifikat für die Website-Authentifizierung (Qualified Certificate for Website Authentication) - Wird mit dem TLS-Protokoll (Transport Layer Security) verwendet, wie es in IETF RFC 5246 oder IETF RFC 8446 definiert ist, um Daten in der Peer-to-Peer-Kommunikation zu schützen. 
  • QsealC: Qualifiziertes Zertifikat für elektronische Siegel (Qualified Certificate for Electronic Seals) - Erstellt digitale Signaturen, die zum Schutz von Daten oder Dokumenten verwendet werden. Dabei werden Standards wie PAdES, CAdES oder XAdES von ETSI verwendet und deren Herkunft von einer juristischen Person bestätigt.

Jedes Zertifikat bietet je nach Anwendungsfall einen unterschiedlichen Schutz.

Art des PSD2-Zertifikats

QWAC TLS/SSL

eSeal/QSealC

Wo wird es verwendet?

Identifiziert Endpunkte und schützt Daten während der Kommunikation

Identifiziert die Herkunft von Dokumenten oder Daten und macht sie manipulationssicher bei der Kommunikation und Speicherung

Was sind die Sicherheitsmerkmale?

Geheimhaltung, Authentifizierung und Integrität

Authentifizierung und Integrität

Bietet es rechtlichen Beweiswert für Transaktionen?

Nein

Ja, unter eIDAS

Sind die Daten bei der Weitergabe durch einen Vermittler geschützt?

Schützt bei direkter Peer-to-Peer-Kommunikation

Ende-zu-Ende, auch wenn dies über einen Vermittler erfolgt

 

Die finalen technischen Regulierungsstandards (regulatory Technical standards – RTS) beschreiben verschiedene Szenarien, die PSPs bei der Verwendung von Zertifikaten für die sichere Kommunikation berücksichtigen können. Beispielsweise beschreibt der RTS eine sichere Option mit parallelem Schutz sowohl der Zahlungsverkehrsdaten als auch ihrer Kommunikationskanäle:

  • Verwenden von QWACs, um die Identität und Rollen der PSPs untereinander zu bestätigen und mithilfe der TLS-Verschlüsselung sicher zu kommunizieren. 
  • Verwenden von QSealCs, um sicherzustellen, dass die übermittelten Anwendungsdaten von einem bestimmten PSP stammen und nicht manipuliert wurden.

DigiCert stellt PSD2 bereit

Als weltweit führender Anbieter von PKI-basierten Lösungen konzentriert sich DigiCert auf die spezifischen regionalen und branchenspezifischen Anforderungen in Bezug auf Online-Authentifizierung, Verschlüsselung und digitale Signaturen. In Umsetzung dieser Vision sind die Tätigkeiten von QuoVadis als europäischer Teil von DigiCert als qualifizierter Vertrauensdiensteanbieter in der EU unter eIDAS und in der Schweiz anerkannt.

Die PSD2-Frist steht für September an. QuoVadis stellt deshalb Test-PSD2-Zertifikate bereit, um Banken und Zahlungsdienstleister (Payment Service Provider – PSP) die Möglichkeit zu geben, ihre Kommunikationsschnittstellen für den dreimonatigen Prototypentest vorbereiten.

Für Zahlungsdienstleister, die sich bereits für den letzten dreimonatigen Live-Test qualifizieren, kann QuoVadis qualifizierte PSD2-Zertifikate bereitstellen. Diese qualifizierten Zertifikate erfordern eine eingehendere Überprüfung der Identität und Autorität des Zertifikatadministrators, in der Regel persönlich oder durch notariell beglaubigte Dokumente.