Zertifikate für PSD2

Mit der zweiten Edition der Payment Services Directive, kurz PSD2, regelt die EU den Online-Zahlungsverkehr zwischen Marktteilnehmern innerhalb der EU. Die PSD2 verpflichtet unter anderem Banken mit Geschäftstätigkeit in der EU, Drittanbietern Zugang zu Kundenkonten zu gewähren. Zusätzlich muss bei Zugriff auf das Konto die Zwei-Faktor-Authentisierung (Strong Customer Authentication, SCA) durch den Kontoinhaber eingesetzt werden.

Die Regelungen der PSD2 gelten für Banken sowie für Drittanbieter wie FinTechs und Zahlungsdienstleister, wenn sie für ihren Geschäftszweck Zahlungen auslösen oder Kontodaten einsehen wollen. Hierzu müssen die Banken eine Schnittstelle öffnen (Application Programming Interface, API).

Für ihre Geschäftstätigkeit innerhalb der EU benötigen Drittanbieter eine Lizenz der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) oder ihrer zuständigen nationalen Aufsichtsbehörde. Der Lizenztyp bestimmt die Zugriffsrechte des Drittanbieters, die dieser im Rahmen seines Geschäftsmodells für den Zugriff auf die Kontodaten über die Bankenschnittstelle benötigt.

Um als Drittanbieter Zugang zu Bankkonten zu erhalten, müssen sich Unternehmen beim automatisierten Zugriff mit einem oder mehreren Zertifikaten identifizieren. Auch Banken weisen sich mittels Zertifikat gegenüber den zugreifenden Zahlungsdienstleistern aus. Das Zertifikat gilt als „Unternehmensausweis“ im elektronischen Geschäftsverkehr. Der Artikel 34 der RTS (EU 2018/389) schreibt die Verwendung von qualifizierten Website-Zertifikaten (QWACs) oder qualifizierten Zertifikaten für elektronische Siegel (QSiegel) vor.

Die nötigen elektronischen Zertifikate werden von einem in der EU gelisteten qualifizierten Trust Service Provider (QTSP), z. B. bei der D-Trust GmbH, einem Unternehmen der Bundesdruckerei-Gruppe, herausgegeben. Die Beantragung erfolgt online. Die Lizenz muss dem Zahlungsdienstleister zuvor durch die BaFin oder seiner nationalen Aufsicht erteilt worden sein. Wenn eine Bank als Drittanbieter agieren will, um ihrerseits auf Konten anderer Banken zuzugreifen, benötigt sie ebenfalls ein QWAC und ggf. ein QSiegel. Eine separate Lizenzierung bei der BaFin oder der zuständigen nationalen Finanzaufsicht ist nicht erforderlich, wenn sie bereits eine Vollbanklizenz besitzt.

Anbieter qualifizierter Zertifikate sind in der EU-Vertrauensliste aufgeführt, dazu müssen sie u. a. den Betrieb bei ihrer nationalen Aufsichtsstelle anmelden und alle 24 Monate eine Konformitätsbewertung durch eine dritte Stelle durchführen lassen. Die EU-Vertrauensliste erlaubt vertrauenswürdige, authentisierte, verschlüsselte Kommunikationsbeziehungen (z. B. zwischen EU-Bürgern und Websites oder zwischen IT-Systemen).

Es gibt qualifizierte Website-Zertifikate (QWACs), qualifizierte Zertifikate für elektronische Siegel (QSiegel) und Extended-Validation–Zertifikate (EV-Zertifikate). Das QWAC belegt die Identität des zugreifenden Unternehmens und sichert den Kommunikationskanal (Transportschicht). Das Siegel schützt die signierten Daten vor Veränderungen. Es macht nachträgliche Änderungen sichtbar und dokumentiert die Identität des zugreifenden Unternehmens (Anwendungsschicht). Artikel 34 der RTS (EU 2018/389) schreibt Drittanbietern die Verwendung von QWAC oder QSiegel vor. Die Empfehlung der European Banking Authority (EBA) ist, ein QWAC und ein QSiegel einzusetzen. Im Standard NextGenPSD2 der Berlin Group ist ein QWAC verpflichtend vorgesehen. Eine Bank kann sich ihrerseits durch ein QWAC oder EV-Zertifikat ausweisen, auch in diesem Fall empfiehlt die EBA ein QWAC.

D-Trust, ein Unternehmen der Bundesdruckerei-Gruppe, bietet zum Siegeln für den Einsatz bei PSD2 das Produkt Qualified Seal PSD2 ID (Qualifiziertes Siegelzertifikat ohne Siegelkarte für fortgeschrittene Siegel, „Soft-Siegel“) an.

Beim Siegelzertifikat ohne Karte werden die Schlüssel wie beim QWAC bei Ihnen, z. B. auf einem HSM, erzeugt und verwaltet. Sie schicken uns wie beim QWAC einen CSR, der den öffentlichen Schlüssel enthält, und erhalten Ihr Zertifikat per E-Mail. Die Siegelzertifikate ohne Karte ermöglichen die einfache Handhabung und den unbegrenzten Durchsatz für die Anwendung bei PSD2. Die Zertifikatspolicy im Profil ist QCP-l. Der Einsatz eines Qualified Signature Creation Device (QSCD) ist nicht zwingend notwendig.

Ja, die Beantragung eines qualifizierten Website-Zertifikats erfolgt nach einem definierten Prozess. Für produktive Zertifikate muss ein Drittanbieter erst einen Antrag auf Zulassung als Zahlungsdienstleister bei der BaFin oder seiner zuständigen nationalen Finanzaufsichtsbehörde (National Competent Authority, NCA) stellen. Nach der Erteilung der BaFin-Lizenz kann die Zertifikatsausstellung bei der D-Trust GmbH erfolgen. Eine Beantragung ist auch bereits vor der Zulassung möglich. CRR-Kreditinstitute (Banken), die auch als Zahlungsdienstleister auftreten wollen, benötigen keine zusätzliche Zulassung und können alle Rollen in den Zertifikaten beantragen.

In der EU-Vertrauensliste finden Sie die Aussteller-Zertifikate aller QTSPs. Es besteht keine Notwendigkeit die Stamm-Zertifikate zu prüfen.

Wenn nötig, können die Stamm-Zertifikate direkt auf der D-Trust Website heruntergeladen werden, die Informationen dazu finden Sie in den Certification Practice Statements (CPS). Anders als bei den EV-Zertifikaten können Sie sich nicht darauf verlassen, dass die Stamm-Zertifikate über die Browser verteilt und als vertrauenswürdig eingestuft werden.

Für QWACs von D-Trust erfolgen derzeit keine Einträge in CT-Logs, da dies in den zugrundeliegenden Standards nicht vorgesehen ist. Die Zertifikate sind nicht für die Verwendung in der Kommunikation über den Browser vorgesehen, daher ist ein Eintrag in den CT-Logs nicht notwendig.

Die PSD2-Regulierung (EU 2015/2366) unterscheidet verschiedene Rollen bzw. Berechtigungen für Zahlungsdienstleister. Im ETSI-Standard TS 119 495 sind die genannten Abkürzungen definiert. Die gebräuchlichen Rollen sind Kontoinformationsdienst (account information, PSP_AI) und Zahlungsauslösedienst (payment initiation, PSP_PI). Daneben gibt es noch Kontoführung (account servicing, PSP_AS) und Kartenausgabe (issuing cards, PSP_IC). Zahlungsdienstleister können die Zulassung für eine oder mehrere dieser Rollen bei ihrer nationalen Aufsichtsstelle beantragen, erscheinen dann mit diesen Rollen im Register und können Zertifikate mit diesen Rollen ausgestellt bekommen.

Im Attribut „Sperrlisten-Verteilungspunkte“ finden Sie URLs für den OCSP-Zugriff und für die CRLs. Alternativ kann für die Echtzertifikate die Prüfung über die OCSP-Abfrage erfolgen.

Vor der Zertifikatsausstellung prüfen wir, ob die im Zertifikat angeführte Domäne (CN) und alternative Domäne (SAN) unter Ihrer Kontrolle stehen. Als Standardverfahren werden für jede beantragte Domäne Mails mit einem Sicherheitstoken generiert und an die Adressen

• admin@,
• administator@,
• hostmaster@,
• webmaster@ and postmaster@

geschickt. Wir erwarten mindestens eine Rückmeldung an die in der Mail angegebene Adresse, die diesen Token enthält – die Absenderadresse wird nicht geprüft. Sie können z. B. unsere Mail an die angegebene Adresse weiterleiten.

CAA records dienen dazu festzulegen, dass für gegebene Domains und ihre Subdomains nur ausgewählte CAs Zertifikate erzeugen dürfen. Die Beschreibung wird in RFC6844 definiert und vom CA/B Forum gefordert. Sollten auf Ihren Domänen CAAs eingetragen sein, die nicht d-trust.net enthalten, erhalten Sie eine Fehlermeldung beim Zertifikatsantrag. Bitte entfernen Sie in diesem Fall alle CAAs oder ergänzen Sie sie um d-trust.net.

NCA-ID ist eine durch ETSI TS 119.495 vorgegebene ID der nationalen Finanzaufsicht, z.B. DE-BAFIN, AT-FMA oder GB-FCA. PSP-Identifier ist eine von der NCA bei der Lizenzerteilung vergebene eindeutige nationale ID, in den meisten Ländern sind das 4-9 Ziffern. Die meisten NCAs haben getrennte Register für TPPs und ASPSPs. Zusätzlich existieren noch zentrale Register der EBA für TPPs und ASPSPs. Diese Register haben noch nicht an allen Stellen die richtigen Daten, im Zweifel zählt das nationale Register. Im Zertifikat finden Sie den zusammengesetzten Wert, z.B. PSDGB-FCA-123456, als Attribut des Antragstellers. Den vollständigen Namen der NCA finden Sie zusammen mit den beantragten Rollen im QC-Statement (Anweisungen für qualifiziertes Zertifikat).

Für die Ausstellung qualifizierter Zertifikate muss eine natürliche Person identifiziert werden, d.h. es muss eine Unterschriftsbeglaubigung zur Identitätsfeststellung erfolgen. Für QWAC und Qualified Seal PSD2 ID kann ein Zeichnungsbefugter dies an eine andere Person (subscriber’s representative) delegieren. Diese Bevollmächtigung erfolgt durch den Zeichnungsbevollmächtigten auf dem Bestelldokument. In Deutschland verwenden wir zur Identifizierung standardmäßig das PostIdent-Verfahren. Im Ausland bieten wir die Identifizierung durch Vertreter der deutschen Botschaften und Konsulate oder durch zugelassene Notare aus dem europäischen Notarverzeichnis an. Sollten Sie Ihr Land nicht im Notarverzeichnis finden, schicken Sie uns bitte eine Anfrage an support@bdr.de.

Wenn Sie mehrere Zertifikate beantragen, ist die Identifikation für jeden Antrag durchzuführen.