Zum Hauptinhalt springen

Firmenkundeninformation zur Empfängerüberprüfung (Verification Of Payee)

Die von der EU-Kommission initiierte Instant Payments Regulierung (EU No. 2024/886) soll die Nutzung und die Akzeptanz von SEPA-Echtzeitüberweisungen fördern und vereinheitlichen.
Da die Umsetzung der Regulierung auch direkte Auswirkungen auf das EBICS-Verfahren hat, stellt die Deutsche Kreditwirtschaft eine Firmenkundeninformation zur Empfängerüberprüfung (Verification of Payee, kurz VOP) zur Verfügung. Diese macht deutlich, dass VOP in Deutschland einheitlich umgesetzt wird und soll insbesondere dabei helfen, die damit verbundenen Änderungen in die eigene Planung aufzunehmen, die eigenen Prozesse zu prüfen und rechtzeitig notwendige Programmupdates einzuplanen. 

Hinweise für Hersteller von EBICS-Kundensystemen im Hinblick auf die PSD2

Im Hinblick auf das Inkrafttreten der zweiten Stufe des Umsetzungsgesetzes zur Zweiten EU-Zahlungsdiensterichtlinie (PSD2) und die damit verbundenen gesetzlichen Anforderungen an eine starke Kundenauthentifizierung werden die Kreditinstitute die mit ihren Kunden vereinbarten Bedingungen für Datenfernübertragung mit Wirkung zum 14. September 2019 anpassen müssen.

Ziel der neuen gesetzlichen Bestimmungen ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen. Daraus ergeben sich ergänzende Sicherheitsanforderungen an die Übermittlung sowie Autorisierung von Zahlungsaufträgen. Zur Anpassung der DFÜ-Kundenbedingungen im Hinblick auf die Sorgfaltspflichten im Umgang mit den Legitimationsmedien sowie für die Sicherheit der Kundensystems gibt es einen Formulierungsvorschlag der Deutschen Kreditwirtschaft (DK). Damit werden in Umsetzung der gesetzlichen Vorgaben zusätzliche Sorgfaltspflichten bei der Erzeugung und Verwendung von privaten Schlüsseln auf Legitimations- und Sicherungsmedien beschrieben.

Vor diesem Hintergrund möchte die DK die Hersteller von EBICS-Kundensystemen darauf aufmerksam machen, folgende zusätzliche Anforderungen in ihren EBICS-Produkten zu berücksichtigen:

  1. Es ist zwingend erforderlich, private Schlüssel auf dem Sicherheitsmedium (kryptographisch) zu schützen.
  2. Private Teilnehmerschlüssel sind unter Einbeziehung eines vom Benutzer frei wählbaren Kennwortes verschlüsselt auf den Legitimations- und Sicherheitsmedien abzulegen.
  3. Der Zugriff auf die verschlüsselten Daten darf nur über die manuelle Eingabe des entsprechenden Kennwortes möglich sein.
  4. Analog der entsprechenden Funktion der SECCOS-Chipkarte ist sicherzustellen, dass spätestens nach fünfmaliger Fehleingabe des Kennwortes der Zugriff auf das Sicherheitsmedium (dauerhaft) gesperrt ist.

Für weiterführende Informationen und ein Gesamtbild der Anforderungen verweisen wir auf die jeweiligen Kundenbedingungen der Kreditinstitute und die Anlagen (insbesondere die „Sicherheitsanforderungen an das EBICS-Kundensystem“).