PSD2: Compliance-Auflagen in Wettbewerbsvorteile verwandeln mit Entersekt

Jonathan Knoll|10 April 2018
PSD2: Compliance-Auflagen in Wettbewerbsvorteile verwandeln mit Entersekt

Durch PSD2 wird es zu einer ganz neuen Marktdynamik kommen. Einerseits müssen sich Banken auf Belastungen durch neue Compliance-Anforderungen und erweiterte Haftungsrisiken  einstellen, andererseits entstehen durch das regulatorische Rahmenwerk auch  neue Umsatzchancen. Viel wurde bereits über die Anforderungen von PSD2 an starke Kundenauthentifizierung (Strong Customer Authentication, SCA) geschrieben, während der im Zuge von PSD2 eingeführten, neuen Art der Beziehung zwischen Banken und Kunden bislang weitaus weniger Beachtung geschenkt wurde – ganz zu schweigen von der zusätzlichen Komplexität, die durch Drittanbieter (Third-Party Provider, TPP) entsteht. Banken stehen daher jetzt vor der Herausforderung, regulatorische Compliance mit einem enormen Anforderungsspektrum herzustellen und sich gleichzeitig in Rekordzeit auf eine komplett neue Business-Dynamik vorzubereiten.

Bei Entersekt arbeiten wir intensiv daran, unseren Kunden einen klaren Weg zum Erfolg zu bieten und PSD2-Compliance in neue Geschäftschancen, Wettbewerbsvorteile und einen zusätzlichen Umsatztreiber zu verwandeln. Die Lösung von Entersekt gewährleistet nicht nur SCA-Compliance, sondern bildet ein zukunftssicheres Fundament für Ihre Organisation und ermöglicht eine überlegene mobile Anwendungserfahrung. Gleichzeitig ist sie der Schlüssel zu neuen und innovativen Servicemöglichkeiten. Wir sind davon überzeugt, dass die folgenden drei Schritte entscheidend für einen erfolgreichen SCA-Rollout sind.

1. Audit-fähige SCA-Compliance sicherstellen

Sobald PSD2 in Kraft tritt, muss Ihre Organisation in der Lage sein, die Compliance gegenüber den Regulierungsbehörden nachzuweisen. Die Regulatory Technical Standards (RTS) legen fest, welche Anforderungen hinsichtlich starker Anwenderauthentifizierung erfüllt werden müssen. Nach Auffassung von Entersekt sind die folgenden Aspekte dabei am wichtigsten:

  • Starke Anwenderauthentifizierung ist für alle Proximity- und Remote-Transaktionen über jegliche Kanäle erforderlich. Im Rahmen von SCA werden zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt. Wir glauben, dass dem Faktor Besitz – also dem mobilen Gerät, das Kunden immer mit sich führen – dabei die wichtigste Rolle zukommt. In Kombination mit anderen Faktoren, wie zum Beispiel PIN/Passwort oder biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft Dies ist schon von Anfang an eine zentrale Funktion unserer Lösung.
  • SCA-Elemente müssen voneinander getrennt und unabhängig Dies lässt sich durch Nutzung der vollständig verschlüsselten Out-of-Band-Authentifizierungskanäle von Entersekt erzielen. Mit unserer Lösung können Sie eine Transaktion in einer einzigen App auf einem einzigen Gerät sowohl initiieren als auch authentifizieren. Entersekt ist der Pionier dieser Technologie, die seit 2008 im Mittelpunkt unseres Lösungsansatzes steht. Wir verfügen über umfangreiche Erfahrungen aus vielen erfolgreichen Implementierungen, von denen unsere Kunden direkt profitieren.
  • Es muss gewährleitet sein, dass Kunden zuverlässig ihren personalisierten Anmeldeinformationen, ihrem zur Authentifizierung genutztem Gerät bzw. ihren Geräten sowie jeglicher im Authentifizierungsprozess verwendeten Software zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) stellen keine brauchbare Option mehr dar – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (Third-Party Provider, TPP) auf Kundendaten muss überwacht und durch Verfahren für eindeutige Kundenzustimmung geschützt werden. Damit TPP das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenstimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.

Die starke Authentifizierungslösung von Entersekt erfüllt alle RTS-Anforderungen und hat sich bereits beim Schutz mehrerer Milliarden Transaktionen bewährt. Durch die Zusammenarbeit mit Entersekt bei Ihrem PSD2-Projekt profitiert Ihre Organisation von einer Lösung, die skalierbar ist und deren Compliance von externen Gutachtern bestätigt wurde. Aber bei der Transakt Technologie geht es um mehr als um die reine Erfüllung regulatorischer Vorgaben. Solide Sicherheit bildet ein Fundament für die Einführung innovativer Features und Service, ohne Beschränkung durch Betrugsrisiken.

2. Konsistente und überzeugende Anwendungserfahrung bieten

PSD2 ermöglicht neue Formen der Interaktion, daher ist die von Ihnen gebotene Anwendungserfahrung entscheidend für den Erfolg. Nachdem PSD2 in Kraft getreten ist, werden zukunftsorientierte Organisationen kundenfokussierte Anwendungen etablieren, die jederzeit und an jedem Ort Interaktionen ermöglichen – und mit jeder einzelnen Interaktion das Kundenvertrauen weiter stärken.

In diesem Zusammenhang hat es sich für einen Kunden von Entersekt sehr gut bewährt, eine Mobile-First-Strategie zu verfolgen. Seit Implementierung der Entersekt Technologie hat die Capitec Bank (zwei Jahre in Folge „beste Privatkundenbank der Welt“ im Ranking der Lafferty Group) ihre Kundenbasis verdoppelt und verzeichnet laut Anwender-Feedback rund 90 Prozent Zufriedenheit mit der App. Zudem profitiert Capitec von Kosteneinsparungen, die sich aus der Verlagerung der Kunden-Interaktionen von der Filiale zum Mobilgerät ergeben.

Wie sieht der Weg zum Erfolg für Ihre Organisation aus?

  • Sorgen Sie für eine Konvergenz der Authentifizierung. Verwenden Sie also dieselbe SCA-Methode für mehrere Anwendungsszenarien, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (Total Cost of Ownership, TCO), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Stellen Sie sicher, dass Ihre Authentifizierungsmethode so einfach zu bedienen ist wie möglich, sodass Kunden sie für alle Anwendungsfälle nutzen. Anstatt die Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie sie als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist der Aufbau eines besonderen Vertrauensverhältnisses so wichtig.
  • Bieten Sie Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App, zum Beispiel durch Einsatz der Data-Safe-Funktion von Entersekt. Anwender können damit Daten sowohl auf dem Mobilgerät als auch in der Cloud verschlüsseln.
  • Positionieren Sie sich als vertrauenswürdiger Partner für den Schutz der digitalen Vermögenswerte Ihrer Kunden. Ermöglichen Sie Ihren Kunden die volle Zugangskontrolle bei risikobehafteten Interaktionen durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.

Die meisten neuen Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.

3. Weiterentwicklung ermöglichen

Kann man verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandeln? Wir bei Entersekt sind fest davon überzeugt, dass dies möglich ist. Wahrscheinlich haben Sie bereits Budget für die PSD2-Compliance bereitgestellt, warum sollten Sie dies also nicht zu Ihrem Vorteil nutzen? Wir empfehlen folgende Herangehensweise:

  • Implementieren Sie eine Lösung, die den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdeckt, von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle. Investieren Sie in eine Lösung, die von Grund auf für die mobile und Online-Welt entwickelt wurde. Dies gibt Ihnen die nötige Flexibilität, um sich ohne Implementierung einer neuen Lösung an zukünftige RTS-Versionen anzupassen.
  • Senken Sie Kosten durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien. Fördern Sie Kundenvertrauen durch Aufbau einer konsistenten Anwendungserfahrung für alle Kanäle. Gleichzeitig ermöglicht Ihnen ein vertrauenswürdiger Kanal zum Endanwender, Kunden schneller und wirtschaftlich effizienter zu bedienen.
  • Sobald Sie sich als vertrauenswürdiger Wächter der digitalen Vermögenswerte Ihrer Kunden etabliert haben und ein sicherer Kanal zum Kunden verfügbar ist, können Sie neue digitale Services einführen, auf die Kunden zu jeder Zeit und an jedem Ort Zugriff haben. Damit stärken Sie die Bindung Ihrer bestehenden Kunden und ziehen gleichzeitig Neukunden an. Ein wesentliches Prinzip von PSD2 ist es, Kunden dabei zu unterstützen, ihre eigenen Daten zu kontrollieren. Indem Sie Kunden die Möglichkeit geben, jede einzelne Banking- oder andere Transaktion auf dem Mobilgerät freizugeben, bieten Sie genau die von PSD2 geforderte Kontrolle.

Wenn eine Bank als Wächter der digitalen Vermögenswerte ihrer Kunden agiert, verändert sich ihre strategische Position gegenüber Kunden und TPPs. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter Services bereitstellen, die den Zugang zu digitalen Vermögenswerten nutzen.

Auf diesem Weg wird PSD2 mehr als eine Reihe belastender Anforderungen, die abzuarbeiten sind. Stattdessen können Banken PSD2 nutzen, um ihr Leistungsversprechen in der digitalen Landschaft der Zukunft zu unterstreichen. Banken, die diese Chance zur Repositionierung ergreifen, werden davon profitieren. Wer diese Gelegenheit hingegen verstreichen lässt, befindet sich auf dem Weg zu einem austauschbaren Anbieter von Allerweltsdienstleistungen.

About the author

Jonathan Knoll

Jonathan Knoll

Country manager Central Europe

Jonathan brings us over 25 years’ experience in business development, strategy, marketing, and sales in the United States and Europe. Most recently, he served as director of financial services strategic partnerships at PayPal, building on his already extensive knowledge of the digital payments and financial services industries.

Subscribe to our newsletter for our latest news, press releases and events

logo entersekt

Entersekt is an international software development company based just outside of Cape Town, South Africa.

We are leaders in authentication, app security, and payments enablement technology, offering a highly scalable solution set with a track record of success across multiple continents.