Hallo zusammen!
Es geht hier um die Formulierung der notwendigen Grundsätze mit dem Ziel, dem Kunden (uns) aber auch den Banken ein Umfeld zu schaffen, dass es allen ermöglicht durch Kundenorientiertheit und Leistung Begeisterung für eine Marke oder ein Produkt zu entwickeln und dieses aus Überzeugung zu nutzen; nicht weil man notgedrungen mit dem kleinsten gemeinsamen Nenner leben muss.
Dabei geht es mir nicht darum eine bestimmte Bank zu schmähen. Das Problem mit der PSD2-Umsetzung haben wir ja letztlich mit allen.
Grundsatz Nr. 1 Frei Wahl der Mittel
1.1 Die Wahl der Mittel obliegt dem Kunden! Ob also Web-Portal einer Bank, eines FinTechs oder lokales / cloud-basiertes Baking-Programm oder - wer es denn unbedingt haben muss - einer App entscheidet der Kunde.
1.2 Art und Umfang, welche Konten in dem gewählten Mittel (Programm / App) im Zugriff sind, entscheidet der Kunde!
Grundsatz Nr. 2 Authentitisierung und Authentifizierung; vergl. BSI
2.1 Die Authentifizierung muss zwingend getrennt von dem o. g. Mittel (möglich) sein.
2.2 Das gewählte Authentifizierungsverfahren muss überprüfbar dem allgemeinen Stand der Technik entsprechen und von unabhängiger Stelle zertifiziert sein. Propritäte (anbieterspezifische) Verfahren sind grundsätzlich ausgeschlossen. FLOSS / FOSS (OpenSource) ist der Vorzug zu geben!
Grundsatz Nr. 3 Transaktions-Authorisierung
Das Portfolio der Mechanismen zur Generierung der TAN muss soweit standardisiert sein, dass jedes Mittel (jede Implementierung / jedes Instituts) auf einer einheitlichen Plattform ausgeführt werden kann. Wenn also chipTAN, dann müssen alle chipTAN Verfahren mit dem einen vom Anwender gewählten(!) Generator durchgeführt werden können. Auch hier keine propritären Verfahren!
Pflichtenheft
Zu Grundsatz Nr. 1 Frei Wahl der Mittel
1.1 FInTS (oder ein zukünftiges, mindestens gleichwertiges Verfahren) ist Pflicht!
1.2 Es muss steuerbar bleiben, ob alle oder nur beistimmte Konten in dem jeweiligen Mittel aktiviert sind. Es ist zum Beispiel notwendig, in einer Smartphone-App nur bestimmte (einen stark reduzierten Kreis, z. B. nur das Giro-Konto) an Konten einzublenden, auf besser geschützen Computern (zu Hause) jedoch mehr aktiv zu haben. Der Handel von Wertpapieren soll möglicher Weise noch weiter abgetrennt werden. Die Konten können, müssen jedoch nicht aus mehreren Mitteln alternativ (nur eines kann zur Zeit aktiv (online) sein.
Zu Grundsatz Nr. 2 Authentitisierung und Authentifizierung
Ideallösung wäre FIDOS2, alternativ (T)OTP. U2F bzw. CTAP1 sind obsolet; vgl. Wikipedia.
Zu Grundsatz Nr. 3 Transaktions-Authorisierung
chipTAN (USB / BT / NFC) mit standardisierten Readern.
Was ist noch wichtig?
Es geht hier um die Formulierung der notwendigen Grundsätze mit dem Ziel, dem Kunden (uns) aber auch den Banken ein Umfeld zu schaffen, dass es allen ermöglicht durch Kundenorientiertheit und Leistung Begeisterung für eine Marke oder ein Produkt zu entwickeln und dieses aus Überzeugung zu nutzen; nicht weil man notgedrungen mit dem kleinsten gemeinsamen Nenner leben muss.
Dabei geht es mir nicht darum eine bestimmte Bank zu schmähen. Das Problem mit der PSD2-Umsetzung haben wir ja letztlich mit allen.
Grundsatz Nr. 1 Frei Wahl der Mittel
1.1 Die Wahl der Mittel obliegt dem Kunden! Ob also Web-Portal einer Bank, eines FinTechs oder lokales / cloud-basiertes Baking-Programm oder - wer es denn unbedingt haben muss - einer App entscheidet der Kunde.
1.2 Art und Umfang, welche Konten in dem gewählten Mittel (Programm / App) im Zugriff sind, entscheidet der Kunde!
Grundsatz Nr. 2 Authentitisierung und Authentifizierung; vergl. BSI
2.1 Die Authentifizierung muss zwingend getrennt von dem o. g. Mittel (möglich) sein.
2.2 Das gewählte Authentifizierungsverfahren muss überprüfbar dem allgemeinen Stand der Technik entsprechen und von unabhängiger Stelle zertifiziert sein. Propritäte (anbieterspezifische) Verfahren sind grundsätzlich ausgeschlossen. FLOSS / FOSS (OpenSource) ist der Vorzug zu geben!
Grundsatz Nr. 3 Transaktions-Authorisierung
Das Portfolio der Mechanismen zur Generierung der TAN muss soweit standardisiert sein, dass jedes Mittel (jede Implementierung / jedes Instituts) auf einer einheitlichen Plattform ausgeführt werden kann. Wenn also chipTAN, dann müssen alle chipTAN Verfahren mit dem einen vom Anwender gewählten(!) Generator durchgeführt werden können. Auch hier keine propritären Verfahren!
Pflichtenheft
Zu Grundsatz Nr. 1 Frei Wahl der Mittel
1.1 FInTS (oder ein zukünftiges, mindestens gleichwertiges Verfahren) ist Pflicht!
1.2 Es muss steuerbar bleiben, ob alle oder nur beistimmte Konten in dem jeweiligen Mittel aktiviert sind. Es ist zum Beispiel notwendig, in einer Smartphone-App nur bestimmte (einen stark reduzierten Kreis, z. B. nur das Giro-Konto) an Konten einzublenden, auf besser geschützen Computern (zu Hause) jedoch mehr aktiv zu haben. Der Handel von Wertpapieren soll möglicher Weise noch weiter abgetrennt werden. Die Konten können, müssen jedoch nicht aus mehreren Mitteln alternativ (nur eines kann zur Zeit aktiv (online) sein.
Zu Grundsatz Nr. 2 Authentitisierung und Authentifizierung
Ideallösung wäre FIDOS2, alternativ (T)OTP. U2F bzw. CTAP1 sind obsolet; vgl. Wikipedia.
Zu Grundsatz Nr. 3 Transaktions-Authorisierung
chipTAN (USB / BT / NFC) mit standardisierten Readern.
Was ist noch wichtig?