Zur Info: Die Sandbox der Finanz Informatik für die XS2A Schnittstelle ist da:

PSD2-Sandbox

Ist in dieser Woche ja auch Pflicht das alle Banken die Infos zur Verfügung stellen. Man sieht aber sehr schön daran, wer die Schnittstelle als Chance und nicht nur als regulatorische Auflage ansieht. Bin mal gespannt, die DB hats seit ein paar Tagen auch online und hat gut vorgelegt was die Infos und Testdaten angeht:

https://developer.db.com/

Die haben neben der Pflichtschnittstelle halt noch eine erweiterte API im Angebot, bespielsweise für Altersnachweise die sich dann auch monetarisieren lassen. Da sehe ich durchaus Potanzial und das ist nicht schlecht gemacht was die da an den Start gebracht haben.

Nicht ganz richtig. Es gibt keine Pflicht Infos in dieser Woche bereitzustellen.
Nur wenn man nicht eine zweite Webscraping Schnittstelle zusätzlich als Fallback anbieten möchte, startet in dieser Woche die Frist.
Dann reicht es aber nicht aus diese Woche nur Informationen bereit zustellen, sondern dann muss die gesamte Schnittstelle für Sandbox-Tests schon stehen, damit TPPs ihre Umsetzungen gegen die Schnittstelle technisch testen können, bevor es dann ab Juni in die Produktivtests geht und dann im September in den Echtbetrieb.

Diese PSD2 Testschnittstellen haben alle nur einen Haken: Nur ein von der BaFin akkreditierter TPP mit gültigem Zertifikat kann/darf diese nutzen. Wenn ich nichts verpasst habe, sind aktuell ausschließlich figo und FinTecSystems akkreditiert. Testsysteme für maximal zwei Clients

finAPI auch.

https://www.bundesdruckerei.de/de/PSD2

das ist korrekt - nach ersten Tests können wir bestätigen, dass die Sandbox der Finanz Informatik die Test-Zertifikate der Bundesdruckerei akzeptiert.

In dem o.a. Link ist von Drittanbietern, Zahlungsdienstleister, Online-Zahlungsdiensten bzw. dritten Zahlungsdiensten (z.B. Onlinehändlern) die Rede. Betrifft das auch die Client-Applikation (XS2A Schnittstelle), also die Finanzsoftware?

mfg Volker

Nur wenn der Zugriff durch einen Dritten erfolgt und dieser mit den Zugangsdaten in Berührung kommt.

Traditionelle Banking Programme bleiben außen vor und können weiterhin die FinTS Schnittstelle nutzen, müssen aber ab dem 14.9.2019 auch das Thema „starke Kundenauthentifizierung /SCA“ behandeln.

Gruß
Klaus Igel

das ist jetzt schwammig.
Was heißt das genau?
Ist es ein Problem für Cloud-Lösungen, die ja zwangsläufig die Zugangsdaten speichern?
Müsste dieser mit allen Zugangsdaten in Berührung kommen (was heißt das eigentlich genau?) , also "und" oder mit einigen wenigen, also Zugang reicht, PIN nicht (oder)?
Gruß
Raimund

Ich würde den Begriff "Cloud" da nicht verwenden, da gibt es unterschiedliche Definitionen was eine Cloud ist. Manche Leute verstehen darunter einfach nur Server die man je nach Auslastung zuschalten kann, andere Menschen eine Komplettlösung wo einfach alles darauf läuft. Machen wir es einfacher:

- Kommunikation zwischen deinen lokalen Rechner per FinTS und Bankserver = OK
- Kommunikation zwischen einen Server des Anbieters per FinTS und Bankserver = notOK

Wenn also die FinTS Software irgendwo als Web-Client läuft, ist das problematisch. Denn der Anbieter verarbeitet (aber speichert diese nicht umbedingt) deine Zugangsdaten direkt. Kennt diese also auch im Zweifelsfall. Und genau das scheint, wenn ich gerade auf den aktuellen Stand sein sollte, eben nicht PSD2-konform zu sein.

Unter "Cloud Computing" versteht man doch hoffentlich inzwischen schon mehr als nur "Speichern", Software as a Service wird ja an jeder Ecke als Heilsbringer angeboten.
Danke, mir war das Problem mit FinTS gar nicht bewusst.
Eine Lösung könnte neben der PSD2 Schnittstelle sein:
Der Client lädt eine FinTS-Browsererweiterung (für PIN/TAN) oder installiert eine Mini-FinTS-Kurier-Software und lädt die Daten wieder zum Dienstleister.
Gruß
Raimund

In der Theorie vielleicht, in der Praxis aber wohl weniger. Gerade in Betrieben werden Browsererweiterungen in der Regel blockiert aus Sicherheitsgründen. Teilweise kannst du die einzeln freigeben (Chrome), teilweise gar nicht (Firefox). Beim IE keine Ahnung wie da der Stand derzeit ist, wenn du aber soweit gehst, kannst du eigentlich auch gleich den kompletten Client installieren und durch Admins freigeben lassen. Da macht dann eine Cloud-Lösung gar keinen Sinn wenn du sowieso Software lokal installieren musst. Von der Problematik bei Thin Clients fangen wir dann lieber gar nicht erst an.

Eine Lösung dieser Art haben wir bereits mehrmals in Projekten realisiert und bieten das demnächst auch offiziell als Standardprodukt unter dem Namen FinModel Server an. Wobei wir natürlich keine Browsererweiterung, sondern einfach unsere BankingZV Clientsoftware nehmen. Diese kann dann auch automatisch per Kommandozeile gestartet werden, holt die Umsätze von den Banken via FinTS und lädt diese dann direkt in das Buchhaltungssystem der Firma oder auf unseren FinModel Server. Damit wird PSD2 elegant umschifft. Für kleinere Betriebe ist diese Lösung optimal, da jegliche Banking Komplexität auf BankingZV, also auf uns abgewälzt wird. Die Buchhaltungssoftware hat mit dem Banking nichts zu tun.

Größere Betriebe können und sollten statt dessen einfach EBICS nutzen. Auch hier können wir helfen

PSD2: Banken müssen Drittanbieter-APIs für Testphase freigeben
https://www.heise.de/newsticke…36579.html

Das würde ich nicht so sehen - es ist für viele Admins schon ein Unterschied, ob du wenige MB mit einem überschaubaren Funktionsumfang installieren musst oder eine komplette Datenbankanwendung.
Thin Client sollten doch kein Problem darstellen, wenn es einen eigenen Server gibt, oder?
Womöglich gibt es dafür bald fertige FinTS-Docker-Container?
Gruß
Raimund

Finanz Informatik nimmt PSD2-Sandbox für Sparkassen-Finanzgruppe in Betrieb
Ab sofort können FinTechs und andere Banken die Anbindung an die kommende PSD2-Schnittstelle der Sparkassen erproben
https://www.f-i.de/News/Presse…in-Betrieb

Homepage: https://xs2a.sparkassen-hub.com/home

PSD2: Starke Kundenauthentifizierung und ihre Folgen
https://blog.starfinanz.de/psd…re-folgen/

PSD2: Veränderungen für Online-Banking-Nutzer
https://blog.starfinanz.de/psd…ng-nutzer/

Hallo allerseits,

ich verwende z.Zt. intensiv die Opensource Bibliothek libfintx (HBCI) und entwickle diese auch weiter. Einsatzzweck: automatischer Umsatzabruf und Überweisungen/Daueraufträge.

1) Nach meinem Wissen wird HBCI von fast allen Banken auch zukünftig angeboten. Allerdings ist ab September 2019 kein automatischer Umsatzabruf mehr möglich, da eine unregelmäßige TAN-Eingabe erforderlich ist. Liege ich da richtig?

2) Das erklärte Ziel von PSD2 ist ja, den Wettbewerb im Bereich der Finanzdienstleister und Banken zu stärken. Wie soll denn der Wettbewerb gestärkt werden, wenn nur noch wenige von der BaFin akkreditierte Unternehmen die neue API nutzen können? Für einen Opensource Entwickler ist sowohl die Akkreditierung als auch die folgende Regulierung via Auditing, etc. ein unüberwindbares Hindernis. Oder wie seht ihr das?

Gruß