Hallo,

ich möchte ein automatisches Bezahlsystem entwickeln das via HBCI Kontoumsätze lädt und diese Analysiert, um z.B Vorkassenzahlungen automatisch zu erfassen. Generell ist mir das alles klar wie ich es implementieren werde, mich stört allerdings eines:

Die Abfrage und Erfassung läuft zu 100% Serverseitig - den HBCI Schlüssel würde ich aber nur ungerne 24/7 auf dem Server abspeichern denn auch ein noch so sicheres System kann geknackt werden. Da ich vor habe mehrere Kunden damit zu versorgen werden auch mehrere Schlüssel pro Server gespeichert werden müssen - der Himmel eines jeden Hackers oder?
Deswegen will ich hier die Frage in den Raum werfen ob es irgendeine eine Art von "read-only", sprich nur-lesen HBCI Schlüssel gibt mit dem man zwar Umsatzdaten abfragen kann, jedoch keine Überweisungen tätigen kann.
Oder ist das von Bank zu Bank abhängig ob die so etwas überhaupt anbieten?
Weiterhin plane ich auch Lastschriftbezahlungen automatisch abzuwickeln, es wäre also praktisch mit diesem Read-Only Schlüssel auch Lastschriftaufträge zu übermitteln.

Um es auf den Punkt zu bringen: Ich brauche einen HBCI Schlüssel / Verfahren / Bankinganbieter der nur bewegungen AUF das Konto zulässt, aber es verweigert das Konto sozusagen "zu erleichtern".
Immerhin müssen die Kunden mir ja ihre HBCI Schlüssel zur Verfügung stellen, und ich würde das selbst nicht tun wenn ich weiss dass man damit auch großen unfug treiben kann!
Gleichzeitig würde ich selbst keine Server betreiben die HBCI Schlüssel in großen Mengen abspeichern - da könnte ich nichts nicht ruhig schlafen vor Nervenkitzel.

Ich bin für jeden Hinweis sehr dankbar,
viele Grüße
Martin Kisst

Hallo Martin,

die Möglichkeit die hinterlegten Vollmachten auf Umsatzabfrage zu beschränken dürfte jede Bank haben! Aber
Jeder Kunde, der Dir sein Sicherheitsmedium gibt, verstößt gegen Verträge, die er mit der Bank abgeschlossen hat! Damit wirst Du seitens einer Bank hierzu auch keinerlei Unterstützung erwarten können. Da Du Dich bei diesem Thema auch noch in eienr Grauzine bewegst, könnte es Dir auch passieren, dass die eine oder andere Bank rechtliche Schritte hiergegen einleitet! Daher solltst Du dich vorab besser über die Rahmenbedingungen informieren!

Gruß

Holger

Das kann ich nur unterstreichen.
Wenn das Konto nur zur Umsatzabfrage freigegeben wird, ist das Risiko zwar gering, aber der Kontoinhaber wäre sicherlich wenig begeistert, wenn man seinen Kontostand über google recherchieren könnte. (falls sich wirklich mal ein Hacker an deinem Server vergeht...)

Wenn ich mich nicht irre ist in den HBCI-Vereinbarungen vorgeschrieben, dass die Schlüsseldatei auf einem Wechseldatenträger zu speichern ist.

Davon abgesehen, sollte es eigentlich jede Bank können, ein Konto nur für Umsatzabfrage und Lastschrifteinzug freizugeben.

Hallo Martin,

ein paar Gedanken hab ich dazu: Die Idee, das ganze zentral über (d)einen Server zu leiten, würde ich an deiner Stelle fallen lassen.

Es spricht aber imo nichts dagegen, dass du deinen Kunden eine Software zur Verfügung stellst, die online die Auszüge der Bank abholt und diese dann im nächsten Arbeitsgang verschlüsselt an deinen Server zur Auswertung schickt.
Der Zahlungsverkehr würde dann umgekehrt laufen: Dein Server produziert die ZV-Aufträge und die Kundensoftware bucht bei der Bank.

Natürlich ist das Thema weiterhin problematisch, den meisten Bankern gruselt es gewaltig, wenn Kontoinformationen auf anderen Rechnern als den Kundenrechnern und den Bankrechenzentralen unterwegs sind.

Der entscheidende Punkt dabei: Der Bankkunde steuert hier alles. Er muss natürlich "anwesend" sein, was wahrscheinlich im Gegensatz zu deiner Intention steht, einen autarken Umsatzserver zu haben, der alles alleine machen kann.

Gruß
Raimund

Danke für eure Hilfe, vor allem das rechtlich die HBCI schlüssel nicht weitergegeben werden dürfen war mir überhaupt nicht klar.

Werde mir nun wohl eine Lösung einfallen lassen müssen sodass der Kunde bei sich die Umsatzdaten abfrägt und dann verschlüsselt an den Server sendet - bzw evntl kann die Auswertung auch auf dem Clientrechner erfolgen dass sind jetzt nur noch Details um die ich mich kümmern werde.

Hehe aber zum Thema "muss auf wechseldatenträger gespeichert werden": Ich arbeite als IT-Consultant und ich habe es schon zu oft dass irgendwelche Sekretärinnen die Schlüsseldisketten gar nicht erst aus dem Laufwerk nehmen - Beste war mal da is das Laufwerk in nen Rechner eingerutscht durch zu festen Druck - auf meine Nachfrage kam dann: "ach das is da schon seit wochen drinn, aber macht nix die Diskette ist ja eingelegt"...


In diesem Sinne viele Grüße,
Martin

Die Schlüsselweitergabe ist gar kein Problem, da sie nicht nötig ist.
Due brauchst nur für bzw. von deinen Mandanten eine Vollmacht zur Umsatzabfrage für die jeweiligen Konten, dann bekommst du deinen eigenen Schlüssel.

Stichwort für die Bank: N-Berechtigung

@Captain Frag: Ahh danke, das ist GENAU das was ich gesucht habe

Der Hr. Google ist allerdings ziemlich geizig was dieses Thema angeht. Der Kunde muss mir dann also eine N-Berechtigung einräumen auf das Konto. Gibt es dazu evntl. Formulare/Vordrucke oder kochen die Banken da ihr eigenes Süppchen?

Liebe Grüße,
Martin

Hallo Martin,
du wirst dich jeweils bei den Banken legitimieren müssen, auch ansonsten ist die N-Vollmacht durchaus eine normale Bankvollmacht, für die jede Bank eigene Formulare verwendet.

Gruß
Raimund