Developer-Portale im Zusammenhang mit PSD2 (2/3)
Roger Wisler
Im ersten Beitrag dieser Reihe habe ich die Rahmenbedingungen bezüglich PSD2 und die entsprechenden Phasen beschrieben. Darüber hinaus bin ich bereits auf die UBS Testplattform, welche im Rahmen von PSD2 etabliert wurde, eingegangen. Der heutige Beitrag gibt sodann einerseits Einblick in die Umgebung, welche die Credit Suisse ihren „EU-Ablegern“ anbietet, andererseits wird der „Solution-Provider“ hinter den „Developer-Portalen“ beleuchtet.
Credit Suisse PSD2 Open Banking Portal
Die Credit Suisse bietet ihrerseits ein Open Banking Portal für ihre Niederlassungen in Österreich, Spanien, Italien, Luxemburg und UK an. Auch diese Lösung verfolgt das Ziel für dritte eine offene Schnittstellen für Kontoinformations- wie Kontodeckungsabfragen anzubieten. Was die Authentisierung angeht, so hat sich auch die CS, deckungsgleich mit der UBS für den „Redirect-Flow“ entschieden. Das heisst also, ein Kunde erteilt mittels seinen „E-Banking-Credentials“ auf einer Autorisierungs-Seite den Zugang, bevor ein Third Party Provider Kundeninformationen von deren Konten abfragen kann.
„Redirect-Flow” und Usability
Auch wenn „Redirect-Flow“ aus Bankensicht die sicherste Authentisierungs-Methode betrachtet wird, so ist dieser Vorgang für den User respektive den Kunden eher mühsam. Wie bereits beschrieben erfordert diese Authentisierungs-Methode einen extra Prozessschritt, welcher durch den Kunden vollzogen werden muss. Eine Möglichkeit der Bestätigung via Smartphone, wie Beispielsweise eine Autorisierung via Access-App würde diesen Prozess deutlich eleganter gestalten und wäre von daher wünschenswert.
„Redirect-Flow“ und Sicherheit
Was die Sicherheit angeht, so bieten die beiden Portale der UBS und der Credit Suisse hinsichtlich ihrer APIs und deren Nutzung durch Third Party Providers, eine verschlüsselte Verbindung (Mutual SSL) an. Die Third Party Providers benötigen zudem für die Verwendung von produktiven Bankdaten ein sogenanntes „Qualified Website Authentication Certificate “ kurz QWAC, um auf die Schnittstellen zu den Banken zugreifen zu können. Dieses Zertifikat muss wiederum durch einen EU-zulässigen Zertifizierungsdienstanbieter, einen sogenannten „Qualified Trust Service Provider" kurz QTSP ausgestellt werden. Anbieter solcher Zertifikate sind reguliert und werden in der EU-Vertrauensliste aufgeführt.
Developer Portale Marke NDGIT
Die Firma hinter den beiden Developer-Portalen für die PSD2 relevanten APIs ist das Münchner Startup NDGIT GmbH. NDGIT hat sich auf Lösungen hinsichtlich der PSD2 relevanten Schnittstellen für EU-Banken spezialisiert und sich mit diversen Projekten in diesem Rahmen einen Namen gemacht. Durch das Prinzip von „Banking-as-a-Service“ können sich Banken über APIs mit FinTechs und weiteren Partnern in einem digitalen Ökosystem verbinden.
Fazit
Mit Developer-Portalen für Open Banking bietet sich einerseits die Chance, mit Third Party Providers und FinTechs einen digitalen Marktplatz zu etablieren. Im Zentrum steht hierbei die Kunden, denn dieser erhalten in einem solchen Konstrukt einen deutlichen Mehrwert, zumal sie so Zugang zu einem deutlich erweiterten Leistungsangebot erhalten. Im nächsten Beitrag werde ich weitere individuelle Developer-Portale anhand von Beispielen beschreiben. Bleiben Sie dran.
Lesen Sie weitere Teile dieser Blogserie:
Developer-Portale im Zusammenhang mit PSD2 (1/3)
Developer-Portale im Zusammenhang mit PSD2 (3/3)
