Standardisierung

1. Einleitung

Im innovativen und offenen europäischen Kartenmarkt wird das girocard-System von vielen neuen Marktteilnehmern als ein interessantes Kartenzahlungssystem mit Potenzial erkannt. Der Marktzugang wird durch SEPA erleichtert, was die Möglichkeit zur Ausbreitung der girocard-Akzeptanz in anderen europäischen Ländern eröffnet. Die Anforderungen an POS-Terminals werden durch das von girocard verfolgte Konzept vereinfachter Terminals reduziert, was ebenfalls erweiterte Marktchancen bietet.

Die Deutsche Kreditwirtschaft (DK) begleitet und unterstützt die für ihr Zahlungssystem wesentlichen europäischen Standardisierungsarbeiten von Anfang an. Standards sorgen nicht nur für Kostenreduzierung und mehr Wettbewerb, sondern unterstützen auch effizientere Verfahren bei der Zertifizierung und Zulassung von Produkten über Ländergrenzen hinweg. Einheitliche technische Schnittstellen sorgen für geringe Entwicklungsaufwände und kürzere Implementierungszeiten.

Mit den neuen, einheitlich europäischen Zertifizierungsverfahren und dem vereinfachten und verteilten Terminal werden Erleichterungen Im Bereich der Herstellung, Anwendung und Nutzung auf vielen Ebenen erreicht. Aufwand und Kosten der Händler:innen für den Betrieb von Terminals im Feld sinken.

Nicht zuletzt ist neben den marktgetriebenen Standardisierungsinitiativen und -projekten auch die Europäische Kommission und die Europäische Zentralbank an der Harmonisierung im kartengestützten Zahlungsverkehr in ganz Europa interessiert. In diesem Zusammenhang nimmt die „European Cards Stakeholders Group (ECSG)“ mit Vertreter:innen aus verschiedenen Bereichen des europäischen Kartenmarktes eine wichtige Rolle ein.

Die für die Deutsche Kreditwirtschaft wesentlichen Standardisierungsinitiativen mit Relevanz für girocard werden nachstehend vorgestellt.

2. Europäische Regulierung und SEPA Cards Standardisation Volume der EPSG (SCS Volume) 

Schon in der Lissabon Agenda aus dem Jahr 2000 wurden die langfristigen Ziele für Europa formuliert: Der gemeinsame Binnenmarkt soll gestärkt werden. Dies schließt als Teilbereich auch den Zahlungsverkehr und das Kartengeschäft ein.

Gleichwohl haben auch im europäischen Markt tätige Zahlungssysteme ein Interesse an effizienten und innovativen Verfahren als auch an dem Ausbau ihrer Marktanteile. Bereits im Jahr 2003 hatte die Deutsche Kreditwirtschaft die CAS-Initiative gemeinsam mit europäischen und globalen Zahlungssystemen gegründet – das „Common Approval Scheme (CAS)“ definierte grundlegende allgemeine Anforderungen an die Sicherheit von POS-Terminals und Karten und deren Begutachtung.

In den Folgejahren haben sich die Standardisierungsinitiativen OSCar, OSeC und Berlin Group unter Beteiligung der Deutschen Kreditwirtschaft gebildet; erste Pilotprojekte wurden erfolgreich gestartet. Diese Initiativen haben sich weiterentwickelt und finden sich heute unter Mitwirkung der DK in nexo, CFCF und Common.SECC wieder.

Für alle Initiativen ist folgende Rahmenbedingung von Bedeutung:

Das SCS Volume der European Payments Stakeholder Group (EPSG, ehemals ECSG) beschreibt generische Anforderungen an POS-Terminals, Smartcards, die Zertifizierung, sowohl funktional als auch bezüglich der Sicherheit. Erarbeitet und gepflegt werden die zurzeit sieben Bücher des SCS Volumes durch die EPSG, einer Arbeitsgruppe verschiedener Marktteilnehmer, die aus den Bereichen Handel, Herstellung, Prozessoren, Banken und Zahlungssysteme kommen. Die breite und politisch gewünschte Einbeziehung betroffener und interessierter Marktteilnehmer ist hierüber sichergestellt.

Die Standardisierungsaktivitäten im Kartenzahlungsverkehr in Europa sind umfangreich. Alle Anforderungen zusammenzuführen und zu einheitlichen Lösungen zu überführen, ist möglich – das zeigen Pilotprojekte. So fordert auch die europäische Verordnung Interchange Fee Regulation (IFR) mit Wirkung zum 9. Juni 2016 die Nutzung internationaler Standards, ohne jedoch konkrete Vorgaben zu machen. Gleichwohl soll der einheitliche europäische Zahlungsverkehrsbinnenmarkt schnell erreicht werden – über marktgetriebene Standardisierungsbemühungen und weitere Regulierungsvorhaben. So gibt auch die Europäische Bankenaufsichtsbehörde (EBA) bestimmte Sicherheitsanforderungen vor. Aber auch der 2013 geschaffene Euro Retail Payments Board (ERPB) der EZB beschäftigt sich mit der Forcierung der Standardisierungsaktivitäten im unbaren Zahlungsverkehr.

Die Deutsche Kreditwirtschaft hat durch ihr frühzeitiges Engagement in der europäischen Standardisierung bereits die Grundlagen für die Implementierungen in den nächsten Jahren gelegt. Unterstützt wird eine marktgetriebene Nutzung, weshalb Wert auf die Einbeziehung der Marktteilnehmer gelegt wird. Dieser Antritt ist einer Festlegung kurzfristiger verbindlicher Migrationstermine für europäische Standards durch staatliche Regulierung, welche hohe Investitionen bei sinkenden Erträgen für alle Beteiligten im Kartengeschäft bedeuten könnte, vorzuziehen.

Links:

• European Payments Stakeholders Group
• Interchange Fee Regulation (IFR)

3. Zertifizierung und Zulassung durch die Deutsche Kreditwirtschaft als “governance authority“ des girocard-Systems

Zertifizierung ist die Bestätigung der Einhaltung bestimmter Implementierungsanforderungen. Ein Zertifikat wird i. d. R. gegenüber einem Hersteller für ein bestimmtes zu zertifizierendes Produkt ausgestellt.

In den Standardisierungsinitiativen CFCF (Common Functional Certification Framework) und Common.SECC (Common Security Evaluation & Certification Consortium) wird im Rahmen der Vereinheitlichung eine einheitliche europäische Zertifizierungsinfrastruktur aufgebaut:

Bei Common.SECC wird auf den internationalen Zertifizierungsstandard Common Criteria (CC) zurückgegriffen. Die britische UK Finance und die Deutsche Kreditwirtschaft haben aufbauend auf dieser Evaluierungsmethode die Zertifizierung von POS-Terminals zur Nutzung in beiden Märkten etabliert.

CFCF baut die bereits von OSCar in den vergangenen Jahren bereitgestellte Zertifizierungsinfrastruktur für POS-Terminals im funktionalen Bereich aus. Das Konsortium, dem aktuell die französische Cartes Bancaires und die Deutsche Kreditwirtschaft angehören, definiert die Bedingungen für Zertifizierungen, die von teilnehmenden Zahlungssystemen im Rahmen einer Zulassung anerkannt werden. Eine Zulassung ist die Freigabe durch ein Kartenzahlungssystem, so dass ein zertifiziertes Produkt im Markt eingesetzt werden kann (type approval). In die Entscheidung über die Zulassung werden neben den gültigen Zertifikaten weitere objektiv notwendige, zahlungssystemspezifische Anforderungen berücksichtigt. Beispielsweise werden Typ-Zulassungen für Terminals im girocard-System immer auf der Grundlage eines gültigen Zertifikates für die Einhaltung funktionaler und sicherheitsrelevanter Anforderungen erteilt.

Das Zulassungsverfahren der Deutschen Kreditwirtschaft ist in dem Dokument „GBIC Approval Scheme“ beschrieben. In detaillierten Zulassungsanforderungen je Komponente sind Spezifikationen, Sicherheitsanforderungen, Optionen und sonstige Anforderungen beschrieben. Fragen zur Zulassung können gern direkt an das Zulassungsbüro der Deutschen Kreditwirtschaft beim VÖB, per E-Mail an zulassungsbuero@voeb.de gerichtet werden.

Fragen zur Zertifizierung gemäß CFCF sowie zur Integration europäischer Standards können ebenfalls gern direkt per E-Mail an die VÖB-Zertifizierungsstelle zulassungsbuero@voeb.de gerichtet werden.

Link:

• Approval Scheme

4. SEPA Card Clearing (SCC)

Bereits im Jahr 2004 haben sich europäische Zahlungssysteme zur sogenannten „Berlin Group“ zusammengeschlossen – benannt nach dem Gründungsort Berlin. Ziel dieser marktgetriebenen Standardisierungsinitiative, der heute 31 Organisationen aus zahlreichen europäischen Ländern angehören, ist die Erarbeitung von Implementierungsspezifikationen für ein einheitliches, zahlungssystemneutrales Clearing und die Autorisierung von Kartentransaktionen.

Die Spezifikationen sind frei verfügbar und können von jedem Zahlungssystem angewendet werden. Praktisch genutzt werden könnten sie heute beispielsweise für grenzüberschreitende POS- und Geldautomaten-Transaktionen im Rahmen bilateraler Vereinbarungen mit dem girocard-System.

Ein wichtiger Schritt für das girocard-System war die Migration auf ein einheitliches, von der Berlin Group spezifiziertes SEPA Card Clearing (SCC) zum Ende des Jahres 2015. Denn das im Jahre 1976 erstmals eingeführte, deutsche Datenträgeraustausch-Verfahren (DTA) für das Clearing von Kartenzahlungstransaktionen in Deutschland wurde im Zuge der Umstellung auf einheitliche SEPA-Formate für Überweisungen und Lastschriften seitens der Deutschen Bundesbank Anfang 2016 eingestellt.

Die Umstellung auf das SEPA Card Clearing musste sowohl auf Bankenseite (Betreiber von Geldautomaten, Kartenemittenten), durch Prozessoren, als auch auf Seiten der girocard-Netzbetreiber umgesetzt werden. Die wesentliche Änderung, die SCC im Vergleich zu DTA bringt, ist die Umsetzung von IBAN/BIC im SEPA-Format und die XML-strukturierte Verarbeitung der Kartentransaktionen (Kartencontainer).

Gleichzeitig generiert diese Migration Synergieeffekte für Automated Clearing Houses (ACHs), Banken und Gläubiger durch die Nutzung der bereits bestehenden SEPA-Infrastruktur durch die technische Nähe zu anderen SEPA-Transaktionen nach ISO 20022-Formaten.

Umgesetzt wird SCC für:

• girocard (POS und GA), GeldKarte-Abrechnung
• V PAY, Maestro, bilaterale Kooperationen – sogenannte „letzte Meile“ zum Anschluss der Institute an die Kartenprozessoren

Link:

• Berlin Group

5. Vereinfachtes Terminal (chip-only)

Bisher einmalig in Europa ist das sogenannte „vereinfachte“ Terminal, welches auch als „chip-only“-Terminal bezeichnet werden kann. Was steckt dahinter?

Zum Start des electronic cash-Systems im Jahr 1990 erfolgte die Verarbeitung der girocard (damals noch ec-Karte) über den Magnetstreifen, seit 1998 zusätzlich auf Basis der Chipkarte. Bereits seit Ende Februar 2013 werden girocard-Transaktionen ausschließlich über die EMV-Chipanwendung abgewickelt. Der Hardware-Schutz für die Magnetstreifenverarbeitung und die PIN-Eingabe entfällt, Anforderungen an die Sicherheit der Chip-Verarbeitung bleiben. In einem rein chipbasierten Kartenzahlungssystem basiert die Sicherheit vor allem auf dem Besitz der Karte, und die bereits im Jahr 1998 eingeführte Chiptechnologie für Kartenzahlungen hat sich als sicher und verlässlich erwiesen. Aus dieser Verringerung der hardware-technischen Anforderungen leitet sich der Begriff „vereinfachtes Terminal“ ab.

Das chip-only-Terminal hat Potenzial für Hersteller, denn die girocard-Terminals müssen nunmehr nur „vereinfachten“ Sicherheitsanforderungen genügen. Entwicklungs-, Produktions- und Zertifizierungsaufwände werden teils deutlich reduziert. Der Markteintritt für Hersteller wird erleichtert, Anschaffungs- und Investitionskosten für Händler.innen dürften damit ebenfalls sinken.

Mit „vereinfachten“ Terminals können weiterhin neue Terminalinfrastrukturen entwickelt und betrieben werden, die ihrerseits zu geringeren Administrationskosten führen. Der Betrieb von POS-Terminals über sogenannte „verteilte“ Strukturen wird einfacher. So bieten sich zunehmend Server-Lösungen an – bestimmte Anwendungen aus dem POS-Terminal können auf andere Komponenten verlagert werden (bspw. Smartphones, die als Händlerkasse agieren).

Neue, innovative Terminalkonzepte sind notwendig und stärken die Wettbewerbsfähigkeit des girocard-Systems in Deutschland und in Europa. Ein flexiblerer und effizienter Betrieb von Terminals erleichtert die Terminaladministration. Der Anschluss an das girocard-System von Händlergruppen, die bisher nicht erreicht werden konnten, wird möglich.

Die Sicherheitskriterien der Deutschen Kreditwirtschaft für chip-only-Terminals entsprechen den Anforderungen im „Book of Requirements“ des European Payment Councils (EPC), „Volume book 4“.

6. Common Security Evaluation & Certification Consortium (Common.SECC)

Common.SECC betreibt die Zertifizierung von POS-Terminals auf Basis der zahlungssystemunabhängigen Common Criteria Methodology (CC/ISO 15 408). Das Konsortium hat sich nach Beendigung der OSeC-Initiative gegründet. Ziel von UK Finance und der DK ist es, anhand eines einmal evaluierten und zertifizierten POS-Terminals eine einheitliche Sicherheitszertifizierung als Grundlage für die Erteilung einer Zulassung zu schaffen.

Dass die Common Criteria-Methode, die ursprünglich aus der IT-Sicherheit stammt, auch für POS-Terminals funktioniert, hatten die im OSeC-Piloten ausgestellten CC-Zertifikate bewiesen. Seitdem akzeptiert die Deutsche Kreditwirtschaft CC-Zertifikate auch in ihrem Zulassungsverfahren. Eine Migration im Zulassungsverfahren auf die ausschließliche Nutzung von CC als Evaluierungsmethode für POS-Terminals fand zum Anfang 2017 statt. Mit dem Beitritt zu Common.SECC wurde die gegenseitige Akzeptanz der Evaluierungsergebnisse erreicht. Common.SECC ist insofern relevant für Terminalhersteller. Bedeutung hatte das OSeC-Projekt nicht nur aufgrund der allgemeinen Umstellung auf eine einheitliche europäische Evaluierungsmethode. Auch die Evaluierungstiefe von Common Criteria entspricht den Anforderungen der Deutschen Kreditwirtschaft an die Sicherheit der im girocard-System zum Einsatz kommenden POS-Terminals.

Links:

• Common Security Evaluation & Certification Consortium
• Senior Officials Group Information Systems Security

7. European Card Payment Cooperation (ECPC)

Die European Card Payment Cooperation (ECPC) wurde als Genossenschaft in Belgien gegründet. Aufgabe der ECPC ist es, die Entwicklung der CPACE-Spezifikation für Karten und Terminals in der Zahlungsbranche zu etablieren und zu unterstützen.

CPACE (Common Payment Application Contactless Extension) ist eine unabhängige Karten- und Mobile-Payment-Anwendung, die für Transaktionen aller Zahlungssysteme verwendet werden kann und unabhängig von kontaktlosen Spezifikationen der globalen Zahlungssysteme ist.

Die Verwendung von CPACE birgt ein erhebliches Potenzial, da es auf CPA (Common Payment Application), einem weit verbreiteten EMVCo-Standard für Karten (bereits > 300 Millionen ausgegebene Karten) aufbaut sowie aufgrund der Anzahl an Karten, die von den derzeit an der CPACE-Entwicklung beteiligten Systemen repräsentiert werden. CPACE kann auch zur Absicherung von Ferntransaktionen gemäß den regulatorischen Anforderungen der neuesten EU-Richtlinien und der dazugehörigen RTS (PSD2 Starke Kundenauthentifizierung) eingesetzt werden. CPACE ermöglicht die Verwendung derselben Spezifikation der Zahlungsanwendungen für unterschiedliche Umgebungen (kontaktbehaftete Karten, kontaktlose Karten, kontaktlose Terminalanwendung, E-Commerce-Transaktionen, etc.).

ECPC ermöglicht auch die zahlungssystemübergreifende Zertifizierung von CPACE-Karten- und Terminalanwendungen („One-Stop-Shopping“).

Link:

• European Card Payment Cooperation

8. Gemeinsame Plattformstrategien der Deutschen Kreditwirtschaft

8.1 SECCOS
Mit SECCOS hat die DK eine Plattformstrategie entwickelt, die es den Emittenten von Zahlungsverkehrskarten - aber auch den Emittenten anderer Karten - erlaubt, die gestellten Anforderungen zahlungssystemunabhängig zu erfüllen.

SECCOS entspricht den Anforderungen an moderne Multi-Applikationsplattformen und ist eine funktional und sicherheitstechnisch optimale Grundlage besonders für die Unterstützung von Zahlungsanwendungen.

Die SECCOS-Strategie umfasst grundsätzlich zwei Komponenten:

• Die SECCOS-Spezifikationen legen einheitliche technische Anforderungen an eine Multi-Applikations-Plattform fest, die es ermöglicht, neue Anwendungen durch Änderung der Personalisierung, d.h. ohne Änderung des Chipkartenbetriebssystems zu unterstützen. Hierzu gehören alle Elemente einer Chipkartensoftware, die übergreifend für mehrere Anwendungen zur Verfügung stehen sollen, wie die Kommandos, die von der Chipkarte unterstützt werden, die Datenstrukturen sowie die übergreifend erforderliche Sicherheitsarchitektur, die Sicherheitsfunktionen und Zugriffsbedingungen für Daten der Chipkarte umfasst. Diese Spezifikationen stehen allen interessierten Herstellern frei zur Verfügung. So entsteht Wettbewerb zwischen den Herstellern von Chipkarten.
  
  
• Das Zulassungsverfahren, das auf der Basis eines umfassenden funktionalen Testverfahrens und einer neutralen Sicherheitsbegutachtung eine einheitliche Qualität und Sicherheit der Chipkarten sowie deren Interoperabilität im Gesamtsystem gewährleistet.

SECCOS steht damit nicht für ein Chipkartenbetriebssystem eines einzelnen Herstellers. SECCOS ist vielmehr das „Pflichtenheft“ der Kreditwirtschaft für Chipkartenbetriebssysteme, die auf kreditwirtschaftlichen Zahlungskarten zum Einsatz kommen, ergänzt um ein umfassendes Zulassungsverfahren, das die Einhaltung der technischen Anforderungen gewährleistet. SECCOS steht den Herstellern lizenzfrei zur Verfügung und ermöglicht Kartenausgebern das lizenzfreie Angebot verschiedener Anwendungen auf einer Karte.

Die Bezeichnung „SECCOS“ selbst leitet sich ab aus „Secure Chip Card Operating System“ und wird seit 1999 für diese Strategie verwendet.

Chipkarten, für die der Nachweis erbracht wurde, dass sie die funktionalen und sicherheitstechnischen Anforderungen der Kreditwirtschaft erfüllen, dürfen als SECCOS-Chipkarten bezeichnet werden. Hierfür wurde 2005 erstmals auch ein spezielles Markenzeichen eingeführt, das nur für die Produkte verwendet werden darf, die durch die deutsche Kreditwirtschaft zugelassen worden sind. SECCOS steht damit auch äußerlich erkennbar für „geprüfte Qualität und Sicherheit“. Mit dieser Vorgehensweise stellt die Kreditwirtschaft sicher, dass der Wettbewerb zwischen den Herstellern von Chipkarten auf der Grundlage einheitlicher Anforderungen geführt wird und ein einheitlich hohes Qualitätsniveau für die von den Kreditinstituten auszugebenden Chipkarten gewährleistet wird.

SECCOS wird durch die DK permanent gepflegt und weiterentwickelt. Dabei wird eine umfassende Einbindung aller relevanten Stakeholder in die Weiterentwicklung gewährleistet. Durch die umfassend abgestimmten Migrationszyklen bei der Einführung von Ergänzungen oder Änderungen zum Standard wird für Hersteller und Kartenemittenten maximale Investitionssicherheit gewährleistet.
SECCOS orientiert sich dabei an den hohen Sicherheitsanforderungen für kreditwirtschaftliche Anwendungen und erfüllt auch alle Anforderungen, die an gesetzeskonforme Signaturkarten gestellt werden. SECCOS profitiert von dem permanenten Review der technischen Spezifikationen innerhalb der Kreditwirtschaft vor dem Hintergrund aktueller Entwicklungen im Bereich der IT-Sicherheit.

8.2 DC POS
Die Deutsche Kreditwirtschaft und die in Deutschland tätigen Acquirer haben im Interesse einer effizienten und harmonisierten EMV-POS-fähigen Terminal-Infrastruktur bei der EMV-Einführung zum Jahr 2005 im deutschen Markt ein gemeinsames, zahlungssystemübergreifendes Zulassungsverfahren vereinbart. Hierin sind die Anforderungen aller im deutschen Markt relevanten Kartenzahlungssysteme einschließlich ihrer Debit- und Kreditprodukte abgedeckt.

Voraussetzung ist eine einheitliche Spezifikation für die Zahlungsverkehrsanwendung, die sowohl Debit- und Kreditkarten verarbeitet. Diese Spezifikation, bekannt als „DC POS“, ist inzwischen bei nahezu allen Terminals im deutschen Markt erfolgreich implementiert und im Einsatz.

Das auf dieser Spezifikation aufbauende gemeinsame Zulassungsverfahren schafft Kosten-Nutzen-Vorteile für alle Beteiligten: Eine Spezifikation, eine Implementierung, ein Funktionstest führen zu mehreren Typzulassungen für ein und dasselbe Produkt.

Die von DK und Acquirern gemeinsam vorgegebene Terminalspezifikation ist eine wesentliche Voraussetzung für die Akzeptanz und Umsetzung durch die internationalen Hersteller für den girocard-Markt.

9. nexo

Aus den europäischen Standardisierungsinitiativen EPAS, CIR und OSCar ist im Jahr 2014 nexo AISBL hervorgegangen.

Während bei EPAS die Protokolle Terminalmanagement, Acquirer und Retailer definiert und weiterentwickelt werden, hatte CIR zwischen 2010 und 2014 die Entwicklung einer einheitlichen Zahlungsverkehrsanwendung für die Verarbeitung von Karten mehrerer Zahlungssysteme am POS-Terminal und Acquirer-Host und OSCar die Bereitstellung einer einheitlichen europäischen Zertifizierungsinfrastruktur zum Ziel.

Nach ersten Pilotierungen von OSCar-Terminals in Frankreich und Portugal sowie Deutschland hat sich die Initiative mit EPAS zusammengeschlossen, um Synergieeffekte zu erzielen und gemeinsam die Terminalstandardisierung in Europa zu forcieren. nexo stellt auf der Grundlage der Volume-Anforderungen die für die Marktteilnehmer erforderlichen Implementierungsspezifikationen bereit und unterstützt diese bei der Implementierung.

Das Interesse an den neuen Standards, der die Karten und Terminal-Protokolle zusammenführt, ist groß. Die Notwendigkeit ist offensichtlich: Während bisher jedes Kartenzahlungssystem bzw. Land eigene, proprietäre POS-Anwendungen spezifiziert und betrieben hat, werden die Aufwände für die Entwicklung und Implementierung einer europäischen Anwendung deutlich reduziert. Weitere Vorteile sind:

•  Länderspezifische Kassenimplementierungen können zugunsten länder- und zahlungssystemunabhängiger Lösungen entfallen   Der Wechsel des Acquirers/Netzbetreibers wird für den Händler:innen aufgrund interoperabler Protokolle und Schnittstellen einfacher.
•  Einheitliche, länderübergreifende Terminal- und Host-Lösungen als auch neue Geschäftsmodelle können optimiert angeboten werden.
•  Die länderübergreifende Anbindung von Händlern wird erleichtert.
•  Entwicklungs-/Implementierungs-/Zertifizierungsaufwände reduzieren sich auf allen Ebenen.
•  Technische Migrationen und/oder Updates können künftig zügiger durchgeführt werden.

Terminalhersteller und Netzbetreiber können auf Basis von nexo-Standards ihre Produkte bei CFCF zertifizieren lassen und die Zulassung im girocard-System durch die Deutsche Kreditwirtschaft durch Anerkennung der CFCF-Zertifikate erhalten. Vereinfachungen im Vergleich zum heutigen Zulassungsverfahren werden bei Unterstützung von nexo-Standards gewährleistet. Die Deutsche Kreditwirtschaft unterstützt als aktives Mitglied bei nexo die Aktivitäten rund um das Spezifizieren der Schnittstellen.

Für den funktionalen Teil der POS-Terminals folgt nexo den Vorgaben aus dem „Volume“ der ECSG; ebenso folgt CFCF für die Zertifizierung der Terminals diesen Vorgaben.
nexo unterstützt auch die Verwendung der girocard- und der CPACE-Anwendung für kontaktlose Kartenakzeptanz.

10. Common Functional Certification Framework (CFCF)

Die französische Kartenorganisation Cartes Bancaires (CB) und die Deutsche Kreditwirtschaft stellvertretend für das girocard-System haben sich im Frühjahr 2015 darauf verständigt, den neuen Kartenzahlungsstandard OSCar sowie die zugrunde liegenden EPAS- und SEPA-FAST-Spezifikationen, nun nexo-Standards, anzuerkennen. CFCF führt quasi die unter OSCar begonnenen Arbeiten zum Aufbau einer einheitlichen Zertifizierungsinfrastruktur fort.

Der Konsortialvertrag umfasst daher die Infrastruktur für die Zertifizierung dieser Produkte, der u. a. Verwendung gemeinsamer Zertifizierungsstellen als auch einheitliche Validierungsanforderungen enthält. Als Zertifizierungsstellen fungieren heute die französische PayCert und der VÖB.

Eine einheitliche Zertifizierung der nexo-Produkte führt zu einer Angleichung der funktionalen Anforderungen auch an die Zulassung für Kartenzahlungsterminals, die von beiden Systemen verwendet werden, und ist ein wichtiger Schritt bei der Integration von Kartenzahlungen in Europa:

• Für Gerätehersteller bedeutet dies einen einzigen Entwicklungsprozess und ein „One-Stop-Shopping“ für die Zertifizierung. Sie sind jetzt in der Lage, den in Summe mehr als 2 Millionen Endgeräte umfassenden französischen und deutschen Markt zu adressieren. Dies ermöglicht Skaleneffekte auf gesamteuropäischer Ebene und eine schnellere Markteinführung für weitere innovative Terminals.
• Für Acquirer ermöglichen diese gängigen und weniger fragmentierten Prozesse sowohl Skaleneffekte als auch die Möglichkeit, sich auf Innovationen und Service-Levels für ihre Einzelhändler zu fokussieren.
• Einzelhändler und Karteninhaber:innen profitieren von der Möglichkeit, die gleichen Kartenzahlungsterminals auf die gleiche Weise in einem größeren Marktumfeld zu nutzen. Einzelhändler, die in beiden Märkten aktiv sind, erzielen so Skaleneffekte und können ihrerseits Innovationen oder neue Dienstleistungen effektiver umsetzen.
• Für alle Beteiligten ist die Verwendung dieser gemeinsamen Spezifikations- und Zertifizierungsinfrastruktur ein notwendiger Schritt, um einen enger verzahnten Kartenzahlungsmarkt in Europa zu erreichen.
• Mit der Initiative leisten CB und girocard, vor allem in Frankreich und Deutschland, einen wesentlichen Beitrag zum Projekt SEPA für Karten für alle Beteiligten im Ökosystem des Marktes für europäische Kartenzahlung, der so ein Stück näher rückt. CB und girocard erwarten, dass sich in naher Zukunft auch andere Kartensysteme in der Europäischen Union dieser Initiative anschließen werden.

Link:

• Common Functional Certification Framework

11. Kommunikation mit Marktteilnehmern

Die Teilnahme in den für das girocard-System relevanten europäischen Standardisierungsinitiativen steht allen Marktteilnehmern offen. Interessierte Marktteilnehmer wenden sich daher direkt an die Koordinatoren dieser Gruppen.

Für die Umsetzung der neuen Standards im girocard-System bietet die Deutsche Kreditwirtschaft Workshops und Round Tables an. Bei Interesse bzw. auch einzelnen Fragestellungen wenden Sie sich bitte über das Kontaktformular an uns. Die Fragen werden dann an die zuständigen Stellen innerhalb der Kreditwirtschaft zur Beantwortung und Koordination weitergeleitet.

Weitere regelmäßige Arbeitstreffen und Arbeitskreise existieren zwischen der Deutschen Kreditwirtschaft und den zugelassenen girocard-Netzbetreibern.

Für weitere Fragen zu technischen Schnittstellen, Protokollen und die Umsetzung im Markt benutzen Sie bitte ebenfalls unser Kontakt-Formular.