Standardisierungen

Standardisierungen

 

1. Einleitung

Im innovativen und offenen europäischen Kartenmarkt wird das girocard-System von vielen neuen Marktteilnehmern als ein interessantes Kartenzahlungssystem mit Potenzial erkannt. Der Marktzugang wird durch SEPA erleichtert, was die Möglichkeit zur Ausbreitung der girocard-Akzeptanz in anderen europäischen Ländern eröffnet. Die Anforderungen an POS-Terminals werden durch das von girocard verfolgte Konzept vereinfachter Terminals reduziert, was ebenfalls erweiterte Marktchancen bietet.

Die Deutsche Kreditwirtschaft begleitet und unterstützt die für ihr Zahlungssystem wesentlichen europäischen Standardisierungsarbeiten von Anfang an. Standards sorgen nicht nur für Kostenreduzierung und mehr Wettbewerb, sondern unterstützen auch effizientere Verfahren bei der Zertifizierung und Zulassung von Produkten über Ländergrenzen hinweg. Einheitliche technische Schnittstellen sorgen für geringe Entwicklungsaufwände und kürzere Implementierungszeiten.

Mit den neuen, einheitlich europäischen Zertifizierungsverfahren und dem vereinfachten und verteilten Terminal werden Erleichterungen für Hersteller, Anwender und Nutzer auf vielen Ebenen erreicht. Aufwand und Kosten der Händler für den Betrieb von Terminals im Feld sinken.

Nicht zuletzt beschäftigen sich neben den marktgetriebenen Standardisierungsinitiativen und -projekten die Europäische Kommission und die Europäische Zentralbank mit der Harmonisierung im kartengestützten Zahlungsverkehr in ganz Europa. In diesem Zusammenhang nimmt das European Payment Council (EPC) und insbesondere die dort angesiedelte „Cards Stakeholder Group (CSG)“ mit Vertretern aus verschiedenen Bereichen des europäischen Kartenmarktes eine wichtige Rolle ein.

Die für die Deutsche Kreditwirtschaft wesentlichen Standardisierungsinitiativen mit Relevanz für girocard werden nachstehend vorgestellt.

 

 

2. Europäische Regulierung und Book of Requirements des EPC (Volume)

Schon in der Lissabon Agenda aus dem Jahr 2000 wurden die langfristigen Ziele für Europa formuliert: Die Wettbewerbsfähigkeit soll gestärkt werden. Dies schließt als Teilbereich auch den Zahlungsverkehr und das Kartengeschäft ein.

Gleichwohl haben auch im europäischen Markt tätige Zahlungssysteme ein Interesse an effizienten und innovativen Verfahren als auch an dem Ausbau der Marktanteile. Bereits im Jahr 2003 hatte die Deutsche Kreditwirtschaft die CAS-Initiative gemeinsam mit europäischen und globalen Zahlungssystemen gegründet – das „Common Approval Scheme (CAS)“ definiert grundlegende allgemeine Anforderungen an die Sicherheit von POS-Terminals und Karten.

In den Folgejahren haben sich die Standardisierungsinitiativen OSCar, OSeC und Berlin Group unter Beteiligung der Deutschen Kreditwirtschaft gebildet; erste Piloten wurden erfolgreich gestartet. Diese Initiativen haben sich weiterentwickelt und finden sich heute unter Mitwirkung der DK in nexo, CFCF und CSAC wieder.

Für alle Initiativen ist folgende Rahmenbedingung von Bedeutung:

Das Book of Requirements des European Payment Councils („Volume“) als Beschreibung der generischen Anforderungen an POS-Terminals, Smartcards, die Zertifizierung, sowohl funktional als auch bezüglich der Sicherheit. Zudem werden Migrationstermine für bestimmte Entwicklungsstufen vorgegeben. Erarbeitet und gepflegt werden die zurzeit sieben Bücher des Volumes durch die Cards Stakeholder Group (CSG), einer Arbeitsgruppe verschiedener Marktteilnehmer, die aus den Bereichen Handel, Hersteller, Prozessoren, Banken und Zahlungssysteme kommen. Die breite und politisch gewünschte Einbeziehung betroffener und interessierter Marktteilnehmer ist hierüber sichergestellt.

Die Standardisierungsaktivitäten im Kartenzahlungsverkehr in Europa sind umfangreich. Alle Anforderungen zusammenzuführen und zu einheitlichen Lösungen zu überführen, ist möglich – das zeigen Pilotprojekte. So unterstützt auch die „Payment Service Directive, PSDII“, deren Veröffentlichung im Herbst 2015 erwartet wird, die Nutzung internationaler Standards. Inwieweit konkrete Vorgaben gemacht werden, ist von vielen Faktoren abhängig. Gleichwohl soll der einheitliche europäische Zahlungsverkehrsbinnenmarkt schnell erreicht werden – über Standards. So dürften künftig durch die European Banking Association (EBA)  bestimmte Sicherheitsanforderungen vorgegeben werden. Aber auch der neu geschaffene European Retail Payments Board (ERPB) der EZB beschäftigt sich mit der Forcierung der Standardisierungsaktivitäten im unbaren Zahlungsverkehr.

Die Deutsche Kreditwirtschaft hat durch ihr frühzeitiges Engagement in der europäischen Standardisierung bereits die Grundlagen für die Implementierungen in den nächsten Jahren gelegt. Unterstützt wird eine marktgetriebene Nutzung, weshalb Wert auf die Einbeziehung der Marktteilnehmer gelegt wird. Dennoch könnte die Festlegung kurzfristiger verbindlicher Migrationstermine für europäische Standards durch staatliche Regulierer von allen Beteiligten im Kartengeschäft Investitionen fordern, die nicht marktgerecht sind.

Links:

Cards Stakeholders Group
European Payments Council
Richtlinie über Zahlungsdienste (PSD)

 

3. Zertifizierung und Zulassung durch die Deutsche Kreditwirtschaft als “governance body“ des girocard-Systems

Zertifizierung ist die Bestätigung der Einhaltung bestimmter Implementierungsanforderungen. Ein Zertifikat wird i. d. R. gegenüber einem Hersteller für ein bestimmtes zu zertifizierendes Produkt ausgestellt.

In den Standardisierungsinitiativen CFCF (Common Functional Certification Framework) und CSEC (Common Security Certification Consortium) wird im Rahmen der Vereinheitlichung eine einheitliche europäische Zertifizierungsinfrastruktur aufgebaut:

Bei CSEC wird auf die bereits existierende Common Criteria Infrastruktur (CC) zurückgegriffen. Die britische UK Cards Association und die Deutsche Kreditwirtschaft werden aufbauend auf dieser Evaluierungsmethode die Zertifizierung von POS-Terminals zur Nutzung in beiden Märkten etablieren.

CFCF baut die bereits von OSCar in den vergangenen Jahren bereitgestellte Zertifizierungsinfrastruktur für POS-Terminals im funktionalen Bereich aus. Das Konsortium, dem aktuell die französische Cartes Bancaires und die Deutsche Kreditwirtschaft angehören, arbeitet weiterhin. Zulassung ist die Freigabe durch ein Kartenzahlungssystem, so dass ein zertifiziertes Produkt im Markt eingesetzt werden kann (type approval). In die Entscheidung über die Zulassung werden neben den gültigen Zertifikaten weitere objektiv notwendige, zahlungssystemspezifische Anforderungen berücksichtigt.

Beispielsweise werden Typ-Zulassungen für Terminals im girocard-System immer auf der Grundlage eines gültigen Zertifikates für die Einhaltung funktionaler und sicherheitsrelevanter Anforderungen erteilt.

Einheitliche europäische Standards ermöglichen neue Optionen für den Terminalbetrieb und neue Geschäftsmodelle für Hersteller, Netzbetreiber/Acquirer und Händler in ganz Europa. Die Deutsche Kreditwirtschaft bietet die Nutzung dieser Standards bereits heute optional in ihrem POS-Zahlungssystem electronic cash an. OSCar- und CSEC-Zertifikate werden als Option im DK-Zulassungsverfahren anerkannt. Dennoch können sich aus dem zahlungssystemspezifischen Risikomanagement einzelne zusätzliche objektive Anforderungen ergeben, die seitens der Marktteilnehmer umzusetzen sind.

Das Zulassungsverfahren der Deutschen Kreditwirtschaft ist in dem Dokument „GBIC Approval Scheme“ beschrieben. In detaillierten Zulassungsanforderungen je Produkt sind die Optionen, Spezifikationen, Sicherheitsanforderungen und sonstige Produkteigenschaften beschrieben.

Fragen zur Zulassung können gern direkt an das Zulassungsbüro der Deutschen Kreditwirtschaft, VÖB e. V., per E-Mail an zulassungsbuero@voeb.de gerichtet werden.

Fragen zur Zertifizierung von OSCar- und CSEC-Produkten sowie zur Integration europäischer Standards können gern direkt per E-Mail an die VÖB-Zertifizierungsstelle oscar-cert@voeb.de gerichtet werden.

Download:

GBIC Approval Scheme

Link:

Approval Scheme

 

4. SEPA Card Clearing (SCC)

Bereits im Jahr 2004 haben sich europäische Zahlungssysteme zur sogenannten „Berlin Group“ zusammengeschlossen – benannt nach dem Gründungsort Berlin. Ziel dieser marktgetriebenen Standardisierungsinitiative, der heute 27 Organisationen aus 24 europäischen Ländern angehören, ist die Erarbeitung von Implementierungsspezifikationen für ein einheitliches, zahlungssystemneutrales Clearing und die Autorisierung von Kartentransaktionen.

Die Spezifikationen sind frei verfügbar und können von jedem Zahlungssystem angewendet werden. Praktisch genutzt werden sie heute beispielsweise für grenzüberschreitende POS- und Geldautomaten-Transaktionen (im Rahmen der EAPS).

Wesentlich für das girocard-System ist die Migration auf ein einheitliches, von der Berlin Group spezifiziertes SEPA Card Clearing (SCC) bis Ende 2015. Denn das im Jahre 1976 erstmals eingeführte Datenträgeraustausch-Verfahren (DTA) für das Clearing von Kartenzahlungstransaktionen in Deutschland wird Anfang 2016 seitens der Deutschen Bundesbank eingestellt.

Die Umstellung auf das SEPA Card Clearing muss sowohl auf Bankenseite (Betreiber von Geldautomaten, Kartenemittenten), durch Prozessoren, als auch auf Seiten der electronic cash-Netzbetreiber umgesetzt werden. Die wesentliche Änderung, die SCC im Vergleich zu DTA bringt, ist die Umsetzung von IBAN/BIC im SEPA-Format und die XML-strukturierte Verarbeitung der Karten-Transaktionen.

Gleichzeitig generiert diese Migration Synergieeffekte für Automated Clearing Houses (ACHs), Banken und Gläubiger durch die Nutzung der bereits bestehenden SEPA-Infrastruktur (technische Nähe zur SEPA-Lastschrift, gemeinsame Abwicklung von Lastschriften und Kartenzahlungen nach ISO 20022-Formaten).

Umgesetzt wird SCC für:

  • girocard (POS und GA), GeldKarte-Abrechnung
  • V PAY, Maestro, Euro Alliance of Payment Schemes (EAPS) „letzte Meile“ – Anschluss der Institute an die Kartenprozessoren

Link:

Berlin Group

 

5. Vereinfachtes Terminal (chip-only)

Bisher einmalig in Europa ist das sogenannte „vereinfachte“ Terminal, welches auch als „chip-only“-Terminal bezeichnet werden kann. Was steckt dahinter?

Seit dem Start des electronic cash-Systems im Jahr 1990 erfolgte die Verarbeitung der girocard (damals noch ec-Karte) über den Magnetstreifen. Bereits seit Ende Februar 2013 werden electronic cash-Transaktionen ausschließlich über die EMV-Chipanwendung abgewickelt. Der Hardware-Schutz für die Magnetstreifenverarbeitung entfällt, Anforderungen an die Sicherheit der Chip-Verarbeitung bleiben. In einem rein chipbasierten Kartenzahlungssystem basiert die Sicherheit vor allem auf dem Besitz der Karte, und die bereits im Jahr 1998 eingeführte Chiptechnologie für Kartenzahlungen hat sich als sicher und verlässlich erwiesen. Aus dieser Verringerung der technischen Anforderungen leitet sich der Begriff „vereinfachtes Terminal“ ab.

Das chip-only-Terminal hat Potenzial für Hersteller, denn die electronic cash-Terminals müssen nunmehr nur „vereinfachten“ Sicherheitsanforderungen genügen. Entwicklungs-, Produktions- und Zertifizierungsaufwände werden teils deutlich reduziert. Der Markteintritt für Hersteller wird erleichtert, Anschaffungs- und Investitionskosten für Händler dürften damit ebenfalls sinken.

Mit „vereinfachten“ Terminals können weiterhin neue Terminalinfrastrukturen entwickelt und betrieben werden, die ihrerseits zu geringeren Administrationskosten führen. Der Betrieb von POS-Terminals über sogenannte „verteilte“ Strukturen wird einfacher. So bieten sich zunehmend Server-Lösungen an – bestimmte Anwendungen aus dem POS-Terminal können auf andere Komponenten verlagert werden (bspw. Smartphones, die als Händlerkasse agieren).

Neue, innovative Terminalkonzepte sind notwendig und stärken die Wettbewerbsfähigkeit des girocard-Systems in Deutschland und in Europa. Ein flexiblerer und effizienter Betrieb von Terminals erleichtert die Terminaladministration, der Anschluss an das girocard-System von Händlergruppen, die bisher nicht erreicht werden konnten, wird möglich.

Die Sicherheitskriterien der Deutschen Kreditwirtschaft für chip-only-Terminals entsprechen den Anforderungen im „Book of Requirements“ des European Payment Councils (EPC), „Volume book 4“.

Common Security Certification Consortium (CSEC)

Das CSEC-Konsortium betreibt die Zertifizierung von POS-Terminals auf Basis der Common Criteria Methodology (CC/ISO 15 418). Das Konsortium hat sich nach Beendigung der OSeC-Initiative gegründet. Ziel von UKCA und der DK ist es, anhand eines einmal evaluierten und zertifizierten POS-Terminals die Grundlage für die Erteilung einer Zulassung zu schaffen.

Dass die Common Criteria-Methode, die ursprünglich aus der IT-Sicherheit stammt, auch für POS-Terminals funktioniert, hatten die im OSeC-Piloten ausgestellten CC-Zertifikate bewiesen. Seitdem  akzeptiert die Deutsche Kreditwirtschaft CC-Zertifikate auch in ihrem Zulassungsverfahren. Eine Migration auf die ausschließliche Nutzung von CC als Evaluierungsmethode für POS-Terminals ist beschlossen. Mit dem Beitritt zu CFCF wird die gegenseitige Akzeptanz der Evaluierungsergebnisse unterstützt. Insbesondere sollen dadurch Pilotierungen gefördert werden. CFCF ist insofern relevant für Terminalhersteller. Bedeutung hatte das OSeC-Projekt nicht nur aufgrund der allgemeinen Umstellung auf eine einheitliche europäische Evaluierungsmethode. Auch die Evaluierungstiefe von Common Criteria entspricht den Anforderungen der Deutschen Kreditwirtschaft an die Sicherheit der im girocard-System zum Einsatz kommenden POS-Terminals.

Links:

Open standards for Security and Certification
Senior Officials Group Information Systems Security

 

6. Nexo, EPAS und Open Standards for Cards (OSCar)

Aus den beiden europäischen Standardisierungsinitiativen EPAS und OSCar ist im Jahr 2014 nexo AISBL hervorgegangen.

Während bei EPAS die Protokolle Terminalmanagement, Acquirer und Retailer definiert und weiterentwickelt werden, hatte OSCar zwischen 2010 und 2014 die Entwicklung einer einheitlichen Zahlungsverkehrsanwendung für die Verarbeitung von Karten mehrerer Zahlungssysteme am POS-Terminal und Acquirer-Host sowie die Bereitstellung einer einheitlichen europäischen Zertifizierungsinfrastruktur zum Ziel.

Nach ersten Pilotierungen von OSCar-Terminals in Frankreich und Portugal sowie Deutschland hat sich die Initiative mit EPAS zusammengeschlossen, um Synergieeffekte zu erzielen und gemeinsam die Standardisierung in Europa zu forcieren. Nexo stellt auf der Grundlage der Volume-Anforderungen die für die Marktteilnehmer erforderlichen Implementierungsspezifikationen bereit und unterstützt diese bei der Implementierung.

Das Interesse an dem neuen Standard OSCar, der die Karten und Terminal-Protokolle (bereitgestellt von EPAS Org und durch die CIR Technical Working Group, zwei weiteren europäischen Standardisierungsinitiativen) zusammenführt, ist groß. Die Notwendigkeit ist offensichtlich: Während bisher jedes Kartenzahlungssystem bzw. Land eigene, proprietäre POS-Anwendungen spezifiziert und betrieben hat, werden die Aufwände für die Entwicklung und Implementierung einer europäischen Anwendung deutlich reduziert. Weitere Vorteile sind:

  • Länderspezifische Kassenimplementierungen entfallen heute zugunsten länder- und zahlungssystemunabhängiger Lösungen.
  • Der Wechsel des Acquirers/Netzbetreibers wird für den Händler aufgrund interoperabler Protokolle und Schnittstellen einfacher.
  • Einheitliche, länderübergreifende Terminal- und Host-Lösungen als auch neue Geschäftsmodelle können optimiert angeboten werden.
  • Die länderübergreifende Anbindung von Händlern wird erleichtert.
  • Entwicklungs-/Implementierungs-/Zertifizierungsaufwände reduzieren sich auf allen Ebenen.
  • Technische Migrationen und/oder Updates können künftig zügiger durchgeführt werden.

Terminalhersteller und Netzbetreiber können auf Basis von nexo-Standards ihre Produkte zertifizieren lassen und die Zulassung im electronic cash-System durch die Deutsche Kreditwirtschaft erhalten. Vereinfachungen im Vergleich zum heutigen Zulassungsverfahren werden bei Unterstützung von OSCar und EPAS gewährleistet. Die Deutsche Kreditwirtschaft unterstützt als aktives Mitglied bei nexo die Aktivitäten rund um das Spezifizieren der Schnittstellen.

Sowohl für den funktionalen Teil des POS-Terminals als auch für die Zertifizierung folgt OSCar den Vorgaben aus dem „Volume“ des European Payment Councils (EPC).

Download:

nexo white paper for retailers

Links:

Nexo Standards
OSCar consortium
SEPA-FAST Technical Working Group
EPAS Org

 

7. Common Functional Certification Framework (CFCF)

Die französische Kartenorganisation Cartes Bancaires (CB) und die Deutsche Kreditwirtschaft stellvertretend für das girocard-System haben sich im Frühjahr 2015 darauf verständigt, den neuen Kartenzahlungsstandard OSCar sowie die zugrunde liegenden EPAS- und SEPA-FAST-Spezifikationen anzuerkennen. CFCF führt quasi die unter OSCar begonnenen Arbeiten zum Aufbau einer einheitlicher Zertifzierungsinfrastruktur fort.

Der Konsortialvertrag umfasst daher die Infrastruktur für die Zertifizierung dieser Produkte, der u. a. Verwendung gemeinsamer Zertifizierungsstellen als auch einheitliche Validierungsanforderungen enthält. Als Zertifizierungsstellen fungieren weiterhin die französische PayCert und der VÖB.

Eine einheitliche Zertifizierung der OSCar-Produkte führt zu einer Angleichung der funktionalen Anforderungen auch an die Zulassung für Kartenzahlungsterminals, die von beiden Systemen verwendet werden, und ist ein wichtiger Schritt bei der Integration von Kartenzahlungen in Europa:

  • Für Gerätehersteller bedeutet dies einen einzigen Entwicklungsprozess und ein „One-Stop-Shopping“ für die Zertifizierung. Sie sind jetzt in der Lage, den in Summe mehr als 2 Millionen Endgeräte umfassenden französischen und deutschen Markt zu adressieren. Dies ermöglicht Skaleneffekte auf gesamteuropäischer Ebene und eine schnellere Markteinführung für weitere innovative Terminals.
  • Für Akquirer ermöglichen diese gängigen und weniger fragmentierten Prozesse sowohl Skaleneffekte als auch die Möglichkeit, sich auf Innovationen und Service-Levels für ihre Einzelhändler zu fokussieren.
  • Einzelhändler und Karteninhaber profitieren von der Möglichkeit, die gleichen Kartenzahlungsterminals auf die gleiche Weise in einem größeren Marktumfeld zu nutzen. Einzelhändler, die in beiden Märkten aktiv sind, erzielen so Skaleneffekte und können ihrerseits Innovationen oder neue Dienstleistungen effektiver umsetzen.
  • Für alle Beteiligten ist die Verwendung dieser gemeinsamen Spezifikations- und Zertifizierungsinfrastruktur ein notwendiger Schritt, um einen enger verzahnten Kartenzahlungsmarkt in Europa zu erreichen.
  • Mit der Initiative leisten CB und girocard, vor allem in Frankreich und Deutschland, einen wesentlichen Beitrag zum Projekt SEPA für Karten für alle Beteiligten im Ökosystem des Marktes für europäische Kartenzahlung, der so ein Stück näher rückt. CB und girocard erwarten, dass sich in naher Zukunft auch andere Kartensysteme in der Europäischen Union dieser Initiative anschließen werden.

 

8. CiCero und CC-Migration für Halbleiter

Die Deutsche Kreditwirtschaft unterhält mit „CiCero“ einen gemeinsamen Arbeitskreis mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese Arbeitsgruppe erörtert wesentliche Grundlagen und Umsetzungsverfahren, die die Zusammenarbeit zwischen der Deutschen Kreditwirtschaft als Betreiber des girocard-Systems und dem BSI in seiner Funktion als Common Criteria-Zertifizierungsstelle für kreditwirtschaftliche Produkte betreffen. Weitere Teilnehmer bei CiCero sind die beim BSI akkreditierten CC-Prüfstellen.

Gegenstand bei CiCero sind die CC-Evaluierungs- und Zertifizierungsmethode für POS-Terminals und Halbleiter für kreditwirtschaftliche Kartenprodukte und deren Weiterentwicklung.

Während für die Halbleiterevaluierung i. d. R. bereits ein Protection Profile (PP-0035) zugrunde gelegt wird, gibt es für das Betriebssystem SECCOS der Deutschen Kreditwirtschaft und die verschiedenen Kartenanwendungen der deutschen Kreditwirtschaft (Debitkarten, Kreditkarten, Prepaid) bisher kein Protection Profile. CiCero unterstützt daher die europäische Harmonisierung auch für diesen Bereich.

Download:

SECCOS

Links:

Bundesamt für Sicherheit in der Informationstechnik
Senior Officials Group Information Systems Security

 

9. Kommunikation mit Marktteilnehmern

Die Teilnahme in den für das girocard-System relevanten europäischen Standardisierungsinitiativen steht allen Marktteilnehmern offen. Interessierte Marktteilnehmer wenden sich daher direkt an die Koordinatoren dieser Gruppen.

Für die Umsetzung der neuen Standards im girocard-System bietet die Deutsche Kreditwirtschaft Workshops und Round Table an. Bei Interesse bzw. auch einzelnen Fragestellungen wenden Sie sich bitte über das Kontaktformular an uns. Die Fragen werden dann an die zuständigen Stellen innerhalb der Kreditwirtschaft zur Beantwortung und Koordination weitergeleitet.

Weitere regelmäßige Arbeitstreffen und Arbeitskreise existieren zwischen der Deutschen Kreditwirtschaft und den zugelassenen electronic cash-Netzbetreibern.

Für weitere Fragen zu technischen Schnittstellen, Protokollen und die Umsetzung im Markt benutzen Sie bitte ebenfalls unser Kontakt-Formular.

 

Seitenanfang