zum vorherigen Artikel

Alle Artikel

Alle Newsletter Artikel können Sie sich hier durchlesen oder danach suchen.

zum nächsten Artikel

Artikel 2019

30.04.2020

Das Zulassungsverfahren für Bezahlterminals

Warum Bezahlterminals sicher sind. Wie funktioniert eigentlich das Zulassungsverfahren für Bezahlterminals ? Wir sprachen mit Andreas Pohl, Abteilungsdirektor Zahlungsverkehr und Informationstechnologie beim Bundesverband Öffentlicher Banken Deutschlands.

Wer und was bilden die Grundlagen für das Zulassungsverfahren?
Die in der Deutschen Kreditwirtschaft (DK) zusammengeschlossenen Spitzenverbände der deutschen Kreditwirtschaft (BVR, BdB, DSGV und VÖB) tragen die gemeinsame Verantwortung für den sicheren und reibungslosen Betrieb ihrer Zahlungssysteme und Systemkomponenten.

Zwischen Ihnen werden Vereinbarungen für den gemeinsamen Betrieb der Zahlungssysteme unterzeichnet, die auch Grundlage für Zulassungsverfahren sicherheits- und funktionstechnischer Komponenten der Zahlungssysteme sind.

Das Erfordernis eines DK-Zulassungsverfahrens ist in den jeweiligen DK-Vereinbarungen verankert. DK-Zulassungen sind Voraussetzung für den Einsatz und die Nutzung von Endgeräten, wie zum Beispiel Terminals, in den Zahlungssystemen der DK bzw. den Einsatz und die Nutzung von physikalischen und digitalen (Chip-)Karten in diesen Karten-Zahlungssystemen.


Was soll durch den Zulassungsprozess sichergestellt werden?
Insbesondere der sichere und reibungslose Betrieb von kartenbasierten Zahlungs- und Akzeptanzsystemen wird damit gewährleistet. Dies erfolgt vor dem Hintergrund notwendiger betrieblicher Regelungen, der hohen Sicherheitsanforderungen der Institute zur Betrugsvermeidung sowie aufsichtsrechtlicher Anforderungen an Zahlungssysteme durch das Eurosystem (Oversight Requirements).


Wie sieht so ein Zulassungsprozess aus?
Der Antragsteller muss gegenüber dem DK-Zulassungsbüro zunächst die Zulassung beantragen und den Zulassungsgegenstand detailliert beschreiben. Danach wird durch ein unabhängiges und akkreditiertes Labor ein Funktionstest und durch einen Gutachter eine Sicherheitsprüfung vorgenommen. Für DK-Zulassungen werden auch Zertifikate europäischer Standardisierungsinitiativen herangezogen. Genügen die bereitgestellten und vom DK-Zulassungsbüro geprüften Angaben zum online registrierten Zulassungsgegenstand, einschließlich der Berichte und der genutzten Zertifikate, den DK-Vorgaben, wird die DK-Zulassung erteilt.


Wer ist an diesem Prozess beteiligt?

An diesem Verfahren sind beteiligt:

a. Antragsteller einer DK-Zulassung
b. DK-Zulassungsbüro
c. Funktionstestlabor und Sicherheitsgutachter
d. Eskalations-Gremien der DK, sofern Abweichungen von den DK-Vorgaben zu erörtern und zu entscheiden sind


Was wird geprüft?
Im vom jeweiligen DK-Funktionstestlabor durchgeführten Funktionstest wird an ausgewählten Spezifikationsmerkmalen aus den technischen DK-Schnittstellenspezifikationen für den Zulassungsgegenstand (Testgegenstand) geprüft, ob deren Implementierung die DK-Anforderungen erfüllt.

In der vom DK-Sicherheitsgutachter durchgeführten Sicherheitsbegutachtung wird für den Zulassungsgegenstand (Evaluierungsgegenstand) geprüft, ob dessen Implementierung der vorgegebenen technischen Schnittstellenspezifikationen und definierten Sicherheitsanforderungen den DK-Anforderungen entspricht.


Wie lange dauert eine Zulassung?
Das kann nicht pauschal beantwortet werden. Durch das DK-Zulassungsbüro nicht beeinflussbar sind beispielsweise die individuellen Zeitplanungen des Antragstellers einer Zulassung, die Planung von Testzeiten in den DK-Funktionstestlaboren oder die Planung von Zeiten der DK-Sicherheitsgutachter. Ein Zulassungszertifikat kann erst dann ausgestellt werden, wenn alle für die Zulassung notwendigen Unterlagen beigebracht wurden. Für den DK-Zulassungsgegenstand müssen beispielsweise Berichte über durchgeführte Funktionstests bereitgestellt werden. Fehlen diese noch, weil das Funktionstestlabor ausgebucht ist und Testzeiten nicht sofort anbieten kann, dauert auch der DK-Zulassungsprozess länger, weil der Testbericht fehlt. Es ist aber durchaus für den Einzelfall realistisch annehmbar, dass ein Zulassungsverfahren im Idealfall vom Zeitpunkt der Antragstellung bis zur erfolgreichen Zulassung innerhalb von 30 Tagen abgeschlossen werden kann.


Durch welche Feststellungen könnte ein Zulassungsverfahren abgelehnt werden?
Bei nicht tolerierbaren Abweichungen, welche die technische und/oder sicherheitsrelevante Implementierung der DK-Anforderungen betreffen, wird keine DK-Zulassung erteilt. Solche Arten von Abweichungen werden durch die Durchführung der DK-Funktionstests und der DK-Sicherheitsbegutachtungen im Bericht jeweils aufgezeigt. Die Entscheidung der Nicht-Zulassung wird in den oben genannten Eskalations-Gremien der DK getroffen. Das DK-Zulassungsbüro administriert diesen Erörterungs- und Abstimmungsprozess und informiert den Antragsteller der DK-Zulassung über die getroffene Entscheidung.


Kann der Hersteller durch Nachrüstung erneut ein Zulassungsverfahren beantragen?
Ja, der Antragsteller einer DK-Zulassung kann seine ungenügende Implementierung der technischen und/oder sicherheitsrelevanten DK-Anforderungen überarbeiten und seinen so angepassten Zulassungsgegenstand erneut im DK-Zulassungsverfahren registrieren und damit vorstellen. Insofern besteht für Anbieter die Möglichkeit, durch Änderungen nachzubessern und damit die DK-Anforderungen zu erfüllen.


Wie häufig werden Zulassungsverfahren beantragt?
Die Zahl der Anträge und damit die Menge an DK-Zulassungen schwankt und ist durch das DK-Zulassungsbüro nicht beeinflussbar. Die Anzahl wird neben individuellen (Produkt-)Planungen der Antragsteller auch von Migrationsvorgaben der DK für beispielsweise Zahlungssysteme beeinflusst. Im Durchschnitt werden, auf alle DK-Zulassungsgegenstände bezogen, zwischen 200 und 250 Zulassungen p. a. erteilt.


Wie viele werden in der ersten Prüfung genehmigt?
Bei dem überwiegenden Anteil aller Beantragungen wird keine Abweichung bzw. keine nicht tolerierbare Abweichung und damit ungenügende Implementierung der technischen und/ oder sicherheitsrelevanten DK-Anforderungen festgestellt.


Herr Pohl, wir danken Ihnen für das Gespräch!




Matomo-Analyse anschalten/ausschalten Nähere Informationen unter Datenschutz

Matomo-Analyse