ubix2b – PSD2 in Aktion

Alle PSD2-Vorgaben sicher und stabil umsetzen? Dazu braucht es nicht nur gute Kenntnisse der Regulatorien, sondern auch finanzspezifisches Technik-Know-how. Das Beispiel von ubix2b zeigt, wie die PSD2-Direktive technisch so realisiert werden kann, dass eine flexible Basis für künftige Open-Banking-Projekte entsteht.

PSD2 als Voraussetzung für Open Banking

Gerne werden PSD2 und Open Banking in einem Atemzug genannt. Obwohl sie nicht das gleiche bedeuten, sind die beiden Begriffe dennoch eng miteinander verknüpft: Schliesslich markiert die revidierte Payment Services Direktive 2 (PSD2) einen grossen Schritt in Richtung Open Banking. Sie sieht vor, dass sich Banken im europäischen Raum gegenüber Drittparteien, sogenannten Third Party Providern (TPP), öffnen. PSD2 entfernt dadurch Barrieren für potenzielle neue Teilnehmer im Finanzmarkt und legt die Grundlage für ein buntes Ökosystem bestehend aus Fintech-Dienstleistern und Banken. Konkret sieht die Direktive vor, dass alle Banken im EU-Raum moderne «RESTful» APIs implementieren und diese zertifizierten TPPs zur Verfügung stellen. Dieses Unterfangen eröffnet zahlreiche Möglichkeiten, gleichzeitig stellt es Banken vor neue Herausforderungen. Sie müssen sicherstellen, dass Bankkundendaten (oder sogenannte Payment Service Users «PSUs») ausreichend vor unerlaubten Zugriffen geschützt sind. Zudem gilt es die PSD2-APIs in die Kernsysteme der Banken zu integrieren, welche über die Hoheit der betroffenen Daten verfügen. Im Projekt mit unserem Partner SOBACO war ausserdem die Verwaltung mehrerer Mandanten eine zentrale Anforderung, da sie ihre Plattformen für eine Vielzahl an Banken betreiben. Die genauen technischen Anforderungen werden aber Thema eines separaten Blogposts sein.

Standards im europäischen Raum

Leider ist PSD2 nicht gleich PSD2: Es gibt verschiedene Möglichkeiten, die Direktiven technisch umzusetzen. Wir haben uns entschieden, unser Produkt ubix2b auf dem NextGenPSD2-Framework der Berlin Group aufzubauen. Die Berlin Group ist eine europäische Initiative, welche technische Normen und Standards basierend auf der europäischen Rechtsprechung festlegt. Um zu verhindern, dass sämtliche europäische Banken für die Erfüllung von PSD2 proprietäre Systeme entwickeln, hat diese Initiative die NextGenPSD2-Taskforce ins Leben gerufen. Ziel war es, einen de-facto Standard für die Implementierung der in PSD2 formulierten Anforderungen zu definieren und gleichzeitig Konsumenten der neuen Schnittstellen partizipieren zu lassen. Als Ergebnis entstand das oben erwähnte NextGenPSD2-Framework. Dieses definiert, wie die neuen APIs aussehen und welche Sicherheitsmerkmale den Zugang zu persönlichen Daten schützen. Konkret beinhaltet das NextGenPSD2-Framework APIs der Bereiche Payment Initiation Service (PIS), Account Information Service (AIS), Payment Instrument Issuing Service (PIIS), Signing Baskets Service (SBS) und Common Services. Ergänzt werden diese API-Services durch ein sogenanntes Consent-Management, das die Berechtigungen für Zugriffe auf individuelle Ressourcen steuert. Dieses sieht vor, dass Bankkunden selbst steuern können, welche TPPs Zugriff auf ihre Daten erhalten. Um potentielle Informationslecks zu verhindern, findet die Kommunikation zudem ausschliesslich zwischen Bankkunden und Bank statt. TPPs haben somit keinen Zugriff auf Daten von Bankkunden, bevor diese nicht eine gültige Einwilligung (Consent) erteilt haben.

ubix2b: alles in einer Plattform

Diese Rahmenbedingungen galt es nun im Projekt mit SOBACO anzuwenden. Unser Ziel dabei war, sämtliche durch PSD2 vorgeschriebenen APIs sicher und stabil umzusetzen. Ausserdem sollte sich die Lösung möglichst einfach in die vorhandene Infrastruktur der jeweiligen Bank integrieren lassen. Schliesslich entstand aus diesen Überlegungen die Open-Banking-Plattform ubix2b, die mittels verschiedener Komponenten all die oben genannten Anforderungen erfüllt. 

In der Abbildung sind die Konsumenten (TPP & PSU) der neuen PSD2-APIs links dargestellt, während sämtliche variablen Elemente der Architektur hellgelb gekennzeichnet sind. Diese Komponenten spielen eine kritische Rolle beim Zusammenspiel der Systeme und haben jeweils einen sehr spezifischen Zweck. Gleichzeitig unterscheiden sie sich je nach Bank und können entsprechend ausgetauscht werden. Deshalb war es für ubitec besonders wichtig, die eigens entwickelten Komponenten (orange) so zu konzipieren, dass sie eine möglichst grosse Komptabilität gewährleisten. Der Kern dieser entwickelten Systeme bilden dabei die verschiedenen PSD2-APIs für die Erfassung von Zahlungen (PIS), die Abfrage von Kontoinformationen (AIS) und die Bestätigung von Mitteln (PIISP). Diese können jedoch auch durch beliebige APIs ersetzt werden – je nach Bedürfnis der jeweiligen Bank. Eine weitere zentrale Komponente von ubix2b ist das Consent Management. Dieses garantiert, dass auch nur jene TPPs auf die Bankdaten zugreifen können, die der Kunde autorisiert hat. Als weiteres Element in der Plattform sorgt der sogenannte Kernbankenadapter dafür, dass überhaupt Daten kommuniziert und ausgetauscht werden können. Last but not least umfasst die Open-Banking-Plattform auch einen Sandbox-Adapter. Er erlaubt es Drittpartien, ihre Anwendungen mit Testdaten in einer Sandbox-Umgebung zu überprüfen. Besonders diese PSD2-Vorgabe ist ein schönes Beispiel dafür, dass die neuen Anforderungen durchaus Sinn machen: Schliesslich gibt es nichts Ärgerlicheres, als wenn man ein völlig unbekanntes System integrieren muss.