Standardisierung

1. Einleitung

Im innovativen und offenen europäischen Kartenmarkt wird das girocard-System von vielen neuen Marktteilnehmern als ein interessantes Kartenzahlungssystem mit Potenzial erkannt. Der Marktzugang wird durch SEPA erleichtert, was die Möglichkeit zur Ausbreitung der girocard-Akzeptanz in anderen europäischen Ländern eröffnet. Die Anforderungen an POS-Terminals werden durch das von girocard verfolgte Konzept vereinfachter Terminals reduziert, was ebenfalls erweiterte Marktchancen bietet.

Die Deutsche Kreditwirtschaft begleitet und unterstützt die für ihr Zahlungssystem wesentlichen europäischen Standardisierungsarbeiten von Anfang an. Standards sorgen nicht nur für Kostenreduzierung und mehr Wettbewerb, sondern unterstützen auch effizientere Verfahren bei der Zertifizierung und Zulassung von Produkten über Ländergrenzen hinweg. Einheitliche technische Schnittstellen sorgen für geringe Entwicklungsaufwände und kürzere Implementierungszeiten.

Mit den neuen, einheitlich europäischen Zertifizierungsverfahren und dem vereinfachten und verteilten Terminal werden Erleichterungen für Hersteller, Anwender und Nutzer auf vielen Ebenen erreicht. Aufwand und Kosten der Händler für den Betrieb von Terminals im Feld sinken.

Nicht zuletzt ist neben den marktgetriebenen Standardisierungsinitiativen und -projekten auch die Europäische Kommission und die Europäische Zentralbank an der Harmonisierung im kartengestützten Zahlungsverkehr in ganz Europa interessiert. In diesem Zusammenhang nimmt die „European Cards Stakeholders Group (ECSG)“ mit Vertretern aus verschiedenen Bereichen des europäischen Kartenmarktes eine wichtige Rolle ein.

Die für die Deutsche Kreditwirtschaft wesentlichen Standardisierungsinitiativen mit Relevanz für girocard werden nachstehend vorgestellt.

 

2. Europäische Regulierung und SEPA Cards Standardisation Volume der ECSG (SCS Volume) 

Schon in der Lissabon Agenda aus dem Jahr 2000 wurden die langfristigen Ziele für Europa formuliert: Der gemeinsame Binnenmarkt soll gestärkt werden. Dies schließt als Teilbereich auch den Zahlungsverkehr und das Kartengeschäft ein.

Gleichwohl haben auch im europäischen Markt tätige Zahlungssysteme ein Interesse an effizienten und innovativen Verfahren als auch an dem Ausbau ihrer Marktanteile. Bereits im Jahr 2003 hatte die Deutsche Kreditwirtschaft die CAS-Initiative gemeinsam mit europäischen und globalen Zahlungssystemen gegründet – das „Common Approval Scheme (CAS)“ definiert grundlegende allgemeine Anforderungen an die Sicherheit von POS-Terminals und Karten und deren Begutachtung.

In den Folgejahren haben sich die Standardisierungsinitiativen OSCar, OSeC und Berlin Group unter Beteiligung der Deutschen Kreditwirtschaft gebildet; erste Piloten wurden erfolgreich gestartet. Diese Initiativen haben sich weiterentwickelt und finden sich heute unter Mitwirkung der DK in nexo, CFCF und Common.SECC wieder.

Für alle Initiativen ist folgende Rahmenbedingung von Bedeutung:

Das SCS Volume der ECSG beschreibt generische Anforderungen an POS-Terminals, Smartcards, die Zertifizierung, sowohl funktional als auch bezüglich der Sicherheit. Zudem werden Migrationstermine für bestimmte Entwicklungsstufen vorgegeben. Erarbeitet und gepflegt werden die zurzeit sieben Bücher des SCS Volumes durch die European Cards Stakeholder Group (ECSG), einer Arbeitsgruppe verschiedener Marktteilnehmer, die aus den Bereichen Handel, Hersteller, Prozessoren, Banken und Zahlungssysteme kommen. Die breite und politisch gewünschte Einbeziehung betroffener und interessierter Marktteilnehmer ist hierüber sichergestellt.

Die Standardisierungsaktivitäten im Kartenzahlungsverkehr in Europa sind umfangreich. Alle Anforderungen zusammenzuführen und zu einheitlichen Lösungen zu überführen, ist möglich – das zeigen Pilotprojekte. So fordert auch die europäische Verordnung  Interchange Fee Regulation (IFR) mit Wirkung zum 9. Juni 2016 die Nutzung internationaler Standards, ohne jedoch konkrete Vorgaben zu machen. Gleichwohl soll der einheitliche europäische Zahlungsverkehrsbinnenmarkt schnell erreicht werden – über marktgetriebene Standardisierungsbemühungen und weitere Regulierungsvorhaben. So gibt auch die Europäische Bankenaufsichtsbehörde (EBA) bestimmte Sicherheitsanforderungen vor. Aber auch der 2013 geschaffene European Retail Payments Board (ERPB) der EZB beschäftigt sich mit der Forcierung der Standardisierungsaktivitäten im unbaren Zahlungsverkehr.

Die Deutsche Kreditwirtschaft hat durch ihr frühzeitiges Engagement in der europäischen Standardisierung bereits die Grundlagen für die Implementierungen in den nächsten Jahren gelegt. Unterstützt wird eine marktgetriebene Nutzung, weshalb Wert auf die Einbeziehung der Marktteilnehmer gelegt wird. Dennoch könnte die Festlegung kurzfristiger verbindlicher Migrationstermine für europäische Standards durch staatliche Regulierer von allen Beteiligten im Kartengeschäft hohe Investitionen bei sinkenden Erträgen fordern.

Links:

 

3. Zertifizierung und Zulassung durch die Deutsche Kreditwirtschaft als “governance authority“ des girocard-Systems

Zertifizierung ist die Bestätigung der Einhaltung bestimmter Implementierungsanforderungen. Ein Zertifikat wird i. d. R. gegenüber einem Hersteller für ein bestimmtes zu zertifizierendes Produkt ausgestellt.

In den Standardisierungsinitiativen CFCF (Common Functional Certification Framework) und Common.SECC (Common Security Evaluation & Certification Consortium) wird im Rahmen der Vereinheitlichung eine einheitliche europäische Zertifizierungsinfrastruktur aufgebaut:

Bei Common.SECC wird auf den internationalen Zertifizierungsstandard Common Criteria (CC) zurückgegriffen. Die britische UK Finance und die Deutsche Kreditwirtschaft haben aufbauend auf dieser Evaluierungsmethode die Zertifizierung von POS-Terminals zur Nutzung in beiden Märkten etabliert.

CFCF baut die bereits von OSCar in den vergangenen Jahren bereitgestellte Zertifizierungsinfrastruktur für POS-Terminals im funktionalen Bereich aus. Das Konsortium, dem aktuell die französische Cartes Bancaires und die Deutsche Kreditwirtschaft angehören, definiert die Bedingungen für Zertifizierungen, die von teilnehmenden Zahlungssystemen im Rahmen einer Zulassung anerkannt werden. Eine Zulassung ist die Freigabe durch ein Kartenzahlungssystem, so dass ein zertifiziertes Produkt im Markt eingesetzt werden kann (type approval). In die Entscheidung über die Zulassung werden neben den gültigen Zertifikaten weitere objektiv notwendige, zahlungssystemspezifische Anforderungen berücksichtigt. Beispielsweise werden Typ-Zulassungen für Terminals im girocard-System immer auf der Grundlage eines gültigen Zertifikates für die Einhaltung funktionaler und sicherheitsrelevanter Anforderungen erteilt.

Das Zulassungsverfahren der Deutschen Kreditwirtschaft ist in dem Dokument „GBIC Approval Scheme“ beschrieben. In detaillierten Zulassungsanforderungen je Komponente sind Spezifikationen, Sicherheitsanforderungen, Optionen und sonstige Anforderungen beschrieben. Fragen zur Zulassung können gern direkt an das Zulassungsbüro der Deutschen Kreditwirtschaft beim VÖB, per E-Mail an zulassungsbuero@voeb.de gerichtet werden.

Fragen zur Zertifizierung gemäß CFCF sowie zur Integration europäischer Standards können gern direkt per E-Mail an die VÖB-Zertifizierungsstelle oscar-cert@voeb.de gerichtet werden.

Link:

 

4. SEPA Card Clearing (SCC)

Bereits im Jahr 2004 haben sich europäische Zahlungssysteme zur sogenannten „Berlin Group“ zusammengeschlossen – benannt nach dem Gründungsort Berlin. Ziel dieser marktgetriebenen Standardisierungsinitiative, der heute 27 Organisationen aus 24 europäischen Ländern angehören, ist die Erarbeitung von Implementierungsspezifikationen für ein einheitliches, zahlungssystemneutrales Clearing und die Autorisierung von Kartentransaktionen.

Die Spezifikationen sind frei verfügbar und können von jedem Zahlungssystem angewendet werden. Praktisch genutzt werden sie heute beispielsweise für grenzüberschreitende POS- und Geldautomaten-Transaktionen im Rahmen bilateraler Vereinbarungen mit dem girocard-System.

Ein wichtiger Schritt für das girocard-System war die Migration auf ein einheitliches, von der Berlin Group spezifiziertes SEPA Card Clearing (SCC) zum Ende des Jahres 2015. Denn das im Jahre 1976 erstmals eingeführte, deutsche Datenträgeraustausch-Verfahren (DTA) für das Clearing von Kartenzahlungstransaktionen in Deutschland wurde im Zuge der Umstellung auf einheitliche SEPA-Formate für Überweisungen und Lastschriften seitens der Deutschen Bundesbank Anfang 2016 eingestellt.

Die Umstellung auf das SEPA Card Clearing musste sowohl auf Bankenseite (Betreiber von Geldautomaten, Kartenemittenten), durch Prozessoren, als auch auf Seiten der electronic cash-Netzbetreiber umgesetzt werden. Die wesentliche Änderung, die SCC im Vergleich zu DTA bringt, ist die Umsetzung von IBAN/BIC im SEPA-Format und die XML-strukturierte Verarbeitung der Karten-Transaktionen.

Gleichzeitig generiert diese Migration Synergieeffekte für Automated Clearing Houses (ACHs), Banken und Gläubiger durch die Nutzung der bereits bestehenden SEPA-Infrastruktur durch die technische Nähe zu anderen SEPA-Transaktionen nach ISO 20022-Formaten.

Umgesetzt wird SCC für:

  • girocard (POS und GA), GeldKarte-Abrechnung
  • V PAY, Maestro, bilaterale Kooperationen – sogenannte „letzte Meile“ zum Anschluss der Institute an die Kartenprozessoren

Link:

 

5. Vereinfachtes Terminal (chip-only)

Bisher einmalig in Europa ist das sogenannte „vereinfachte“ Terminal, welches auch als „chip-only“-Terminal bezeichnet werden kann. Was steckt dahinter?

Zum Start des electronic cash-Systems im Jahr 1990 erfolgte die Verarbeitung der girocard (damals noch ec-Karte) über den Magnetstreifen, seit 1998 zusätzlich auf Basis der Chipkarte. Bereits seit Ende Februar 2013 werden girocard-Transaktionen ausschließlich über die EMV-Chipanwendung abgewickelt. Der Hardware-Schutz für die Magnetstreifenverarbeitung und die PIN-Eingabe entfällt, Anforderungen an die Sicherheit der Chip-Verarbeitung bleiben. In einem rein chipbasierten Kartenzahlungssystem basiert die Sicherheit vor allem auf dem Besitz der Karte, und die bereits im Jahr 1998 eingeführte Chiptechnologie für Kartenzahlungen hat sich als sicher und verlässlich erwiesen. Aus dieser Verringerung der hardware-technischen Anforderungen leitet sich der Begriff „vereinfachtes Terminal“ ab.

Das chip-only-Terminal hat Potenzial für Hersteller, denn die girocard-Terminals müssen nunmehr nur „vereinfachten“ Sicherheitsanforderungen genügen. Entwicklungs-, Produktions- und Zertifizierungsaufwände werden teils deutlich reduziert. Der Markteintritt für Hersteller wird erleichtert, Anschaffungs- und Investitionskosten für Händler dürften damit ebenfalls sinken.

Mit „vereinfachten“ Terminals können weiterhin neue Terminalinfrastrukturen entwickelt und betrieben werden, die ihrerseits zu geringeren Administrationskosten führen. Der Betrieb von POS-Terminals über sogenannte „verteilte“ Strukturen wird einfacher. So bieten sich zunehmend Server-Lösungen an – bestimmte Anwendungen aus dem POS-Terminal können auf andere Komponenten verlagert werden (bspw. Smartphones, die als Händlerkasse agieren).

Neue, innovative Terminalkonzepte sind notwendig und stärken die Wettbewerbsfähigkeit des girocard-Systems in Deutschland und in Europa. Ein flexiblerer und effizienter Betrieb von Terminals erleichtert die Terminaladministration, der Anschluss an das girocard-System von Händlergruppen, die bisher nicht erreicht werden konnten, wird möglich.

Die Sicherheitskriterien der Deutschen Kreditwirtschaft für chip-only-Terminals entsprechen den Anforderungen im „Book of Requirements“ des European Payment Councils (EPC), „Volume book 4“.

Common Security Evaluation & Certification Consortium (Common.SSEC)

Common.SECC betreibt die Zertifizierung von POS-Terminals auf Basis der Common Criteria Methodology (CC/ISO 15 418). Das Konsortium hat sich nach Beendigung der OSeC-Initiative gegründet. Ziel von UK Finance und der DK ist es, anhand eines einmal evaluierten und zertifizierten POS-Terminals eine einheitliche Sicherheitszertifizierung als Grundlage für die Erteilung einer Zulassung zu schaffen.

Dass die Common Criteria-Methode, die ursprünglich aus der IT-Sicherheit stammt, auch für POS-Terminals funktioniert, hatten die im OSeC-Piloten ausgestellten CC-Zertifikate bewiesen. Seitdem akzeptiert die Deutsche Kreditwirtschaft CC-Zertifikate auch in ihrem Zulassungsverfahren. Eine Migration im Zulassungsverfahren auf die ausschließliche Nutzung von CC als Evaluierungsmethode für POS-Terminals fand zum Anfang 2017 statt. Mit dem Beitritt zu Common.SECC wurde die gegenseitige Akzeptanz der Evaluierungsergebnisse erreicht. Common.SECC ist insofern relevant für Terminalhersteller. Bedeutung hatte das OSeC-Projekt nicht nur aufgrund der allgemeinen Umstellung auf eine einheitliche europäische Evaluierungsmethode. Auch die Evaluierungstiefe von Common Criteria entspricht den Anforderungen der Deutschen Kreditwirtschaft an die Sicherheit der im girocard-System zum Einsatz kommenden POS-Terminals.

Links:

 

6. Nexo, EPAS und Open Standards for Cards (OSCar)

Aus den beiden europäischen Standardisierungsinitiativen EPAS und OSCar ist im Jahr 2014 nexo AISBL hervorgegangen.

Während bei EPAS die Protokolle Terminalmanagement, Acquirer und Retailer definiert und weiterentwickelt werden, hatte OSCar zwischen 2010 und 2014 die Entwicklung einer einheitlichen Zahlungsverkehrsanwendung für die Verarbeitung von Karten mehrerer Zahlungssysteme am POS-Terminal und Acquirer-Host sowie die Bereitstellung einer einheitlichen europäischen Zertifizierungsinfrastruktur zum Ziel.

Nach ersten Pilotierungen von OSCar-Terminals in Frankreich und Portugal sowie Deutschland hat sich die Initiative mit EPAS zusammengeschlossen, um Synergieeffekte zu erzielen und gemeinsam die Standardisierung in Europa zu forcieren. nexo stellt auf der Grundlage der Volume-Anforderungen die für die Marktteilnehmer erforderlichen Implementierungsspezifikationen bereit und unterstützt diese bei der Implementierung.

Das Interesse an den neuen Standards, der die Karten und Terminal-Protokolle (bereitgestellt von EPAS Org und durch die CIR Technical Working Group, zwei weiteren europäischen Standardisierungsinitiativen) zusammenführt, ist groß. Die Notwendigkeit ist offensichtlich: Während bisher jedes Kartenzahlungssystem bzw. Land eigene, proprietäre POS-Anwendungen spezifiziert und betrieben hat, werden die Aufwände für die Entwicklung und Implementierung einer europäischen Anwendung deutlich reduziert. Weitere Vorteile sind:

  • Länderspezifische Kassenimplementierungen können zugunsten länder- und zahlungssystemunabhängiger Lösungen entfallen.
  • Der Wechsel des Acquirers/Netzbetreibers wird für den Händler aufgrund interoperabler Protokolle und Schnittstellen einfacher.
  • Einheitliche, länderübergreifende Terminal- und Host-Lösungen als auch neue Geschäftsmodelle können optimiert angeboten werden.
  • Die länderübergreifende Anbindung von Händlern wird erleichtert.
  • Entwicklungs-/Implementierungs-/Zertifizierungsaufwände reduzieren sich auf allen Ebenen.
  • Technische Migrationen und/oder Updates können künftig zügiger durchgeführt werden.

Terminalhersteller und Netzbetreiber können auf Basis von nexo-Standards ihre Produkte zertifizieren lassen und die Zulassung im girocard-System durch die Deutsche Kreditwirtschaft erhalten. Vereinfachungen im Vergleich zum heutigen Zulassungsverfahren werden bei Unterstützung von nexo-Standards gewährleistet. Die Deutsche Kreditwirtschaft unterstützt als aktives Mitglied bei nexo die Aktivitäten rund um das Spezifizieren der Schnittstellen.

Sowohl für den funktionalen Teil des POS-Terminals als auch für die Zertifizierung folgt OSCar den Vorgaben aus dem „Volume“ des European Payment Councils (EPC).

Download:

  • nexo white paper for retailers

Links:

 

7. Common Functional Certification Framework (CFCF)

Die französische Kartenorganisation Cartes Bancaires (CB) und die Deutsche Kreditwirtschaft stellvertretend für das girocard-System haben sich im Frühjahr 2015 darauf verständigt, den neuen Kartenzahlungsstandard OSCar sowie die zugrunde liegenden EPAS- und SEPA-FAST-Spezifikationen, nun nexo-Standards, anzuerkennen. CFCF führt quasi die unter OSCar begonnenen Arbeiten zum Aufbau einer einheitlicher Zertifzierungsinfrastruktur fort.

Der Konsortialvertrag umfasst daher die Infrastruktur für die Zertifizierung dieser Produkte, der u. a. Verwendung gemeinsamer Zertifizierungsstellen als auch einheitliche Validierungsanforderungen enthält. Als Zertifizierungsstellen fungieren weiterhin die französische PayCert und der VÖB.

Eine einheitliche Zertifizierung der nexo-Produkte führt zu einer Angleichung der funktionalen Anforderungen auch an die Zulassung für Kartenzahlungsterminals, die von beiden Systemen verwendet werden, und ist ein wichtiger Schritt bei der Integration von Kartenzahlungen in Europa:

  • Für Gerätehersteller bedeutet dies einen einzigen Entwicklungsprozess und ein „One-Stop-Shopping“ für die Zertifizierung. Sie sind jetzt in der Lage, den in Summe mehr als 2 Millionen Endgeräte umfassenden französischen und deutschen Markt zu adressieren. Dies ermöglicht Skaleneffekte auf gesamteuropäischer Ebene und eine schnellere Markteinführung für weitere innovative Terminals.
  • Für Akquirer ermöglichen diese gängigen und weniger fragmentierten Prozesse sowohl Skaleneffekte als auch die Möglichkeit, sich auf Innovationen und Service-Levels für ihre Einzelhändler zu fokussieren.
  • Einzelhändler und Karteninhaber profitieren von der Möglichkeit, die gleichen Kartenzahlungsterminals auf die gleiche Weise in einem größeren Marktumfeld zu nutzen. Einzelhändler, die in beiden Märkten aktiv sind, erzielen so Skaleneffekte und können ihrerseits Innovationen oder neue Dienstleistungen effektiver umsetzen.
  • Für alle Beteiligten ist die Verwendung dieser gemeinsamen Spezifikations- und Zertifizierungsinfrastruktur ein notwendiger Schritt, um einen enger verzahnten Kartenzahlungsmarkt in Europa zu erreichen.
  • Mit der Initiative leisten CB und girocard, vor allem in Frankreich und Deutschland, einen wesentlichen Beitrag zum Projekt SEPA für Karten für alle Beteiligten im Ökosystem des Marktes für europäische Kartenzahlung, der so ein Stück näher rückt. CB und girocard erwarten, dass sich in naher Zukunft auch andere Kartensysteme in der Europäischen Union dieser Initiative anschließen werden.

 

8. Kommunikation mit Marktteilnehmern

Die Teilnahme in den für das girocard-System relevanten europäischen Standardisierungsinitiativen steht allen Marktteilnehmern offen. Interessierte Marktteilnehmer wenden sich daher direkt an die Koordinatoren dieser Gruppen.

Für die Umsetzung der neuen Standards im girocard-System bietet die Deutsche Kreditwirtschaft Workshops und Round Table an. Bei Interesse bzw. auch einzelnen Fragestellungen wenden Sie sich bitte über das Kontaktformular an uns. Die Fragen werden dann an die zuständigen Stellen innerhalb der Kreditwirtschaft zur Beantwortung und Koordination weitergeleitet.

Weitere regelmäßige Arbeitstreffen und Arbeitskreise existieren zwischen der Deutschen Kreditwirtschaft und den zugelassenen electronic cash-Netzbetreibern.

Für weitere Fragen zu technischen Schnittstellen, Protokollen und die Umsetzung im Markt benutzen Sie bitte ebenfalls unser Kontakt-Formular.