Paukenschlag zur TRAVIC-Usergroup 2022 - Payments-as-a-Service im Doppelpack

Die TRAVIC-Usergroup hat nach dreijähriger Zwangspause endlich wieder live stattgefunden. Dabei wurden Neuerungen rund um die TRAVIC-Suite und produktbezogene Workshops auf das Parkett gebracht und in einem gemeinschaftlichen Rahmen auf Bedürfnisse und Fragestellungen im Deep Dive eingegangen. Aber: Das war noch nicht alles – die mit Spannung erwarteten Guest Speaker Alexander Merkel (Deutsche Bundesbank) und Nico Frommholz (Hamburg Commercial Bank) ließen aufhorchen: Herr Merkel skizzierte den Status quo und wagte einen Blick über den Tellerrand, indem er beleuchtete, welche Erwartungen, Chancen und Risiken es bei dem Thema „Crypto Currencies / Digitaler Euro“ im Auge zu behalten gilt. Herr Frommholz, seines Zeichens Director Head of Payment Operations, hat das Schwerpunktthema Payments-as-a-Service mit dem Vortrag "SEPA ist live" eröffnet – ein Thema, das PPI AG verstärkt in den Fokus nimmt und zusätzlich zu EBICS, mit aller Kraft um- und antreibt.

Mit dem Go-live der HCOB gelingt es PPI AG, nachweislich eine bedeutungsvolle Lücke am Payments-as-a-Service-Markt zu besetzen. Aber es kommt noch besser: Die britische Internet-Direktbank Revolut setzt für ihre Expansion in den EU-Raum auf die Datenaustauschlösung TRAVIC-Interbank und auch auf das Payment-as-a-Service-Modell – cloudbasiert und von der PPI AG. Die 2015 in London gegründete Neobank Revolut zählt aktuell rund 18 Millionen Privatkunden, die die Finanz-App des Unternehmens nutzen. Im Januar 2022 startete Revolut in Deutschland und neun weiteren europäischen Ländern ihr Bankdienstleistungsangebot. Für die offensive Erschließung des EU-Marktes benötigt Revolut als Nicht-EU-Bank eine Verbindung zur European Banking Authority (EBA) sowie den technischen Anschluss an das EBA Clearing – insbesondere an das Echtzeitzahlungssystem RT1 für SEPA Instant Payments und die STEP2-Plattform für den regulären SEPA-Zahlungsverkehr. Realisiert wird dieser Anschluss durch die Datenaustauschlösung TRAVIC-Interbank sowie das Payments-as-a-Service-Modell.

Das Hamburger Beratungs- und Softwarehaus PPI AG wird so zum Rundum-Dienstleister im europäischen Zahlungsverkehrsgeschäft. Die Payments-as-a-Service-Lösung erweitert die Sparten Consulting und Softwareprodukte um ein Komplettangebot und rundet damit das Leistungsportfolio des Hamburger Unternehmens ab. Somit zählt PPI mit seinen Teams an spezialisierten Beratern und seiner TRAVIC-Suite zu den europäischen Marktführern im Zahlungsverkehr. „Wir sind nun in der Lage, Payments-as-a-Service in der gesamten Bandbreite der Zahlungsabwicklung für Banken anzubieten. Diese können dadurch ihre IT-Abteilungen entlasten, ihre Ressourcen effizient einsetzen und damit ihre Wettbewerbsfähigkeit verbessern“, befand Dr. Thorsten Völkel, Vorstandsvorsitzender der PPI AG. Ein Prachtexempel dafür, dass die TRAVIC-Suite nicht nur die zentrale Softwarelösung dafür ist, sondern vor allem die Zukunft bildet, für eine standardisierte, mehrmandantenfähige, moderne und gehostete Zahlungsverkehrsplattform für den europäischen Bankenmarkt! Mit diesen Leistungen ermöglicht die PPI AG Banken und Versicherungen den Betrieb ganzer Wertschöpfungsketten als Software-as-a-Service. Das modulare Portfolio reicht von der Bereitstellung und dem Betrieb der IT-Infrastruktur bis hin zu vielfältigen Services und begeistert nicht nur auf Grund seiner Internationalität, seiner technischen Komplexität, sondern vor allem auch auf der Compliance- und Legal-Ebene.

Anhand dieser Erfolgsmeldungen sieht man klar, was uns verbindet: die Leidenschaft für exzellente Payments-Software und -Beratungsleistung. Wir sind überglücklich, mit der Usergroup 2022 diesem Streben Ausdruck verliehen zu haben. Wie wir alle gelernt haben, ist es eine Selbstverständlichkeit gewesen, Fakten und Lösungen zu Fragestellungen in digitalen Meetings und Calls auszutauschen. Aber gerade die gegenseitige und gemeinschaftliche Inspiration, von der die Weiterentwicklung der TRAVIC-Produkte seit jeher profitiert, die durch den lebendigen, lebhaften und leibhaftigen Austausch von Angesicht zu Angesicht geprägt ist, vermissten wir. Umso größer war die Freude, an diese symbiotischen Schwingungen wieder feierlich anknüpfen zu können und zwei Tage lang die geschätzte PPI-Kundschaft mit einem prall gefüllten und abwechslungsreichen Programm zu beehren: von der Vorstellung neuer TRAVIC-Produkt-Releases, über Use Cases und jüngste Erfahrungsschätze, bis hin zu vertiefenden Diskussionen mit den Kunden im Rahmen der produktspezifischen Workshops.

Autor: Andreas Löwe

 

Prüfung von EBICS-Zertifikaten in Frankreich ohne vertrauenswürdige Drittanbieter

Elektronisches Zertifikat und Anwendungen
Das elektronische Zertifikat ist ein wesentliches Element beim Aufbau von geschützten Bereichen. Es ermöglicht seinem Inhaber, sich zu authentifizieren (Authentifizierungszertifikat), eine Unterschrift zu leisten (Signaturzertifikat), eine sichere Verbindung herzustellen, usw. Für die Funktionen zur Zugangs- und Unterschriftskontrolle verwenden die Anwendungen ein Zertifikat für die Authentifizierung des Inhabers und für die Kontrolle der Informationsintegrität. Es gibt heute zahlreiche Zertifikatsaussteller (Bankensektor, Verwaltung, Unternehmen ...).

Die Anwendungen für die Digitalisierung von Datenströmen sind vielfältig und betreffen alle Wirtschaftsbereiche. Sie setzen die Einrichtung von geschützten Bereichen voraus, in denen es möglich sein muss, die verschiedenen Akteure technisch zu identifizieren und zu authentifizieren sowie die Qualität der Transaktionen und ihrer Aussteller zu überprüfen.
 
Eine Anwendung muss in der Regel Zertifikate von verschiedenen Zertifizierungsstellen akzeptieren können, denn in einer globalen Welt wäre es zu kostspielig und gleichermaßen zu restriktiv, von einem Inhaber ein Zertifikat pro Anwendung zu verlangen.

EBICS und signierte Zertifikate
Um mit Finanzinstituten zu kommunizieren, müssen EBICS-Teilnehmer mit einem T- oder TS-Profil X.509-Zertifikate verwenden. Wenn der Teilnehmer von einer Zertifizierungsstelle (CA) signierte Zertifikate verwendet, müssen diese beim Download der Schlüssel und beispielsweise bei Aufträgen der Auftragsart FUL validiert werden. Die Auftragsarten für die Einreichung und Änderung von Zertifikaten (INI, HIA, H3K, PUB, HCA und HCS) unterstützen sowohl ein einzelnes Zertifikat, als auch Zertifikatsketten.

Validierung des CA-basierten Zertifikats
Die Validierung des CA-basierten Zertifikats kann extern oder intern (für EBICS TS) durchgeführt werden. Ab sofort ist es möglich, intern eingereichte Zertifikate in TRAVIC-Corporate zu prüfen. Dazu werden die Anmerkungen der Sperrliste mithilfe von Zertifikatssperrlisten (Certificate Revocation Lists, CRL) überprüft. Die Zertifikatssperrlisten müssen aus dem Internet heruntergeladen werden. Um die SWIFT-Zertifikatssperrlisten herunterzuladen, ist in der Regel ein Client-Zertifikat für die TLS-Kommunikation erforderlich.

Schnittstelle zur Prüfung interner Zertifikate von TRAVIC-Corporate für EBICS TS

Neben anderen Parametern umfasst die Providerschnittstelle von TRAVIC-Corporate die Prüfung von Zertifikaten, eine Caching-Strategie, die Speicherung von Non-Repudiation-Dateien und die Vorabprüfung von EU-Berechtigungen (EBICS TS) gemäß den CFONB-Spezifikationen. Der Provider kann über den Namen seiner Klasse angegeben und aktiviert werden.

Die Zertifikate werden gegen einen in TRAVIC-Corporate gespeicherten Truststore geprüft. Die gesamte Zertifikatskette wird jeweils bis zum gültigen Root-Zertifikat geprüft. Es werden keine externen Dienste zur Prüfung von Zertifikaten verwendet.

Als Komponenten von TRAVIC-Corporate steuern ein Job-Server und ein Parser diese Verarbeitung. Der Zahlungsauftrag wird freigegeben, wenn das Signaturprofil des EBICS-Teilnehmers mit dem Signaturprofil übereinstimmt, das auf der Ebene der Auftragsart des Kunden konfiguriert wurde.

Das Finanzinstitut kann sich somit vollständig auf seine TRAVIC-Corporate-Lösung verlassen, ohne auf Dritte zurückgreifen zu müssen, wodurch die Systemarchitektur vereinfacht und Kosten gesenkt werden.

Zaher Mahfouz


Quellen: PPI TRAVIC-Corporate, CFONB, X.509-Standards