Posts mit dem Label Kunden werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Kunden werden angezeigt. Alle Posts anzeigen

Blog-Serie: Wie sich EBICS verbessern lässt, Teil 5 – Kunden verwalten Konten und Teilnehmer selbst

EBICS bringt von Haus aus nützliche Auftragsarten für die Abfrage von Kunden- und Teilnehmerinformationen mit (welche notabene nicht alle Hersteller konsequent in ihren Produkten anbieten). Gemeint sind hier z. B. die Auftragsarten HKD (Kundendaten abrufen) und HTD (Teilnehmerdaten abrufen). Nach den Wünschen der Schweizer Grossbanken sollte es möglich sein, diese Stammdaten nicht nur abzufragen, sondern selbst zu verwalten und auch zu verändern.



Eine Besonderheit der Schweizer Implementierung ist aktuell die Beschränkung auf die Unterschriftsarten „T“ und „E“. Im ersten Fall erfolgt die notwendige zusätzliche Freigabe über einen separaten Kanal (z. B. Onlinebanking). Im zweiten Fall wird der Auftrag augenblicklich verarbeitet, da der Auftraggeber selbst für die notwendigen Sicherheitsvorkehrungen zu sorgen hat. In der Regel ist die Person, die signiert hat, im Fall „E“ nicht bekannt, sondern lediglich der Kunde respektive die auftraggebende Firma.

Als wichtigster Grund, die VEU in der Schweiz nicht anzuwenden, wird der zu hohe Aufwand für die Administration der VEU-Rechte auf Teilnehmern und Konten angeführt. Da die Kundenstammdaten der Bank oft nicht direkt mit dem EBICS-Produkt verknüpft sind, fallen Doppelerfassungen an, welche bei einer gewissen Anzahl von Kunden und Veränderungen der Berechtigungen ins Gewicht fallen. Gesucht ist ein Mechanismus im Sinne eines Electronic Bank Account Management (eBAM).
Im Standard ISO 20022 sind für diese Zwecke bereits fünfzehn Meldungen modelliert (siehe Meldungskategorie acmt). Die ISO-Meldungen können als Basis dienen, das EBICS-Protokoll so zu erweitern, dass der Kunde die Konten und Teilnehmer zumindest teilweise selbst verwalten kann. Die mehrfache Bestätigung mittels Signaturen auf Kundenseite und ein Vier-Augen-Prinzip auf Bankseite könnten je nach Sicherheitsanforderung entsprechend kombiniert werden. Der Kunde müsste beispielsweise eine heikle Transaktion doppelt prüfen, und die Bank müsste die Transaktion als letzten Schritt manuell freigeben (jedoch nicht mehr selbst komplett erfassen).

Mit einer institutsspezifischen Auftragsart (XYZ) für die Übermittlung von XML-Konto- und Teilnehmerdaten wäre dies bereits heute möglich. Bankseitig würden die Berechtigungen entsprechend geprüft und mittels Schnittstelle zum EBICS-Produkt (z. B. Webservices) automatisiert angewendet. Aus Schweizer Sicht herrscht diesbezüglich aktuell eher etwas Zurückhaltung, hat man doch bereits zahlreiche Schweizer Auftragsarten auf diese Art und Weise eingeführt, die man in naher Zukunft durch ein generelles Konzept auf Basis der französischen Anwendung von FUL/FDL ablösen möchte. Wir würden es begrüssen, wenn diese Anforderung in eine zukünftige Auftragsbeschreibung in EBICS einfliessen könnte. Von mehr Automation würden sowohl der Kunde wie auch die Bank profitieren.

Carsten Miehling