Darüber hinaus formuliert der RTS sicherheitstechnische Vorgaben für Authentifikationsverfahren, die Institute ihren Kunden im elektronischen Zahlungsverkehr zur Verfügung stellen. Diese Anforderungen gelten nicht nur für das Bezahlen im Internet oder für Transaktionen im Online-Banking, sondern auch für das Bezahlen mit Karte am Terminal oder für Verfügungen am Geldautomat. Die Verfahren müssen den Anforderungen der sogenannten „starken Kundenauthentifizierung“ genügen, was in erster Linie bedeutet, dass mindestens zwei der drei Faktoren „Wissen“ (z.B. PIN), „Besitz“ (z.B. Karte) oder „Biometrie“ (z.B. Fingerabdruck am Smartphone) zwingend zu verwenden sind. Der RTS formuliert die bereits in der PSD2 genannten Anforderungen weiter aus, in dem er z.B. Vorgaben für Verfahren macht, die in mobilen Endgeräten wie Smartphones zum Einsatz kommen. Der RTS sagt aber nichts darüber aus, welchen Widerstand die Verfahren gegen einen Angreifer leisten müssen, wie schwer sie also zu überwinden sind. Es werden vielmehr abstrakte Anforderungen definiert, deren Einhaltung nachzuweisen ist. Gemäß Artikel 3 des RTS sollen die zum Einsatz kommenden Sicherheitsmaßnahmen dokumentiert und von einem sachverständigten Dritten überprüft werden. SRC verfügt aufgrund seiner langjährigen Erfahrungen aus der Sicherheitsüberprüfung von Zahlungsverkehrskomponenten über umfassende Kenntnisse, um Institute sowohl bei der Dokumentation der von ihnen eingesetzten starken Authentifizierungsverfahren als auch bei deren Sicherheitsüberprüfung zur Umsetzung der Vorgaben des RTS zu unterstützen.
XS2A Anbindungen und Authentifikationsverfahren!