Betreff: Wertentwicklung fehlt >Thema jetzt: PSD2 - SCA - Time out – Seite 2

Alphorn · 27.04.2017

Den seit vielen Jahren hier angesprochenen Wunsch, die Wertentwicklung (mit aufgelaufenen Ausschüttungen!!) in der Depotaufstellung einzubauen, haben Sie nicht erfüllt.

Dafür habe ich damals die Buhl-Software 'Mein Geld ' angeschafft, die nun aber durch Ihr unseliges Secure- Verfahren nicht mehr funktioniert. Können Sie nicht zumindest in einer Watchlist eine Spalte Ausschüttungen einrichten, damit man diese selbst nachtragen kann?

stocksour · 21.07.2017

Hallo, @JokerClz ,

ich habe hier noch eine Antwort (leider nur auf englisch) vom 26.10.18 der EBA auf die Anfrage eines Kreditinstituts, gestellt wohl im Hinblick auf seine Depotkunden, gefunden.

Im vorletzten Absatz ihrer Antwort windet sich die EBA ziemlich ähnlich zu dem durch, was @immermalanders beschrieben hat, von Prozessrisiken abgesehen.

Leider habe ich jetzt keinen Nerv mehr, das zu übersetzen.

immermalanders · 06.02.2015

@JokerClz

[...] Denn muß man wirklich einen Benutzer nach 5 Minuten komplett abmelden? Oder ist das so zu sehen, daß die "starke Kundenauthentifizierung" nach 5 Minuten Inaktivität nicht mehr zählt? [...]

Im letzten Absatz der von @stocksour genannten Antwort steht, was nach 5 Minuten Inaktivität passieren muss. Dort steht, dass die Sitzung nach 5 Minuten Inaktivität automatisch ablaufen muss, wenn der Kunde sich vorher mit einer TAN angemeldet hat. So wie ich diese Aussage verstehe, muss der Kunde nach Ablauf der 5 Minuten abgemeldet werden und er muss sich neu anmelden.

stocksour · 21.07.2017

Hallo, @JokerClz ,

ich habe die beiden oben angesprochenen Absätze jetzt doch noch ins Amtsdeutsche übersetzt.

vorletzter Absatz:

Thus, the PSP can apply the exemption from strong customer authentication under Article 10 of the Delegated Regulation where the payment service user (PSU) is limited to accessing the balance of one or more payment accounts, or payment transactions executed in the last 90 days.

In such a scenario, the 5-minute inactivity requirement would not apply although, in the context of the management of security risks, PSPs may still wish to consider putting in place an automated “time out” of such a session.

Übersetzung:

So kann der Zahlungsdienstleister die Ausnahme(regelung) von der SCA/2FA gemäß Artikel 10 der Delegierten Regelung da zur Anwendung bringen, wo der Zugang des Kunden beschränkt ist auf die Kontostandsabfrage eines oder mehrerer Zahlungsverkehrskonten oder in den letzten 90 Tagen ausgeführte Zahlungsvorgänge.

In einem solchen Szenario käme die Erfordernis der 5-Minuten Inaktivität nicht zur Anwendung (Hervorhebung durch mich), obgleich Zahlungsdienstleister im Kontext des Managements von Sicherheitsrisiken möglicherweise dennoch (von sich aus; Anm. d. Verf.) in Erwägung zu ziehen wünschen, einen automatisierten "Time out" einer solchen Session in Kraft zu setzen.

letzter Absatz:

However, if the PSU (i.e. the customer) accesses the payment account online for the first time or more than 90 days have elapsed since strong customer authentication was applied to access information online, the customer would need to strongly authenticate him/herself by the corresponding authentication procedure. In this case, the session must automatically expire after 5 minutes of inactivity.

Übersetzung:

Wenn der Kunde / die Kundin jedoch das Zahlungsverkehrskonto erstmalig online aufruft, oder wenn seit der letzten SCA/2FA zwecks online-Kontozugang 90 Tage vergangen sind, würde er / sie sich vermittels der entsprechenden Authentifizierungsprozedur "stark authentifizieren" müssen. In diesem Fall muss die Session nach 5 Minuten Inaktivität automatisch enden.

Fazit:

Ich ziehe bei diesem Thema keines mehr.