Community

Antworten
Highlighted
stocksour
Autorität
Beiträge: 1484
Registriert: 21.07.2017
Nachricht 11 von 13 (243 Ansichten)

Betreff: Wertentwicklung fehlt >Thema jetzt: PSD2 - SCA - Time out

Hallo, @JokerClz ,

ich habe hier noch eine Antwort (leider nur auf englisch) vom 26.10.18 der EBA auf die Anfrage eines Kreditinstituts, gestellt wohl im Hinblick auf seine Depotkunden, gefunden.

 

Im vorletzten Absatz ihrer Antwort windet sich die EBA ziemlich ähnlich zu dem durch, was @immermalanders beschrieben hat, von Prozessrisiken abgesehen.

 

Leider habe ich jetzt keinen Nerv mehr, das zu übersetzen.

Highlighted
immermalanders
Autorität
Beiträge: 3490
Registriert: 06.02.2015
Nachricht 12 von 13 (227 Ansichten)

Betreff: Wertentwicklung fehlt >Thema jetzt: PSD2 - SCA - Time out

@JokerClz 

[...] Denn muß man wirklich einen Benutzer nach 5 Minuten komplett abmelden? Oder ist das so zu sehen, daß die "starke Kundenauthentifizierung" nach 5 Minuten Inaktivität nicht mehr zählt? [...]

Im letzten Absatz der von @stocksour genannten Antwort steht, was nach 5 Minuten Inaktivität passieren muss. Dort steht, dass die Sitzung nach 5 Minuten Inaktivität automatisch ablaufen muss, wenn der Kunde sich vorher mit einer TAN angemeldet hat. So wie ich diese Aussage verstehe, muss der Kunde nach Ablauf der 5 Minuten abgemeldet werden und er muss sich neu anmelden.

 

Antworten
0 Likes
Highlighted
stocksour
Autorität
Beiträge: 1484
Registriert: 21.07.2017
Nachricht 13 von 13 (195 Ansichten)

Betreff: Wertentwicklung fehlt >Thema jetzt: PSD2 - SCA - Time out

Hallo, @JokerClz ,

ich habe die beiden oben angesprochenen Absätze jetzt doch noch ins Amtsdeutsche übersetzt.

 

vorletzter Absatz:

Thus, the PSP can apply the exemption from strong customer authentication under Article 10 of the Delegated Regulation where the payment service user (PSU) is limited to accessing the balance of one or more payment accounts, or payment transactions executed in the last 90 days.

In such a scenario, the 5-minute inactivity requirement would not apply although, in the context of the management of security risks, PSPs may still wish to consider putting in place an automated “time out” of such a session.

Übersetzung:

So kann der Zahlungsdienstleister die Ausnahme(regelung) von der SCA/2FA gemäß Artikel 10 der Delegierten Regelung da zur Anwendung bringen, wo der Zugang des Kunden beschränkt ist auf die Kontostandsabfrage eines oder mehrerer Zahlungsverkehrskonten oder in den letzten 90 Tagen ausgeführte Zahlungsvorgänge.

In einem solchen Szenario käme die Erfordernis der 5-Minuten Inaktivität nicht zur Anwendung (Hervorhebung durch mich), obgleich Zahlungsdienstleister im Kontext des Managements von Sicherheitsrisiken möglicherweise dennoch (von sich aus; Anm. d. Verf.) in Erwägung zu ziehen wünschen, einen automatisierten "Time out" einer solchen Session in Kraft zu setzen.

 

letzter Absatz:

However, if the PSU (i.e. the customer) accesses the payment account online for the first time or more than 90 days have elapsed since strong customer authentication was applied to access information online, the customer would need to strongly authenticate him/herself by the corresponding authentication procedure. In this case, the session must automatically expire after 5 minutes of inactivity.

Übersetzung:

Wenn der Kunde / die Kundin jedoch das Zahlungsverkehrskonto erstmalig online aufruft, oder wenn seit der letzten SCA/2FA zwecks online-Kontozugang  90 Tage vergangen sind, würde er / sie sich vermittels der entsprechenden Authentifizierungsprozedur "stark authentifizieren" müssen. In diesem Fall muss die Session nach 5 Minuten Inaktivität automatisch enden.

 

Fazit:

Ich ziehe bei diesem Thema keines mehr.

 

Antworten
0 Likes