Payment in Deutschland: Zulassungsverfahren von Bezahlterminals

VON LISA ZELLER UND JOACHIM HAMMER

Die Rolle und Aufgaben der Deutschen Kreditwirtschaft (DK)

Die DK als Nachfolger des Deutschen Kreditausschusses ist ein Gremium aller deutschen Banken zur Erstellung und Überwachung der Regularien im Zahlungsverkehr. Dies umfasst u.a. den Netzbetrieb für das physische Bezahlen am Point of Sale (POS). Als Eigner dieses Netzbetriebes kommt der DK dabei die Rolle des Erstellers der Regularien und der Überwachung dieser zu. In erster Linie betrifft dies die Girocard, deren Scheme die deutsche Bankenwelt darstellt. Für die Akzeptanz der weiteren Zahlkarten, allen voran die Kreditkarten, am POS werden die Regularien von den entsprechenden Schemes erstellt und die DK übernimmt sie in ihren Netzbetrieb. Sowohl bei der Erstellung der technischen Anforderungen, als auch bei deren Kontrolle und Überwachung, bedient sich die DK entsprechender fachlicher, sicherheitstechnischer und nicht zuletzt wissenschaftlicher Kompetenz.

Die Netzbetreiber sind daher verpflichtet nur zertifizierte Terminals von den unterschiedlichen Herstellern einzukaufen und in ihrem Netz zu betreiben. Die Zulassung der Terminals unterliegt dabei den Herstellern, die des Netzbetriebes insgesamt den Netzbetreibern.

Zulassungsverfahren

Die Zulassung als Girocard Zahlungsverkehrsterminal wird immer als Zulassung für den Einsatz des Terminals in einem zertifizierten Girocard Netzbetrieb an den jeweiligen Netzbetreiber erteilt.

Voraussetzung für die Zulassung von Terminals in electronic cash-Netzbetrieben ist die vorherige Terminaltyp-Zulassung für den Terminalhersteller.

Die Zulassungen werden nur durch das Zulassungsbüro (Bundesverband Öffentlicher Banken Deutschlands e.V., VÖB, Berlin) der DK erteilt. Die Grundlage dafür bilden die gültigen Spezifikationen des Technischen Anhangs (TA) des Netzbetreibervertrages mit der DK.

Das Zulassungsverfahren umfasst die folgenden Teilprozesse:

  1. Registrierung einer bestimmten Hardware- & Software-Konfiguration für die Terminal-Typzulassung durch den Terminalhersteller
  2. Antrag auf Zulassung des Terminals im Netzbetrieb
  3. Begutachtung des Terminals und der vorhandenen Sicherheitsgutachten durch ein Testlabor der DK
  4. Terminal-Funktionstest bei einem Testlabor der DK (Test der Terminal Schnittstellen hinsichtlich Konformität mit TA/DC-POS) durch den Terminalhersteller mit Unterstützung des Netzbetreibers
  5. Integrationsfunktionstest bei einem Testlabor der DK (Test der netzbetreiberspezifischen Abläufe des Terminals) und Erstellung eines Integrationsgutachtens durch den Netzbetreiber
  6. Entscheidung über Zulassungen durch gemeinsame Beschlussfassung in der DK
  7. Schriftliche Benachrichtigung des Terminalherstellers über die Terminal-Typzulassung
  8. Schriftliche Benachrichtigung (Registrierungsbescheinigung) vom Netzbetreiber über die Zulassung des Terminals für den Netzbetrieb durch das DK-Zulassungsbüro
  9. Die Dauer der Zulassung und möglicher Nachtests (und somit die Höhe der Kosten) hängt maßgeblich von der Expertise des unterstützenden Netzbetreibers ab und bewegt sich meist zwischen 6 und 18 Monaten.

Abgrenzung: Die Anforderungen und Umsetzung der PCI-Regularien

Die Abkürzung PCI steht für „Payment Card Industry“ und beschreibt die sicherheitstechnischen Anforderungen bei der Verarbeitung von Kreditkarten am POS. Dabei steht die Kreditkarten-Nummer im Zentrum der Aufmerksamkeit.

Dies bedeutet, dass sowohl die gesamte Kommunikation kryptografisch abgesichert werden muss, als auch die eingesetzte Hardware auf der Terminalseite, die Komponenten des Netzwerkes und die zentralen HOST-Komponenten gegen jede Art von Zugriffen abgesichert sein müssen. Auch die umgebenden Gebäude und die genutzten Services unterliegen diesen Anforderungen.

Lediglich eine „end to end-Verschlüsselung (point to point encrytion (P2PE))“ unter Einhaltung der Anforderungen an den Service, ermöglicht es Komponenten des Netzwerkes und zentrale HOST-Komponenten aus dem Fokus zu nehmen.

Es existiert ein gemeinsames Zulassungsverfahren mit einer einheitlichen Spezifikation für ein Zahlungsverkehrsterminal, das sowohl Girocard, als auch internationale Debit- und Kreditkarten verarbeitet. Diese Spezifikation, bekannt als „DC POS“, ist inzwischen bei einer Vielzahl von Terminals im deutschen Markt erfolgreich implementiert und im Einsatz.

Die Teilbereiche „POS Terminal (EMV Debit/Credit)“, Host System (EMV Debit/Credit)“ und „Provider (EMV Debit/Credit)“ bedürfen einer Zulassung durch die DK und einen Acquirer. Diese wird als Typzulassung erteilt.

Auf Basis der DC-POS Spezifikation und des gemeinsamen Zulassungsverfahrens prüft ein Acquirer bei einer Typzulassung im Laufe eines sogenannten „Delta“ Tests lediglich die ordnungsgemäße Funktionsweise des Terminals in seiner Systemumgebung und weitere, von den internationalen Kartenorganisationen vorgegebene Zusatzanforderungen.

Angebot von Mehrwertdiensten (Value Added Services = VAS) ohne erneute Zulassungspflicht

Jegliche Änderungen, die die Paymentapplikation auf dem Terminal betreffen, führen zwangsläufig zu einem erneuten Zulassungsprozess. Um dies zu vermeiden, kann zusätzliche Terminalsoftware genutzt werden, die nicht in die bestehende Zahlungssoftware eingreift. Auf diese Weise können neue Services (z.B. Loyalty Programme, Werbeeinblendungen, Reporting) ohne erneuten Zulassungsprozess schnell und einfach am Terminal implementiert werden. Die meisten Anbieter (beispielsweise CCV oder Clover) stellen hierfür einen eigenen App Store zur Verfügung.

SHC entwickelt für die einfache Integration von VAS eine hersteller- und betreiberübergreifende Lösung, die die Entwicklungs- und Integrationszeiten für neue Services deutlich verkürzen wird. Freuen Sie sich auf weitere Informationen in Kürze.

 

Gefällt Ihnen der Artikel?

Share on facebook
Share on Facebook
Share on twitter
Share on Twitter
Share on linkedin
Share on Linkdin
Share on pinterest
Share on Pinterest