Mindestanforderungen an die Sicherheit von Internetzahlungen (MaSi)

Definition des Begriffs

MaSi bezeichnet die Mindestanforderungen an die Sicherheit von Internetzahlungen, ein aufsichtsrechtliches Regelwerk für sichere Zahlungen im Internet. Die BaFin veröffentlichte es als Rundschreiben 4/2015 (BA) am 5. Mai 2015. Es setzte die EBA-Leitlinien zur Sicherheit von Internetzahlungen in Deutschland um und knüpfte an die Zahlungsdiensterichtlinie PSD sowie an Anforderungen an ordnungsgemäße Unternehmenssteuerung und interne Kontrollen an. Zweck war ein einheitlicher Mindeststandard für Internetzahlungsdienste, unabhängig vom genutzten Endgerät.

Vorkommen und Verwendung

Die MaSi galt für Zahlungsdienstleister in Deutschland, die Zahlungsdienste über das Internet erbrachten. Erfasst waren insbesondere:

• Kartenzahlungen im Internet, einschließlich virtueller Karten und elektronischer Geldbörsen
• Online-Überweisungen und internetbasierte Zahlungsauslösungen
• elektronische Einzugsermächtigungen und deren Änderung
• Übertragung von E-Geld zwischen zwei E-Geld-Konten über das Internet

Zahlungsdienstleister hatten Sicherheitsrichtlinien, Risikobewertungen, Kontrollen und Verfahren zur Vorfallbearbeitung einzurichten. Die Risikobewertung sollte regelmäßig, mindestens jährlich, nach schwerwiegenden Vorfällen sowie bei wesentlichen Änderungen überprüft werden.

Relevanz

Die MaSi prägte die deutsche Aufsichtspraxis für Online-Zahlungen vor der vollständigen Anwendung der überarbeiteten Zahlungsdiensterichtlinie PSD2 und der technischen Regulierungsstandards zur starken Kundenauthentifizierung. Sie erhöhte die Anforderungen an Authentifizierung, Transaktionsüberwachung und Schutz sensibler Zahlungsdaten. Konkrete Auswirkungen betrafen IT-Sicherheitskonzepte, Vertragssteuerung mit technischen Dienstleistern und E-Händlern, Meldewege für Sicherheitsvorfälle sowie Kundenkommunikation über sichere Kanäle. Die MaSi war damit eng mit Risikomanagement, Zahlungsverkehrsaufsicht und Informationssicherheit verbunden. Sie unterstützte zudem eine vergleichbare Umsetzung europäischer Sicherheitsvorgaben im deutschen Zahlungsverkehr.

Beispiel / Synonyme oder verwandte Begriffe

Verwandte Begriffe sind:

• starke Kundenauthentifizierung, Verfahren mit mindestens zwei unabhängigen Elementen aus Wissen, Besitz oder Inhärenz
• Transaktionsrisikoanalyse, Bewertung des Betrugsrisikos anhand von Betrag, Verhalten, Produkt und Zahlungsempfänger
• sensible Zahlungsdaten, Daten, die bei Missbrauch Betrug oder unbefugten Zugriff ermöglichen
• PSD und PSD2, europäische Zahlungsdiensterichtlinien für Zahlungsdienste und Aufsichtspflichten

Weitere Informationen

Das Rundschreiben enthielt allgemeine Kontrollanforderungen, spezifische Sicherheitsmaßnahmen und Vorgaben zur Kundeninformation. Zentrale Pflichten umfassten starke Kundenauthentifizierung für Zahlungsauslösung und Zugriff auf sensible Daten, begrenzte Anmeldeversuche, Sitzungs-Timeouts, Transaktionsüberwachung, Rückverfolgbarkeit sowie sichere Ende-zu-Ende-Verschlüsselung. Rechtsbezüge bestanden insbesondere zu Artikel 1, Artikel 10 Absatz 4, Artikel 34, Artikel 42, Artikel 53 Absatz 1 und Artikel 55 der ursprünglichen Zahlungsdiensterichtlinie. Das Rundschreiben wurde am 4. November 2021 aufgehoben, weil spätere Vorgaben des europäischen Zahlungsdiensterechts und der zugehörigen technischen Standards den Regelungsbereich abdeckten.

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de