Warum sind Stabilität und Sicherheit im Kontext von Open-Banking-Zahlungen entscheidend?
Möglich gemacht wurden Zahlungen via Open Banking mit Inkrafttreten der Zweiten Zahlungsdiensterichtlinie PSD2 im Jahr 2018. Nun wurde die zugrunde liegende Technologie seither zwar bereits erheblich weiterentwickelt, doch auch weiterhin wird sie laufend verfeinert und optimiert.
Geht es nun darum, Ihren Kunden Open-Banking-Zahlungen als Option anzubieten, sind bei der Wahl Ihres Lösungsanbieters zwei Punkte essenziell: stabile, also quasi ununterbrochen verfügbare APIs sowie höchst robuste Sicherheit, die das Risiko von Cyber-Angriffen auf Ihr Unternehmen ebenso wie auf Ihre Kunden minimiert. Weiter sollte Ihr Anbieter sowohl seine eigenen Produkte als auch die APIs der Banken, an die er seine Technologien anbindet, durchgängig Tests unterziehen, Fehler und Bugs darin beheben und Aktualisierungen vornehmen, damit die UX Ihrer neu angebotenen Zahlungsart auch auf lange Sicht ansprechend bleibt.
Evaluieren können Sie die Stabilität anhand folgender Faktoren:
Website mit detaillierten Angaben zum API-Status
Der Anbieter Ihrer Wahl sollte auf einer öffentlich zugänglichen Website die Uptime bzw. Verfügbarkeit jeder einzelnen API präzise und nachvollziehbar aufzeigen. Einige Anbieter liefern hierzu nur stundenweise aufgeschlüsselte Daten, andere wiederum geben den Uptime-Status nur im Tagesturnus aus. Wichtig ist außerdem Einsicht in die Statushistorie. Denn darüber können Sie feststellen, wie konstant die APIs des jeweiligen Anbieters verfügbar sind und über welche Zeiträume sich etwaige Downtimes bzw. Ausfälle erstrecken.
Fragen Sie Ihren Anbieter
Bieten Sie eine öffentlich verfügbare Website zum API-Status?
Minimale Downtime
Sicher, selbst die stabilsten APIs fallen bisweilen einmal aus. Entsprechende Vorfälle ebenso wie die Ursache für die Downtime über einen bestimmten Zeitraum sollten von Ihrem Anbieter jedoch klar kommuniziert werden. Dies etwa durch Angaben wie die folgenden:
Waren geplante Wartungsarbeiten oder ein unerwartetes Problem die Ursache?
Wie lange dauerte es bis zur Erkennung?
Wie viel Zeit wurde für die Behebung benötigt?
Wie viele Endkunden waren betroffen?
Wie wurden Endkunden über das Problem benachrichtigt?
Welche Maßnahmen wurden zur zukünftigen Prävention des jeweiligen Problems ergriffen?
Fragen Sie Ihren Anbieter
Wie hoch lag Ihre Uptime in den vergangenen [X] Monaten?
Klare Test- und Monitoring-Methodik für Bank-APIs
Ihr Anbieter hat zwar Kontrolle über die Verfügbarkeit der eigenen Services, kann die APIs der Banken jedoch nicht direkt beeinflussen. Und wie bereits unter Marktabdeckung ausgeführt, bestehen hierbei durchaus erhebliche Unterschiede.
Genau deshalb sollte beim Anbieter Ihrer Wahl ein klarer Prozess zum Testing der APIs der verschiedenen Banken bestehen, an die er seine Technologie anbindet. Wenn also einige Banken etwa aus einem bestimmten Land für Ihr Bezahlangebot erfolgskritisch sind, benötigen Sie einen Anbieter, der regelmäßig große Anfragevolumina über die APIs dieser Geldhäuser verarbeitet und diesen zudem anhand eines klar definierten Prozesses Feedback dazu gibt, wie sie Verbesserungen einsteuern können.
Fragen Sie Ihren Anbieter
Nach welchem Prozess testen Sie die Qualität der APIs der Banken und übermitteln die Ergebnisse an sie?
Umfassendes Prozesspaket zur Informationssicherheit
Unabdingbar ist zudem starker Schutz sowohl für Ihre eigenen Daten als auch für die Finanz- und Kontodaten Ihrer Kunden. Vonseiten des Anbieters Ihrer Open-Banking-Zahlungslösung braucht es dazu Folgendes:
konsequentes Threat-Modeling-Konzept zur Behebung potenzieller Schwachstellen und Sicherheitslücken
eigens für Sicherheitsthemen eingerichtetes Team
standardkonformes Sicherheitsprogramm (z. B. gemäß ISO 27001-Norm)
Verifizierung des Sicherheitsprogramms durch eine unabhängige Audit-Stelle
klar definierte Methodik zum Release-Management
Verfolgung relevanter externer Entwicklungen und Testing nach den gleichen Standards wie bei internen Features
Programm für Penetrationstests der eigenen Infrastruktur durch unabhängige Stellen
Eindeutige Prioritäten lassen sich bei diesen Punkten nur schwer definieren. Vielmehr gilt es, die Sicherheitsverfahren Ihres potenziellen Anbieters dahingehend zu bewerten, wie weitreichend er die genannten Aspekte insgesamt adressiert.
Fragen Sie Ihren Anbieter
Wie gehen Sie das Thema Informationssicherheit an? Können Sie Ihre Verfahren rund um DevSecOps näher erläutern?
Unsere Systeme verfügen über eine Uptime von über 99,9 %, außerdem lässt sich die Verfügbarkeit sämtlicher APIs auf unserer Status-Website live verfolgen. Weiter unterziehen wir sämtliche APIs der Banken in Europa, an die unsere Systeme angebunden sind, regelmäßig Tests mit großen Anfragevolumina, um Fehler punktgenau ausmachen zu können. Die Ergebnisse geben wir dann an die jeweiligen Banken weiter.
Die Software-Entwicklung erfolgt bei uns vollständig intern, zur Gewährleistung der Informationssicherheit haben wir ein eigenes Expertenteam im Einsatz und sind umfassend nach ISO 27001 zertifiziert.
Ferner steht ein Engineering-Team, das mit der Entwicklung unserer Systeme und der Verfügbarkeit unseres Service betraut ist, rund um die Uhr auf Abruf bereit. Wird über unsere Monitoring-Strukturen ein potenzielles Problem in einem oder mehreren unserer Systeme festgestellt, erhält ein Mitglied des Teams eine entsprechende Benachrichtigung, um den Fall zu untersuchen und ggf. korrigierend einzugreifen. So können wir zu jeder Tages- und Nachtzeit sicherstellen, dass etwaige Service-Ausfälle schnell behoben werden und ihre Auswirkungen minimal bleiben.