Von: Edilma Rodrigues

Zahlungen, Überweisungen und Sonstiges Finanztransaktionen findet ab November praktisch in Echtzeit, 24 Stunden am Tag und an jedem Tag des Jahres, einschließlich Samstags, Sonntags und Feiertags, statt. PIX, der Name des brasilianischen Sofortzahlungssystems, wurde im Februar von der Zentralbank eingeführt und erfordert von Institutionen – Banken, Fintechs, Zahlungsinstituten, Genossenschaften und Zahlungsauslösedienstleistern –, dass sie sich an einen gemeinsamen Satz von Anforderungen, Regeln und Standards halten, die von der Regulierungsbehörde für die Transaktionssicherheit festgelegt wurden.

Daher wird die Sorge um Sicherheit und Datenschutz zu einer der größten Herausforderungen für Finanzinstitution bei der Umsetzung von Instant Payment und der Grund ist ein altes Problem: Betrug. Die Sicherheit von Transaktionen kann besonders schwierig sein, wenn diese in nur 10 oder 20 Sekunden gesendet, empfangen und überprüft werden.

Die wichtigsten technischen Anforderungen hinsichtlich der Sicherheit

Die Regulierungsbehörde hat technische Sicherheitsanforderungen für das Instant Payments Ökosystem (PIX) festgelegt: wie Kommunikationsverschlüsselung, Authentifizierung, digitale Signaturprozesse und die Verwaltung digitaler Zertifikate, die im Ökosystem verwendet werden, umgesetzt werden sollen, sowie die Sicherheitsaspekte im Zusammenhang mit der Einleitung von Zahlungen durch Dynamische QR-Codes.

Nein Sicherheitshandbuch Die vom BC entwickelten Spezifikationen enthalten diese Spezifikationen im Detail. Verschlüsselung und gegenseitige Authentifizierung in der Kommunikation zwischen Teilnehmern und PIX sowie die Übermittlung von Nachrichten innerhalb des Systems müssen beispielsweise digital signiert werden. „In beiden Fällen werden im SPB-Standard digitale ICP-Brasil2-Zertifikate verwendet. Auch bei der Zahlungsauslösung, insbesondere wenn sie über dynamische QR-Codes erfolgt, müssen wichtige Sicherheitsaspekte berücksichtigt werden“, erklärt er.

O BC bestimmt, dass die Kommunikation zwischen den einzelnen PSP – Zahlungsdienstleister oder Zahlungsdienstleister – und PIX wird über das National Financial System Network (RSFN) durchgeführt. Die Verbindung des PSP mit dem RSFN muss den im SFN3-Netzwerkhandbuch festgelegten Regeln und Standards entsprechen.

Der PSP muss die Verbindung zu den auf PIX verfügbaren APIs ausschließlich über das HTTP-Protokoll Version 1.1 mit TLS-Verschlüsselung Version 1.2 oder höher herstellen. Beim Verbindungsaufbau ist eine gegenseitige Authentifizierung erforderlich. Mindestens die Cipher Suite ECDHE-RSA-AES-128-GCM-SHA256 (0xc02f) muss unterstützt werden. Sowohl der Server (Zentralbank) als auch der Client (PSP) müssen ICPBrasil-Zertifikate im SPB-Standard verwenden. Die HTTP-Clients des PSP müssen stets die TTL (Time To Live) der DNS-Server einhalten. Andernfalls kann der Zugriff auf die PIX-APIs nicht möglich sein. PIX”, heißt es im Sicherheitshandbuch.

Etwas didaktischer ausgedrückt lauten die grundlegenden Sicherheitsanforderungen des BC:

  • Die Verwendung digitaler Signaturen in Nachrichten. Der Empfänger muss die digitale Signatur jeder Nachricht validieren, um deren Urheberschaft, Integrität und Nichtabstreitbarkeit zu gewährleisten.
  • Anwendung und Nutzung von digitale Zertifikate bei Verschlüsselungs- und Authentifizierungsprozessen: Finanzinstitute müssen ICP-Brasil-Zertifikate übernehmen, die die Verwendung für Authentifizierung und Verschlüsselung unterstützen. Für digitale Signaturen müssen ICP-Brasil-Zertifikate im SPB-Standard verwendet werden.
  • Mit HSM zur Verwaltung digitaler Zertifikate. Finanzinstitute müssen über angemessene Prozesse zur Verwaltung ihrer digitalen Zertifikate verfügen. Es wird empfohlen, hardwarebasierte Verschlüsselungsgeräte (HSMs) zu verwenden, um die privaten Schlüssel der Zertifikate zu speichern, die bei Transaktionen im Rahmen von Instant Payment verwendet werden.

Experten gehen davon aus, dass die Einbeziehung dieser und anderer Anforderungen der BC für Sofortzahlungen müssen in umfassenderen, längerfristigen Strukturprojekten umgesetzt werden. Dies liegt daran, dass Institutionen verschiedene Technologien in ihre Systeme integrieren müssen, um Sicherheit zu gewährleisten und Datenschutz wie man den Benutzern ein angenehmes Erlebnis bietet, das die Verwendung ihrer Anwendungen zur Zahlungseinleitung vereinfacht und für Geschwindigkeit, Verfügbarkeit und Stabilität sorgt.

Quelle: Brasilianische Sängerin

DAS KÖNNTE IHNEN AUCH GEFALLEN:
WhatsApp ist sicher zum Senden und Empfangen von Geld
4790 l Job Blog WhatsApp Bezahlung

Ist WhatsApp zum Senden und Empfangen von Geld sicher? Besteht die Gefahr eines Betrugs? Mit dem Start Lesen Sie mehr

Wer nicht zu PIX kommt, ist am Markt tot
Wer nicht zu PIX kommt, ist am Markt tot

Die Telefongesellschaft hat auch ein Auge auf das in der Entwicklung befindliche Sofortzahlungssystem geworfen Lesen Sie mehr