Sicherheitsanforderungen am Geldautomaten

Transcrição

DAS INFORMATIONSBLATT FÜR UNSERE KUNDEN
19. Ausgabe
15. November 2007
Sehr geehrte Leserin, sehr geehrter Leser,
immer neue und immer mehr Vorschriften und
Regeln sind zu beachten, um die Sicherheit am
Geldautomaten zu verbessern und den Konsumenten
vor der missbräuchlichen Verwendung seiner Daten
zu schützen. In unserem einleitenden Beitrag zu
diesem Thema erhalten Sie einen Überblick über die
einzelnen Vorschriften und deren aktuellen Status.
Darüber hinaus erfahren Sie in diesem SBS aktuell,
was die neueste Version des XFS Standards an
Verbesserungen bietet und wie die SBS Produkte im
SB-Bereich durch unsere KIXVision vorangetrieben
werden. Wir informieren Sie aber auch über neue
Produkte und neue Erfahrungen, die wir in diesem
Jahr machen durften.
Ein wichtiges Ereignis in 2007 war für die SBS auch
der Launch der Version 1.00 unserer multivendor
Schalter/Kasse Plattform KIXBranch, die sich bei
einem unserer Kunden bereits im Echteinsatz
befindet.
Wir freuen uns auf das kommende Jahr, weil wir
bereits
heuer
viele
neue
Kontakte
im
deutschsprachigen und im internationalen Raum
knüpfen konnten und festgestellt haben, dass sich die
grundlegenden
Aufgabenstellungen
moderner
multivendor SB-Lösungen auch in entfernten
Regionen nur geringfügig von jenen unterscheiden,
die wir zum Großteil bei unseren Kunden bereits
gelöst haben.
Stellvertretend für das gesamte SBS Team bedanke
ich mich für Ihr Interesse und freue mich auf die
weitere Zusammenarbeit.
Wolfgang Braunwieser
Salzburger Banken Software
INHALT:
Seite 1
Neue Version des XFS Standards
Seite 3
Neue Geldautomaten-Vereinbarung
in Deutschland
Seite 3
KIXVision – die Zukunft der Selbstbedienung
Seite 5
KIXIntelligence - das Richtige tun
Seite 6
Erfolgreicher Lasttest des agreeSB Operators 3.1
bei Fiducia
Seite 7
Erweiterungen in der Bankomat
Anwendung BXP 2.0
Seite 7
Die Bankfiliale der Zukunft
Seite 8
Der europäische Zahlungsverkehr im Umbuch
Seite 9
Conquest
Seite 10
Nachrichten
Seite 11
Neben dem allgemeinen Bedarf an einem hohen
Sicherheitsniveau ist auch die Berücksichtigung
der verpflichtenden Vorgaben sowohl von Seiten
des Gesetzgebers als auch der Geschäftspartner
ein wichtiger Punkt bei der Entwicklung und dem
Betrieb von Geldautomaten. SBS bietet ihren
Kunden daher nicht nur eine möglichst breite
Auswahl an entsprechenden Sicherheitsprodukten
an, sondern steht auch bei der Entwicklung von
maßgeschneiderten Lösungen zur Erfüllung der
individuellen
Sicherheitsanforderungen
mit
Erfahrung und Kompetenz zur Seite.
Aus diesem Grund haben wir ein Whitepaper zum
Thema „Security Anforderungen am Geldautomaten“ erarbeitet, das unsere Kunden bei der
© Salzburger Banken Software
Seite: 1
15. November 2007
SBS
19. Ausgabe
Evaluierung der für sie relevanten Vorgaben in
Bezug auf die Sicherheit von Geldautomaten
unterstützen soll und dazu die folgenden Themen
behandelt:
Die durch die europäische Datenschutzrichtlinie
erforderliche Neufassung bzw. Änderung trat
bereits mit 1. Jänner 2000 (DSG 2000) bzw.
23. Mai 2001 (BDSG) in Kraft.
•
•
•
Aufsicht für Zahlungssysteme
Innerhalb der EU ist das Europäische System der
Zentralbanken (ESZB) u.a. für das reibungslose
Funktionieren der Zahlungssysteme verantwortlich. Da diese Aufgabe aber an die nationalen
Zentralbanken delegiert wurde, sind die daraus
resultierenden Zuständigkeiten der entsprechenden Aufsichtsorgane in den verschiedenen
Mitgliedsstaaten unterschiedlich geregelt. Das
Whitepaper behandelt daher die für einen
Geldautomaten relevanten Abschnitte aus den
derzeit gültigen Fassungen der jeweiligen
nationalen Rechtsgrundlagen, wie dem Nationalbankgesetz für Österreich oder dem Bundesbankgesetz und dem Kreditwesengesetz für Deutschland. Die entsprechenden Änderungen traten
bereits mit 1. April 2002 (NBG) bzw.
30. April 2002 (BBankG) und 1. Mai 2002
(KWG) in Kraft.
Datenschutzgesetze
Der Datenschutz ist in der heutigen Zeit ein sehr
wichtiges Thema bei der Verarbeitung von
personenbezogenen Daten. Durch die Verabschiedung der europäischen Datenschutzrichtlinie (RL 95/46/EG) sind die Mitgliedsstaaten
der EU verpflichtet, die darin definierten Vorgaben in ihrem nationalen Recht zu verankern.
Da die jeweiligen Gesetzgeber diese Mindestanforderungen aber unterschiedlich umgesetzt
und auch erweitert haben, beschreibt das
Whitepaper die für einen Geldautomaten
relevanten Abschnitte aus den derzeit gültigen
Fassungen des Datenschutzgesetzes 2000 für
Österreich und des Bundesdatenschutzgesetzes
für Deutschland.
PCI Data Security Standard
Die Payment Card Industry (PCI) ist eine
Interessenvertretung, gegründet von den
weltweit
führenden
Kreditkartenorganisationen, deren Ziel u.a. die
Erhöhung der Sicherheit beim Speichern,
Verarbeiten
und
Weiterleiten
von
Kreditkartendaten ist. Zu diesem Zweck
wurden durch die Verabschiedung des Data
Security Standards (DSS) konkrete
Anforderungen
an
Systeme
und
Unternehmen gestellt, die an der
Verarbeitung
von
Kreditkartendaten
beteiligt sind. In unserem Whitepaper
werden diese Sicherheitsanforderungen
näher beschrieben und daraus resultierende
Maßnahmen für Geldautomaten vorgeschlagen.
Die Umsetzungsfrist ist abhängig von der
Einstufung des Unternehmens durch das
jeweilige Kreditkarteninstitut, für Service
Provider ist die Einhaltung jedoch grundsätzlich
bereits seit 30. Juni 2005 verpflichtend.
•
EMVCo Spezifikationen
Aufgrund der Zunahme des grenzüberschreitenden Zahlungsverkehrs sind die von
MasterCard und VISA herausgegebenen
Spezifikationen der maßgebliche Standard zur
Abwicklung sowohl von internationalen als auch
nationalen Transaktionen. Im Whitepaper
werden daher sowohl die aus den „Integrated
Circuit Card Specifications (ICCS)“ als auch die
aus den „Common Payment Application (CPA)
Specifications“ resultierenden Sicherheitsanforderungen behandelt. Eine Umsetzung dieser
Vorgaben ist nur bei einer Zertifizierung nach
EMV verpflichtend. Allerdings gilt seit
1. Jänner 2005 der sog. „Shift of Liability“,
gemäß dem der Betreiber eines nicht EMVfähigen Systems die Verantwortung für einen
damit verbundenen Betrugsfall übernehmen
muss.
Sollte auch Ihr Unternehmen an diesen wichtigen
Themen interessiert sein, so können wir Ihnen das
entsprechende Whitepaper gerne zusenden. Nähere
Informationen finden Sie auf unserer Homepage
unter http://www.sbs.co.at oder Sie senden uns eine
Email mit dem Betreff „Security Whitepaper“ an
[email protected].
Seite: 2
15. November 2007
SBS
19. Ausgabe
Neue Version des XFS Standards
•
•
Die eXtensions for Financial Services (XFS) sind ein
Industrie-Standard, welcher ein einheitliches API für
die Ansteuerung von Banken-spezifischer Hardware
im Selbstbedienungs- und im Schalter-/KasseBereich definiert. Spätestens seit der Veröffentlichung der Version 3.00 des Standards im November
2000 hat er sich als De-facto-Norm für den Betrieb
von SB-Hardware etabliert.
Verantwortlich für den Standard, seine Pflege und
Weiterentwicklung ist die Arbeitsgruppe „CEN/ISSS
XFS Workshop“, eine Organisationseinheit des
Europäischen Komitees für Normung (CEN,
http://www.cen.eu/). In der Arbeitsgruppe sind die
wichtigsten Hardware- und Software-Hersteller im
Banken-Peripherie Umfeld als Mitglieder vertreten.
Seit 1998 ist die SBS als Mitglied in der
Arbeitsgruppe vertreten.
Ende November 2007 ist die Verabschiedung der
nächsten Version des XFS Standards geplant:
XFS 3.10 – sieben Jahre nach der Verabschiedung
der Version 3.00. Zwar wurden die drängendsten
Erweiterungswünsche der Kunden durch die
Veröffentlichung von drei „minor“ Versionen (zuletzt
wurde 3.03 im Jänner 2005 veröffentlicht) in den
Standard integriert, aber erst mit 3.10 ist eine
grundlegende Überarbeitung und Aktualisierung
erfolgt.
Grober Überblick über die wichtigsten Neuerungen in XFS 3.10 im Vergleich zu 3.03
•
•
Alle Anmerkungen/Klarstellungen und auch die
Erweiterungen aus 3.01, 3.02 und 3.03 wurden
nun sauber in den Standard integriert
Manipulations- bzw. Betrugsversuche an der
Hardware können der Applikation nun konkret
als solche signalisiert werden
•
•
•
•
•
Verbesserungen im Fehler- und Statushandling,
die
verbesserte
Informationsmöglichkeiten
bringen
Verbesserungen in der Benutzerführung, vor
allem in der Synchronisation der Benutzerführung der Applikation und der Hardware
Interaktionen
Drucker-Formular-Definitionen können zur
Laufzeit erstellt und in das System eingebracht
werden
Unterstützung für Memory-Cards und neue
Formate, wie z.B. Karten mit dem
Magnetstreifen auf der Vorderseite der Karte
Verbesserte Unterstützung von RecyclingSystemen
Unterstützung neuer Hardware-Merkmale (z.B.
LCDs)
Drei neue Deviceklassen: Barcode-Scanner
(BCR), Karten-Dispenser (CRD) und Item
Processing Module (IPM)
Auswirkungen auf bestehende Applikationen
Durch das Versionsverhandlungs-Schema von XFS
ist es möglich, Applikationen, die für XFS 3.03
geschrieben wurden, auch auf XFS Plattformen
einzusetzen, die in der Zukunft auch XFS 3.10
unterstützen. Trotz dieses Mechanismus wurde in
Version
3.10
großer
Wert
auf
die
Abwärtskompatibilität gelegt, um die Migration von
Applikationen zu erleichtern. Inwiefern dieses Ziel in
der Praxis auch tatsächlich erreicht wird, wird sich
erst zeigen, wenn die Hersteller der XFS Plattformen
die ersten Versionen mit Unterstützung für 3.10 auf
ihrer Hardware anbieten und Tests durchgeführt
werden können.
Zukunft des Standards
Der XFS Standard wird auch in Zukunft von der
Arbeitsgruppe weiterentwickelt werden. Das nächste
Treffen der Arbeitsgruppe im März 2008 wird auf
Einladung der SBS in Salzburg durchgeführt.
Neue Geldautomaten-Vereinbarung in Deutschland
Mit Mai 2007 gibt es nun für Deutschland eine neue
Version des „Regelwerks für das Deutsche Geldautomaten-System (Vereinbarungen, Richtlinien und
Anlagen zu den Verträgen über das Deutsche
Geldautomaten-System)“, das die technischen Spezifikationen für das Geldautomaten-System der
deutschen Kreditwirtschaft definiert und mit
1. Juli 2007 in Kraft getreten ist.
Dieses Regelwerk enthält Vorgaben, die bei der
Durchführung von Bargeldauszahlungen mittels
chipbasierten EMV-Transaktionen an Geldautomaten
in Deutschland einzuhalten sind (EMV ist ein
internationaler Standard, der die Kommunikation
zwischen EMV fähigen Chipkarten und ChipkartenTerminals definiert, siehe www.emvco.com.).
Seite: 3
15. November 2007
SBS
Im Wesentlichen handelt es sich hierbei um
technische Spezifikationen für den Geldautomaten
selbst, für die Kommunikation zwischen Geldautomat
und Kundenkarte, und für die Nachrichten zwischen
Geldautomat und Autorisierungssystem.
Die ältere Version der GA-Vereinbarung stammt vom
September 2003, wobei als Zwischenversionen noch
eine Errata vom 15.10.2004 und eine zweite Errata
vom 12.5.2006 veröffentlicht wurden. Diese
Versionen waren bisher die Grundlage für die in
Deutschland erforderliche ZKA-Zulassung eines
Geldautomaten mit chipbasierter Barauszahlung
(ZKA = Zentraler Kreditausschuss – www.zka.de).
Übersicht über die neuen Anforderungen
Im Unterschied zu den beiden Errata enthält die
aktuelle Version der GA-Vereinbarung nun
wesentliche Unterschiede zu den Vorversionen. Dies
war einerseits aufgrund der Europäisierung des
deutschen
Geldautomatensystems
notwendig,
andererseits wurden damit vorhandene Fehler und
Unklarheiten in den alten Versionen beseitigt und
Ergänzungen hinzugefügt:
• Es müssen weitere Chip-Applikationen (V PAY,
JCB, American Express, EAPS) vom Geldautomaten unterstützt werden.
• Es müssen zwei zusätzliche EMV-Datenobjekte
vom Geldautomaten unterstützt werden (Name
und Ort des Kreditinstituts, Terminaldaten für
das Risikomanagement der Karte).
• Es gibt folgende zusätzliche Konfigurationsparameter: Präfix-Tabelle, Vorrang-Applikationen, Angabe der unterstützten Funktionen pro
Applikation.
• Am Geldautomaten sollen zusätzlich zu den
bisherigen
EMV-Auszahlungs-Applikationen
jetzt auch nicht-EMV-Anwendungen (z.B. Geldkarte) gemeinsam in einer Konfiguration
verwaltet und im Transaktionsablauf berücksichtigt werden.
• Die aktuelle GA-Vereinbarung basiert in jenem
Teil, der die Kommunikation zwischen Chipkarte
und Geldautomat beschreibt, nicht mehr auf dem
Standard EMV 4.0 (Dezember 2000) sondern auf
EMV 4.1 (Mai 2004).
• Die Anzeigetexte am Geldautomaten müssen
jetzt mindestens in Deutsch und Englisch
vorhanden sein (früher war Deutsch alleine auch
ausreichend).
Bei den zu versendenden/empfangenen ISONachrichten
zwischen
Geldautomat
und
Autorisierungssystem hat sich hingegen nur sehr
wenig geändert.
Neue Detailanforderungen für Konfiguration und
nicht-EMV-Anwendungen
Die
vorhin
angeführten
Änderungen
und
Erweiterungen bezüglich der Konfiguration und
zusätzlichen Einbindung von nicht-EMV-Anwendungen beinhalten im Detail folgendes:
19. Ausgabe
•
•
•
•
•
Präfix-Tabelle:
Diese Tabelle wird zur Identifikation von
nationalen (=deutschen) Karten benötigt:
anhand der PAN (Primary Account Number =
erste Kontonummer) der Spur 2 des Magnetstreifens einer Karte wird festgestellt, ob dies
eine nationale Karte ist oder nicht.
Bisher galt für Deutschland, dass eine PAN
beginnend mit „672“ eine nationale Karte
anzeigt. In Zukunft sind jetzt aber auch andere
PANs für eine nationale Karte erlaubt, z.B.
solche die mit „4821“, „4822“ etc. beginnen.
Hierfür muss eine konfigurierbare Tabelle
vorgesehen werden, in der die Präfixe aller
nationalen PANs angegeben werden können.
Vorrang-Applikationen:
Für jede Chipapplikation müssen jetzt zusätzlich
Vorrang-Anwendungen am Geldautomaten
definiert werden können.
Stellt der Geldautomat fest, dass zu einer am
Chip befindlichen Applikation ebenso eine der
zugehörigen Vorrang-Applikationen am Chip
existiert, so wird die ursprüngliche Applikation
für den weiteren Transaktionsablauf nicht mehr
berücksichtigt.
Angabe der unterstützten Funktionen pro
Applikation:
Für jede chipbasierte Applikation sind die
unterstützten Funktionen zu definieren, z.B.
„Auszahlung“, „Geldkarte“, PIN-Management
Funktionen. Weiters ist anzugeben, ob die
jeweilige Applikation EMV-basiert ist oder
nicht.
Gemeinsame Konfiguration von EMV- und
nicht-EMV-Anwendungen:
Dies bedeutet insbesondere, dass nun für nichtEMV-Anwendungen zusätzliche Parameter (wie
z.B. die Zulässigkeit von Magnet- und/oder
Chiptransaktionen
für
eine
bestimmte
Applikation) konfiguriert und berücksichtigt
werden müssen.
Berücksichtigung von nicht-EMV-Anwendungen
im Transaktionsablauf:
Im
Rahmen
der
Technologieauswahl
(=Entscheidung, ob die Transaktion chip- oder
magnetbasiert durchgeführt wird) und der
Applikationsauswahl müssen nun auch nichtEMV-Applikationen beachtet werden.
Hierbei wird in der aktuellen GA-Vereinbarung
davon ausgegangen, dass die Funktionsauswahl
erst nach dem Einstecken der Karte und der
Auswertung der Karten- bzw. Chipdaten erfolgt,
sodass zum Zeitpunkt der Funktionsauswahl nur
diejenigen Applikationen berücksichtigt werden,
die für die am Geldautomaten zulässigen
Funktionen verfügbar sind.
Anforderungen an die Online-Nachrichten
Dieser Punkt wurde in der aktuellen GA-Vereinbarung folgendermaßen ergänzt:
Die in der GA-Vereinbarung spezifizierten Vorgaben
für die zu verwendenden ISO8583-Nachrichten
Seite: 4
15. November 2007
SBS
zwischen Geldautomat und Autorisierungssystem
sind nur für den NOV (=Nationaler Online Verbund)
bindend.
Diese Nachrichten können (aber müssen nicht) in
dieser Form auch auf der Strecke zwischen
Geldautomat und Hintergrundsystem verwendet
werden.
Bei Abweichungen von den spezifizierten ISO8583Nachrichten muss nur berücksichtigt werden, dass
nach wie vor die gemäß GA-Vereinbarung
notwendigen Informationen zwischen Geldautomat
und Hintergrundsystem übertragen werden –
unabhängig vom verwendeten Format.
Für die Abnahme des Geldautomaten bei einer der
zuständigen Zertifizierungsstellen (z.B. VÖB oder
Cetecom) wird aber voraussichtlich wieder die exakte
Einhaltung des ISO8583-Formates gemäß GAVereinbarung als Referenzschnittstelle zu berücksichtigen sein.
19. Ausgabe
Zusammenfassung
Die größten Aufwände in der Anpassung bestehender
Geldautomaten-Auszahlungslösungen an die neue
GA-Vereinbarung sind bei der Implementierung der
Präfix-Tabelle, der Vorrang-Regelung und der
zusätzlichen
Einbindung
von
nicht-EMVApplikationen zu erwarten.
Diese Adaptierungen erfordern sowohl Änderungen
in der Konfiguration, als auch Eingriffe in den
Abläufen von Transaktionsbeginn bis zur endgültigen
Auswahl einer Chip-Anwendung.
Die von der GA-Vereinbarung vorgegebenen Abläufe
zwischen Chipkarte und Geldautomat basieren zwar
auf dem internationalen EMV-Standard, sie werden
aber durch zahlreiche Deutschland-spezifische
Ausnahmen und Sonderregelungen aufgeweicht.
Unter Umständen kann dies zusätzlich zur ohnehin
neu
erforderlichen
ZKA-Zertifizierung
der
entsprechend angepassten Auszahlungsapplikation
auch eine Neuzertifizierung des EMV-Teiles („EMVKernel“) der Auszahlungsapplikation bedeuten.
KIXVision – die Zukunft der Selbstbedienung
Die Produktstrategie der SBS im Bereich
Selbstbedienung basiert auf einer klar definierten
Vision: Die Trennung von Transaktionsverarbeitung
und SB-Geräte-Management ist die Voraussetzung
für eine optimale Nutzung des SB-Kanals.
Transaktionsverarbeitung
SB-Gerät
Transaktionsverarbeitung ist die primäre Aufgabe
von SB-Geräten. So viele Transaktionen wie
technisch möglich sollen durchgeführt werden, um
die erwarteten Einnahmen aus Transaktionsgebühren
zu realisieren. Nur die hohe Auslastung der SBGeräte und damit verbunden die beachtliche Zahl an
Kundenkontakten am SB-Gerät machen den
SB-Kanal auch für Themen wie CRM und One-toOne Marketing interessant. Nur ein SB-Gerät, das
immer verfügbar und daher für den Kunden immer
nutzbar ist, erhöht die Kundenzufriedenheit.
Mit der Umsetzung der Single European Payment
Area (SEPA) wird ein Markt
für Services im Bereich
SB-GeräteTransaktionsverarbeitung
Management
entstehen.
SB-GeräteBetreiber
werden
die
Möglichkeit haben, unter verschiedenen, miteinander im
Wettbewerb stehenden Transaktionsverarbeitern
zu
wählen. Dieser Umstand
wirkt sich aller Voraussicht
nach auch auf die Preise für
die Transaktionsverarbeitung
aus. Von dieser Entwicklung
kann
nur
mit
einer
SB-Architektur
profitiert
werden, die einen einfachen
Wechsel von einem Transaktionsverarbeiter zu einem
alternativen Anbieter ermöglicht. Sind Transaktionsverarbeitung und SB-Geräte-Management nicht sauber
voneinander getrennt, ergibt sich aus dem Wechsel
des
Transaktionsverarbeiters
kein
positiver
Businesscase.
Nachfolgend fassen wir die wichtigsten Anforderungen der KIXVision an eine SB-Architektur
zusammen:
Seite: 5
15. November 2007
SBS
•
•
•
•
Die Transaktionsverarbeitung wird als austauschbares Service implementiert, um von einer
ansteigenden Anzahl konkurrierender Serviceprovider für Routing und Transaktionsverarbeitung profitieren zu können (SEPA).
Transaktionen werden in Form atomarer, auf
jeder Art SB-Gerät nutzbarer Services implementiert. Bereits verfügbare Transaktionen
können auf jedem SB-Gerät genutzt werden,
sofern die notwendigen Hardwarekomponenten
verfügbar sind. Die Architektur unterstützt eine
einfache Verteilung neuer Transaktionen.
Funktionen des SB-Gerätemanagement werden
als Services implementiert (z.B. Systems Management, Konfiguration, elektronisches Journal,
Softwareverteilung,
Schlüsselmanagement).
J2EE wird als Standardarchitektur für ein
service-orientiertes SB-Gerätemanagement verwendet.
Hardwaresteuerung und fachliche Logik sind
ebenso strikt getrennt, wie Ablaufsteuerung und
Benutzerinterface. Dadurch wird es z.B. möglich, das Look&Feel der Anwendung schnell und
einfach
an
unterschiedliche
Styleguides
verschiedener Banken anzupassen.
19. Ausgabe
•
•
•
•
•
Die Architektur wird auf Basis von
Standardprodukten (z.B. Application Server) und
offener Standards erstellt. Web-Technologien
(z.B. TCP/IP, SSL, HTTP, J2EE, XML, SOAP)
werden, wo sinnvoll möglich, genutzt. Dabei
wird die SB-Architektur vom Mainframe
entkoppelt.
Durch die Verwendung einer herstellerneutralen
dezentralen Anwendung können die Vorteile
einer Mehr-Hersteller-Hardwarestrategie genutzt
werden.
Anwendungen können über Konfiguration und
“Customizing” an die Anforderungen verschiedener Kunden angepasst werden. Individualisierte Standardanwendungen ersetzen proprietäre Eigenentwicklungen.
Transaktionssicherheit basiert auf Chip-Technologie. EMV wird als Standard durch das SEPA
card framework festgelegt.
Die Entwicklung von Anwendungen erfolgt in
Java, um eine einfache Migration auf alternative
Betriebssysteme zu ermöglichen, sollte das in
Zukunft wieder einmal notwendig sein.
KIXIntelligence - das Richtige tun
Kauf, Standortwahl oder die
Frage des idealen
Servicevertrages:
SBS macht Ihnen
ab
2008
das
Management der
strategischen
Entscheidungen
im
SB-Bereich
leichter, sicherer
und profitabler.
Im ersten Quartal
werden wir Ihnen
mit
KIXIntelligence ein weiteres
Produkt für das
SB-Geräte-Management
anbieten
können: Liegt beim KIXOperator der Schwerpunkt
auf der Bewältigung der alltäglichen Herausforderungen eines SB-Netzwerkes, so bietet
KIXIntelligence Unerstützung bei den langfristigen
Entscheidungen.
SBS Geschäftsführer Wolfgang Braunwieser: „Wir
haben die Antwort auf die drängendsten Fragen,
wenn unsere Kunden die richtigen Entscheidungen
im SB-Bereich treffen müssen: ‚Ist mein SBNetzwerk ausreichend verfügbar? Werden Service
Level
Agreements
eingehalten?
Welche
Gerätemodelle sind am stabilsten? In welchen
Bereichen gibt es die größten Service- und
Wartungsaufwände?’ KIXIntelligence liefert dafür
die Entscheidungsgrundlagen.“
Seite: 6
15. November 2007
SBS
19. Ausgabe
Erfolgreicher Lasttest des agreeSB Operators 3.1 bei FIDUCIA
Um eine komplette Qualitätssicherung des agreeSB
Operators zu gewährleisten, wird in Zusammenarbeit
mit SBS neben den funktionalen Teststufen auch ein
Lasttest bei der FIDUCIA IT AG durchgeführt. Diese
Lasttests haben das Ziel, das Verhalten des agreeSB
Operators unter simulierter Last zu testen. Dazu werden zwei so genannte Lasttest-Szenarien verwendet:
Einerseits das Benchmarkszenario, bei welchem eine
prinzipiell angenommene Höchstlast verwendet wird,
und andererseits das Betriebsszenario, das mit
gemessenen Werten aus der aktuellen Produktion
arbeitet. Ein Szenario besteht aus einem abgestimmten Mix aus Lasttest-Treibern, die dann mit
einem Lastgenerator als virtueller Benutzer (VU)
gestartet werden können. Das Benchmarkszenario
arbeitet dabei mit bis zu 1000 VUs, beim
Betriebsszenario hingegen werden bis zu 6000 VUs
gestartet.
Zur Überwachung und Analyse der Lastests wurden
die Traces der MiddleWare (WebSphere Server),
Traces auf der Host-Datenbank und der LasttestReport bei jedem Test ausgewertet.
Transaktionsverlauf bei steigender Anzahl virtueller User
Gesamt Transaktion pro Stunde
1000000
900000
Anzahl Transaktionen
800000
700000
600000
Gesamt 3.1
500000
400000
300000
200000
100000
0
100
500
750
1000
Anzahl Virtuelle Benutzer
Anzahl Transaktionen pro Sekunde bei 1000 virtuellen User
Weiters wurden die Ergebnisse jedes Tages in ein
Logbuch eingetragen, um für weitere Auswertungen
zur Verfügung zu stehen. Dadurch konnten
abschließend die Ergebnisse statistisch ausgewertet
werden. Zusätzlich wurde die Performance der SQL
Statements am DB2 Host mitgemessen. Dadurch
konnte man die Verbesserungen im neuen agreeSB
Operator 3.1 Datenmodell verifizieren.
Auch Frau Susanne Fiedler (Projektleitung AEW4SB
bei der FIDUCIA IT AG) freut sich über die Lasttest-
Ergebnisse: „Das Feedback auf die Lasttests, was die
Professionalität der Durchführung und der Ergebnisse
betrifft, war sehr positiv. Hier ist das AEW4SB
Lasttest Team von anderen Beteiligten sehr gelobt
worden. Auch andere Abteilungen interessieren sich
für die bei FIDUCIA IT AG in dieser Form
einzigartige Durchführung der Lasttests.“
Alles in allem waren die abschließenden Ergebnisse
sehr zufriedenstellend und bestätigen die Lasttest Strategie der FIDUCIA IT AG.
Erweiterungen in der Bankomat Anwendung BXP 2.0
Seit Mitte September 2007 wird die österreichische
Bankomatlandschaft mit der Version 2.0 der BXPAnwendung versorgt. Die geänderten Bereiche sind
dabei hauptsächlich der Zielgruppe Bankomatbetreuer gewidmet. Vor allem die Funktionen zum
Management der Geldkassetten wurden verfeinert
und um eine Funktion „Kassetten Service“ erweitert.
Auch auf das Thema Sicherheit wurde in der Version
2.0 das Augenmerk gerichtet. Alle externen
Datenträger werden auf Viren überprüft, bevor diese
auf dem Bankomaten verwendet werden dürfen.
Dafür kommt das SBS Produkt KIXProtect zum
Einsatz (Details siehe Artikel „Mit KIXprotect gegen
Computerviren am Geldautomaten“ SBS aktuell
Ausgabe 18).
Aber es gibt in BXP Version 2.0 auch Neuerungen
für den Kunden:
• Die Debit- und Kreditkarten der chinesischen
Bank China UnionPay (CUP-Karten) gewinnen
weltweit an Bedeutung. Mit der Version 2.0
werden diese Karten auch am österreichischen
Bankomaten unterstützt.
Seite: 7
15. November 2007
SBS
19. Ausgabe
•
BOB-Kunden
genießen
nun
auch
die
Möglichkeit ihre Wertkarten-Handys am
Bankomaten komfortabel aufzuladen.
• Sollten Kunden auf die Entnahme ihrer
Geldscheine vergessen, werden diese durch ein
Außer-Betrieb-gehen des Bankomaten zusätzlich
darauf aufmerksam gemacht. Sobald die
Geldscheine entnommen werden wechselt der
Bankomat wieder in den In-Betrieb-Zustand.
Diese Vorteile der neuen Version können nach der
flächendeckenden Verteilung bis Anfang Dezember
2007 auf allen österreichischen Bankomaten genutzt
werden.
Die Bankfiliale der Zukunft
Die spannende Frage, die sich Teilnehmer aus vielen
Sektoren der Banken und Finanzinstitute in
Österreich sowie einige internationale Teilnehmer im
Vorfeld des 1. Oktobers 2007 stellten, war wohl:
„Wie wird die Bankfiliale der Zukunft aussehen und
wie die Zukunft der Bankfiliale?“ Zur Beantwortung
lud das Institute for International Research am 1. und
2. Oktober 2007 zu einer Veranstaltung mit dem Titel
„Die Bankfiliale der Zukunft“ ein.
Aus den Vorträgen ging klar hervor, dass der
Vertriebsweg Bankfiliale weiterhin sehr wichtig
bleibt. In seinem Vortrag zitierte Martin Engstler
vom Fraunhofer Institut eine Studie von Steria
Mummert Consulting, wo im Filialvertrieb mit 60 %
die höchste Wertschöpfung erwartet wird, ganz
deutlich vor dem Mobilen Vertrieb, dem Internet
Banking und der Kundenselbstbedienung. Nach wie
vor spielt der Faktor Mensch in der Beratung und im
Vertrieb die entscheidende Rolle.
Auf den ersten Blick müssten wir uns als
Lösungsanbieter für SB-Lösungen fragen, ob wir mit
SB im richtigen Vertriebskanal unterwegs sind, denn
offensichtlich scheint dieser Vertriebskanal in der
Wertschöpfung nicht sehr wichtig zu sein. Bereits auf
den zweiten Blick wird schon eines klar: betrachtet
man die Vielzahl an Produkten, die eine Bank ihren
Kunden verkaufen kann, und kombiniert man das mit
der Vielfalt an Regelungen, Vorschriften und anderen
Rahmenbedingungen, die es im heutigen Geschäft in
Österreich und Deutschland mit dem Konsumenten
zu beachten und zu erfüllen gilt, dann findet sich sehr
bald eine Grenze. Eine Grenze, bis zu der es
wirtschaftlich sinnvoll ist, Abläufe zu automatisieren
und dem Kunden selbst in die Verantwortung zu
übergeben, und eine Grenze ab der das nicht mehr
wirtschaftlich und damit auch nicht mehr sinnvoll ist,
weil zu viele Abläufe und Rahmenbedingungen
abgebildet
werden
müssen,
damit
der
Geschäftsvorfall auch aus konsumentenrechtlicher
Sicht korrekt abgewickelt werden kann und weil die
breite Masse an Kunden diese spezialisierten
Geschäftsvorfälle sowieso nicht ohne Bankberater
machen will.
Und auf den dritten Blick konnten wir erkennen: auch
unsere Kunden, die Banken, unterscheiden, welche
Dienstleistungen sie wie und wo anbieten. Der
Kunde, der einen Hypothekarkredit zur Finanzierung
seines Eigenheimes sucht, wird hierzu seine „Bank“
im klassischen Sinn aufsuchen und wohl eher nicht
den Abschluss in einer im shop-look ausgestatteten
offenen Filiale einer Bank in einem Einkaufszentrum
tätigen. Der Private Banking Kunde sucht seinen
Berater für Wertpapier- und Anlagegeschäfte auf, mit
dem Ziel sein Vermögen bestmöglich zu verwalten
und nicht, um seine Überweisungen durchzuführen
Seite: 8
15. November 2007
SBS
oder
seine
Kontoauszüge
abzuholen.
Der
Geschäftskunde stellt sich vermutlich nur im
Ausnahmefall am Schalter an, um seine
Bankgeschäfte abzuwickeln. All diese Beispiele
haben eines gemeinsam: spezialisierte Einrichtungen
stehen für einen definierten Umfang an
Geschäftsvorfällen und für definierte Kundenkreise
zur Verfügung, mit dem Ziel, diese optimal
abzuwickeln und optimal zu bedienen.
Genauso sehen wir auch die Chancen der
SB-Automation in der Bankfiliale der Zukunft. Eine
Bank hat heute - neben dem Internetbanking - mit
einer gut ausgestatteten SB Zone die Möglichkeit,
ihren Kunden einen 7x24 Stunden Service für
ausgewählte Finanzdienstleistungen anzubieten. Und
zwar für jene ausgewählten Finanzdienstleistungen,
wo es aus Sicht des Bankkunden wünschenswert ist,
dass er diese rund um die Uhr konsumieren kann.
Bargeldbehebung, Bareinzahlung inkl. Münzein-
19. Ausgabe
zahlung, Erstellung von Kontoauszügen. Durchführung von Überweisungen, Aufladen der elektronischen Geldbörse (Quick in Österreich, Geldkarte in
Deutschland), Handywertkarten laden. Fremdwährungsbehebung, Geldwechsel. Für den Bankkunden
ist es sehr wertvoll, wenn er exakt in dem
Augenblick, in dem er Bargeld benötigt, dieses „ums
Eck“ beheben kann. Für den Bankkunden kann es
auch sehr wertvoll sein, wenn er um 03:00 in der
Nacht seine Tageslosung an einem sicheren Ort
einzahlen kann und sofort die Bestätigung der
Buchung auf sein Girokonto erhält. Die Bank hat in
beiden Fällen etwas sehr Wertvolles erhalten: einen
zufriedenen Kunden, der genau dann seine laufenden
Bankgeschäfte abwickeln kann, wann er es will.
Wenn dann der Kunde zu einem Besuch in die
Bankfiliale kommt - und er wird kommen, weil er mit
seiner Bank zufrieden ist -, dann kann er in
entspannter Atmosphäre weitere Bankgeschäfte mit
seinem Berater abwickeln.
Der europäische Zahlungsverkehr im Umbruch
Unter diesem Motto fand am
18.10.2007 in Wien die jährliche
Konferenz der Austrian Smartcard
Association (ASA) statt. Zahlreiche
Teilnehmer, wurden über die
aktuellsten Entwicklungen im Kartenbereich und im österreichischen
Zahlungsverkehr informiert.
SEPA
Ein Teil der Konferenz war dadurch
auch dem Thema Single European
Payment Area (SEPA) gewidmet.
Günter Gall, verantwortlich für den
Bereich Transaction Services in der
Raiffeisen Zentralbank in Wien, ist
einer der österreichischen Vertreter
im European Payment Council und
verfügt damit über ein sehr
umfassendes und aktuelles Wissen
zum Thema SEPA. Alle 27 EU
Länder, aber auch Liechtenstein,
Norwegen, Island und die Schweiz sind Mitglieder
der SEPA. Die Vision ist es, allen Bürgern, Firmen
und anderen wirtschaftlichen Teilnehmern dieser
Länder, die Zahlungen in Euro innerhalb oder
außerhalb der Grenzen durchführen, dies zu gleichen
Konditionen und einheitlichen Rahmenbedingungen
mit den gleichen Verpflichtungen und Rechten und in
den gleichen Standards und Infrastrukturen zu
ermöglichen.
Regelwerke der europäischen Finanzindustrie im
SEPA Umfeld sind:
•
•
•
•
die einheitliche Überweisung
(SEPA Credit Transfer)
die
einheitliche
dringende
Überweisung (PRIEURO)
die einheitliche Lastschrift (SEPA
Direct Debit)
ein einheitlicher Rahmen für
europäische Zahlkarten, also
Debit Karten (SEPA Card
Framework for charge cards)
Zahlreiche Banken im SEPA Umfeld
haben sich dazu verpflichtet, bereits
ab 28.1.2008 SEPA konforme
Überweisungen durchzuführen. Bis
2010 soll eine kritische Masse an
Zahlungsverkehrstransaktionen
in
Europa mit dem neuen einheitlichen
Datenformat auf XML Basis erfolgen,
wobei nicht eindeutig festgelegt ist,
wie groß diese kritische Masse zu sein
hat. Wenn dieser Punkt erreicht ist, kann es danach
sehr schnell gehen, denn ab 2012 gilt die verkürzte
Überweisungsdauer
(D+1)
innerhalb
der
Teilnehmerländer und auch zwischen den
Teilnehmerländern. Damit werden Überweisungen
von einem Konto in Europa in alle anderen
Teilnehmerländer so kostengünstig und schnell
durchgeführt wie im Inland. Theoretisch können
Banken sogar vom europäischen Zahlungsverkehr
ausgeschlossen werden, wenn sie gegen die SEPA
Regeln verstoßen.
Seite: 9
15. November 2007
SBS
19. Ausgabe
Der Bedarf an Auslandskonten wird durch die
Einführung von SEPA, so erwartet man,
zurückgehen. Viele Unternehmen, aber auch
Privatpersonen verfügen heute über ein Konto im
Ausland, um von dort zu den landesüblichen Bedingungen Überweisungen durchführen zu können. Das
wirkt sich in der aktuellen Zahlungsverkehrsstatistik
mit einem sehr niedrigen Auslandszahlungsverkehrsanteil von nur 2 % aus. Nach der Umsetzung
der SEPA Forderungen rechnet man mit einem
rasanten Zuwachs im Auslandszahlungsverkehr,
wobei man sich im Klaren darüber sein muss, dass es
sich dann bei den "domestic payments" um
Zahlungen im gesamten SEPA Raum handelt.
Die Umsetzung dieser Forderung der EZB an die
europäischen Banken verursacht zwar auf der einen
Seite erhebliche Aufwände, auf der anderen Seite
stärkt die Vereinheitlichung den europäischen
Zahlungsverkehr und ermöglicht es kleineren
Teilnehmern von den Skaleneffekten großer
Zahlungsverkehrsabwickler zu profitieren, indem sie
diese Aufgaben outsourcen. Die Suche nach
kostengünstigen Processingstrukturen und die
Differenzierung durch neue Produkte auf der Basis
eines standardisierten Zahlungsverkehrs werden für
die Banken zu den großen Herausforderungen der
nächsten Jahre zählen.
Karten
Dass es sich bei SEPA vorwiegend um ein Thema für
die Finanzindustrie handelt, bestätigt eine Umfrage,
die MasterCard in einigen europäischen Ländern
durchgeführt hat. Auf die Frage, ob der Befragte
schon einmal von SEPA oder der Single European
Payment Area gehört hat, antworteten 87 % der
befragten Endkunden und 82 % der befragten
Händler mit einem klaren Nein. MasterCard hat hier
Initiativen gestartet, um dem Handel die Vorteile von
SEPA deutlich zu machen. Mit Maestro ist
MasterCard im europäischen Debitkartenmarkt gut
positioniert. Aber auch VISA hat, um speziell die
europäischen Bedürfnisse besser abdecken zu
können, das neue Debitkartenprodukt V-Pay
geschaffen. Dieses Produkt wird zwar stark von
europäischen Banken und Interessensvertretungen
gesteuert, hat aber den Nachteil, dass es außerhalb
Europas über keine Akzeptanzstellen verfügt und
damit auch nicht auf außereuropäischen Geldautomaten einsetzbar ist.
Auf der ASA 2007 stellte Peter Neubauer,
Geschäftsführer der PayLife Bank, die Hintergründe
für die Überführung der Europay Austria in die
PayLife Bank vor. Man wird in Zukunft das „BezahlLeben“ der Kunden mit gestalten und sieht in der
Markenneutralität einen wesentlichen Wettbewerbsfaktor für die neue Generation des bargeldlosen
Zahlens. Die PayLife Bank stellt sich als der Partner
für alle Karten vor und bietet neben der Akzeptanz
der MasterCard Produkte nun auch Verträge für
VISA, V-Pay, JCB und in Kürze auch für die
chinesische UnionPay an. Man erwartet, dass die
Reisefreudigkeit der chinesischen Bevölkerung in
den nächsten Jahren rasant zunehmen wird und ist
mit der Akzeptanz der UnionPay Karten darauf
optimal vorbereitet. Darüber hinaus wurden auf der
Konferenz die neuen Prepaid MasterCards und
Prepaid Maestrocards der PayLife Bank und deren
Einsatzbereiche vorgestellt. MasterCard rechnet laut
einer Studie von 2006 bis zum Jahr 2010 mit einem
Anstieg des Anteils der Prepaid Karten im gesamten
europäischen Kartenmarkt auf 7 %.
Individuelles Kartendesign für jeden Karteninhaber
stand im Mittelpunkt einer Produktpräsentation von
Austria Card. Damit will man auf den Trend nach
mehr Individualität bei Lifestyle-Produkten reagieren. Einzelkunden, Unternehmen oder Interessensgemeinschaften können sich das Layout ihrer
Kreditkarte bis auf wenige Einschränkungen selbst
gestalten und produzieren lassen. Egal ob es sich um
das Foto vom letzten Urlaub oder um das erste
Gemälde der kleinen Tochter handelt. Alles kann als
Hintergrundbild auf der Kreditkarte dienen. Austria
Card demonstriert, wie der Kunde selbst über eine
Web-Applikation die passenden Einstellungen
vornehmen kann. In einer Vorschau kann der Kunde
dann auch gleich überprüfen, wie ihm das Layout
seiner neuen Karte gefällt. Allerdings sind Motive
mit zweifelhaften Inhalten nicht zugelassen und der
Kartenausgeber trägt die Verantwortung für eine
abschließende Prüfung und Freigabe des gewählten
Kartenmotivs. Es handelt sich bei der individuellen
Kreditkarte natürlich nicht um eine typische
Innovation im Bankenbereich, aber aus dem
Blickwinkel eines zunehmenden Bedürfnisses nach
Differenzierung könnte hier ein neuer Trend
entstehen.
Einige weitere Vorträge rundeten den Konferenztag
ab. Die ASA Konferenz hat sich somit auch 2007
wieder als Treffpunkt und Vermittler neuer
Erkenntnisse im Kartenbereich bestätigt.
Die CONQUEST 2007 (Conference on Quality
Engineering in Software Technology) fand vom
26. bis 28. September in Potsdam statt.
Schwerpunkt war dieses Mal „Business Process
Engineering“ mit weiteren Themen aus:
Testautomation, Qualitätssicherung für Embedded
Systeme, Qualität von Web Services sowie von
Sourcecode und Software-Modellen, Metriken,
selbstkorrigierende komplexe Software Systeme,
neue
Perspektiven
der
Qualitätssicherung,
Seite: 10
15. November 2007
SBS
Erfahrungsberichte aus der Praxis und Zertifizierungen.
Insgesamt wurden 36 Fachvorträge angeboten. In den
von uns ausgewählten Vorträgen wurden unter
anderem folgende Themen behandelt:
• Methoden zur Auswahl und Priorisierung von
Testfällen in Kombination mit Classification
Trees
• Generierung von Testfällen aus Message
Sequence Charts oder durch Simulation von Use
Cases
19. Ausgabe
•
•
•
•
Effiziente Traceability zwischen Requirements,
Testfällen und Sourcecode
Aufbau einer umfassenden Testinfrastruktur
bzw. Testumgebung an einem praktischem
Beispiel
Verifizierung von Model-based Development
Tools und Code Generatoren und hierbei
aufgetretene Fehler
Metriken für die Qualitätssicherung von
Spezifikationen
Nachrichten
Neue Mitarbeiter bei SBS
Unser Team in Salzburg wurde verstärkt durch:
Norbert Martinek (Produktentwicklung KIXXtensions)
Stefan Hinterkörner (Produktentwicklung KIXOperator)
SBS Newsletter
Nachdem unser SBS aktuell nur in großen und
unregelmäßigen Abständen erscheint, bieten wir auf
unserer Homepage einen kostenlosen elektronischen
Newsletter an, mit dem Sie automatisch auf aktuelle
Informationen hingewiesen werden. Wir freuen uns
auf Ihre Anmeldung unter http://www.sbs.co.at.
Herausgeber: SBS Software Ges.m.b.H.
Weiserhofstraße 18, A 5020 Salzburg
Telefon: +43 (0) 662 / 87 10 33
Telefax: +43 (0) 662 / 87 10 33 – 9
F.d.I.v.: Wolfgang Braunwieser
Erscheinungsort: Salzburg
Firmenbuchnummer: FN 53919,
registriert beim Landesgericht Salzburg,
DVR: 0563307
zertifiziert nach ISO 9001
Seite: 11
15. November 2007
SBS
- 19. Ausgabe
Antwortfax
Salzburger Banken Software - Fax: +43 (0) 662 / 87 10 33 - 9
Sie erreichen mich unter:
Name:
Firma:
Tel.:
Adresse:
Fax:
PLZ / Ort:
E-Mail:
Sie wünschen Informationen zu:

KIXOperator – die Softwarelösung zur Überwachung und Administration von
SB-Geräten

KIXXtensions – die herstellerneutrale SB-Plattform

KIXCustomer – die erweiterbare Standardapplikation für alle SBGeschäftsvorfälle

KIXBranch – Einbindung der Peripheriegeräte im Schalter/Kasse Bereich
Senden Sie uns Ihre Wünsche per Fax unter o.a. Nummer oder per E-Mail an [email protected]!
SBS aktuell gefällt auch meiner Kollegin / meinem Kollegen.
Bitte senden Sie künftig ein kostenloses Exemplar auch an:
Name: ___________________________________________________________
Firma:___________________________________________________________
Adresse: _________________________________________________________
Tel.: _____________________________________________________________
Fax: _____________________________________________________________
E-Mail: __________________________________________________________

Ich bin an SBS aktuell nicht interessiert. Bitte streichen Sie mich von Ihrer Verteilerliste.
Seite: 12
15. November 2007